ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ

МЕТОДИЧЕСКИЕ РЕКОМЕНДАЦИИ

от 30 ноября 2023 года N 17-МР

Методические рекомендации по установлению целевых значений и расчету фактических значений количественных контрольных показателей уровня риска информационной безопасности, связанных с осуществлением перевода денежных средств без согласия клиента, а также установлению пороговых значений и расчету фактических значений ключевых индикаторов риска информационной безопасности

     Глава 1. Общие положения

1.1. Настоящие Методические рекомендации разработаны в целях обеспечения единства подходов по установлению целевых значений и расчету фактических значений количественных контрольных показателей уровня риска информационной безопасности, связанных с осуществлением перевода денежных средств без согласия клиента (далее - ККПУР ИБ ОБС), а также установлению пороговых значений и расчету фактических значений количественных показателей, направленных на измерение и контроль уровня риска информационной безопасности в определенный момент времени (далее - ключевые индикаторы риска информационной безопасности).

1.2. Настоящими Методическими рекомендациями руководствоваться кредитным организациям при определении во внутренних документах ККПУР ИБ ОБС в соответствии с требованиями главы 5 Положения Банка России от 08.04.2020 N 716-П "О требованиях к системе управления операционным риском в кредитной организации и банковской группе" (далее - Положение Банка России N 716-П), а также ключевых индикаторов риска информационной безопасности в соответствии с требованиями подпункта 2.1.7 пункта 2.1 Положения Банка России N 716-П.

1.3. В целях настоящих Методических рекомендаций используются следующие сокращения:

ККПУР ИБ ОБС - количественные контрольные показатели риска информационной безопасности, указанные в абзацах седьмом, пятнадцатом - двадцать первом подпункта 1.2.1 пункта 1 приложения 1 к Положению Банка России N 716-П;

ключевые индикаторы риска информационной безопасности - показатели, характеризующие динамику осуществления переводов денежных средств без согласия клиента, установленные в целях мониторинга возможного превышения сигнальных и (или) контрольных значений ККПУР ИБ ОБС (далее - КИР ИБ ОБС).

     Глава 2. Рекомендации по установлению и расчету ККПУР ИБ ОБС

2.1. При установлении сигнальных и контрольных значений ККПУР ИБ ОБС в соответствии с требованиями пункта 5.3 Положения Банка России N 716-П в качестве статистических данных рекомендуется использовать, в частности, сведения, представляемые ранее операторами по переводу денежных средств, являющимися кредитными организациями, в Банк России в рамках подраздела 2.1 раздела 2 и подраздела 3.1 раздела 3 отчетности по форме 0403203 "Сведения о событиях, связанных с нарушением защиты информации при осуществлении переводов денежных средств", установленной Указанием Банка России от 09.06.2012 N 2831-У "Об отчетности по обеспечению защиты информации при осуществлении переводов денежных средств операторов платежных систем, операторов услуг платежной инфраструктуры, операторов по переводу денежных средств".

_________________

Утратило силу с 01.03.2023.

При этом необходимо учитывать предельные сигнальные и контрольные значения ККПУР ИБ ОБС, в случае если они установлены приложением 1 к Положению Банка России N 716-П.

2.2. Расчет сигнальных, контрольных и фактических значений ККПУР ИБ ОБС рекомендуется осуществлять на основе сведений, представляемых операторами по переводу денежных средств, являющимися кредитными организациями, в Банк России в рамках разделов 2 и 3 отчетности по форме 0403203 "Сведения о событиях, связанных с нарушением защиты информации при осуществлении переводов денежных средств", установленной Указанием Банка России от 12.01.2022 N 6060-У "О формах и методиках составления, порядке и сроках представления операторами услуг платежной инфраструктуры, операторами по переводу денежных средств отчетности по обеспечению защиты информации при осуществлении переводов денежных средств" (далее - отчетность по форме 0403203).

