ГОСТ Р 57580.4-2022. Национальный стандарт Российской Федерации. Безопасность финансовых (банковских) операций. Обеспечение операционной надежности. Базовый состав организационных и технических мер
8.5 Направление 4 "Совершенствование процесса системы обеспечения операционной надежности"
8.5.1 Деятельность в рамках направления "Совершенствование" выполняется на основе результатов проведения мероприятий по выявлению, реагированию на инциденты и по восстановлению после их реализации, по обнаружению недостатков в обеспечении операционной надежности в рамках направления "Контроль", а также в случаях изменения политики финансовой организации в отношении принципов и приоритетов в реализации системы обеспечения операционной надежности, принятого допустимого уровня риска реализации информационных угроз (риск-аппетита), сигнальных и контрольных значений КПУР, а также допустимого уровня простоя и (или) деградации бизнес- и технологических процессов, предусмотренных ГОСТ Р 57580.3.
Применяемые финансовой организацией меры в рамках направления "Совершенствование" должны обеспечивать формирование и фиксацию решений о необходимости выполнения корректирующих или превентивных действий, в частности пересмотр применяемых мер обеспечения операционной надежности. При этом непосредственная деятельность по совершенствованию процесса обеспечения операционной надежности осуществляется в рамках направления "Реализация" и, при необходимости, направления "Планирование".
8.5.2 Базовый состав мер по совершенствованию процесса системы обеспечения операционной надежности приведен в таблице 21.
Таблица 21
Условное обозначение и номер меры | Меры обеспечения операционной надежности | Уровень защиты | ||
3 | 2 | 1 | ||
СОН.1 | Проведение и фиксация результатов (свидетельств) анализа необходимости совершенствования процесса системы обеспечения операционной надежности в случаях обнаружения: - инцидентов, связанных с реализацией информационных угроз (отнесенных финансовой организацией к событиям риска реализации информационных угроз, приведенных в ГОСТ 57580.3); - недостатков в рамках контроля системы обеспечения операционной надежности | О | О | О |
СОН.2 | Проведение и фиксация результатов (свидетельств) анализа необходимости совершенствования процесса системы обеспечения операционной надежности в случаях изменения политики финансовой организации в отношении: - области применения процесса обеспечения операционной надежности; - основных принципов и приоритетов в реализации процесса системы обеспечения операционной надежности; - принятого допустимого уровня риска реализации информационных угроз (риск-аппетита) <*>, сигнальных и контрольных значений КПУР (а также целевых показателей операционной надежности), предусмотренных ГОСТ Р 57580.3 и приложением Б с учетом требований нормативных актов Банка России [6] - [8] | О | О | О |
СОН.3 | Фиксация решений о проведении совершенствования процесса системы обеспечения операционной надежности в виде корректирующих или превентивных действий, например: - пересмотр области применения процесса системы обеспечения операционной надежности; - пересмотр состава и содержания организационных мер обеспечения операционной надежности, применяемых в рамках процесса системы обеспечения операционной надежности; - пересмотр состава технических мер обеспечения операционной надежности, применяемых в рамках процесса системы обеспечения операционной надежности | О | О | О |
СОН.4 | Организация и выполнение деятельности по совершенствованию <**> применяемых организационных и технических мер, в том числе на основе информации, полученной: - по результатам анализа причин и последствий реализации инцидентов; - в рамках консультаций с экспертами внутри финансовой организации <***> | О | О | О |
<*> Агрегированный показатель, учитывающий принятые финансовой организацией контрольные значения КПУР и значимость группы КПУР в зависимости от вида деятельности финансовой организации. <**> В рамках совершенствования применяемых организационных и технических мер обеспечения операционной надежности рекомендуется проводить мониторинг и анализ внешних информационных ресурсов для своевременной адаптации к изменяющимся внешним условиям, обусловленным: - изменением ландшафта информационных угроз; - изменением в нормативном регулировании соответствующей сферы; - появлением новейших технологических решений, а также публикациями лучших практик в данной области. <***> При наличии возможности для консультаций могут быть привлечены внешние эксперты. | ||||
Подписаться на обновления