ГОСТ Р 57580.4-2022. Национальный стандарт Российской Федерации. Безопасность финансовых (банковских) операций. Обеспечение операционной надежности. Базовый состав организационных и технических мер

3 Термины и определения

 

В настоящем стандарте применены термины по ГОСТ Р 57580.1 и ГОСТ Р 57580.3, а также следующие термины с соответствующими определениями:

3.1 целевая точка восстановления данных; ЦТВД: Состояние (объем), до которого необходимо восстановить данные, используемые в рамках выполнения бизнес- и технологических процессов, связанных с предоставлением финансовых и (или) информационных услуг, для обеспечения возобновления их выполнения.

Примечание - Адаптировано из ГОСТ Р ИСО 22301-2014.

 

3.2 целевое время восстановления; ЦВВ: Период времени, установленный финансовой организацией для возобновления предоставления финансовых и (или) информационных услуг, выполняемых при этом бизнес- и технологических процессов или восполнения ресурсов после инцидента, связанного с реализацией информационных угроз.

Примечания

1 Адаптировано из ГОСТ Р ИСО 22301-2014.

2 Для бизнес- и технологических процессов целевое время восстановления не должно превышать допустимого времени простоя и (или) деградации бизнес- и технологических процессов.

3 Операторам услуг платежной инфраструктуры при установлении целевого времени восстановления следует учитывать требования к определению показателя продолжительности восстановления оказания услуг платежной инфраструктуры согласно нормативному акту Банка России [10].

 

3.3 техническая мера обеспечения операционной надежности: Мера, реализуемая с помощью применения аппаратных, программных, аппаратно-программных средств и (или) систем.

3.4 организационная мера обеспечения операционной надежности: Мера, не являющаяся технической мерой обеспечения операционной надежности, предусматривающая установление регламента работы с элементами критичной архитектуры и порядка фиксации результатов выполненной работы, в том числе установление в отдельных случаях временных, территориальных, пространственных, правовых, методических и иных ограничений на условия использования, и режимы работы объекта информатизации и (или) иных связанных с ним объектов.

3.5 конфигурация объекта информатизации: Совокупность параметров, определяющих структуру (совокупность функциональных частей и их взаимосвязь) и условия функционирования объекта информатизации.

3.6 система обеспечения операционной надежности: Совокупность организационных и технических мер, применение которых направлено на непосредственное обеспечение операционной надежности, процессов применения указанных мер, ресурсного и организационного обеспечения, необходимого для их применения.

3.7 система организации и управления операционной надежностью: Совокупность мер, применением которых достигается полнота и качество обеспечения операционной надежности, предназначенных для планирования, реализации, контроля и совершенствования процессов системы обеспечения операционной надежности.

3.8 допустимое время простоя и (или) деградации бизнес- и технологических процессов: Допустимый для финансовой организации временной период, в течение которого происходит простой и (или) деградация бизнес- и технологических процессов.

3.9 допустимая доля деградации бизнес- и технологического процесса: Допустимое отношение общего количества финансовых (банковских) операций, в том числе операций по переводу денежных средств и (или) иных операций в рамках технологических операций (участков) бизнес- и технологических процессов, совершенных во время деградации бизнес- и технологического процесса в рамках инцидента к ожидаемому количеству операций за тот же период в случае непрерывного оказания услуг, установленного финансовой организацией.

Примечания

1 Под деградацией бизнес- и технологических процессов следует понимать нарушение технологических процессов, приводящих к неоказанию и (или) ненадлежащему оказанию финансовых и (или) информационных услуг.

2 Финансовая организация рассчитывает значение допустимой доли деградации на основании статистических данных за период не менее 12 календарных месяцев, предшествующих дате определения значения целевого показателя операционной надежности и (или) иных данных, обосновывающих их определение (по выбору финансовой организации).

 

Если технологический процесс функционирует менее 12 календарных месяцев, финансовые организации определяют значение допустимой доли деградации технологических процессов на основании статистических данных за период с даты начала его функционирования и (или) иных данных, обосновывающих их определение (по выбору финансовой организации).