_________________

С 01.01.2024 Указание Банка России от 12.01.2022 N 6060-У будет признано утратившим силу, отчетность по форме 0403203 будет установлена Указанием Банка России от 27.06.2023 N 6470-У "О формах, методиках составления, порядке и сроках представления отчетности оператора платежной системы, оператора услуг платежной инфраструктуры, оператора по переводу денежных средств в Центральный банк Российской Федерации".

2.3. Установление сигнальных и контрольных значений ККПУР ИБ ОБС, а также расчет фактических значений ККПУР ИБ ОБС рекомендуется дополнительно осуществлять в разрезе следующих групп типов операций по переводу денежных средств.

_________________

Типы операций определены в подпункте 3.1 пункта 3 и подпункте 4.1 пункта 4 Методики составления отчетности по форме 0403203.

2.3.1. Группы типов операций по переводу денежных средств, совершаемых клиентами - физическими лицами:

переводы денежных средств с использованием платежных карт плательщиков;

переводы денежных средств по банковским счетам посредством списания денежных средств с банковского счета плательщика без использования платежной карты;

переводы денежных средств, совершаемые с использованием сервиса быстрых платежей платежной системы Банка России;

переводы денежных средств за счет уменьшения остатка электронных денежных средств плательщика без использования платежной карты;

переводы денежных средств, совершенные без открытия банковского счета.

2.3.2. Группы типов операций по переводу денежных средств, совершаемых клиентами - юридическими лицами:

переводы денежных средств по банковским счетам посредством списания денежных средств с банковского счета плательщика;

переводы денежных средств, совершаемые с использованием сервиса быстрых платежей платежной системы Банка России.

2.4. Расчет сигнальных, контрольных и фактических значений ККПУР ИБ ОБС рекомендуется осуществлять по формулам 1-10, приведенным в приложении к настоящим Методическим рекомендациям.

     Глава 3. Рекомендации по установлению и расчету КИР ИБ ОБС

3.1. Установление пороговых значений, а также расчет фактических значений КИР ИБ ОБС рекомендуется осуществлять на основе сведений, представляемых операторами по переводу денежных средств, являющимися кредитными организациями, в Банк России в рамках разделов 2 и 3 отчетности по форме 0403203 дополнительно в разрезе групп типов операций по переводу денежных средств, указанных в пункте 2.3 настоящих Методических рекомендаций.

3.2. В целях мониторинга возможного превышения сигнальных и (или) контрольных значений ККПУР ИБ ОБС расчет фактических значений КИР ИБ ОБС рекомендуется осуществлять не реже чем раз в квартал.

3.3. Расчет фактических значений КИР ИБ ОБС рекомендуется осуществлять по формулам 1-10, приведенным в приложении к настоящим Методическим рекомендациям.

3.4. В качестве пороговых значений КИР ИБ ОБС рекомендуется определять значения КИР ИБ ОБС, при превышении которых с сохранением динамики в течение квартала будут превышены сигнальные и (или) контрольные значения ККПУР ИБ ОБС, а также отражать указанную информацию в обосновании установления пороговых значений КИР ИБ ОБС.

     Глава 4. Заключительные положения

4.1. Настоящие Методические рекомендации подлежат опубликованию в "Вестнике Банка России" и размещению на официальном сайте Банка России в информационно-телекоммуникационной сети "Интернет".

Заместитель Председателя
Банка России
Г.А.Зубарев

Приложение
к Методическим рекомендациям
по установлению целевых значений
и расчету фактических значений
количественных контрольных
показателей уровня риска
информационной безопасности,
связанных с осуществлением перевода
денежных средств без согласия клиента,
а также установлению пороговых
значений и расчету фактических
значений ключевых индикаторов риска
информационной безопасности

Формулы расчета ККПУР ИБ ОБС и КИР ИБ ОБС

1. Расчет ККПУР ИБ ОБС, указанного в абзаце седьмом подпункта 1.2.1 пункта 1 приложения 1 к Положению Банка России N 716-П, характеризующего долю суммы денежных средств, по которой получены уведомления, связанные с осуществлением перевода денежных средств без согласия клиента, а также расчет КИР ИБ ОБС в целях мониторинга данного ККПУР ИБ ОБС рекомендуется осуществлять по следующим формулам:

где

S2"i/09" - сумма операций (распоряжений) по переводу денежных средств, указываемая в графе 4 раздела 2 отчетности по форме 0403203, для которых используется код типа операций "i" и код вида операций "09";

S2"i/01" - сумма операций (распоряжений) по переводу денежных средств, указываемая в графе 4 раздела 2 отчетности по форме 0403203, для которых используется код типа операций "i" и код вида операций "01";

S2"i/02" - сумма операций (распоряжений) по переводу денежных средств, указываемая в графе 4 раздела 2 отчетности по форме 0403203, для которых используется код типа операций "i" и код вида операций "02";

S2"i/03" - сумма операций (распоряжений) по переводу денежных средств, указываемая в графе 4 раздела 2 отчетности по форме 0403203, для которых используется код типа операций "i" и код вида операций "03";

S2"i/04" - сумма операций (распоряжений) по переводу денежных средств, указываемая в графе 4 раздела 2 отчетности по форме 0403203, для которых используется код типа операций "i" и код вида операций "04";

i - код типа операций, указываемый в графе 1 раздела 2 отчетности по форме 0403203, принимает следующие значения в зависимости от группы типов операций по переводу денежных средств, в разрезе которых осуществляется расчет ККПУР ИБ ОБС (КИР ИБ ОБС):

переводы денежных средств с использованием платежных карт плательщиков - i=01, 02, 03;

переводы денежных средств по банковским счетам посредством списания денежных средств с банковского счета плательщика без использования платежной карты - i=04, 05, 06;

переводы денежных средств, совершаемые с использованием сервиса быстрых платежей платежной системы Банка России - i=07;

переводы денежных средств за счет уменьшения остатка электронных денежных средств плательщика без использования платежной карты - i=08;

переводы денежных средств, совершенные без открытия банковского счета, - i=09.

где

S3"i/14" - сумма операций (распоряжений) по переводу денежных средств, указываемая в графе 4 раздела 3 отчетности по форме 0403203, для которых используется код типа операций "i" и код вида операций "14";

S3"i/01" - сумма операций (распоряжений) по переводу денежных средств, указываемая в графе 4 раздела 3 отчетности по форме 0403203, для которых используется код типа операций "i" и код вида операций "01";

S3"i/02" - сумма операций (распоряжений) по переводу денежных средств, указываемая в графе 4 раздела 3 отчетности по форме 0403203, для которых используется код типа операций "i" и код вида операций "02";

S3"i/03" - сумма операций (распоряжений) по переводу денежных средств, указываемая в графе 4 раздела 3 отчетности по форме 0403203, для которых используется код типа операций "i" и код вида операций "03";

S3"i/04" - сумма операций (распоряжений) по переводу денежных средств, указываемая в графе 4 раздела 3 отчетности по форме 0403203, для которых используется код типа операций "i" и код вида операций "04";

i - код типа операций, указываемый в графе 1 раздела 3 отчетности по форме 0403203, принимает следующие значения в зависимости от группы типов операций по переводу денежных средств, в разрезе которых осуществляется расчет ККПУР ИБ ОБС (КИР ИБ ОБС):

переводы денежных средств по банковским счетам посредством списания денежных средств с банковского счета плательщика - i=01;

переводы денежных средств, совершаемые с использованием сервиса быстрых платежей платежной системы Банка России, - i=02.

2. Расчет ККПУР ИБ ОБС, указанного в абзаце пятнадцатом подпункта 1.2.1 пункта 1 приложения 1 к Положению Банка России N 716-П, характеризующего долю операций по переводу денежных средств, соответствующих признакам осуществления перевода денежных средств без согласия клиента - физического лица, в отношении которых кредитная организация не приняла к исполнению и (или) приостановила исполнение распоряжений о совершении операций по переводу денежных средств (далее - распоряжения) (количество операций), а также расчет КИР ИБ ОБС в целях мониторинга данного ККПУР ИБ ОБС рекомендуется осуществлять по следующей формуле: