Консалтинг по внедрению ГОСТ Р 57580.3-2022 и ГОСТ Р 57580.4-2022

Фокус Банка России на противодействие информационным угрозам и киберустойчивости в регуляторном поле

• 2018. Введение ГОСТ Р 57580.1-2017 по защите информации финансовых организаций и ГОСТ Р 57580.2-2018 по оценке соответствия.
• 2019. Нормативные ссылки на ГОСТ Р 57580.1-2017 и ГОСТ Р 57580.2-2018 (требования об обязательности исполнения) появляются в нормативных актах Банка России (№ 672-П, № 683-П, № 684-П).
• 2022. Продолжение разработки ГОСТ в области информационной безопасности и киберустойчивости в рамках подкомитета №1 Технического комитета №122 Росстандарта.
• 2023. Введение ГОСТ Р 57580.3-2022 и ГОСТ Р 57580.4-2022 по управлению риском реализации информационных угроз и обеспечению операционной надежности. В разработке Подкомитета №1 Технического комитета №122 находятся проекты стандартов с оценкой зрелости (для ГОСТ Р 57580.3) и оценкой соответствия (для ГОСТ Р 57580.4).
• 2024. Банком России рекомендовано финансовым организациям реализовывать требования к управлению риском информационной безопасности (ГОСТ Р 57580.3-2022) и обеспечению операционной надежности (ГОСТ Р 57580.4-2022).

Специфика стандартов ГОСТ Р 57580.3-2022 и ГОСТ Р 57580.4-2022

ГОСТ Р 57580.3-2022

• Базовый в рамках всего комплекса стандартов серии;
• Задает общую терминологию, цели и состав требований по управлению риском реализации информационных угроз и обеспечению операционной надежности;
• Регламентирует порядок управления риском реализации информационных угроз.

ГОСТ Р 57580.4-2022

• Регламентирует порядок управления системой обеспечения операционной надежности;
• Является детальным руководством по исполнению требований к операционной надежности, установленных №787-П и №779-П.

Заложенные принципы и подходы

• Принцип пропорционального регулирования: меры (организационные, технические, нормативные) для каждого уровня защиты информации;
• Создание систем управления: PDCA (Plan – Do – Check – Act);
• Интегрирование в систему управления операционным риском;
• Объект применения – критичная архитектура в разрезе бизнес- и технологических процессов;
• Риск-ориентированный подход при реализации.

Сложности во внедрении стандартов

1. Большой объем стандартов, сложность восприятия;
2. Учет специфики деятельности организации и применение риск-ориентированного подхода;
3. Разработка большого количества внутренней документации;
4. Большое количество подлежащих идентификации, учету и контролю элементов критичной архитектуры;
5. Необходимость привлечения ресурсов (кадровых, временных, финансовых, технологических);
6. Необходимость вовлечения руководства;
7. Сложность в распределении ролей и границ ответственности;
8. Необходимость выстраивания эффективной (и оперативной) коммуникации и вовлечения всего персонала.

Алгоритм внедрения

1. Определение ролей и границ ответственности;
2. Разработка ВНД;
3. Определение бизнес- и техпроцессов;
4. Идентификация критичной архитектуры;
5. Мониторинг операций и сбор статистики;
6. Разработка сценариев угроз;
7. Установление контрольных и целевых показателей;
8. Управление изменениями в критичной архитектуре;
9. Работа с персоналом и ИТ-поставщиками;
10. Регистрация инцидентов и периодическое тестирование.

Основные шаги внедрения

1. Определение ролей и границ ответственности

• Пересмотр функционала подразделений, представители которых входят в созданную рабочую группу;
• Координация работы должностным лицом, ответственным за функционирование системы управления риском реализации информационных угроз;
• Определение ролей руководства в процессах;
• Закрепление согласованных ролей во внутренних документах.

2. Разработка внутренних нормативных документов

• Разработка (доработка) основных ВНД по управлению риском реализации информационных угроз и обеспечению операционной надежности;
• Корректировка внутренних документов по управлению операционным риском.

3. Определение бизнес- и технологических процессов

• Составление (сверка) перечня технологических процессов организации, а также связанных с ними бизнес процессов (см. Приложение В к ГОСТ Р 57580.3-2022);
• Назначение владельцев процессов;
• Описание процесса, в том числе участники, характер и последовательность выполняемых процедур (текстовое, нотации BPMN или TOGAF).

