3.1. В связи с возрастанием значимости противодействия в банковской деятельности угрозам, обусловленным распространением ВК, ориентированного на автоматизированные системы, ПО, средства вычислительной техники, телекоммуникационное оборудование кредитных организаций, органам управления кредитной организации целесообразно организовать:
3.1.1. Оценку защищенности от ВК автоматизированных систем, ПО, средств вычислительной техники, телекоммуникационного оборудования кредитной организации.
3.1.2. Оценку банковских рисков (операционного, правового, стратегического, потери деловой репутации (репутационного риска) и ликвидности), связанных с недостаточной защищенностью от ВК автоматизированных систем, ПО, средств вычислительной техники, телекоммуникационного оборудования кредитной организации, а также финансовых затрат на хеджирование указанных рисков и на необходимые организационно-технические мероприятия по защите от ВК.
3.1.3. Прогнозирование возможных неблагоприятных изменений ситуации с атаками ВК, вариантов реагирования кредитной организации на эти изменения и, при необходимости, оценку предполагаемых финансовых затрат для обеспечения мер защиты от ВК.
3.1.4. Определение лица, ответственного за организацию защиты от ВК (из числа заместителей единоличного исполнительного органа), а также структурных подразделений, участвующих в осуществлении защиты от ВК, к компетенции которых отнесены применение информационных технологий, обеспечение информационной безопасности и внутренний контроль (целесообразна подготовка плана организации защиты от ВК и возложение обязанностей по ее организации и осуществлению на ответственных лиц).
3.1.5. Определение подотчетности ответственных лиц и структурных подразделений, указанных в подпункте 3.1.4 пункта 3.1 настоящих Рекомендаций.
3.1.6. Определение порядка оперативного информирования органов управления кредитной организации о возможном возрастании угрозы атак ВК лицами, ответственными за осуществление мер защиты от ВК.
3.2. Проведение мероприятий защиты от ВК, указанных в подпунктах 3.1.1-3.1.6 пункта 3.1 настоящих Рекомендаций, целесообразно регламентировать соответствующим внутренним документом, утвержденным уполномоченным органом управления кредитной организации.
3.3. Органам управления кредитной организации рекомендуется организовать разработку внутреннего документа, регламентирующего регулярное (предпочтительно не реже одного раза в квартал) рассмотрение результатов осуществления мер защиты от ВК с выработкой необходимых организационных решений, в том числе по корректировке состава и содержания этих мер.
3.4. В целях обеспечения надежности и эффективности защиты от ВК органам управления кредитной организации рекомендуется определить обязанности, подотчетность и подконтрольность работников, ответственных за организацию постоянного применения мер защиты от ВК, предусмотренных подпунктами 2.1.3-2.1.26 пункта 2.1 настоящих Рекомендаций.