Значимость стандартов серии 57580 в цифровой трансформации

BIS Journal №1(56)2025

26 февраля, 2025

Значимость стандартов серии 57580 в цифровой трансформации

Финансовый сектор России активно переходит на цифровые технологии: растёт доля дистанционного обслуживания, появляются новые финтех-сервисы, шире используется облачная инфраструктура. Вместе с этим растут и риски в сфере информационной безопасности, что ставит перед организациями задачу обеспечения устойчивости и непрерывности бизнес-процессов.

Для решения этих вызовов разработан комплекс национальных стандартов ГОСТ Р 57580 «Безопасность финансовых (банковских) операций». Он охватывает ключевые требования к защите информации, управлению рисками и операционной надёжности. Стандарт создает единую экосистему, где каждый элемент дополняет другой, обеспечивая последовательный подход от оценки рисков до внедрения мер защиты и поддержания непрерывности бизнеса (рис. 1).

Рисунок 1. Комплекс национальных стандартов «Безопасность финансовых (банковских) операций»

 

Рисунок 2. Сроки и уровни внедрения стандартов

 

ГОСТ Р 57580.3–2022 «Управление риском реализации информационных угроз и обеспечение операционной надёжности. Общие положения» описывает систему управления рисками реализации информационных угроз (СУР РИУ), а ГОСТ Р 57580.4–2022 «Обеспечение операционной надёжности. Базовый состав организационных и технических мер» определяет системы организации, управления и обеспечения операционной надёжности, регламентируя практические аспекты, обеспечивающие устойчивость, надёжность и быстрое восстановление при сбоях или атаках. Эти стандарты также способствуют внедрению действующих положений Банка России в области управления операционным риском и надёжностью (716-П, 779-П, 787-П и другие), обеспечивая практическую поддержку бизнес-процессов. 

Реализация информационных угроз в финансовом секторе является объективной реальностью. Организации должны своевременно выявлять угрозы, снижать их вероятность, минимизировать последствия и обеспечивать оперативное восстановление в соответствии с требованиями бизнеса и законодательства. Полностью исключить риск невозможно, однако его можно свести к приемлемому уровню. Для этого в стандартах предусмотрен риск-­ориентированный подход к управлению ими. 

 

ГОСТ Р 57580.3–2022

ГОСТ Р 57580.3–2022 является ключевой частью серии стандартов ГОСТ Р 57580 «Безопасность финансовых (банковских) операций». Стандарт охватывает управление рисками, рассматривая кибербезопасность как неотъемлемую составляющую операционной надёжности и устойчивости бизнеса, и устанавливает единые подходы к управлению рисками реализации информационных угроз. Его цель — ​организовать планирование, внедрение, контроль и совершенствование системы управления рисками, повысить устойчивость финансовых организаций к киберугрозам за счёт организационных и технических мер, а также стимулировать развитие процессов операционной надёжности и защиты информации. 

Стандарт предоставляет методический каркас для управления рисками, описывает назначение, структуру и принципы построения системы, а также её интеграцию с другими стандартами из комплекса ГОСТ Р 57580. Особое внимание уделено риск-ориентированному подходу к выбору мер управления информационными угрозами. В документе представлен перечень направлений, процессов и требований, необходимых для эффективного управления такими рисками.

В восьмой главе стандарта сформулированы требования к СУР РИУ по четырём направлениям: планирование, реализация, контроль и совершенствование. По каждому направлению стандарт определяет рекомендуемые организационные (О), технические (Т) и необязательные (Н) меры. Приложения к стандарту (А–Г) содержат детализированную классификацию событий риска, а в приложениях Д–Е определены ключевые показатели управления рисками (КПУР), которые необходимо отслеживать, с указанием форматов для их представления. 

Исходная идея стандарта состоит в том, что полностью устранить ИБ-угрозы невозможно и любая организация должна быть готова постоянно противодействовать им. Главная задача — ​привести риск к уровню, приемлемому с точки зрения бизнес-стратегии и требований законодательства. Это предполагает регулярную оценку угроз, формирование политики управления рисками и использование компенсирующих мер, когда реализация «штатных» мер оказывается невозможной или слишком затратной. 

Стандарт подчёркивает, что СУР РИУ — ​неотъемлемая часть бизнес-стратегии. Управление рисками информационных угроз и обеспечение операционной надёжности выходит за рамки ответственности исключительно ИТ- или ИБ-подразделений. Важно участие руководства на самом высоком уровне, а также интеграция этой деятельности с общекорпоративной стратегией, целями и политикой управления рисками, которая должна четко определять приоритеты, уровень риск-аппетита к информационным угрозам (приемлемый уровень риска, учитывающий законодательные требования и цели компании), а также принципы распределения ответственности. 

 

ГОСТ Р 57580.4–2022

ГОСТ Р 57580.4–2022 «Обеспечение операционной надёжности. Базовый состав организационных и технических мер» представляет собой практический инструмент для формирования системного подхода к обеспечению операционной надёжности. Стандарт позволяет учитывать и выполнять как внутренние требования организации к уровню отказоустойчивости и надёжности, так и требования регулятора, с учётом уровня риска, масштаба и специфики её деятельности.

Основная задача стандарта — ​определить ориентиры по мерам, которые необходимы для защиты критичных активов (IT-систем, сетевой инфраструктуры, операционных процессов) и обеспечения непрерывности ключевых операций. Под «критичной архитектурой» в данном контексте понимается совокупность бизнес-процессов и технологических компонентов (серверы, каналы связи, приложения, базы данных), без которых финансовая организация не может выполнять основные функции и обязательства перед клиентами и партнёрами.

Стандарт определяет требования к системе обеспечения операционной надёжности, включающей восемь ключевых процессов:

  1. Идентификация критичной архитектуры.
  2. Управление изменениями.
  3. Выявление, регистрация, реагирование на инциденты и восстановление.
  4. Взаимодействие с поставщиками услуг.
  5. Тестирование операционной надёжности бизнес- и технологических процессов.
  6. Защита критичной архитектуры при дистанционной работе.
  7. Управление риском внутреннего нарушителя.
  8. Обеспечение осведомлённости об актуальных информационных угрозах.

В центре внимания стандарта — ​система организации и управления операционной надёжностью, основанная на четырёх направлениях:

Планирование: постановка целей, определение области применения и выделение ресурсов для защиты и обеспечения доступности критичных активов, бизнес-процессов и услуг.

Реализация: внедрение организационных и технических мер, обучение персонала и согласование процессов между подразделениями.

Контроль: мониторинг соблюдения правил, проведение аудитов и стресс-тестов, оценка устойчивости к новым угрозам.

Совершенствование: анализ инцидентов, корректировка политик и усовершенствование технических решений.

Как и в ГОСТ Р 57580.3, в данном Стандарте подчёркивается, что полностью исключить ИБ риски невозможно, однако их можно уменьшить до уровня, приемлемого для организации и соответствующего её риск-аппетиту. Для этого рекомендуется применять риск-ориентированный подход:

  1. Выявлять и классифицировать активы (включая IT-системы, процессы, персонал, инфраструктуру).
  2. Оценивать вероятность и последствия возможных угроз.
  3. Определять меры безопасности, приоритеты и ресурсы исходя из критичности активов и допустимого уровня риска.

 

СРОКИ И УРОВНИ ВНЕДРЕНИЯ СТАНДАРТОВ

В марте 2024 года Банк России выпустил Методические рекомендации (7-МР) [1], в которых освещаются сроки внедрения новых стандартов и уровни защиты. В документе регулятор рекомендует уже сейчас приступить к разработке плана реализации стандартов, несмотря на то, что такие планы пока не являются обязательными. Они отражены в 7-МР, но еще не закреплены в законодательных актах Банка России.

Тем не менее, предварительная подготовка позволит не только снизить риски, но и адаптироваться к новым требованиям, пока они не стали обязательными (рис. 2).

ГОСТ Р 57580 может применяться не только финансовыми организациями, но и финтех-компаниями, ИТ-аутсорсерами, а также представителями других отраслей, где требуется системный подход к управлению рисками информационных угроз и обеспечению операционной надёжности. Стандарт предусматривает три уровня защиты, позволяя адаптировать требования под конкретные условия. Минимальный уровень подходит для организаций с некритичными операциями и ограниченным объёмом деятельности. Стандартный уровень предназначен для компаний среднего и крупного масштаба с повышенными требованиями к безопасности и обеспечению непрерывности. Усиленный уровень рассчитан на системно значимых участников, сбои в деятельности которых могут привести к масштабным последствиям.

Таким образом, стандарты ГОСТ Р 57580 задают системный подход к управлению рисками информационной безопасности и операционной надёжности — как известно, банковская сфера является пионером в создании и совершенствовании систем информационной безопасности в стране и мире. Данный опыт формирования стандартов, безусловно, будет полезен и для построения регуляторики в области безопасности промышленных систем.

 

[1] Методические рекомендации по управлению риском информационной безопасности и обеспечению операционной надежности» (утв. Банком России 21.03.2024 N 7-МР)

 

Реклама. АО НИП «ИНФОРМЗАЩИТА», ИНН: 7702148410, Erid: 2Vfnxwr5SHn

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

04.07.2025
Конгрессмен рассказал агентам ФБР про кибербез (не наоборот)
04.07.2025
«Это ускорит развитие национальной платёжной инфраструктуры»
04.07.2025
«Пар»? «Ростелеком» строит свой Steam
04.07.2025
«Не будет никакой остановки». Европейский AI Act — на марше
04.07.2025
В России всё же создадут базу биометрии мошенников
03.07.2025
В Госдуме продолжают намекать на преимущества импортозамещения
03.07.2025
Котята отрастили щупальца. Kraken целится в Apple издалека?
03.07.2025
DLBI: До конца года стилеры могут парализовать поиск «удалёнки» в РФ
03.07.2025
Международный уголовный суд подвергается атакам хакеров
03.07.2025
17% компаний выбирает ноутбуки с предустановленными отечественными ОС

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных