Значимость стандартов серии 57580 в цифровой трансформации

Финансовый сектор России активно переходит на цифровые технологии: растёт доля дистанционного обслуживания, появляются новые финтех-сервисы, шире используется облачная инфраструктура. Вместе с этим растут и риски в сфере информационной безопасности, что ставит перед организациями задачу обеспечения устойчивости и непрерывности бизнес-процессов.

Для решения этих вызовов разработан комплекс национальных стандартов ГОСТ Р 57580 «Безопасность финансовых (банковских) операций». Он охватывает ключевые требования к защите информации, управлению рисками и операционной надёжности. Стандарт создает единую экосистему, где каждый элемент дополняет другой, обеспечивая последовательный подход от оценки рисков до внедрения мер защиты и поддержания непрерывности бизнеса (рис. 1).

Рисунок 1. Комплекс национальных стандартов «Безопасность финансовых (банковских) операций»

Рисунок 2. Сроки и уровни внедрения стандартов

ГОСТ Р 57580.3–2022 «Управление риском реализации информационных угроз и обеспечение операционной надёжности. Общие положения» описывает систему управления рисками реализации информационных угроз (СУР РИУ), а ГОСТ Р 57580.4–2022 «Обеспечение операционной надёжности. Базовый состав организационных и технических мер» определяет системы организации, управления и обеспечения операционной надёжности, регламентируя практические аспекты, обеспечивающие устойчивость, надёжность и быстрое восстановление при сбоях или атаках. 

Эти стандарты также способствуют внедрению действующих положений Банка России в области управления операционным риском и надёжностью (716-П, 779-П, 787-П и другие), обеспечивая практическую поддержку бизнес-процессов.

Реализация информационных угроз в финансовом секторе является объективной реальностью. Организации должны своевременно выявлять угрозы, снижать их вероятность, минимизировать последствия и обеспечивать оперативное восстановление в соответствии с требованиями бизнеса и законодательства. Полностью исключить риск невозможно, однако его можно свести к приемлемому уровню. Для этого в стандартах предусмотрен риск-¬ориентированный подход к управлению ими.

ГОСТ Р 57580.3–2022

Является ключевой частью серии стандартов ГОСТ Р 57580 «Безопасность финансовых (банковских) операций». Стандарт охватывает управление рисками, рассматривая кибербезопасность как неотъемлемую составляющую операционной надёжности и устойчивости бизнеса, и устанавливает единые подходы к управлению рисками реализации информационных угроз. Его цель — организовать планирование, внедрение, контроль и совершенствование системы управления рисками, повысить устойчивость финансовых организаций к киберугрозам за счёт организационных и технических мер, а также стимулировать развитие процессов операционной надёжности и защиты информации.

Стандарт предоставляет методический каркас для управления рисками, описывает назначение, структуру и принципы построения системы, а также её интеграцию с другими стандартами из комплекса ГОСТ Р 57580. Особое внимание уделено риск-ориентированному подходу к выбору мер управления информационными угрозами. В документе представлен перечень направлений, процессов и требований, необходимых для эффективного управления такими рисками.

В восьмой главе стандарта сформулированы требования к СУР РИУ по четырём направлениям: планирование, реализация, контроль и совершенствование. По каждому направлению стандарт определяет рекомендуемые организационные (О), технические (Т) и необязательные (Н) меры. Приложения к стандарту (А–Г) содержат детализированную классификацию событий риска, а в приложениях Д–Е определены ключевые показатели управления рисками (КПУР), которые необходимо отслеживать, с указанием форматов для их представления.

Исходная идея стандарта состоит в том, что полностью устранить ИБ-угрозы невозможно и любая организация должна быть готова постоянно противодействовать им. Главная задача — привести риск к уровню, приемлемому с точки зрения бизнес-стратегии и требований законодательства. Это предполагает регулярную оценку угроз, формирование политики управления рисками и использование компенсирующих мер, когда реализация «штатных» мер оказывается невозможной или слишком затратной.

Стандарт подчёркивает, что СУР РИУ — неотъемлемая часть бизнес-стратегии. Управление рисками информационных угроз и обеспечение операционной надёжности выходит за рамки ответственности исключительно ИТ- или ИБ-подразделений. Важно участие руководства на самом высоком уровне, а также интеграция этой деятельности с общекорпоративной стратегией, целями и политикой управления рисками, которая должна четко определять приоритеты, уровень риск-аппетита к информационным угрозам (приемлемый уровень риска, учитывающий законодательные требования и цели компании), а также принципы распределения ответственности.

ГОСТ Р 57580.4–2022

«Обеспечение операционной надёжности. Базовый состав организационных и технических мер» представляет собой практический инструмент для формирования системного подхода к обеспечению операционной надёжности. Стандарт позволяет учитывать и выполнять как внутренние требования организации к уровню отказоустойчивости и надёжности, так и требования регулятора, с учётом уровня риска, масштаба и специфики её деятельности.

Основная задача стандарта — определить ориентиры по мерам, которые необходимы для защиты критичных активов (IT-систем, сетевой инфраструктуры, операционных процессов) и обеспечения непрерывности ключевых операций. Под «критичной архитектурой» в данном контексте понимается совокупность бизнес-процессов и технологических компонентов (серверы, каналы связи, приложения, базы данных), без которых финансовая организация не может выполнять основные функции и обязательства перед клиентами и партнёрами.

Стандарт определяет требования к системе обеспечения операционной надёжности, включающей восемь ключевых процессов:

1. Идентификация критичной архитектуры.
2. Управление изменениями.
3. Выявление, регистрация, реагирование на инциденты и восстановление.
4. Взаимодействие с поставщиками услуг.
5. Тестирование операционной надёжности бизнес- и технологических процессов.
6. Защита критичной архитектуры при дистанционной работе.
7. Управление риском внутреннего нарушителя.
8. Обеспечение осведомлённости об актуальных информационных угрозах.

В центре внимания стандарта — система организации и управления операционной надёжностью, основанная на четырёх направлениях:

• Планирование: постановка целей, определение области применения и выделение ресурсов для защиты и обеспечения доступности критичных активов, бизнес-процессов и услуг.
• Реализация: внедрение организационных и технических мер, обучение персонала и согласование процессов между подразделениями.
• Контроль: мониторинг соблюдения правил, проведение аудитов и стресс-тестов, оценка устойчивости к новым угрозам.
• Совершенствование: анализ инцидентов, корректировка политик и усовершенствование технических решений.

Как и в ГОСТ Р 57580.3, в данном Стандарте подчёркивается, что полностью исключить ИБ риски невозможно, однако их можно уменьшить до уровня, приемлемого для организации и соответствующего её риск-аппетиту. Для этого рекомендуется применять риск-ориентированный подход:

1. Выявлять и классифицировать активы (включая IT-системы, процессы, персонал, инфраструктуру).
2. Оценивать вероятность и последствия возможных угроз.
3. Определять меры безопасности, приоритеты и ресурсы исходя из критичности активов и допустимого уровня риска.

Сроки и уровни внедрения стандартов

В марте 2024 года Банк России выпустил Методические рекомендации (7-МР) [1], в которых освещаются сроки внедрения новых стандартов и уровни защиты. В документе регулятор рекомендует уже сейчас приступить к разработке плана реализации стандартов, несмотря на то, что такие планы пока не являются обязательными. Они отражены в 7-МР, но еще не закреплены в законодательных актах Банка России.

Тем не менее, предварительная подготовка позволит не только снизить риски, но и адаптироваться к новым требованиям, пока они не стали обязательными (рис. 2).

ГОСТ Р 57580 может применяться не только финансовыми организациями, но и финтех-компаниями, ИТ-аутсорсерами, а также представителями других отраслей, где требуется системный подход к управлению рисками информационных угроз и обеспечению операционной надёжности. Стандарт предусматривает три уровня защиты, позволяя адаптировать требования под конкретные условия. Минимальный уровень подходит для организаций с некритичными операциями и ограниченным объёмом деятельности. Стандартный уровень предназначен для компаний среднего и крупного масштаба с повышенными требованиями к безопасности и обеспечению непрерывности. Усиленный уровень рассчитан на системно значимых участников, сбои в деятельности которых могут привести к масштабным последствиям.

Таким образом, стандарты ГОСТ Р 57580 задают системный подход к управлению рисками информационной безопасности и операционной надёжности — как известно, банковская сфера является пионером в создании и совершенствовании систем информационной безопасности в стране и мире. Данный опыт формирования стандартов, безусловно, будет полезен и для построения регуляторики в области безопасности промышленных систем.

[1] Методические рекомендации по управлению риском информационной безопасности и обеспечению операционной надежности» (утв. Банком России 21.03.2024 N 7-МР).