ГОСТ Р 57580.4-2022. Национальный стандарт Российской Федерации. Безопасность финансовых (банковских) операций. Обеспечение операционной надежности. Базовый состав организационных и технических мер

6 Общие положения

 

6.1 Деятельности финансовой организации свойственен риск реализации информационных угроз, что является объективной реальностью, и понизить этот риск можно лишь до определенного остаточного уровня.

Для снижения риска и противодействия реализации информационных угроз, а также их влиянию на операционную надежность финансовой организации следует, среди прочего, обеспечить должное планирование, реализацию, контроль и совершенствование процессов системы обеспечения операционной надежности.

6.2 Планирование и реализация процессов обеспечения операционной надежности должны быть осуществлены финансовой организацией на всех этапах жизненного цикла элементов критичной архитектуры, начиная с этапа разработки и планирования внедрения бизнес- и технологических процессов, реализующих виды деятельности финансовой организации, связанные с предоставлением финансовых и (или) информационных услуг.

Указанный подход позволяет удостовериться в эффективности, защищенности и устойчивости реализуемых бизнес- и технологических процессов.

6.3 Организационная структура управления процессами обеспечения операционной надежности реализуется в соответствии с требованиями нормативных актов Банка России, в частности [6], и положениями ГОСТ Р 57580.3 и является составляющей частью более широкой организационной структуры управления финансовой организации. Цели и приоритеты обеспечения операционной надежности должны соответствовать целям и приоритетам управления рисками (операционным риском), в том числе риском реализации информационных угроз, установленным в финансовой организации, и должны быть доведены до сведения всех вовлеченных подразделений и должностных лиц финансовой организации.

Принимаемые исполнительным органом решения, связанные с обеспечением достижения целей и приоритетов операционной надежности финансовой организации, должны соответствовать общим бизнес-целям финансовой организации.

6.4 Процессы обеспечения операционной надежности существенным образом связаны с поддержанием непрерывности деятельности и ее восстановлением после возможных прерываний. При этом на обеспечение операционной надежности значительное влияние оказывают проектирование, реализация и управление критичными активами в соответствии с установленными показателями операционной надежности, в том числе разработка и (или) применение технических решений, функциональные возможности и характеристики которых соответствуют потребностям финансовой организации по обеспечению непрерывности и качества функционирования объектов информатизации, входящих в критичную архитектуру.

Наряду с мерами обеспечения операционной надежности, приведенными в разделе 7, финансовым организациям следует рассматривать следующие вопросы:

а) проведение сценарного анализа (в части возможного прерывания деятельности финансовой организации в результате реализации инцидентов в отношении критичных активов), проведение анализа влияния на бизнес (BIA) с учетом результатов сценарного анализа, а также установление ЦВВ и ЦТВД в отношении критичных активов;

б) проектирование и реализацию критичных активов в исполнении, позволяющем ограничить негативное воздействие в результате инцидентов и восстановить предоставление финансовых и (или) информационных услуг в течение заданного временного периода (ЦВВ), в том числе завершить расчеты к концу операционного дня, а также обеспечить целостность защищаемой информации <1>, связанной с осуществлением финансовых (банковских) операций, в том числе переводов денежных средств;

--------------------------------

<1> К защищаемой информации относится информация, перечень которой определен в [11] - [13].

 

в) обеспечение необходимой и достаточной производительности объектов информатизации финансовой организации, их надежной работы (отказоустойчивости), возможности их планового масштабирования, а также оперативного восстановления работоспособности;

г) применение отказоустойчивых решений, разделение основных и резервных критичных активов (в том числе в части их резервирования <2>), используемых в рамках обработки и хранения данных, достигаемое в том числе:

--------------------------------

<2> Включая системы резервного хранения, электро- и холодоснабжения/теплоотвода, каналы связи.

 

1) созданием резервных центров обработки и хранения данных, обеспечением защиты информации резервных центров обработки и хранения данных на уровне, эквивалентном основным центрам,

2) раздельным размещением основного и резервного центров обработки и хранения данных для снижения подверженности однотипным угрозам,

3) подготовкой и тестированием готовности резервных центров обработки и хранения данных к выполнению определенных финансовой организацией бизнес- и технологических процессов,

4) определением резервных каналов связи и электроснабжения в основных и резервных центрах обработки и хранения данных с обеспечением их максимального разделения для снижения вероятности их выхода из строя,

5) привлечением поставщиков услуг (в том числе поставщиков облачных услуг), имеющих более одного центра обработки данных.

Примечания

1 Инфраструктурным организациям финансового рынка <3> следует обеспечивать возможность восстановления выполнения бизнес- и технологических процессов на резервных площадках, которые обеспечены необходимыми ресурсами для восстановления бизнес- и технологических процессов на заранее заданном уровне.

--------------------------------

<3> В рамках настоящего стандарта под инфраструктурными организациями финансового рынка понимаются организации, определенные в рамках нормативных актов Банка России [14] (финансовые организации, осуществляющие деятельность центрального контрагента, центрального депозитария, расчетного депозитария, репозитария).

 

В зависимости от важности и уровня взаимосвязанности инфраструктурным организациям финансового рынка рекомендуется предусматривать как минимум двукратное резервирование для таких площадок на случай реализации сценариев, при которых основная и резервная площадки могут оказаться недоступными [15]. Одновременно с этим при организации резервных площадок рекомендуется учитывать географическое расположение филиалов и региональных офисов.

2 В качестве дополнительных мер, направленных на поддержание эквивалентного уровня вычислительных мощностей при использовании резервных центров обработки и хранения данных, рекомендуется предусмотреть возможность распределения нагрузки на вычислительные мощности между такими резервными объектами и основными центрами обработки и хранения данных, не подвергшимися влиянию информационных угроз (при их наличии), или двукратное резервирование за счет "законсервированных" объектов, которые обеспечены необходимыми ресурсами для восстановления бизнес- и технологических процессов на заранее заданном уровне.

3 В случае привлечения поставщиков услуг (в том числе поставщиков облачных услуг) в целях резервирования объектов информатизации инфраструктурного уровня рекомендуется предусмотреть резервирование всех компонентов таких объектов информатизации с учетом возможностей и специфики поставщика услуг;

 

д) обеспечение целостности и доступности данных, необходимых для реализации бизнес- и технологических процессов, достигаемое в том числе:

1) установлением во внутренних документах и применением соответствующих политик (режимов) резервного копирования и восстановления данных, определяющих, как минимум, частоту и объем резервного копирования [в том числе с учетом значимости и частоты обновления (ввода новых) данных],

2) разработкой политик (режимом) резервного копирования и восстановления данных, обеспечивающих быстрое восстановление и минимальный уровень простоя и (или) деградации бизнес- и технологических процессов,

3) резервированием на регулярной основе всех данных, необходимых для восстановления (воспроизведения) данных об осуществленных финансовых (банковских) операциях, в том числе операциях по переводу денежных средств,

4) реализацией процедур восстановления (воспроизведения) данных об осуществленных финансовых (банковских) операциях, в том числе операциях по переводу денежных средств, которые могут включать возвращение к исходным данным о таких операциях ("откат") и ведение журнала совершаемых операций;

е) разработка и тестирование плана действий, направленных на обеспечение непрерывности деятельности и (или) восстановление деятельности финансовой организации в случае возникновения прерываний (План ОНиВД).

Указанные вопросы в значительной степени влияют на обеспечение операционной надежности. Установление состава организационных и технических мер в отношении процессов (действий), указанных в перечислениях данного пункта, не является предметом настоящего стандарта. Для организации таких процессов (действий) следует руководствоваться требованиями нормативных актов Банка России (в частности, [6]), а также рекомендуется руководствоваться положениями ГОСТ Р ИСО 22301, ГОСТ Р ИСО 22313, ГОСТ Р ИСО/МЭК 27036-4, ГОСТ Р 53647.1, ГОСТ Р 53647.2, ГОСТ Р 53647.3, ГОСТ Р 53647.4, ГОСТ Р 55235.3, а также [16], [17]. При этом при реализации положений настоящего стандарта в финансовой организации целесообразно применять подход, предполагающий интеграцию процессов обеспечения операционной надежности и процессов обеспечения непрерывности и (или) восстановления деятельности в случае возникновения прерываний.

6.5 Выбор и применение финансовой организацией мер обеспечения операционной надежности включает:

- выбор мер обеспечения операционной надежности, требования к составу и содержанию которых установлены в разделе 7;

- адаптацию (уточнение), при необходимости, выбранного состава и содержания мер обеспечения операционной надежности с учетом модели угроз и нарушителей безопасности информации финансовой организации и структурно-функциональных характеристик объектов информатизации, включаемых в область применения настоящего стандарта;

- исключение из выбранного состава мер, не связанных с используемыми информационными технологиями;

- дополнение, при необходимости, адаптированного (уточненного) состава и содержания мер обеспечения операционной надежности мерами, которые необходимы для обработки актуальных информационных угроз, закрепленных в модели угроз безопасности информации финансовой организации, в том числе обеспечения выполнения требований, установленных нормативными правовыми актами [18] - [20];

- применение для конкретной области адаптированного (уточненного) и дополненного состава мер обеспечения операционной надежности в соответствии с положениями раздела 8.

6.6 При невозможности технической реализации отдельных выбранных мер обеспечения операционной надежности, а также с учетом экономической целесообразности на этапах адаптации (уточнения) состава мер могут быть разработаны иные (компенсирующие) меры, направленные на нейтрализацию информационных угроз, определенных в модели информационных угроз, и действий нарушителей безопасности информации финансовой организации.

В этом случае финансовой организацией должно быть приведено обоснование применения компенсирующих мер обеспечения операционной надежности.

Применение компенсирующих мер обеспечения операционной надежности должно быть направлено на обработку риска, связанного с реализацией тех же информационных угроз, на нейтрализацию которых направлены меры из исходного состава мер обеспечения операционной надежности настоящего стандарта, не применяемые финансовой организацией в связи с невозможностью технической реализации и (или) экономической целесообразностью.

6.7 Снижение риска реализации информационных угроз в целях обеспечения операционной надежности финансовой организации обеспечивается путем надлежащего выбора, повышения полноты и качества применения соответствующих мер обеспечения операционной надежности. Полнота и качество применения мер обеспечения операционной надежности достигаются планированием, реализацией, контролем и совершенствованием системы обеспечения операционной надежности, осуществляемыми в рамках системы организации и управления операционной надежностью.

6.8 Настоящий стандарт определяет три уровня защиты:

- уровень 3 - минимальный;

- уровень 2 - стандартный;

- уровень 1 - усиленный.

Уровень защиты для финансовой организации применяется согласно критериям, устанавливаемым нормативными актами Банка России с учетом:

- вида деятельности финансовой организации, состава предоставляемых финансовой организацией финансовых и (или) информационных услуг, реализуемых бизнес- и технологических процессов;

- объема финансовых (банковских) операций, в том числе операций по переводу денежных средств;

- размера организации, например отнесения финансовой организации к категории малых предприятий и микропредприятий;

- значимости и роли финансовой организации в рамках банковской системы, финансового рынка Российской Федерации и (или) национальной платежной системы.

6.9 Финансовой организации следует применить риск-ориентированный подход и определить приоритеты по реализации мер обеспечения операционной надежности таким образом, чтобы данные меры отвечали принятому финансовой организацией допустимому уровню риска реализации информационных угроз (риск-аппетиту), а также были адекватны информационным угрозам и оптимальны с точки зрения рисков и ресурсов для реализации.