Операционная надёжность. Успеть за 120 минут

Операционная надёжность. Успеть за 120 минут

С 1 февраля 2023 года вводится в действие новый стандарт ГОСТ Р 57580.4-2022 «Безопасность финансовых (банковских) операций. Обеспечение операционной надёжности.

Базовый состав организационных и технических мер», который детализирует ряд требований к основным процессам обеспечения операционной надёжности финансовых организаций (ФО), закреплённых в Положениях Банка России 787-П и 779-П. В новом стандарте по аналогии с ГОСТ Р 57580.1 устанавливается три уровня защиты: 3 — «минимальный», 2 — «стандартный», 1 — «усиленный».

С выходом новых стандартов по операционной надёжности, а также по управлению рисками (ГОСТ Р 57580.3-2022) система нормативной документации для финансовых организаций охватит область управления рисками (УР) реализации информационных угроз, управления защитой информации (ЗИ) и обеспечения операционной надёжности (ОН), а также затронет элементы непрерывности бизнеса и восстановление деятельности (ОНиВД). 

СЛОЖНОСТИ ПРИ ВНЕДРЕНИИ

Изучив ГОСТ, я хотел бы отметить следующие ключевые особенности, которые, на мой взгляд, могут вызвать затруднения в процессе их реализации.

1. В ИТ-инфраструктурах и информационных системах (ИС) организаций финансовой отрасли большое количество элементов критичной архитектуры (КА), поэтому задача идентификации и отслеживания статусов их жизненного цикла весьма объёмна и требует привлечения большого количества ресурсов (кадровых, временных, финансовых, технологических).
2. В 787-П и 779-П регулятор установил довольно жёсткие временные параметры, направленные на обеспечение непревышения пороговых уровней допустимого времени деградации ТП. Многие ТП, обеспечивающие, к примеру, работу ДБО или ведение реестра участников торгов, необходимо будет восстановить в пределах 2 часов (120 минут).
3. Большая часть процессов обеспечения ОН в организациях традиционно не регламентирована, а для создания системы требуется разработка большого количества внутренней документации.
4. В отличие от специалистов по ИБ, сотрудники отделов ИТ, как правило, не горят желанием разрабатывать документацию, вести записи и отметки по процессам для кого-то, кроме себя, а это грозит привлечением дополнительных ресурсов (технических писателей).

ШЕСТЬ ОСНОВНЫХ ПРОЦЕССОВ ГОСТ

Объём данной статьи позволяет привести основные процессы ОН и тезисно описать их ключевые особенности.

«Идентификация критичной архитектуры»

В рамках данного процесса прежде всего осуществляется систематическая работа по централизованному учёту и классификации всех элементов КА, а также поддержанию в актуальном состоянии перечней, реестров: БП и ТП (в том числе переданных на аутсорсинг); составляющих их технологических участков ТП; объектов информационной инфраструктуры (ОИИ), учёта их лицензионных политик и ограничений, а также инвентарного учёта; сервисов сторонних поставщиков услуг (по моделям SaaS, PaaS, IaaS).

Вторым важным направлением работ по данному процессу является документирование и техническое описание элементов КА в стандартизированных нотациях (BPMN, IDEF0, TOGAF и т. п.), а также поддержание данной документации в актуальном состоянии.

«Управление изменениями»

В рамках данного процесса осуществляется комплекс организационных и технических работ следующего характера: планирование и управление изменениями конфигурации элементов КА; проведение анализа влияния на бизнес изменений, их приоритизации на «критичные» и «срочные», а также привлечение службы ИБ по согласованию, оценке и разработке минимизирующих риск мероприятий; протоколирование всех изменений и возможность их «отката»; разделение сред «разработки», «тестирования», «эксплуатации».

Достаточно большой объём работ в рамках данного процесса проводится в отношении управления уязвимостями и проверки обновлений ПО: сканирования; проведения пентестов; ведения реестров уязвимостей; кроме того, на этапах жизненного цикла разработки прикладного ПО применяются такие проверки безопасности, как статический и динамический анализ кода, код ревю.

«Обработка инцидентов и восстановление после них»

Работы в рамках данного процесса являются самыми объёмными с точки зрения инженерных работ ИТ- и ИБ-специалистов. По каждому из направлений необходим расчёт и установление целевых показателей: реагирования, восстановления, анализа свидетельств и комплексный показатель эффективности реагирования и восстановления, с целевым временем восстановления (ЦВВ) и целевой точкой восстановления данных (ЦТВД).

Мониторинг и фиксация технических данных о событиях реализации информационных угроз выстраивается в соответствии с ГОСТ Р 57580.1 по принципу «эшелонированной обороны».

Реагирование на инциденты в отношении КА должно проводиться в соответствии с заблаговременно разработанными правилами и процедурами, сведёнными в playbook; в рамках снижения степени тяжести последствий инцидентов также должны быть проработаны варианты изоляции или отключения ОИИ (так называемая управляемая деградация) и установление лимитов на финансовые операции при использовании каналов дистанционного обслуживания клиентов.

«Взаимодействие с поставщиками»

Основной комплекс работ по данному направлению включает в себя минимизацию компьютерных атак со стороны инфраструктуры поставщиков услуг путём установления требований к обнаружению и предотвращению вторжений в их сетях; установление обязанностей поставщиков по прохождению аудита процессов обеспечения безопасности; проработка содержаний Соглашений об уровне оказания услуг (SLA), проработке основных и альтернативных поставщиков на случай возникновения у них кризисных ситуаций.

Также необходимо проработать вопросы технологической зависимости и диверсификации ИТ-технологий и услуг, систематическое выявление ОИИ, выпуск обновлений которых прекращён их поставщиками и по которым необходимо принять решение о продолжении или об отказе от эксплуатации и замене.

«Тестирование ОН БП и ТП»

Немаловажным также является тестирование разработанных мероприятий ОН. При этом ключевые шаги — определение возможных финансовых потерь, разработка программ по сценарному анализу и тестированию готовности организации, а также вовлечение в данный процесс топ-менеджмента организации; тестирование эффективности реагирования на инцидент ОН в соответствии с ЦВВ; включение таких сценариев, как социальная инженерия, фишинг и стресс-тестирование. 

«Защита КА от угроз при удалённой работе»

Мероприятия последнего процесса хорошо знакомы всем организациям после пандемии 2020 года и заключаются в разработке модуля Плана ОНиВД в части перевода сотрудников на удалённую работу из дома; планировании пропускной способности СЗИ, реализующих удалённый доступ; обеспечении и контроле мер по «Процессу 8» ГОСТ Р 57580.1.

ЗАСЛУЖИВАЕТ ВНИМАНИЯ

Подводя итог вышесказанному, хочу отдельно выделить следующие особенности реализации требований ГОСТ:

1. Многие меры ОН пересекаются с мерами ЗИ ГОСТ Р 57580.1, а в ряде случаев имеет место прямое указание, следовательно, необходимо проверить полноту и качество их выполнения в ФО.
2. Необходимо пересмотреть стек имеющихся в организации ИТ-технологий и ИС на предмет обеспечения временных параметров пороговых уровней из 787-П и 779-П и рассчитать по ним ряд целевых показателей.
3. Также можно отметить, что для принятия ключевых решений в отношении проработки альтернативных поставщиков и технологической зависимости необходимо привлекать топ-менеджмент организации.
4. Для кредитных организаций также необходимо учесть особенности обработки инцидентов ОН в составе «Базы событий» в соответствии с требованиями 716-П, она должна быть дополнена уникальными полями.
5. Стоит отметить, что эффективно управлять ОН в режиме «бумажной» документации крайне затруднительно. Организациям требуется заранее заложить подходы, позволяющие реализовывать процессы ОН в «электронном» виде в существующих корпоративных информационных системах согласно 63-ФЗ «Об электронной подписи».