Мошенники сегодня в основном нацелены на карточные операции.
Согласно , в третьем квартале 2023 года произошло больше всего краж у физических лиц с банковских карт, выявлено случаев. Чтобы добраться до средств граждан, злоумышленники стараются применять новые и неожиданные методы атак. Еще одной важной тенденцией в сфере хищений остается слабость человеческого фактора – действия сотрудников банков.
В том, чтобы помочь организациям своевременно выявлять угрозы и управлять операционными рисками, призван помочь ГОСТ 57580.3. В материале ниже эксперты, рассмотрят ключевые особенности стандарта.
На рисунке представлены основные нормативные требования для соответствия .
Методические рекомендации (или 7-МР) должны соблюдать все финансовые организации, как кредитные, так и некредитные, включая небанковские кредитные учреждения. В частности, объясняется, как применять стандарты и . Рекомендации касаются управления рисками, связанными с ИУ, и обеспечения надежной работы кредитных и финансовых организаций.
В ГОСТе описывает структуру системы управления рисками, связанными с ИУ, а также то, как эти элементы взаимосвязаны. Стандарт поясняет, что контрольные показатели уровня риска (КПУР), введенные в документе и устанавливаемые в процессе работы системы УР, должны соответствовать фактическим значениям и не выходить за установленные пределы. Иными словами, организация должна следить за тем, чтобы фактические показатели не превышали допустимые нормы. Данный стандарт направлен как на кредитные, так и на некредитные финансовые организации, участников платежной системы и другие финансовые экосистемы.
Согласно Положениям и , существуют 3 уровня защиты информации:
Кредитным организациям необходимо выбрать подходящие методы и технологии для УР в области ИБ. Кроме того, важно обеспечить бесперебойную работу всех процессов. Таким образом кредитные организации смогут не только соответствовать ГОСТу, но и защищать свои активы, а также поддерживать доверие клиентов.
Рис. Разделы ГОСТ 57580.3
Основные разделы ГОСТ охватывают ключевые аспекты УР, связанные с ИУ в финансовых организациях. В разделе «Общие положения» описывается внедрение системы управления рисками и ее интеграция в общую структуру УР. Состав направлений, процессов и требований акцентирует внимание на операционной надежности и защите информации. А требования к СУР определяют меры по планированию, реализации, контролю и совершенствованию защиты на разных уровнях, что способствует созданию комплексной и эффективной системы защиты от ИУ.
Состав направлений, процессов и требований, определяется семействами стандартов:
В зависимости от того, насколько защищена финансовая организация, выбираются различные меры защиты. Они могут быть как техническими, так и организационными. Очень важно, чтобы финансовые организации смогли заранее распознать признаки возможной угрозы. Чем раньше они это сделают, тем больше шансов подготовиться к проблеме и разработать меры для её предотвращения или для восстановления работы после атаки.
Чтобы выполнить некоторые меры, достаточно провести актуализацию и/или разработать недостающие документы. Однако для других мер может понадобиться какие-либо изменения. Для каждого этапа плана лучше определить ответственного человека и указать сроки выполнения. И не забывать о том, что необходимо выполнить требования не только на бумаге, но и фактически.
Согласно , в третьем квартале 2023 года произошло больше всего краж у физических лиц с банковских карт, выявлено случаев. Чтобы добраться до средств граждан, злоумышленники стараются применять новые и неожиданные методы атак. Еще одной важной тенденцией в сфере хищений остается слабость человеческого фактора – действия сотрудников банков.
В том, чтобы помочь организациям своевременно выявлять угрозы и управлять операционными рисками, призван помочь ГОСТ 57580.3. В материале ниже эксперты, рассмотрят ключевые особенности стандарта.
Кому, когда и зачем нужно применять ГОСТ 57580.3
Все финансовые организации сталкиваются с рисками, связанными с информационными угрозами (далее – ИУ) в своих бизнес-процессах. Полностью избавиться негативных факторов невозможно. Но риски можно контролировать и попытаться свести к минимуму с помощью хорошей системы управления рисками (УР), которая включает в себя организационную структуру и различные меры. В говорится о том, как устроена система управления рисками, связанными с ИУНа рисунке представлены основные нормативные требования для соответствия .
Методические рекомендации (или 7-МР) должны соблюдать все финансовые организации, как кредитные, так и некредитные, включая небанковские кредитные учреждения. В частности, объясняется, как применять стандарты и . Рекомендации касаются управления рисками, связанными с ИУ, и обеспечения надежной работы кредитных и финансовых организаций.
В ГОСТе описывает структуру системы управления рисками, связанными с ИУ, а также то, как эти элементы взаимосвязаны. Стандарт поясняет, что контрольные показатели уровня риска (КПУР), введенные в документе и устанавливаемые в процессе работы системы УР, должны соответствовать фактическим значениям и не выходить за установленные пределы. Иными словами, организация должна следить за тем, чтобы фактические показатели не превышали допустимые нормы. Данный стандарт направлен как на кредитные, так и на некредитные финансовые организации, участников платежной системы и другие финансовые экосистемы.
Согласно Положениям и , существуют 3 уровня защиты информации:
- усиленный;
- стандартный;
- минимальный.
