к Положению Банка России
от 8 апреля 2020 года N 716-П
"О требованиях к системе управления
операционным риском в кредитной
организации и банковской группе"
Список изменяющих документов
(в ред. Указания Банка России от 25.03.2022 N 6103-У)
1. Кредитная организация (головная кредитная организация банковской группы) дополнительно классифицирует события риска информационной безопасности в разрезе типов событий нарушения защиты информации:
1.1. События риска информационной безопасности, связанные с нарушением требований к обеспечению защиты информации при осуществлении переводов денежных средств:
получение оператором по переводу денежных средств, обслуживающим плательщика, включая оператора электронных денежных средств, уведомлений в предусмотренной договором форме от клиентов - физических, юридических лиц, индивидуальных предпринимателей или лиц, занимающихся частной практикой, о случаях переводов денежных средств без согласия клиента, в том числе об использовании электронных средств платежа без согласия клиента;
получение расчетным центром платежной системы уведомлений от участников платежной системы о списании денежных средств с их корреспондентских счетов без их согласия и (или) с использованием искаженной информации, содержащейся в распоряжениях платежных клиринговых центров или участников платежной системы;
выявление оператором по переводу денежных средств, обслуживающим плательщика, включая оператора электронных денежных средств, операций, соответствующих признакам осуществления перевода денежных средств без согласия клиента, установленным Банком России и размещаемым на официальном сайте Банка России в сети "Интернет";
(в ред. Указания Банка России от 25.03.2022 N 6103-У)
(см. текст в предыдущей редакции)
выявление оператором по переводу денежных средств, обслуживающим плательщика, включая оператора электронных денежных средств, операций по переводу денежных средств и операций по выдаче наличных денежных средств, совершенных в результате несанкционированного доступа к объектам информационной инфраструктуры оператора по переводу денежных средств, в том числе при уменьшении остатка электронных денежных средств, за исключением виртуальных платежных карт;
осуществление несанкционированного снятия в банкоматах денежных средств оператора по переводу денежных средств;
осуществление несанкционированного снятия в банкоматах денежных средств оператора электронных денежных средств;
выявление оператором по переводу денежных средств, включая оператора электронных денежных средств, и (или) оператором услуг платежной инфраструктуры компьютерных атак, последствия от реализации которых могут привести к случаям осуществления переводов денежных средств без согласия клиента;
другие события нарушения защиты информации, связанные с несоблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств.
1.2. События риска информационной безопасности, связанные с неоказанием или несвоевременным оказанием услуг по переводу денежных средств:
неоказание услуг оператора по переводу денежных средств, включая оператора по переводу электронных денежных средств, на период более двух часов в целом по всем субъектам Российской Федерации, в которых оператор по переводу денежных средств (оператор по переводу электронных денежных средств) осуществляет перевод денежных средств с использованием платежных карт, их реквизитов и (или) систем (средств) дистанционного банковского обслуживания;
неоказание услуг оператора по переводу денежных средств, включая оператора по переводу электронных денежных средств, на период более двух часов в целом по отдельным субъектам Российской Федерации, в которых оператор по переводу денежных средств (оператор по переводу электронных денежных средств) осуществляет перевод денежных средств с использованием платежных карт, их реквизитов и (или) систем (средств) дистанционного банковского обслуживания;
неоказание расчетным центром расчетных услуг на период более одного операционного дня;
невыполнение расчетным центром расчетов в течение операционного дня по принятым к исполнению распоряжениям платежного клирингового центра или участников платежной системы;
прерывание платежным клиринговым центром предоставления услуг платежного клиринга на период более одного операционного дня;
невыполнение платежным клиринговым центром в течение операционного дня платежного клиринга по принятым к исполнению распоряжениям участников платежной системы;
прерывание операционным центром предоставления операционных услуг на период более двух часов;
другие события риска информационной безопасности, связанные с неоказанием или несвоевременным оказанием услуг по переводу денежных средств.
1.3. События риска информационной безопасности, связанные с неоказанием или несвоевременным оказанием услуг:
неоказание услуг кредитной организацией на период более двух часов в целом по всем субъектам Российской Федерации, в которых кредитная организация предоставляет услуги;
неоказание услуг кредитной организацией на период более двух часов в целом по отдельным субъектам Российской Федерации, в которых кредитная организация предоставляет услуги;
другие события нарушения защиты информации, последствия или выявление которых могут привести к инциденту, связанному с неоказанием или несвоевременным оказанием услуг.
1.4. События риска информационной безопасности, связанные с нарушением требований к обеспечению защиты информации при осуществлении банковской деятельности, не связанные с переводами денежных средств:
получение уведомлений от клиентов - физических лиц, включая индивидуальных предпринимателей и (или) физических лиц, занимающихся в установленном законодательством Российской Федерации порядке частной практикой, и (или) юридических лиц о проведении банковской операции без их согласия;
выполнение банковских операций в результате несанкционированного доступа к объектам информационной инфраструктуры, данным и (или) информационным системам кредитной организации;
выявление кредитной организацией компьютерных атак, последствия от реализации которых могут привести к случаям и попыткам осуществления финансовой (банковской) операции без согласия клиента;
выявление фактов эксплуатации уязвимостей информационных систем, обусловленных ошибками и недостатками процессов обеспечения защиты информации кредитной организации;
другие события риска информационной безопасности, связанные с нарушением требований к обеспечению защиты информации при осуществлении банковской деятельности, не связанные с переводами денежных средств.
1.5. События риска информационной безопасности, связанные с обработкой (хранением, уничтожением) информации без использования объектов информационной инфраструктуры и приводящие к утечке, искажению или потере информации конфиденциального характера (включая персональные данные), информации ограниченного доступа и других типов информации кредитной организации, не подлежащей разглашению или опубликованию, другим нарушениям.
2. Кредитная организация дополнительно классифицирует события риска информационной безопасности по источникам риска информационной безопасности в разрезе категорий источников операционного риска, приведенных в пункте 3.3 настоящего Положения.
2.1. По категории источников операционного риска "недостатки процессов":
недостатки процессов применения кредитной организацией технологий обработки информации при осуществлении банковской деятельности, связанной с осуществлением перевода денежных средств, применяемых в отношении технологии обработки защищаемой информации, в соответствии с требованиями пункта 5 Положения Банка России N 683-П;
недостатки процессов применения кредитной организацией прикладного программного обеспечения автоматизированных систем и приложений, соответствующих требованиям к обеспечению защиты информации, приведенным в пункте 4 Положения Банка России N 683-П;
недостатки процессов проведения мероприятий, направленных на повышение качества системы управления риском информационной безопасности и уменьшение негативного влияния риска информационной безопасности, в том числе процессов, реализующих уровни защиты информации в отношении объектов информационной инфраструктуры кредитной организации (головной кредитной организации банковской группы), установленные в соответствии с требованиями подпункта 3.1 пункта 3 Положения Банка России N 683-П;
недостатки других внутренних процессов, обеспечивающих функционирование системы обеспечения информационной безопасности кредитной организации.
2.2. По категории источников операционного риска "действия персонала и других связанных с кредитной организацией лиц" дополнительно выделяется реализация несанкционированного доступа внутреннего нарушителя (действия внутреннего нарушителя).
(в ред. Указания Банка России от 25.03.2022 N 6103-У)
(см. текст в предыдущей редакции)
2.3. По категории источников операционного риска "сбои систем и оборудования" дополнительно выделяются сбои и отказы в работе прикладного программного обеспечения и приложений, а также объектов информационной инфраструктуры в результате реализации угроз безопасности информации.
2.4. По категории источников операционного риска "внешние причины" дополнительно выделяется реализация компьютерных атак или несанкционированного доступа лиц, не обладающих полномочиями доступа к объектам информационной инфраструктуры кредитной организации (действия внешнего нарушителя), в том числе с целью:
блокирования штатного режима функционирования банковских или технологических процессов кредитной организации;
хищения, искажения, удаления информации конфиденциального характера (включая персональные данные), информации ограниченного доступа и других типов информации кредитной организации, не подлежащей разглашению или опубликованию.
2.5. Более детализированные уровни классификации источников событий риска информационной безопасности определяются по видам процессов обеспечения мероприятий информационной безопасности в соответствии с подпунктом 2.1 настоящего пункта в зависимости от процессов кредитной организации, в которых они произошли.
2.6. В рамках дополнительной детализации классификации источников событий риска информационной безопасности кредитные организации подразделяют источники риска реализации угроз безопасности информации (информационных угроз) в разрезе направлений компьютерных атак, типов компьютерных атак и типов атакуемых объектов:
(в ред. Указания Банка России от 25.03.2022 N 6103-У)
(см. текст в предыдущей редакции)
2.6.1. по направлениям компьютерных атак:
компьютерные атаки, направленные на объекты информационной инфраструктуры кредитной организации;
компьютерные атаки, направленные на клиента кредитной организации;
2.6.2. по типам компьютерных атак:
компьютерные атаки, связанные с изменением маршрутно-адресной информации;
компьютерные атаки, связанные с использованием вредоносного программного обеспечения применительно к объектам информационной инфраструктуры кредитных организаций и их клиентов;
компьютерные атаки, возникшие в результате побуждения клиентов к осуществлению операций по переводу денежных средств путем обмана или злоупотребления доверием;
компьютерные атаки типа "отказ в обслуживании" применительно к объектам информационной инфраструктуры кредитной организации;
компьютерные атаки, связанные с реализацией несанкционированного доступа к банкоматам и платежным терминалам кредитных организаций;
компьютерные атаки, связанные с эксплуатацией уязвимостей объектов информационной инфраструктуры кредитных организаций и их клиентов;
компьютерные атаки, связанные со взломом, с компрометацией аутентификационных (учетных) данных;
компьютерные атаки, связанные с реализацией спам-рассылки, осуществляемой в отношении кредитных организаций и их клиентов;
компьютерные атаки, связанные с взаимодействием объектов информационной инфраструктуры кредитных организаций с центрами управления вредоносным программным обеспечением;
компьютерные атаки, связанные с изменением (подменой) идентификатора мобильного абонента, номера идентификационного модуля абонента, а также с заменой идентификатора мобильного оборудования;
компьютерные атаки, связанные с информацией, вводящей работников кредитных организаций и их клиентов, а также третьих лиц, взаимодействующих с ними, в заблуждение относительно принадлежности информации, распространяемой посредством сети "Интернет", вследствие сходства доменных имен, оформления или содержания с оригиналом;
компьютерные атаки, связанные с распространением информации, касающейся предложения и (или) предоставления на территории Российской Федерации финансовых услуг лицами, не имеющими права их оказывать в соответствии с законодательством Российской Федерации (размещение в сети "Интернет" запрещенного контента);
компьютерные атаки, связанные с размещением в сети "Интернет" информации, позволяющей осуществить неправомерный доступ к информационным системам кредитных организаций и их клиентов, используемым для выполнения банковских и (или) технологических процессов при оказании (получении) банковских услуг, в том числе путем неправомерного доступа к конфиденциальной информации клиентов (размещение в сети "Интернет" вредоносного ресурса);
компьютерные атаки, связанные с изменением контента;
компьютерные атаки, связанные со сканированием программных портов объектов информационной инфраструктуры кредитных организаций лицами, не обладающими соответствующими полномочиями;
другие компьютерные атаки, направленные на объекты информационной инфраструктуры кредитных организаций и их клиентов;
2.6.3. по типам атакуемых объектов:
2.6.3.1. на системном уровне информационной инфраструктуры:
серверные компоненты виртуализации, программные инфраструктурные сервисы;
операционные системы, системы управления базами данных, сервера приложений;
2.6.3.2. на уровне автоматизированных систем и приложений, используемых для выполнения банковских и (или) технологических процессов кредитной организации при оказании банковских услуг:
система дистанционного банковского обслуживания;
система обработки транзакций, осуществляемых с использованием платежных карт;
информационный ресурс сети "Интернет";
автоматизированная банковская система;
система посттранзакционного обслуживания операций, осуществляемых с использованием платежных карт;
автоматизированная система, используемая персоналом кредитной организации;
2.6.3.3. на уровне автоматизированных систем и приложений, используемых клиентом кредитной организации при получении банковских услуг:
система дистанционного банковского обслуживания;
автоматизированная система, используемая клиентом.
2.7. В случае если в процессе анализа риска информационной безопасности кредитной организацией (головной кредитной организацией банковской группы) выявляются другие дополнительные источники события риска информационной безопасности, кредитная организация (головная кредитная организация банковской группы) определяет эти источники в базе событий.
3. В рамках дополнительной детализации классификации событий риска информационной безопасности в разрезе направлений деятельности, в том числе в разрезе составляющих их процессов, кредитная организация (головная кредитная организация банковской группы) осуществляет следующую детализацию классификации.
3.1. По способам формирования и передачи распоряжений на осуществление транзакций, позволяющим совершить банковскую операцию при:
использовании технологии дистанционного обслуживания, при которой обмен информацией между кредитной организацией и ее клиентом осуществляется с применением коротких текстовых сообщений с определенного в договоре банковского счета номера телефона;
использовании технологии дистанционного обслуживания, при которой обмен информацией между кредитной организацией и ее клиентом осуществляется с применением программного обеспечения, разрабатываемого для использования в операционных системах мобильных устройств;
использовании технологии дистанционного обслуживания, при которой обмен информацией между кредитной организацией и ее клиентом осуществляется с применением интернет-браузера без установки дополнительного программного обеспечения;
использовании технологии дистанционного обслуживания, при которой обмен информацией между кредитной организацией и ее клиентом осуществляется с персонального компьютера с применением дополнительного программного обеспечения, предоставляемого кредитной организацией;
использовании банкомата с возможностью приема наличных денежных средств;
использовании автоматического устройства, конструкция которого предусматривает прием банкнот Банка России от клиентов и выдачу принятых банкнот Банка России клиентам без их обработки в кредитной организации, соответствующего требованиям, установленным Положением Банка России от 29 января 2018 года N 630-П "О порядке ведения кассовых операций и правилах хранения, перевозки и инкассации банкнот и монеты Банка России в кредитных организациях на территории Российской Федерации", зарегистрированным Министерством юстиции Российской Федерации 18 июня 2018 года N 51359;
использовании электронного программно-технического устройства для приема к оплате платежных карт;
использовании платежного терминала;
осуществлении переводов с использованием платежных карт без непосредственного использования платежных карт;
другом способе формирования и передачи распоряжений на осуществление транзакций, позволяющем совершить банковскую операцию.
3.2. По технологическим участкам, определенным в пункте 5.2 Положения Банка России N 683-П.
4. Кредитная организация (головная кредитная организация банковской группы) использует следующие дополнительные (специфические) виды прямых и непрямых потерь от реализации риска информационной безопасности для классификации событий риска информационной безопасности в дополнение к установленным в пункте 3.11 настоящего Положения.
4.1. По категории "прямые потери" события риска информационной безопасности дополнительно классифицируются кредитной организацией (головной кредитной организацией банковской группы) следующие виды потерь:
потери денежных средств или других активов кредитной организации (головной кредитной организации банковской группы) в результате реализации событий риска информационной безопасности, указанных в пункте 1 настоящего приложения;
выплаты компенсаций клиентам и контрагентам в результате реализации риска информационной безопасности, указанных в пункте 1 настоящего приложения;
уплата штрафов по предписаниям исполнительных органов государственной власти, Банка России и (или) администраторов платежных систем за реализацию риска информационной безопасности.
4.2. По категории "косвенные потери" кредитной организацией (головной кредитной организацией банковской группы) устанавливаются следующие виды потерь:
расчетные потери из-за приостановления и (или) прекращения функционирования объектов информационной инфраструктуры или потери ее работоспособности в результате реализации риска информационной безопасности;
рост затрат рабочего времени обслуживающего персонала на устранение последствий от реализации риска информационной безопасности;
рост стоимости договоров технического обслуживания объектов информационной инфраструктуры и (или) антивирусной защиты в результате реализации риска информационной безопасности.
4.3. По категории "качественные потери" кредитной организацией (головной кредитной организацией банковской группы) устанавливаются следующие виды потерь:
приостановление и (или) прекращение банковских процессов;
потеря работоспособности объектов информационной инфраструктуры;
нарушение целостности (искажение) или потеря данных;
возникновение уязвимостей в объектах информационной инфраструктуры, программном обеспечении и приложениях, банковских процессах;
другие потери качества объектов информационной инфраструктуры кредитной организации.
- Гражданский кодекс (ГК РФ)
- Жилищный кодекс (ЖК РФ)
- Налоговый кодекс (НК РФ)
- Трудовой кодекс (ТК РФ)
- Уголовный кодекс (УК РФ)
- Бюджетный кодекс (БК РФ)
- Арбитражный процессуальный кодекс
- Конституция РФ
- Земельный кодекс (ЗК РФ)
- Лесной кодекс (ЛК РФ)
- Семейный кодекс (СК РФ)
- Уголовно-исполнительный кодекс
- Уголовно-процессуальный кодекс
- Производственный календарь на 2025 год
- МРОТ 2024
- ФЗ «О банкротстве»
- О защите прав потребителей (ЗОЗПП)
- Об исполнительном производстве
- О персональных данных
- О налогах на имущество физических лиц
- О средствах массовой информации
- Производственный календарь на 2024 год
- Федеральный закон "О полиции" N 3-ФЗ
- Расходы организации ПБУ 10/99
- Минимальный размер оплаты труда (МРОТ)
- Календарь бухгалтера на 2024 год
- Частичная мобилизация: обзор новостей