№ 716-П от 08.04.2020 Положение Банка России «О требованиях к системе управления операционным риском в кредитной организации и банковской группе»
О классификации риска информационной безопасности
Вопрос
1. Как следует применять дополнительный классификатор риска информационной безопасности, указанный в приложении 5 к Положению Банка России
- вместо классификатора операционного риска, указанного в главе 3 Положения №
- в дополнение к классификатору операционного риска, указанному в главе 3 Положения
2. Правильно ли понимание, что в соответствии с пунктом 2.6 приложения 5 к Положению
- по направлению компьютерной атаки;
- по типу атакуемого объекта;
- по типу компьютерной атаки?
3. Каким образом необходимо осуществлять классификацию риска информационной безопасности согласно пункту 3 приложения 5 к Положению №
- в соответствии с одним из пунктов 3.1 или 3.2 приложения 5 к Положению
- в соответствии с пунктом 3.1 приложения 5 к Положению
Ответ
1. Подход, изложенный в варианте втором данного вопроса, считаем верным.
2. Кредитная организация классифицирует события риска информационной безопасности по каждому из классификаторов, указанных в пункте 2.6 приложения 5 к Положению
3. Кредитная организация осуществляет детализацию классификации событий риска информационной безопасности как по способам формирования и передачи распоряжений на осуществление транзакций в соответствии с пунктом 3.1 приложения 5 к Положению