ГОСТ Р 57580.3-2022 Безопасность финансовых (банковских) операций. Управление риском реализации информационных угроз и обеспечение операционной надежности. Общие положения

ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ТЕХНИЧЕСКОМУ РЕГУЛИРОВАНИЮ И МЕТРОЛОГИИ

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

Безопасность финансовых (банковских) операций

УПРАВЛЕНИЕ РИСКОМ РЕАЛИЗАЦИИ ИНФОРМАЦИОННЫХ УГРОЗ И ОБЕСПЕЧЕНИЕ ОПЕРАЦИОННОЙ НАДЕЖНОСТИ

Общие положения

Издание официальное

Москва Российский институт стандартизации 2023

Предисловие

• 1 РАЗРАБОТАН Центральным банком Российской Федерации (Банком России)

• 2 ВНЕСЕН Техническим комитетом по стандартизации ТК 122 «Стандарты финансовых операций»

• 3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 22 декабря 2022 г. № 1548-ст

• 4 ВВЕДЕН ВПЕРВЫЕ

Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. № 162-ФЗ «О стандартизации в Российской Федерации». Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе «Национальные стандарты», а официальный текст изменений и поправок — в ежемесячном информационном указателе «Национальные стандарты». В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя «Национальные стандарты». Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования — на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.rst.gov.ru)

© Оформление. ФГБУ «Институт стандартизации», 2023

Настоящий стандарт не может быть полностью или частично воспроизведен, тиражирован и распространен в качестве официального издания без разрешения Федерального агентства по техническому регулированию и метрологии

II

Содержание

• 1 Область применения

• 2 Нормативные ссылки

• 3 Термины и определения

• 4 Сокращения

• 5 Назначение и структура стандарта

• 6 Общие положения

• 7 Состав направлений, процессов и требований, определяемый комплексом стандартов

• 8 Требования к системе управления риском реализации информационных угроз

• 8.1 Общие положения

• 8.2 Направление 1 «Планирование системы управления риском реализации информационных угроз»

• 8.3 Направление 2 «Реализация системы управления риском реализации информационных угроз»

• 8.4 Направление 3 «Контроль системы управления риском реализации информационных угроз» .54

• 8.5 Направление 4 «Совершенствование системы управления риском реализации информационных угроз»

Приложение А (обязательное) Классификация событий риска реализации информационных угроз с точки зрения источников риска

Приложение Б (обязательное) Классификация событий риска реализации информационных угроз и событий операционной надежности с точки зрения типов событий реализации информационных угроз

Приложение В (обязательное) Классификация событий риска реализации информационных угроз в разрезе видов (направлений) деятельности финансовых организаций

Приложение Г (обязательное) Классификация событий риска реализации информационных угроз в разрезе видов потерь от реализации риска

Приложение Д (обязательное) Состав КПУР для кредитных организаций

Приложение Е (обязательное) Состав КПУР для некредитных финансовых организаций

Библиография

Введение

Развитие и укрепление банковской системы Российской Федерации, развитие и обеспечение стабильности финансового рынка Российской Федерации и национальной платежной системы являются целями деятельности Банка России [1]. Одним из условий достижения этих целей является должная реализация процессов управления операционным риском, связанным с реализацией информационных угроз (далее — риск реализации информационных угроз), и обеспечение операционной надежности в условиях возможной реализации информационных угроз (далее — операционная надежность) в организациях финансового сектора — кредитных организациях, некредитных финансовых организациях Российской Федерации, а также субъектах национальной платежной системы¹) (далее при совместном упоминании — финансовые организации), финансовых объединениях и экосистемах.

Негативные последствия от реализации информационных угроз в отдельных финансовых организациях, в том числе связанные с нарушением операционной надежности, в определенных случаях могут привести к быстрому развитию системного кризиса финансовых объединений и экосистем, а также банковской системы, финансового рынка Российской Федерации и (или) национальной платежной системы (далее при совместном упоминании — финансовая система), нанести существенный ущерб интересам собственников и многих клиентов финансовых организаций. Поэтому в условиях цифровой трансформации и ускоренного внедрения финансовыми организациями информационных и инновационных финансовых технологий управление риском реализации информационных угроз и обеспечение операционной надежности становятся для финансовых организаций важным аспектом их деятельности.

Надлежащее управление риском реализации информационных угроз и обеспечение операционной надежности наиболее актуально в рамках деятельности инфраструктурных организаций финансового рынка^{1 2}), а также платежных систем, признанных значимыми в соответствии с нормативными актами Банка России [3]. Деятельность таких организаций ввиду их значимости и масштабов, сопровождается концентрацией на них множества рисков. Поэтому в отсутствие надлежащего управления рисками, включающего управление риском реализации информационных угроз, инфраструктурные организации финансового рынка и значимые платежные системы могут являться источниками и основным каналом распространения значимых в рамках финансовой системы рисков. В этой связи уровень обеспечения операционной надежности таких организаций может стать одним из решающих факторов для устойчивого функционирования финансовой системы [4].

Управление риском реализации информационных угроз для цели обеспечения операционной надежности в финансовых организациях является частью процесса управления операционным риском. При этом важно учитывать, что специфичные факторы, обусловленные возможностью реализации информационных угроз, в частности компьютерных атак, ставят новые задачи перед традиционными подходами к управлению операционным риском в финансовых организациях.

Следование принципу обеспечения «трех линий защиты», предполагающему выполнение действий в рамках непосредственного управления риском реализации информационных угроз «первой линией защиты», определение методологии, а также ее валидацию «второй линией защиты» и независимую оценку «третьей линией защиты», способствует интеграции системы управления таким риском в систему управления риском финансовой организации, в частности, систему управления операционным риском финансовой организации при ее наличии.

Одной из особенностей риска реализации информационных угроз является возможность применения нарушителем безопасности информации новых, ранее неизвестных сценариев реализации информационных угроз, в первую очередь, компьютерных атак путем скрытных, целенаправленных умышленных действий, которые в отличие от большинства других источников операционного риска вызывают трудности при их выявлении, устранении негативных последствий и установлении конечных масштабов негативного воздействия.

Разнообразный набор сценариев реализации компьютерных атак, создающих риск реализации

информационных угроз, также осложняет управление таким риском. В результате наличия взаимосвязей и (или) взаимозависимостей между финансовыми организациями в рамках совместного выполнения отдельных бизнес- и технологических процессов, связанных с предоставлением финансовых и (или) информационных услуг, реализация компьютерных атак путем эксплуатации уязвимостей отдельных участников таких процессов может оказать негативное влияние на функционирование финансового объединения, финансовой экосистемы или финансовой системы в целом. При этом инфраструктурные организации финансового рынка могут послужить каналом для дальнейшего широкого распространения воздействия от реализации информационных угроз, в том числе компьютерных атак, например, вследствие распространения вредоносного кода среди организаций, с которыми они осуществляют взаимодействие.

Риск реализации информационных угроз, присущий взаимодействию финансовой организации с причастными сторонами, не обязательно связан со степенью их значимости. Любая финансовая организация может являться источником такого же риска реализации информационных угроз, как системно значимые финансовые организации, в случае если финансовая организация осуществляет активное взаимодействие с широким кругом участников финансовой системы, в том числе в рамках финансового объединения или экосистемы.

Среди возможных и наиболее опасных следует выделять сценарии реализации информационных угроз в результате действий внутреннего нарушителя безопасности информации. Реализация информационных угроз при таких сценариях может быть обусловлена как халатным отношением работников финансовой организации к соблюдению установленных требований к защите информации и обеспечению операционной надежности, так и совершением умышленных действий, в том числе по предварительному сговору с внешними участниками, приводящих к нарушению таких требований.

Компьютерные атаки могут обладать характеристиками скрытного и быстрого распространения, обусловленного наличием взаимосвязей и (или) взаимозависимостей в рамках информационного взаимодействия между объектами информатизации, а также быть связаны с эксплуатацией ранее неизвестных уязвимостей объектов информатизации и протоколов взаимодействия, а их реализация, в свою очередь, может приводить к нарушению функционирования объектов информатизации и (или) проникновению во внутренние вычислительные сети финансовых организаций, в том числе инфраструктурных организаций финансового рынка. Компьютерные атаки, связанные с эксплуатацией таких уязвимостей, нередко оказываются успешными несмотря на принятые меры защиты информации. Уменьшению негативного влияния в таком случае способствуют соответствующие меры, направленные на оперативное выявление, реагирование и восстановление функционирования бизнес- и технологических процессов и объектов информатизации после таких атак [4], [5].

Основными целями настоящего стандарта являются:

• - определение перечня процессов системы управления риском реализации информационных угроз;

• - определение требований к составу и содержанию мер по управлению риском реализации информационных угроз для уровней защиты, которые применяются финансовыми организациями в рамках планирования, реализации, контроля и совершенствования системы управления таким риском, а также систем управления, определенных в рамках семейства стандартов «Обеспечение операционной надежности» (далее — семейство стандартов ОН) и семейства стандартов «Защита информации финансовых организаций» (семейство стандартов ЗИ) комплекса национальных стандартов «Безопасность финансовых (банковских) операций»¹)) (далее — комплекс стандартов).

• - обеспечение возможности эффективного и стандартизированного контроля процессов системы управления риском реализации информационных угроз, а также систем управления, определенных в рамках семейств стандартов ОН и ЗИ комплекса стандартов. ^{3 4}

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

Безопасность финансовых (банковских) операций

УПРАВЛЕНИЕ РИСКОМ РЕАЛИЗАЦИИ ИНФОРМАЦИОННЫХ УГРОЗ И ОБЕСПЕЧЕНИЕ ОПЕРАЦИОННОЙ НАДЕЖНОСТИ

Общие положения

Security of financial (banking) operations.

Information threat risk management and ensuring operational resilience. General principles

Дата введения — 2023—02—01

• 1 Область применения

Настоящий стандарт определяет требования к составу и содержанию мер по управлению риском реализации информационных угроз для уровней защиты, которые применяются финансовыми организациями в рамках планирования, реализации, контроля и совершенствования системы управления таким риском, а также систем управления, определенных в рамках семейств стандартов ОН и ЗИ комплекса стандартов.

Настоящий стандарт служит для целей содействия соблюдению требований и рассматривается в качестве дополнения к нормативным актам Банка России, устанавливающим требования к системе управления операционным риском [6].

Положения настоящего стандарта предназначены для использования кредитными организациями, некредитными финансовыми организациями, указанными в части 1 статьи 76.1 Федерального закона [1].

Для отдельных субъектов национальной платежной системы — операторов услуг платежной инфраструктуры и операторов услуг информационного обмена, в целях снижения вероятности возникновения неблагоприятных последствий для бесперебойности функционирования платежной системы, а также надлежащего оказания услуг банкам и их клиентам рекомендуется применять меры в рамках следующих процессов системы управления риском реализации информационных угроз:

• - выявление и идентификация риска реализации информационных угроз, а также его оценка;

• - планирование, реализация, контроль и совершенствование комплекса мероприятий, направленных на повышение эффективности управления риском информационной безопасности и уменьшение негативного влияния риска информационной безопасности (далее — мероприятий, направленных на уменьшение негативного влияния риска реализации информационных угроз);

• - выявление событий риска реализации информационных угроз в части выявления и фиксации инцидентов, в том числе обнаружения компьютерных атак и выявления фактов (индикаторов) компрометации объектов информатизации;

• - обеспечение осведомленности об актуальных информационных угрозах;

• - установление и реализация программ контроля и аудита в части проведения сценарного анализа (в части возможной реализации информационных угроз) и тестирования с использованием его результатов готовности финансовой организации противостоять реализации информационных угроз.

В соответствии с положениями нормативных актов Банка России положения настоящего стандарта могут применяться иными организациями, реализующими инновационные бизнес- и технологические процессы, связанные с предоставлением финансовых, банковских услуг, в том числе услуг по осуществлению переводов денежных средств (далее при совместном упоминании — финансовые услуги) и (или) информационных услуг.

Издание официальное

Состав мер по управлению риском реализации информационных угроз, определяемый настоящим стандартом, применим в рамках осуществления видов деятельности финансовой организации⁵), связанных с предоставления финансовых и (или) информационных услуг, в отношении элементов критичной архитектуры, идентифицируемой в рамках процесса, предусмотренного в рамках семейств стандартов ОН.

Область применения настоящего стандарта, определяющая обязанность финансовых организаций применять меры управления риском реализации информационных угроз, реализующие один из уровней защиты в рамках осуществления видов деятельности финансовой организации, связанных с осуществлением финансовых и (или) информационных услуг, устанавливается в нормативных актах Банка России путем включения нормативной ссылки на настоящий стандарт, приводимой на основании статьи 27 Федерального закона [7].

Настоящий стандарт применяется путем включения нормативных ссылок на него в нормативных актах Банка России и (или) прямого использования устанавливаемых в нем требований во внутренних документах финансовых организаций, а также в договорах.

• 2 Нормативные ссылки

В настоящем стандарте использованы нормативные ссылки на следующие стандарты:

ГОСТ Р 51897/Руководство ИСО 73:2009 Менеджмент риска. Термины и определения

ГОСТ Р 53114 Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения

ГОСТ Р 57580.1—2017 Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер

ГОСТ Р 57580.2 Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия

ГОСТ Р 58771 Менеджмент риска. Технологии оценки риска

ГОСТ Р 57580.4—2022 Безопасность финансовых (банковских) операций. Обеспечение операционной надежности. Базовый состав организационных и технических мер

ГОСТ Р ИСО 31000 Менеджмент риска. Принципы и руководство

ГОСТ Р ИСО/МЭК 15408-3 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Компоненты доверия к безопасности

ГОСТ Р ИСО/МЭК 17021-1 Оценка соответствия. Требования к органам, проводящим аудит и сертификацию систем менеджмента. Часть 1. Требования

ГОСТ Р ИСО/МЭК 27001 Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования

ГОСТ Р ИСО/МЭК 27002 Информационные технологии. Методы и средства обеспечения безопасности. Свод норм и правил применения мер обеспечения информационной безопасности

ГОСТ Р ИСО/МЭК 27005 Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности

ГОСТ Р ИСО/МЭК 27006 Информационные технологии. Методы и средства обеспечения безопасности. Требования к органам, осуществляющим аудит и сертификацию систем менеджмента информационной безопасности

ГОСТ Р ИСО/МЭК 27036-2 Информационные технологии. Методы и средства обеспечения безопасности. Информационная безопасность во взаимоотношениях с поставщиками. Часть 2. Требования

ГОСТ Р ИСО/МЭК 27036-4 Информационные технологии. Методы и средства обеспечения безопасности. Информационная безопасность во взаимоотношениях с поставщиками. Часть 4. Рекомендации по обеспечению безопасности облачных услуг

Примечание — При пользовании настоящим стандартом целесообразно проверить действие ссылочных стандартов в информационной системе общего пользования — на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет или по ежегодному информационному указателю «Национальные стандарты», который опубликован по состоянию на 1 января текущего года, и по выпускам ежемесячного информационного указателя «Национальные стандарты» за текущий год. Если заменен ссылочный стандарт, на который дана недатированная ссылка, то рекомендуется использовать действующую версию этого стандарта с учетом всех внесенных в данную версию изменений. Если заменен ссылочный стандарт, на который дана датированная ссылка, то рекомендуется использовать версию этого стандарта с указанным выше годом утверждения (принятия). Если после утверждения настоящего стандарта в ссылочный стандарт, на который дана датированная ссылка, внесено изменение, затрагивающее положение, на которое дана ссылка, то это положение рекомендуется применять без учета данного изменения. Если ссылочный стандарт отменен без замены, то положение, в котором дана ссылка на него, рекомендуется применять в части, не затрагивающей эту ссылку.

• 3 Термины и определения

В настоящем стандарте применены следующие термины с соответствующими определениями:

• 3.1 бизнес-процесс и (или) технологический процесс финансовой организации; бизнес- и технологический процесс: Набор взаимосвязанных операций, в том числе технических, в отношении активов финансовой организации или информации и (или) объектов информатизации, используемых при осуществлении финансовой организацией видов деятельности, связанных с предоставлением финансовых и (или) информационных услуг.

Примечание — Адаптировано из ГОСТ Р 57580.1.

• 3.2 объект информатизации (прикладного и инфраструктурного уровней финансовой организации); объект информационной инфраструктуры: Совокупность объектов и ресурсов доступа, средств и систем обработки информации, используемых для обеспечения информатизации бизнес- и технологических процессов финансовой организации, используемых для предоставления финансовых и (или) информационных услуг.

Примечание — Адаптировано из ГОСТ Р 57580.1.

• 3.3 критичный актив: Объект информатизации, субъект доступа, а также защищаемая информация¹), подготавливаемая, передаваемая, обрабатываемая и (или) хранимая в рамках выполнения бизнес- и технологических процессов, воздействие на которые и (или) нарушение функционирования которых может привести к превышению пороговых значений контрольных показателей уровня риска реализации информационных угроз^{6 7}) и целевых показателей операционной надежности.

• 3.4 информационная угроза; угроза безопасности информации: Совокупность условий и факторов, побуждающих клиента финансовой организации к осуществлению финансовых (банковских) операций, в том числе операций по переводу денежных средств путем обмана или злоупотреблением доверием, и (или) создающих возможность нарушения безопасности информации, вызывающую или способную вызвать негативные последствия (включая нарушение операционной надежности) для финансовой организации, причастных сторон, в том числе клиентов финансовой организации.

Примечания

• 1 Адаптировано из ГОСТ Р 53114.

• 2 К негативным последствиям реализации информационных угроз относятся:

возникновение потерь финансовой организации, причастных сторон, в том числе клиентов финансовой организации, а также иных третьих лиц;

нарушение операционной надежности финансовой организации;

невыполнение обязательств по обеспечению защиты интересов клиентов финансовой организации;

несоблюдение требований законодательства Российской Федерации в области защиты информации, устанавливаемых на основании статей 57.4 и 76.4-1 Федерального закона [1], части 3 статьи 27 Федерального закона [11], а также устанавливаемых статьей 19 Федерального закона [12], статьей 16 Федерального закона [13] и Федеральным законом [14].

• 3 Киберугрозы являются одним из видов информационных угроз.

  • 3.5 источник риска реализации информационных угроз: Объект или деятельность, которые самостоятельно или в комбинации с другими обладают возможностью вызывать или повышать уровень риска реализации информационных угроз.

Примечание — Адаптировано из ГОСТ Р ИСО 31000.

• 3.6 компьютерная атака: Вид информационной угрозы, заключающейся в преднамеренных действиях со стороны работников финансовой организации и (или) третьих лиц с использованием программных и (или) программно-аппаратных средств, в том числе штатных, направленных на критичные активы.

• 3.7 уязвимость: Недостаток применения технологических мер защиты информации, применяемых объектов информатизации прикладного уровня, недостаток планирования, реализации, контроля и совершенствования процессов управления риском реализации информационных угроз, обеспечения операционной надежности и (или) защиты информации, эксплуатация которого позволяет нарушителю безопасности информации реализовать информационные угрозы в отношении критичных активов.

• 3.8 риск реализации информационных угроз; информационной безопасности: Возможность реализации информационных угроз (в совокупности с последствиями от их реализации), которые обусловлены недостатками процессов обеспечения операционной надежности и защиты информации, в том числе проведения технологических и других мероприятий, недостатками прикладного программного обеспечения автоматизированных систем и приложений, а также несоответствием указанных процессов деятельности финансовой организации.

Примечание — Риск реализации информационных угроз включает в себя:

киберриск — риск преднамеренных действий со стороны работников финансовой организации и (или) третьих лиц с использованием программных и (или) программно-аппаратных средств, направленных на объекты информатизации финансовой организации в целях нарушения и (или) прекращения их функционирования и (или) создания угрозы безопасности информации, подготавливаемой, обрабатываемой и хранимой такими объектами, а также в целях несанкционированного присвоения, хищения, изменения, удаления данных и иной информации (структуры данных, параметров и характеристик систем, программного кода) и нарушения режима доступа;

другие виды риска реализации информационных угроз, связанные с обработкой (хранением, уничтожением) информации без использования объектов информатизации, а также связанные со случаями побуждения клиентов финансовой организации к осуществлению финансовых (банковских) операций, в том числе операций по переводу денежных средств путем обмана или злоупотребления доверием (методов социальной инженерии), которые привели и (или) могут привести к случаям мошенничества и (или) кражи с банковского счета в отношении клиентов финансовой организации.

• 3.9 ключевой индикатор риска реализации информационных угроз; КИР: Количественный показатель, используемый для оперативного измерения и контроля уровня риска реализации информационных угроз в определенный момент времени.

• 3.10 контрольный показатель уровня риска реализации информационных угроз; контрольный показатель риска информационной безопасности; КПУР: Количественный или качественный показатель, определяемый во внутренних документах финансовой организации на плановый годовой период в целях контроля за уровнем риска реализации информационных угроз.

• 3.11 сигнальное значение КПУР: Предельное значение, нарушение которого является сигналом о необходимости ежедневного мониторинга значений и оперативной реализации мер, направленных на снижение риска реализации информационных угроз.

• 3.12 контрольное значение КПУР: Предельное значение, нарушение которого является сигналом о необходимости принятия действий в рамках корпоративного управления, в том числе в рамках системы управления риском финансовой организации, таких как информирование совета директоров (наблюдательного совета), изменение политики управления риском реализации информационных угроз.

• 3.13 инцидент (связанный с реализацией информационных угроз): Одно или серия связанных нежелательных событий, связанных с возможной реализацией информационных угроз, которые указывают на свершившуюся, предпринимаемую или вероятную реализацию информационных угроз.

Примечания

• 1 К инцидентам, связанным с реализацией информационных угроз, относятся:

• киберинциденты — инциденты, связанные с реализацией информационных угроз, в результате компьютерных атак;

другие инциденты, связанные с реализацией информационных угроз при обработке (хранении, уничтожении) информации без использования объектов информатизации, а также связанные со случаями побуждения клиентов финансовой организации к осуществлению финансовых (банковских) операций, в том числе операций по переводу денежных средств путем обмана или злоупотребления доверием (методов социальной инженерии), которые привели и (или) могут привести к фактам мошенничества и (или) кражи с банковского счета в отношении клиентов финансовой организации.

• 2 Адаптировано из ГОСТ Р 57580.1.

• 3.14 событие, связанное с возможной реализацией информационных угроз; событие реализации информационных угроз: Идентифицированное возникновение и (или) изменение состояния объектов информатизации финансовой организации, действия работников финансовой организации и (или) иных лиц, указывающие на возможный инцидент, связанный с реализацией информационных угроз.

Примечание — К событиям, связанным с возможной реализацией информационных угроз, относятся: киберсобытия — события реализации информационных угроз, указывающие на возможный киберинцидент; другие события реализации информационных угроз, указывающие на возможный инцидент, связанный с реализацией информационных угроз при обработке (хранении, уничтожении) информации без использования объектов информатизации, а также указывающие на возможный инцидент, связанный со случаями побуждения клиентов финансовой организации к осуществлению финансовых (банковских) операций, в том числе операций по переводу денежных средств путем обмана или злоупотребления доверием (методов социальной инженерии), которые привели и (или) могут привести к фактам мошенничества и (или) кражи с банковского счета в отношении клиентов финансовой организации.

• 3.15 событие риска (реализации информационных угроз); событие риска информационной безопасности: Инцидент, связанный с реализацией информационных угроз, который привел к фактической реализации риска реализации информационных угроз, вследствие чего возникли прямые и непрямые потери финансовой организации.

• 3.16 управление риском реализации информационных угроз: Скоординированные действия по руководству и управлению деятельностью финансовой организации и взаимодействию с причастными сторонами в связи с риском реализации информационных угроз.

Примечания

• 1 Адаптировано из ГОСТ Р 53114.

• 2 Управление риском реализации информационных угроз в кредитных организациях должно быть направлено на общее управление рисками (в рамках системы управления рисками и капиталом), в значении, установленном нормативными актами Банка России [15].

• 3.17 система управления риском реализации информационных угроз: Совокупность процедур (процессов, требований и мер), применение которых направлено на обеспечение эффективности процессов управления риском реализации информационных угроз путем планирования, реализации, контроля и совершенствования таких процессов.

• 3.18 область применения системы управления риском реализации информационных угроз; критичная архитектура: Совокупность бизнес- и технологических процессов, критичных активов финансовой организации, включая их взаимосвязи и взаимозависимости.

• 3.19 аутсорсинг: Передача финансовой организацией на основании договора на длительный срок (например, от одного года) сторонней (внешней) организации — поставщику услуг выполнения бизнес- и технологических процессов финансовой организации, которые являются необходимыми для ее деятельности и которые в обычных условиях (без привлечения поставщика услуг) осуществлялись бы финансовой организацией самостоятельно.

• 3.20 поставщик услуг [информационных сервисов и услуг]: Обслуживающая организация, специализирующаяся на предоставлении информационных сервисов и услуг, в том числе в рамках которых финансовые организации передают выполнение своих бизнес- и технологических процессов на аутсорсинг.

Примечания

• 1 Поставщиком услуг (в том числе поставщиком облачных услуг) может выступать как аффилированное в пределах финансовой организации юридическое лицо, так и физическое или юридическое лицо, которое является внешним по отношению к финансовой организации (в том числе как потребителя облачных услуг), привлекаемым для выполнения на постоянной (непрерывной) основе определенных бизнес- и технологических процессов финансовой организации, выполнение которых в обычных условиях (без привлечения поставщика услуг) осуществлялось бы финансовой организацией самостоятельно.

• 2 Термин «поставщик облачных услуг» используется в значении, применяемом в ГОСТ Р ИСО/МЭК 27036-4.

• 3.21 уровень защиты: Определенная совокупность мер управления риском реализации информационных угроз, входящих в состав системы управления таким риском, а также мер, входящих в состав систем управления, определенных в рамках семейств стандартов ОН и ЗИ комплекса стандартов, применяемых совместно в пределах области применения указанных систем, в том числе с целью реализации положений нормативных актов Банка России.

• 3.22 технологические меры защиты информации: Меры, направленные на обеспечение безопасности технологии обработки защищаемой информации⁸).

• 3.23 клиент — потребитель финансовых и (или) информационных услуг финансовой организации; клиент финансовой организации: Юридическое или физическое лицо, являющееся конечным потребителем финансовых и (или) информационных услуг финансовой организации.

• 3.24 внешний аудит процессов обеспечения операционной надежности и защиты информации; аудит: Независимый и документируемый процесс получения свидетельств в рамках оценки уровней зрелости процессов обеспечения операционной надежности и защиты информации и соответствия уровней зрелости соответствующих процессов принятым финансовой организацией значениям КПУР, проводимый внешней, независимой по отношению к проверяемой, проверяющей организацией.

• 3.25 внутренний нарушитель (безопасности информации): Лицо, в том числе работник финансовой организации, работник поставщиков услуг, реализующее информационные угрозы с использованием легально предоставленных им прав доступа, в том числе с использованием уязвимостей.

• 3.26 риск внутреннего нарушителя: Риск реализации информационных угроз, обусловленный наличием возможности совершения действий в отношении критичных активов со стороны внутреннего нарушителя.

• 3.27 внешний нарушитель (безопасности информации): Лицо, реализующее информационные угрозы без использования легально предоставленных прав доступа, с использованием уязвимостей.

• 3.28 операционная надежность (в условиях возможной реализации информационных угроз); киберустойчивость: Способность финансовой организации обеспечивать непрерывность функционирования бизнес- и технологических процессов (3.1) с учетом целевых показателей операционной надежности в условиях возможной реализации информационных угроз.

Примечания

• 1 В настоящем стандарте рассматривается частный случай определения операционной надежности.

• 2 В настоящем стандарте термин «операционная надежность» используется в значении, определяющем свойства осуществляемых финансовой организацией видов деятельности, связанных с предоставлением финансовых и (или) информационных услуг.

• 3 .29 финансовая экосистема: Совокупность пользователей, поставщиков финансовых услуг, поставщиков услуг в сфере информационных технологий, обеспечивающих функционирование финансовой экосистемы, а также техническое и технологическое сопровождение предоставления финансовых услуг в рамках финансовой экосистемы (далее — поставщики услуг в сфере информационных технологий); политик, требований и правил, обеспечивающих доступность и безопасность предоставляемых в рамках финансовой экосистемы финансовых и (или) информационных услуг.

Примечания

• 1 Пользователь финансовой экосистемы: юридическое или физическое лицо, являющееся конечным потребителем финансовых и (или) информационных услуг, предоставляемых в рамках финансовой экосистемы;

поставщик финансовых услуг: кредитные организации, некредитные финансовые организациями, указанные в части 1 статьи 76.1 Федерального закона [1], а также отдельные субъекты национальной платежной системы, предоставляющие финансовые и (или) информационные услуги с применением информационных технологий, реализуемых в рамках финансовой экосистемы;

поставщики услуг в сфере информационных технологий: обслуживающая организация, специализирующаяся на предоставлении информационных сервисов и услуг, обеспечивающих функционирование финансовой экосистемы, а также техническое и (или) технологическое сопровождение предоставления финансовых и (или) информационных услуг в рамках финансовой экосистемы.

• 2 В большинстве случаев деятельность финансовых экосистем является значимой в рамках финансовой системы, так как распространяется на широкий круг пользователей, оказывая влияние на показатели финансовой системы, характеризующие ее экономическое состояние, стабильность, а также финансовую доступность для потребителей финансовых и (или) информационных услуг.

• 3 .30 причастная сторона (финансовой организации): Лицо, группа лиц или организация, которые могут воздействовать на риск реализации информационных угроз, подвергаться воздействию или ощущать себя подверженными воздействию такого риска в рамках взаимодействия с финансовой организацией, в том числе связанного с предоставлением финансовых и (или) информационных услуг.

Примечания

• 1 В настоящем стандарте к причастным сторонам финансовой организации следует относить клиентов финансовой организации, а также следующие организации:

• а) другие финансовые организации, участвующие в выполнении бизнес- и технологических процессов финансовой организации (включая инфраструктурные организации финансового рынка), в том числе входящие в состав финансового объединения или финансовой экосистемы;

• б) поставщики услуг (3.20), в том числе поставщики облачных услуг, а также организации, осуществляющие поставку программных и (или) аппаратных продуктов, в том числе разрабатываемых по заказу;

• в) иные контрагенты финансовой организации: поставщики коммунальных услуг, поставщики телекоммуникационных услуг общего пользования.

• 2 Адаптировано из ГОСТ 51897.

• 3.31 служба информационной безопасности; служба ИБ: Специализированное подразделение (работники), ответственное (ответственные) за организацию и контроль обеспечения безопасности информации.

• 3.32 центры компетенции: Подразделения финансовой организации, осуществляющие в рамках системы управления риском реализации информационных угроз сбор информации и информирование о выявленном риске, оценку выявленных рисков (в пределах своей компетенции), разработку и внедрение мероприятий, направленных на уменьшение негативного влияния риска, и мониторинг уровня риска в своих процессах.

Примечание — К центрам компетенции в рамках системы управления риском реализации информационных угроз относятся подразделения, в функциональные обязанности которых входит осуществление операций и сделок в рамках своих процессов и которые несут ответственность за результаты выполнения процесса и за достижение целевых показателей процесса (подразделения), ответственные за осуществление операций и сделок и за результаты процесса, и подразделения, обеспечивающие процессы финансовой организации.

• 3.33 уровень зрелости: Показатель, характеризующий степень развития в финансовой организации системы управления риском реализации информационных угроз, процессов обеспечения операционной надежности и защиты информации, включая процессы применения технологических мер защиты информации, реализуемых на технологических участках бизнес- и технологических процессов, и реализации функций безопасности и контроля (наличия) уязвимостей объектов информатизации прикладного уровня.

Примечания

• 1 Определение уровня зрелости системы управления риском реализации информационных угроз осуществляется в отношении такой системы целиком согласно методике оценки зрелости, приводимой в рамках семейства стандартов УР «Управление риском реализации информационных угроз и обеспечение операционной надежности» Комплекса стандартов.

• 2 Определение уровня зрелости процессов обеспечения операционной надежности и защиты информации осуществляется согласно методикам оценки соответствия, приводимым в рамках семейств стандартов ОН и ЗИ комплекса стандартов соответственно.

• 3 Определение уровня зрелости процессов применения технологических мер защиты информации, реализуемых на технологических участках бизнес- и технологических процессов, и реализации функций безопасности и контроля (наличия) уязвимостей объектов информатизации прикладного уровня, в отношении которых требуется проведение сертификации в системе сертификации⁹) или проведение оценки соответствия по требованиям к оценочному уровню доверия не ниже, чем ОУД 4, в соответствии с требованиями ГОСТ Р ИСО/МЭК 15408-3, осуществляется в соответствии с нормативными актами Банка России.

• 3.34 служба управления рисками: Подразделение (работники), ответственное (ответственные) за осуществление функций и (или) организацию системы управления рисками финансовой организации.

Примечание — В целях организации управления операционным риском в финансовой организации рекомендуется (в случае если создание такого подразделения не предусмотрено нормативными актами Банка России [6]) создание соответствующего подразделения, структурно входящего в службу управления рисками.

• 3.35 подразделение, уполномоченное проводить оценку эффективности системы управления риском реализации информационных угроз; уполномоченное подразделение: Подразделение (работники), структурно независимое (независимые) от службы ИБ и службы управления рисками, уполномоченное (уполномоченные) проводить оценку эффективности функционирования системы управления риском реализации информационных угроз, в том числе оценку полноты и качества выполнения мероприятий, направленных на уменьшение негативного влияния от риска реализации информационных угроз (например, служба внутреннего аудита).

Примечание — В соответствии с требованиями нормативных актов Банка России на уполномоченное подразделение могут возлагаться иные функции [6], в частности проверка соблюдения требований нормативных актов Банка России.

• 3.36 политика, определяющая подходы к управлению риском реализации информационных угроз; политика управления риском реализации информационных угроз; политика информационной безопасности: Общее намерение и направление, официально устанавливаемое советом директоров (наблюдательным советом) или коллегиальным исполнительным органом¹⁰) финансовой организации.

Примечания

• 1 Адаптировано из ГОСТ Р ИСО/МЭК 27002.

• 2 Способ документарного определения политики управления риском реализации информационных угроз финансовые организации определяют самостоятельно.

• 4 Сокращения

В настоящем стандарте применены следующие сокращения:

БЛ — банковская лицензия;

НКО — небанковская кредитная организация;

НСД — несанкционированный доступ;

ОПДС — оператор по переводу денежных средств;

ПО — программное обеспечение;

СВР — степень возможности реализации;

СТП — степень тяжести последствий;

УЛ — универсальная лицензия.

• 5 Назначение и структура стандарта

Настоящий стандарт является базовым в рамках комплекса стандартов и исходит из парадигмы, что для обеспечения должного уровня операционной надежности и защиты информации, для возможности противостоять реализации информационных угроз в виде событий риска реализации информационных угроз финансовым организациям следует обеспечивать планирование, реализацию, контроль и совершенствование следующих систем (с учетом структуры и взаимосвязей, приведенных на рисунке 2):

• - системы управления риском реализации информационных угроз, определенной в рамках настоящего стандарта, формирующего основу семейства стандартов УР «Управление риском реализации информационных угроз и обеспечение операционной надежности»;

• - системы организации и управления защитой информации, определенной в рамках семейства стандартов ЗИ;

• - системы организации и управления операционной надежностью, определенной в рамках семейства стандартов ОН.

Структура комплекса стандартов приведена на рисунке 1.

Комплекс национальных стандартов «Безопасность финансовых (банковских) операций»

Рисунок 1 — Структура комплекса стандартов

Раздел 6 «Общие положения» настоящего стандарта содержит:

• - общие положения и рекомендации по реализации финансовой организацией системы управления риском реализации информационных угроз;

• - описание подхода к интеграции системы управления риском реализации информационных угроз в систему управления рисками финансовой организации.

Раздел 7 «Состав направлений, процессов и требований, определяемый комплексом стандартов» настоящего стандарта определяет состав направлений, процессов и требований по управлению риском реализации информационных угроз и обеспечению операционной надежности (семейство стандартов УР), обеспечению операционной надежности (семейство стандартов ОН), защите информации финансовых организаций (семейство стандартов ЗИ).

Раздел 8 «Требования к системе управления риском реализации информационных угроз» настоящего стандарта содержит для каждого уровня защиты описание состава мер, направленных на реализацию требований к процессам в рамках планирования, реализации, контроля и совершенствования системы управления риском реализации информационных угроз.

• 6 Общие положения

  • 6.1 Деятельности финансовой организации свойственен риск реализации информационных угроз, что является объективной реальностью, и понизить этот риск можно лишь до определенного остаточного уровня.

Для управления риском реализации информационных угроз финансовой организации необходимо обеспечить планирование, реализацию, контроль и совершенствование системы управления риском реализации информационных угроз.

Примечание — По решению финансовой организации могут быть созданы отдельные системы управления в целях управления отдельным видом риска реализации информационных угроз (согласно примечанию к 3.8).

Эффективное управление риском реализации информационных угроз должно начинаться с определения структуры и организации системы управления таким риском, а также политики, которая устанавливает приоритеты в вопросах управления риском реализации информационных угроз для достижения целей операционной надежности.

• 6.2 Вопросы управления риском реализации информационных угроз, обеспечения операционной надежности и защиты информации должны учитываться при принятии решений, связанных с общей стратегией развития бизнеса финансовой организации. Должна также учитываться значимость ресурсов (кадровых и финансовых), необходимых для обеспечения должного уровня зрелости процессов управления риском реализации информационных угроз, обеспечения операционной надежности и защиты информации.

• 6.3 Выполнение процессов системы управления риском реализации информационных угроз должно способствовать обеспечению операционной надежности финансовой организации применительно к совокупности бизнес- и технологических процессов, критичных активов — объектов информатизации прикладного и инфраструктурного уровней, субъектов доступа и защищаемой информации.

Примечание — В настоящем стандарте объекты информатизации подразделяются на объекты информатизации прикладного и инфраструктурного уровня.

К объектам информатизации инфраструктурного уровня относятся объекты информатизации следующих системных уровней:

• - уровня аппаратного обеспечения;

• - уровня сетевого оборудования;

• - уровня сетевых приложений и сервисов;

• - уровня операционных систем, систем управления базами данных, серверов приложений.

К объектам информатизации прикладного уровня относятся объекты информатизации следующих уровней:

• а) уровня автоматизированных систем и приложений, эксплуатируемых для оказания финансовых услуг в рамках бизнес- и технологических процессов финансовой организации, в том числе:

• - система дистанционного банковского обслуживания;

• - система обработки транзакций;

• - информационные ресурсы сети Интернет;

• - автоматизированная банковская система;

• - система посттранзакционного обслуживания операций;

• - автоматизированные системы, в том числе информационно-аналитические системы, используемые финансовой организацией;

• - сервисы, предоставляемые поставщиками облачных услуг;

• б) уровня автоматизированных систем и приложений, эксплуатируемых клиентом финансовой организации при пользовании финансовыми (банковскими) и (или) информационными услугами.

Критичные активы финансовой организации обладают разной степенью значимости для осуществления видов деятельности отдельной финансовой организации (в том числе для выполнения бизнес-и технологических процессов), а также в разной степени подвержены воздействию информационных угроз. Финансовой организации следует применять риск-ориентированный подход при определении приоритетов по реализации мероприятий, направленных на уменьшение негативного влияния риска реализации информационных угроз таким образом, чтобы реализуемые мероприятия были адекватны и оптимальны.

• 6.4 Выполнение процессов системы управления риском реализации информационных угроз, а также систем управления, определенных в рамках семейств стандартов ЗИ и ОН комплекса стандартов, должно обеспечивать достижение следующих целей:

• - обеспечение операционной надежности финансовой организации;

• - обеспечение соответствия фактического уровня риска реализации информационных угроз, контроль которого также осуществляется со стороны подразделений, формирующих «вторую» и «третью линии защиты», допустимому, принятому финансовой организацией в соответствии с принятыми значениями КПУР;

• - надлежащая интеграция системы управления риском реализации информационных угроз в систему управления рисками финансовой организации в составе операционного риска;

• - оперативное реагирование и адаптация к изменению информационных угроз, присущих как выполнению внутренних процессов финансовой организации, так и ее внешнему взаимодействию.

• 6.5 Интеграция системы управления риском реализации информационных угроз в систему управления рисками финансовой организации осуществляется посредством управления риском реализации информационных угроз как одним из видов операционного риска.

Надлежащая интеграция системы управления риском реализации информационных угроз в систему управления операционным риском финансовой организации достигается:

• а) интеграцией процессов системы управления риском реализации информационных угроз в состав процессов управления операционным риском, включая:

• - выявление и идентификацию риска реализации информационных угроз, а также его оценку;

• - планирование, реализацию, контроль и совершенствование мероприятий, направленных на уменьшение негативного влияния риска реализации информационных угроз;

• - сбор и регистрацию информации о внутренних событиях риска реализации информационных угроз и потерях;

• - мониторинг риска реализации информационных угроз;

• - оценку эффективности функционирования системы управления риском реализации информационных угроз;

• - организацию внутренней отчетности в рамках управления риском, в том числе в целях информирования совета директоров (наблюдательного совета) и исполнительного органа финансовой организации о фактическом уровне такого риска (как составной части операционного риска);

• - оценку капитала, необходимого на покрытие риска реализации информационных угроз (как составной части операционного риска), а также организация внутренней отчетности о его достаточности¹);

• б) следованием принципу «трех линий защиты» в рамках управления риском реализации информационных угроз (как составной частью операционного риска), а также созданием условий для реализации каждой «линией защиты» своих функций, в том числе:

• - выделение необходимого ресурсного (кадрового и финансового) обеспечения;

• - распределение функций, ролей и ответственности среди вовлеченных подразделений (работников), формирующих «три линии защиты»;

• - регулярное обучение и повышение квалификации вовлеченных работников;

• - развитие корпоративной этики (культуры), устанавливающей значимость управления рисками, в том числе риском реализации информационных угроз;

• - определение механизмов для взаимодействия между «линиями защиты» в рамках выполнения их функций.

Примечания

• 1 В качестве примера в настоящем стандарте используется следующее распределение подразделений (работников) финансовой организации согласно принципу «трех линий защиты»:

• - «первая линия защиты»: центры компетенции;

• - «вторая линия защиты»: служба управления рисками (в том числе подразделение, ответственное за организацию управления операционным риском), служба ИБ;

• - «третья линия защиты»: уполномоченное подразделение.

• 2 Для выполнения функций в рамках каждой «линии защиты» могут привлекаться не одно, а несколько структурных подразделений финансовой организации;

• в) интеграцией подходов к организации контроля за уровнем риска реализации информационных угроз в составе операционного риска:

• - определения и установления состава, а также пороговых значений КИР, в том числе согласно требованиям нормативных актов Банка России [6], с целью оперативного мониторинга фактического уровня риска реализации информационных угроз;

• - определения и установления состава, а также сигнальных и контрольных значений КПУР (в том числе согласно требованиям нормативных актов Банка России [6]);

• - определения способов возмещения запланированных (ожидаемых)^{11 12}) и незапланированных (реализация стрессового сценария)¹³) потерь от риска реализации информационных угроз, в том числе расчет капитала, необходимого на покрытие таких потерь¹⁴);

• - классификации событий риска реализации информационных угроз, по источникам риска реализации информационных угроз, типам событий реализации информационных угроз, видам (направлениям) деятельности (в том числе бизнес- и технологическим процессам) финансовой организации, видам потерь финансовой организации, ее причастных сторон, в том числе клиентов финансовой организации (в том числе согласно требованиям нормативных актов Банка России [6]);

• - реализации и ведения на постоянной основе аналитической базы данных о событиях риска реализации информационных угроз, в том числе согласно требованиям нормативных актов Банка России [6] (далее — база событий риска реализации информационных угроз).

Примечание — По решению финансовой организации аналитическая база данных о событиях риска реализации информационных угроз может вестись как отдельно, так и в рамках аналитической базы событий операционного риска;

• - организации оперативного мониторинга значений КИР с целью принятия оперативных решений по управлению риском реализации информационных угроз, а также накопления статистических данных (в том числе согласно требованиям нормативных актов Банка России [6]);

• - контроля соблюдения установленных значений КПУР с целью контроля уровня риска реализации информационных угроз, в том числе в части обеспечения соблюдения требований по достаточности капитала, необходимого на покрытие запланированных и незапланированных потерь от риска реализации информационных угроз¹);

• - учета фактических значений КПУР при определении способов покрытия запланированных и незапланированных потерь от риска реализации информационных угроз, в том числе при расчете капитала, необходимого на покрытие таких потерь¹);

• - валидации и верификации со стороны подразделения, формирующих «третью линии защиты», методологии, данных и внутренней отчетности в рамках управления риском реализации информационных угроз^{15 16}).

• 6.6 Операционная надежность финансовой организации характеризуется:

• - способностью финансовой организации обеспечивать необходимый уровень зрелости процессов обеспечения операционной надежности и защиты информации согласно принятым финансовой организацией значениям КПУР;

• - способностью финансовой организации обеспечить покрытие собственных потерь, потерь причастных сторон, в том числе клиентов финансовой организации, в результате инцидентов, в том числе за счет формирования финансового резерва и (или) страхования риска реализации информационных угроз.

Примечание — В случае если требованиями нормативных актов Банка России не предусмотрено формирование резервов на покрытие потерь от реализации операционного риска, финансовые организации самостоятельно определяют способы покрытия потерь в результате инцидентов;

• - способностью финансовой организации обеспечить выполнение обязательств по защите интересов клиентов финансовой организации;

• - способностью финансовой организации осуществлять финансовые (банковские) операции, в том числе операции по переводу денежных средств, в рамках срока исполнения обязательств, а также обеспечивать завершенность расчетов по таким операциям согласно установленному режиму работы;

• - способностью финансовой организации возобновить предоставление финансовых и (или) информационных услуг в течение установленного времени после нарушения в работе в результате инцидентов;

• - способностью финансовой организации обеспечить соблюдение требований законодательства Российской Федерации в области защиты информации, устанавливаемых на основании статьей 57.4 и 76.4-1 Федерального закона [1], части 3 статьи 27 Федерального закона [11], а также устанавливаемых статьей 19 Федерального закона [12], статьей 16 Федерального закона [13] и Федеральным законом [14].

• 6.7 Настоящий стандарт определяет три уровня защиты:

• - уровень 3 — минимальный;

• - уровень 2 — стандартный;

• - уровень 1 — усиленный.

Уровень защиты для финансовой организации устанавливается нормативными актами Банка России на основе:

• - вида деятельности финансовой организации, состава предоставляемых финансовой организацией услуг, реализуемых бизнес- и технологических процессов;

• - объема финансовых (банковских) операций, в том числе операций по переводу денежных средств;

• - размера организации, отнесения финансовой организации к категории малых предприятий и микропредприятий;

• - значимости и роли финансовой организации в рамках банковской системы, финансового рынка Российской Федерации и (или) национальной платежной системы.

• 6.8 Планирование системы управления риском реализации информационных угроз включает:

• - определение политики управления риском реализации информационных угроз;

• - выявление и идентификацию риска реализации информационных угроз, а также его оценку;

• - организацию ресурсного (кадрового и финансового) обеспечения.

• 6.9 Реализация системы управления риском реализации информационных угроз включает:

• - планирование, реализацию, контроль и совершенствование мероприятий, направленных на уменьшение негативного влияния риска реализации информационных угроз:

• разработку мероприятий, направленных на уменьшение негативного влияния риска реализации информационных угроз;

• защиту от информационных угроз;

• реагирование на инциденты, связанные с реализацией информационных угроз, и восстановление после их реализации;

• - выявление событий риска реализации информационных угроз;

• - обеспечение осведомленности об актуальных информационных угрозах.

• 6.10 Контроль системы управления риском реализации информационных угроз включает:

• - установление и реализацию программ контроля и аудита;

• - мониторинг риска реализации информационных угроз.

• 6.11 Совершенствование системы управления риском реализации информационных угроз включает обеспечение соответствия фактических значений КПУР принятым.

• 6.12 Способность финансовой организации распознавать признаки возможного инцидента имеет важное значение для обеспечения операционной надежности.

Раннее обнаружение инцидентов позволяет финансовой организации оперативно принять соответствующие меры реагирования (контрмеры), позволяющие сдержать или парировать фактическую реализацию таких инцидентов. В свою очередь, оперативное принятие мер реагирования (контрмер) в большинстве случаев позволяет свести к минимуму негативные последствия от реализации таких инцидентов.

В целях снижения возможности возникновения системных рисков невыполнения обязательств перед причастными сторонами финансовой организации следует проектировать и реализовывать свои бизнес- и технологические процессы способом, обеспечивающим быстрое и безопасное возобновление предоставления финансовых и (или) информационных услуг, а также корректное и полное восстановление данных о совершенных финансовых (банковских) операциях, в том числе операциях по переводу денежных средств.

• 6.13 Осведомленность об актуальных информационных угрозах способствует корректному определению финансовой организацией модели информационных угроз в контексте ее видов деятельности, связанных с предоставлением финансовых и (или) информационных услуг, в том числе их влияния на осуществление таких видов деятельности, а также полноты и качества реализуемых мероприятий, направленных на уменьшение негативного влияния риска реализации информационных угроз.

Достижению высокого уровня осведомленности об актуальных информационных угрозах способствует проведение анализа (исследования) возможных информационных угроз и проведение систематических работ по поиску соответствующей информации. Осведомленность об актуальных информационных угрозах может существенно повлиять на способность финансовой организации выявлять инциденты, быстро и эффективно реагировать в случае их возникновения.

В частности, осведомленность об актуальных информационных угрозах может помочь финансовой организации проанализировать уязвимости критичной архитектуры и способствовать эффективной реализации соответствующих мероприятий, направленных на уменьшение негативного влияния риска реализации информационных угроз.

Одним из важных условий достижения осведомленности финансовой организации об актуальных информационных угрозах является активный информационный обмен об инцидентах между финансовой организацией и участниками такого обмена:

• - Банком России;

• - федеральным органом исполнительной власти, уполномоченным в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации;

• - причастными сторонами, в том числе клиентами финансовой организации;

• - иными организациями как внутри финансового сектора, так и за его пределами.

• 6.14 Финансовая организация классифицирует все события риска реализации информационных угроз с точки зрения следующих элементов:

• - источников такого риска;

• - типов событий реализации информационных угроз;

• - видов (направлений) деятельности финансовой организации;

• - видов потерь от реализации такого риска.

Подробное описание соответствующих классификаций событий риска реализации информационных угроз приведено в приложениях А—Г.

• 6.15 Выполнение процессов планирования, реализации, контроля и совершенствования системы управления риском реализации информационных угроз направлено на обеспечение соответствия фактических значений КПУР принятым финансовой организацией, что достигается в том числе планированием, реализацией, контролем и совершенствованием систем управления, определенных в рамках семейств стандартов ЗИ и ОН комплекса стандартов.

Оценка зрелости процессов планирования, реализации, контроля и совершенствования систем управления, определенных в рамках семейств ЗИ и ОН комплекса стандартов, осуществляется согласно методикам оценки соответствия, определяемым в рамках соответствующего семейства стандартов комплекса стандартов, посредством внешнего аудита, с привлечением аудиторской или консалтинговой организации.

Юридические лица или индивидуальные предприниматели, привлекаемые финансовой организацией для проведения работ по обеспечению и оценке операционной надежности и защиты информации, должны иметь лицензию на осуществление деятельности по технической защите конфиденциальной информации¹⁷) [16].

Примечание — Финансовой организации рекомендуется для проведения внешнего аудита привлекать организации, подтвердившие соответствие своей деятельности ГОСТ Р ИСО/МЭК 27006 и ГОСТ Р ИСО/МЭК 17021-1.

• 6.16 В рамках осуществления деятельности финансовые организации могут выстраивать взаимодействие с иными организациями, на которых не распространяется область применения настоящего стандарта. Ввиду того, что такое взаимодействие может оказывать значительное влияние на операционную надежность финансовых организаций, крайне важно, чтобы оно базировалось на ответственном отношении к вопросам управления риском реализации информационных угроз и обеспечения операционной надежности каждой из сторон.

Примечание — Финансовой организации при выборе поставщика услуг, в том числе поставщика облачных услуг, рекомендуется привлекать организации, подтвердившие соответствие своей деятельности ГОСТ Р 57580.1.

• 7 Состав направлений, процессов и требований, определяемый комплексом стандартов

  • 7.1 Финансовой организацией должны быть определены и выполняться направления, процессы, требования и меры, состав которых определяется в рамках семейств стандартов Комплекса стандартов, приведенных в разделе 5 настоящего стандарта.

  • 7.2 Состав направлений, процессов и требований по управлению риском реализации информационных угроз и обеспечению операционной надежности, определяемый настоящим стандартом, формирующим основу семейства стандартов УР, приведен в таблице 1.

  • 7.3 Состав направлений, процессов, требований по защите информации финансовых организаций, определяемый в рамках семейства стандартов ЗИ, приведен в таблице 2.

  • 7.4 Состав направлений, процессов, требований по обеспечению операционной надежности, определяемый в рамках семейства стандартов ОН, приведен в таблице 3.

  • 7.5 Состав направлений, процессов, требований и мер реализуется в рамках системы управления риском реализации информационных угроз систем управления, определенных в рамках семейств стандартов ОН и ЗИ Комплекса стандартов, с учетом структуры и взаимосвязей, приведенных на рисунке 2.

    Система управления риском реализации информационных угроз

    

    Реализация

    Планирование

    
    

    Принятые финансовой организацией значения контрольных показателей уровня риска реализации информационных угроз

    
    
    
    
    
    

    Контроль

    Реализация Планирование

    
    

    Система организации и управления защитой информации

    
    

    Совершенствование

    
    

    Система защиты информации

    
    
    
    

    Реализация

    
    

    Планирование

    Контроль

    Совершенствование

    Система обеспечения операционной надежности

    ।-------------------------------

    । Система организации и управления операционной надежностью

    Контроль ~Совершенствование

    
    
    

    Фактические значения контрольных показателей уровня риска реализации информационных угроз

    
    

Рисунок 2 — Структура и взаимосвязи системы управления риском реализации информационных угроз финансовой организации и систем управления, определенных в рамках семейств стандартов ОН и ЗИ комплекса стандартов

ю

GO

• 8 Требования к системе управления риском реализации информационных угроз

  • 8.1 Общие положения

    • 8.1.1 Настоящий раздел устанавливает требования к мерам по управлению риском реализации информационных угроз для следующих направлений:

• а) направление 1 «планирование системы управления риском реализации информационных угроз» (см. таблицы 4—12);

• б) направление 2 «реализация системы управления риском реализации информационных угроз» (см. таблицы 13—21);

• в) направление 3 «контроль системы управления риском реализации информационных угроз» (см. таблицы 22—25);

• г) направление 4 «совершенствование системы управления риском реализации информационных угроз» (см. таблицы 26, 27).

• 8.1.2 Способы реализации мер по управлению риском реализации информационных угроз, установленные в таблицах раздела 8 настоящего стандарта, обозначены следующим образом:

• - «О» — реализация путем применения организационной меры¹⁸);

• - «Т» — реализация путем применения технической меры;

• - «Н» — реализация является необязательной.

• 8.2 Направление 1 «Планирование системы управления риском реализации информационных угроз»

  • 8.2.1 Процесс «Определение политики управления риском реализации информационных угроз»

    • 8.2.1.1 Применяемые финансовой организацией меры по определению политики управления риском реализации информационных угроз должны обеспечивать:

• - установление структуры и организации системы управления риском реализации информационных угроз, а также распределение функций, ролей и ответственности в рамках управления риском реализации информационных угроз;

• - установление политики управления риском реализации информационных угроз;

• - участие совета директоров (наблюдательного совета) и коллегиального исполнительного органа финансовой организации в решении вопросов управления риском реализации информационных угроз.

При реализации процесса «Определение политики управления риском реализации информационных угроз» рекомендуется использовать ГОСТ Р ИСО/МЭК 27001, а также [17].

• 8.2.1.2 Состав мер по установлению структуры и организации системы управления риском реализации информационных угроз, а также распределению функций, ролей и ответственности в рамках управления риском реализации информационных угроз применительно к уровням защиты приведен в таблице 4.

Таблица 4 — Состав мер по установлению структуры и организации системы управления риском реализации информационных угроз, а также распределению функций, ролей и ответственности в рамках управления риском реализации информационных угроз

Продолжение таблицы 4

Продолжение таблицы 4

Окончание таблицы 4

• - обеспечение данных для мониторинга деятельности вовлеченных подразделений, формирующих «три линии защиты», и причастных сторон (за исключением клиентов финансовой организации) по выполнению процессов планирования, реализации, контроля и совершенствования системы управления риском информационных угроз, а также систем управления, определенных в рамках семейств стандартов ОН и ЗИ комплекса стандартов.

Функции комитета по вопросам управления риском реализации информационных угроз могут быть реализованы в рамках иного комитета, например комитета по управлению рисками.

• * * При принятии финансовой организацией решения о создании отдельных систем управления под каждый вид риска реализации информационных угроз (согласно примечанию к 3.8) для каждой системы управления может быть назначено отдельное ответственное должностное лицо, с соблюдением предъявляемых в рамках ОПР.З требований к такому лицу.

• * ** Рекомендуется относить функции и полномочия службы ИБ ко «второй линии защиты». Допускается отнесение отдельных функций и полномочий, перечисленных в ОПР.5.1 и ОПР.5.2 настоящей таблицы, к функциям и полномочиям иных подразделений, если иное не установлено нормативными актами Банка России [6]. В случае принятия финансовой организацией отдельных функций и полномочий службы ИБ к функциям и полномочиям иных подразделений положения настоящего стандарта также применяются в отношении соответствующих подразделений.

• * ⁴ За исключением планирования, реализации, контроля и совершенствования процессов обеспечения операционной надежности и защиты информации.

• * ⁵ В составе оценки эффективности функционирования системы управления операционным риском.

• 8.2.1.3 Состав мер по установлению политики управления риском реализации информационных угроз применительно к уровням защиты приведен в таблице 5.

Таблица 5 — Состав мер по установлению политики управления риском реализации информационных угроз

Продолжение таблицы 5

Окончание таблицы 5

• * В случае если требованиями нормативных актов Банка России не предусмотрено формирование резервов на покрытие потерь от реализации операционного риска, финансовые организации самостоятельно определяют способы покрытия потерь в результате инцидентов.

• * * Состав КПУР по каждой группе, а также их сигнальные и контрольные значения приведены в приложениях Д, Е.

• 8.2.1.4 Состав мер по участию совета директоров (наблюдательного совета) и коллегиального исполнительного органа финансовой организации в решении вопросов управления риском реализации информационных угроз, обеспечения операционной надежности и защиты информации применительно к уровням защиты приведен в таблице 6.

Примечание — Состав мер, приведенных в таблице 6, применяется в части, не противоречащей законодательству Российской Федерации [18], [19], а также требованиям нормативных актов Банка России [6].

Таблица 6 — Состав мер по участию совета директоров (наблюдательного совета) и коллегиального исполнительного органа финансовой организации в решении вопросов управления риском реализации информационных угроз

Продолжение таблицы 6

Окончание таблицы 6

• 8.2.2 Процесс «Выявление и идентификация риска реализации информационных угроз, а также его оценка»

  • 8.2.2.1 Применяемые финансовой организацией меры по оценке риска реализации информационных угроз должны обеспечивать:

• - идентификацию критичной архитектуры¹⁹);

• - идентификацию риска реализации информационных угроз;

• - выявление и моделирование информационных угроз;

• - оценку риска реализации информационных угроз.

При реализации процесса «Выявление и идентификация риска реализации информационных угроз, а также его оценка» рекомендуется использовать ГОСТ Р ИСО 31000, ГОСТ Р 58771, ГОСТ Р ИСО/МЭК 27005, а также [20].

• 8.2.2.2 Состав мер по идентификации критичной архитектуры применительно к уровням защиты приведен в рамках семейства ОН комплекса стандартов.

• 8.2.2.3 Состав мер по идентификации риска реализации информационных угроз применительно к уровням защиты приведен в таблице 7.

Таблица 7 — Состав мер по идентификации риска реализации информационных угроз

• * Под «организацией деятельности» понимается отражение во внутренних документах финансовой организации ведения соответствующей деятельности и распределение ролей по ее выполнению.

• * * В случае наличия (выявления) такой необходимости.

• * ** Например, мониторинг внешних информационных ресурсов, участие в мероприятиях по обмену опытом, в том числе сотрудничество с Банком России и соответствующими исполнительными органами государственной власти на предмет обмена опытом об эффективных практиках в части управления риском реализации информационных угроз, обеспечения операционной надежности и защиты информации.

• 8.2.2.4 Состав мер по выявлению и моделированию информационных угроз применительно к уровням защиты приведен в таблице 8.

Таблица 8 — Состав мер по выявлению и моделированию информационных угроз

Окончание таблицы 8

* К защищаемой информации относится информация, перечень которой определен в [8]—[10].

• 8.2.2.5 Состав мер по оценке риска реализации информационных угроз применительно к уровням защиты приведен в таблице 9.

Таблица 9 — Состав мер по оценке риска реализации информационных угроз

Окончание таблицы 9

• 8.2.3 Процесс «Организация ресурсного (кадрового и финансового) обеспечения»

  • 8.2.3.1 Применяемые финансовой организацией меры по организации ресурсного (кадрового и финансового) обеспечения должны обеспечивать:

• - организацию ресурсного (кадрового и финансового) обеспечения процессов системы управления риском реализации информационных угроз;

• - организацию ресурсного (кадрового и финансового) обеспечения функционирования службы ИБ;

• - организацию целевого обучения по вопросам выявления и противостояния реализации информационных угроз.

При реализации процесса «Организация ресурсного (кадрового и финансового) обеспечения» рекомендуется использовать [22].

• 8.2.3.2 Состав мер по организации ресурсного (кадрового и финансового) обеспечения процессов системы управления риском реализации информационных угроз применительно к уровням защиты приведен в таблице 10.

Таблица 10 — Состав мер по организации ресурсного (кадрового и финансового) обеспечения процессов системы управления риском реализации информационных угроз

Окончание таблицы 10

• 8.2.3.3 Состав мер по организации ресурсного (кадрового и финансового) обеспечения функционирования службы ИБ применительно к уровням защиты приведен в таблице 11.

Таблица 11 — Состав мер по организации ресурсного (кадрового и финансового) обеспечения функционирования службы ИБ

Окончание таблицы 11

• 8.2.3.4 Состав мер по организации целевого обучения по вопросам выявления и противостояния реализации информационных угроз применительно к уровням защиты приведен в таблице 12.

Таблица 12 — Состав мер по организации целевого обучения по вопросам выявления и противостояния реализации информационных угроз

• * К таким группам следует относить работников, обладающих привилегированным логическим доступом к объектам информатизации, задействованным в выполнении бизнес- и технологических процессов, входящих в критичную архитектуру.

• 8.3 Направление 2 «Реализация системы управления риском реализации информационных угроз»

• 8.3.1 Процесс «Планирование, реализация, контроль и совершенствование мероприятий, направленных на уменьшение негативного влияния риска реализации информационных угроз»

  • 8.3.1.1 Подпроцесс «Разработка мероприятий, направленных на уменьшение негативного влияния риска реализации информационных угроз»

Применяемые финансовой организацией меры по разработке мероприятий, направленных на уменьшение негативного влияния риска реализации информационных угроз, должны обеспечивать:

• - выбор и применение способа реагирования на риск реализации информационных угроз;

• - разработку мероприятий, направленных на снижение СВР инцидентов;

• - разработку мероприятий, направленных на ограничение СТП инцидентов.

При реализации процесса «Выбор и применение способа реагирования на риск реализации информационных угроз» рекомендуется использовать ГОСТ Р ИСО 31000, ГОСТ Р 27005.

Состав мер по выбору и применению способа реагирования на риск реализации информационных угроз применительно к уровням защиты приведен в таблице 13.

Таблица 13 — Состав мер по выбору и применению способа реагирования на риск реализации информационных угроз

* Состав КПУР по указанной группе, а также их сигнальные и контрольные значения приведены в приложениях Д, Е.

Состав мер по разработке мероприятий, направленных на снижение СВР инцидентов, применительно к уровням защиты приведен в таблице 14.

Таблица 14 — Состав мер по разработке мероприятий, направленных на снижение СВР инцидентов

Состав мер по разработке мероприятий, направленных на ограничение СТП инцидентов, применительно к уровням защиты приведен в таблице 15.

Таблица 15 — Состав мер по разработке мероприятий, направленных на ограничение СТП инцидентов

• 8.3.1.2 Подпроцесс «Защита от информационных угроз»

Применяемые финансовой организацией меры по защите от информационных угроз должны обеспечивать:

• - защиту информации финансовой организации¹);

• - операционную надежность;

• - управление риском реализации информационных угроз при аутсорсинге и взаимодействии с поставщиками услуг;

• - управление риском внутреннего нарушителя.

Примечание — В настоящем стандарте рассматривается часть деятельности по управлению риском, связанная с принятием мер, направленных на нейтрализацию информационных угроз (снижением СВР и ограничением СТП от реализации информационных угроз), связанных с внутренним нарушителем;

• - управление риском реализации информационных угроз в финансовой экосистеме;

• - выполнение мероприятий, направленных на предотвращение утечек информации^{22 23}).

При реализации процесса «Защита от информационных угроз» следует использовать ГОСТ Р 57580.1, ГОСТ Р 57580.4. В частности, при реализации требования к управлению риском реализации информационных угроз при аутсорсинге рекомендуется использовать ГОСТ Р ИСО/МЭК 27036-2, ГОСТ Р ИСО/МЭК 27036-4, а также [27].

Состав мер по обеспечению защиты информации финансовой организации применительно к уровням защиты приведен в таблице 16.

Таблица 16 — Состав мер по защите информации финансовой организации

Окончание таблицы 16

Определяемых согласно ГОСТ Р 57580.1.

**Выполнение мер защиты информации, приведенных в ГОСТ Р 57580.1, предусматривающих выделение контуров безопасности, с учетом топологии внутренней вычислительной сети, потоков защищаемой информации (внутренних и внешних).

Состав мер по обеспечению операционной надежности применительно к уровням защиты приведен в таблице 17.

Таблица 17 — Состав мер по обеспечению операционной надежности

* Определяемых согласно ГОСТ Р 57580.1.

Состав мер по управлению риском реализации информационных угроз при аутсорсинге применительно к уровням защиты приведен в таблице 18.

Таблица 18 — Состав мер по управлению риском реализации информационных угроз при аутсорсинге

* При организации и выполнении деятельности по выявлению и идентификации риска реализации информационных угроз, а также его оценки при привлечении поставщика облачных услуг наряду с [27] рекомендуется использовать ГОСТ Р ИСО/МЭК 27036-4.

Состав мер по управлению риском внутреннего нарушителя применительно к уровням защиты приведен в рамках семейства стандартов ОН комплекса стандартов.

Состав мер по управлению риском реализации информационных угроз в финансовой экосистеме применительно к уровням защиты приведен в таблице 19.

Таблица 19 — Состав мер по управлению риском реализации информационных угроз в финансовой экосистеме

Окончание таблицы 19

Состав мер по выполнению мероприятий, направленных на предотвращение утечек информации, применительно к уровням защиты приведен в рамках семейства ЗИ комплекса стандартов — процессы «Обеспечение защиты информации при управлении доступом» и «Предотвращение утечек информации».

• 8.3.1.3 Подпроцесс «Реагирование на инциденты, связанные с реализацией информационных угроз, и восстановление после их реализации»²⁴)

Применяемые финансовой организацией меры по реагированию на инциденты и восстановлению после их реализации должны обеспечивать:

• - реагирование на инциденты в отношении критичной архитектуры;

• - восстановление выполнения бизнес- и технологических процессов и функционирования объектов информатизации после реализации инцидентов;

• - проведение анализа причин и последствий реализации инцидентов;

• - организацию взаимодействия между подразделениями финансовой организации, а также между финансовой организацией и Банком России, причастными сторонами в рамках реагирования на инциденты и восстановления функционирования бизнес- и технологических процессов и объектов информатизации после реализации инцидентов.

Состав мер по реагированию на инциденты в отношении критичной архитектуры применительно к уровням защиты приведен в рамках семейства стандартов ОН комплекса стандартов. Процесс «Управление инцидентами защиты информации», приведенный в ГОСТ Р 57580.1, является составной частью реагирования на инциденты в отношении критичной архитектуры, его реализация должна быть дополнена соответствующими мерами, определенными в рамках семейства ОН комплекса стандартов, на случаи реализации инцидентов защиты информации в отношении критичной архитектуры.

Состав мер по восстановлению функционирования бизнес- и технологических процессов и объектов информатизации после реализации инцидентов применительно к уровням защиты приведен в рамках семейства стандартов ОН комплекса стандартов.

Состав мер по проведению анализа причин и последствий реализации инцидентов применительно к уровням защиты приведен в рамках семейства стандартов ОН комплекса стандартов.

Состав мер по организации взаимодействия между подразделениями финансовой организации, а также между финансовой организацией и Банком России, причастными сторонами в рамках реагирования на инциденты и восстановления функционирования бизнес- и технологических процессов и объектов информатизации после реализации инцидентов применительно к уровням защиты приведен в рамках семейства стандартов ОН комплекса стандартов.

• 8.3.2 Процесс «Выявление событий риска реализации информационных угроз»

  • 8.3.2.1 Применяемые финансовой организацией меры по выявлению событий риска реализации информационных угроз должны обеспечивать:

• - сбор и регистрацию информации о внутренних событиях риска реализации информационных угроз и потерях;

• - выявление и фиксацию инцидентов, в том числе обнаружение реализации компьютерных атак и выявление фактов (индикаторов) компрометации объектов информатизации;

• - ведение претензионной работы.

При реализации процесса «Защита от информационных угроз» рекомендуется использовать ГОСТ Р 57580.1, а также [30], [31].

• 8.3.2.2 Состав мер по сбору и регистрации информации о внутренних событиях риска реализации информационных угроз и потерях применительно к уровням защиты приведен в таблице 20.

Таблица 20 — Состав мер по сбору и регистрации информации о внутренних событиях риска реализации информационных угроз и потерях

Окончание таблицы 20

• 8.3.2.3 Состав мер по выявлению и фиксации инцидентов, в том числе обнаружению реализации компьютерных атак, и выявлению фактов (индикаторов) компрометации объектов информатизации применительно к уровням защиты приведен в рамках семейства стандартов ОН комплекса стандартов.

• 8.3.2.4 Состав мер по ведению претензионной работы применительно к уровням защиты приведен в таблице 21.

Таблица 21 — Состав мер по ведению претензионной работы

• 8.3.3 Процесс «Обеспечение осведомленности об актуальных информационных угрозах»

  • 8.3.3.1 Применяемые финансовой организацией меры по обеспечению осведомленности об актуальных информационных угрозах должны обеспечивать:

• - организацию взаимодействия финансовой организации и причастных сторон, в том числе клиентов финансовой организации, при обмене информацией об актуальных сценариях реализации информационных угроз;

• - использование информации об актуальных сценариях реализации информационных угроз для цели обеспечения операционной надежности финансовой организации;

• - повышение осведомленности работников финансовой организации в части противостояния реализации информационных угроз.

• 8.3.3.2 Состав мер по организации взаимодействия финансовой организации и причастных сторон, в том числе клиентов финансовой организации, при обмене информацией об актуальных сценариях реализации информационных угроз применительно к уровням защиты приведен в рамках семейства стандартов ОН комплекса стандартов.

• 8.3.3.3 Состав мер по использованию информации об актуальных сценариях реализации информационных угроз для цели обеспечения операционной надежности финансовой организации применительно к уровням защиты приведен в рамках семейства стандартов ОН комплекса стандартов.

• 8.3.3.4 Состав мер по повышению осведомленности работников финансовой организации в части противостояния реализации информационных угроз применительно к уровням защиты приведен в рамках семейства стандартов ОН комплекса стандартов.

• 8.4 Направление 3 «Контроль системы управления риском реализации информационных угроз»

• 8.4.1 Процесс «Установление и реализация программ контроля и аудита»

  • 8.4.1.1 Применяемые финансовой организацией меры по установлению и реализации программ контроля и аудита должны обеспечивать:

• - проведение самооценки и профессиональной независимой оценки²⁵) зрелости процессов обеспечения операционной надежности и защиты информации;

• - проведение сценарного анализа (в части возможной реализации информационных угроз) и тестирования с использованием его результатов готовности финансовой организации противостоять реализации информационных угроз в отношении критичной архитектуры (киберучения);

• - оценку эффективности функционирования системы управления риском реализации информационных угроз;

• - организацию внутренней отчетности в рамках управления риском реализации информационных угроз.

• 8.4.1.2 Состав мер по проведению самооценки и независимой оценки зрелости процессов обеспечения операционной надежности и защиты информации применительно к уровням защиты приведен в таблице 22.

Таблица 22 — Состав мер по проведению самооценки и независимой оценки зрелости процессов обеспечения операционной надежности и защиты информации

Окончание таблицы 22

• 8.4.1.3 Состав мер по проведению сценарного анализа (в части возможной реализации информационных угроз) и тестированию (с использованием его результатов) готовности финансовой организации противостоять реализации информационных угроз в отношении критичной архитектуры (киберучения) применительно к уровням защиты приведен в рамках семейства стандартов ОН комплекса стандартов.

• 8.4.1.4 Состав мер по оценке эффективности функционирования системы управления риском реализации информационных угроз применительно к уровням защиты приведен в таблице 23.

Таблица 23 — Состав мер по оценке эффективности функционирования системы управления риском реализации информационных угроз

Окончание таблицы 23

* Самооценка проводится с привлечением службы ИБ (по решению финансовой организации может проводиться с привлечением внешнего аудитора).

• 8.4.1.5 Состав мер по организации внутренней отчетности в рамках управления риском реализации информационных угроз применительно к уровням защиты приведен в таблице 24.

Таблица 24 — Состав мер по организации внутренней отчетности в рамках управления риском реализации информационных угроз

• 8.4.2 Процесс «Мониторинг риска реализации информационных угроз»

  • 8.4.2.1 Финансовая организация должна применять меры по мониторингу риска реализации информационных угроз.

При реализации процесса «Мониторинг риска реализации информационных угроз» рекомендуется использовать ГОСТ Р ИСО 31000, ГОСТ Р ИСО/МЭК 27005.

• 8.4.2.2 Состав мер по мониторингу риска реализации информационных угроз применительно к уровням защиты приведен в таблице 25.

Таблица 25 — Состав мер по мониторингу риска реализации информационных угроз

Окончание таблицы 25

• * Например, в постоянном режиме, один раз в неделю, по состоянию на момент закрытия операционного Дня [6].

• * * Обеспечение учета таких нарушений в случае их выявления вне проводимой самооценки и профессиональной независимой оценки зрелости процессов обеспечения операционной надежности и защиты информации, а также вне проводимой оценки эффективности системы управления риском реализации информационных угроз.

• 8.5 Направление 4 «Совершенствование системы управления риском реализации информационных угроз»

• 8.5.1 Процесс «Обеспечение соответствия фактических значений КПУР принятым»

  • 8.5.1.1 Применяемые финансовой организацией меры по обеспечению соответствия фактических значений КПУР принятым должны обеспечивать:

• - проведение анализа необходимости совершенствования системы управления риском реализации информационных угроз;

• - принятие решений по совершенствованию системы управления риском реализации информационных угроз.

• 8.5.1.2 Состав мер по проведению анализа необходимости совершенствования системы управления риском реализации информационных угроз применительно к уровням защиты приведен в таблице 26.

