Приложение 5. ПОДХОДЫ К ДОПОЛНИТЕЛЬНОЙ КЛАССИФИКАЦИИ РИСКА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Приложение 5
к Положению Банка России
от 8 апреля 2020 года N 716-П
"О требованиях к системе управления
операционным риском в кредитной
организации и банковской группе"

ПОДХОДЫ
К ДОПОЛНИТЕЛЬНОЙ КЛАССИФИКАЦИИ РИСКА
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

1. Кредитная организация (головная кредитная организация банковской группы) дополнительно классифицирует события риска информационной безопасности в разрезе типов событий нарушения защиты информации:

1.1. События риска информационной безопасности, связанные с нарушением требований к обеспечению защиты информации при осуществлении переводов денежных средств:

получение оператором по переводу денежных средств, обслуживающим плательщика, включая оператора электронных денежных средств, уведомлений в предусмотренной договором форме от клиентов - физических, юридических лиц, индивидуальных предпринимателей или лиц, занимающихся частной практикой, о случаях переводов денежных средств без согласия клиента, в том числе об использовании электронных средств платежа без согласия клиента;

получение расчетным центром платежной системы уведомлений от участников платежной системы о списании денежных средств с их корреспондентских счетов без их согласия и (или) с использованием искаженной информации, содержащейся в распоряжениях платежных клиринговых центров или участников платежной системы;

выявление оператором по переводу денежных средств, обслуживающим плательщика, включая оператора электронных денежных средств, операций, соответствующих признакам осуществления перевода денежных средств без согласия клиента, установленным Банком России и размещаемым на официальном сайте Банка России в информационно-телекоммуникационной сети "Интернет" (далее - сеть "Интернет");

выявление оператором по переводу денежных средств, обслуживающим плательщика, включая оператора электронных денежных средств, операций по переводу денежных средств и операций по выдаче наличных денежных средств, совершенных в результате несанкционированного доступа к объектам информационной инфраструктуры оператора по переводу денежных средств, в том числе при уменьшении остатка электронных денежных средств, за исключением виртуальных платежных карт;

осуществление несанкционированного снятия в банкоматах денежных средств оператора по переводу денежных средств;

осуществление несанкционированного снятия в банкоматах денежных средств оператора электронных денежных средств;

выявление оператором по переводу денежных средств, включая оператора электронных денежных средств, и (или) оператором услуг платежной инфраструктуры компьютерных атак, последствия от реализации которых могут привести к случаям осуществления переводов денежных средств без согласия клиента;

другие события нарушения защиты информации, связанные с несоблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств.

1.2. События риска информационной безопасности, связанные с неоказанием или несвоевременным оказанием услуг по переводу денежных средств:

неоказание услуг оператора по переводу денежных средств, включая оператора по переводу электронных денежных средств, на период более двух часов в целом по всем субъектам Российской Федерации, в которых оператор по переводу денежных средств (оператор по переводу электронных денежных средств) осуществляет перевод денежных средств с использованием платежных карт, их реквизитов и (или) систем (средств) дистанционного банковского обслуживания;

неоказание услуг оператора по переводу денежных средств, включая оператора по переводу электронных денежных средств, на период более двух часов в целом по отдельным субъектам Российской Федерации, в которых оператор по переводу денежных средств (оператор по переводу электронных денежных средств) осуществляет перевод денежных средств с использованием платежных карт, их реквизитов и (или) систем (средств) дистанционного банковского обслуживания;

неоказание расчетным центром расчетных услуг на период более одного операционного дня;

невыполнение расчетным центром расчетов в течение операционного дня по принятым к исполнению распоряжениям платежного клирингового центра или участников платежной системы;

прерывание платежным клиринговым центром предоставления услуг платежного клиринга на период более одного операционного дня;

невыполнение платежным клиринговым центром в течение операционного дня платежного клиринга по принятым к исполнению распоряжениям участников платежной системы;

прерывание операционным центром предоставления операционных услуг на период более двух часов;

другие события риска информационной безопасности, связанные с неоказанием или несвоевременным оказанием услуг по переводу денежных средств.

1.3. События риска информационной безопасности, связанные с неоказанием или несвоевременным оказанием услуг:

неоказание услуг кредитной организацией на период более двух часов в целом по всем субъектам Российской Федерации, в которых кредитная организация предоставляет услуги;

неоказание услуг кредитной организацией на период более двух часов в целом по отдельным субъектам Российской Федерации, в которых кредитная организация предоставляет услуги;

другие события нарушения защиты информации, последствия или выявление которых могут привести к инциденту, связанному с неоказанием или несвоевременным оказанием услуг.

1.4. События риска информационной безопасности, связанные с нарушением требований к обеспечению защиты информации при осуществлении банковской деятельности, не связанные с переводами денежных средств:

получение уведомлений от клиентов - физических лиц, включая индивидуальных предпринимателей и (или) физических лиц, занимающихся в установленном законодательством Российской Федерации порядке частной практикой, и (или) юридических лиц о проведении банковской операции без их согласия;

выполнение банковских операций в результате несанкционированного доступа к объектам информационной инфраструктуры, данным и (или) информационным системам кредитной организации;

выявление кредитной организацией компьютерных атак, последствия от реализации которых могут привести к случаям и попыткам осуществления финансовой (банковской) операции без согласия клиента;

выявление фактов эксплуатации уязвимостей информационных систем, обусловленных ошибками и недостатками процессов обеспечения защиты информации кредитной организации;

другие события риска информационной безопасности, связанные с нарушением требований к обеспечению защиты информации при осуществлении банковской деятельности, не связанные с переводами денежных средств.

1.5. События риска информационной безопасности, связанные с обработкой (хранением, уничтожением) информации без использования объектов информационной инфраструктуры и приводящие к утечке, искажению или потере информации конфиденциального характера (включая персональные данные), информации ограниченного доступа и других типов информации кредитной организации, не подлежащей разглашению или опубликованию, другим нарушениям.

2. Кредитная организация дополнительно классифицирует события риска информационной безопасности по источникам риска информационной безопасности в разрезе категорий источников операционного риска, приведенных в пункте 3.3 настоящего Положения.

2.1. По категории источников операционного риска "недостатки процессов":

недостатки процессов применения кредитной организацией технологий обработки информации при осуществлении банковской деятельности, связанной с осуществлением перевода денежных средств, применяемых в отношении технологии обработки защищаемой информации, в соответствии с требованиями пункта 5 Положения Банка России N 683-П;

недостатки процессов применения кредитной организацией прикладного программного обеспечения автоматизированных систем и приложений, соответствующих требованиям к обеспечению защиты информации, приведенным в пункте 4 Положения Банка России N 683-П;

недостатки процессов проведения мероприятий, направленных на повышение качества системы управления риском информационной безопасности и уменьшение негативного влияния риска информационной безопасности, в том числе процессов, реализующих уровни защиты информации в отношении объектов информационной инфраструктуры кредитной организации (головной кредитной организации банковской группы), установленные в соответствии с требованиями подпункта 3.1 пункта 3 Положения Банка России N 683-П;

недостатки других внутренних процессов, обеспечивающих функционирование системы обеспечения информационной безопасности кредитной организации.

2.2. По категории источников операционного риска "действия персонала и других связанных с кредитной организацией лиц" дополнительно выделяется реализация несанкционированного доступа персонала кредитной организации или третьих лиц, обладающих полномочиями доступа к объектам информационной инфраструктуры кредитной организации (действия внутреннего нарушителя).

2.3. По категории источников операционного риска "сбои систем и оборудования" дополнительно выделяются сбои и отказы в работе прикладного программного обеспечения и приложений, а также объектов информационной инфраструктуры в результате реализации угроз безопасности информации.

2.4. По категории источников операционного риска "внешние причины" дополнительно выделяется реализация компьютерных атак или несанкционированного доступа лиц, не обладающих полномочиями доступа к объектам информационной инфраструктуры кредитной организации (действия внешнего нарушителя), в том числе с целью:

блокирования штатного режима функционирования банковских или технологических процессов кредитной организации;

хищения, искажения, удаления информации конфиденциального характера (включая персональные данные), информации ограниченного доступа и других типов информации кредитной организации, не подлежащей разглашению или опубликованию.

2.5. Более детализированные уровни классификации источников событий риска информационной безопасности определяются по видам процессов обеспечения мероприятий информационной безопасности в соответствии с подпунктом 2.1 настоящего пункта в зависимости от процессов кредитной организации, в которых они произошли.

2.6. В рамках дополнительной детализации классификации источников событий риска информационной безопасности кредитные организации подразделяют источники риска реализации угроз безопасности информации в разрезе направлений компьютерных атак, типов компьютерных атак и типов атакуемых объектов:

2.6.1. по направлениям компьютерных атак:

компьютерные атаки, направленные на объекты информационной инфраструктуры кредитной организации;

компьютерные атаки, направленные на клиента кредитной организации;

2.6.2. по типам компьютерных атак:

компьютерные атаки, связанные с изменением маршрутно-адресной информации;

компьютерные атаки, связанные с использованием вредоносного программного обеспечения применительно к объектам информационной инфраструктуры кредитных организаций и их клиентов;

компьютерные атаки, возникшие в результате побуждения клиентов к осуществлению операций по переводу денежных средств путем обмана или злоупотребления доверием;

компьютерные атаки типа "отказ в обслуживании" применительно к объектам информационной инфраструктуры кредитной организации;

компьютерные атаки, связанные с реализацией несанкционированного доступа к банкоматам и платежным терминалам кредитных организаций;

компьютерные атаки, связанные с эксплуатацией уязвимостей объектов информационной инфраструктуры кредитных организаций и их клиентов;

компьютерные атаки, связанные со взломом, с компрометацией аутентификационных (учетных) данных;

компьютерные атаки, связанные с реализацией спам-рассылки, осуществляемой в отношении кредитных организаций и их клиентов;

компьютерные атаки, связанные с взаимодействием объектов информационной инфраструктуры кредитных организаций с центрами управления вредоносным программным обеспечением;

компьютерные атаки, связанные с изменением (подменой) идентификатора мобильного абонента, номера идентификационного модуля абонента, а также с заменой идентификатора мобильного оборудования;

компьютерные атаки, связанные с информацией, вводящей работников кредитных организаций и их клиентов, а также третьих лиц, взаимодействующих с ними, в заблуждение относительно принадлежности информации, распространяемой посредством сети "Интернет", вследствие сходства доменных имен, оформления или содержания с оригиналом;

компьютерные атаки, связанные с распространением информации, касающейся предложения и (или) предоставления на территории Российской Федерации финансовых услуг лицами, не имеющими права их оказывать в соответствии с законодательством Российской Федерации (размещение в сети "Интернет" запрещенного контента);

компьютерные атаки, связанные с размещением в сети "Интернет" информации, позволяющей осуществить неправомерный доступ к информационным системам кредитных организаций и их клиентов, используемым для выполнения банковских и (или) технологических процессов при оказании (получении) банковских услуг, в том числе путем неправомерного доступа к конфиденциальной информации клиентов (размещение в сети "Интернет" вредоносного ресурса);

компьютерные атаки, связанные с изменением контента;

компьютерные атаки, связанные со сканированием программных портов объектов информационной инфраструктуры кредитных организаций лицами, не обладающими соответствующими полномочиями;

другие компьютерные атаки, направленные на объекты информационной инфраструктуры кредитных организаций и их клиентов;

2.6.3. по типам атакуемых объектов:

2.6.3.1. на системном уровне информационной инфраструктуры:

аппаратное обеспечение;

сетевое оборудование;

сетевые приложения и сервисы;

серверные компоненты виртуализации, программные инфраструктурные сервисы;

операционные системы, системы управления базами данных, сервера приложений;

2.6.3.2. на уровне автоматизированных систем и приложений, используемых для выполнения банковских и (или) технологических процессов кредитной организации при оказании банковских услуг:

система дистанционного банковского обслуживания;

система обработки транзакций, осуществляемых с использованием платежных карт;

информационный ресурс сети "Интернет";

автоматизированная банковская система;

система посттранзакционного обслуживания операций, осуществляемых с использованием платежных карт;

автоматизированная система, используемая персоналом кредитной организации;

2.6.3.3. на уровне автоматизированных систем и приложений, используемых клиентом кредитной организации при получении банковских услуг:

файловый сервер;

система дистанционного банковского обслуживания;

сервер электронной почты;

автоматизированная система, используемая клиентом.

2.6.3.4. другой тип системы.

2.7. В случае если в процессе анализа риска информационной безопасности кредитной организацией (головной кредитной организацией банковской группы) выявляются другие дополнительные источники события риска информационной безопасности, кредитная организация (головная кредитная организация банковской группы) определяет эти источники в базе событий.

3. В рамках дополнительной детализации классификации событий риска информационной безопасности в разрезе направлений деятельности, в том числе в разрезе составляющих их процессов, кредитная организация (головная кредитная организация банковской группы) осуществляет следующую детализацию классификации.

3.1. По способам формирования и передачи распоряжений на осуществление транзакций, позволяющим совершить банковскую операцию при:

использовании технологии дистанционного обслуживания, при которой обмен информацией между кредитной организацией и ее клиентом осуществляется с применением коротких текстовых сообщений с определенного в договоре банковского счета номера телефона;

использовании технологии дистанционного обслуживания, при которой обмен информацией между кредитной организацией и ее клиентом осуществляется с применением программного обеспечения, разрабатываемого для использования в операционных системах мобильных устройств;

использовании технологии дистанционного обслуживания, при которой обмен информацией между кредитной организацией и ее клиентом осуществляется с применением интернет-браузера без установки дополнительного программного обеспечения;

использовании технологии дистанционного обслуживания, при которой обмен информацией между кредитной организацией и ее клиентом осуществляется с персонального компьютера с применением дополнительного программного обеспечения, предоставляемого кредитной организацией;

использовании банкомата;

использовании банкомата с возможностью приема наличных денежных средств;

использовании автоматического устройства, конструкция которого предусматривает прием банкнот Банка России от клиентов и выдачу принятых банкнот Банка России клиентам без их обработки в кредитной организации, соответствующего требованиям, установленным Положением Банка России от 29 января 2018 года N 630-П "О порядке ведения кассовых операций и правилах хранения, перевозки и инкассации банкнот и монеты Банка России в кредитных организациях на территории Российской Федерации", зарегистрированным Министерством юстиции Российской Федерации 18 июня 2018 года N 51359;

использовании электронного программно-технического устройства для приема к оплате платежных карт;

использовании платежного терминала;

осуществлении переводов с использованием платежных карт без непосредственного использования платежных карт;

другом способе формирования и передачи распоряжений на осуществление транзакций, позволяющем совершить банковскую операцию.

3.2. По технологическим участкам, определенным в пункте 5.2 Положения Банка России N 683-П.

4. Кредитная организация (головная кредитная организация банковской группы) использует следующие дополнительные (специфические) виды прямых и непрямых потерь от реализации риска информационной безопасности для классификации событий риска информационной безопасности в дополнение к установленным в пункте 3.11 настоящего Положения.

4.1. По категории "прямые потери" события риска информационной безопасности дополнительно классифицируются кредитной организацией (головной кредитной организацией банковской группы) следующие виды потерь:

потери денежных средств или других активов кредитной организации (головной кредитной организации банковской группы) в результате реализации событий риска информационной безопасности, указанных в пункте 1 настоящего приложения;

выплаты компенсаций клиентам и контрагентам в результате реализации риска информационной безопасности, указанных в пункте 1 настоящего приложения;

уплата штрафов по предписаниям исполнительных органов государственной власти, Банка России и (или) администраторов платежных систем за реализацию риска информационной безопасности.

4.2. По категории "косвенные потери" кредитной организацией (головной кредитной организацией банковской группы) устанавливаются следующие виды потерь:

расчетные потери из-за приостановления и (или) прекращения функционирования объектов информационной инфраструктуры или потери ее работоспособности в результате реализации риска информационной безопасности;

рост затрат рабочего времени обслуживающего персонала на устранение последствий от реализации риска информационной безопасности;

рост стоимости договоров технического обслуживания объектов информационной инфраструктуры и (или) антивирусной защиты в результате реализации риска информационной безопасности.

4.3. По категории "качественные потери" кредитной организацией (головной кредитной организацией банковской группы) устанавливаются следующие виды потерь:

приостановление и (или) прекращение банковских процессов;

потеря работоспособности объектов информационной инфраструктуры;

нарушение целостности (искажение) или потеря данных;

возникновение уязвимостей в объектах информационной инфраструктуры, программном обеспечении и приложениях, банковских процессах;

другие потери качества объектов информационной инфраструктуры кредитной организации.