№ 716-П от 08.04.2020 Положение Банка России «О требованиях к системе управления операционным риском в кредитной организации и банковской группе»
Об управлении риском информационной безопасности (часть 4)
Вопрос
1. Каков порядок определения кредитной организацией (головной кредитной организацией банковской группы) (далее – кредитная организация) требований к качеству данных?
2. Следует ли относить к событиям риска информационной безопасности следующие виды инцидентов информационной безопасности, в результате которых отсутствуют прямые и (или) непрямые потери:
вредоносная активность, в том числе вирусы-шифровальщики;
отказ в обслуживании (DDoS атака или DoS атака) в результате которых сервисы или инфраструктура кредитной организации не доступна;
отказ в обслуживании (DDoS атака или DoS атака) в результате которых сервисы или инфраструктура кредитной организации не доступна;
несанкционированная (намеренная или случайная) пересылка конфиденциальной информации, для которой установлен запрет во внутренних документах на несанкционированную передачу, в сеть Интернет;
несанкционированная установка программного обеспечения на оборудования (АРМ и\или серверы кредитной организации);
несанкционированное предоставление прав доступа, в том числе привилегированных, работникам кредитной организации или работникам сторонних компаний, осуществляющих функции по договору с кредитной организацией;
нарушение требований в области ИБ, установленных во внутренних документах кредитной организации (например, открытые подозрительных писем, переход на фишинговые ссылки, несанкционированное подключение устройств (например, беспроводный модем, модуль Wi-Fi и др.) к оборудованию кредитной организации и др.);
по результатам инструментального сканирования выявлены критические уязвимости в инфраструктуре кредитной организации.
Ответ
По вопросу 1.
В целях управления риском информационных систем кредитной организации следует разработать во внутренних документах и соблюдать все требования к обеспечению качества данных в информационных системах, указанные в абзацах втором – восьмом подпункта 8.7.4 пункта 8.7 Положения Банка России
По вопросу 2.
В соответствии с абзацем первым пункта 7.3 Положения
В соответствии с абзацем первым пункта 7.3 Положения
В отношении вышеуказанных примеров инцидентов защиты информации сообщаем, что недоступность сервисов или инфраструктуры кредитной организации (головной кредитной организации банковской группы) в результате отказа в обслуживании (DDoS атаки или DoS атаки) влечет возникновение непрямых, а именно потенциальных потерь кредитной организации (головной кредитной организации банковской группы), определяемых в соответствии с подпунктом 3.13.3 пункта 3.13 Положения