(методика оценки риска определяется организацией БС РФ самостоятельно на основе Рекомендаций в области стандартизации Банка России (PC БР ИББС-2.2-2009) "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки рисков нарушения информационной безопасности")
Тип операционного риска | Возможная характеристика СВР | Возможный источник получения оценки СВР | Возможная характеристика СТП | Принятие решения о возможности аутсорсинга |
Связанный с несоблюдением требований законодательства РФ (правовой) | Оценка соблюдения требований законодательства РФ в области: - обеспечения защиты информации, обработки ПДн и информации, содержащей банковскую тайну; - обеспечения непрерывности предоставления финансовых услуг; - обеспечения возможности организации БС РФ предоставить необходимую и достоверную информацию в рамках выполнения Банком России и уполномоченными органами исполнительной власти их надзорных (контрольных) функций в области защиты информации | Собственная оценка организации БС РФ, выполненная ее работниками; оценка, выполняемая консалтинговой организацией (независимой от поставщика услуг) | Наличие риска несоблюдения законодательства РФ | Однозначная невозможность передачи выполнения существенных функций на аутсорсинг; аутсорсинг существенных функций невозможен |
Связанный с потерей (невозможностью) контроля обеспечения ИБ поставщиком услуг | Оценка достижения целей обеспечения ИБ организации БС РФ; оценка потенциала организации БС РФ обеспечить контроль риска нарушения ИБ при аутсорсинге существенных функций | Собственная оценка организации БС РФ, выполненная ее работниками; оценка, выполняемая аудиторской или консалтинговой организацией (независимой от поставщика услуг) | Общая сумма операций по переводу денежных средств, включая электронные денежные средства, осуществляемых через организацию БС РФ с использованием электронных технологий; среднеквартальный остаток денежных средств, находящихся на корреспондентских счетах организации БС РФ, открытых в расчетных центрах платежных систем, в том числе в платежной системе Банка России; операционные расходы (убытки) организации БС РФ, связанные с нарушением непрерывности предоставления финансовых услуг в результате НСД к ее информационной инфраструктуре или информационной инфраструктуре поставщика услуг | Принимается самостоятельно организацией БС РФ на основании анализа показателей экономической целесообразности и уровня оцененного риска |
Связанный с возможностью прерывания деятельности в результате реализации угроз ИБ | Оценка уровня соблюдения требования к непрерывности предоставления финансовых услуг; оценка уровня защиты информации в соответствии с требованием законодательства РФ | Оценка выполняется на основе результатов прохождения поставщиком услуг внешнего независимого аудита | Операционные расходы (убытки) организации БС РФ, связанные с нарушением непрерывности предоставления финансовых услуг в результате НСД к ее информационной инфраструктуре или информационной инфраструктуре поставщика услуг | Принимается самостоятельно организацией БС РФ на основании анализа показателей экономической целесообразности и уровня оцененного риска |
Связанный с реализацией инцидентов ИБ | Оценка уровня защиты информации в соответствии с требованием законодательства РФ; оценка потенциала организации БС РФ обеспечить контроль уровня обеспечения ИБ после заключения соглашения с поставщиком услуг | Оценка выполняется на основе результатов прохождения поставщиком услуг внешнего независимого аудита | Общая сумма операций по переводу денежных средств, включая электронные денежные средства, осуществляемых через организацию БС РФ с использованием электронных технологий; среднеквартальный остаток денежных средств, находящихся на корреспондентских счетах организации БС РФ, открытых в расчетных центрах платежных систем, в том числе в платежной системе Банка России; операционные расходы (убытки) организации БС РФ, связанные с нарушением непрерывности предоставления финансовых услуг в результате НСД к ее информационной инфраструктуре или информационной инфраструктуре поставщика услуг | Принимается самостоятельно организацией БС РФ на основании анализа показателей экономической целесообразности и уровня оцененного риска |
Связанный с возникновением зависимости от поставщика услуг | Оценка потенциала организации БС РФ обеспечить ИБ в случае отказа поставщика услуг от выполнения своих обязательств | Собственная оценка организации БС РФ, выполненная ее работниками; оценка, выполняемая аудиторской или консалтинговой организацией (независимой от поставщика услуг) | Утрата организациями БС РФ необходимых компетенций, знаний и навыков, необходимых для обеспечения ИБ при необходимости возврата выполнения существенных функций с использованием собственных ресурсов; неприемлемые финансовые затраты организаций БС РФ на обеспечение должного уровня ИБ в случае отказа поставщика услуг от своих обязательств; невозможность обеспечить должный уровень ИБ при возврате выполнения существенных функций в течение периода времени, приемлемого для организаций БС РФ | Принимается самостоятельно организацией БС РФ на основании анализа показателей экономической целесообразности и уровня оцененного риска; однозначная невозможность передачи выполнения существенных функций на аутсорсинг в случае отсутствия у организации БС РФ стратегии "выхода" |