Тип КО | Уровень защиты ГОСТ 57580.3 и 716-П ИБ | Срок |
Универсальная лицензия и активы >500 млрд. рублей | Усиленный | 31.12.2025 |
Универсальная лицензия и активы <500 млрд. рублей | Усиленный | 31.12.2026 |
Базовая лицензия и НКО | Стандартный | 31.12.2026 |
Кредитным организациям необходимо выбрать подходящие методы и технологии для УР в области ИБ. Кроме того, важно обеспечить бесперебойную работу всех процессов. Таким образом кредитные организации смогут не только соответствовать ГОСТу, но и защищать свои активы, а также поддерживать доверие клиентов.
Требования и философия стандарта
Рис. Разделы ГОСТ 57580.3
Основные разделы ГОСТ охватывают ключевые аспекты УР, связанные с ИУ в финансовых организациях. В разделе «Общие положения» описывается внедрение системы управления рисками и ее интеграция в общую структуру УР. Состав направлений, процессов и требований акцентирует внимание на операционной надежности и защите информации. А требования к СУР определяют меры по планированию, реализации, контролю и совершенствованию защиты на разных уровнях, что способствует созданию комплексной и эффективной системы защиты от ИУ.
Состав направлений, процессов и требований, определяется семействами стандартов:
- Семейством стандартов Управления риском;
- Семейством стандартов Обеспечения операционной надежности;
- Семейством стандартов Защиты информации финансовых организаций.
- Планирование, включающее создание правил для УР, определение и распознавание возможных рисков, оценку их значимости и организацию необходимых ресурсов.
- Реализация - разработка плана, его выполнение, контроль за процессом и улучшение работы.
- Контроль - проверка и наблюдение за выполнением задач с помощью аудита и мониторинга.
- Совершенствование - улучшение системы за счет сравнения КПУР с фактическими данными.
Построение системы управления рисками информационных угроз
В системе управления рисками ИУ выделяются 3 линии защиты:- Центры компетенций;
- Службы управления рисками и службы ИБ;
- Уполномоченное подразделение (в частности СВА).
- Определение политики УР
- Выявление и идентификация риска
- Организация ресурсного (кадрового и финансового) обеспечения
- Планирование, реализация, контроль и совершенствование мероприятий, направленных на уменьшение негативного влияния риска реализации ИУ
- Планирование, реализация, контроль и совершенствование мероприятий, направленных на уменьшение негативного влияния риска реализации ИУ
- Выявление событий риска реализации ИУ
- Обеспечение осведомленности об актуальных ИУ
- Установление и реализация программ контроля и аудита
- Мониторинг риска реализации ИУ
- Обеспечение соответствия фактических значений КПУР принятым
В зависимости от того, насколько защищена финансовая организация, выбираются различные меры защиты. Они могут быть как техническими, так и организационными. Очень важно, чтобы финансовые организации смогли заранее распознать признаки возможной угрозы. Чем раньше они это сделают, тем больше шансов подготовиться к проблеме и разработать меры для её предотвращения или для восстановления работы после атаки.
Чек-лист требований
Рассмотрим некоторые содержания мер СУР реализации ИУ - процесс «Определение политики управления риском реализации информационных угроз»:Условное обозначение и номер меры | Содержание мер системы управления риском реализации информационных угроз | Уровень защиты | Реализация меры | ||
3 | 2 | 1 | |||
ОПР.1 | Установление во внутренних документах финансовой организации структуры и организации системы УР реализации ИУ, а также систем управления, определенных в рамках семейств стандартов ОН и ЗИ, включая: | - | - | - | |
ОПР.1.1 | - определение и описание состава процессов УР реализации ИУ, обеспечения операционной надежности и защиты информации | О | О | О | Политика ИС Политика ИБ Политика УОР |
ОПР.1.2 | - описание структуры и подходов к интеграции процессов УР реализации ИР в систему управления операционным риском финансовой организации | О | О | О | Политика ИС Политика ИБ Политика УОР |
ОПР.1.3 | - определение организационной структуры финансовой организации, задействованной в выполнении процессов УР реализации ИУ, обеспечения операционной надежности и защиты информации, в том числе установление функций подразделений финансовой организации (включая принятие решений с учетом исключения конфликта интересов) и контроль за выполнением процессов в рамках порядка организации и осуществления финансовой организацией внутреннего контроля | О | О | О | Политика ИС Политика ИБ Политика УОР Критичная архитектура Положение по обеспечению ОН |
ОПР.1.4 | - выделение ресурсного (кадрового и финансового) обеспечения для выполнения процессов УР реализации ИУ, обеспечения операционной надежности и защиты информации | О | О | О | Политика ИС Политика ИБ Политика УОР Критичная архитектура Положение по обеспечению ОН |
ОПР.1.5 | - порядок утверждения и условия пересмотра структуры и организации систем УР реализации ИУ, операционной надежности и защиты информации | О | О | О | Политика ИС Политика ИБ Политика УОР Критичная архитектура Положение по обеспечению ОН |
Чтобы выполнить некоторые меры, достаточно провести актуализацию и/или разработать недостающие документы. Однако для других мер может понадобиться какие-либо изменения. Для каждого этапа плана лучше определить ответственного человека и указать сроки выполнения. И не забывать о том, что необходимо выполнить требования не только на бумаге, но и фактически.
Заключение
Итак, вот основные этапы приведения в соответствие требованиям данного ГОСТа:- Провести аудит существующей системы УИУ по всем требованиям и процессам
- Выявить несоответствие требований по чек-листу
- Определить наиболее разумный для организации вариант реализации меры с учетом имеющихся ресурсов и стратегии
- Отработать данную систему мер в организации
- Оценить эффективность и соответствие требованиям
- Регулярно совершенствовать систему для борьбы с новыми угрозами
