ГОСТ Р 57580.4-2022. Национальный стандарт Российской Федерации. Безопасность финансовых (банковских) операций. Обеспечение операционной надежности. Базовый состав организационных и технических мер

Условное обозначение и номер меры

Содержание мер системы обеспечения операционной надежности

Уровень защиты

3

2

1

ОСО.1

Организация и выполнение деятельности по получению от причастных сторон (за исключением клиентов финансовой организации) и по направлению информации о возможных сценариях реализации информационных угроз <*>

О

О

О

ОСО.2

Организация и выполнение деятельности по получению от Банка России и по направлению информации о возможных сценариях реализации информационных угроз с использованием технической инфраструктуры Банка России <*>

О

О

О

ОСО.3

Организация и выполнение деятельности по получению информации о возможных сценариях реализации информационных угроз от доверенных внешних организаций, в том числе в рамках участия в соответствующих сообществах

Н

О

О

ОСО.4

Включение в состав передаваемой информации о возможных сценариях реализации информационных угроз результатов анализа причин и последствий реализации инцидентов <**>, предусмотренного в рамках процесса 3 "Выявление, регистрация, реагирование на инциденты, связанные с реализацией информационных угроз, и восстановление после их реализации"

Н

О

О

ОСО.5

Организация и выполнение деятельности по доведению до клиентов финансовой организации информации, способствующей повышению их готовности противостоять реализации информационных угроз и снижению негативного влияния риска реализации информационных угроз при предоставлении (получении) финансовых и (или) информационных услуг, включая справочные материалы в части:

- корректного использования ПО (в том числе электронных средств платежа), используемого в целях осуществления финансовых (банковских) операций, включая операции по переводу денежных средств;

- правильного обращения с информацией конфиденциального характера;

- возможных сценариев реализации информационных угроз (в частности, компьютерных атак, реализуемых посредством применения вредоносного ПО, фишинга и методов социальной инженерии), направленных на клиентов финансовой организации, и способов их выявления

О

О

О

ОСО.6

Организация и выполнение деятельности по обеспечению максимальной доступности для клиентов финансовой организации справочных материалов, предусмотренных мерой ОСО.5

О

О

О

ОСО.7

Организация и выполнение деятельности по оценке эффективности реализуемых программ по доведению до клиентов финансовой организации информации, способствующей повышению их готовности противостоять реализации информационных угроз и уменьшению негативного влияния риска реализации информационных угроз при предоставлении (получении) финансовых и (или) информационных услуг

О

О

О

ОСО.8

Организация и выполнение деятельности по доведению до клиентов финансовой организации (с обеспечением максимальной доступности) фактических значений КПУР, приведенных в строках 3 - 8 таблицы Д.2 приложения Д ГОСТ Р 57580.3-2022

О

О

О

<*> При наличии соответствующих договорных обязательств.

При наличии возможности финансовым организациям также рекомендуется обмениваться позитивным опытом применения мер обеспечения операционной надежности в части выявления, регистрации, реагирования на инциденты и восстановления функционирования бизнес- и технологических процессов и объектов информатизации после их реализации.

<**> В рамках обмена информацией о возможных сценариях реализации информационных угроз с причастными сторонами финансовая организация самостоятельно определяет возможность раскрытия, а также объем и формат раскрываемой информации.

Условное обозначение и номер меры

Содержание мер системы обеспечения операционной надежности

Уровень защиты

3

2

1

ОСО.9

Организация и выполнение деятельности по оценке возможности применения информации об актуальных сценариях реализации информационных угроз, получение которой предусмотрено мерами ОСО.1 - ОСО.3 в таблице 15

О

О

О

ОСО.10

Организация и выполнение деятельности по использованию информации об актуальных сценариях реализации информационных угроз, получение которой предусмотрено мерами ОСО.1 - ОСО.3 в таблице 15, для цели обеспечения операционной надежности финансовой организации

О

Т

Т

Условное обозначение и номер меры

Содержание мер системы обеспечения операционной надежности

Уровень защиты

3

2

1

ОСО.11

Повышение осведомленности по вопросам противостояния реализации информационных угроз членов совета директоров (наблюдательного совета) и исполнительного органа финансовой организации, в том числе по вопросам организации и контроля за управлением риском реализации информационных угроз, за обеспечением операционной надежности и защиты информации <*>

О

О

О

ОСО.12

Организация и контроль со стороны исполнительного органа финансовой организации деятельности по обучению и повышению осведомленности работников финансовой организации в части противостояния реализации информационных угроз, включая разработку и реализацию соответствующих планов по периодическому обучению и повышению осведомленности работников финансовой организации

Н

О

О

ОСО.13

Включение в разрабатываемые для различных групп работников (с учетом их должностных обязанностей и выполняемых ролей) планы обучения и повышения осведомленности в части противостояния реализации информационных угроз учебных мероприятий по доведению:

- информации, содержащейся в утвержденной политике управления риском реализации информационных угроз финансовой организации;

- информации о применяемых в финансовой организации мерах, направленных на управление риском реализации информационных угроз, на обеспечение операционной надежности и защиты информации;

- информации о возможных сценариях реализации компьютерных атак, направленных на работников финансовой организации (в частности, компьютерных атак, реализуемых посредством применения вредоносного ПО, фишинга и методов социальной инженерии);

- инструкций по выполнению мер, направленных на противостояние реализации информационных угроз, в соответствии с внутренними документами финансовой организации;

- информации о значимости и важности деятельности работников финансовой организации в рамках управления риском реализации информационных угроз, обеспечения операционной надежности и защиты информации;

- инструкций по порядку и способам взаимодействия при реализации инцидентов, связанных с реализацией информационных угроз

Н

О

О

ОСО.14

Организация обучения или инструктажа <**> работника, получившего новую роль, с последующим проведением оценочных мероприятий по вопросам противостояния реализации информационных угроз и доведением результатов указанных мероприятий до работника, принимавшего в них участие

О

О

О

ОСО.15

Организация обучения или инструктажа в части выявления и инициативного информирования о событиях риска реализации информационных угроз

О

О

О

<*> В отношении мероприятий по повышению осведомленности совета директоров (наблюдательного совета) и исполнительного органа финансовая организация самостоятельно определяет условия их проведения, например:

- на регулярной основе;

- при возникновении определенных условий, свидетельствующих о необходимости проведения таких мероприятий;

- по запросу со стороны участника или участников целевой группы таких мероприятий.

<**> Согласно разработанным для различных групп работников (с учетом их должностных обязанностей и выполняемых ролей) программам обучения и повышения осведомленности в части выявления и противостояния реализации информационных угроз.