| Обозначение | ГОСТ Р 57580.3-2022 |
| Полное обозначение | ГОСТ Р 57580.3-2022 |
| Заглавие на русском языке | Безопасность финансовых (банковских) операций. Управление риском реализации информационных угроз и обеспечение операционной надежности. Общие положения |
| Заглавие на английском языке | Security of Financial (banking) Operations. Information threat risk management and ensuring operational resilience. General principles |
| Дата введения в действие | 01.02.2023 |
| Дата огр. срока действия | |
| ОКС | 03.060;35.030 |
| Код ОКП | |
| Код КГС | |
| Код ОКСТУ | |
| Индекс рубрикатора ГРНТИ | |
| Аннотация (область применения) | Настоящий стандарт определяет требования к составу и содержанию мер по управлению риском реализации информационных угроз для уровней защиты, которые применяются финансовыми организациями в рамках планирования, реализации, контроля и совершенствования системы управления таким риском, а также систем управления, определенных в рамках семейств стандартов ОН и ЗИ комплекса стандартов.
Настоящий стандарт служит для целей содействия соблюдению требований и рассматривается в качестве дополнения к нормативным актам Банка России, устанавливающим требования к системе управления операционным риском [6].
Положения настоящего стандарта предназначены для использования кредитными организациями, некредитными финансовыми организациями, указанными в части 1 статьи 76.1 Федерального закона [1].
Для отдельных субъектов национальной платежной системы – операторов услуг платежной инфраструктуры и операторов услуг информационного обмена, в целях снижения вероятности возникновения неблагоприятных последствий для бесперебойности функционирования платежной системы, а также надлежащего оказания услуг банкам и их клиентам рекомендуется применять меры, в рамках следующих процессов системы управления риском реализации информационных угроз:
- выявление и идентификация риска реализации информационных угроз, а также его оценка;
- планирование, реализация, контроль и совершенствование комплекса мероприятий, направленных на повышение эффективности управления риском информационной безопасности и уменьшение негативного влияния риска информационной безопасности (далее – мероприятий, направленных на уменьшение негативного влияния риска реализации информационных угроз);
- выявление событий риска реализации информационных угроз, в части выявления и фиксации инцидентов, в том числе обнаружения компьютерных атак и выявления фактов (индикаторов) компрометации объектов информатизации;
- обеспечение осведомленности об актуальных информационных угрозах;
- установление и реализация программ контроля и аудита, в части проведения сценарного анализа (в части возможной реализации информационных угроз) и тестирования с использованием его результатов готовности финансовой организации противостоять реализации информационных угроз.
В соответствии с положениями нормативных актов Банка России положения настоящего стандарта могут применяться иными организациями, реализующими инновационные бизнес- и технологические процессы, связанные с предоставлением финансовых, банковских услуг, в том числе услуг по осуществлению переводов денежных средств (далее при совместном упоминании – финансовые услуги) и (или) информационных услуг.
Состав мер по управлению риском реализации информационных угроз, определяемый настоящим стандартом, применим в рамках осуществления видов деятельности финансовой организации) Для кредитных организаций вместо видов деятельности следует рассматривать направления деятельности, определенные в соответствии с нормативными актами Банка России [6].), связанных с предоставления финансовых и (или) информационных услуг, в отношении элементов критичной архитектуры, идентифицируемой в рамках процесса, предусмотренного в рамках семейств стандартов ОН.
Область применения настоящего стандарта, определяющая обязанность финансовых организаций применять меры управления риском реализации информационных угроз, реализующие один из уровней защиты в рамках осуществления видов деятельности финансовой организации, связанных с осуществлением финансовых и (или) информационных услуг, устанавливается в нормативных актах Банка России путем включения нормативной ссылки на настоящий стандарт, приводимой на основании статьи 27 Федерального закона [7].
Настоящий стандарт применяется путем включения нормативных ссылок на него в нормативных актах Банка России и (или) прямого использования устанавливаемых в нем требований во внутренних документах финансовых организаций, а также в договорах |
| Ключевые слова | управление риском реализации информационных угроз и обеспечение операционной надежности, система управления риском реализации информационных угроз, уровень защиты, требования к системе управления риском реализации информационных угроз |
| Термины и определения | Раздел стандарта |
| Наличие терминов РОСТЕРМ | |
| Вид стандарта | Стандарты на процессы |
| Вид требований | |
| Дескрипторы (английский язык) | |
| Обозначение заменяемого(ых) | |
| Обозначение заменяющего | |
| Обозначение заменяемого в части | |
| Обозначение заменяющего в части | |
| Гармонизирован с: | |
| Аутентичный текст с ISO | |
| Аутентичный текст с IEC | |
| Аутентичный текст с ГОСТ | |
| Аутентичный текст с прочими | |
| Содержит требования: ISO | |
| Содержит требования: IEC | |
| Содержит требования: СЭВ | |
| Содержит требования: ГОСТ | |
| Содержит требования: прочими | |
| Нормативные ссылки на: ISO | |
| Нормативные ссылки на: IEC | |
| Нормативные ссылки на: ГОСТ | ГОСТ Р 51897;ГОСТ Р 53114;ГОСТ Р 57580.1-2017;ГОСТ Р 57580.2;ГОСТ Р 58771;ГОСТ Р 57580.4-2022;ГОСТ Р ИСО 31000;ГОСТ Р ИСО/МЭК 15408-3;ГОСТ Р ИСО/МЭК 17021-1;ГОСТ Р ИСО/МЭК 27001;ГОСТ Р ИСО/МЭК 27002;ГОСТ Р ИСО/МЭК 27005;ГОСТ Р ИСО/МЭК 27006;ГОСТ Р ИСО/МЭК 27036-2;ГОСТ Р ИСО/МЭК 27036-4 |
| Документ внесен организацией СНГ | |
| Нормативные ссылки на: Прочие | |
| Документ принят организацией СНГ | |
| Номер протокола | |
| Дата принятия в МГС | |
| Присоединившиеся страны | |
| Управление Ростехрегулирования | 1 - Управление технического регулирования и стандартизации |
| Технический комитет России | 122 - Стандарты финансовых операций |
| Разработчик МНД | |
| Межгосударственный ТК | |
| Дата последнего издания | 09.01.2023 |
| Номер(а) изменении(й) | |
| Количество страниц (оригинала) | 110 |
| Организация - Разработчик | Центральный банк Российской Федерации (Банком России) |
| Статус | Действует |
| Код цены | 5 |
| На территории РФ пользоваться | |
| Отменен в части | |
| Номер ТК за которым закреплен документ | |
| Номер приказа о закреплении документа за ТК | |
| Дата приказа о закреплении документа за ТК | |
 |