С 1 февраля 2023 года вводится в действие новый стандарт ГОСТ Р 57580.4-2022 «Безопасность финансовых (банковских) операций. Обеспечение операционной надёжности.
Базовый состав организационных и технических мер», который детализирует ряд требований к основным процессам обеспечения операционной надёжности финансовых организаций (ФО), закреплённых в Положениях Банка России 787-П и 779-П. В новом стандарте по аналогии с ГОСТ Р 57580.1 устанавливается три уровня защиты: 3 — «минимальный», 2 — «стандартный», 1 — «усиленный».
С выходом новых стандартов по операционной надёжности, а также по управлению рисками (ГОСТ Р 57580.3-2022) система нормативной документации для финансовых организаций охватит область управления рисками (УР) реализации информационных угроз, управления защитой информации (ЗИ) и обеспечения операционной надёжности (ОН), а также затронет элементы непрерывности бизнеса и восстановление деятельности (ОНиВД).
СЛОЖНОСТИ ПРИ ВНЕДРЕНИИ
Изучив ГОСТ, я хотел бы отметить следующие ключевые особенности, которые, на мой взгляд, могут вызвать затруднения в процессе их реализации.
ШЕСТЬ ОСНОВНЫХ ПРОЦЕССОВ ГОСТ
Объём данной статьи позволяет привести основные процессы ОН и тезисно описать их ключевые особенности.
«Идентификация критичной архитектуры»
В рамках данного процесса прежде всего осуществляется систематическая работа по централизованному учёту и классификации всех элементов КА, а также поддержанию в актуальном состоянии перечней, реестров: БП и ТП (в том числе переданных на аутсорсинг); составляющих их технологических участков ТП; объектов информационной инфраструктуры (ОИИ), учёта их лицензионных политик и ограничений, а также инвентарного учёта; сервисов сторонних поставщиков услуг (по моделям SaaS, PaaS, IaaS).
Вторым важным направлением работ по данному процессу является документирование и техническое описание элементов КА в стандартизированных нотациях (BPMN, IDEF0, TOGAF и т. п.), а также поддержание данной документации в актуальном состоянии.
«Управление изменениями»
В рамках данного процесса осуществляется комплекс организационных и технических работ следующего характера: планирование и управление изменениями конфигурации элементов КА; проведение анализа влияния на бизнес изменений, их приоритизации на «критичные» и «срочные», а также привлечение службы ИБ по согласованию, оценке и разработке минимизирующих риск мероприятий; протоколирование всех изменений и возможность их «отката»; разделение сред «разработки», «тестирования», «эксплуатации».
Достаточно большой объём работ в рамках данного процесса проводится в отношении управления уязвимостями и проверки обновлений ПО: сканирования; проведения пентестов; ведения реестров уязвимостей; кроме того, на этапах жизненного цикла разработки прикладного ПО применяются такие проверки безопасности, как статический и динамический анализ кода, код ревю.
«Обработка инцидентов и восстановление после них»
Работы в рамках данного процесса являются самыми объёмными с точки зрения инженерных работ ИТ- и ИБ-специалистов. По каждому из направлений необходим расчёт и установление целевых показателей: реагирования, восстановления, анализа свидетельств и комплексный показатель эффективности реагирования и восстановления, с целевым временем восстановления (ЦВВ) и целевой точкой восстановления данных (ЦТВД).
Мониторинг и фиксация технических данных о событиях реализации информационных угроз выстраивается в соответствии с ГОСТ Р 57580.1 по принципу «эшелонированной обороны».
Реагирование на инциденты в отношении КА должно проводиться в соответствии с заблаговременно разработанными правилами и процедурами, сведёнными в playbook; в рамках снижения степени тяжести последствий инцидентов также должны быть проработаны варианты изоляции или отключения ОИИ (так называемая управляемая деградация) и установление лимитов на финансовые операции при использовании каналов дистанционного обслуживания клиентов.
«Взаимодействие с поставщиками»
Основной комплекс работ по данному направлению включает в себя минимизацию компьютерных атак со стороны инфраструктуры поставщиков услуг путём установления требований к обнаружению и предотвращению вторжений в их сетях; установление обязанностей поставщиков по прохождению аудита процессов обеспечения безопасности; проработка содержаний Соглашений об уровне оказания услуг (SLA), проработке основных и альтернативных поставщиков на случай возникновения у них кризисных ситуаций.
Также необходимо проработать вопросы технологической зависимости и диверсификации ИТ-технологий и услуг, систематическое выявление ОИИ, выпуск обновлений которых прекращён их поставщиками и по которым необходимо принять решение о продолжении или об отказе от эксплуатации и замене.
«Тестирование ОН БП и ТП»
Немаловажным также является тестирование разработанных мероприятий ОН. При этом ключевые шаги — определение возможных финансовых потерь, разработка программ по сценарному анализу и тестированию готовности организации, а также вовлечение в данный процесс топ-менеджмента организации; тестирование эффективности реагирования на инцидент ОН в соответствии с ЦВВ; включение таких сценариев, как социальная инженерия, фишинг и стресс-тестирование.
«Защита КА от угроз при удалённой работе»
Мероприятия последнего процесса хорошо знакомы всем организациям после пандемии 2020 года и заключаются в разработке модуля Плана ОНиВД в части перевода сотрудников на удалённую работу из дома; планировании пропускной способности СЗИ, реализующих удалённый доступ; обеспечении и контроле мер по «Процессу 8» ГОСТ Р 57580.1.
ЗАСЛУЖИВАЕТ ВНИМАНИЯ
Подводя итог вышесказанному, хочу отдельно выделить следующие особенности реализации требований ГОСТ:
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных