Главная // Актуальные документы // ГОСТ Р (Государственный стандарт)

ИС МЕГАНОРМ: примечание. В официальном тексте документа, видимо, допущена опечатка: имеется в виду ГОСТ Р 51897, а не ГОСТ 51897.

Комплекс национальных стандартов "Безопасность финансовых (банковских) операций"
	Семейство стандартов УР			Управление риском реализации информационных угроз и обеспечение операционной надежности
				Методика оценки зрелости
			Семейство стандартов ОН		Обеспечение операционной надежности
					Методика оценки соответствия
			Семейство стандартов ЗИ		Защита информации финансовых организаций
					Методика оценки соответствия

Направление по управлению риском реализации информационных угроз	Процессы по управлению риском реализации информационных угроз	Подпроцессы по управлению риском реализации информационных угроз	Требования к реализации процессов
Планирование системы управления риском реализации информационных угроз	Определение политики управления риском реализации информационных угроз		Применяемые финансовой организацией меры должны обеспечивать: - установление структуры и организации системы управления риском реализации информационных угроз, а также распределение функций, ролей и ответственности в рамках управления риском реализации информационных угроз (см. таблицу 4); - установление политики управления риском реализации информационных угроз (см. таблицу 5); - участие совета директоров (наблюдательного совета) и коллегиального исполнительного органа финансовой организации в решении вопросов управления риском реализации информационных угроз (см. таблицу 6)
	Выявление и идентификация риска реализации информационных угроз, а также его оценка		Применяемые финансовой организацией меры должны обеспечивать: - идентификацию критичной архитектуры (см. таблицу 1 ГОСТ Р 57580.4-2022); - идентификацию риска реализации информационных угроз (см. таблицу 7); - выявление и моделирование информационных угроз (см. таблицу 8); - оценку риска реализации информационных угроз (см. таблицу 9)
	Организация ресурсного (кадрового и финансового) обеспечения		Применяемые финансовой организацией меры должны обеспечивать: - организацию ресурсного (кадрового и финансового) обеспечения процессов системы управления риском реализации информационных угроз (см. таблицу 10); - организацию ресурсного (кадрового и финансового) обеспечения функционирования службы ИБ (см. таблицу 11); - организацию целевого обучения по вопросам выявления и противостояния реализации информационных угроз (см. таблицу 12)
	Планирование, реализация, контроль и совершенствование мероприятий, направленных на уменьшение негативного влияния риска реализации информационных угроз	Разработка мероприятий, направленных на уменьшение негативного влияния риска реализации информационных угроз	Применяемые финансовой организацией меры должны обеспечивать: - выбор и применение способа реагирования на риск реализации информационных угроз (см. таблицу 13); - разработку мероприятий, направленных на снижение СВР инцидентов (см. таблицу 14); - разработку мероприятий, направленных на ограничение СТП инцидентов (см. таблицу 15)
Реализация системы управления риском реализации информационных угроз	Планирование, реализация, контроль и совершенствование мероприятий, направленных на уменьшение негативного влияния риска реализации информационных угроз	Защита от информационных угроз	Применяемые финансовой организацией меры должны обеспечивать: - защиту информации финансовой организации (см. таблицу 16); - операционную надежность (см. таблицу 17); - управление риском реализации информационных угроз при аутсорсинге (см. таблицу 18); - управление риском внутреннего нарушителя (см. таблицу 14 ГОСТ Р 57580.4-2022); - управление риском реализации информационных угроз в финансовых экосистемах (см. таблицу 19); - предотвращение утечек информации (см. таблицы 1 - 12, 29 - 31 ГОСТ Р 57580.1-2017)
	Планирование, реализация, контроль и совершенствование мероприятий, направленных на уменьшение негативного влияния риска реализации информационных угроз	Реагирование на инциденты, связанные с реализацией информационных угроз, и восстановление после их реализации	Применяемые финансовой организацией меры должны обеспечивать: - реагирование на инциденты в отношении критичной архитектуры (см. таблицу 6 ГОСТ Р 57580.4-2022); - восстановление функционирования бизнес- и технологических процессов и объектов информатизации после реализации инцидентов (см. таблицу 7 ГОСТ Р 57580.4-2022); - проведение анализа причин и последствий реализации инцидентов (см. таблицу 8 ГОСТ Р 57580.4-2022); - организацию взаимодействия между подразделениями финансовой организации, а также между финансовой организацией и Банком России, причастными сторонами в рамках реагирования на инциденты и восстановления функционирования бизнес- и технологических процессов и объектов информатизации после их реализации (см. таблицу 9 ГОСТ Р 57580.4-2022)
	Выявление событий риска реализации информационных угроз		Применяемые финансовой организацией меры должны обеспечивать: - сбор и регистрацию информации о внутренних событиях риска реализации информационных угроз и потерях (см. таблицу 20); - выявление и фиксацию инцидентов, в том числе обнаружение компьютерных атак и выявление фактов (индикаторов) компрометации объектов информатизации (см. таблицу 5 ГОСТ Р 57580.4-2022); - ведение претензионной работы (см. таблицу 21)
	Обеспечение осведомленности об актуальных информационных угрозах		Применяемые финансовой организацией меры должны обеспечивать: - организацию взаимодействия финансовой организации и причастных сторон, в том числе клиентов финансовой организации, при обмене информацией об актуальных сценариях реализации информационных угроз (см. таблицу 15 ГОСТ Р 57580.4-2022); - использование информации об актуальных сценариях реализации информационных угроз для цели обеспечения операционной надежности финансовой организации (см. таблицу 16 ГОСТ Р 57580.4-2022); - повышение осведомленности работников финансовой организации в части противостояния реализации информационных угроз (см. таблицу 17 ГОСТ Р 57580.4-2022)
Контроль системы управления риском реализации информационных угроз	Установление и реализация программ контроля и аудита		Применяемые финансовой организацией меры должны обеспечивать: - проведение самооценки и профессиональной независимой оценки зрелости процессов обеспечения операционной надежности и защиты информации (см. таблицу 22); - проведение сценарного анализа (в части возможной реализации информационных угроз) и тестирования с использованием его результатов готовности финансовой организации противостоять реализации информационных угроз в отношении критичной архитектуры (киберучения) (см. таблицу 12 ГОСТ Р 57580.4-2022); - оценку эффективности функционирования системы управления риском реализации информационных угроз (см. таблицу 23); - организацию внутренней отчетности в рамках управления риском реализации информационных угроз (см. таблицу 24)
	Мониторинг риска реализации информационных угроз		Финансовая организация должна применять меры по мониторингу риска реализации информационных угроз (см. таблицу 25)
Совершенствование системы управления риском реализации информационных угроз	Обеспечение соответствия фактических значений КПУР принятым		Применяемые финансовой организацией меры должны обеспечивать: - проведение анализа необходимости совершенствования системы управления риском реализации информационных угроз (см. таблицу 26); - принятие решений по совершенствованию системы управления риском реализации информационных угроз (см. таблицу 27)

Направления, процессы (подпроцессы) по защите информации		Требования к реализации направлений, процессов (подпроцессов) по защите информации
Обеспечение защиты информации при управлении доступом	Управление учетными записями и правами субъектов логического доступа	Применяемые финансовой организацией меры должны обеспечивать: - организацию и контроль использования учетных записей субъектов логического доступа (см. таблицу 1 ГОСТ Р 57580.1-2017); - организацию и контроль предоставления (отзыва) и блокирования логического доступа (см. таблицу 2 ГОСТ Р 57580.1-2017); - регистрацию событий защиты информации, связанных с операциями с учетными записями и правами логического доступа, и контроль использования предоставленных прав логического доступа (см. таблицу 3 ГОСТ Р 57580.1-2017)
	Идентификация, аутентификация, авторизация (разграничение доступа) при осуществлении логического доступа	Применяемые финансовой организацией меры должны обеспечивать: - идентификацию и аутентификацию субъектов логического доступа (см. таблицу 4 ГОСТ Р 57580.1-2017); - организацию управления и организацию защиты идентификационных и аутентификационных данных (см. таблицу 5 ГОСТ Р 57580.1-2017); - авторизацию (разграничение доступа) при осуществлении логического доступа (см. таблицу 6 ГОСТ Р 57580.1-2017); - регистрацию событий защиты информации, связанных с идентификацией, аутентификацией и авторизацией при осуществлении логического доступа (см. таблицу 7 ГОСТ Р 57580.1-2017)
	Защита информации при осуществлении физического доступа	Применяемые финансовой организацией меры должны обеспечивать: - организацию и контроль физического доступа в помещения, в которых расположены объекты доступа (см. таблицу 8 ГОСТ Р 57580.1-2017); - организацию и контроль физического доступа к объектам доступа, расположенным в публичных (общедоступных) местах (см. таблицу 9 ГОСТ Р 57580.1-2017); - регистрацию событий, связанных с физическим доступом (см. таблицу 10 ГОСТ Р 57580.1-2017)
	Идентификация и учет ресурсов и объектов доступа	Применяемые финансовой организацией меры должны обеспечивать: - организацию учета и контроль состава ресурсов и объектов доступа (см. таблицу 11 ГОСТ Р 57580.1-2017); - регистрацию событий защиты информации, связанных с операциями по изменению состава ресурсов и объектов доступа (см. таблицу 12 ГОСТ Р 57580.1-2017)
Обеспечение защиты вычислительных сетей	Сегментация и межсетевое экранирование вычислительных сетей	Применяемые финансовой организацией меры должны обеспечивать: - сегментацию и межсетевое экранирование внутренних вычислительных сетей (см. таблицу 13 ГОСТ Р 57580.1-2017); - защиту внутренних вычислительных сетей при взаимодействии с сетью Интернет (см. таблицу 14 ГОСТ Р 57580.1-2017); - регистрацию событий защиты информации, связанных с операциями по изменению параметров защиты вычислительных сетей (см. таблицу 15 ГОСТ Р 57580.1-2017)
	Выявление вторжений и сетевых атак	Применяемые финансовой организацией меры должны обеспечивать: - мониторинг и контроль содержимого сетевого трафика (см. таблицу 16 ГОСТ Р 57580.1-2017); - регистрацию событий защиты информации, связанных с результатами мониторинга и контроля содержимого сетевого трафика (см. таблицу 17 ГОСТ Р 57580.1-2017)
	Защита информации, передаваемой по вычислительным сетям	Финансовой организацией должны применяться меры по защите информации, передаваемой по вычислительным сетям (см. таблицу 18 ГОСТ Р 57580.1-2017)
	Защита беспроводных сетей	Применяемые финансовой организацией меры должны обеспечивать: - защиту информации от раскрытия и модификации при использовании беспроводных сетей (см. таблицу 19 ГОСТ Р 57580.1-2017); - защиту внутренних вычислительных сетей при использовании беспроводных сетей (см. таблицу 20 ГОСТ Р 57580.1-2017); - регистрацию событий защиты информации, связанных с использованием беспроводных сетей (см. таблицу 21 ГОСТ Р 57580.1-2017)
Контроль целостности и защищенности информационной инфраструктуры		Применяемые финансовой организацией меры должны обеспечивать: - контроль отсутствия известных (описанных) уязвимостей защиты информации объектов информатизации (см. таблицу 22 ГОСТ Р 57580.1-2017); - организацию и контроль размещения, хранения и обновления ПО информационной инфраструктуры (таблица 23 ГОСТ Р 57580.1-2017); - контроль состава и целостности ПО информационной инфраструктуры (см. таблицу 24 ГОСТ Р 57580.1-2017); - регистрацию событий защиты информации, связанных с результатами контроля целостности и защищенности информационной инфраструктуры (см. таблицу 25 ГОСТ Р 57580.1-2017)
Защита от вредоносного кода		Применяемые финансовой организацией меры должны обеспечивать: - организацию эшелонированной защиты от вредоносного кода на разных уровнях информационной инфраструктуры (см. таблицу 26 ГОСТ Р 57580.1-2017); - организацию и контроль применения средств защиты от вредоносного кода (таблица 27 ГОСТ Р 57580.1-2017); - регистрацию событий защиты информации, связанных с реализацией защиты от вредоносного кода (таблица 28 ГОСТ Р 57580.1-2017)
Предотвращение утечек информации		Применяемые финансовой организацией меры должны обеспечивать: - блокирование не разрешенных к использованию и контроль разрешенных к использованию потенциальных каналов утечки информации (см. таблицу 29 ГОСТ Р 57580.1-2017); - контроль (анализ) информации, передаваемой по разрешенным к использованию потенциальным каналам утечки информации (см. таблицу 30 ГОСТ Р 57580.1-2017); - организацию защиты машинных носителей информации (см. таблицу 31 ГОСТ Р 57580.1-2017); - регистрацию событий защиты информации, связанных с реализацией защиты по предотвращению утечки информации (см. таблицу 32 ГОСТ Р 57580.1-2017)
Управление инцидентами защиты информации	Мониторинг и анализ событий защиты информации	Применяемые финансовой организацией меры должны обеспечивать: - организацию мониторинга данных регистрации о событиях защиты информации, формируемых средствами и системами защиты информации, объектами информатизации, в том числе в соответствии с требованиями к содержанию базового состава мер защиты информации (см. таблицу 33 ГОСТ Р 57580.1-2017); - сбор, защиту и хранение данных регистрации о событиях защиты информации (см. таблицу 34 ГОСТ Р 57580.1-2017); - анализ данных регистрации о событиях защиты информации (см. таблицу 35 ГОСТ Р 57580.1-2017); - регистрацию событий защиты информации, связанных с операциями по обработке данных регистрации о событиях защиты информации (см. таблицу 36 ГОСТ Р 57580.1-2017)
	Обнаружение инцидентов защиты информации и реагирование на них	Применяемые финансовой организацией меры должны обеспечивать: - обнаружение и регистрацию инцидентов защиты информации (см. таблицу 37 ГОСТ Р 57580.1-2017); - организацию реагирования на инциденты защиты информации (см. таблицу 38 ГОСТ Р 57580.1-2017); - организацию хранения и защиту информации об инцидентах защиты информации (см. таблицу 39 ГОСТ Р 57580.1-2017); - регистрацию событий защиты информации, связанных с результатами обнаружения инцидентов защиты информации и реагирования на них (см. таблицу 40 ГОСТ Р 57580.1-2017)
Защита среды виртуализации		Применяемые финансовой организацией меры должны обеспечивать: - организацию идентификации, аутентификации, авторизации (разграничения доступа) при осуществлении логического доступа к виртуальным машинам и серверным компонентам виртуализации (см. таблицу 41 ГОСТ Р 57580.1-2017); - организацию и контроль информационного взаимодействия и изоляции виртуальных машин (см. таблицу 42 ГОСТ Р 57580.1-2017); - организацию защиты образов виртуальных машин (см. таблицу 43 ГОСТ Р 57580.1-2017); - регистрацию событий защиты информации, связанных с доступом к виртуальным машинам и серверным компонентам виртуализации (см. таблицу 44 ГОСТ Р 57580.1-2017)
Защита информации при осуществлении удаленного логического доступа работников организации кредитно-финансовой сферы с использованием мобильных (переносных) устройств		Применяемые финансовой организацией меры должны обеспечивать: - защиту информации от раскрытия и модификации при осуществлении удаленного доступа (см. таблицу 45 ГОСТ Р 57580.1-2017); - защиту внутренних вычислительных сетей при осуществлении удаленного доступа (см. таблицу 46 ГОСТ Р 57580.1-2017); - защиту информации от раскрытия и модификации при ее обработке и хранении на мобильных (переносных) устройствах (см. таблицу 47 ГОСТ Р 57580.1-2017)
Планирование процесса системы защиты информации		В рамках направления "планирование" финансовая организация обеспечивает определение (пересмотр) (см. таблицу 48 ГОСТ Р 57580.1-2017): - области применения процесса системы защиты информации; - состава применяемых (а также неприменяемых) мер защиты информации; - состава и содержания мер защиты информации, являющихся дополнительными к базовому составу мер, определяемых на основе актуальных угроз защиты информации, требований к защите информации, установленных нормативными правовыми актами в области обеспечения безопасности и защиты информации; - порядка применения мер защиты информации в рамках процесса системы защиты информации
Реализация процесса системы защиты информации		В рамках направления "реализация" финансовая организация обеспечивает (см. таблицу 49 ГОСТ Р 57580.1-2017): - должное применение мер защиты информации; - определение ролей защиты информации, связанных с применением мер защиты информации; - назначение ответственных лиц за выполнение ролей защиты информации; - доступность реализации технических мер защиты информации; - применение средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия [в том числе программных (программно-аппаратных) средств, в которых они реализованы, имеющих необходимые функции безопасности], в случаях, когда применение таких средств необходимо для нейтрализации угроз безопасности, определенных в модели угроз и нарушителей безопасности информации организации кредитно-финансовой сферы; - обучение, практическую подготовку (переподготовку) работников организации кредитно-финансовой сферы, ответственных за применение мер защиты информации; - повышение осведомленности (инструктаж) работников организации кредитно-финансовой сферы в области защиты информации
Контроль процесса системы защиты информации		Применяемые финансовой организацией меры защиты информации должны обеспечивать контроль (см. таблицу 50 ГОСТ Р 57580.1-2017): - области применения процесса системы защиты информации; - должного применения мер защиты информации в рамках процесса системы защиты информации; - знаний работников организации кредитно-финансовой сферы в части применения мер защиты информации
Совершенствование процесса системы защиты информации		Применяемые финансовой организацией меры в рамках направления "совершенствование" должны обеспечивать формирование и фиксацию решений о необходимости выполнения корректирующих или превентивных действий, в частности пересмотр применяемых мер защиты информации (см. таблицу 51 ГОСТ Р 57580.1-2017)
Защита информации на этапах жизненного цикла автоматизированных систем и приложений		Применяемые финансовой организацией меры на этапах жизненного цикла автоматизированных систем (далее - АС) должны обеспечивать (см. таблицы 53 - 56 ГОСТ Р 57580.1-2017): - определение состава мер защиты информации, реализуемых в АС (мер системы защиты информации АС); - должное применение и контроль применения мер системы защиты информации АС; - контроль отсутствия уязвимостей защиты информации в прикладном ПО АС и информационной инфраструктуре, предназначенной для размещения АС; - конфиденциальность защищаемой информации

Направления и процессы по обеспечению операционной надежности	Требования к реализации направлений и процессов по обеспечению операционной надежности
Идентификация критичной архитектуры	Применяемые финансовой организацией меры должны обеспечивать: - организацию учета и мониторинга состава элементов критичной архитектуры (см. таблицу 1 ГОСТ Р 57580.4-2022)
Управление изменениями	Применяемые финансовой организацией меры должны обеспечивать: - организацию и выполнение процедур управления изменениями в критичной архитектуре (см. таблицу 2 ГОСТ Р 57580.4-2022), направленных на: предотвращение возникновения уязвимостей в критичной архитектуре, с использованием которых могут реализовываться информационные угрозы и которые могут повлечь превышение (отклонение от) значений целевых показателей операционной надежности; планирование и внедрение изменений в критичной архитектуре, направленных на обеспечение (повышение) операционной надежности финансовой организации; - управление конфигурациями объектов информатизации, входящих в критичную архитектуру (см. таблицу 3 ГОСТ Р 57580.4-2022); - управление уязвимостями и обновлениями (исправлениями) объектов информатизации, входящих в критичную архитектуру (см. таблицу 4 ГОСТ Р 57580.4-2022)
Выявление, регистрация, реагирование на инциденты, связанные с реализацией информационных угроз, и восстановление после их реализации	Применяемые финансовой организацией меры должны обеспечивать: - выявление и фиксацию инцидентов, в том числе обнаружение компьютерных атак и выявление фактов (индикаторов) компрометации объектов информатизации (см. таблицу 5 ГОСТ Р 57580.4-2022); - реагирование на инциденты в отношении критичной архитектуры (см. таблицу 6 ГОСТ Р 57580.4-2022); - восстановление функционирования бизнес- и технологических процессов и объектов информатизации после реализации инцидентов (см. таблицу 7 ГОСТ Р 57580.4-2022); - проведение анализа причин и последствий реализации инцидентов (см. таблицу 8 ГОСТ Р 57580.4-2022); - организацию взаимодействия между подразделениями финансовой организации, а также между финансовой организацией и Банком России, причастными сторонами в рамках реагирования на инциденты и восстановления функционирования бизнес- и технологических процессов и объектов информатизации после их реализации (см. таблицу 9 ГОСТ Р 57580.4-2022)
Взаимодействие с поставщиками услуг	Применяемые финансовой организацией меры должны обеспечивать: - управление риском реализации информационных угроз при привлечении поставщиков услуг, в том числе защиту объектов информатизации, входящих в критичную архитектуру, от возможной реализации информационных угроз, включая компьютерные атаки, со стороны поставщиков услуг (см. таблицу 10 ГОСТ Р 57580.4-2022); - управление риском технологической зависимости функционирования объектов информатизации финансовой организации от поставщиков услуг (см. таблицу 11 ГОСТ Р 57580.4-2022)
Тестирование операционной надежности бизнес- и технологических процессов	Финансовая организация должна применять меры по проведению сценарного анализа (в части возможной реализации информационных угроз) и тестирования с использованием его результатов готовности финансовой организации противостоять реализации информационных угроз в отношении критичной архитектуры (киберучения) (см. таблицу 12 ГОСТ Р 57580.4-2022)
Защита критичной архитектуры от возможной реализации информационных угроз при организации удаленной работы	Финансовая организация должна применять меры по защите критичной архитектуры от возможной реализации информационных угроз при организации удаленной работы (см. таблицу 13 ГОСТ Р 57580.4-2022)
Управление риском внутреннего нарушителя	Финансовая организация должна применять меры по управлению риском внутреннего нарушителя (см. таблицу 14 ГОСТ Р 57580.4-2022)
Обеспечение осведомленности об актуальных информационных угрозах	Применяемые финансовой организацией меры должны обеспечивать: - организацию взаимодействия финансовой организации и причастных сторон, в том числе клиентов финансовой организации, при обмене информацией об актуальных сценариях реализации информационных угроз (см. таблицу 15 ГОСТ Р 57580.4-2022); - использование информации об актуальных сценариях реализации информационных угроз для цели обеспечения операционной надежности финансовой организации (см. таблицу 16 ГОСТ Р 57580.4-2022); - повышение осведомленности работников финансовой организации в части противостояния реализации информационных угроз (см. таблицу 17 ГОСТ Р 57580.4-2022
Планирование процесса системы обеспечения операционной надежности	В рамках направления "планирование" финансовая организация обеспечивает определение (пересмотр) (см. таблицу 18 ГОСТ Р 57580.4-2022): - области применения процесса обеспечения операционной надежности; - состава применяемых (а также неприменяемых) мер обеспечения операционной надежности; - состава и содержания мер обеспечения операционной надежности, являющихся дополнительными к базовому составу мер, определяемых на основе актуальных информационных угроз; - порядка применения мер обеспечения операционной надежности в рамках процесса обеспечения операционной надежности
Реализация процесса системы обеспечения операционной надежности	В рамках направления "реализация" финансовая организация обеспечивает (см. таблицу 19 ГОСТ Р 57580.4-2022): - должное применение организационных и технических мер; - назначение ответственных лиц за выполнение ролей по обеспечению операционной надежности; - доступность реализации технических мер; - обучение, практическую подготовку (переподготовку) работников финансовой организации, ответственных за применение организационных и технических мер; - повышение осведомленности (инструктаж) работников финансовой организации в области обеспечения операционной надежности
Контроль процесса системы обеспечения операционной надежности	Применяемые финансовой организацией меры должны обеспечивать контроль (см. таблицу 20 ГОСТ Р 57580.4-2022): - области применения процесса обеспечения операционной надежности; - должного применения организационных и технических мер; - знаний работников финансовой организации в части применения организационных и технических мер
Совершенствование процесса системы обеспечения операционной надежности	Применяемые финансовой организацией меры в рамках направления "совершенствование" должны обеспечивать формирование и фиксацию решений о необходимости выполнения корректирующих или превентивных действий, в частности пересмотр применяемых мер обеспечения операционной надежности (см. таблицу 21 ГОСТ Р 57580.4-2022)

Условное обозначение и номер меры	Содержание мер системы управления риском реализации информационных угроз	Уровень защиты
		3	2	1
ОПР.1	Установление во внутренних документах финансовой организации структуры и организации системы управления риском реализации информационных угроз, а также систем управления, определенных в рамках семейств стандартов ОН и ЗИ, включая:	-	-	-
ОПР.1.1	- определение и описание состава процессов управления риском реализации информационных угроз, обеспечения операционной надежности и защиты информации	О	О	О
ОПР.1.2	- описание структуры и подходов к интеграции процессов управления риском реализации информационных угроз в систему управления операционным риском финансовой организации	О	О	О
ОПР.1.3	- определение организационной структуры финансовой организации, задействованной в выполнении процессов управления риском реализации информационных угроз, обеспечения операционной надежности и защиты информации, в том числе установление функций подразделений финансовой организации (включая принятие решений с учетом исключения конфликта интересов) и контроль за выполнением процессов в рамках порядка организации и осуществления финансовой организацией внутреннего контроля	О	О	О
ОПР.1.4	- выделение ресурсного (кадрового и финансового) обеспечения для выполнения процессов управления риском реализации информационных угроз, обеспечения операционной надежности и защиты информации	О	О	О
ОПР.1.5	- порядок утверждения и условия пересмотра структуры и организации систем управления риском реализации информационных угроз, операционной надежности и защиты информации	О	О	О
ОПР.2	Реализация механизмов взаимодействия и координации деятельности <*> вовлеченных подразделений, формирующих "три линии защиты", а также причастных сторон (за исключением клиентов финансовой организации) в целях подготовки и реализации политики управления риском реализации информационных угроз	О	О	О
ОПР.3	Определение должностного лица, ответственного за функционирование системы управления риском реализации информационных угроз <**> финансовой организации (в том числе согласно требованиям нормативных актов Банка России [3]): - имеющего прямое подчинение лицу, осуществляющему функции единоличного исполнительного органа финансовой организации; - не участвующего в совершении операций, сделок, организации бухгалтерского и управленческого учета, обеспечении функционирования объектов информатизации; - обладающего достаточными знаниями, компетенцией, полномочиями и ресурсами (кадровыми и финансовыми) для принятия руководящих решений по вопросам управления риском реализации информационных угроз; - имеющего возможность прямого информирования единоличного исполнительного органа финансовой организации по вопросам, связанным с управлением риском реализации информационных угроз	О	О	О
ОПР.4	Установление функций и полномочий подразделений, формирующих "первую линию защиты", включающих: - идентификацию риска реализации информационных угроз (в пределах своей компетенции) в рамках реализуемых ими бизнес- и технологических процессов; - сбор информации и информирование о внутренних событиях риска реализации информационных угроз и потерях подразделения, ответственного за регистрацию такой информации в базе событий риска реализации информационных угроз (службы ИБ); - участие в оценке риска реализации информационных угроз (в пределах компетенции) в рамках реализуемых ими бизнес- и технологических процессов; - обеспечение соблюдения требований к планированию, реализации, контролю (в пределах компетенции) и совершенствованию мероприятий, направленных на уменьшение негативного влияния риска реализации информационных угроз	О	О	О
ОПР.5	Установление функций и полномочий службы ИБ <***>:	-	-	-
ОПР.5.1	В целях обеспечения ИБ: - разработка и (или) пересмотр внутренних документов в области обеспечения операционной надежности и защиты информации; - планирование, реализация (в том числе установление требований) и контроль процессов обеспечения операционной надежности и защиты информации; - разработка предложений по совершенствованию процессов обеспечения операционной надежности и защиты информации (по результатам анализа необходимости совершенствования систем управления, определяемых в рамках семейств стандартов ОН и ЗИ); - выявление и фиксация инцидентов, в том числе обнаружение реализации компьютерных атак и выявление фактов (индикаторов) компрометации объектов информатизации; - формирование отчетности по вопросам обеспечения операционной надежности и защиты информации, направляемой на рассмотрение коллегиальному исполнительному органу, должностному лицу, ответственному за функционирование системы управления риском реализации информационных угроз, а также иным должностным лицам, в случае наличия соответствующих требований во внутренних документах финансовой организации или требований нормативных актов Банка России [6]; осуществление других функций, связанных с реализаций процессов обеспечения операционной надежности и защиты информации, предусмотренных внутренними документами финансовой организации	О	О	О
ОПР.5.2	В целях управления риском реализации информационных угроз: - разработка и (или) пересмотр внутренних документов во взаимодействии с иными подразделениями, формирующими "вторую линию защиты" в области управления риском реализации информационных угроз, в том числе политики управления риском реализации информационных угроз и документов, определяющих методологию в рамках управления таким риском; - идентификация риска реализации информационных угроз (в том числе во взаимодействии с подразделениями, формирующими "первую линию защиты"); - сбор и регистрация информации о событиях риска реализации информационных угроз и потерях в базе событий такого риска (в том числе во взаимодействии с подразделениями, формирующими "первую линию защиты"); - ведение базы событий риска реализации информационных угроз; - мониторинг риска реализации информационных угроз (в том числе во взаимодействии с подразделениями, формирующими "первую линию защиты"), включая определение и мониторинг значений КИР в целях контроля за возможным превышением сигнальных и контрольных значений КПУР; - планирование, реализация (в том числе установление требований) и контроль во взаимодействии с иными подразделениями, формирующими "вторую линию защиты", мероприятий, направленных на уменьшение негативного влияния от риска реализации информационных угроз <*4>; - разработка предложений по совершенствованию процессов управления риском реализации информационных угроз (по результатам анализа необходимости совершенствования систем управления риском реализации информационных угроз); - расчет и обоснование сигнальных и контрольных значений КПУР, характеризующих уровень зрелости процессов обеспечения операционной надежности и защиты информации, а также уровень обеспечения операционной надежности бизнес- и технологических процессов финансовой организации; - расчет фактических значений КПУР, характеризующих уровень зрелости процессов обеспечения операционной надежности и защиты информации, а также уровень обеспечения операционной надежности бизнес- и технологических процессов финансовой организации; - осуществление мониторинга риска реализации информационных угроз, включая мониторинг соблюдения сигнальных и контрольных значений КПУР; - организация процесса обеспечения осведомленности об актуальных информационных угрозах; - разработка предложений по ресурсному (кадровому и финансовому) обеспечению службы ИБ; - участие в реализации программ контроля и аудита операционной надежности и защиты информации (в части самооценки и независимой оценки зрелости процессов обеспечения операционной надежности и защиты информации); - разработка предложений по совершенствованию системы управления риском реализации информационных угроз; - формирование отчетности в рамках управления риском реализации информационных угроз, направляемой на рассмотрение коллегиальному исполнительному органу, должностному лицу, ответственному за функционирование системы управления риском реализации информационных угроз, а также иным должностным лицам, в случае наличия соответствующих требований во внутренних документах финансовой организации или требований нормативных актов Банка России [6]; - информирование работников финансовой организации по вопросам, связанным с управлением риском реализации информационных угроз; - осуществление других функций, связанных с управлением риском реализации информационных угроз, предусмотренных внутренними документами финансовой организации	О	О	О
ОПР.6	Установление функций и полномочий подразделений, формирующих "вторую линию защиты" в части управления риском реализации информационных угроз, включающих: - интеграцию системы управления риском реализации информационных угроз в систему управления операционным риском; - координацию деятельности по управлению риском реализации информационных угроз как одним из видов операционного риска; - валидацию КИР; - расчет и обоснование сигнальных и контрольных значений КПУР (за исключением сигнальных и контрольных значений КПУР, расчет и обоснование которых осуществляется службой ИБ согласно ОПР.5.2 настоящей таблицы); - расчет фактических значений КПУР (за исключением фактических значений КПУР, расчет которых осуществляется службой ИБ согласно ОПР.5.2 настоящей таблицы); - координацию деятельности по отражению информации о событиях риска реализации информационных угроз в базе событий операционного риска; - включение отчетности, формируемой в рамках управления риском реализации информационных угроз, в отчетность об управлении операционным риском; - определение (во взаимодействии со службой ИБ) согласованной или единой методологии управления риском реализации информационных угроз, обеспечивающей интеграцию процессов управления риском реализации информационных угроз в рамках процессов управления операционным риском	О	О	О
ОПР.7	Установление функций и полномочий подразделений, формирующих "третью линию защиты", в части управления риском реализации информационных угроз, включающих проведение ежегодной оценки эффективности функционирования системы управления риском реализации информационных угроз <*5>, в том числе в целях: - валидации и верификации методологии и данных об управлении риском реализации информационных угроз (оценка адекватности методологии на предмет ее согласованности с внутренними политиками и требованиями финансовой организации, проверка полноты и корректности данных о риске реализации информационных угроз и событиях такого риска); - валидации внутренней отчетности в рамках управления риском реализации информационных угроз, представляемой на рассмотрение совету директоров (наблюдательному совету); - содействия своевременному и адекватному реагированию подразделениями, формирующими "первую" и "вторую линии защиты", на недостатки функционирования системы управления риском реализации информационных угроз (в части их устранения); - оценки соблюдения требований нормативных актов Банка России, в частности, [6]	О	О	О
<*> Реализация механизмов взаимодействия и координации деятельности может быть реализована, например, посредством постоянно действующего комитета по вопросам управления риском реализации информационных угроз. К функциям указанного комитета рекомендуется относить: - рассмотрение вопросов управления риском реализации информационных угроз, обеспечения операционной надежности и защиты информации с учетом требований (стратегии, потребностей, видения) и целей вовлеченных подразделений, формирующих "три линии защиты", и причастных сторон (за исключением клиентов финансовой организации), ресурсного (кадрового и финансового) обеспечения и применяемых объектов информатизации; - разработку состава КПУР, а также их сигнальных и контрольных значений с учетом требований (стратегий, потребностей, видения) вовлеченных подразделений, формирующих "три линии защиты"; - распределение и согласование задач, координацию взаимодействия вовлеченных подразделений, формирующих "три линии защиты", и причастных сторон (за исключением клиентов финансовой организации) в рамках процессов планирования, реализации, контроля и совершенствования системы управления риском информационных угроз, а также систем управления, определенных в рамках семейств стандартов ОН и ЗИ комплекса стандартов; - обеспечение данных для мониторинга деятельности вовлеченных подразделений, формирующих "три линии защиты", и причастных сторон (за исключением клиентов финансовой организации) по выполнению процессов планирования, реализации, контроля и совершенствования системы управления риском информационных угроз, а также систем управления, определенных в рамках семейств стандартов ОН и ЗИ комплекса стандартов. Функции комитета по вопросам управления риском реализации информационных угроз могут быть реализованы в рамках иного комитета, например комитета по управлению рисками. <**> При принятии финансовой организацией решения о создании отдельных систем управления под каждый вид риска реализации информационных угроз (согласно примечанию к 3.8) для каждой системы управления может быть назначено отдельное ответственное должностное лицо, с соблюдением предъявляемых в рамках ОПР.3 требований к такому лицу. <***> Рекомендуется относить функции и полномочия службы ИБ ко "второй линии защиты". Допускается отнесение отдельных функций и полномочий, перечисленных в ОПР.5.1 и ОПР.5.2 настоящей таблицы, к функциям и полномочиям иных подразделений, если иное не установлено нормативными актами Банка России [6]. В случае принятия финансовой организацией отдельных функций и полномочий службы ИБ к функциям и полномочиям иных подразделений положения настоящего стандарта также применяются в отношении соответствующих подразделений. <*4> За исключением планирования, реализации, контроля и совершенствования процессов обеспечения операционной надежности и защиты информации. <*5> В составе оценки эффективности функционирования системы управления операционным риском.

Условное обозначение и номер меры	Содержание мер системы управления риском реализации информационных угроз	Уровень защиты
		3	2	1
ОПР.8	Установление политикой управления риском реализации информационных угроз основных принципов функционирования системы управления таким риском:	-	-	-
ОПР.8.1	- направленность на обеспечение операционной надежности финансовой организации	О	О	О
ОПР.8.2	- интеграция системы управления риском реализации информационных угроз в систему управления операционным риском финансовой организации	О	О	О
ОПР.8.3	- соответствие политики управления риском реализации информационных угроз, а также устанавливаемых ею приоритетов общим бизнес-целям финансовой организации	О	О	О
ОПР.8.4	- систематический и проективный подход в части противостояния возможным информационным угрозам	О	О	О
ОПР.8.5	- участие совета директоров (наблюдательного совета) и коллегиального исполнительного органа финансовой организации в решении вопросов управления риском реализации информационных угроз, обеспечения операционной надежности и защиты информации	О	О	О
ОПР.9	Установление политикой управления риском реализации информационных угроз следующих задач управления таким риском:	-	-	-
ОПР.9.1	- обеспечение возможности покрытия потерь финансовой организации, причастных сторон, в том числе клиентов финансовой организации, в результате инцидентов, в том числе за счет формирования финансового резерва и (или) страхования риска реализации информационных угроз <*>	О	О	О
ОПР.9.2	- обеспечение возможности поддержания непрерывного предоставления финансовых и (или) информационных услуг в условиях возможной реализации информационных угроз	О	О	О
ОПР.9.3	- защиты интересов клиентов финансовой организации в случае их потерь в результате инцидентов	О	О	О
ОПР.9.4	- соблюдения требований законодательства Российской Федерации в области защиты информации, устанавливаемых на основании статей 57.4 и 76.4-1 Федерального закона [1], части 3 статьи 27 Федерального закона [11], а также устанавливаемых статьей 19 Федерального закона [12], статьей 16 Федерального закона [13] и Федеральным законом [14]	О	О	О
ОПР.10	Установление целей и требований политики управления риском реализации информационных угроз с участием и по согласованию с вовлеченными подразделениями, формирующими "три линии защиты"	О	О	О
ОПР.11	Установление политикой управления риском реализации информационных угроз в целях контроля за достижением целей управления таким риском состава КПУР <**>, а также их сигнальных и контрольных значений по следующим группам:	-	-	-
ОПР.11.1	- группа КПУР, характеризующих уровень совокупных потерь финансовой организации в результате событий риска реализации информационных угроз	О	О	О
ОПР.11.2	- группа КПУР, характеризующих уровень операционной надежности бизнес- и технологических процессов финансовой организации	О	О	О
ОПР.11.3	- группа КПУР, характеризующих уровень несанкционированных операций (потерь клиентов финансовой организации) в результате инцидентов	О	О	О
ОПР.12	Установление политикой управления риском реализации информационных угроз допустимого уровня такого риска (риск-аппетита финансовой организации) с учетом сигнальных и контрольных значений КПУР <**>	О	О	О
ОПР.13	Установление политикой управления риском реализации информационных угроз основных принципов и подходов к организации контроля за функционированием системы управления таким риском, включая:	-	-	-
ОПР.13.1	- пересмотр (в том числе условия пересмотра) политики управления риском реализации информационных угроз при изменении целей финансовой организации, в том числе в части допустимого уровня такого риска (риск-аппетита финансовой организации), существенных изменений в критичной архитектуре, существенного изменения модели информационных угроз	О	О	О
ОПР.13.2	- организацию внутренней отчетности в рамках управления риском реализации информационных угроз, включая внутреннюю отчетность об уровне зрелости процессов управления риском реализации информационных угроз, обеспечения операционной надежности и защиты информации	О	О	О
ОПР.13.3	- валидацию и верификацию со стороны подразделений, формирующих "третью линии защиты", методологии, данных и внутренней отчетности в рамках управления риском реализации информационных угроз	О	О	О
ОПР.13.4	- адекватное и своевременное реагирование на неудовлетворительные результаты валидации и верификации	О	О	О
ОПР.14	Установление политикой управления риском реализации информационных угроз требований к созданию ресурсных (кадровых и финансовых) условий для обеспечения необходимого уровня зрелости процессов управления таким риском, обеспечения операционной надежности и защиты информации	О	О	О
ОПР.15	Установление политикой управления риском реализации информационных угроз требований к привлекаемым в рамках аутсорсинга бизнес- и технологических процессов, а также процессов обеспечения операционной надежности и защиты информации поставщикам услуг, в том числе поставщикам облачных услуг (в части установления требуемого уровня зрелости процессов обеспечения операционной надежности и защиты информации в рамках соглашения об аутсорсинге), а также порядка взаимодействия и распределения ответственности между финансовой организацией и поставщиками услуг, в том числе поставщиками облачных услуг	О	О	О
ОПР.16	Установление политикой управления риском реализации информационных угроз функций и ответственности коллегиального исполнительного органа и работников финансовой организации в рамках управления риском реализации информационных угроз	О	О	О
ОПР.17	Установление политикой управления риском реализации информационных угроз области применения системы управления таким риском	О	О	О
<*> В случае если требованиями нормативных актов Банка России не предусмотрено формирование резервов на покрытие потерь от реализации операционного риска, финансовые организации самостоятельно определяют способы покрытия потерь в результате инцидентов. <**> Состав КПУР по каждой группе, а также их сигнальные и контрольные значения приведены в приложениях Д, Е.

Условное обозначение и номер меры	Содержание мер системы управления риском реализации информационных угроз	Уровень защиты
		3	2	1
ОПР.18	Установление внутренними документами финансовой организации распределения зон компетенции <*> совета директоров (наблюдательного совета), коллегиального исполнительного органа финансовой организации (а в случае его отсутствия - единоличного исполнительного органа) и подотчетных им коллегиальных органов в части решения вопросов, связанных с управлением риском реализации информационных угроз, обеспечением операционной надежности и защиты информации	Н	О	О
ОПР.19	Отнесение к зоне компетенции совета директоров (наблюдательного совета), коллегиального исполнительного органа финансовой организации (а в случае его отсутствия - единоличного исполнительного органа) или подотчетных им коллегиальных органов финансовой организации следующих вопросов <**>, связанных с управлением риском реализации информационных угроз:	-	-	-
ОПР.19.1	- утверждение политики управления риском реализации информационных угроз <***>	О	О	О
ОПР.19.2	- рассмотрение вопросов, связанных с управлением риском реализации информационных угроз, при возможном влиянии такого риска на принимаемые решения, связанные с общей стратегией развития финансовой организации <*4>	О	О	О
ОПР.19.3	- утверждение допустимого уровня риска реализации информационных угроз (риск-аппетита финансовой организации), состава КПУР, а также их сигнальных и контрольных значений	О	О	О
ОПР.19.4	- обеспечение как минимум ежегодного контроля за реализацией политики управления риском реализации информационных угроз и соблюдения установленных значений КПУР	О	О	О
ОПР.19.5	- обеспечение как минимум ежегодного контроля за деятельностью в части планирования, реализации, контроля и совершенствования системы управления риском реализации информационных угроз, а также систем управления, определенных в рамках семейств стандартов ОН и ЗИ комплекса стандартов	О	О	О
ОПР.19.6	- рассмотрение отчета об управлении риском реализации информационных угроз (в составе отчета об управлении операционным риском) за год	О	О	О
ОПР.19.7	- рассмотрение отчета о результатах оценки эффективности функционирования системы управления риском реализации информационных угроз (в составе отчета о результатах оценки эффективности системы управления операционным риском)	О	О	О
ОПР.19.8	- рассмотрение вопросов планирования и достаточности ресурсного (кадрового и финансового); - обеспечения для реализации политики управления риском реализации информационных угроз, а также поддержания функционирования структуры и организации систем управления риском реализации информационных угроз, обеспечения операционной надежности и защиты информации	О	О	О
ОПР.19.9	- обеспечение реагирования финансовой организации в случае превышения сигнальных и контрольных значений КПУР	О	О	О
ОПР.19.10	- ответственность за соблюдение требований политики управления риском реализации информационных угроз	О	О	О
ОПР.19.11	- организация деятельности в целях реализации политики управления риском реализации информационных угроз	О	О	О
ОПР.19.12	- утверждение структуры и организации системы управления риском реализации информационных угроз, а также систем управления, определенных в рамках семейств стандартов ОН и ЗИ комплекса стандартов, и контроль за поддержанием функционирования таких систем	О	О	О
ОПР.19.13	- организация и контроль за деятельностью по представлению на рассмотрение необходимой отчетности для контроля за реализацией политики управления риском реализации информационных угроз и соблюдения установленных значений КПУР	О	О	О
ОПР.19.14	- периодический контроль за фактическими значениями КПУР	О	О	О
ОПР.19.15	- контроль за осуществлением мониторинга риска реализации информационных угроз	Н	Н	О
ОПР.19.16	- управление ресурсным (кадровым и финансовым) обеспечением для целей в рамках выполнения процессов системы управления риском реализации информационных угроз, а также систем управления, определенных в рамках семейств стандартов ОН и ЗИ комплекса стандартов	О	О	О
ОПР.20	Отнесение к зоне компетенции совета директоров (наблюдательного совета) или коллегиального исполнительного органа (а в случае его отсутствия - единоличного исполнительного органа) финансовой организации вопросов, связанных с формированием корпоративной этики (культуры), предполагающей:	-	-	-
ОПР.20.1	- признание и закрепление важной роли и высокой ответственности каждого работника финансовой организации в части управления риском реализации информационных угроз, включая противостояние реализации информационных угроз	О	О	О
ОПР.20.2	- организация определения способов мотивации работников финансовой организации по участию в управлении риском реализации информационных угроз, а также осведомленности об актуальных информационных угрозах в целях противостояния реализации информационных угроз	О	О	О
<*> В том числе на случай кризисных (чрезвычайных или нештатных) ситуаций, требующих выполнения мероприятий по обеспечению непрерывности и восстановлению деятельности финансовой организации. <**> В случае если иное не установлено нормативными актами Банка России [6]. <***> Финансовая организация может определять политику управления риском реализации информационных угроз как отдельный документ, так и включать в состав иных внутренних документов, определяющих правила управления рисками или обеспечения информационной безопасности в финансовой организации. Утверждение включает рассмотрение политики управления риском реализации информационных угроз, а также устанавливаемых ею приоритетов на предмет согласованности с общими бизнес-целями финансовой организации, с учетом мнения подразделений, формирующих "три линии защиты". <*4> При принятии решений, связанных с общей стратегией развития финансовой организации, целесообразно принимать во внимание влияние принимаемых решений на уровень риска реализации информационных угроз, а также операционную надежность финансовой организации (в частности, влияние на предоставление финансовых и (или) информационных услуг).

Условное обозначение и номер меры	Содержание мер системы управления риском реализации информационных угроз	Уровень защиты
		3	2	1
ВИО.1	Организация <*> и выполнение деятельности по анализу базы событий риска реализации информационных угроз	О	О	О
ВИО.2	Организация и выполнение деятельности по проведению периодической (как минимум ежегодной) самооценки риска реализации информационных угроз	Н	Н	О
ВИО.3	Организация и выполнение деятельности по интервьюированию работников финансовой организации, в том числе с целью оценки внутренних и внешних условий и факторов, создающих условия для возникновения риска реализации информационных угроз <**>	Н	Н	Н
ВИО.4	Организация и выполнение деятельности по анализу актов проверок, судебных актов (решений, определений, постановлений) и (или) актов исполнительных органов государственной власти, Банка России в части фактов, относящихся к реализации риска реализации информационных угроз	Н	Н	Н
ВИО.5	Организация и выполнение деятельности по анализу информации, полученной от подразделений, формирующих "третью линию защиты", и (или) в рамках внешнего аудита	Н	Н	Н
ВИО.6	Организация и выполнение деятельности по анализу информации, полученной в рамках инициативного информирования работниками финансовой организации подразделений, формирующих "вторую линию защиты" и "третью линию защиты"	Н	Н	Н
ВИО.7	Организация и выполнение деятельности по анализу иных внешних и внутренних источников информации, способствующей выявлению риска реализации информационных угроз <***>	Н	Н	Н
<*> Под "организацией деятельности" понимается отражение во внутренних документах финансовой организации ведения соответствующей деятельности и распределение ролей по ее выполнению. <**> В случае наличия (выявления) такой необходимости. <***> Например, мониторинг внешних информационных ресурсов, участие в мероприятиях по обмену опытом, в том числе сотрудничество с Банком России и соответствующими исполнительными органами государственной власти на предмет обмена опытом об эффективных практиках в части управления риском реализации информационных угроз, обеспечения операционной надежности и защиты информации.

Условное обозначение и номер меры	Содержание мер системы управления риском реализации информационных угроз	Уровень защиты
		3	2	1
ВИО.8	Организация и выполнение на регулярной основе деятельности по определению и анализу возможных информационных угроз: - присущих осуществлению видов деятельности финансовой организации; - присущих взаимодействию финансовой организации с причастными сторонами	О	О	О
ВИО.9	Организация и выполнение на регулярной основе деятельности по определению и анализу возможных информационных угроз путем:	-	-	-
ВИО.9.1	- выявления возможных источников информационных угроз	О	О	О
ВИО.9.2	- оценки возможностей нарушителя безопасности информации	О	О	О
ВИО.9.3	- выявления возможных уязвимостей критичной архитектуры	О	О	О
ВИО.9.4	- определения возможных сценариев реализации информационных угроз	Н	О	О
ВИО.10	Организация и выполнение деятельности по выявлению возможных источников информационных угроз, присущих осуществлению видов деятельности финансовой организации, в отношении элементов идентифицированной критичной архитектуры:	-	-	-
ВИО.10.1	- бизнес- и технологических процессов	О	О	О
ВИО.10.2	- объектов информатизации	О	О	О
ВИО.10.3	- субъектов доступа	О	О	О
ВИО.10.4	- информационных потоков защищаемой информации <*>, обрабатываемой и передаваемой в рамках бизнес- и технологических процессов	Н	О	О
ВИО.11	Организация и выполнение деятельности по выявлению возможных источников информационных угроз, присущих взаимодействию финансовой организации с причастными сторонами, в отношении элементов идентифицированной критичной архитектуры:	-	-	-
ВИО.11.1	- бизнес- и технологических процессов, переданных на аутсорсинг и (или) выполняемых с применением сторонних информационных сервисов	О	О	О
ВИО.11.2	- взаимосвязей и взаимозависимостей между финансовой организацией и причастными сторонами (за исключением клиентов финансовой организации) в рамках выполнения бизнес- и технологических процессов, в том числе взаимосвязей и взаимозависимостей объектов информатизации	Н	О	О
ВИО.11.3	- сторонних информационных сервисов поставщиков услуг	Н	О	О
ВИО.12	Организация и выполнение деятельности по оценке возможностей нарушителя безопасности информации в отношении:	О	О	О
ВИО.12	- внутреннего нарушителя безопасности информации; - внешнего нарушителя безопасности информации	-	-	-
ВИО.13	Организация и выполнение деятельности по выявлению возможных уязвимостей критичной архитектуры путем выполнения мер, приведенных в таблице 4 ГОСТ Р 57580.4-2022	О	О	О
ВИО.14	Организация и выполнение деятельности по определению возможных сценариев реализации информационных угроз путем анализа существующих техник, тактик и процедур реализации информационных угроз на основе: - накопленного финансовой организацией опыта, в том числе в рамках реагирования на инциденты и восстановления после их реализации; - результатов проведения сценарного анализа и тестирования готовности финансовой организации противостоять реализации информационных угроз; - сценариев, разрабатываемых и распространяемых доверенными причастными сторонами; - сценариев, разрабатываемых и распространяемых Банком России	Н	О	О
ВИО.15	Разработка модели информационных угроз на основе результатов, полученных при реализации мер ВИО.8 - ВИО.14 настоящей таблицы	О	О	О
ВИО.16	Организация и выполнение деятельности по пересмотру модели информационных угроз на регулярной основе или в случаях: - выявления информации, свидетельствующей о появлении новых информационных угроз, присущих осуществлению видов деятельности финансовой организации и (или) взаимодействию финансовой организации с причастными сторонами; - выявления событий риска реализации информационных угроз в результате реализации новых информационных угроз	О	О	О
<*> К защищаемой информации относится информация, перечень которой определен в [8] - [10].

Условное обозначение и номер меры	Содержание мер системы управления риском реализации информационных угроз	Уровень защиты
		3	2	1
ВИО.17	Определение и применение методологии оценки риска реализации информационных угроз, включающей:	-	-	-
ВИО.17.1	- оценку СВР событий риска <*>	О	О	О
ВИО.17.2	- оценку СТП событий риска <*>	О	О	О
ВИО.17.3	- агрегированную оценку уровня риска реализации информационных угроз <**> с точки зрения элементов классификации такого риска (приведенных в приложениях А - Г), в том числе в соответствии с требованиями нормативных актов Банка России [6]	О	О	О
ВИО.17.4	- оценку объема капитала, выделяемого финансовой организацией на покрытие запланированных и незапланированных потерь от реализации риска реализации информационных угроз <**>, в том числе в соответствии с требованиями нормативных актов Банка России [6]	Н	О	О
ВИО.18	Оценка СВР инцидентов для каждого бизнес- и технологического процесса с учетом:	-	-	-
ВИО.18.1	- результатов выявления и моделирования информационных угроз	О	О	О
ВИО.18.2	- оценки зрелости процессов применения технологических мер защиты информации, реализуемых на технологических участках бизнес- и технологических процессов [8] - [10], [21]	Н	О	О
ВИО.18.3	- оценки зрелости процессов реализации функций безопасности и контроля (наличия) уязвимостей объектов информатизации прикладного уровня [8] - [10]	Н	О	О
ВИО.18.4	- оценки зрелости процессов планирования, реализации, контроля и совершенствования системы управления, определенной в рамках семейства стандартов ЗИ комплекса стандартов	О	О	О
ВИО.18.5	- оценки зрелости процессов планирования, реализации, контроля и совершенствования системы управления, определенной в рамках семейства стандартов ОН Комплекса стандартов	О	О	О
ВИО.19	Оценка СТП инцидентов для каждого бизнес- и технологического процесса с учетом:	-	-	-
ВИО.19.1	- уровня критичности (определяемого финансовой организацией самостоятельно, если иное не установлено нормативными актами Банка России [6]) соответствующего бизнес- и технологического процесса в рамках осуществления финансовой организацией вида деятельности, связанного с предоставлением финансовых и (или) информационных услуг	О	О	О
ВИО.19.2	- оценки соблюдения в случае реализации инцидентов значений КПУР, установленных политикой управления риском информационных угроз, в части: способности финансовой организации обеспечить покрытие финансовых потерь в результате инцидентов; способности финансовой организации обеспечить выполнение обязательств по защите интересов клиентов; способности финансовой организации осуществлять финансовые (банковские) операции, в том числе операции по переводу денежных средств в рамках срока исполнения обязательств, а также обеспечивать завершенность расчетов по таким операциям; способности финансовой организации возобновить предоставление финансовых и (или) информационных услуг в течение установленного времени после нарушения в работе	Н	О	О
ВИО.19.3	- оценки зрелости процессов планирования, реализации, контроля и совершенствования системы управления, определенной в рамках семейства стандартов ОН комплекса стандартов, в части выявления, регистрации, реагирования на инциденты и восстановления после их реализации	О	О	О
ВИО.19.4	- прогнозных оценок запланированных и незапланированных потерь от реализации инцидентов: на основе данных внутренней отчетности о фактических потерях за определенный временной период (запланированные потери); на основе сценариев в маловероятных, но возможных стрессовых ситуациях (незапланированные потери)	Н	Н	О
ВИО.19.5	- оценки способности финансовой организации обеспечить соблюдение требований законодательства Российской Федерации в области защиты информации, устанавливаемых на основании статей 57.4 и 76.4-1 Федерального закона [1], части 3 статьи 27 Федерального закона [11], а также устанавливаемых статьей 19 Федерального закона [12], статьей 16 Федерального закона [13] и Федеральным законом [14]	О	О	О
ВИО.20	Определение способов проведения оценки уровня риска реализации информационных угроз	О	О	О
ВИО.21	Оценка риска реализации информационных угроз, которому финансовая организация подвергает или подвергается со стороны причастных сторон (за исключением клиентов финансовой организации), с учетом степени взаимосвязи и взаимозависимости между финансовой организацией и причастными сторонами (за исключением клиентов финансовой организации), в том числе степени взаимосвязи и взаимозависимости между их объектами информатизации	Н	О	О
ВИО.22	Организация и выполнение деятельности по переоценке риска реализации информационных угроз на основе: - результатов пересмотра модели информационных угроз; - информации о новом идентифицированном риске реализации информационных угроз; - выявленных событий риска реализации информационных угроз	О	О	О
<*> Финансовым организациям рекомендуется применять количественный способ при реализации данной меры. <**> В случае если требования нормативных актов Банка России не устанавливают обязанность финансовой организации проведения количественной оценки риска [6] соответствующим способом, финансовым организациям рекомендуется применять количественный способ при реализации данной меры.

Условное обозначение и номер меры	Содержание мер системы управления риском реализации информационных угроз	Уровень защиты
		3	2	1
ОРО.1	Установление во внутренних документах финансовой организации методики оценки необходимого ресурсного (кадрового и финансового) обеспечения процессов управления риском реализации информационных угроз, обеспечения операционной надежности и защиты информации	О	О	О
ОРО.2	Организация и выполнение деятельности по оценке необходимого ресурсного (кадрового и финансового) обеспечения для определения состава основных ресурсов, необходимых в рамках процессов планирования, реализации, контроля и совершенствования системы управления риском реализации информационных угроз, а также систем управления, определенных в рамках семейств стандартов ОН и ЗИ комплекса стандартов, в том числе:	-	-	-
ОРО.2.1	- для реализации функций в рамках управления риском реализации информационных угроз подразделений, формирующих "три линии защиты"	О	О	О
ОРО.2.2	- для обеспечения своевременного выявления, реагирования на инциденты и восстановления функционирования бизнес- и технологических процессов и объектов информатизации после их реализации	О	О	О
ОРО.3	Утверждение и пересмотр на регулярной основе исполнительным органом финансовой организации состава основных ресурсов	О	О	О
ОРО.4	Организация и выполнение деятельности по обеспечению состава основных ресурсов и удовлетворение потребностей: - в финансировании реализации и контроля процессов обеспечения операционной надежности и защиты информации; - в закупке или разработке соответствующих программных, аппаратных и (или) программно-аппаратных продуктов; - в привлечении поставщиков услуг; - в доступе к информационным ресурсам (источникам информации), который предоставляется на основе возмездного договора	О	О	О
ОРО.5	Организация кадрового обеспечения в рамках управления риском реализации информационных угроз, обеспечения операционной надежности и защиты информации:	-	-	-
ОРО.5.1	- установление требований на основе профессиональных стандартов к квалификации работников, в том числе профессионального стандарта для специалистов по информационной безопасности в кредитно-финансовой сфере	О	О	О
ОРО.5.2	- проведение оценки соответствия кандидатов на должности согласно установленным требованиям в отношении их компетенции	О	О	О
ОРО.6	Планирование, реализация, контроль и совершенствование мероприятий, направленных на уменьшение негативного влияния кадровых рисков в рамках деятельности по управлению риском реализации информационных угроз, обеспечения операционной надежности и защиты информации, учитывающих в том числе: - возможность ухода работников, задействованных при выполнении ключевых ролей по управлению риском реализации информационных угроз, обеспечению операционной надежности и защиты информации; - возможность возникновения конфликта интересов при выполнении ролей по управлению риском реализации информационных угроз, обеспечению операционной надежности и защиты информации <*>	О	О	О
ОРО.7	Организация и выполнение деятельности по оценке эффективности работников, задействованных в рамках управления риском реализации информационных угроз, обеспечения операционной надежности и защиты информации <**>	О	О	О
ОРО.8	Организация и выполнение деятельности по повышению эффективности работников, направленной на исправление недостатков, выявленных по результатам оценки, предусмотренной мерой ОРО.7 настоящей таблицы, и осуществление последующего контроля	О	О	О
<*> Снижение возможности возникновения конфликта интересов при выполнении ролей по управлению риском реализации информационных угроз, обеспечению операционной надежности и защиты информации посредством разделения (везде, где это возможно) ролей, связанных с реализацией и контролем за реализацией процессов. <**> Допускается, если реализация меры ОРО.7 (и ОРО.8) будет произведена только в отношении отдельных категорий должностей, связанных с выполнением ключевых ролей в рамках управления риском реализации информационных угроз, обеспечения операционной надежности и защиты информации. Для отдельных таких категорий должностей рекомендуется устанавливать ключевые показатели эффективности в целях последующего контроля за их достижением.

Условное обозначение и номер меры	Содержание мер системы управления риском реализации информационных угроз	Уровень защиты
		3	2	1
ОРО.9	Определение и обеспечение необходимой численности и требуемой компетенции работников при организации ресурсного (кадрового и финансового) обеспечения службы ИБ на основании: - анализа задач и функций, связанных с выполнением планирования, реализации, контроля и совершенствования системы управления риском реализации информационных угроз, а также процессов систем управления, определенных в рамках семейств стандартов ОН и ЗИ комплекса стандартов, возложенных на службу ИБ; - уровня автоматизации процессов обеспечения операционной надежности и защиты информации; - прогноза возможного расширения состава задач и функций, возложенных на службу ИБ, в результате развития бизнес- и технологических процессов в соответствии с общей стратегией развития финансовой организации	О	О	О
ОРО.10	Определение минимальной необходимой численности работников службы ИБ с учетом: - трудозатрат на выполнение задач и функций, связанных с выполнением планирования, реализации, контроля и совершенствования системы управления риском реализации информационных угроз, а также процессов систем управления, определенных в рамках семейств стандартов ОН и ЗИ комплекса стандартов, возложенных на службу ИБ; - размеров финансовой организации, количества филиалов (региональных представительств) и их территориального распределения; - количества работников финансовой организации, задействованных в выполнении бизнес- и технологических процессов	О	О	О
ОРО.11	Определение требований к квалификации работников службы ИБ на основании характеристик квалификации, которые содержатся в профессиональном стандарте специалистов по информационной безопасности в кредитно-финансовой сфере, с учетом особенностей выполняемых работниками трудовых функций, обусловленных применяемыми технологиями и способами организации производства и труда	О	О	О
ОРО.12	Определение требований в отношении компетенции работников службы ИБ с учетом: - наличия высшего профессионального образования в области ИБ и (или) информационных технологий; - наличия подтверждения соответствия квалификационным требованиям, устанавливаемым профессиональным стандартом специалистов по информационной безопасности в кредитно-финансовой сфере; - регулярного прохождения дополнительного (специализированного) обучения, переподготовки (повышения квалификации) в области ИБ	О	О	О
ОРО.13	Утверждение коллегиальным исполнительным органом финансовой организации ресурсов службы ИБ с целью выполнения задач и функций, связанных с планированием, реализацией, контролем и совершенствованием системы управления риском реализации информационных угроз, а также процессов систем управления, определенных в рамках семейств стандартов ОН и ЗИ комплекса стандартов, возложенных на службу ИБ	О	О	О
ОРО.14	Предоставление службе ИБ собственного бюджета, достаточного для целей выполнения задач и функций, связанных с выполнением процессов планирования, реализации, контроля и совершенствования системы управления риском реализации информационных угроз, а также систем управления, определенных в рамках семейств стандартов ОН и ЗИ комплекса стандартов, возложенных на службу ИБ	Н	О	О
ОРО.15	Определение в качестве куратора службы ИБ должностного лица, ответственного за функционирование системы управления риском реализации информационных угроз	-	-	-
ОРО.16	Выделение на местах, в случае наличия у финансовой организации филиалов (региональных представительств), соответствующих подразделений ИБ (уполномоченных лиц) и организация их ресурсного (кадрового и финансового) обеспечения и обеспечение нормативной базой <*>	Н	О	О
<*> В случае централизации деятельности по управлению риском реализации информационных угроз, обеспечению операционной надежности и защиты информации финансовая организация определяет: - необходимость в ресурсном (кадровом и финансовом) обеспечении соответствующих подразделений (уполномоченных лиц) с учетом функций, делегированных таким подразделениям (уполномоченным лицам); - способ обеспечения нормативной базой соответствующих подразделений (уполномоченных лиц) - применение единой нормативной базы или разработка отдельных нормативных документов, отражающих специфику филиалов (региональных представительств).

Условное обозначение и номер меры	Содержание мер системы управления риском реализации информационных угроз	Уровень защиты
		3	2	1
ОРО.17	Организация целевого обучения работников, задействованных в рамках управления риском реализации информационных угроз, обеспечения операционной надежности и защиты информации, в частности организация целевого обучения по вопросам противостояния реализации информационных угроз для работников, входящих в группы повышенного риска <*>	Н	О	О
ОРО.18	Включение в разрабатываемые программы целевого обучения по вопросам выявления и противостояния реализации информационных угроз: - практических занятий, в рамках которых отрабатываются вопросы выявления индикаторов раннего обнаружения реализации информационных угроз (индикаторов (фактов) компрометации объектов информатизации) и реагирования на них; - практических занятий, в рамках которых отрабатываются вопросы противостояния реализации информационных угроз на основе возможных сценариев реализации информационных угроз; - практических занятий, в рамках которых отрабатываются вопросы восстановления после реализации инцидентов, связанных с реализацией информационных угроз, в том числе сбора и анализа технических данных (свидетельств)	Н	О	О
<*> К таким группам следует относить работников, обладающих привилегированным логическим доступом к объектам информатизации, задействованным в выполнении бизнес- и технологических процессов, входящих в критичную архитектуру.

ИС МЕГАНОРМ: примечание. В официальном тексте документа, видимо, допущена опечатка: имеется в виду ГОСТ Р ИСО/МЭК 27005, а не ГОСТ Р 27005.

Условное обозначение и номер меры	Содержание мер системы управления риском реализации информационных угроз	Уровень защиты
		3	2	1
РМ.1	Выбор финансовой организацией способа реагирования на риск реализации информационных угроз по результатам оценки риска: - уклонение от риска, предусматривающее отказ финансовой организации от выполнения отдельных бизнес- и технологических процессов (оказания соответствующего вида услуг и операций) в связи с высоким уровнем риска; - передача риска, предусматривающая страхование, передача риска причастной стороне; - принятие риска, предусматривающее готовность финансовой организации принять запланированные и незапланированные потери в рамках установленных сигнальных и контрольных значений КПУР (лимита потерь, с соответствующей процедурой контроля соблюдения такого лимита), а также на основе мотивированного суждения финансовой организации о достаточности выделяемого капитала, необходимого на покрытие потерь от реализации риска реализации информационных угроз; - разработка и реализация мероприятий, направленных на уменьшение негативного влияния риска реализации информационных угроз	О	О	О
РМ.2	Разработка плана реагирования на риск реализации информационных угроз, обеспечивающего достижение и поддержание допустимого уровня такого риска (риск-аппетита финансовой организации)	О	О	О
РМ.3	Определение в плане реагирования на риск реализации информационных угроз группы КПУР <*>, характеризующих уровень зрелости процессов обеспечения:	-	-	-
РМ.3.1	- применения технологических мер защиты информации, реализуемых на технологических участках бизнес- и технологических процессов [8] - [10], [21]	Н	О	О
РМ.3.2	- реализации функций безопасности и контроля (наличия) уязвимостей объектов информатизации прикладного уровня [8] - [10]	Н	О	О
РМ.3.3	- планирования, реализации, контроля и совершенствования системы защиты информации, требования к которой определены национальными стандартами семейства ЗИ комплекса стандартов	О	О	О
РМ.3.4	- планирования, реализации, контроля и совершенствования системы обеспечения операционной надежности, требования к которой определены национальными стандартами семейства ОН комплекса стандартов	О	О	О
РМ.4	Определение в рамках плана реагирования на риск реализации информационных угроз сигнальных и контрольных значений КПУР <*>, предусмотренных мерой РМ.3 настоящей таблицы, с учетом допустимого уровня такого риска (риск-аппетита)	О	О	О
РМ.5	Утверждение плана реагирования на риск реализации информационных угроз исполнительным органом финансовой организации и (или) должностным лицом, ответственным за функционирование системы управления риском реализации информационных угроз	О	О	О
<*> Состав КПУР по указанной группе, а также их сигнальные и контрольные значения приведены в приложениях Д, Е.

Условное обозначение и номер меры	Содержание мер системы управления риском реализации информационных угроз	Уровень защиты
		3	2	1
РМ.6	Планирование процессов применения технологических мер защиты информации, реализуемых на технологических участках бизнес- и технологических процессов, входящих в критичную архитектуру [8] - [10], [21]	Н	О	О
РМ.7	Планирование процессов реализации функций безопасности и контроля (наличия) уязвимостей объектов информатизации прикладного уровня [8] - [10]	Н	О	О
РМ.8	Планирование процессов применения организационных и технических мер, направленных на реализацию требований к процессам систем управления, определенных в рамках семейств стандартов ОН и ЗИ комплекса стандартов, включая:	-	-	-
РМ.8.1	- планирование применения организационных и технических мер, направленных на реализацию требований к процессам системы защиты информации, определенной в рамках семейства стандартов ЗИ комплекса стандартов	О	О	О
РМ.8.2	- планирование применения организационных и технических мер, направленных на реализацию требований к процессам системы обеспечения операционной надежности, определенной в рамках семейства стандартов ОН комплекса стандартов	О	О	О
РМ.9	Планирование процессов применения организационных и технических мер, предусмотренных мерой РМ.8 настоящей таблицы, включающее: - формирование состава (выбор) мер <*>, обеспечивающих соблюдение сигнальных и контрольных значений КПУР, принятых финансовой организацией; - исключение из выбранного состава мер, не связанных с используемыми информационными технологиями	О	О	О
РМ.9	- адаптацию (уточнение), при необходимости, выбранного состава мер с учетом результатов проведения идентификации критичной архитектуры, а также результатов моделирования информационных угроз; - дополнение адаптированного (уточненного) состава мерами, которые необходимы для обработки информационных угроз, закрепленных в модели угроз безопасности информации финансовой организации, в том числе обеспечения выполнения требований, установленных нормативными правовыми актами [23] - [26]	О	О	О
РМ.10	Определение приоритетов реализации процессов, планируемых в рамках реализации мер РМ.6 - РМ.9 настоящей таблицы, в отношении каждого бизнес- и технологического процесса, входящего в критичную архитектуру	О	О	О
<*> При невозможности технической реализации отдельных выбранных мер, а также с учетом экономической целесообразности на этапах адаптации (уточнения) выбранного состава мер могут разрабатываться иные (компенсирующие) меры на основании мотивированного суждения финансовой организации. Компенсирующие меры должны быть направлены на предотвращение (снижение вероятности) реализации тех же информационных угроз, на нейтрализацию которых направлены меры из выбранного состава мер, не применяемые в связи с невозможностью технической реализации и (или) экономической целесообразностью. В случае нереализации компенсирующих мер финансовая организация должна принять меры по страхованию запланированных и незапланированных финансовых потерь в результате реализации информационных угроз, на нейтрализацию которых направлены меры из выбранного состава мер, не применяемые в связи с невозможностью технической реализации и (или) экономической целесообразностью, и (или) учету указанных потерь при расчете капитала, необходимого на покрытие потерь от реализации риска реализации информационных угроз (в составе операционного риска).

Условное обозначение и номер меры	Содержание мер системы управления риском реализации информационных угроз	Уровень защиты
		3	2	1
РМ.11	Определение ограничений по параметрам финансовых (банковских) операций, в том числе переводов денежных средств [10]	Н	О	О
РМ.12	Определение способа и порядка возмещения потерь от реализации инцидентов, в том числе за счет резервов на запланированные и незапланированные потери и (или) посредством переноса риска на участников финансового рынка (страхования)	Н	О	О
РМ.13	Планирование применения организационных и технических мер, направленных на реализацию требований к процессам системы обеспечения операционной надежности, определенной в рамках семейства стандартов ОН комплекса стандартов, в части: - поддержания непрерывности выполнения бизнес- и технологических процессов; - выявления, реагирования на инциденты и восстановления после их реализации	О	О	О

Условное обозначение и номер меры	Содержание мер системы управления риском реализации информационных угроз	Уровень защиты
		3	2	1
ЗИУ.1	Реализация, контроль и совершенствование процессов применения технологических мер защиты информации, реализуемых на технологических участках бизнес- и технологических процессов [8] - [10], [21], планирование которых предусмотрено мерой РМ.6 таблицы 14	Н	О	О
ЗИУ.2	Реализация, контроль и совершенствование процессов реализации функций безопасности и контроля (наличия) уязвимостей объектов информатизации прикладного уровня [8] - [10], планирование которых предусмотрено мерой РМ.7 таблицы 14	Н	О	О
ЗИУ.3	Реализация, контроль и совершенствование процессов системы защиты информации, определяемой в рамках семейства стандартов ЗИ комплекса стандартов, планирование которых предусмотрено мерой РМ.8.1 таблицы 14	О	О	О
ЗИУ.4	Определение во внутренних документах требований к внедрению процессов, предусмотренных мерами ЗИУ.1 - ЗИУ.3 настоящей таблицы, на этапах жизненного цикла <*> объектов информатизации финансовой организации, начиная с этапа "Создание", способом, обеспечивающим заданный уровень защиты информации на этапах "Ввод в эксплуатацию" и "Эксплуатация (сопровождение)" в отношении:	-	-	-
ЗИУ.4.1	- процессов, предусмотренных мерами ЗИУ.1, ЗИУ.2 настоящей таблицы	Н	О	О
ЗИУ.4.2	- процессов, предусмотренных мерами ЗИУ.3 настоящей таблицы	О	О	О
ЗИУ.5	Реализация принципа обеспечения защиты информации, предусматривающего выделение контуров безопасности согласно ГОСТ Р 57580.1 <**>	О	О	О
ЗИУ.6	Обеспечение необходимого уровня зрелости процессов, предусмотренных мерами ЗИУ.1 - ЗИУ.3 настоящей таблицы, согласно принятым финансовой организацией сигнальным и контрольным значениям КПУР, предусмотренным мерой РМ.4 таблицы 13	Н	О	О
<*> Определяемых согласно ГОСТ Р 57580.1. <**> Выполнение мер защиты информации, приведенных в ГОСТ Р 57580.1, предусматривающих выделение контуров безопасности, с учетом топологии внутренней вычислительной сети, потоков защищаемой информации (внутренних и внешних).

Условное обозначение и номер меры	Содержание мер системы управления риском реализации информационных угроз	Уровень защиты
		3	2	1
ЗИУ.7	Реализация, контроль и совершенствование процессов системы обеспечения операционной надежности, определенной в рамках семейства стандартов ОН комплекса стандартов, планирование которых предусмотрено мерой РМ.8.2 таблицы 14	О	О	О
ЗИУ.8	Определение во внутренних документах требований к внедрению процессов, предусмотренных мерой ЗИУ.7 настоящей таблицы, на этапах жизненного цикла <*> объектов информатизации финансовой организации, начиная с этапа "Создание", способом, обеспечивающим заданный уровень защиты на этапах "Ввод в эксплуатацию" и "Эксплуатация (сопровождение)"	О	О	О
ЗИУ.9	Обеспечение необходимого уровня зрелости процессов, предусмотренных мерой ЗИУ.7 настоящей таблицы, согласно принятым финансовой организацией сигнальным и контрольным значениям КПУР, предусмотренным мерой РМ.4 таблицы 13	Н	О	О
<*> Определяемых согласно ГОСТ Р 57580.1.

Условное обозначение и номер меры	Содержание мер системы управления риском реализации информационных угроз	Уровень защиты
		3	2	1
ЗИУ.10	Определение вопросов управления риском реализации информационных угроз, обеспечения операционной надежности и защиты информации в рамках политики аутсорсинга, утверждаемой советом директоров (наблюдательным советом) или коллегиальным исполнительным органом финансовой организации	О	О	О
ЗИУ.11	Отнесение к зоне компетенции коллегиального исполнительного органа (а в случае его отсутствия - единоличного исполнительного органа) или подотчетных им коллегиальных органов финансовой организации вопросов, связанных с управлением риском реализации информационных угроз при аутсорсинге	О	О	О
ЗИУ.12	Организация и выполнение деятельности по выявлению и идентификации риска реализации информационных угроз, а также его оценке при аутсорсинге <*>	О	О	О
ЗИУ.13	Планирование, реализация, контроль и совершенствование мероприятий, направленных на уменьшение негативного влияния риска реализации информационных угроз при аутсорсинге	О	О	О
ЗИУ.14	Организация и выполнение деятельности по мониторингу риска реализации информационных угроз при аутсорсинге	О	О	О
ЗИУ.15	Организация и выполнение деятельности по обеспечению соответствия фактических значений КПУР принятым финансовой организацией, предусмотренных мерой ОПР.11 таблицы 5, при аутсорсинге	О	О	О
ЗИУ.16	Применение, в случае передачи на аутсорсинг процессов обеспечения операционной надежности и защиты информации финансовой организации, соглашений об уровне предоставления услуг (Service level agreement, SLA) и соглашения о неразглашении информации конфиденциального характера (Non-Disclosure Agreement, NDA) как дополнения к соглашению об аутсорсинге таких процессов	О	О	О
ЗИУ.17	Организация и выполнение деятельности по контролю со стороны финансовой организации качества услуг аутсорсинга процессов обеспечения операционной надежности и защиты информации на основе соглашений об уровне предоставления услуг (Service level agreement, SLA)	О	О	О
<*> При организации и выполнении деятельности по выявлению и идентификации риска реализации информационных угроз, а также его оценки при привлечении поставщика облачных услуг наряду с [27] рекомендуется использовать ГОСТ Р ИСО/МЭК 27036-4.

Условное обозначение и номер меры	Содержание мер системы управления риском реализации информационных угроз	Уровень защиты
		3	2	1
ЗИУ.17	Определение в рамках финансовой экосистемы правил и требований к участникам финансовой экосистемы (за исключением пользователей финансовой экосистемы) в части управления риском реализации информационных угроз:	О	О	О
ЗИУ.17.1	- правил и требований к установлению и соблюдению поставщиками финансовых услуг состава КПУР, предусмотренных мерой ОПР.11 таблицы 5, при предоставлении финансовых и (или) информационных услуг в рамках финансовой экосистемы	О	О	О
ЗИУ.17.2	- правил и требований к выявлению и идентификации риска реализации информационных угроз, а также его оценки поставщиками финансовых услуг	О	О	О
ЗИУ.17.3	- правил и требований к применению участниками финансовой экосистемы (за исключением пользователей финансовой экосистемы) технологических мер защиты информации, реализуемых на технологических участках бизнес- и технологических процессов в рамках финансовой экосистемы, включая идентификацию и аутентификацию пользователей финансовой экосистемы <*> (в том числе предоставляемые поставщиком облачных услуг)	О	О	О
ЗИУ.17.4	- правил и требований к планированию, реализации, контролю и совершенствованию участниками финансовой экосистемы (за исключением пользователей финансовой экосистемы) процессов системы управления, определяемых в рамках семейств стандартов ОН и ЗИ комплекса стандартов <**>	О	О	О
ЗИУ.17.5	- правил и требований к реализации мероприятий, направленных на предотвращение утечек информации <***>	О	О	О
ЗИУ.17.6	- правил и требований к безопасности раскрытия информации конфиденциального характера, относящейся к пользователям финансовой экосистемы, внутри финансовой экосистемы <*4>	О	О	О
ЗИУ.17.7	- правил и требований к выявлению событий риска реализации информационных угроз, в том числе к сбору и регистрации информации о событиях риска реализации информационных угроз и потерях в рамках финансовой экосистемы	О	О	О
ЗИУ.17.8	- правил и требований к реагированию на инциденты и восстановлению функционирования бизнес- и технологических процессов и объектов информатизации после их реализации, в том числе к взаимодействию между участниками финансовой экосистемы при реагировании и восстановлении после реализации таких инцидентов	О	О	О
ЗИУ.17.9	- правил и требований к обеспечению осведомленности об актуальных информационных угрозах, в том числе пользователей финансовой экосистемы	О	О	О
ЗИУ.17.10	- правил и требований к мониторингу риска реализации информационных угроз в рамках финансовой экосистемы	О	О	О
ЗИУ.18	Рассмотрение в рамках выявления и идентификации риска реализации информационных угроз, а также его оценки в рамках финансовой экосистемы следующих дополнительных видов такого риска: - риска реализации информационных угроз, связанного с нарушением обеспечения операционной надежности бизнес- и технологических процессов в рамках финансовой экосистемы; - риска реализации информационных угроз, связанного с неконтролируемым участниками финансовой экосистемы распространением информации конфиденциального характера (утечками информации); - риска реализации информационных угроз, связанного с осуществлением финансовых (банковских) операций, в том числе операций по переводу денежных средств без согласия пользователей финансовой экосистемы	О	О	О
<*> В частности, идентификация устройств пользователей финансовой экосистемы (цифровой отпечаток устройства - device fingerprint) в целях формирования и (или) применения в рамках финансовой экосистемы дополнительных контрольных параметров для авторизации пользователей при их обращении за предоставлением финансовых услуг. <**> Как минимум в отношении модулей, обеспечивающих интеграционное взаимодействие объектов информатизации участников финансовой экосистемы (за исключением пользователей финансовой экосистемы). <***> Неконтролируемого участниками финансовой экосистемы распространения информации конфиденциального характера. <*4> В частности, применение прикладных программных интерфейсов, обеспечивающих безопасность финансовых сервисов на основе протокола OpenID [28], [29].

Условное обозначение и номер меры	Содержание мер системы управления риском реализации информационных угроз	Уровень защиты
		3	2	1
ВСР.1	Организация и выполнение деятельности по выявлению и отнесению к событиям риска реализации информационных угроз результатов, получаемых в рамках: - выявления и регистрации инцидентов, в том числе обнаружение реализации компьютерных атак и выявление фактов (индикаторов) компрометации объектов информатизации; - ведения претензионной работы; - реализации программ по мотивации работников к инициативному информированию о возможной реализации и выявленных инцидентах	О	О	О
ВСР.2	Классификация событий риска реализации информационных угроз с учетом 6.14, в том числе в соответствии с требованиями нормативных актов Банка России [6]	О	О	О
ВСР.3	Организация и выполнение деятельности по ведению базы событий риска реализации информационных угроз, включая:	-	-	-
ВСР.3.1	- определение порядка ведения базы событий <*>	О	О	О
ВСР.3.2	- определение порядка установления величины потерь от реализации события риска реализации информационных угроз, при которой осуществляется регистрация таких событий в базе событий (порог регистрации), в том числе в соответствии с требованиями нормативных актов Банка России [6]	О	О	О
ВСР.3.3	- определение перечня ролей и ответственных по ведению базы событий	О	О	О
ВСР.3.4	- определение порядка контроля за своевременностью отражения потерь от реализации событий риска реализации информационных угроз	О	О	О
ВСР.3.5	- хранение в базе событий информации о выявленных событиях риска реализации информационных угроз, в том числе сведений о проведении их анализа не менее трех лет <**>	Т	Н	Н
ВСР.3.6	- хранение в базе событий информации о выявленных событиях риска реализации информационных угроз, в том числе сведений о проведении их анализа не менее пяти лет <**>	Н	Т	Т
ВСР.3.7	- обеспечение целостности и доступности данных, содержащихся в базе событий, а также сохранности данных о потерях и возмещениях <***>	Т	Т	Т
ВСР.3.8	- протоколирование и контроль внесения изменений в базу событий	Т	Т	Т
ВСР.4	Организация и выполнение деятельности по регистрации информации о выявленных событиях риска реализации информационных угроз и потерях <*4> в базе событий такого риска с учетом их классификации и порога регистрации, в том числе в соответствии с требованиями нормативных актов Банка России [6]	О	О	О
ВСР.5	Организация и выполнение деятельности по определению потерь от реализации событий риска реализации информационных угроз и возмещений, в том числе в соответствии с требованиями нормативных актов Банка России [6], включая:	-	-	-
ВСР.5.1	- учет потерь, установление сроков выявления и правил отражения в бухгалтерском учете	О	О	О
ВСР.5.2	- установление порядка и метода определения потерь (прямых, косвенных, качественных <*5>)	О	О	О
ВСР.5.3	- определение потерь финансовой организации, причастных сторон, в том числе клиентов финансовой организации с учетом классификации согласно приложению Г, в том числе в соответствии с требованиями нормативных правовых актов Банка России [6]	О	О	О
ВСР.5.4	- установление порядка определения валовых и чистых (фактических) потерь от реализации событий риска реализации информационных угроз, в том числе в соответствии с требованиями нормативных актов Банка России [6]	О	О	О
<*> Как в общей базе событий, так и в отдельной базе событий риска реализации информационных угроз. В случае если финансовая организация ведет отдельную базу событий риска реализации информационных угроз, подразделению, ответственному за ее ведение (службе ИБ), следует обеспечить возможность ее синхронизации с базой событий операционного риска, в том числе в соответствии с требованиями нормативных актов Банка России [6] (в частности, с требованиями к классификации событий риска и требованиями к ведению такой базы). <**> Если иной срок не установлен в нормативных актах Банка России [6]. <***> В случае корректировки значения потерь и возмещений в базе событий предыдущее значение потерь финансовой организацией не исправляется, а добавляется новая информация с новым значением (должна быть обеспечена сохранность предыдущих значений). <*4> Данные о событиях риска реализации информационных угроз и потерях должны охватывать виды деятельности финансовой организации, связанные с предоставлением финансовых и (или) информационных услуг, все структурные подразделения финансовой организации, объекты информатизации и регионы присутствия. <*5> Финансовым организациям следует проводить оценку значимости качественных потерь в соответствии с установленной во внутренних документах финансовой организации шкалой качественных оценок (например, по четырехуровневой шкале: "очень высокие", "высокие", "средние", "низкие").

Условное обозначение и номер меры	Содержание мер системы управления риском реализации информационных угроз	Уровень защиты
		3	2	1
ВСР.6	Организация и выполнение деятельности по обработке обращений причастных сторон, в том числе клиентов финансовой организации, о выявлении ими событий риска реализации информационных угроз, включая события такого риска, связанные с осуществлением финансовых (банковских) операций, в том числе операций по переводу денежных средств без согласия клиентов	О	О	О
ВСР.7	Организация и выполнение деятельности по доведению до причастных сторон, в том числе клиентов финансовой организации, результатов проведения финансовой организацией анализа по факту их обращений	О	О	О

Условное обозначение и номер меры	Содержание мер системы управления риском реализации информационных угроз	Уровень защиты
		3	2	1
УПК.1	Установление и реализация программы проведения самооценки зрелости процессов планирования, реализации, контроля и совершенствования систем управления, определенных в рамках семейств стандартов ОН и ЗИ комплекса стандартов, согласно соответствующим методикам оценки соответствия (далее - самооценка ОН и ЗИ)	О	Н	Н
УПК.2	Установление и реализация программы проведения независимой профессиональной оценки <*> зрелости процессов планирования, реализации, контроля и совершенствования систем управления, определенных в рамках семейств стандартов ОН и ЗИ Комплекса стандартов, согласно соответствующим методикам оценки соответствия (далее - аудиты ОН и ЗИ)	Н	О	О
УПК.3	Установление плана самооценки ОН и ЗИ для каждого проводимого аудита, определяющего: - цель самооценки ОН и ЗИ; - критерии самооценки ОН и ЗИ <**>; - область самооценки ОН и ЗИ; - дату и продолжительность проведения самооценки ОН и ЗИ; - состав аудиторской группы; - описание деятельности и мероприятий по проведению самооценки ОН и ЗИ; - распределение ресурсов при проведении самооценки ОН и ЗИ	О	Н	Н
УПК.4	Установление плана аудита ОН и ЗИ для каждого проводимого аудита, определяющего: - цель аудита ОН и ЗИ; - критерии аудита ОН и ЗИ <**>; - область аудита ОН и ЗИ; - дату и продолжительность проведения аудита ОН и ЗИ; - организацию, предоставляющую услуги внешнего аудита, и состав аудиторской группы; - описание деятельности и мероприятий по проведению аудита ОН и ЗИ; - распределение ресурсов при проведении аудита ОН и ЗИ	Н	О	О
УПК.5	Определение во внутренних документах правил привлечения организации, предоставляющей услуги внешнего аудита, при проведении аудитов ОН и ЗИ <***>	Н	О	О
УПК.6	Фиксация результатов проведения самооценок и аудитов ОН и ЗИ в виде отчетов, содержащих мотивированное суждение об уровне зрелости процессов совершенствования систем управления, определенных в рамках семейств стандартов ОН и ЗИ Комплекса стандартов, согласно соответствующим методикам оценки соответствия	О <*4>	О	О
УПК.7	Доведение результатов самооценок и аудитов ОН и ЗИ до совета директоров (наблюдательного совета) и исполнительного органа финансовой организации, а также должностного лица, ответственного за функционирование системы управления риском реализации информационных угроз	О <*4>	О	О
УПК.8	Организация и выполнение деятельности по хранению, предоставлению санкционированного доступа и использованию материалов (в частности, отчетов), получаемых в процессе проведения самооценок и аудитов ОН и ЗИ	О <*4>	О	О
<*> Обязательность проведения независимой профессиональной оценки устанавливается нормативными актами Банка России, в частности [8] - [10]. <**> Совокупность требований к составу и содержанию мер обеспечения операционной надежности и защиты информации, определенных в соответствии с ГОСТ Р 57580.4 и ГОСТ Р 57580.1 соответственно. <***> Рекомендуется для проведения внешнего аудита привлекать организации, подтвердившие соответствие своей деятельности ГОСТ Р ИСО/МЭК 27006 и ГОСТ Р ИСО/МЭК 17021-1. <*4> Мера применяется только в отношении самооценки ОН и ЗИ.

Условное обозначение и номер меры	Содержание мер системы управления риском реализации информационных угроз	Уровень защиты
		3	2	1
УПК.9	Организация и выполнение деятельности по оценке фактических значений КПУР на основе:	-	-	-
УПК.9.1	- данных, содержащихся в базе событий риска реализации информационных угроз	О	О	О
УПК.9.2	- результатов самооценок ОН и ЗИ <*>	О	Н	Н
УПК.9.3	- результатов аудитов ОН и ЗИ	Н	О	О
УПК.9.4	- результатов сценарного анализа и тестирования готовности финансовой организации противостоять реализации информационных угроз	Н	Н	О
УПК.9.5	- результатов оценки эффективности функционирования системы управления риском реализации информационных угроз, проводимой подразделением, формирующим "третью линию защиты"	О	О	О
УПК.10	Определение во внутренних документах:	-	-	-
УПК.10.1	- порядка оценки подразделением, формирующим "третью линию защиты", и (или) внешним аудитором эффективности функционирования системы управления риском реализации информационных угроз, в том числе выполнения процессов управления таким риском	О	О	О
УПК.10.2	- порядка привлечения для оценки эффективности функционирования системы управления риском реализации информационных угроз внешних аудиторов или экспертов	Н	Н	Н
УПК.11	Проведение ежегодной оценки эффективности функционирования системы управления риском реализации информационных угроз подразделением, формирующим "третью линию защиты", включая оценку:	-	-	-
УПК.11.1	- полноты и точности информации, отраженной в базе событий риска реализации информационных угроз, а также корректности ведения такой базы	Н	О	О
УПК. 11.2	- соблюдения установленных финансовой организацией в политике управления риском реализации информационных значений КПУР	Н	О	О
УПК.11.3	- корректности определения вида и величины потерь от реализации событий риска реализации информационных угроз (в составе операционного риска)	Н	О	О
УПК.11.4	- корректности проведенных оценок величины потерь от реализации риска реализации информационных угроз	Н	О	О
УПК.11.5	- мероприятий, направленных на уменьшение негативного влияния риска реализации информационных угроз	Н	О	О
УПК.12	Представление на рассмотрение фактических значений КПУР на регулярной основе или в случае выявления факта превышения сигнального и (или) контрольного значения одного из КПУР: - совету директоров (наблюдательному совету) финансовой организации не реже одного раза в год; - исполнительному органу финансовой организации, в том числе должностному лицу, ответственному за функционирование системы управления риском реализации информационных угроз, не реже одного раза в квартал	Н	О	О
<*> Самооценка проводится с привлечением службы ИБ (по решению финансовой организации может проводиться с привлечением внешнего аудитора).

Условное обозначение и номер меры	Содержание мер системы управления риском реализации информационных угроз	Уровень защиты
		3	2	1
УПК.13	Формирование внутренней отчетности финансовой организации: - о результатах выявления и идентификации риска реализации информационных угроз, его оценки, а также о выбранном способе реагирования на такой риск; - о планируемых и реализованных мероприятиях, направленных на уменьшение негативного влияния риска реализации информационных угроз; - о выявленных событиях риска реализации информационных угроз; - о результатах реагирования на инциденты и восстановления после их реализации, в том числе анализа причин и последствий реализации таких инцидентов; - о результатах реализации планов по обучению и повышению осведомленности работников финансовой организации в части противостояния реализации информационных угроз; - о результатах оценок необходимого ресурсного (кадрового и финансового) обеспечения; - о результатах реализации программ контроля и аудита, в том числе фактических значениях КПУР, а также мониторинга риска реализации информационных угроз (включая фактические значения КИР и результаты оценки потенциала превышения сигнальных и контрольных значений КПУР); - о результатах анализа необходимости совершенствования системы управления риском реализации информационных угроз, принятых решениях по совершенствованию системы управления риском реализации информационных угроз (включая предпринятые тактические или стратегические улучшения системы управления риском реализации информационных угроз)	О	О	О
УПК.14	Включение в отчетность о выявленных событиях риска реализации информационных угроз сведений о ведении претензионной работы финансовой организации в отношении ее причастных сторон, в том числе клиентов финансовой организации	О	О	О
УПК.15	Включение в отчетность о результатах мониторинга риска реализации информационных угроз информации о реализовавшихся инцидентах, содержащей в том числе: - общее количество зафиксированных инцидентов за отчетный период; - общее количество зарегистрированных событий риска реализации информационных угроз за отчетный период; - сумму потерь от реализации инцидентов в финансовой организации; - сумму потерь от реализации инцидентов со стороны причастных сторон (за исключением клиентов финансовой организации)	О	О	О
УПК.16	Определение процедур информирования и состава отчетности для представления совету директоров (наблюдательному совету) и коллегиальному исполнительному органу (а в случае его отсутствия - единоличному исполнительному органу) финансовой организации в рамках управления риском реализации информационных угроз, обеспечения операционной надежности и защиты информации подразделениями финансовой организации, формирующими "три линии защиты"	Н	О	О
УПК.17	Организация и выполнение деятельности по валидации и верификации данных, содержащихся в отчетности, предусмотренной мерой УПК.16 настоящей таблицы, в рамках управления риском реализации информационных угроз, со стороны подразделений, формирующих "третью линию защиты"	Н	О	О

Условное обозначение и номер меры	Содержание мер системы управления риском реализации информационных угроз	Уровень защиты
		3	2	1
МР.1	Установление требований к КИР и их документированию, включающее: - количественное измерение КИР; - способы расчета КИР, в том числе с использованием средств автоматизации; - периодичность (не реже одного раза в год) пересмотра КИР для поддержания КИР в актуальном состоянии; - регулярность и своевременность расчета КИР с установлением сроков (периодов) расчета КИР <*>; - валидацию КИР для проверки адекватности применяемого индикатора и подход к его расчету; - состав информации, используемой для расчета КИР, и ее источников, включая способ получения такой информации; - пороговые значения КИР с обоснованием их установления; - подразделения финансовой организации, ответственные за предоставление данных для расчета КИР и (или) расчет КИР; - порядок реагирования на превышение пороговых значений КИР, в том числе процедуры эскалации (в том числе информирования исполнительного органа финансовой организации и должностного лица, ответственного за функционирование системы управления риском реализации информационных угроз)	Н	Н	О
МР.2	Определение в рамках установления требований к КИР, предусмотренных мерой МР.1 настоящей таблицы, в части состава информации, используемой для КИР расчета, наборов КИР в целях мониторинга возможного превышения сигнальных и (или) контрольных значений для каждой группы КПУР:	-	-	-
МР.2.1	- набора КИР, характеризующих динамику возникновения инцидентов, приведших к прямым и (или) непрямым потерям финансовой организации, для мониторинга группы КПУР, характеризующих уровень совокупных потерь в результате реализации информационных угроз	Н	Н	О
МР.2.2	- определения набора КИР, характеризующих динамику возникновения инцидентов, вызвавших прерывание выполнения бизнес- и технологических процессов, для мониторинга группы КПУР, характеризующих уровень операционной надежности бизнес- и технологических процессов финансовой организации	Н	Н	О
МР.2.3	- определения набора КИР, характеризующих динамику поступления уведомлений от клиентов финансовой организации об осуществлении финансовых (банковских) операций, в том числе операций по переводу денежных средств без их согласия, для мониторинга группы КПУР, характеризующих уровень несанкционированных операций (потерь клиентов финансовой организации) в результате инцидентов	Н	Н	О
МР.2.4	- определения набора КИР, характеризующих динамику выявленных нарушений <**> в рамках выполнения процессов управления риском реализации информационных угроз, обеспечения операционной надежности и защиты информации, для мониторинга группы КПУР, характеризующей уровень зрелости таких процессов	Н	Н	О
МР.3	Определение в рамках установления требований к КИР, предусмотренных мерой МР.1 настоящей таблицы, в части источников информации, используемой для расчета КИР, следующих данных: - данных, формируемых подразделениями, формирующими "первую линию защиты"; - данных, формируемых в рамках ведения финансовой организацией претензионной работы; - данных, формируемых по результатам реализации программ контроля и аудита; - данных, формируемых по результатам оценки эффективности системы управления риском реализации информационных угроз	Н	Н	О
МР.4	Определение в рамках установления требований к КИР, предусмотренных мерой МР.1 настоящей таблицы, в части обоснования установления пороговых значений КИР, критериев учета влияния превышения пороговых значений КИР на возможность превышения сигнальных и контрольных значений КПУР	Н	Н	О
МР.5	Определение порядка информирования должностного лица, ответственного за функционирование системы управления риском реализации информационных угроз, в случае выявления факта возможного превышения сигнальных и контрольных значений КПУР, о котором свидетельствуют фактические расчетные значений КИР	Н	Н	О
<*> Например, в постоянном режиме, один раз в неделю, по состоянию на момент закрытия операционного дня [6]. <**> Обеспечение учета таких нарушений в случае их выявления вне проводимой самооценки и профессиональной независимой оценки зрелости процессов обеспечения операционной надежности и защиты информации, а также вне проводимой оценки эффективности системы управления риском реализации информационных угроз.

Условное обозначение и номер меры	Содержание мер системы управления риском реализации информационных угроз	Уровень защиты
		3	2	1
ОСЗ.1	Проведение анализа эффективности системы в целях принятия решения о необходимости совершенствования системы управления риском реализации информационных угроз в следующих случаях:	-	-	-
ОСЗ.1.1	- выявления фактов или возможности превышения сигнальных и контрольных значений КПУР	О	О	О
ОСЗ.1.2	- изменения политики финансовой организации в отношении принципов и приоритетов в реализации системы управления риском реализации информационных угроз	О	О	О
ОСЗ.1.3	- изменения политики финансовой организации в отношении величины допустимого риска реализации информационных угроз (риск-аппетита), сигнальных и контрольных значений КПУР	О	О	О
ОСЗ.1.4	- изменения политики финансовой организации в отношении аутсорсинга, в том числе в части взаимодействия с причастными сторонами - поставщиками услуг, включая поставщиков облачных услуг	О	О	О
ОСЗ.1.5	- внедрения финансовой организацией новых технологий предоставления финансовых и (или) информационных услуг, существенное изменение критичной архитектуры (в частности, бизнес- и технологических процессов)	О	О	О
ОСЗ.1.6	- изменения условий взаимодействия финансовой организации с причастными сторонами - поставщиками услуг, включая поставщиков облачных услуг	О	О	О
ОСЗ.1.7	- изменения законодательства Российской Федерации, в том числе нормативных актов Банка России	О	О	О
ИС МЕГАНОРМ: примечание. В официальном тексте документа, видимо, допущена опечатка: мера ВИО.16 отсутствует в настоящей таблице.
ОСЗ.2	Определение источников информации для проведения анализа необходимости совершенствования, включающих: - результаты оценки фактических значений КПУР и КИР; - результаты проведения самооценки и (или) профессиональной независимой оценки зрелости процессов обеспечения операционной надежности и защиты информации; - результаты проведенных сценарных анализов и тестирований готовности финансовой организации противостоять реализации информационных угроз (включая стресс-тестирования); - отчеты о выявленных событиях риска реализации информационных угроз; - отчеты о реагировании на инциденты и восстановлении после их реализации; - планы и решения по внедрению финансовой организацией новых технологий предоставления финансовых и (или) информационных услуг, - существенному изменению критичной архитектуры; - изменения в рамках пересмотра модели информационных угроз, предусмотренного мерой ВИО.16 настоящей таблицы; - результаты анализа эффективных практик в области обеспечения операционной надежности и защиты информации	О	О	О
ОСЗ.3	Фиксация и доведение до коллегиального исполнительного органа (а в случае его отсутствия - единоличного исполнительного органа) или подотчетных им коллегиальных органов финансовой организации и должностного лица, ответственного за функционирование системы управления риском реализации информационных угроз, результатов (свидетельств) анализа эффективности такой системы в целях принятия решения о необходимости ее совершенствования	О	О	О

Условное обозначение и номер меры	Содержание мер системы управления риском реализации информационных угроз	Уровень защиты
		3	2	1
ОСЗ.4	Принятие коллегиальным исполнительным органом финансовой организации и должностным лицом, ответственным за функционирование системы управления риском реализации информационных угроз, решений по совершенствованию системы управления риском реализации информационных угроз на основе результатов проведения анализа необходимости совершенствования такой системы: - решение об отсутствии необходимости совершенствования такой системы; - решение о необходимости реализации тактических улучшений такой системы; - решение о необходимости инициирования реализации стратегических улучшений такой системы и доведение таких решений до совета директоров (наблюдательного совета) финансовой организации	О	О	О
ОСЗ.5	Рассмотрение и принятие решений о необходимости реализации стратегических улучшений системы управления риском реализации информационных угроз советом директоров (наблюдательным советом) финансовой организации	О	О	О
ОСЗ.6	Фиксация во внутренних документах финансовой организации принятых решений по совершенствованию системы управления риском реализации информационных угроз <*>	О	О	О
ОСЗ.7	Обеспечение со стороны должностного лица, ответственного за функционирование системы управления риском реализации информационных угроз (с привлечением службы ИБ), контроля за реализацией тактических улучшений системы управления риском реализации информационных угроз	О	О	О
ОСЗ.8	Обеспечение со стороны коллегиального исполнительного органа финансовой организации и должностного лица, ответственного за функционирование системы управления риском реализации информационных угроз (с привлечением службы ИБ), контроля за реализацией стратегических улучшений системы управления риском реализации информационных угроз	О	О	О
ОСЗ.9	Организация и выполнение деятельности по реализации тактических улучшений системы управления риском реализации информационных угроз, включая:	-	-	-
ОСЗ.9.1	- внедрение новых мер, пересмотр и исправление недостатков в применяемом составе организационных и технических мер по обеспечению операционной надежности и защиты информации	О	О	О
ОСЗ.9.2	- пересмотр и адаптацию способов выявления событий риска реализации информационных угроз в зависимости от модели информационных угроз	О	О	О
ОСЗ.10	Организация и выполнение деятельности по реализации стратегических улучшений системы управления риском реализации информационных угроз, включая:
ОСЗ.10.1	- пересмотр политики управления риском реализации информационных угроз в части уточнения установленных в ней целей, состава и значений КПУР, а также пересмотр плана реагирования на риск реализации информационных угроз	О	О	О
ОСЗ.10.2	- пересмотр политики в отношении аутсорсинга, в том числе пересмотр соглашений об уровне оказания услуг (SLA)	О	О	О
ОСЗ.10.3	- пересмотр области применения системы управления риском реализации информационных угроз (критичной архитектуры)	О	О	О
ОСЗ.10.4	- пересмотр и доработку методологии оценки риска реализации информационных угроз	О	О	О
ОСЗ.10.5	- пересмотр объемов ресурсного обеспечения в рамках управления риском реализации информационных угроз, обеспечения операционной надежности и защиты информации	О	О	О
<*> В рамках фиксации решений по совершенствованию системы управления риском реализации информационных угроз должны быть приведены выводы об отсутствии необходимости тактических или стратегических улучшений системы либо указаны направления соответствующих улучшений.

ИС МЕГАНОРМ: примечание. Текст дан в соответствии с официальным текстом документа.

Бизнес- и технологический процесс	Событие реализации информационных угроз, связанное с осуществлением несанкционированных финансовых (банковских) операций	Событие реализации информационных угроз, связанное с нарушением операционной надежности
Бизнес- и технологический процесс, обеспечивающий привлечение денежных средств физических лиц во вклады	-	Событие, связанное с простоем или деградацией бизнес- и технологического процесса на период: более двух часов для банка, размер активов которого составляет 500 миллиардов рублей и более; более четырех часов для банка с УЛ, размер активов которого составляет менее 500 миллиардов рублей; более шести часов для банка с БЛ
Бизнес- и технологический процесс, обеспечивающий привлечение денежных средств юридических лиц во вклады	-	Событие, связанное с простоем или деградацией бизнес- и технологического процесса на период: более двух часов для банка, размер активов которого составляет 500 миллиардов рублей и более; более четырех часов для банка с УЛ, размер активов которого составляет менее 500 миллиардов рублей; более шести часов для банка с БЛ и НКО
Бизнес- и технологический процесс, обеспечивающий размещение привлеченных во вклады денежных средств физических и (или) юридических лиц от своего имени и за свой счет	Событие, связанное с размещением привлеченных во вклады денежных средств клиентов - физических и (или) юридических лиц от своего имени и за свой счет в результате НСД к объектам информатизации кредитной организации	Событие, связанное с простоем или деградацией бизнес- и технологического процесса: на период более двух часов для банка, размер активов которого составляет 500 миллиардов рублей и более; на период более четырех часов для банка с УЛ, размер активов которого составляет менее 500 миллиардов рублей; на период более шести часов для банка с БЛ и НКО
Бизнес- и технологический процесс, обеспечивающий осуществление переводов денежных средств по поручению физических лиц по их банковским счетам	Событие, связанное с осуществлением перевода денежных средств на основании несанкционированно модифицированного распоряжения клиента - физического лица ОПДС	Событие, связанное с простоем или деградацией бизнес- и технологического процесса: на период более двух часов для банка, размер активов которого составляет 500 миллиардов рублей и более; на период более четырех часов <*> для банка с УЛ, размер активов которого составляет менее 500 миллиардов рублей; на период более шести часов <*> для банка с БЛ
	Событие, связанное с осуществлением перевода денежных средств по поручению клиента - физических лиц с искаженными реквизитами в результате НСД к объектам информатизации ОПДС
Бизнес- и технологический процесс, обеспечивающий осуществление переводов денежных средств по поручению юридических лиц, в том числе банков-корреспондентов, по их банковским счетам, за исключением переводов по распоряжениям участников платежной системы	Событие, связанное с осуществлением перевода денежных средств на основании несанкционированно модифицированного распоряжения клиента - юридического лица ОПДС, в том числе банка-корреспондента, за исключением переводов по распоряжениям участников платежной системы	Событие, связанное с простоем или деградацией бизнес- и технологического процесса: на период более двух часов для банка, размер активов которого составляет 500 миллиардов рублей и более; на период более четырех часов <*> для банка с УЛ, размер активов которого составляет менее 500 миллиардов рублей; на период более шести часов <*> для банка с БЛ и НКО
	Событие, связанное с осуществлением перевода денежных средств по поручению клиента - юридических лиц, в том числе банков-корреспондентов с искаженными реквизитами в результате НСД к объектам информатизации ОПДС
Бизнес- и технологический процесс, обеспечивающий открытие и ведение банковских счетов физических лиц	Событие, связанное с изменением остатка на банковском счете клиента - физического лица в результате НСД к объектам информатизации кредитной организации	Событие, связанное с простоем или деградацией бизнес- и технологического процесса на период более двух часов для банка, размер активов которого составляет 500 миллиардов рублей и более, для банка с УЛ, размер активов которого составляет менее 500 миллиардов рублей, банка с БЛ
Бизнес- и технологический процесс, обеспечивающий открытие и ведение банковских счетов юридических лиц	Событие, связанное с изменением остатка на банковском счете клиента - юридического лица в результате НСД к объектам информатизации кредитной организации	Событие, связанное с простоем или деградацией бизнес- и технологического процесса на период более двух часов для банка, размер активов которого составляет 500 миллиардов рублей и более, для банка с УЛ, размер активов которого составляет менее 500 миллиардов рублей, банка с БЛ и НКО
Бизнес- и технологический процесс, обеспечивающий осуществление переводов денежных средств без открытия банковских счетов, в том числе электронных денежных средств (за исключением почтовых переводов)	Событие, связанное с осуществлением перевода денежных средств без открытия банковских счетов, в том числе электронных денежных средств (за исключением почтовых переводов), на основании несанкционированно модифицированного распоряжения клиента оператора по переводу денежных средств	Событие, связанное с простоем или деградацией бизнес- и технологического процесса: на период более двух часов для банка, размер активов которого составляет 500 миллиардов рублей и более; на период более четырех часов <*> для банка с УЛ, размер активов которого составляет менее 500 миллиардов рублей; на период более шести часов <*> для банка с БЛ и НКО
	Событие, связанное с осуществлением перевода денежных средств без открытия банковских счетов, в том числе электронных денежных средств (за исключением почтовых переводов), с искаженными реквизитами в результате НСД к объектам информатизации ОПДС
Бизнес- и технологический процесс, обеспечивающий выполнение операций на финансовых рынках	-	Событие, связанное с простоем или деградацией бизнес- и технологического процесса на период более 24 часов для банка, размер активов которого составляет 500 миллиардов рублей и более, для банка с УЛ, размер активов которого составляет менее 500 миллиардов рублей, банка с БЛ
Бизнес- и технологический процесс, обеспечивающий выполнение кассовых операций	Событие, связанное с несанкционированной выдачей наличных денежных средств кредитной организацией	Событие, связанное с простоем или деградацией бизнес- и технологического процесса на период более двух часов для банка, размер активов которого составляет 500 миллиардов рублей и более, для банка с УЛ, размер активов которого составляет менее 500 миллиардов рублей, банка с БЛ
	Событие, связанное с несанкционированным зачислением денежных средств
Бизнес- и технологический процесс, обеспечивающий работу онлайн-сервисов дистанционного обслуживания и доступа к осуществлению операций	-	Событие, связанное с простоем или деградацией бизнес- и технологического процесса на период более двух часов для банка, размер активов которого составляет 500 миллиардов рублей и более, для банка с УЛ, размер активов которого составляет менее 500 миллиардов рублей, банка с БЛ
Бизнес- и технологический процесс, обеспечивающий размещение и обновление биометрических персональных данных в единой биометрической системе	Событие, связанное с нарушением целостности (подмены, удаления) или нарушением достоверности (внесения фиктивных биометрических персональных данных) биометрических персональных данных	Событие, связанное с простоем или деградацией бизнес- и технологического процесса на период более двух часов для банка, размер активов которого составляет 500 миллиардов рублей и более, для банка с УЛ, размер активов которого составляет менее 500 миллиардов рублей, банка с БЛ
Бизнес- и технологический процесс, обеспечивающий идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, в том числе с применением информационных технологий без их личного присутствия	Событие, связанное с ложно-положительной идентификацией и (или) аутентификацией с использованием биометрических персональных данных физических лиц, в том числе с применением информационных технологий без их личного присутствия	Событие, связанное с простоем или деградацией бизнес- и технологического процесса на период более двух часов для банка, размер активов которого составляет 500 миллиардов рублей и более, для банка с УЛ, размер активов которого составляет менее 500 миллиардов рублей, банка с БЛ
	Событие, связанное с идентификацией и (или) аутентификацией с использованием биометрических персональных данных физических лиц, в том числе с применением информационных технологий без их личного присутствия, при подмене физическим лицом биометрических персональных данных
<*> Для кредитных организаций, признанных значимыми на рынке платежных услуг в соответствии с нормативным актом Банка России [3], пороговый уровень допустимого времени простоя и (или) деградации технологических процессов составляет два часа.

Бизнес- и технологический процесс	Событие реализации информационных угроз, связанное с осуществлением несанкционированных финансовых (банковских) операций	Событие реализации информационных угроз, связанное с нарушением операционной надежности
Бизнес- и технологический процесс, обеспечивающий возврат клиентам денежных средств	Событие, связанное с возвратом денежных средств на основании требования клиента брокера, сформированного без его согласия, в том числе на основании модифицированного требования клиента	Событие, связанное с простоем и (или) деградацией технологического процесса на период более 24 часов
	Событие, связанное с возвратом денежных средств в результате НСД к объектам информатизации брокера или объектам информатизации взаимодействия брокера и кредитной организации
Бизнес- и технологический процесс, обеспечивающий внесение записей во внутренний учет	Событие, связанное с внесением записей во внутренний учет в результате НСД к объектам информатизации брокера	Событие, связанное с простоем и (или) деградацией технологического процесса на период более 12 часов
Бизнес- и технологический процесс, обеспечивающий исполнение поручений клиентов на совершение сделок с ценными бумагами и заключение договоров, являющихся производными финансовыми инструментами	Событие, связанное с исполнением поручения клиента на совершение сделки, сформированного без его согласия, в том числе на основании модифицированного поручения клиента	Событие, связанное с простоем и (или) деградацией технологического процесса: на период более двух часов для некредитной финансовой организации, обязанной соблюдать усиленный или стандартный уровень защиты информации в соответствии с требованиями нормативных актов Банка России [9]; на период более четырех часов для некредитной финансовой организации, обязанной соблюдать минимальный уровень защиты информации в соответствии с требованиями нормативных актов Банка России [9]
	Событие, связанное с исполнением поручения клиента на совершение сделки в результате НСД к объектам информатизации брокера или объектам информатизации взаимодействия брокера и организатора торговли

Бизнес- и технологический процесс	Событие реализации информационных угроз, связанное с осуществлением несанкционированных финансовых (банковских) операций	Событие реализации информационных угроз, связанное с нарушением операционной надежности
Бизнес- и технологический процесс, обеспечивающий совершение сделок купли-продажи ценных бумаг от своего имени и за свой счет путем публичного объявления цен покупки и (или) продажи определенных ценных бумаг с обязательством покупки и (или) продажи этих ценных бумаг по объявленным лицом, осуществляющим указанную деятельность, ценам	Событие, связанное с совершением сделки купли-продажи ценных бумаг в результате НСД к объектам информатизации дилера	Событие, связанное с простоем и (или) деградацией технологического процесса на период более 24 часов
Бизнес- и технологический процесс, обеспечивающий внесение записей во внутренний учет	Событие, связанное с внесением записей во внутренний учет в результате НСД к объектам информатизации дилера	Событие, связанное с простоем и (или) деградацией технологического процесса на период более 12 часов

Бизнес- и технологический процесс	Событие реализации информационных угроз, связанное с осуществлением несанкционированных финансовых (банковских) операций	Событие реализации информационных угроз, связанное с нарушением операционной надежности
Бизнес- и технологический процесс, обеспечивающий внесение записей во внутренний учет	Событие, связанное с внесением записей во внутренний учет в результате НСД к объектам информатизации форекс-дилера	Событие, связанное с простоем и (или) деградацией технологического процесса на период более 12 часов
Бизнес- и технологический процесс, обеспечивающий возврат клиентам денежных средств	Событие, связанное с возвратом клиенту денежных средств на основании требования клиента, сформированного без его согласия, в том числе на основании модифицированного требования клиента	Событие, связанное с простоем и (или) деградацией технологического процесса на период более 24 часов
	Событие, связанное с возвратом клиентам денежных средств в результате НСД к инфраструктуре форекс-дилера или инфраструктуре взаимодействия форекс-дилера и кредитной организации
Бизнес- и технологический процесс, обеспечивающий заключение от своего имени и за свой счет с физическими лицами, не являющимися индивидуальными предпринимателями, не на организованных торгах договоров, указанных в пункте 4.1 [33]	Событие, связанное с заключением от своего имени и за свой счет договора в результате НСД к объектам информатизации форекс-дилера	Событие, связанное с простоем и (или) деградацией технологического процесса на период более двух часов

Бизнес- и технологический процесс	Событие реализации информационных угроз, связанное с осуществлением несанкционированных финансовых (банковских) операций	Событие реализации информационных угроз, связанное с нарушением операционной надежности
Бизнес- и технологический процесс, обеспечивающий внесение записей во внутренний учет	Событие, связанное с внесением записей во внутренний учет в результате НСД к объектам информатизации управляющего ценными бумагами	Событие, связанное с простоем и (или) деградацией технологического процесса на период более 12 часов
Бизнес- и технологический процесс, обеспечивающий возврат клиентам денежных средств	Событие, связанное с возвратом клиенту денежных средств на основании требования клиента, сформированного без его согласия, в том числе на основании модифицированного требования клиента	Событие, связанное с простоем и (или) деградацией технологического процесса на период более 24 часов
	Событие, связанное с возвратом клиенту денежных средств в результате НСД к инфраструктуре управляющего или инфраструктуре взаимодействия управляющего и кредитной организации
Бизнес- и технологический процесс, обеспечивающий совершение сделок с ценными бумагами и (или) заключение договоров, являющихся производными финансовыми инструментами в интересах учредителя управления	Событие, связанное с совершением сделки с ценными бумагами и (или) заключением договора, являющегося производным финансовым инструментом, в результате НСД к объектам информатизации дилера	Событие, связанное с простоем и (или) деградацией технологического процесса на период более четырех часов

Бизнес- и технологический процесс	Событие реализации информационных угроз, связанное с осуществлением несанкционированных финансовых (банковских) операций	Событие реализации информационных угроз, связанное с нарушением операционной надежности
Бизнес- и технологический процесс, обеспечивающий внесение учетных записей в реестр владельцев ценных бумаг	Событие, связанное с внесением учетных записей в реестр владельцев ценных бумаг в результате НСД к объектам информатизации регистратора	Событие, связанное с простоем и (или) деградацией технологического процесса на период более 24 часов
Бизнес- и технологический процесс, обеспечивающий осуществление регистратором сверки учитываемых регистратором прав на ценные бумаги с центральным депозитарием по счету номинального держателя центрального депозитария	-	Событие, связанное с простоем и (или) деградацией технологического процесса на период более четырех часов

Бизнес- и технологический процесс	Событие реализации информационных угроз, связанное с осуществлением несанкционированных финансовых (банковских) операций	Событие реализации информационных угроз, связанное с нарушением операционной надежности
Бизнес- и технологический процесс, обеспечивающий внесение учетных записей в учетные регистры	Событие, связанное с внесением учетных записей в учетные регистры в результате НСД к объектам информатизации регистратора	Событие, связанное с простоем и (или) деградацией технологического процесса на период более 24 часов
Бизнес- и технологический процесс, обеспечивающий выплату депоненту доходов в денежной форме по ценным бумагам, учет прав на которые осуществляет депозитарий, и иных причитающихся владельцам указанных ценных бумаг денежных выплат	Событие, связанное с выплатой депоненту доходов в денежной форме по ценным бумагам в результате НСД к объектам информатизации депозитария или объектам информатизации взаимодействия депозитария и кредитной организации	Событие, связанное с простоем и (или) деградацией технологического процесса на период более 24 часов
Бизнес- и технологический процесс, обеспечивающий осуществление расчетным депозитарием расчетов по результатам сделок, совершенных на организованных торгах	Событие, связанное с осуществлением расчетов по результатам сделок, совершенных на организованных торгах, на основании модифицированного поручения о движении ценных бумаг, направленного клиринговой организацией	Событие, связанное с простоем и (или) деградацией технологического процесса на период более двух часов
	Событие, связанное с осуществлением расчетов по результатам сделок, совершенных на организованных торгах, в результате НСД к объектам информатизации расчетного депозитария
Бизнес- и технологический процесс, обеспечивающий осуществление центральным депозитарием сверки учитываемых центральным депозитарием прав на ценные бумаги с регистратором по счету номинального держателя центрального депозитария	-	Событие, связанное с простоем и (или) деградацией технологического процесса на период более четырех часов для некредитной финансовой организации, обязанной соблюдать усиленный или стандартный уровень защиты информации в соответствии с требованиями нормативных актов Банка России [9]

Бизнес- и технологический процесс	Событие реализации информационных угроз, связанное с осуществлением несанкционированных финансовых (банковских) операций	Событие реализации информационных угроз, связанное с нарушением операционной надежности
Бизнес- и технологический процесс, обеспечивающий раскрытие и предоставление информации организатором торговли	-	Событие, связанное с простоем и (или) деградацией технологического процесса на период более двух часов для некредитной финансовой организации, обязанной соблюдать усиленный или стандартный уровень защиты информации в соответствии с требованиями нормативных актов Банка России [9]
Бизнес- и технологический процесс, обеспечивающий ведение реестра участников торгов и их клиентов, реестра заявок, реестр заключенных на организованных торгах договоров, реестра внебиржевых договоров	Событие, связанное с внесением изменений в реестр участников торгов и их клиентов, реестр заявок, реестр заключенных на организованных торгах договоров, реестр внебиржевых договоров в результате НСД к инфраструктуре организатора торговли	Событие, связанное с простоем и (или) деградацией технологического процесса на период более двух часов для некредитной финансовой организации, обязанной соблюдать усиленный или стандартный уровень защиты информации в соответствии с требованиями нормативных актов Банка России [9]
Бизнес- и технологический процесс, обеспечивающий заключение договора между участниками торгов	Событие, связанное с заключением договора между участниками торгов на основании заявки участника торгов, сформированной без его согласия, в том числе на основании модифицированной заявки участника торгов	Событие, связанное с простоем и (или) деградацией технологического процесса на период более двух часов для некредитной финансовой организации, обязанной соблюдать усиленный или стандартный уровень защиты информации в соответствии с требованиями нормативных актов Банка России [9]
	Событие, связанное с заключением договора между участниками торгов или формированием реестра договоров в результате НСД к объектам информатизации организатора торговли

Бизнес- и технологический процесс	Событие реализации информационных угроз, связанное с осуществлением несанкционированных финансовых (банковских) операций	Событие реализации информационных угроз, связанное с нарушением операционной надежности
Бизнес- и технологический процесс, обеспечивающий определение подлежащих исполнению обязательств	Событие, связанное с определением подлежащих исполнению обязательств на основании модифицированного реестра договоров, направленного организатором торговли	Событие, связанное с простоем и (или) деградацией технологического процесса на период более двух часов для некредитной финансовой организации, обязанной соблюдать усиленный или стандартный уровень защиты информации в соответствии с требованиями нормативных актов Банка России [9]
	Событие, связанное с определением подлежащих исполнению обязательств в результате НСД к объектам информатизации клиринговой организации
Бизнес- и технологический процесс, обеспечивающий направление поручения на возврат имущества, являющегося клиринговым обеспечением	Событие, связанное с направлением поручения на возврат имущества, являющегося клиринговым обеспечением, на основании поручения участника клиринга, сформированного без его согласия, в том числе на основании модифицированного поручения	Событие, связанное с простоем и (или) деградацией технологического процесса на период более двух часов для некредитной финансовой организации, обязанной соблюдать усиленный или стандартный уровень защиты информации в соответствии с требованиями нормативных актов Банка России [9]
	Событие, связанное с направлением поручения на возврат имущества, являющегося клиринговым обеспечением, в результате НСД к объектам информатизации клиринговой организации или объектам информатизации взаимодействия клиринговой организации и расчетной организации, расчетного депозитария
Бизнес- и технологический процесс, обеспечивающий совершение действий, направленных на исполнение подлежащих исполнению обязательств	Событие, связанное с совершением действий, направленных на исполнение подлежащих исполнению обязательств, на основании модифицированного реестра договоров, направленного организатором торговли	Событие, связанное с простоем и (или) деградацией технологического процесса на период более двух часов для некредитной финансовой организации, обязанной соблюдать усиленный или стандартный уровень защиты информации в соответствии с требованиями нормативных актов Банка России [9]
	Событие, связанное с совершением действий, направленных на исполнение подлежащих исполнению обязательств, на основании реестра договоров, в результате НСД к объектам информатизации клиринговой организации или объектам информатизации взаимодействия клиринговой организации и расчетной организации, расчетного депозитария

Бизнес- и технологический процесс	Событие реализации информационных угроз, связанное с осуществлением несанкционированных финансовых (банковских) операций	Событие реализации информационных угроз, связанное с нарушением операционной надежности
Бизнес- и технологический процесс, обеспечивающий учет заключенных не на организованных торгах договоров РЕПО, договоров, являющихся производными финансовыми инструментами, а также иных договоров	Событие, связанное с учетом заключенного не на организованных торгах договоров РЕПО, договора, являющегося производным финансовым инструментом или иного договора, на основании электронного сообщения клиента репозитария, сформированного без его согласия, в том числе на основании модифицированного электронного сообщения клиента репозитария	Событие, связанное с простоем и (или) деградацией технологического процесса на период более 12 часов для некредитной финансовой организации, обязанной соблюдать усиленный или стандартный уровень защиты информации в соответствии с требованиями нормативных актов Банка России [9]
	Событие, связанное с учетом заключенного не на организованных торгах договоров РЕПО, договора, являющегося производным финансовым инструментом или иного договора, в результате НСД к объектам информатизации репозитария
Бизнес- и технологический процесс, обеспечивающий учет регистратором финансовых транзакций информации о совершении финансовых сделок и об операциях по ним с использованием финансовой платформы	Событие, связанное с учетом совершенных финансовых сделок и операций по ним с использованием финансовой платформы на основании электронного сообщения оператора финансовой платформы, сформированного без его согласия или на основании модифицированного электронного сообщения оператора финансовой платформы	Событие, связанное с простоем и (или) деградацией технологического процесса на период более двух часов для некредитной финансовой организации, обязанной соблюдать усиленный или стандартный уровень защиты информации в соответствии с требованиями нормативных актов Банка России [9]
	Событие, связанное с учетом совершенных финансовых сделок и операций по ним с использованием финансовой платформы в результате НСД к объектам информатизации регистратора финансовых транзакций или объектам информатизации взаимодействия оператора финансовой платформы и регистратора финансовых транзакций
Бизнес- и технологический процесс, обеспечивающий передачу (предоставление) реестра, ведение которого осуществляет репозитарий, в Банк России или в другой репозитарий	-	Событие, связанное с простоем и (или) деградацией технологического процесса на период более шести часов для некредитной финансовой организации, обязанной соблюдать усиленный или стандартный уровень защиты информации в соответствии с требованиями нормативных актов Банка России [9]

Бизнес- и технологический процесс	Событие реализации информационных угроз, связанное с осуществлением несанкционированных финансовых (банковских) операций	Событие реализации информационных угроз, связанное с нарушением операционной надежности
Бизнес- и технологический процесс, обеспечивающий доверительное управление имуществом фондов, в том числе осуществление прав, удостоверенных ценными бумагами, составляющими фонды	Событие, связанное с осуществлением операций с имуществом фондов в результате НСД к объектам информатизации управляющей компании	Событие, связанное с простоем и (или) деградацией технологического процесса на период более двух часов для некредитной финансовой организации, обязанной соблюдать минимальный уровень защиты информации в соответствии с требованиями нормативных актов Банка России [9]
Бизнес- и технологический процесс, обеспечивающий осуществление учета имущества фондов и контроля за распоряжением им, в том числе процесс взаимодействия со специализированным депозитарием	-	Событие, связанное с простоем и (или) деградацией технологического процесса на период более 24 часов для некредитной финансовой организации, обязанной соблюдать минимальный уровень защиты информации в соответствии с требованиями нормативных актов Банка России [9]
Бизнес- и технологический процесс, обеспечивающий реализацию прав владельцев инвестиционных паев	Событие, связанное с изменением прав владельцев инвестиционных паев в реестре владельцев инвестиционных паев в результате НСД к объектам информатизации управляющей компании	Событие, связанное с простоем и (или) деградацией технологического процесса на период более 24 часов для некредитной финансовой организации, обязанной соблюдать минимальный уровень защиты информации в соответствии с требованиями нормативных актов Банка России [9]
	Событие, связанное с погашением инвестиционного пая на основании электронного сообщения владельца инвестиционного пая, сформированного без его согласия или на основании модифицированного электронного сообщения владельца инвестиционного пая
	Событие, связанное с погашением инвестиционного пая в результате НСД к объектам информатизации управляющей компании
	Событие, связанное с выплатой денежной компенсации при прекращении договора доверительного управления фондом в результате НСД к объектам информатизации управляющей компании

Бизнес- и технологический процесс	Событие реализации информационных угроз, связанное с осуществлением несанкционированных финансовых (банковских) операций	Событие реализации информационных угроз, связанное с нарушением операционной надежности
Бизнес- и технологический процесс, обеспечивающий осуществление специализированным депозитарием контроля за распоряжением имуществом клиентов	Событие, связанное с согласованием нелегитимных заявок, направленных из скомпрометированных объектов информатизации управляющей компании и (или) фондов	Событие, связанное с простоем и (или) деградацией технологического процесса на период более 24 часов
Бизнес- и технологический процесс, обеспечивающий внесение учетных записей в реестр владельцев ценных бумаг (в случае оказания услуг по ведению реестра владельцев инвестиционных паев паевых инвестиционных фондов, ипотечных сертификатов участия)	Событие, связанное с внесением учетных записей в реестр владельцев ценных бумаг в результате НСД к инфраструктуре регистратора

Бизнес- и технологический процесс	Событие реализации информационных угроз, связанное с осуществлением несанкционированных финансовых (банковских) операций	Событие реализации информационных угроз, связанное с нарушением операционной надежности
Бизнес- и технологический процесс, обеспечивающий осуществление выплат вкладчикам, участникам, застрахованным лицам и их правопреемникам негосударственного пенсионного фонда в рамках обязательного пенсионного страхования и негосударственного пенсионного обеспечения	Событие, связанное с осуществлением выплат в рамках обязательного пенсионного страхования и негосударственного пенсионного обеспечения в результате НСД к объектам информатизации негосударственного пенсионного фонда или объектам информатизации взаимодействия негосударственного пенсионного фонда и кредитной организации	Событие, связанное с простоем и (или) деградацией технологического процесса на период более 24 часов для некредитной финансовой организации, обязанной соблюдать усиленный или стандартный уровень защиты информации в соответствии с требованиями нормативных актов Банка России [9]
Бизнес- и технологический процесс, обеспечивающий размещение средств пенсионных резервов	Событие, связанное с размещением средств пенсионных резервов в результате НСД к объектам информатизации негосударственного пенсионного фонда или объектам информатизации взаимодействия негосударственного пенсионного фонда и кредитной организации
Бизнес- и технологический процесс, обеспечивающий передачу средств пенсионных резервов и пенсионных накоплений управляющей компании	Событие, связанное с передачей средств пенсионных резервов и пенсионных накоплений управляющей компании в результате НСД к объектам информатизации негосударственного пенсионного фонда или объектам информатизации взаимодействия негосударственного пенсионного фонда и кредитной организации	Событие, связанное с простоем и (или) деградацией технологического процесса на период более 24 часов для некредитной финансовой организации, обязанной соблюдать усиленный или стандартный уровень защиты информации в соответствии с требованиями нормативных актов Банка России [9]
Бизнес- и технологический процесс, обеспечивающий перевод выкупных сумм (средств пенсионных накоплений) в иные негосударственные пенсионные фонды и Пенсионный фонд Российской Федерации	Событие, связанное с переводом выкупных сумм в результате НСД к объектам информатизации негосударственного пенсионного фонда или объектам информатизации взаимодействия негосударственного пенсионного фонда и кредитной организации
Бизнес- и технологический процесс, обеспечивающий расторжение договора негосударственного пенсионного обеспечения, договора об обязательном пенсионном страховании с негосударственным пенсионным фондом	Событие, связанное с осуществлением выплат в связи с расторжением договора на основании заявления клиента негосударственного пенсионного фонда, сформированного без его согласия, в том числе на основании модифицированного заявления
	Событие, связанное с осуществлением выплат в связи с расторжением договора в результате НСД к объектам информатизации негосударственного пенсионного фонда или объектам информатизации взаимодействия негосударственного пенсионного фонда и кредитной организации

Бизнес- и технологический процесс	Событие реализации информационных угроз, связанное с осуществлением несанкционированных финансовых (банковских) операций	Событие реализации информационных угроз, связанное с нарушением операционной надежности
Бизнес- и технологический процесс, обеспечивающий учет страховых случаев	Событие, связанное с выплатой возмещения на основании заявления клиента, сформированного без его согласия, в том числе на основании модифицированного заявления	Событие, связанное с простоем и (или) деградацией технологического процесса на период более 24 часов
	Событие, связанное с выплатой возмещения в результате НСД к инфраструктуре субъектов страхового дела
Бизнес- и технологический процесс, обеспечивающий работу сайтов в части размещения информации, предусмотренной пунктом 6 статьи 6 Закона Российской Федерации [34]	-
Бизнес- и технологический процесс, обеспечивающий возврат страховой премии	Событие, связанное с возвратом страховой премии на основании заявления клиента, сформированного без его согласия, в том числе на основании модифицированного заявления
	Событие, связанное с возвратом страховой премии в результате НСД к объектам информатизации субъектов страхового дела

Бизнес- и технологический процесс	Событие реализации информационных угроз, связанное с осуществлением несанкционированных финансовых (банковских) операций	Событие реализации информационных угроз, связанное с нарушением операционной надежности
Бизнес- и технологический процесс, обеспечивающий предоставление доступа к инвестиционной платформе	-	Событие, связанное с простоем и (или) деградацией технологического процесса на период более 24 часов для некредитной финансовой организации, обязанной соблюдать усиленный или стандартный уровень защиты информации в соответствии с требованиями нормативных актов Банка России [9]
Бизнес- и технологический процесс, обеспечивающий размещение инвестиционного предложения	Событие, связанное с размещением инвестиционного предложения на основании поручения лица, привлекающего инвестиции, сформированного без его согласия, в том числе на основании модифицированного поручения лица, привлекающего инвестиции
	Событие, связанное с размещением инвестиционного предложения в результате НСД к объектам информатизации оператора инвестиционной платформы
Бизнес- и технологический процесс, обеспечивающий инвестирование с использованием инвестиционной платформы путем предоставления займов	Событие, связанное с заключением договора инвестирования путем предоставления займов на основании заявки инвестора, сформированной без его согласия, в том числе на основании модифицированной заявки инвестора	Событие, связанное с простоем и (или) деградацией технологического процесса на период более 24 часов для некредитной финансовой организации, обязанной соблюдать усиленный или стандартный уровень защиты информации в соответствии с требованиями нормативных актов Банка России [9]
	Событие, связанное с заключением договора инвестирования путем предоставления займов без согласия инвестора в результате НСД к объектам информатизации оператора инвестиционной платформы
	Событие, связанное с заключением договора инвестирования путем предоставления займов без согласия лица, привлекающего инвестиции, в результате НСД к объектам информатизации оператора инвестиционной платформы
Бизнес- и технологический процесс, обеспечивающий инвестирование с использованием инвестиционной платформы путем приобретения эмиссионных ценных бумаг, размещаемых с использованием инвестиционной платформы	Событие, связанное с заключением договора инвестирования путем приобретения эмиссионных ценных бумаг на основании заявки инвестора, сформированной без его согласия, в том числе на основании модифицированной заявки инвестора
	Событие, связанное с заключением договора инвестирования путем приобретения эмиссионных ценных бумаг без согласия инвестора в результате НСД к объектам информатизации оператора инвестиционной платформы
	Событие, связанное с заключением договора инвестирования путем приобретения эмиссионных ценных бумаг без согласия лица, привлекающего инвестиции, в результате НСД к объектам информатизации оператора инвестиционной платформы
Бизнес- и технологический процесс, обеспечивающий инвестирование с использованием инвестиционной платформы путем приобретения утилитарных цифровых прав	Событие, связанное с заключением договора инвестирования путем приобретения утилитарных цифровых прав на основании заявки инвестора, сформированной без его согласия, в том числе на основании модифицированной заявки инвестора
Бизнес- и технологический процесс, обеспечивающий инвестирование с использованием инвестиционной платформы путем приобретения утилитарных цифровых прав	Событие, связанное с заключением договора инвестирования путем приобретения утилитарных цифровых прав без согласия инвестора в результате НСД к объектам информатизации оператора инвестиционной платформы	Событие, связанное с простоем и (или) деградацией технологического процесса на период более 24 часов для некредитной финансовой организации, обязанной соблюдать усиленный или стандартный уровень защиты информации в соответствии с требованиями нормативных актов Банка России [9]
	Событие, связанное с заключением договора инвестирования путем приобретения утилитарных цифровых прав без согласия лица, привлекающего инвестиции, в результате НСД к объектам информатизации оператора инвестиционной платформы
	Событие, связанное с возникновением, распоряжением или передачей утилитарных цифровых прав в результате НСД к объектам информатизации оператора инвестиционной платформы
Бизнес- и технологический процесс, обеспечивающий инвестирование путем приобретения цифровых финансовых активов	Событие, связанное с заключением договора инвестирования путем приобретения цифровых финансовых активов на основании заявки инвестора, сформированной без его согласия, в том числе на основании модифицированной заявки инвестора	Событие, связанное с простоем и (или) деградацией технологического процесса на период более 24 часов для некредитной финансовой организации, обязанной соблюдать усиленный или стандартный уровень защиты информации в соответствии с требованиями нормативных актов Банка России [9]
	Событие, связанное с заключением договора инвестирования путем приобретения цифровых финансовых активов без согласия инвестора в результате НСД к объектам информатизации оператора инвестиционной платформы
	Событие, связанное с заключением договора инвестирования путем приобретения цифровых финансовых активов без согласия лица, привлекающего инвестиции, в результате НСД к объектам информатизации оператора инвестиционной платформы
Бизнес- и технологический процесс, обеспечивающий инвестирование путем приобретения цифровых финансовых активов	Событие, связанное с возникновением, распоряжением или передачей цифровых финансовых активов в результате НСД к объектам информатизации оператора инвестиционной платформы	Событие, связанное с простоем и (или) деградацией технологического процесса на период более 24 часов для некредитной финансовой организации, обязанной соблюдать усиленный или стандартный уровень защиты информации в соответствии с требованиями нормативных актов Банка России [9]

Бизнес- и технологический процесс	Событие реализации информационных угроз, связанное с осуществлением несанкционированных финансовых (банковских) операций	Событие реализации информационных угроз, связанное с нарушением операционной надежности
Бизнес- и технологический процесс, обеспечивающий возможность совершения участниками финансовой платформы финансовых сделок с использованием финансовой платформы	Событие, связанное с переводом активов потребителя финансовых услуг со специального счета на основании требования потребителя финансовых услуг, сформированного без его согласия, в том числе на основании модифицированного требования потребителя финансовых услуг	Событие, связанное с простоем и (или) деградацией технологического процесса: на период более двух часов для некредитной финансовой организации, обязанной соблюдать усиленный или стандартный уровень защиты информации в соответствии с требованиями нормативных актов Банка России [9]; на период более четырех часов для некредитной финансовой организации, обязанной соблюдать минимальный уровень защиты информации в соответствии с требованиями нормативных актов Банка России [9]
	Событие, связанное с переводом активов потребителя финансовых услуг со специального счета в результате НСД к объектам информатизации оператора финансовой платформы
	Событие, связанное с совершением финансовых сделок на основании заявки потребителя финансовых услуг, сформированной без его согласия, в том числе на основании модифицированной заявки потребителя финансовых услуг
	Событие, связанное с совершением финансовых сделок в результате НСД к объектам информатизации оператора финансовой платформы или объектам информатизации взаимодействия потребителя финансовых услуг и финансовой платформы

Бизнес- и технологический процесс	Событие реализации информационных угроз, связанное с осуществлением несанкционированных финансовых (банковских) операций	Событие реализации информационных угроз, связанное с нарушением операционной надежности
Бизнес- и технологический процесс, обеспечивающий выпуск цифровых финансовых активов в информационной системе	Событие, связанное с выпуском цифровых финансовых активов на основании запроса о выпуске цифровых финансовых активов, сформированного без согласия лица, выпускающего цифровые финансовые активы, в том числе на основании модифицированного запроса	Событие, связанное с простоем и (или) деградацией технологического процесса на период более 24 часов
	Событие, связанное с выпуском цифровых финансовых активов в результате НСД к объектам информатизации оператора информационной системы, в которой осуществляется выпуск цифровых финансовых активов
	Событие, связанное с выпуском цифровых финансовых активов в результате эксплуатации недостатков (уязвимостей) алгоритма (алгоритмов), обеспечивающего тождественность информации, содержащейся во всех базах данных, составляющих распределенный реестр (алгоритмы консенсуса)
Бизнес- и технологический процесс, обеспечивающий внесение учетных записей в реестр владельцев акций непубличных акционерных обществ, осуществляющих выпуск цифровых финансовых активов, удостоверяющих права участия в капитале указанных непубличных акционерных обществ	Событие, связанное с внесением учетных записей в реестр владельцев акций непубличных акционерных обществ, осуществляющих выпуск цифровых финансовых активов, удостоверяющих права участия в капитале указанных непубличных акционерных обществ, в результате НСД к объектам информатизации оператора информационных систем, в которой осуществляется выпуск цифровых финансовых активов
Бизнес- и технологический процесс, обеспечивающий внесение записей оператором информационной системы в соответствии с частью 2 статьи 6 Федерального закона [35]	Событие, связанное с внесением записей в реестр оператора информационных систем, в которых осуществляется выпуск цифровых финансовых активов, в результате НСД к объектам информатизации оператора	Событие, связанное с простоем и (или) деградацией технологического процесса: на период более двух часов для некредитной финансовой организации, обязанной соблюдать усиленный или стандартный уровень защиты информации в соответствии с требованиями нормативных актов Банка России [9]; на период более четырех часов для некредитной финансовой организации, обязанной соблюдать минимальный уровень защиты информации в соответствии с требованиями нормативных актов Банка России [9]
Бизнес- и технологический процесс, обеспечивающий доступ к информационной системе, в том числе ведение реестра пользователей информационной системы	-	Событие, связанное с простоем и (или) деградацией технологического процесса: на период более шести часов для некредитной финансовой организации, обязанной соблюдать усиленный или стандартный уровень защиты информации в соответствии с требованиями нормативных актов Банка России [9]; на период более 12 часов для некредитной финансовой организации, обязанной соблюдать минимальный уровень защиты информации в соответствии с требованиями нормативных актов Банка России [9]
Бизнес- и технологический процесс, обеспечивающий взаимодействие с оператором обмена цифровых финансовых активов	-
Бизнес- и технологический процесс, обеспечивающий обращение цифровых финансовых активов в информационной системе, в том числе погашение записей о цифровых финансовых активах	Событие, связанное с обращением цифровых финансовых активов на основании запроса об обращении цифровых финансовых активов, сформированного без согласия владельца цифровых финансовых активов, в том числе на основании модифицированного запроса
	Событие, связанное с обращением цифровых финансовых активов в результате НСД к объектам информатизации оператора информационной системы, в которой осуществляется выпуск цифровых финансовых активов
Бизнес- и технологический процесс, обеспечивающий обращение цифровых финансовых активов в информационной системе, в том числе погашение записей о цифровых финансовых активах	Событие, связанное с обращением цифровых финансовых активов в результате эксплуатации недостатков (уязвимостей) алгоритма (алгоритмов), обеспечивающего (обеспечивающих) тождественность информации, содержащейся во всех базах данных, составляющих распределенный реестр (алгоритмы консенсуса)	Событие, связанное с простоем и (или) деградацией технологического процесса: на период более шести часов для некредитной финансовой организации, обязанной соблюдать усиленный или стандартный уровень защиты информации в соответствии с требованиями нормативных актов Банка России [9]; на период более 12 часов для некредитной финансовой организации, обязанной соблюдать минимальный уровень защиты информации в соответствии с требованиями нормативных актов Банка России [9]
Бизнес- и технологический процесс, обеспечивающий мониторинг тождественности информации, содержащейся во всех базах данных, составляющих распределенный реестр	-

Бизнес- и технологический процесс	Событие реализации информационных угроз, связанное с осуществлением несанкционированных финансовых (банковских) операций	Событие реализации информационных угроз, связанное с нарушением операционной надежности
Бизнес- и технологический процесс, обеспечивающий возможность совершения сделок с цифровыми финансовыми активами	Событие, связанное с совершением сделок с цифровыми финансовыми активами на основании запроса на обмен цифровых финансовых активов, сформированного без согласия лица, обменивающего цифровые финансовые активы, в том числе на основании модифицированного запроса	Событие, связанное с простоем и (или) деградацией технологического процесса: на период более шести часов для некредитной финансовой организации, обязанной соблюдать усиленный или стандартный уровень защиты информации в соответствии с требованиями нормативных актов Банка России [9]; на период более 12 часов для некредитной финансовой организации, обязанной соблюдать минимальный уровень защиты информации в соответствии с требованиями нормативных актов Банка России [9]
	Событие, связанное с передачей цифровых финансовых активов на цифровой кошелек, отличный от цифрового кошелька получателя цифровых финансовых активов, в результате НСД к объектам информатизации оператора обмена цифровых финансовых активов
	Событие, связанное с совершением сделок с цифровыми финансовыми активами в результате эксплуатации недостатков (уязвимостей) алгоритма (алгоритмов), обеспечивающего тождественность информации, содержащейся во всех базах данных, составляющих распределенный реестр
	Событие, связанное с совершением сделок с цифровыми финансовыми активами в результате НСД к объектам информатизации оператора обмена цифровых финансовых активов или объектам информатизации взаимодействия лица, обменивающего цифровые финансовые активы, и информационной системы, в которой осуществляется обмен цифровых финансовых активов
Бизнес- и технологический процесс, обеспечивающий взаимодействие с оператором информационной системы	-

Контрольный показатель уровня риска	Сигнальное значение	Контрольное значение
1 Общая сумма чистых <*> прямых потерь от реализации событий риска реализации информационных угроз за отчетный период (первый квартал, полугодие, девять месяцев, год) нарастающим итогом с начала календарного года [6]	С	С
2 Общая сумма валовых <**> прямых потерь от реализации событий риска реализации информационных угроз, связанных с переводами денежных средств и платежами в платежных системах, за отчетный период (первый квартал, полугодие, девять месяцев, год) нарастающим итогом с начала календарного года [6]	С	С
3 Общая сумма валовых прямых и сумм величин косвенных потерь от реализации событий риска реализации информационных угроз за отчетный период (первый квартал, полугодие, девять месяцев, год) нарастающим итогом с начала календарного года к расчету объема капитала, выделяемого на покрытие потерь от реализации операционного риска (в случае, если кредитная организация применяет подход количественной оценки потерь от реализации риска реализации информационных угроз (в составе операционного риска) на основе статистики базы событий такого риска (с использованием статистики за период не менее пяти лет) с использованием продвинутых подходов [6]	С	С
4 Общая сумма валовых прямых и сумм величин косвенных потерь кредитной организации в результате использования электронных средств платежа клиентов кредитных организаций без их согласия за отчетный период (первый квартал, полугодие, девять месяцев, год) нарастающим итогом с начала календарного года (в случае если кредитная организация применяет продвинутый подход к расчету объема капитала, выделяемого на покрытие потерь от реализации операционного риска) [6]	С	С
5 Общая сумма валовых прямых и сумм величин косвенных потерь кредитной организации в результате переводов и снятия денежных средств, связанных с несанкционированным доступом к объектам информатизации кредитной организации, за отчетный период (первый квартал, полугодие, девять месяцев, год) нарастающим итогом с начала календарного года (в случае если кредитная организация применяет продвинутый подход к расчету объема капитала, выделяемого на покрытие потерь от реализации операционного риска) [6]	С	С
6 Отношение общей суммы чистых прямых потерь от реализации событий риска реализации информационных угроз, понесенных кредитной организацией за отчетный период (первый квартал, полугодие, девять месяцев, год), к базовому капиталу кредитной организации на последнюю отчетную дату года [6]	С	С
7 Отношение суммы валовых прямых потерь от реализации событий риска реализации информационных угроз, понесенных кредитной организацией при выполнении кредитной организацией функций участника платежной системы Банка России, за отчетный период (первый квартал, полугодие, девять месяцев, год) нарастающим итогом с начала календарного года, к общей сумме операций по переводу денежных средств через платежную систему Банка России за этот же период [6]	ТН	ТН
8 Отношение суммы валовых прямых потерь от реализации событий риска информационной безопасности, связанных с переводами денежных средств и платежами в платежных системах за отчетный период (первый квартал, полугодие, девять месяцев, год) нарастающим итогом с начала календарного года, к общей сумме переводов денежных средств и платежей в платежных системах за этот же период [6]	ТН	ТН
9 Доля реализованных (по количеству), то есть непредотвращенных, событий риска реализации информационных угроз с ненулевой величиной валовых прямых потерь, которые кредитная организация не отразила в базе событий, по отношению ко всем событиям риска реализации информационных угроз, зарегистрированным в базе событий, с ненулевой величиной валовых прямых потерь в течение отчетного периода (первого квартала, полугодия, девяти месяцев, года), о которых кредитная организация сообщила в своих отчетах в Банк России <***> [6]	С	С
10 Доля выявленных (по количеству) в ходе оценки эффективности функционирования системы управления риском реализации информационных угроз, проведенной уполномоченным подразделением, внешним экспертом или Банком России, событий риска реализации информационных угроз с ненулевой величиной валовых прямых потерь, о которых кредитная организация не сообщила в своих отчетах в Банк России <***>, к которому относится проверяемый период, по отношению ко всем зарегистрированным событиям риска реализации информационных угроз с ненулевой величиной валовых прямых потерь, о которых кредитная организация сообщила в своих отчетах в Банк России <***> [6]	С	С
11 Отношение суммы чистых прямых и сумм величин косвенных потерь от событий риска реализации информационных угроз к собственным средствам (капиталу) кредитной организации на последнюю отчетную дату года (в случае если кредитная организация применяет продвинутый подход к расчету объема капитала, выделяемого на покрытие потерь от реализации операционного риска) [6]	С	С
12 Отношение суммы валовых прямых и сумм величин косвенных потерь, понесенных кредитной организацией при выполнении кредитной организацией функций оператора других платежных систем или оператора услуг платежной инфраструктуры, за отчетный период (первый квартал, полугодие, девять месяцев, год) нарастающим итогом с начала календарного года, к общей сумме операций по переводу денежных средств через другие платежные системы или платежную инфраструктуру за этот же период (в случае если кредитная организация применяет продвинутый подход к расчету объема капитала, выделяемого на покрытие потерь от реализации операционного риска) [6]	С	С
<*> Потери за вычетом суммы возмещения, определяемые с учетом требований нормативных актов Банка России, в частности [6]. <**> Потери до учета возмещения, определяемые с учетом требований нормативных актов Банка России, в частности [6]. <***> Отчеты, направляемые в Банк России в соответствии с пунктом 8 нормативного акта Банка России [8].

Контрольный показатель уровня риска	Сигнальное значение	Контрольное значение
1 Отношение суммы денежных средств, по которой получены уведомления от клиентов о несанкционированном переводе (списании) денежных средств (в отношении которых получены уведомления от клиентов ОПДС о списании денежных средств с их банковских счетов без их согласия), за отчетный период (первый квартал, полугодие, девять месяцев, год) нарастающим итогом с начала календарного года к общей сумме переводов денежных средств за этот же период [6], [10]	ТН	ТН
2 Отношение суммы денежных средств, возмещенной (возвращенной) клиентам, по которой получены уведомления от клиентов об использовании электронного средства платежа без их согласия в соответствии с частью 11 статьи 9 Федерального закона [11], за отчетный период (первый квартал, полугодие, девять месяцев, год) нарастающим итогом с начала календарного года к сумме денежных средств, в отношении которой получены такие уведомления, за этот же период	С	С
3 Отношение количества операций, соответствующих признакам осуществления перевода денежных средств без согласия клиента - физического лица <*>, в отношении которых кредитная организация не приняла к исполнению и (или) приостановила исполнение распоряжений о совершении операций по переводу денежных средств в соответствии с частью 5.1 статьи 8 Федерального закона [11], за отчетный период (первый квартал, полугодие, девять месяцев, год) нарастающим итогом с начала календарного года к общему количеству операций по переводу денежных средств за этот же период	С	С
4 Отношение суммы денежных средств по операциям, соответствующим признакам осуществления перевода денежных средств без согласия клиента - физического лица, в отношении которых кредитная организация не приняла к исполнению и (или) приостановила исполнение распоряжений о совершении операций по переводу денежных средств в соответствии с частью 5.1 статьи 8 Федерального закона [11], за отчетный период (первый квартал, полугодие, девять месяцев, год) нарастающим итогом с начала календарного года к общей сумме денежных средств по операциям по переводу денежных средств за этот же период	С	С
5 Отношение количества операций, соответствующих признакам осуществления перевода денежных средств без согласия клиента - физического лица, в отношении которых кредитная организация не приняла к исполнению и (или) приостановила исполнение распоряжений о совершении операций по переводу денежных средств в соответствии с частью 5.1 статьи 8 Федерального закона [11] и по которым получены подтверждения клиентов - физических лиц о направлении распоряжения о совершении операции по переводу денежных средств с их согласия и (или) получены подтверждения клиентов - физических лиц о возобновлении исполнения распоряжений в соответствии с частью 5.3 статьи 8 Федерального закона [11], за отчетный период (первый квартал, полугодие, девять месяцев, год) нарастающим итогом с начала календарного года к количеству операций, соответствующих признакам осуществления перевода денежных средств без согласия клиента - физического лица, в отношении которых кредитная организация не приняла к исполнению и (или) приостановила исполнение распоряжений о совершении операций по переводу денежных средств в соответствии с частью 5 статьи 8 Федерального закона [11], за этот же период	С	С
6 Отношение суммы денежных средств по операциям, соответствующим признакам осуществления перевода денежных средств без согласия клиента - физического лица, в отношении которых кредитная организация не приняла к исполнению и (или) приостановила исполнение распоряжений о совершении операций по переводу денежных средств в соответствии с частью 5.1 статьи 8 Федерального закона [11] и по которым получены подтверждения клиентов - физических лиц о направлении распоряжения о совершении операции по переводу денежных средств с их согласия и (или) получены подтверждения клиентов - физических лиц о возобновлении исполнения распоряжений в соответствии с частью 5.3 статьи 8 Федерального закона [11], за отчетный период (первый квартал, полугодие, девять месяцев, год) нарастающим итогом с начала календарного года к сумме денежных средств по операциям, соответствующим признакам осуществления перевода денежных средств без согласия клиента - физического лица, в отношении которых кредитная организация не приняла к исполнению и (или) приостановила исполнение распоряжений о совершении операций по переводу денежных средств в соответствии с частью 5.1 статьи 8 Федерального закона [11], за этот же период	С	С
7 Отношение количества операций по переводу денежных средств, в отношении которых кредитная организация не приостановила исполнение распоряжений о совершении операций по переводу денежных средств в соответствии с частью 5.1 статьи 8 Федерального закона [11] и по которым получены уведомления от клиентов - физических лиц об использовании электронного средства платежа без их согласия, в том числе в соответствии с частью 11 статьи 9 Федерального закона [11], за отчетный период (первый квартал, полугодие, девять месяцев, год) нарастающим итогом с начала календарного года к количеству операций по переводу денежных средств без согласия клиента - физического лица <**> за этот же период	С	С
8 Отношение суммы денежных средств по операциям по переводу денежных средств, в отношении которых кредитная организация не приостановила исполнение распоряжений о совершении операций по переводу денежных средств в соответствии с частью 5.1 статьи 8 Федерального закона [11] и по которым получены уведомления от клиентов - физических лиц об использовании электронного средства платежа без их согласия, в том числе в соответствии с частью 11 статьи 9 Федерального закона [11], за отчетный период (первый квартал, полугодие, девять месяцев, год) нарастающим итогом с начала календарного года к сумме денежных средств по операциям по переводу денежных средств без согласия клиента - физического лица <***> за этот же период	С	С
<*> Операций по переводу денежных средств, соответствующих признакам осуществления перевода денежных средств без согласия клиента - физического лица, размещенным на официальном сайте Банка России в информационно-телекоммуникационной сети Интернет. <**> Количество операций по переводу денежных средств без согласия клиента - физического лица должно определяться как сумма количества операций по переводу денежных средств, в отношении которых кредитная организация не приостановила исполнение распоряжений о совершении операций по переводу денежных средств в соответствии с частью 5.1 статьи 8 Федерального закона [11] и по которым получены уведомления от клиентов - физических лиц об использовании электронного средства платежа без их согласия, в том числе в соответствии с частью 11 статьи 9 Федерального закона [11], и количества операций, соответствующих признакам осуществления перевода денежных средств без согласия клиента - физического лица, в отношении которых кредитная организация не приняла к исполнению и (или) приостановила исполнение распоряжений о совершении операций по переводу денежных средств в соответствии с частью 5.1 статьи 8 Федерального закона [11], за исключением случаев, когда получены подтверждения клиентов - физических лиц о направлении распоряжения о совершении операции по переводу денежных средств с их согласия и (или) получены подтверждения клиентов - физических лиц о возобновлении исполнения распоряжений в соответствии с частью 5.3 статьи 8 Федерального закона [11]. <***> Сумма денежных средств по операциям по переводу денежных средств без согласия клиента - физического лица должна определяться как сумма денежных средств по операциям по переводу денежных средств, в отношении которых кредитная организация не приостановила исполнение распоряжений о совершении операций по переводу денежных средств в соответствии с частью 5.1 статьи 8 Федерального закона [11] и по которым получены уведомления от клиентов - физических лиц об использовании электронного средства платежа без их согласия, в том числе в соответствии с частью 11 статьи 9 Федерального закона [11], и денежных средств по операциям, соответствующим признакам осуществления перевода денежных средств без согласия клиента - физического лица, в отношении которых кредитная организация не приняла к исполнению и (или) приостановила исполнение распоряжений о совершении операций по переводу денежных средств в соответствии с частью 5.1 статьи 8 Федерального закона [11], за исключением случаев, когда получены подтверждения клиентов - физических лиц о направлении распоряжения о совершении операции по переводу денежных средств с их согласия и (или) получены подтверждения клиентов - физических лиц о возобновлении исполнения распоряжений в соответствии с частью 5.3 статьи 8 Федерального закона [11].

Контрольный показатель уровня риска	Сигнальное значение	Контрольное значение
1 Оценка эффективности функционирования системы управления риском реализации информационных угроз, проведенная уполномоченным подразделением и (или) внешним экспертом (специализированной организацией или квалифицированным внешним экспертом) по решению совета директоров (наблюдательного совета) кредитной организации [6]	С	С
2 Уровень зрелости процессов применения технологических мер, реализуемых на технологических участках бизнес- и технологических процессов (Оценка выполнения требований нормативных актов Банка России [8], [10], [21] к обеспечению защиты информации, применяемых с использованием технологических мер защиты информации)	С	С
3 Уровень зрелости процессов реализации функций безопасности и контроля (наличия) уязвимостей объектов информатизации прикладного уровня (Оценка выполнения требований нормативных актов Банка России [8], [10] к обеспечению защиты информации, применяемых в отношении прикладного программного обеспечения автоматизированных систем и приложений)	С	С
4 Уровень зрелости процессов планирования, реализации, контроля и совершенствования системы защиты информации, определяемой в соответствии с ГОСТ Р 57580.1 (Оценка выполнения требований нормативных актов Банка России [8], [10], [21] к обеспечению защиты информации объектов информатизации согласно методике оценки соответствия, определенной ГОСТ Р 57580.2 <*>) [6]	С	ТН
4.1 Уровень зрелости процесса "Обеспечение защиты информации при управлении доступом", определенного ГОСТ Р 57580.1 (Оценка соответствия уровня защиты информации в отношении указанного процесса согласно методике оценки соответствия защиты информации, определенной ГОСТ Р 57580.2)	ТН	ТН
4.2 Уровень зрелости процесса "Предотвращение утечек информации", определенного ГОСТ Р 57580.1 (Оценка соответствия уровня защиты информации в отношении указанного процесса согласно методике оценки соответствия защиты информации, определенной ГОСТ Р 57580.2)	ТН	ТН
5 Уровень зрелости процессов планирования, реализации, контроля и совершенствования системы обеспечения операционной надежности финансовой организации, определяемой в соответствии с ГОСТ Р 57580.4 (согласно методике оценки соответствия, определяемой в рамках семейства стандартов ОН)	С	С
<*> Независимая оценка соответствия уровня защиты информации в отношении объектов информатизации кредитной организации в соответствии с требованиями нормативного акта Банка России [8].

Контрольный показатель уровня риска	Сигнальное значение	Контрольное значение
1 Общая сумма валовых прямых потерь от реализации событий риска реализации информационных угроз за отчетный период (первый квартал, полугодие, девять месяцев, год) нарастающим итогом с начала календарного года	С	С
2 Общая сумма валовых прямых и косвенных потерь от реализации событий риска реализации информационных угроз за отчетный период (первый квартал, полугодие, девять месяцев, год) нарастающим итогом с начала календарного года	С	С

Контрольный показатель уровня риска	Сигнальное значение	Контрольное значение
1 Количество событий реализации информационных угроз, связанных с возникновением финансовых инцидентов, за отчетный период (первый квартал, полугодие, девять месяцев, год) нарастающим итогом с начала календарного года	С	С

Контрольный показатель уровня риска	Сигнальное значение	Контрольное значение
1 Оценка эффективности функционирования системы управления риском реализации информационных угроз, проведенная уполномоченным подразделением и (или) внешним экспертом (специализированной организацией или квалифицированным внешним экспертом) по решению совета директоров (наблюдательного совета), а в случае его отсутствия - исполнительным органом некредитной финансовой организации	С	С
2 Уровень зрелости процессов применения технологических мер, реализуемых на технологических участках бизнес- и технологических процессов (Оценка выполнения требований нормативных актов Банка России [9] к обеспечению защиты информации, применяемых с использованием технологических мер защиты информации)	С	С
3 Уровень зрелости процессов реализации функций безопасности и контроля (наличия) уязвимостей объектов информатизации прикладного уровня (Оценка выполнения требований нормативных актов Банка России [9] к обеспечению защиты информации, применяемых в отношении прикладного программного обеспечения автоматизированных систем и приложений)	С	С
4 Уровень зрелости процессов планирования, реализации, контроля и совершенствования системы защиты информации, определяемой в соответствии с ГОСТ Р 57580.1 (Оценка выполнения требований нормативных актов Банка России [9] к обеспечению защиты информации объектов информатизации согласно методике оценки соответствия, определенной ГОСТ Р 57580.2 <*>)	С	ТН
4.1 Уровень зрелости процесса "Обеспечение защиты информации при управлении доступом", определенного ГОСТ Р 57580.1 (Оценка соответствия уровня защиты информации в отношении указанного процесса согласно методике оценки соответствия защиты информации, определенной ГОСТ Р 57580.2)	С	С
4.2 Уровень зрелости процесса "Предотвращение утечек информации", определенного ГОСТ Р 57580.1 (Оценка соответствия уровня защиты информации в отношении указанного процесса согласно методике оценки соответствия защиты информации, определенной ГОСТ Р 57580.2)	С	С
5 Уровень зрелости процессов планирования, реализации, контроля и совершенствования системы обеспечения операционной надежности финансовой организации, определяемой в соответствии с ГОСТ Р 57580.4 (согласно методике оценки соответствия, определяемой в рамках семейства стандартов ОН)	С	ТН
<*> Независимая оценка соответствия уровня защиты информации в отношении объектов информатизации кредитной организации в соответствии с требованиями нормативного акта Банка России [9].

[1]	Федеральный закон от 10 июля 2002 г. N 86-ФЗ "О Центральном банке Российской Федерации (Банке России)"
[2]	Нормативный акт Банка России, устанавливающий порядок признания Банком России инфраструктурных организаций финансового рынка системно значимыми на основании Федерального закона от 10 июля 2002 г. N 86-ФЗ "О Центральном банке Российской Федерации (Банке России)"
[3]	Нормативный акт Банка России, устанавливающий значения критериев для признания платежной системы значимой на основании частей 1 и 2 статьи 22 Федерального закона от 27 июня 2011 г. N 161-ФЗ "О национальной платежной системе"
[4]	Committee on Payments and Market Infrastructures, Board of the International Organization of Securities Commissions. Guidance on cyber resilience for financial market infrastructures. URL: https://www.bis.org/cpmi/publ/d146.htm (дата обращения: 28.06.2020)
[5]	Financial Stability Board. Effective Practices for Cyber Incident Response and Recovery: Consultative document. URL: https://www.fsb.org/wp-content/uploads/P200420-1.pdf (дата обращения: 31.03.2021)
[6]	Нормативный акт Банка России, устанавливающий требования к системе управления операционным риском в кредитной организации и банковской группе на основании статьи 57.1 Федерального закона от 10 июля 2002 г. N 86-ФЗ "О Центральном банке Российской Федерации (Банке России)" и статьи 11.1-2 Закона Российской Федерации от 2 декабря 1990 г. N 395-1 "О банках и банковской деятельности"
[7]	Федеральный закон от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации"
[8]	Нормативный акт Банка России, устанавливающий обязательные для кредитных организаций требования к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента на основании статьи 57.4 Федерального закона от 10 июля 2002 г. N 86-ФЗ "О Центральном банке Российской Федерации (Банке России)"
[9]	Нормативный акт Банка России, устанавливающий обязательные для некредитных финансовых организаций требования к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций на основании статьи 76.4-1 Федерального закона от 10 июля 2002 г. N 86-ФЗ "О Центральном банке Российской Федерации (Банке России)"
[10]	Нормативный акт Банка России, устанавливающий требования к обеспечению защиты информации при осуществлении переводов денежных средств и порядок осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств на основании части 3 статьи 27 Федерального закона от 27 июня 2011 г. N 161-ФЗ "О национальной платежной системе"
[11]	Федеральный закон от 27 июня 2011 г. N 161-ФЗ "О национальной платежной системе"
[12]	Федеральный закон от 27 июля 2006 г. N 152-ФЗ "О персональных данных"
[13]	Федеральный закон от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации"
[14]	Федеральный закон от 26 июля 2017 г. N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации"
[15]	Нормативный акт Банка России, устанавливающий требования к системе управления рисками и капиталом кредитной организации и банковской группы на основании Федерального закона от 10 июля 2002 г. N 86-ФЗ "О Центральном банке Российской Федерации (Банке России)" и Закона Российской Федерации от 2 декабря 1990 г. N 395-1 "О банках и банковской деятельности"
[16]	Постановление Правительства Российской Федерации от 3 февраля 2012 г. N 79 "О лицензировании деятельности по технической защите конфиденциальной информации"
[17]	ИСО/МЭК 27014:2020	Информационная безопасность, кибербезопасность и защита конфиденциальности. Управление информационной безопасностью (Information security, cybersecurity and privacy protection - Governance of information security)
[18]	Закон Российской Федерации от 2 декабря 1990 г. N 395-1 "О банках и банковской деятельности"
[19]	Федеральный закон от 26 декабря 1995 г. N 208-ФЗ "Об акционерных обществах"
[20]	Рекомендации в области стандартизации Банка России РС БР ИББС-2.2-2009	Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки рисков нарушения информационной безопасности
[21]	Нормативный акт Банка России, устанавливающий требования к защите информации в платежной системе Банка России на основании пункта 19 части 1 и части 9 статьи 20 Федерального закона от 27 июня 2011 г. N 161-ФЗ "О национальной платежной системе"
[22]	Рекомендации в области стандартизации Банка России РС БР ИББС-2.7-2015	Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Ресурсное обеспечение информационной безопасности
[23]	Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, разработанный в соответствии с частью 4 статьи 19 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных"
[24]	Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности, разработанных в соответствии с частью 4 статьи 19 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных"
[25]	Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, разработанные в соответствии с пунктом 4 части 3 статьи 6 Федерального закона от 26 июля 2017 г. N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации"
[26]	Требования к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования, разработанные в соответствии с пунктом 4 части 3 статьи 6 Федерального закона от 26 июля 2017 г. N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации"
[27]	Стандарт Банка России СТО БР ИББС-1.4-2018	Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Управление риском нарушения информационной безопасности при аутсорсинге
[28]	Стандарт Банка России СТО БР ФАПИ.СЕК-1.6-2020	Безопасность финансовых (банковских) операций. Прикладные программные интерфейсы обеспечения безопасности финансовых сервисов на основе протокола OpenID. Требования
[29]	Стандарт Банка России СТО БР ФАПИ.ПАОК-1.0-2021	Безопасность финансовых (банковских) операций. Прикладные программные интерфейсы. Обеспечение безопасности финансовых сервисов при инициации OpenID Connect клиентом потока аутентификации по отдельному каналу. Требования
[30]	Рекомендации в области стандартизации Банка России РС БР ИББС-2.5-2014	Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Менеджмент инцидентов информационной безопасности
[31]	Стандарт Банка России СТО БР ИББС-1.3-2016	Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Сбор и анализ технических данных при реагировании на инциденты информационной безопасности при осуществлении переводов денежных средств
[32]	Стандарт Банка России СТО БР БФБО-1.5-2018	Безопасность финансовых (банковских) операций. Управление инцидентами информационной безопасности. О формах и сроках взаимодействия Банка России с участниками информационного обмена при выявлении инцидентов, связанных с нарушением требований к обеспечению защиты информации
[33]	Федеральный закон от 22 апреля 1996 г. N 39-ФЗ "О рынке ценных бумаг"
[34]	Закон Российской Федерации от 27 ноября 1992 г. N 4015-1 "Об организации страхового дела в Российской Федерации"
[35]	Федеральный закон от 31 июля 2020 г. N 259-ФЗ "О цифровых финансовых активах, цифровой валюте и о внесении изменений в отдельные законодательные акты Российской Федерации"
[36]	Нормативный акт Банка России о требованиях к порядку обеспечения бесперебойности функционирования платежной системы, показателям бесперебойности функционирования платежной системы и методикам анализа рисков в платежной системе, включая профили рисков на основании пунктов 4 - 6 части 3 статьи 28 Федерального закона от 27 июня 2011 г. N 161-ФЗ "О национальной платежной системе"

УДК 004.056.5:006.354	ОКС 03.060 35.030
Ключевые слова: управление риском реализации информационных угроз и обеспечение операционной надежности, система управления риском реализации информационных угроз, уровень защиты, требования к системе управления риском реализации информационных угроз