Таблица 26 — Состав мер по проведению анализа необходимости совершенствования системы управления риском реализации информационных угроз

Окончание таблицы 26

• 8.5.1.3 Состав мер по принятию решений по совершенствованию системы управления риском реализации информационных угроз применительно к уровням защиты приведен в таблице 27.

Таблица 27 — Состав мер по принятию решений по совершенствованию системы управления риском реализации информационных угроз

Окончание таблицы 27

* В рамках фиксации решений по совершенствованию системы управления риском реализации информационных угроз должны быть приведены выводы об отсутствии необходимости тактических или стратегических улучшений системы либо указаны направления соответствующих улучшений.

Приложение А (обязательное)

Классификация событий риска реализации информационных угроз с точки зрения источников риска

А.1 Классификация событий риска реализации информационных угроз с точки зрения источников риска производится по четырем категориям:

• - категория 1 «недостатки процессов»;

• - категория 2 «действия персонала и других связанных с финансовой организацией лиц»;

• - категория 3 «сбои объектов информатизации»²⁶);

• - категория 4 «внешние факторы».

А.2 Финансовая организация классифицирует события риска реализации информационных угроз с точки зрения источников риска первого уровня по четырем категориям согласно А.1, а также по уязвимостям, обусловленным недостатками процессов обеспечения операционной надежности и защиты информации, посредством которых реализована информационная угроза.

А.З В целях дополнительной классификации событий риска реализации информационных угроз финансовая организация к категории «недостатки процессов» относит:

• - недостатки процессов применения технологических мер защиты информации, обрабатываемой в рамках технологических операций при выполнении бизнес- и технологических процессов;

• - недостатки процессов применения прикладного программного обеспечения автоматизированных систем и приложений, соответствующих требованиям к обеспечению защиты информации [8]—[10];

• - недостатки процессов планирования, реализации, контроля и совершенствования процессов обеспечения операционной надежности и защиты информации;

• - недостатки других внутренних процессов, связанных с обеспечением операционной надежности и защиты информации финансовой организации.

А.4 В целях дополнительной классификации событий риска реализации информационных угроз финансовая организация к категории «действия персонала и других связанных с финансовой организацией лиц» относит реализацию несанкционированного доступа работников финансовой организации или третьих лиц, обладающих полномочиями доступа к объектам информатизации инфраструктурного уровня финансовой организации (действия внутреннего нарушителя).

А.5 В целях дополнительной классификации событий риска реализации информационных угроз финансовая организация к категории «сбои объектов информатизации» относит сбои и отказы в работе объектов информатизации в результате реализации информационных угроз.

А.6 В целях дополнительной классификации событий риска реализации информационных угроз финансовая организация к категории «внешние факторы» относит реализацию компьютерных атак или несанкционированного доступа лиц, не обладающих полномочиями доступа к объектам информатизации инфраструктурного уровня финансовой организации (действия внешнего нарушителя), в том числе с целью:

• - блокирования штатного функционирования бизнес- и технологических процессов финансовой организации;

• - хищения, искажения, удаления информации конфиденциального характера (включая персональные данные).

А.7 В рамках дополнительной детализации классификации источников риска реализации информационных угроз финансовые организации классифицируют источники риска с точки зрения направлений компьютерных атак, типов компьютерных атак и компьютерных инцидентов и типов атакуемых объектов.

А.7.1 По вектору (направлению) компьютерных атак:

• - компьютерные атаки, направленные на объекты информатизации финансовой организации;

• - компьютерные атаки, направленные на клиента финансовой организации.

А.7.2 По типам компьютерных атак и компьютерных инцидентов, определяемых согласно форматам представления информации о компьютерных инцидентах в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, учитывающим формы и сроки взаимодействия Банка России с участниками информационного обмена при выявлении инцидентов [32].

А.7.3 По типам атакуемых объектов:

• а) на инфраструктурном уровне объектов информатизации (системном уровне информационной инфраструктуры):

• - аппаратное обеспечение;

• - сетевое оборудование;

• - сетевые приложения и сервисы;

• - серверные компоненты виртуализации, программные инфраструктурные сервисы;

• - операционные системы, системы управления базами данных, сервера приложений;

• б) на прикладном уровне объектов информатизации (уровне автоматизированных систем и приложений), используемых для выполнения бизнес- и технологических процессов финансовой организации при оказании финансовых и (или) информационных услуг:

• - система дистанционного банковского обслуживания;

• - система обработки транзакций, осуществляемых с использованием платежных карт;

• - информационный ресурс сети Интернет;

• - автоматизированная банковская система;

• - система посттранзакционного обслуживания операций, осуществляемых с использованием платежных карт;

• - автоматизированные системы, используемые работниками финансовой организации;

• в) на прикладном уровне объектов информатизации (уровне автоматизированных систем и приложений), используемых клиентом финансовой организации при получении финансовых и (или) информационных услуг:

• - мобильное приложение;

• - файловый сервер;

• - система дистанционного банковского обслуживания;

• - сервер электронной почты;

• - автоматизированная система, используемая работниками клиента финансовой организации;

• г) другой тип объектов информатизации;

• д) работники финансовой организации;

• е) причастные стороны финансовой организации (за исключением клиентов финансовой организации);

• ж) клиенты финансовой организации.

Приложение Б (обязательное)

Классификация событий риска реализации информационных угроз и событий операционной надежности с точки зрения типов событий реализации информационных угроз

Б.1 Финансовая организация дополнительно классифицирует риск реализации информационных угроз по событиям риска в разрезе следующих типов событий реализации информационных угроз.

Примечание — Кредитные организации при классификации события риска реализации информационных угроз с точки зрения типов событий применяют в качестве первого уровня классификации типы событий операционной риска, установленные нормативными актами Банка России [6]:

преднамеренные действия персонала;

преднамеренные действия третьих лиц;

нарушение кадровой политики и безопасности труда;

нарушение прав клиентов и контрагентов;

ущерб материальным активам;

нарушение и сбои систем и оборудования;

нарушение организации, исполнения и управления процессами.

Б.1.1 События реализации информационных угроз, связанные с осуществлением операций по переводу денежных средств без согласия клиентов.

Б. 1.2 События реализации информационных угроз, связанные с осуществлением финансовых сделок с использованием финансовой платформы без волеизъявления участников финансовой платформы.

Б. 1.3 События реализации информационных угроз, связанные с осуществлением несанкционированных финансовых (банковских) операций²⁷).

Б.1.4 События реализации информационных угроз, связанные с нарушением операционной надежности.

Б.1.5 События реализации информационных угроз, связанные с выявлением уязвимостей в объектах информатизации финансовой организации.

Б. 1.6 События реализации информационных угроз, связанные с неконтролируемым распространением информации конфиденциального характера (утечками информации).

Б.1.7 События реализации информационных угроз, связанные с обработкой (хранением, уничтожением) информации без использования объектов информационной инфраструктуры и приводящие к утечке, искажению или потере информации конфиденциального характера (включая персональные данные), а также к случаям побуждения клиентов финансовой организации к осуществлению финансовых (банковских) операций, в том числе операций по переводу денежных средств путем обмана или злоупотребления доверием (методов социальной инженерии), которые привели и (или) могут привести к случаям мошенничества и (или) кражи с банковского счета в отношении клиентов финансовой организации.

Б.2 Детализация классификации по событиям реализации информационных угроз, связанных с возникновением финансовых инцидентов, приведена в таблицах Б.1—Б.18.

Окончание таблицы Б. 1

* Для кредитных организаций, признанных значимыми на рынке платежных услуг в соответствии с нормативным актом Банка России [3], пороговый уровень допустимого времени простоя и (или) деградации технологических процессов составляет два часа.

Таблица Б.З — Детализированная классификация событий реализации информационных угроз, связанных с осуществлением несанкционированных финансовых (банковских) операций, а также событий реализации информационных угроз, связанных с нарушением операционной надежности, для некредитных финансовых организаций, осуществляющих дилерскую деятельность

Таблица Б.4 — Детализированная классификация событий реализации информационных угроз, связанных с осуществлением несанкционированных финансовых (банковских) операций, для некредитных финансовых организаций, осуществляющих деятельность форекс-дилера

Таблица Б.5 — Детализированная классификация событий реализации информационных угроз, связанных с осуществлением несанкционированных финансовых (банковских) операций, а также событий реализации информационных угроз, связанных с нарушением операционной надежности, для некредитных финансовых организаций, осуществляющих деятельность по управлению ценными бумагами

Таблица Б.6 — Детализированная классификация событий реализации информационных угроз, связанных с осуществлением несанкционированных финансовых (банковских) операций, а также событий реализации информационных угроз, связанных с нарушением операционной надежности, для некредитных финансовых организаций, осуществляющих деятельность регистратора

Таблица Б.12 — Детализированная классификация событий реализации информационных угроз, связанных с осуществлением несанкционированных финансовых (банковских) операций, а также событий реализации информационных угроз, связанных с нарушением операционной надежности, для некредитных финансовых организаций, осуществляющих деятельность специализированных депозитариев инвестиционного фонда, паевого инвестиционного фонда и негосударственного пенсионного фонда

Таблица Б. 13 — Детализированная классификация событий реализации информационных угроз, связанных с осуществлением несанкционированных финансовых (банковских) операций, а также событий реализации информационных угроз, связанных с нарушением операционной надежности, для некредитных финансовых организаций, осуществляющих деятельность негосударственных пенсионных фондов

g Таблица Б.14 — Детализированная классификация событий реализации информационных угроз, связанных с осуществлением несанкционированных финансовых (банковских) операций, а также событий реализации информационных угроз, связанных с нарушением операционной надежности, для некредитных финансовых организаций, осуществляющих деятельность субъектов страхового дела

Таблица Б. 15 — Детализированная классификация событий реализации информационных угроз, связанных с осуществлением несанкционированных финансовых (банковских) операций, а также событий реализации информационных угроз, связанных с нарушением операционной надежности, для некредитных финансовых организаций, осуществляющих деятельность операторов инвестиционных платформ

Таблица Б. 16 — Детализированная классификация событий реализации информационных угроз, связанных с осуществлением несанкционированных финансовых (банковских) операций, а также событий реализации информационных угроз, связанных с нарушением операционной надежности, для некредитных финансовых организаций, осуществляющих деятельность операторов финансовых платформ

Таблица Б. 18 — Детализированная классификация событий реализации информационных угроз, связанных с осуществлением несанкционированных финансовых (банковских) операций, а также событий реализации информационных угроз, связанных с нарушением операционной надежности, для некредитных финансовых организаций, осуществляющих деятельность операторов информационных систем, в которых осуществляется выпуск цифровых финансовых активов

Приложение В (обязательное)

Классификация событий риска реализации информационных угроз в разрезе видов (направлений) деятельности финансовых организаций

• В.1 Классификация событий риска реализации информационных угроз с точки зрения видов (направлений) деятельности осуществляется финансовой организацией согласно подходу, описанному ниже.

• В.2 Кредитные организации классифицируют события риска реализации информационных угроз с точки зрения следующих видов (направлений) деятельности первого уровня [6], представленных в В.2.1—В.2.9.

  • В.2.1 Оказание услуг юридическим лицам, органам государственной власти и местного самоуправления по организации доступа к рынкам капитала, оптимизации структуры активов и повышению качества корпоративного управления, слияниям и поглощениям, оказанию консультационных услуг финансового посредничества, в том числе при организации синдицированного кредитования (корпоративное финансирование).

  • В.2.2 Осуществление операций и сделок с финансовыми инструментами торгового портфеля (операции и сделки на финансовом рынке).

  • В.2.3 Оказание банковских услуг розничным клиентам, кроме брокерских и депозитарных услуг (розничное банковское обслуживание).

  • В.2.4 Оказание юридическим лицам банковских услуг, за исключением основного вида (направления) деятельности первого уровня кредитной организации, указанного в В.2.1 (коммерческое банковское обслуживание корпоративных клиентов).

  • В.2.5 Осуществление переводов денежных средств, платежей и расчетов через платежные системы, в том числе платежную систему Банка России, в которых кредитная организация выступает как оператор по переводу денежных средств, в том числе платежей по собственным операциям, за исключением внутрибанковских операций по организации услуг по проведению платежей, расчетов и взаимодействия с клиентом в рамках предоставления банковских услуг, относящихся к основным направлениям деятельности первого уровня кредитной организации, указанным в В.2.3, В.2.4, В.2.6—В.2.8 (осуществление переводов денежных средств, платежей и расчетов через платежные системы).

  • В.2.6 Оказание агентских и депозитарных услуг, в том числе услуг по хранению сертификатов ценных бумаг и (или) их учету, обеспечению сохранности активов и документов клиентов (агентские услуги и депозитарные услуги).

  • В.2.7 Управление активами клиентов по договорам доверительного управления (управление активами).

  • В.2.8 Брокерское обслуживание розничных клиентов (розничное брокерское обслуживание).

  • В.2.9 Обеспечивающие и организационные направления деятельности, например бухгалтерский учет, административно-хозяйственная деятельность, управление рисками, деятельность по обеспечению функционирования информационных систем, обеспечение физической безопасности, противопожарной безопасности и охраны труда, юридическое сопровождение, управление персоналом (обеспечение деятельности кредитной организации).

• В.З В качестве последующего уровня классификации события риска реализации информационных угроз классифицируются кредитными организациями по направлениям деятельности с точки зрения следующих бизнес-и технологических процессов, представленных в В.3.1—В.3.13.

  • В.3.1 Бизнес- и технологический процесс, обеспечивающий привлечение денежных средств физических лиц во вклады.

  • В.3.2 Бизнес- и технологический процесс, обеспечивающий привлечение денежных средств юридических лиц во вклады.

  • В.3.3 Бизнес- и технологический процесс, обеспечивающий размещение привлеченных во вклады денежных средств физических и (или) юридических лиц от своего имени и за свой счет.

  • В.3.4 Бизнес- и технологический процесс, обеспечивающий осуществление переводов денежных средств по поручению физических лиц по их банковским счетам.

  • В.3.5 Бизнес- и технологический процесс, обеспечивающий осуществление переводов денежных средств по поручению юридических лиц, в том числе банков-корреспондентов, по их банковским счетам, за исключением переводов по распоряжениям участников платежной системы²⁸).

  • В.3.6 Бизнес- и технологический процесс, обеспечивающий открытие и ведение банковских счетов физических лиц.

  • В.3.7 Бизнес- и технологический процесс, обеспечивающий открытие и ведение банковских счетов юридических лиц.

  • В.3.8 Бизнес- и технологический процесс, обеспечивающий осуществление переводов денежных средств без открытия банковских счетов, в том числе электронных денежных средств (за исключением почтовых переводов).

  • В.3.9 Бизнес- и технологический процесс, обеспечивающий выполнение операций на финансовых рынках.

  • В.3.10 Бизнес- и технологический процесс, обеспечивающий выполнение кассовых операций.

  • В.3.11 Бизнес- и технологический процесс, обеспечивающий работу онлайн-сервисов дистанционного обслуживания и доступа к осуществлению операций.

  • В.3.12 Бизнес- и технологический процесс, обеспечивающий размещение и обновление биометрических персональных данных в единой биометрической системе.

  • В.3.13 Бизнес- и технологический процесс, обеспечивающий идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, в том числе с применением информационных технологий без их личного присутствия.

• В.4 Некредитные финансовые организации классифицируют события риска реализации информационных угроз с точки зрения следующих видов (направлений) деятельности первого уровня, представленных в В.4.1—В.4.16.

  • В.4.1 Осуществление деятельности профессиональных участников рынка ценных бумаг:

• - осуществление брокерской деятельности;

• - осуществление дилерской деятельности;

• - осуществление деятельности по управлению ценными бумагами;

• - осуществление деятельности регистратора;

• - осуществление депозитарной деятельности, включая деятельность центрального депозитария.

• В.4.2 Осуществление деятельности управляющих компаний инвестиционного фонда, паевого инвестиционного фонда и негосударственного пенсионного фонда.

• В.4.3 Осуществление деятельности специализированных депозитариев инвестиционного фонда, паевого инвестиционного фонда и негосударственного пенсионного фонда.

• В.4.4 Осуществление клиринговой деятельности и деятельности центрального контрагента.

• В.4.5 Осуществление деятельности организатора торговли.

• В.4.6 Осуществление репозитарной деятельности.

• В.4.7 осуществление деятельности регистратора финансовых транзакций.

• В.4.8 Осуществление деятельности субъектов страхового дела.

• В.4.9 Осуществление деятельности негосударственных пенсионных фондов.

• В.4.10 Осуществление деятельности микрофинансовых организаций.

• В.4.11 Осуществление деятельности кредитных потребительских кооперативов.

• В.4.12 Осуществление деятельности жилищных накопительных кооперативов.

• В.4.13 Осуществление деятельности сельскохозяйственных кредитных потребительских кооперативов.

• В.4.14 Осуществление деятельности оператора инвестиционной платформы.

• В.4.15 Осуществление деятельности ломбардов.

• В.4.16 Осуществление деятельности оператора финансовой платформы.

• В.4.17 Осуществление деятельности операторов информационных систем, в которых осуществляется выпуск цифровых финансовых активов.

• В.4.18 Осуществление деятельности операторов обмена цифровых финансовых активов.

• В.5 В рамках дополнительной детализации классификации событий риска реализации информационных угроз с точки зрения видов (направлений) деятельности отдельные некредитные финансовые организации классифицируют виды (направления) деятельности, в том числе с точки зрения составляющих их бизнес- и технологических процессов, представленных в В.5.1—В.5.17.

  • В.5.1 Осуществление брокерской деятельности:

• - бизнес- и технологический процесс, обеспечивающий исполнение поручений клиентов на совершение сделок с ценными бумагами и заключение договоров, являющихся производными финансовыми инструментами;

• - бизнес- и технологический процесс, обеспечивающий внесение записей во внутренний учет;

• - бизнес- и технологический процесс, обеспечивающий возврат клиентам денежных средств.

• В.5.2 Осуществление дилерской деятельности:

• - бизнес- и технологический процесс, обеспечивающий совершение сделок купли-продажи ценных бумаг от своего имени и за свой счет путем публичного объявления цен покупки и (или) продажи определенных ценных бумаг с обязательством покупки и (или) продажи этих ценных бумаг по объявленным лицом, осуществляющим такую деятельность, ценам;

• - бизнес- и технологический процесс, обеспечивающий внесение записей во внутренний учет.

• В.5.3 Осуществление деятельности форекс-дилера:

• - бизнес- и технологический процесс, обеспечивающий заключение от своего имени и за свой счет с физическими лицами, не являющимися индивидуальными предпринимателями, не на организованных торгах сделок, перечисленных в ст. 4.1 Федерального закона [33];

• - бизнес- и технологический процесс, обеспечивающий внесение записей во внутренний учет;

• - бизнес- и технологический процесс, обеспечивающий возврат клиентам денежных средств.

• В.5.4 Осуществление деятельности по управлению ценными бумагами:

• - бизнес- и технологический процесс, обеспечивающий совершения сделок с ценными бумагами и (или) заключения договоров, являющихся производными финансовыми инструментами в интересах учредителя управления;

• - бизнес- и технологический процесс, обеспечивающий внесение записей во внутренний учет;

• - бизнес- и технологический процесс, обеспечивающий возврат клиентам денежных средств.

• В.5.5 Осуществление деятельности регистратора:

• - бизнес- и технологический процесс, обеспечивающий внесение учетных записей в реестр владельцев ценных бумаг;

• - бизнес- и технологический процесс, обеспечивающий осуществление регистратором сверки учитываемых регистратором прав на ценные бумаги с центральным депозитарием по счету номинального держателя центрального депозитария.

• В.5.6 Осуществление депозитарной деятельности, включая деятельность центрального депозитария:

• - бизнес- и технологический процесс, обеспечивающий внесение учетных записей в учетные регистры;

• - бизнес- и технологический процесс, обеспечивающий осуществление расчетным депозитарием расчетов по результатам сделок, совершенных на организованных торгах;

• - бизнес- и технологический процесс, обеспечивающий выплату депоненту доходов в денежной форме, причитающихся владельцам ценных бумаг;

• - бизнес- и технологический процесс, обеспечивающий осуществление центральным депозитарием сверки учитываемых центральным депозитарием прав на ценные бумаги с регистратором по счету номинального держателя центрального депозитария.

• В.5.7 Осуществление деятельности управляющих компаний инвестиционного фонда, паевого инвестиционного фонда и негосударственного пенсионного фонда:

• - бизнес- и технологический процесс, обеспечивающий доверительное управление имуществом фондов, в том числе осуществление прав, удостоверенных ценными бумагами, составляющими фонды;

• - бизнес- и технологический процесс, обеспечивающий реализацию прав владельцев инвестиционных паев;

• - бизнес- и технологический процесс, обеспечивающий осуществление учета имущества фондов и контроля за его распоряжением им, в том числе процесс взаимодействия со специализированным депозитарием.

• В.5.8 Осуществление деятельности специализированных депозитариев инвестиционного фонда, паевого инвестиционного фонда и негосударственного пенсионного фонда:

• - бизнес- и технологический процесс, обеспечивающий осуществление специализированным депозитарием контроля за распоряжением имуществом клиентов;

• - бизнес- и технологический процесс, обеспечивающий внесение учетных записей в реестр владельцев ценных бумаг (в случае оказания услуг по ведению реестра владельцев инвестиционных паев паевых инвестиционных фондов, ипотечных сертификатов участия).

• В.5.9 Осуществление клиринговой деятельности и деятельности центрального контрагента:

• - бизнес- и технологический процесс, обеспечивающий определение подлежащих исполнению обязательств;

• - бизнес- и технологический процесс, обеспечивающий совершение действий, направленных на исполнение подлежащих исполнению обязательств;

• - бизнес- и технологический процесс, обеспечивающий направление поручения на возврат имущества, являющегося клиринговым обеспечением.

• В.5.10 Осуществление деятельности организатора торговли:

• - бизнес- и технологический процесс, обеспечивающий заключение договора между участниками торгов;

• - бизнес- и технологический процесс, обеспечивающий ведение реестров участников торгов и их клиентов, реестра заявок, реестра заключенных на организованных торгах договоров, реестра внебиржевых договоров;

• - бизнес- и технологический процесс, обеспечивающий раскрытие и предоставление информации организатора торговли.

• В.5.11 Осуществление репозитарной деятельности:

• - бизнес- и технологический процесс, обеспечивающий учет заключенных не на организованных торгах договоров РЕПО, договоров, являющихся производными финансовыми инструментами, а также иных договоров;

• - бизнес- и технологический процесс, обеспечивающий учет регистратором финансовых транзакций информации о совершении финансовых сделок и об операциях по ним с использованием финансовой платформы;

• - бизнес- и технологический процесс, обеспечивающий передачу реестра, ведение которого осуществляет репозитарий, в Банк России или в другой репозитарий.

• В.5.12 Осуществление деятельности субъектов страхового дела:

• - бизнес- и технологический процесс, обеспечивающий учет страховых случаев;

• - бизнес- и технологический процесс, обеспечивающий возврат страховой премии;

• - бизнес- и технологический процесс, обеспечивающий работу сайтов в части размещения информации, предусмотренной пунктом 6 статьи 6 Закона Российской Федерации [34].

• В.5.13 Осуществление деятельности негосударственных пенсионных фондов:

• - бизнес- и технологический процесс, обеспечивающий осуществление выплат вкладчикам, участникам, застрахованным лицам и их правопреемникам негосударственного пенсионного фонда в рамках обязательного пенсионного страхования и негосударственного пенсионного обеспечения;

• - бизнес- и технологический процесс, обеспечивающий передачу средств пенсионных резервов и пенсионных накоплений управляющей компании;

• - бизнес- и технологический процесс, обеспечивающий перевод выкупных сумм (средств пенсионных накоплений) в иные негосударственные пенсионные фонды и Пенсионный фонд Российской Федерации;

• - бизнес- и технологический процесс, обеспечивающий размещение средств пенсионных резервов;

• - бизнес- и технологический процесс, обеспечивающий расторжение договора негосударственного пенсионного обеспечения, договора об обязательном пенсионном страховании с негосударственным пенсионным фондом.

• В.5.14 Осуществление деятельности операторов инвестиционных платформ:

• - бизнес- и технологический процесс, обеспечивающий предоставление доступа к инвестиционной платформе;

• - бизнес- и технологический процесс, обеспечивающий размещение инвестиционного предложения;

• - бизнес- и технологический процесс, обеспечивающий инвестирование с использованием инвестиционной платформы путем предоставления займов;

• - бизнес- и технологический процесс, обеспечивающий инвестирование с использованием инвестиционной платформы путем приобретения эмиссионных ценных бумаг, размещаемых с использованием инвестиционной платформы;

• - бизнес- и технологический процесс, обеспечивающий инвестирование с использованием инвестиционной платформы путем приобретения утилитарных цифровых прав;

• - бизнес- и технологический процесс, обеспечивающий инвестирование путем приобретения цифровых финансовых активов.

• В.5.15 Осуществление деятельности оператора финансовой платформы, включая бизнес- и технологический процесс, обеспечивающий возможность совершения участниками финансовой платформы финансовых сделок с использованием финансовой платформы.

• В.5.16 Осуществление деятельности операторов информационных систем, в которых осуществляется выпуск цифровых финансовых активов:

• - бизнес- и технологический процесс, обеспечивающий доступ к информационной системе, в том числе ведение реестра пользователей информационной системы;

• - бизнес- и технологический процесс, обеспечивающий выпуск цифровых финансовых активов в информационной системе;

• - бизнес- и технологический процесс, обеспечивающий обращение цифровых финансовых активов в информационной системе, в том числе их погашение записей о цифровых финансовых активах;

• - бизнес- и технологический процесс, обеспечивающий внесение записей оператором информационной системы в соответствии с частью 2 статьи 6 Федерального закона [35];

• - бизнес- и технологический процесс, обеспечивающий внесение учетных записей в реестр владельцев акций непубличных акционерных обществ, осуществляющих выпуск цифровых финансовых активов, удостоверяющих права участия в капитале указанных непубличных акционерных обществ;

• - бизнес- и технологический процесс, обеспечивающий взаимодействие с оператором обмена цифровых финансовых активов;

• - бизнес- и технологический процесс, обеспечивающий мониторинг тождественности информации, содержащейся во всех базах данных, составляющих распределенный реестр.

• В.5.17 Осуществление деятельности операторов обмена цифровых финансовых активов:

• - бизнес- и технологический процесс, обеспечивающий возможность совершения сделок с цифровыми финансовыми активами;

• - бизнес- и технологический процесс, обеспечивающий взаимодействие с оператором информационной системы.

• В.6 В рамках дополнительной детализации классификации событий риска реализации информационных угроз в разрезе направлений деятельности, в том числе в разрезе составляющих их процессов, финансовая организация классифицирует бизнес- и технологические процессы в разрезе составляющих их технологических участков, определенных в приложении А ГОСТ Р 57580.4—2022.

Приложение Г (обязательное)

Классификация событий риска реализации информационных угроз в разрезе видов потерь от реализации риска

Г.1 Потери от реализации события риска реализации информационных угроз классифицируются финансовой организацией на прямые и непрямые потери.

Г.2 К прямым потерям финансовой организации относятся потери, отраженные на счетах расходов и убытков в бухгалтерском учете и на приравненных к ним счетах по учету дебиторской задолженности.

Г.З К непрямым потерям финансовой организации относятся потери, не отраженные в бухгалтерском учете, но косвенно связанные с событиями риска реализации информационных угроз, которые включают:

потери, определяемые расчетным методом в денежном выражении (косвенные потери);

потери, определяемые с использованием экспертного мнения, в случае если потери не выражены в денежном выражении расчетным методом (качественные потери);

потери, не реализовавшиеся в виде прямых и косвенных потерь, которые могли бы возникнуть при реализации не выявленных финансовой организацией источников риска реализации информационных угроз и (или) при неблагоприятном стечении обстоятельств (потенциальные потери).

Г.4 К потенциальным потерям относятся потери (в том числе хищение) средств клиентов, контрагентов, работников и третьих лиц, которые не были компенсированы кредитной организацией, включая потери средств физических лиц, в том числе индивидуальных предпринимателей, юридических лиц, штрафы, наложенные на должностных лиц кредитной организации.

Приложение Д (обязательное)

Состав КПУР для кредитных организаций

Д.1 Для целей настоящего стандарта состав КПУР для кредитных организаций, определяемый согласно требованиям нормативных актов Банка России [6], распределен по группам, представленным в Д.1.1—Д.1.3.

Д.1.1 Состав группы КПУР, характеризующих уровень совокупных потерь кредитной организации в результате событий риска реализации информационных угроз, приведен в таблице Д.1.

Д.1.2 Состав группы КПУР, характеризующих уровень несанкционированных операций (потерь клиентов) в результате инцидентов, приведен в таблице Д.2.

Д.1.3 Состав группы КПУР, характеризующих уровень зрелости процессов управления риском реализации информационных угроз, обеспечения операционной надежности и защиты информации, приведен в таблице Д.З.

Д.2 В рамках таблиц Д.1—Д.З для сигнальных и контрольных значений КПУР, которые кредитная организация определяет самостоятельно, используется обозначение «С» (если иное не установлено нормативными актами Банка России). Для сигнальных и контрольных значений КПУР, которые кредитная организация определяет согласно требованиям нормативных актов Банка России, используется обозначение «ТН».

Таблица Д.1 — Базовый состав группы КПУР, характеризующих уровень совокупных потерь кредитной организации в результате инцидентов

Окончание таблицы Д. 1

Таблица Д.2 — Базовый состав группы КПУР, характеризующих уровень несанкционированных операций в результате инцидентов

Продолжение таблицы Д. 2

Окончание таблицы Д. 2

*** Сумма денежных средств по операциям по переводу денежных средств без согласия клиента — физического лица должна определяться как сумма денежных средств по операциям по переводу денежных средств, в отношении которых кредитная организация не приостановила исполнение распоряжений о совершении операций по переводу денежных средств в соответствии с частью 5.1 статьи 8 Федерального закона [11] и по которым получены уведомления от клиентов — физических лиц об использовании электронного средства платежа без их согласия, в том числе в соответствии с частью 11 статьи 9 Федерального закона [11], и денежных средств по операциям, соответствующим признакам осуществления перевода денежных средств без согласия клиента — физического лица, в отношении которых кредитная организация не приняла к исполнению и (или) приостановила исполнение распоряжений о совершении операций по переводу денежных средств в соответствии с частью 5.1 статьи 8 Федерального закона [11], за исключением случаев, когда получены подтверждения клиентов — физических лиц о направлении распоряжения о совершении операции по переводу денежных средств с их согласия и (или) получены подтверждения клиентов — физических лиц о возобновлении исполнения распоряжений в соответствии с частью 5.3 статьи 8 Федерального закона [11].

