ГОСТ Р 57580.4-2022. Национальный стандарт Российской Федерации. Безопасность финансовых (банковских) операций. Обеспечение операционной надежности. Базовый состав организационных и технических мер

Условное обозначение и номер меры

Содержание мер системы обеспечения операционной надежности

Уровень защиты

3

2

1

ТОН.1

Установление и реализация программ по сценарному анализу и тестированию готовности финансовой организации противостоять реализации информационных угроз, включая:

ТОН.1.1

- формирование сценариев реализации информационных угроз, в том числе компьютерных атак

Н

О

О

ТОН.1.2

- тестирование возможностей по мониторингу и выявлению фактов реализации информационных угроз

О

О

О

ТОН.1.3

- тестирование процедур реагирования на инциденты и восстановления после их реализации

О

О

О

ТОН.1.4

- тестирование сценариев, предусматривающих сдерживание и (или) предотвращение реализации компьютерных атак и их последовательностей, в том числе на разных уровнях информационной инфраструктуры с учетом технического описания таких сценариев

Н

О

О

ТОН.1.5

- оценку подготовленности работников финансовой организации противостоять реализации информационных угроз, в том числе компьютерных атак

О

О

О

ТОН.1.6

- оценку достаточности ресурсного (кадрового и материального) обеспечения для реагирования на инциденты и восстановления после их реализации

О

О

О

ТОН.2

Определение во внутренних документах финансовой организации методологии (за исключением случаев привлечения поставщиков услуг) и порядка проведения сценарного анализа и тестирования готовности финансовой организации противостоять реализации информационных угроз

О

О

О

ТОН.3

Организация и выполнение деятельности по формированию и регулярному пересмотру сценариев реализации информационных угроз на основе информации:

- об инцидентах, характерных для вида деятельности финансовой организации <*>;

- инцидентах, характерных для технологических участков бизнес- и технологических процессов;

- проведенных ранее тестированиях готовности финансовой организации противостоять реализации информационных угроз;

- актуальных сценариях реализации информационных угроз, в том числе компьютерных атак

О

О

О

ТОН.4

Организация и выполнение деятельности по тестированию готовности финансовой организации противостоять реализации информационных угроз на основе сформированных сценариев, включая:

- выявление конфигураций объектов информатизации, имеющих слабости и (или) уязвимости;

- выявление актуальных слабостей (уязвимостей) используемых объектов информатизации;

- определение актуальных компьютерных атак, которые могут быть реализованы путем эксплуатации выявленных уязвимостей;

- определение вероятных инцидентов, связанных с реализацией информационных угроз, к которым может привести реализация актуальных компьютерных атак;

- определение потенциальных последствий от реализации инцидентов, в том числе максимально возможных финансовых потерь

Н

О

О

ТОН.5

Организация и выполнение деятельности по тестированию возможностей мониторинга и выявления на предмет своевременного обнаружения фактов реализации информационных угроз (в том числе компьютерных атак), а также контроль актуальности используемых данных об индикаторах компрометации объектов информатизации

Н

О

Т

ТОН.6

Организация и выполнение деятельности по тестированию процедур реагирования на инциденты и восстановления после их реализации, в том числе совместно с причастными сторонами в целях:

ТОН.6.1

- тестирования возможности финансовой организации обеспечить эффективное реагирование на инциденты и восстановление после их реализации в соответствии с заданными временными периодами (ЦВВ)

О

О

О

ТОН.6.2

- тестирования возможности финансовой организации совместно с причастными сторонами обеспечить эффективное реагирование на инциденты и восстановление после их реализации в соответствии с заданными временными периодами (ЦВВ), в том числе в отношении переданных на аутсорсинг бизнес- и технологических процессов

О

О

О

ТОН.6.3

- тестирования возможностей финансовой организации обеспечить эффективное взаимодействие с причастными сторонами при реализации инцидентов

О

О

О

ТОН.6.4

- тестирования возможности финансовой организации обеспечить своевременное информирование об инцидентах Банка России, федерального органа исполнительной власти, уполномоченного в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, а также причастных сторон

О

О

О

ТОН.7

Установление точных целей в рамках каждого из проводимых тестирований готовности финансовой организации противостоять реализации информационных угроз и целевых показателей, посредством которых оценивают их достижение

О

О

О

ТОН.8

Разработка и использование в рамках тестирования готовности финансовой организации противостоять реализации информационных угроз, в том числе сценариев, реализующих методы:

- "социальной инженерии" [побуждения работников финансовой организации к осуществлению операций (действий) путем обмана или злоупотребления доверием];

- "фишинга" (использование информации, вводящей работников финансовых организаций в заблуждение относительно принадлежности информации, распространяемой посредством сети Интернет, вследствие сходства доменных имен, оформления или содержания)

О

О

О

ТОН.9

Разработка и использование сценариев, предполагающих значительное влияние на деятельность финансовой организации (включая существенные финансовые потери) <**>, для определения потенциала такого влияния и оценки риска реализации информационных угроз (стресс-тестирование <***>), предусмотренной в рамках ГОСТ Р 57580.3

Н

Н

О

ТОН.10

Информирование коллегиального исполнительного органа и должностного лица, ответственного за функционирование системы управления риском реализации информационных угроз, о результатах проведения стресс-тестирования, предусмотренного мерой ТОН.9

Н

Н

О

ТОН.11

Определение и анализ показателей оценки эффективности программ тестирования готовности финансовой организации противостоять реализации информационных угроз

О

О

О

ТОН.12

Использование результатов мониторинга и анализа показателей оценки эффективности программ тестирования готовности финансовой организации противостоять реализации информационных угроз для последующей доработки (совершенствования) таких программ

О

О

О

ТОН.13

Разработка сценариев и проведение периодических тестирований готовности финансовой организации противостоять реализации информационных угроз в условиях, приближенных к реальным, с привлечением:

- структурных подразделений финансовой организации и должностных лиц, принимающих решения в рамках реагирования на инциденты и восстановления после их реализации;

- ключевых причастных сторон (за исключением клиентов финансовой организации)

Н

Н

О

ТОН.14

Участие финансовой организации (при наличии возможности) в тестированиях готовности противостоять реализации информационных угроз, проводимых иными организациями, в том числе в рамках соответствующих мероприятий межсекторального и трансграничного характера

Н

Н

Н

<*> Для кредитных организаций вместо видов деятельности следует рассматривать направления деятельности, определенные в соответствии с нормативными актами Банка России, в частности [6].

<**> Рекомендуется в рамках тестирования таких сценариев предусмотреть возможность привлечения коллегиального исполнительного органа, единоличного исполнительного органа и (или) подотчетных им коллегиальных органов.

<***> Результаты стресс-тестирований должны быть учтены в рамках совершенствования системы управления риском реализации информационных угроз финансовой организации, предусмотренной в рамках ГОСТ Р 57580.3.