№ 716-П от 08.04.2020 Положение Банка России «О требованиях к системе управления операционным риском в кредитной организации и банковской группе»
О видах риска информационной безопасности
Вопрос
1. Являются ли случаи хищения денежных средств у клиентов кредитной организации (головной кредитной организации банковской группы) (далее – кредитная организация) без использования программных и(или) программно-аппаратных средств, направленных на объекты информационной инфраструктуры кредитной организации (например, социальная инженерия, фишинг, хищения, связанные с заменой SIM-карт, хищения в случае несанкционированного физического доступа третьих лиц к банковской карте или мобильному устройству клиента) риском информационной безопасности, а также к какой категории источников риска они относятся в соответствии с пунктом 2 приложения 5 к Положению Банка России от 8 апреля 2020 года
Кроме того, какие риски следует относить к другим видам риска, указанным в абзаце втором пункта 7.2 Положения Банка России
2. Соответствует ли определение «компьютерная атака», используемое в Положении Банка России
3. Согласно пункту 4.1 приложения 5 к Положению Банка России
4. Какие события риска информационной безопасности, в том числе киберриска, могут привести к качественным потерям, указанным в пункте 4.3 приложения 5 к Положению Банка России
5. Каким образом следует учитывать в соответствии с требованиями Положения Банка России
Ответ
По вопросу 1.
Перечисленные случаи хищения денежных средств у клиентов кредитной организации относятся к «другим видам риска информационной безопасности, связанным с обработкой (хранением, уничтожением) информации без использования объектов информационной инфраструктуры», указанному в абзаце третьем пункта 7.2 Положения Банка России
По вопросу 2.
Термин «компьютерная атака» применяется в Положении Банка России
По вопросу 3.
В соответствии с подпунктом 3.12.3 пункта 3.12 Положения Банка России №
Кредитная организация вправе самостоятельно разработать в соответствии с пунктом 3.14 Положения Банка России
По вопросу 4.
Примером события риска информационной безопасности, приводящего к качественным потерям, является DDOS-атака, которая может остановить выполнение бизнес-процесса кредитной организации или нарушить его функционирование, нарушить целостность информации, хранящейся в информационных базах.
Обращаем внимание, что категория «другие потери качества объектов информационный инфраструктуры кредитной организации» создана для того, чтобы кредитные организации могли относить к данной категории другие потери, не перечисленные в приложении 5 к Положению Банка России
По вопросу 5.
В целях регулирования работы кредитной организации с операционными рисками, которые не реализовались в настоящий момент, но могут реализоваться в будущем, Положением Банка России
Все вышеперечисленные процедуры применимы к управлению риском информационной безопасности как части операционного риска.
Обращаем внимание, что организатором и ответственным за методологию данных процедур является подразделение, ответственное за организацию управления операционным риском.