4. Идентификация критичной архитектуры

• Выделение объектов информатизации, задействованных в выполнении процессов (до конфигурации, например, в формате CPE:2.3);
• Определение задействованных ИТ-поставщиков;
• Определение задействованного персонала;
• Фиксация результатов (Microsoft Excel, CMDB в ITSM-системе, Confluence, системы класса менеджмента ИТ-активов ITAM).

5. Мониторинг операций и сбор статистики

• Обеспечение мониторинга ИТ-инфраструктуры на предмет выявления проблем и сбоев (например, Zabbix);
• Сбор бизнес-метрик (количество операций/посетителей, а также динамика операций в сравнении с предыдущими аналогичными периодами).

6. Разработка сценариев реализации информационных угроз

• Идентификация, описание и оценка основных возможных ситуаций реализации информационных угроз, в том числе в части прерывания деятельности организации – применительно к критичной архитектуре;
• Определение для сценариев последовательности возможных действий и их источников (например, с использованием Методики оценки угроз от ФСТЭК или матрицы MITRE ATT&CK);
• Встраивание разработки сценариев в процесс сценарного анализа операционного риска (при наличии).

7. Установление контрольных и целевых показателей

• Установление (сверка) контрольных и целевых показателей, предусмотренных стандартами, учитывая нормативные требования Банка России;
• Определение целевого времени восстановления (ЦВВ) и целевой точки восстановления данных (ЦТВД) в отношении процессов (обеспечивающих их выполнение ИС).

(использование для расчета показателей накопленной статистики операций, истории рисковых событий, лимитов, установленных Банком России, а также мотивированного мнения экспертов)

8. Управление изменениями в критичной архитектуре

• Обеспечение планирования, оценки (в том числе на предмет существующих рисков), утверждения, реализации и последующего контроля изменений в критичной архитектуре;
• Использование имеющегося инструментария (например, системы Service Desk или внутреннего портала).

9. Работа с персоналом и ИТ-поставщиками

• Доведение до персонала информации о внедряемых мерах и об актуальных информационных угрозах (ознакомление с ВНД, справочные материалы, памятки, рассылки, обучение);
• Пересмотр заключаемых с ИТ-поставщиками договоров (включение обязательств по ИБ, конфиденциальности, непрерывности оказания услуг);
• Заключение (пересмотр) SLA с ключевыми поставщиками (с учетом установленных целевых показателей).

10. Регистрация инцидентов и периодическое тестирование

• Обеспечение выявления, сбора, регистрации информации об ИБ-инцидентах и простоях, анализ причин и оценка потерь от них;
• Проведение периодического тестирования готовности организации противостоять информационным угрозам в отношении критичной архитектуры (например, рассылка фишинговых писем, восстановление из резервной копии, переход на резервную ИТ-инфраструктуру).

Дополнительно

• Обеспечение эффективной коммуникации между подразделениями на всех этапах;
• Доведение информации о порядке действий в случае выявления инцидентов (нежелательных событий) до персонала (с указанием контактных данных ответственных лиц);
• Аккумулирование данных и результатов работы в единой точке.

(собранную информацию об элементах критичной архитектуры и процессах изменений в ней, состоянии ИТ-инфраструктуры, статистике операций, значениях контрольных и целевых показателей, инцидентах, каналах коммуникации необходимо аккумулировать в единой точке (на основе имеющихся средств автоматизации (Jira или иные средства совместной работы, внутренний портал, отдельные дашборды в одной из BI-систем)))

Когда эти стандарты должны быть внедрены

Крайним сроком для внедрения ГОСТ Р 57580.3-2022 и ГОСТ Р 57580.4-2022 будут требования Положений Банка России, которые будут выпущены позднее. Однако есть приблизительные сроки внедрения, обозначенные Банком России как «рекомендованные»: в Методических рекомендациях от 21.03.2024 № 7-МР, Банк России изложил порядок и сроки внедрения финансовыми организациями ГОСТ Р 57580.3-2022 и ГОСТ Р 57580.4-2022.

Полезные материалы

Наши эксперты Михаил Манцуров и Алексей Карпушкин проанализировали данные рекомендации и подготовили выжимку по 7-МР Банка России в статье на сайте группы компаний ФБК.