Вид риска организаций БС РФ
|
Последствия для организаций БС РФ от реализации риска
|
Операционный риск, связанный с несоблюдением требований законодательства РФ (правовой риск)
|
Несоблюдение требований законодательства РФ в области обработки защищаемой информации;
несоблюдение законодательства РФ в области обеспечения защиты информации;
несоблюдение законодательства РФ в обеспечении непрерывности предоставления финансовых услуг в результате реализации угроз ИБ;
возникновение ограничений на способность организации БС РФ предоставить необходимую и достоверную информацию Банку России и уполномоченным органам исполнительной власти в рамках выполнения надзорных (контрольных) мероприятий в области обеспечения защиты информации
|
Операционный риск, связанный с потерей (невозможностью) контроля обеспечения ИБ поставщиком услуг
|
Политика обеспечения ИБ поставщика услуг может не совпадать с политикой обеспечения ИБ организации БС РФ, а деятельность поставщика услуг в части обеспечения ИБ может осуществляться с учетом собственных интересов;
потеря организацией БС РФ контроля над уровнем риска нарушения ИБ и уровнем зрелости реализации поставщиком услуг процессов обеспечения ИБ;
отсутствие возможности и необходимой компетенции у организации БС РФ обеспечить надлежащий контроль деятельности поставщика услуг в части обеспечения ИБ при аутсорсинге существенных функций
|
Операционный риск, связанный с возможностью прерывания деятельности организации БС РФ в результате реализации угроз ИБ
|
Нарушение непрерывности предоставления финансовых услуг в случае реализации сбоев и отказа в работе информационной инфраструктуры поставщика услуг или в работе информационной инфраструктуры организации БС РФ в результате деятельности поставщика услуг;
нарушение непрерывности предоставления финансовых услуг в случае реализации сбоев и отказа в обслуживании технических средств и систем защиты информации в результате действий поставщика услуг;
возникновение уязвимостей защиты информации в результате действий поставщика услуг
|
Операционный риск, связанный с реализацией инцидентов ИБ, имеющих последствия для организации БС РФ
|
Нарушение непрерывности предоставления финансовых услуг;
утечка информации конфиденциального характера;
хищение материальных носителей, содержащих объекты интеллектуальной собственности;
совершение несанкционированных операций, имеющих финансовые последствия, в том числе переводов денежных средств, лицами, не обладающими соответствующими правами
|
Операционный риск, связанный с возникновением зависимости от поставщика услуг
|
Отказ поставщика услуг от выполнения своих обязательств по обеспечению ИБ перед организацией БС РФ, в том числе предусмотренных соглашением об аутсорсинге существенных функций;
возникновение неприемлемых финансовых затрат у организации БС РФ в случае отказа поставщика услуг от своих обязательств;
утрата у работников организации БС РФ необходимых компетенций, знаний и навыков, необходимых для обеспечения ИБ при возврате выполнения существенных функций с использованием собственных ресурсов;
невозможность обеспечить необходимый уровень ИБ при возврате выполнения бизнес-функций в течение периода времени, приемлемого для организации БС РФ;
увеличение временных затрат на выполнение бизнес-функций, связанное с территориальной удаленностью поставщика услуг (при нахождении на большом расстоянии от организации БС РФ или в другом часовом поясе);
снижение гибкости в обеспечении ИБ при выполнении бизнес-функций, связанное с выполнением поставщиком услуг только тех требований, которые установлены соглашением об аутсорсинге
|
Операционный риск, связанный со снижением качества услуг по обеспечению ИБ, предоставляемых поставщиком услуг
|
Снижение лояльности и удовлетворенности клиентов и контрагентов организации БС РФ;
снижение лояльности, удовлетворенности и продуктивности сотрудников организации БС РФ
|