Вид риска организаций БС РФ | Последствия для организаций БС РФ от реализации риска |
Операционный риск, связанный с несоблюдением требований законодательства РФ (правовой риск) | Несоблюдение требований законодательства РФ в области обработки защищаемой информации; несоблюдение законодательства РФ в области обеспечения защиты информации; несоблюдение законодательства РФ в обеспечении непрерывности предоставления финансовых услуг в результате реализации угроз ИБ; возникновение ограничений на способность организации БС РФ предоставить необходимую и достоверную информацию Банку России и уполномоченным органам исполнительной власти в рамках выполнения надзорных (контрольных) мероприятий в области обеспечения защиты информации |
Операционный риск, связанный с потерей (невозможностью) контроля обеспечения ИБ поставщиком услуг | Политика обеспечения ИБ поставщика услуг может не совпадать с политикой обеспечения ИБ организации БС РФ, а деятельность поставщика услуг в части обеспечения ИБ может осуществляться с учетом собственных интересов; потеря организацией БС РФ контроля над уровнем риска нарушения ИБ и уровнем зрелости реализации поставщиком услуг процессов обеспечения ИБ; отсутствие возможности и необходимой компетенции у организации БС РФ обеспечить надлежащий контроль деятельности поставщика услуг в части обеспечения ИБ при аутсорсинге существенных функций |
Операционный риск, связанный с возможностью прерывания деятельности организации БС РФ в результате реализации угроз ИБ | Нарушение непрерывности предоставления финансовых услуг в случае реализации сбоев и отказа в работе информационной инфраструктуры поставщика услуг или в работе информационной инфраструктуры организации БС РФ в результате деятельности поставщика услуг; нарушение непрерывности предоставления финансовых услуг в случае реализации сбоев и отказа в обслуживании технических средств и систем защиты информации в результате действий поставщика услуг; возникновение уязвимостей защиты информации в результате действий поставщика услуг |
Операционный риск, связанный с реализацией инцидентов ИБ, имеющих последствия для организации БС РФ | Нарушение непрерывности предоставления финансовых услуг; утечка информации конфиденциального характера; хищение материальных носителей, содержащих объекты интеллектуальной собственности; совершение несанкционированных операций, имеющих финансовые последствия, в том числе переводов денежных средств, лицами, не обладающими соответствующими правами |
Операционный риск, связанный с возникновением зависимости от поставщика услуг | Отказ поставщика услуг от выполнения своих обязательств по обеспечению ИБ перед организацией БС РФ, в том числе предусмотренных соглашением об аутсорсинге существенных функций; возникновение неприемлемых финансовых затрат у организации БС РФ в случае отказа поставщика услуг от своих обязательств; утрата у работников организации БС РФ необходимых компетенций, знаний и навыков, необходимых для обеспечения ИБ при возврате выполнения существенных функций с использованием собственных ресурсов; невозможность обеспечить необходимый уровень ИБ при возврате выполнения бизнес-функций в течение периода времени, приемлемого для организации БС РФ; увеличение временных затрат на выполнение бизнес-функций, связанное с территориальной удаленностью поставщика услуг (при нахождении на большом расстоянии от организации БС РФ или в другом часовом поясе); снижение гибкости в обеспечении ИБ при выполнении бизнес-функций, связанное с выполнением поставщиком услуг только тех требований, которые установлены соглашением об аутсорсинге |
Операционный риск, связанный со снижением качества услуг по обеспечению ИБ, предоставляемых поставщиком услуг | Снижение лояльности и удовлетворенности клиентов и контрагентов организации БС РФ; снижение лояльности, удовлетворенности и продуктивности сотрудников организации БС РФ |