2.1. При определении подходов, используемых кредитными организациями при выборе провайдеров и организации работы с ними при осуществлении ДБО, целесообразно основываться на анализе сопутствующих ему факторов риска (причин возникновения новых угроз надежности ДБО, которые могут привести к невыполнению кредитной организацией своих обязательств перед клиентами) и компонентов банковских рисков, под которыми понимаются потенциальные угрозы надежности ДБО и которые возникают вследствие действия этих факторов; указанный анализ проводится исходя из состава провайдеров, требуемых функций и информационного контура ДБО.
2.2. Факторы риска и компоненты банковских рисков, упомянутые в пункте 2.1 настоящих Рекомендаций, рекомендуется описывать во внутреннем документе кредитной организации, регламентирующем управление банковскими рисками, с указанием на его использование в других внутренних документах кредитной организации, касающихся формирования отношений с провайдерами (включая документы, регламентирующие осуществление внутреннего контроля и обеспечение информационной безопасности).
2.3. Описания факторов риска и компонентов банковских рисков, упомянутых в пункте 2.2 настоящих Рекомендаций, рекомендуется излагать по отдельности для провайдеров кредитной организации по каждому виду предоставляемых провайдером услуг (например, доступ к сети Интернет, процессинг (обработка данных), услуги связи, хранение данных и т.д.) с указанием причин возможного возникновения этих факторов и компонентов в связи со спецификой деятельности провайдера (например, использование для связи с провайдером или использование провайдером тех или иных информационных систем, информационно-телекоммуникационных сетей, подверженность новым угрозам надежности ДБО или форс-мажорных обстоятельств, наличие у провайдера контрактов с другими сторонними организациями, от которых зависит его работа, и т.д.).
2.4. При определении подходов, указанных в пункте 2.1 настоящих Рекомендаций, целесообразно оценивать возможности получения от провайдеров информации, необходимой кредитной организации для эффективного управления банковскими рисками, сопутствующими ДБО (в том числе о наличии лицензий на используемое программное обеспечение, на систему обеспечения информационной безопасности провайдера, оборудование связи и т.п.).