Таблица Д.З — Базовый состав группы КПУР, характеризующих уровень зрелости процессов обеспечения операционной надежности и защиты информации

Приложение Е (обязательное)

Состав КПУР для некредитных финансовых организаций

• Е.1 Для целей настоящего стандарта состав КПУР для некредитных финансовых организаций распределен по группам.

  • Е.1.1 Состав группы КПУР, характеризующих уровень совокупных потерь некредитной финансовой организации в результате инцидентов, приведен в таблице Е.1.

  • Е.1.2 Состав группы КПУР, характеризующих уровень несанкционированных операций в результате инцидентов, приведен в таблице Е.2.

  • Е.1.3 Состав группы КПУР, характеризующих уровень зрелости процессов управления риском реализации информационных угроз, обеспечения операционной надежности и защиты информации, приведен в таблице Е.З.

• Е.2 В рамках таблиц Е.1—Е.З для сигнальных и контрольных значений КПУР, которые кредитная организация определяет самостоятельно, используется обозначение «С» (если иное не установлено нормативными актами Банка России). Для сигнальных и контрольных значений КПУР, которые некредитная финансовая организация определяет согласно требованиям нормативных актов Банка России, используется обозначение «ТН».

Таблица Е.1 — Базовый состав группы КПУР, характеризующих уровень совокупных потерь некредитной финансовой организации в результате инцидентов

Таблица Е.2 — Базовый состав группы КПУР, характеризующих уровень несанкционированных операций в результате инцидентов

Таблица Е.З — Базовый состав группы КПУР, характеризующих уровень зрелости процессов управления риском реализации информационных угроз, обеспечения операционной надежности и защиты информации

Окончание таблицы Е.З

Библиография

• [1] Федеральный закон от 10 июля 2002 г. № 86-ФЗ «О Центральном банке Российской Федерации (Банке России)»

• [2] Нормативный акт Банка России, устанавливающий порядок признания Банком России инфраструктурных организаций финансового рынка системно значимыми на основании Федерального закона от 10 июля 2002 г. № 86-ФЗ «О Центральном банке Российской Федерации (Банке России)»

• [3] Нормативный акт Банка России, устанавливающий значения критериев для признания платежной системы значимой на основании частей 1 и 2 статьи 22 Федерального закона от 27 июня 2011 г. № 161-ФЗ «О национальной платежной системе»

• [4] Committee on Payments and Market Infrastructures, Board of the International Organization of Securities Commissions. Guidance on cyber resilience for financial market infrastructures. URL: https://www.bis.org/cpmi/publ/d146. htm (дата обращения: 28.06.2020)

• [5] Financial Stability Board. Effective Practices for Cyber Incident Response and Recovery: Consultative document. URL: https://www.fsb.org/wp-content/uploads/P200420-1 .pdf (дата обращения: 31.03.2021)

• [6] Нормативный акт Банка России, устанавливающий требования к системе управления операционным риском в кредитной организации и банковской группе на основании статьи 57.1 Федерального закона от 10 июля 2002 г. № 86-ФЗ «О Центральном банке Российской Федерации (Банке России)» и статьи 11.1-2 Закона Российской Федерации от 2 декабря 1990 г. № 395-1 «О банках и банковской деятельности»

• [7] Федеральный закон от 29 июня 2015 г. № 162-ФЗ «О стандартизации в Российской Федерации»

• [8] Нормативный акт Банка России, устанавливающий обязательные для кредитных организаций требования к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента на основании статьи 57.4 Федерального закона от 10 июля 2002 г. № 86-ФЗ «О Центральном банке Российской Федерации (Банке России)»

• [9] Нормативный акт Банка России, устанавливающий обязательные для некредитных финансовых организаций требования к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций на основании статьи 76.4-1 Федерального закона от 10 июля 2002 г. № 86-ФЗ «О Центральном банке Российской Федерации (Банке России)»

• [10] Нормативный акт Банка России, устанавливающий требования к обеспечению защиты информации при осуществлении переводов денежных средств и порядок осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств на основании части 3 статьи 27 Федерального закона от 27 июня 2011 г. № 161-ФЗ «О национальной платежной системе»

• [11] Федеральный закон от 27 июня 2011 г. № 161-ФЗ «О национальной платежной системе»

• [12] Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных»

• [13] Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о за

щите информации»

• [14] Федеральный закон от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»

• [15] Нормативный акт Банка России, устанавливающий требования к системе управления рисками и капиталом кредитной организации и банковской группы на основании Федерального закона от 10 июля 2002 г. № 86-ФЗ «О Центральном банке Российской Федерации (Банке России)» и Закона Российской Федерации от 2 декабря 1990 г. № 395-1 «О банках и банковской деятельности»

• [16] Постановление Правительства Российской Федерации от 3 февраля 2012 г. № 79 «О лицензировании деятельности по технической защите конфиденциальной информации»

• [17] ИСО/МЭК 27014:2020 Информационная безопасность, кибербезопасность и защита конфи

денциальности. Управление информационной безопасностью (Information security, cybersecurity and privacy protection — Governance of information security)

• [18] Закон Российской Федерации от 2 декабря 1990 г. № 395-1 «О банках и банковской деятельности»

• [19] Федеральный закон от 26 декабря 1995 г. № 208-ФЗ «Об акционерных обществах»

• [20] Рекомендации в области Обеспечение информационной безопасности организаций банковской

стандартизации Банка России системы Российской Федерации. Методика оценки рисков нарушения PC БР ИББС-2.2-2009 информационной безопасности

• [21] Нормативный акт Банка России, устанавливающий требования к защите информации в платежной системе Банка России на основании пункта 19 части 1 и части 9 статьи 20 Федерального закона от 27 июня 2011 г. № 161-ФЗ «О национальной платежной системе»

• [22] Рекомендации в области Обеспечение информационной безопасности организаций банковской

стандартизации Банка России системы Российской Федерации. Ресурсное обеспечение информаци-РС БР ИББС-2.7-2015 онной безопасности

• [23] Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, разработанный в соответствии с частью 4 статьи 19 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных»

• [24] Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности, разработанных в соответствии с частью 4 статьи 19 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных»

• [25] Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, разработанные в соответствии с пунктом 4 части 3 статьи 6 Федерального закона от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»

  [26]	Требования к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования, разработанные в соответствии с пунктом 4 части 3 статьи 6 Федерального закона от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»
  [27]	Стандарт Банка России СТО БР ИББС-1.4-2018	Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Управление риском нарушения информационной безопасности при аутсорсинге
  [28]	Стандарт Банка России СТО БР ФАПИ.СЕК-1.6-2020	Безопасность финансовых (банковских) операций. Прикладные программные интерфейсы обеспечения безопасности финансовых сервисов на основе протокола OpenlD. Требования
  [29]	Стандарт Банка России СТО БР ФАПИ.ПАОК-1.0-2021	Безопасность финансовых (банковских) операций. Прикладные программные интерфейсы. Обеспечение безопасности финансовых сервисов при инициации OpenlD Connect клиентом потока аутентификации по отдельному каналу. Требования
  [30]	Рекомендации в области стандартизации Банка России PC БР ИББС-2.5-2014	Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Менеджмент инцидентов информационной безопасности
  [31]	Стандарт Банка России СТО БР ИББС-1.3-2016	Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Сбор и анализ технических данных при реагировании на инциденты информационной безопасности при осуществлении переводов денежных средств

  [32]

  
  

  Стандарт Банка России

  СТО БР БФБО-1.5-2018

  
  

Безопасность финансовых (банковских) операций. Управление инцидентами информационной безопасности. О формах и сроках взаимодействия Банка России с участниками информационного обмена при выявлении инцидентов, связанных с нарушением требований к обеспечению защиты информации

• [33] Федеральный закон от 22 апреля 1996 г. № 39-ФЗ «О рынке ценных бумаг»

• [34] Закон Российской Федерации от 27 ноября 1992 г. № 4015-1 «Об организации страхового дела в Российской Федерации»

• [35] Федеральный закон от 31 июля 2020 г. № 259-ФЗ «О цифровых финансовых активах, цифровой валюте и о внесении изменений в отдельные законодательные акты Российской Федерации»

• [36] Нормативный акт Банка России о требованиях к порядку обеспечения бесперебойности функционирования платежной системы, показателям бесперебойности функционирования платежной системы и методикам анализа рисков в платежной системе, включая профили рисков на основании пунктов 4—6 части 3 статьи 28 Федерального закона от 27 июня 2011 г. № 161-ФЗ «О национальной платежной системе»

УДК 004.056.5:006.354

Ключевые слова: управление риском реализации информационных угроз и обеспечение операционной надежности, система управления риском реализации информационных угроз, уровень защиты, требования к системе управления риском реализации информационных угроз

Редактор Л.В. Каретникова Технический редактор И.Е. Черепкова Корректор М.И. Першина Компьютерная верстка Е.А. Кондрашовой

Сдано в набор 23.12.2022. Подписано в печать 09.01.2023. Формат 60х84¹/₈. Гарнитура Ариал. Усл. печ. л. 12,56. Уч.-изд. л. 11,30.

Подготовлено на основе электронной версии, предоставленной разработчиком стандарта

Создано в единичном исполнении в ФГБУ «Институт стандартизации» , 117418 Москва, Нахимовский пр-т, д. 31, к. 2.

¹

) Субъекты национальной платежной системы, для которых определена актуальность вопросов управления риском реализации информационных угроз и обеспечения операционной надежности, определены в разделе 1 настоящего стандарта.

²

) В рамках настоящего стандарта под инфраструктурными организациями финансового рынка понимаются организации, определенные в рамках нормативных актов Банка России [2] (финансовые организации, осуществляющие деятельность центрального контрагента, центрального депозитария, расчетного депозитария, репозитария).

³

¹) Разрабатывается Техническим комитетом по стандартизации ТК 122 «Стандарты финансовых операций».

⁴

⁵

) Для кредитных организаций вместо видов деятельности следует рассматривать направления деятельности, определенные в соответствии с нормативными актами Банка России [6].

⁶

) К защищаемой информации относится информация, перечень которой определен в [8]—[10].

⁷

) В том числе превышение целевых показателей операционной надежности, устанавливаемых в соответствии с требованиями нормативных актов Банка России.

⁸

) К защищаемой информации относится информация, перечень которой определен в [8]—[10].

⁹

) Система сертификации федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности критической информационной инфраструктуры, противодействия техническим разведкам и технической защиты информации, а также специально уполномоченным органом в области экспортного контроля.

¹⁰

) В зависимости от реализуемого финансовой организацией уровня защиты, а также требований нормативных актов Банка России [6].

¹¹

) В случае если соответствующие требования установлены нормативными актами Банка России [6].

¹²

) Определяемые на основе данных внутренней отчетности о фактических потерях за определенный временной период.

¹³

) Определяемые на основе оценки возможных потерь в маловероятных, но стрессовых сценариях.

¹⁴

) В случае если соответствующие требования установлены нормативными актами Банка России [6].

¹⁵

) В случае если соответствующие требования установлены нормативными актами Банка России [6].

¹⁶

) Осуществляется посредством ежегодной оценки эффективности функционирования системы управления риском реализации информационных угроз (проводимой в составе оценки эффективности функционирования системы управления операционным риском).

¹⁷

) В случае наличия соответствующих требований в нормативных актах Банка России [8]—[10].

¹⁸

) По решению финансовой организации способ «О» может быть реализован путем применения технической меры.

26

¹⁹

) Как области применения системы управления риском реализации информационных угроз.

²⁰

В случае централизации деятельности по управлению риском реализации информационных угроз, обеспечению операционной надежности и защиты информации финансовая организация определяет:

- необходимость в ресурсном (кадровом и финансовом) обеспечении соответствующих подразделений (уполномоченных лиц) с учетом функций, делегированных таким подразделениям (уполномоченным лицам);

- способ обеспечения нормативной базой соответствующих подразделений (уполномоченных лиц) — применение единой нормативной базы или разработка отдельных нормативных документов, отражающих специфику филиалов (региональных представительств).

²¹

При невозможности технической реализации отдельных выбранных мер, а также с учетом экономической целесообразности на этапах адаптации (уточнения) выбранного состава мер могут разрабатываться иные (компенсирующие) меры на основании мотивированного суждения финансовой организации.

Компенсирующие меры должны быть направлены на предотвращение (снижение вероятности) реализации тех же информационных угроз, на нейтрализацию которых направлены меры из выбранного состава мер, не применяемые в связи с невозможностью технической реализации и (или) экономической целесообразностью.

В случае нереализации компенсирующих мер финансовая организация должна принять меры по страхованию запланированных и незапланированных финансовых потерь в результате реализации информационных угроз, на нейтрализацию которых направлены меры из выбранного состава мер, не применяемые в связи с невозможностью технической реализации и (или) экономической целесообразностью, и (или) учету указанных потерь при расчете капитала, необходимого на покрытие потерь от реализации риска реализации информационных угроз (в составе операционного риска).

²²

) В целях обеспечения безопасности финансовых (банковских) операций согласно ГОСТ Р 57580.1.

²³

) Не контролируемое финансовой организацией распространение информации конфиденциального характера.

²⁴

) В настоящем стандарте данный процесс рассматривается в рамках управления риском реализации информационных угроз в качестве выполнения подготовительных мероприятий, обеспечивающих готовность финансовой организации противостоять реализации информационных угроз.

²⁵

) Обязательность проведения независимой профессиональной оценки устанавливается нормативными актами Банка России, в частности [8]—[10].

²⁶

) Отказы и (или) нарушения функционирования применяемых финансовой организацией объектов информатизации и (или) несоответствие их функциональных возможностей и характеристик потребностям финансовой организации.

²⁷

) За исключением событий реализации информационных угроз, определенных в Б.1.1 и Б.1.2.

²⁸

) В случае переводов по распоряжениям участников платежной системы показатель устанавливается в соответствии с нормативным актом Банка России [36].

²⁹

Операций по переводу денежных средств, соответствующих признакам осуществления перевода денежных средств без согласия клиента — физического лица, размещенным на официальном сайте Банка России в информационно-телекоммуникационной сети Интернет.

³⁰

Количество операций по переводу денежных средств без согласия клиента — физического лица долж

³¹

но определяться как сумма количества операций по переводу денежных средств, в отношении которых кредитная организация не приостановила исполнение распоряжений о совершении операций по переводу денежных средств в соответствии с частью 5.1 статьи 8 Федерального закона [11] и по которым получены уведомления от клиентов — физических лиц об использовании электронного средства платежа без их согласия, в том числе в соответствии с частью 11 статьи 9 Федерального закона [11], и количества операций, соответствующих признакам осуществления перевода денежных средств без согласия клиента — физического лица, в отношении которых кредитная организация не приняла к исполнению и (или) приостановила исполнение распоряжений о совершении операций по переводу денежных средств в соответствии с частью 5.1 статьи 8 Федерального закона [11], за исключением случаев, когда получены подтверждения клиентов — физических лиц о направлении распоряжения о совершении операции по переводу денежных средств с их согласия и (или) получены подтверждения клиентов — физических лиц о возобновлении исполнения распоряжений в соответствии с частью 5.3 статьи 8 Федерального закона [11].