ГОСТ Р № 57580.3-2022 от 01.02.2023

ОПР.1.1 Определение и описание состава процессов управления риском реализации информационных угроз, обеспечения операционной надежности и защиты информации; 

ОПР.1.2 Описание структуры и подходов к интеграции процессов управления риском реализации информационных угроз в систему управления операционным риском финансовой организации; 

ОПР.1.3 Определение организационной структуры финансовой организации, задействованной в выполнении процессов управления риском реализации информационных угроз, обеспечения операционной надежности и защиты информации, в том числе установление функций подразделений финансовой организации (включая принятие решений с учетом исключения конфликта интересов) и контроль за выполнением процессов в рамках порядка организации и осуществления финансовой организацией внутреннего контроля; 

ОПР.1.4 Выделение ресурсного (кадрового и финансового) обеспечения для выполнения процессов управления риском реализации информационных угроз, обеспечения операционной надежности и защиты информации; 

ОПР.1.5 Порядок утверждения и условия пересмотра структуры и организации систем управления риском реализации информационных угроз, операционной надежности и защиты информации.

ОПР.2 Реализация механизмов взаимодействия и координации деятельности* вовлеченных подразделений, формирующих «три линии защиты», а также причастных сторон (за исключением клиентов финансовой организации) в целях подготовки и реализации политики управления риском реализации информационных угроз.

ОПР.3 Определение должностного лица, ответственного за функционирование системы управления риском реализации информационных угроз** финансовой организации: 

ОПР.4 Установление функций и полномочий подразделений, формирующих «первую линию защиты», включающих:

ОПР.5.1 В целях обеспечения ИБ:

ОПР.5.2 В целях управления риском реализации информационных угроз:

ОПР.6 Установление функций и полномочий подразделений, формирующих «вторую линию защиты» в части управления риском реализации информационных угроз, включающих:

ОПР.7 Установление функций и полномочий подразделений, формирующих «третью линию защиты», в части управления риском реализации информационных угроз, включающих:

ОПР.8.1 Направленность на обеспечение операционной надежности финансовой организации; 

ОПР.8.2 Интеграция системы управления риском реализации информационных угроз в систему управления операционным риском финансовой организации; 

ОПР.8.3 Соответствие политики управления риском реализации информационных угроз, а также устанавливаемых ею приоритетов общим бизнес-целям финансовой организации; 

ОПР.8.4 Систематический и проактивный подход в части противодействия возможным информационным угрозам; 

ОПР.8.5 Участие совета директоров (наблюдательного совета) и коллегиального исполнительного органа финансовой организации в решении вопросов управления риском реализации информационных угроз, обеспечения операционной надежности и защиты информации.

ОПР.9.1 Обеспечение возможности покрытия потерь финансовой организации, причастных сторон, в том числе клиентов финансовой организации в результате инцидентов, в том числе за счет формирования финансового резерва и (или) страхования риска реализации информационных угроз*; 

ОПР.9.2 Обеспечение возможности поддержания непрерывного предоставления финансовых и (или) информационных услуг в условиях возможной реализации информационных угроз; 

ОПР.9.3 Защиты интересов клиентов финансовой организации в случае их потерь в результате инцидентов; 

ОПР.10 Установление целей и требований политики управления риском реализации информационных угроз с участием и по согласованию с вовлеченными подразделениями, формирующими «три линии защиты». 

ОПР.11.1 Группа КПУР, характеризующих уровень совокупных потерь финансовой организации в результате событий риска реализации информационных угроз;

ОПР.11.2 Группа КПУР, характеризующих уровень операционной надежности бизнес- и технологических процессов финансовой организации; 

ОПР.11.3 Группа КПУР, характеризующих уровень несанкционированных операций (потерь клиентов финансовой организации) в результате инцидентов. 

ОПР.12 Установление политикой управления риском реализации информационных угроз допустимого уровня такого риска (риск-аппетита финансовой организации) с учетом сигнальных и контрольных значений КПУР**.

ОПР.13.1 Пересмотр (в том числе условия пересмотра) политики управления риском реализации информационных угроз при изменении целей финансовой организации, в том числе в части допустимого уровня такого риска (риск-аппетита финансовой организации), существенных изменений в критичной архитектуре, существенного изменения модели  информационных угроз; 

ОПР.13.2 Организацию внутренней отчетности в рамках управления риском реализации информационных угроз, включая внутреннюю отчетность об уровне зрелости процессов управления риском реализации информационных угроз, обеспечения операционной надежности и защиты информации;

ОПР.13.3 Валидацию и верификацию со стороны подразделений, формирующих «вторую» и «третью линии защиты», методологии и внутренней отчетности в рамках управления риском реализации информационных угроз; 

ОПР.13.4 Адекватное и своевременное реагирование на неудовлетворительные результаты валидации и верификации. 

ОПР.14 Установление политикой управления риском реализации информационных угроз требований к созданию ресурсных (кадровых и финансовых) условий для обеспечения необходимого уровня зрелости процессов управления таким риском, обеспечения операционной надежности и защиты информации.

ОПР.15 Установление политикой управления риском реализации информационных угроз требований к привлекаемым в рамках аутсорсинга бизнес- и технологических процессов, а также процессов обеспечения операционной надежности и защиты информации поставщикам услуг, в том числе поставщиков облачных услуг (в части установления требуемого уровня зрелости процессов обеспечения операционной надежности и защиты информации в рамках соглашения об аутсорсинге), а также порядка взаимодействия и распределения ответственности между финансовой организацией и поставщиками услуг, в том числе поставщиками облачных услуг.

ОПР.16 Установление политикой управления риском реализации информационных угроз функций и ответственности коллегиального исполнительного органа и работников финансовой организации в рамках управления риском реализации информационных угроз.

ОПР.17 Установление политикой управления риском реализации информационных угроз области применения системы управления таким риском.

ОПР.18 Установление внутренними документами финансовой организации распределения зон компетенции* совета директоров (наблюдательного совета), коллегиального исполнительного органа финансовой организации (а в случае его отсутствия – единоличного исполнительного органа) и подотчетных им коллегиальных органов в части решения вопросов, связанных с управлением риском реализации информационных угроз, обеспечением операционной надежности и защиты информации.

ОПР.19.1 Утверждение политики управления риском реализации информационных угроз***; 

ОПР.19.2 Рассмотрение вопросов, связанных с управлением риском реализации информационных угроз, при возможном влиянии такого риска на принимаемые решения, связанные с общей стратегией развития финансовой организации****; 

ОПР.19.3 Утверждение допустимого уровня риска реализации информационных угроз (риск-аппетита финансовой организации), состава КПУР, а также их сигнальных и контрольных значений;

ОПР.19.4 Обеспечение как минимум ежегодного контроля за реализацией политики управления риском реализации информационных угроз и соблюдения установленных значений КПУР;

ОПР.19.5 Обеспечение как минимум ежегодного контроля за деятельностью в части планирования, реализации, контроля и совершенствования системы управления риском реализации информационных угроз, а также систем управления, определенных в рамках семейств стандартов ОН и ЗИ Комплекса стандартов;

ОПР.19.6 Рассмотрение отчета об управлении риском реализации информационных угроз (в составе отчета об управлении операционным риском) за год;

ОПР.19.7 Рассмотрение отчета о результатах оценки эффективности функционирования системы управления риском реализации информационных угроз (в составе отчета о результатах оценки эффективности системы управления операционным риском);

ОПР.19.8 Рассмотрение вопросов планирования и достаточности ресурсного (кадрового и финансового) обеспечения для реализации политики управления риском реализации информационных угроз, а также поддержания функционирования структуры и организации систем управления риском реализации информационных угроз, обеспечения операционной надежности и защиты информации;

ОПР.19.9 Обеспечение реагирования финансовой организации в случае превышения сигнальных и контрольных значений КПУР.

ОПР.19.10 Ответственность за соблюдение требований политики управления риском реализации информационных угроз;

ОПР.19.11 Организация деятельности в целях реализации политики управления риском реализации информационных угроз;

ОПР.19.12 Утверждение структуры и организации системы управления риском реализации информационных угроз, а также систем управления, определенных в рамках семейств стандартов ОН и ЗИ Комплекса стандартов, и контроль за поддержанием функционирования таких систем;

ОПР.19.13 Организация и контроль за деятельностью по представлению на рассмотрение необходимой отчетности для контроля за реализацией политики управления риском реализации информационных угроз и соблюдения установленных значений КПУР;

ОПР.19.14 Периодический контроль за фактическими значениями КПУР;

ОПР.19.15 Контроль за осуществлением мониторинга риска реализации информационных угроз;

ОПР.19.16 Управление ресурсным (кадровым и финансовым) обеспечением для целей в рамках выполнения процессов системы управления риском реализации информационных угроз, а также систем управления, определенных в рамках семейств стандартов ОН и ЗИ Комплекса стандартов.

ОПР.20.1 Признание и закрепление важной роли и высокой ответственности каждого работника финансовой организации в части управления риском реализации информационных угроз, включая принятие мер, на реализации информационных угроз;

ОПР.20.2 Организация определения способов мотивации работников финансовой организации по участию в управлении риском реализации информационных угроз, а также осведомленности об актуальных информационных угроз в целях противодействия реализации информационных угроз.

ВИО.1 Организация* и выполнение деятельности по анализу базы событий риска реализации информационных угроз.

ВИО.2 Организация и выполнение деятельности по проведению периодической (как минимум ежегодной) самооценки риска реализации информационных угроз.

ВИО.3 Организация и выполнение деятельности по интервьюированию исполнительного органа финансовой организации и работников финансовой организации, в том числе с целью оценки внутренних и внешних условий и факторов, создающих условия для возникновения риска реализации информационных угроз**.

ВИО.4 Организация и выполнение деятельности по анализу актов проверок, судебных актов (решений, определений, постановлений) и (или) актов исполнительных органов государственной власти, Банка России в части фактов, относящихся к реализации риска реализации информационных угроз.

ВИО.5 Организация и выполнение деятельности по анализу информации, полученной от подразделений, формирующих «третью линию защиты», и (или) в рамках внешнего аудита.

ВИО.6 Организация и выполнение деятельности по анализу информации, полученной в рамках инициативного информирования работниками финансовой организации подразделений, формирующих «вторую линию защиты» и «третью линию защиты».

ВИО.7 Организация и выполнение деятельности по анализу иных внешних и внутренних источников информации, способствующей выявлению риска реализации информационных угроз***.

ВИО.8 Организация и выполнение на регулярной основе деятельности по определению и анализу возможных информационных угроз: - присущих осуществлению видов деятельности финансовой организации; - присущих взаимодействию финансовой организации с причастными сторонами.

ВИО.9.1 Выявления возможных источников информационных угроз;

ВИО.9.2 Оценки возможностей нарушителя безопасности информации;

ВИО.9.3 Выявления возможных уязвимостей критичной архитектуры;

ВИО.9.4 Определения возможных сценариев реализации информационных угроз.

ВИО.10.1 Бизнес- и технологических процессов;

ВИО.10.2 Объектов информатизации;

ВИО.10.3 Субъектов доступа;

ВИО.10.4 Информационных потоков защищаемой информации*, обрабатываемой и передаваемой в рамках бизнес- и технологических процессов.

ВИО.11.1 Бизнес- и технологических процессов, переданных на аутсорсинг и (или) выполняемых с применением сторонних информационных сервисов;

ВИО.11.2 Взаимосвязей и взаимозависимостей между финансовой организацией и причастными сторонами (за исключением клиентов финансовой организации) в рамках выполнения бизнеси технологических процессов, в том числе взаимосвязей и взаимозависимостей объектов информатизации;

ВИО.11.3 Сторонних информационных сервисов поставщиков услуг.

ВИО.12 Организация и выполнение деятельности по оценке возможностей нарушителя безопасности информации в отношении:

ВИО.14 Организация и выполнение деятельности по определению возможных сценариев реализации информационных угроз путем анализа существующих техник, тактик и процедур реализации информационных угроз на основе:

ВИО.15 Разработка модели информационных угроз на основе результатов, полученных при реализации мер ВИО.8 – ВИО.14 настоящей таблицы.

ВИО.16 Организация и выполнение деятельности по пересмотру модели информационных угроз на регулярной основе или в  случаях:

ВИО.17.1 Оценку СВР событий риска*;

ВИО.17.2 Оценку СТП событий риска*;

ВИО.17.3 Агрегированную оценку уровня риска реализации информационных угроз** в разрезе элементов классификации такого риска (приведенных в рамках Приложений А, Б, В, Г), в том числе в соответствии с требованиями нормативных актов Банка России; 

ВИО.17.4 Оценку объема капитала, выделяемого финансовой организацией на покрытие запланированных и незапланированных потерь от реализации риска реализации информационных угроз**, в том числе в соответствии с требованиями нормативных актов Банка России.

ВИО.18.1 Результатов выявления и моделирования информационных угроз;

ВИО.18.2 Оценки зрелости процессов применения технологических мер защиты информации, реализуемых на технологических участках бизнес- и технологических процессов;

ВИО.18.3 Оценки зрелости процессов реализации функций безопасности и контроля (наличия) уязвимостей объектов информатизации прикладного уровня;

ВИО.18.4 Оценки зрелости процессов планирования, реализации, контроля и совершенствования системы управления, определенной в рамках семейства стандартов ЗИ Комплекса стандартов;

ВИО.18.5 Оценки зрелости процессов планирования, реализации, контроля и совершенствования системы управления, определенной в рамках семейства стандартов ОН Комплекса стандартов.

ВИО.19.2 Оценки соблюдения в случае реализации инцидентов значений КПУР, установленных политикой управления риском информационных угроз, в части:

ВИО.19.3 Оценки зрелости процессов планирования, реализации, контроля и совершенствования системы управления, определенной в рамках семейства стандартов ОН Комплекса стандартов, в части выявления, регистрации, реагирования на инциденты и восстановления после их реализации;

ВИО.19.4 Прогнозных оценок запланированных и незапланированных потерь от реализации инцидентов:

ВИО.20 Определение способов проведения оценки уровня риска реализации информационных угроз.

ВИО.21 Оценка риска реализации информационных угроз, которому финансовая организация подвергает или подвергается со стороны причастных сторон (за исключением клиентов финансовой организации), с учетом степени взаимосвязи и взаимозависимости между финансовой организацией и причастными сторонами (за исключением клиентов финансовой организации), в том числе степени взаимосвязи и взаимозависимости между их объектами информатизации.

ВИО.22 Организация и выполнение деятельности по переоценке риска реализации информационных угроз на основе:

 ОРО.1 Установление во внутренних документах финансовой организации методики оценки необходимого ресурсного (кадрового и финансового) обеспечения процессов управления риском реализации информационных угроз, обеспечения операционной надежности и защиты информации.

ОРО.2.1 Для реализации функций в рамках управления риском реализации информационных угроз подразделений, формирующих «три линии защиты»;

ОРО.2.2 Для обеспечения своевременного выявления, реагирования на инциденты и восстановления функционирования бизнес- и технологических процессов и объектов информатизации после их реализации.

ОРО.3 Утверждение и пересмотр на регулярной основе исполнительным органом финансовой организации состава основных ресурсов.

ОРО.4 Организация и выполнение деятельности по обеспечению состава основных ресурсов и удовлетворение потребностей:

ОРО.5.1 Установление требований на основе профессиональных стандартов к квалификации работников, в том числе профессионального стандарта для специалистов по информационной безопасности в кредитно-финансовой сфере;

ОРО.5.2 Проведение оценки соответствия кандидатов на должности согласно установленным требованиям в отношении их компетенции.

ОРО.6 Планирование, реализация, контроль и совершенствование мероприятий, направленных на уменьшение негативного влияния кадровых рисков в рамках деятельности по управлению риском реализации информационных угроз, обеспечения операционной надежности и защиты информации, учитывающих в том числе:

ОРО.7 Организация и выполнение деятельности по оценке эффективности работников, задействованных в рамках управления риском реализации информационных угроз, обеспечения операционной надежности и защиты информации**.

ОРО.8 Организация и выполнение деятельности по повышению эффективности работников, направленной на исправление недостатков, выявленных по результатам оценки, предусмотренной мерой ОРО.7 настоящей таблицы, и осуществление последующего контроля.

ОРО.9 Определение и обеспечение необходимого численности и требуемой компетенции работников при организации ресурсного (кадрового и финансового) обеспечения службы ИБ на основании:

ОРО.10 Определение минимальной необходимой численности работников службы ИБ с учетом:

ОРО.11 Определение требований к квалификации работников службы ИБ на основании характеристик квалификации, которые содержатся в профессиональном стандарте специалистов по информационной безопасности в кредитно-финансовой сфере, с учетом особенностей выполняемых работниками трудовых функций, обусловленных применяемыми технологиями и способами организации производства и труда.

ОРО.12 Определение требований в отношении компетенции работников службы ИБ с учетом: - наличия высшего профессионального образования в области ИБ и (или) информационных технологий; - наличия подтверждения соответствия квалификационным требованиям, устанавливаемым профессиональным стандартом специалистов по информационной безопасности в кредитно-финансовой сфере; - регулярного прохождения дополнительного (специализированного) обучения, переподготовки (повышения квалификации) в области ИБ.

ОРО.13 Утверждение коллегиальным исполнительным органом финансовой организации ресурсов службы ИБ с целью выполнения задач и функций, связанных с планированием, реализацией, контролем и совершенствованием системы управления риском реализации информационных угроз, а также процессов систем управления, определенных в рамках семейств стандартов ОН и ЗИ Комплекса стандартов, возложенных на службу ИБ.

ОРО.14 Предоставление службе ИБ собственного бюджета, достаточного для целей выполнения задач и функций, связанных с выполнением процессов планирования, реализации, контроля и совершенствования системы управления риском реализации информационных угроз, а также систем управления, определенных в рамках семейств стандартов ОН и ЗИ Комплекса стандартов, возложенных на службу ИБ.

ОРО.15 Определение в качестве куратора службы ИБ должностного лица, ответственного за функционирование системы управление риском реализации информационных угроз.

ОРО.16 Выделение на местах, в случае наличия у финансовой организации филиалов (региональных представительств), соответствующих подразделений ИБ (уполномоченных лиц) и организация их ресурсного (кадрового и финансового) обеспечения и обеспечение нормативной базой*.

ОРО.17 Организация целевого обучения работников, задействованных в рамках управления риском реализации информационных угроз, обеспечения операционной надежности и защиты информации, в частности организация целевого обучения по вопросам противодействия реализации информационных угроз для работников, входящих в группы повышенного риска*.

ОРО.18 Включение в разрабатываемые программы целевого обучения по вопросам выявления и противодействия реализации информационных угроз:

 РМ.1 Выбор финансовой организацией способа реагирования на риск реализации информационных угроз по результатам оценки риска:

РМ.2 Разработка плана реагирования на риск реализации информационных угроз, обеспечивающего достижение и поддержание допустимого уровня такого риска (риск-аппетита финансовой организации).

РМ.3.1 Применения технологических мер защиты информации, реализуемых на технологических участках бизнес- и технологических процессов;

РМ.3.2 Реализации функций безопасности и контроля (наличия) уязвимостей объектов информатизации прикладного уровня;

РМ.3.3 Планирования, реализации, контроля и совершенствования системы защиты информации, требования к которой определены национальными стандартами семейства ЗИ Комплекса стандартов;

РМ.3.4 Планирования, реализации, контроля и совершенствования системы обеспечения операционной надежности, требования к которой определены национальными стандартами семейства ОН  Комплекса стандартов.

РМ.4 Определение в рамках плана реагирования на риск реализации информационных угроз сигнальных и контрольных значений КПУР*, предусмотренных мерой РМ.3 настоящей таблицы, с учетом допустимого уровня такого риска (рискаппетита).

РМ.5 Утверждение плана реагирования на риск реализации информационных угроз исполнительным органом финансовой организации и (или) должностным лицом, ответственным за функционирование системы управления риском реализации информационных угроз.

РМ.6 Планирование процессов применения технологических мер защиты информации, реализуемых на технологических участках бизнес- и технологических процессов, входящих в критичную архитектуру.

РМ.7 Планирование процессов реализации функций безопасности и контроля (наличия) уязвимостей объектов информатизации прикладного уровня.

РМ.8.1 Планирование применения организационных и технических мер, направленных на реализацию требований к процессам системы защиты информации, определенной в рамках семейства стандартов ЗИ Комплекса стандартов;

РМ.8.2 Планирование применения организационных и технических мер, направленных на реализацию требований к процессам системы обеспечения операционной надежности, определенной в рамках семейства стандартов ОН Комплекса стандартов.

РМ.9 Планирование процессов применения организационных и технических мер, предусмотренных мерой РМ.8 настоящей таблицы, включающее:

РМ.10 Определение приоритетов реализации процессов, планируемых в рамках реализации мер РМ.6 – РМ.9 настоящей таблицы, в отношении каждого бизнес- и технологического процесса, входящего в критичную архитектуру.

РМ.11 Определение ограничений по параметрам финансовых (банковских) операций, в том числе переводов денежных средств.

РМ.12 Определение способа и порядка возмещения потерь от реализации инцидентов, в том числе за счет резервов на запланированные и незапланированные потери и (или) посредством переноса риска на участников финансового рынка (страхования).

РМ.13 Планирование применения организационных и технических мер, направленных на реализацию требований к процессам системы обеспечения операционной надежности, определенной в рамках семейства стандартов ОН Комплекса стандартов, в части: - поддержания непрерывности выполнения бизнес- и технологических процессов; - выявления, реагирования на инциденты и восстановления после их реализации.

ЗИУ.1 Реализация, контроль и совершенствование процессов применения технологических мер защиты информации, реализуемых на технологических участках бизнес- и технологических процессов, планирование которых предусмотрено мерой РМ.6.

ЗИУ.2 Реализация, контроль и совершенствование процессов реализации функций безопасности и контроля (наличия) уязвимостей объектов информатизации прикладного уровня, планирование которых предусмотрено мерой РМ.7.

ЗИУ.3 Реализация, контроль и совершенствование процессов системы защиты информации, определяемой в рамках семейства стандартов ЗИ Комплекса стандартов, планирование которых предусмотрено мерой РМ.8.1.

ЗИУ.4.1 Процессов, предусмотренных мерами ЗИУ 1, ЗИУ.2;

ЗИУ.4.2 Процессов, предусмотренных мерами ЗИУ 3.

ЗИУ.6 Обеспечение необходимого уровня зрелости процессов, предусмотренных мерами ЗИУ.1 – ЗИУ.3 настоящей таблицы, согласно принятым финансовой организацией сигнальным и контрольным значениям КПУР, предусмотренным мерой РМ.4.

ЗИУ.7 Реализация, контроль и совершенствование процессов системы обеспечения операционной надежности, определенной в рамках семейства стандартов ОН Комплекса стандартов, планирование которых предусмотрено мерой РМ.8.2.

ЗИУ.8 Определение во внутренних документах требований к внедрению процессов, предусмотренных мерой ЗИУ.8 настоящей таблицы, на этапах жизненного цикла* объектов информатизации финансовой организации, начиная с этапа «создание», способом, обеспечивающим заданный уровень защиты на этапах «ввод в эксплуатацию» и «Эксплуатация (сопровождение)».

ЗИУ.9 Обеспечение необходимого уровня зрелости процессов, предусмотренных мерой ЗИУ.8 настоящей таблицы, согласно принятым финансовой организацией сигнальным и контрольным значениям КПУР, предусмотренным мерой РМ.4. 

ЗИУ.10.1 Значимость обеспечения выполнения финансовой организацией своих обязательств перед причастными сторонами, в том числе клиентами финансовой организации, а также возможности предоставления запрашиваемой информации, связанной с функционированием бизнес- и технологических процессов, переданных на аутсорсинг, в рамках проведения контроля выполнения требований к обеспечению операционной надежности и защиты информации со стороны Банка России и исполнительных органов государственной власти в рамках выполнения надзорных (контрольных) мероприятий;

ЗИУ.10.2 Важность привлечения поставщиков услуг, отвечающих требованиям финансовой организации к обеспечению операционной надежности и защиты информации, а также заключения соглашения, определяющего детальные условия и разграничение ответственности;

ЗИУ.10.3 Рассмотрение бизнес- и технологических процессов, передаваемых финансовой организацией на аутсорсинг поставщику услуг, в качестве неотъемлемой части осуществления своих видов деятельности, в том числе подпадающих под регулирование в части обеспечения надежности и защиты информации со стороны Банка России и исполнительных органов государственной власти.

ЗИУ.11.1 Определение критериев, в том числе основанных на законодательстве о лицензировании отдельных видов деятельности, для оценки способностей, ресурсов и возможностей поставщика услуг обеспечить соблюдение принятых финансовой организацией сигнальных и контрольных значений КПУР;

ЗИУ.11.2 Определение требований к привлекаемым в рамках аутсорсинга бизнес- и технологических процессов, а также процессов обеспечения операционной надежности и защиты информации поставщикам услуг, в том числе поставщиков облачных услуг (в части установления требуемого уровня зрелости процессов обеспечения операционной надежности и защиты информации в рамках соглашения об аутсорсинге).

ЗИУ.12 Организация и выполнение деятельности по выявлению и идентификации риска реализации информационных угроз, а также его оценке при аутсорсинге*.

ЗИУ.13 Рассмотрение в рамках выявления и идентификации риска реализации информационных угроз, а также его оценки при аутсорсинге дополнительных условий для реализации такого риска, обусловленных:

ЗИУ.14 Использование в рамках выявления и идентификации риска реализации информационных угроз, а также его оценки при аутсорсинге дополнительных показателей, оказывающих влияние на оценку такого риска при аутсорсинге:

ЗИУ.15.1 Проведение финансовой организацией оценки способности, ресурсов и возможностей поставщика услуг при аутсорсинге обеспечить соблюдение принятых финансовой организацией сигнальных и контрольных значений КПУР;

ЗИУ.15.2 Определение в рамках соглашений об аутсорсинге между финансовой организацией и поставщиком услуг положений относительно управления риском реализации информационных угроз, обеспечения операционной надежности и защиты информации;

ЗИУ.15.3 Мониторинг риска реализации информационных угроз при аутсорсинге.

ЗИУ.16.1 Оценки способности, ресурсов и возможностей поставщика услуг обеспечить соблюдение принятых финансовой организацией сигнальных и контрольных значений КПУР;

ЗИУ.16.2 Оценки опыта и репутации поставщика услуг;

ЗИУ.16.3 Оценки показателей деятельности поставщика услуг на основе показателей, предусмотренных мерой ЗИУ.16;

ЗИУ.16.4 Оценки способности, ресурсов и возможностей поставщика услуг обеспечивать выполнение обязательств финансовой организации перед причастными сторонами, в том числе клиентами финансовой организации, а также Банком России и исполнительными органами государственной власти в рамках выполнения надзорных (контрольных) мероприятий в области обеспечения операционной надежности и защиты информации.

ЗИУ.17 Определение в рамках финансовой экосистемы правил и требований к участникам финансовой экосистемы (за исключением пользователей финансовой экосистемы) в части управления риском реализации ин-информационных угроз:

ЗИУ.17.1 Правил и требований к установлению и соблюдению поставщиками финансовых услуг состава КПУР, предусмотренных мерой АПР.11 таблицы 5, при предоставлении финансовых и (или) информационных услуг в рамках финансовой экосистемы.

ЗИУ.17.2 Правил и требований к выявлению и идентификации риска реализации информационных угроз, а также его оценки поставщиками финансовых услуг.

ЗИУ.17.3 Правил и требований к применению участниками финансовой экосистемы (за исключением пользователей финансовой экосистемы) технологических мер защиты информации, реализуемых на технологических участках бизнес- и технологических процессов в рамках финансовой экосистемы, включая идентификацию и аутентификацию пользователей финансовой экосистемы* (в том числе предоставляемые поставщиком облачных услуг).

ЗИУ.17.4 Правил и требований к планированию, реализации, контролю и совершенствованию участниками финансовой экосистемы (за исключением пользователей финансовой экосистемы) процессов системы управления, определяемых в рамках семейств стандартов ОН и ЗИ комплекса стандартов**.

ЗИУ.17.5 Правил и требований к реализации мероприятий, направленных на предотвращение утечек информации***.

ЗИУ.17.6 Правил и требований к безопасности раскрытия информации конфиденциального характера, относящейся к пользователям финансовой экосистемы, внутри финансовой экосистемы****.

ЗИУ.17.7 Правил и требований к выявлению событий риска реализации информационных угроз, в том числе к сбору и регистрации информации о событиях риска реализации информационных угроз и потерях в рамках финансовой экосистемы.

ЗИУ.17.8 Правил и требований к реагированию на инциденты и восстановлению функционирования бизнес- и технологических процессов и объектов информатизации после их реализации, в том числе к взаимодействию между участниками финансовой экосистемы при реагировании и восстановлении после реализации таких инцидентов.

ЗИУ.17.9 Правил и требований к обеспечению осведомленности об актуальных информационных угрозах, в том числе пользователей финансовой экосистемы.

ЗИУ.17.10 Правил и требований к мониторингу риска реализации информационных угроз в рамках финансовой экосистемы.

ЗИУ.18 Рассмотрение в рамках выявления и идентификации риска реализации информационных угроз, а также его оценки в рамках финансовой экосистемы следующих дополнительных видов такого риска:

 ВСР.1 Организация и выполнение деятельности по выявлению и отнесению к событиям риска реализации информационных угроз результатов, получаемых в рамках:

ВСР.2 Классификация событий риска реализации информационных угроз с учетом пункта 6.13 настоящего стандарта, в том числе в соответствии с требованиями нормативных актов Банка России.

ВСР.3.1 Определение порядка ведения базы событий*;

ВСР.3.2 Определение порядка установления величины потерь от реализации события риска реализации информационных угроз, при которой осуществляется регистрация таких событий в базе событий (порог регистрации), в том числе в соответствии с требованиями нормативных актов Банка России;

ВСР.3.3 Определение перечня ролей и ответственных по ведению базы событий;

ВСР.3.4 Определение порядка контроля за своевременностью отражения потерь от реализации событий риска реализации информационных угроз;

ВСР.3.5 Хранение в базе событий информации о выявленных событиях риска реализации информационных угроз, в том числе сведений о проведении их анализа не менее трех лет**.

ВСР.3.6 Хранение в базе событий информации о выявленных событиях риска реализации информационных угроз, в том числе сведений о проведении их анализа не менее пяти лет**;

ВСР.3.7 Обеспечение целостности и доступности данных, содержащихся в базе событий, а также сохранности данных о потерях и возмещениях***;

ВСР.3.8 Протоколирование и контроль внесения изменений в базу событий.

ВСР.4 Организация и выполнение деятельности по регистрации информации о выявленных событиях риска реализации информационных угроз и потерях**** в базе событий такого риска с учетом их классификации и порога регистрации, в том числе в соответствии с требованиями нормативных актов Банка России.

ВСР.5.1 Учет потерь, установление сроков выявления и правил отражения в бухгалтерском учете;

ВСР.5.2 Установление порядка и метода определения потерь (прямых, косвенных, качественных*****);

ВСР.5.3 Определение потерь финансовой организации, причастных сторон, в том числе клиентов финансовой организации с учетом классификации согласно приложению Г к настоящему стандарту, в том числе в соответствии с требованиями нормативных правовых актов Банка России;

ВСР.5.4 Установление порядка определения валовых и чистых (фактических) потерь от реализации событий риска реализации информационных угроз, в том числе в соответствии с требования нормативных актов Банка России.

ВСР.6 Организация и выполнение деятельности по обработке обращений причастных сторон, в том числе клиентов финансовой организации, о выявлении ими событий риска реализации информационных угроз, включая события такого риска, связанные с осуществлением финансовых (банковских) операций, в том числе операций по переводу денежных средств без согласия клиентов.

ВСР.7  Организация и выполнение деятельности по доведению до причастных сторон, в том числе клиентов финансовой организации, результатов проведения финансовой организацией анализа по факту их обращений.

ОСО.1 Организация и выполнение деятельности по получению от причастных сторон (за исключением клиентов финансовой организации) и направлению информации о возможных сценариях реализации информационных угроз*.

ОСО.2 Организация и выполнение деятельности по получению от Банка России и направлению информации о возможных сценариях реализации информационных угроз с использованием технической инфраструктуры Банка России*.

ОСО.3 Организация и выполнение деятельности по получению информации о возможных сценариях реализации информационных угроз от доверенных внешних организаций, в том числе в рамках участия в соответствующих сообществах.

ОСО.4 Включение в состав передаваемой информации о возможных сценариях реализации информационных угроз результатов анализа причин и последствий реализации инцидентов**, предусмотренного составом мер в рамках семейства стандартов ОН Комплекса стандартов.

ОСО.5 Организация и выполнение деятельности по доведению до клиентов финансовой организации информации, способствующей уменьшению негативного влияния риска реализации информационных угроз при предоставлении (получении) финансовых и (или) информационных услуг, включая справочные материалы в части:

ОСО.6 Организация и выполнение деятельности по обеспечению максимальной доступности для клиентов финансовой организации справочных материалов, предусмотренных мерой ОСО.5.

ОСО.7  Организация и выполнение деятельности по оценке эффективности реализуемых программ по доведению до клиентов финансовой организации информации, способствующей уменьшению негативного влияния риска реализации информационных угроз при предоставлении (получении) финансовых и (или) информационных услуг.

ОСО.8 Организация и выполнение деятельности по доведению до клиентов финансовой организации (с обеспечением максимальной доступности) фактических значений КПУР.

ОСО.9 Организация и выполнение деятельности по оценке возможности применения информации об актуальных сценариях реализации информационных угроз, получение которой предусмотрено мерами ОСО.1 – ОСО.3.

ОСО.10 Организация и выполнение деятельности по использованию информации об актуальных сценариях реализации информационных угроз, получение которой предусмотрено мерами ОСО.1 – ОСО.3, для цели обеспечения операционной надежности финансовой организации.

ОСО.11 Повышение осведомленности по вопросам противодействия реализации информационных угроз членов совета директоров (наблюдательного совета) и исполнительного органа финансовой организации, в том числе по вопросам организации и контроля за управлением риском реализации информационных угроз, обеспечением операционной надежности и защиты информации*.

ОСО.12 Организация и контроль со стороны исполнительного органа финансовой организации деятельности по обучению и повышению осведомленности работников финансовой организации в части противодействия реализации информационных угроз, включая разработку и реализацию соответствующих планов по периодическому обучению и повышению осведомленности работников финансовой организации.

ОСО.13 Включение в разрабатываемые для различных групп работников (с учетом их должностных обязанностей и выполняемых ролей) планы обучения и повышения осведомленности в части противодействия реализации информационных угроз, учебных мероприятий по доведению:

ОСО.14 Организация обучения или инструктажа** работника, получившего новую роль, с последующим проведением оценочных мероприятий, по вопросам противодействия реализации информационных угроз и доведение результатов указанных мероприятий до работника, принимавшего в них участие.

ОСО.15 Организация обучения или инструктажа в части выявления и инициативного информирования о событиях риска реализации информационных угроз.

УПК.1 Установление и реализация программы проведения самооценки зрелости процессов планирования, реализации контроля и совершенствования систем управления, определенных в рамках семейств стандартов ОН и ЗИ Комплекса стандартов, согласно соответствующим методикам оценки соответствия (далее – самооценка ОН и ЗИ).

УПК.2 Установление и реализация программы проведения независимой профессиональной оценки* зрелости процессов планирования, реализации, контроля и совершенствования систем управления, определенных в рамках семейств стандартов ОН и ЗИ Комплекса стандартов, согласно соответствующим методикам оценки соответствия (далее – аудиты ОН и ЗИ).

УПК.3 Установление плана самооценки ОН и ЗИ для каждого проводимого аудита, определяющего:

УПК.4 Установление плана аудита ОН и ЗИ для каждого проводимого аудита, определяющего:

УПК.5 Определение во внутренних документах правил привлечения организации, предоставляющей услуги внешнего аудита, при проведении аудитов ОН и ЗИ***.

УПК.6 Фиксация результатов проведения самооценок и аудитов ОН и ЗИ в виде отчетов, содержащих мотивированное суждение об уровне зрелости процессов совершенствования систем управления, определенных в рамках семейств стандартов ОН и ЗИ Комплекса стандартов, согласно соответствующим методикам оценки соответствия.

УПК.7 Доведение результатов самооценок и аудитов ОН и ЗИ до совета директоров (наблюдательного совета) и исполнительного органа финансовой организации, а также должностного лица, ответственного за функционирование системы управления риском реализации информационных угроз.

УПК.8 Организация и выполнение деятельности по хранению, предоставлению санкционированного доступа и использованию материалов (в частности, отчетов), получаемых в процессе проведения самооценок и аудитов ОН и ЗИ.

УПК.9.1 Данных, содержащихся в базе событий риска реализации информационных угроз;

УПК.9.2 Результатов самооценок ОН и ЗИ*;

УПК.9.3 Результатов аудитов ОН и ЗИ;

УПК.9.4 Результатов сценарного анализа и тестирования готовности финансовой организации противостоять реализации информационных угроз;

УПК.9.5 Результатов оценки эффективности функционирования системы управления риском реализации информационных угроз, проводимой подразделением, формирующим «третью линию защиты».

УПК.10.1 Порядка оценки подразделением, формирующим «третью линию защиты», и (или) внешним аудитором эффективности функционирования системы управления риском реализации информационных угроз, в том числе выполнения процессов управления таким риском;

УПК.10.2 Порядка привлечения для оценки эффективности функционирования системы управления риском реализации информационных угроз внешних аудиторов или экспертов.

УПК.11.1 Полноты и точности информации, отраженной в базе событий риска реализации информационных угроз, а также корректности ведения такой базы;

УПК.11.2 Соблюдения установленных финансовой организацией в политике управления риском реализации информационных значений КПУР; 

УПК.11.3 Корректности определения вида и величины потерь от реализации событий риска реализации информационных угроз (в составе операционного риска);

УПК.11.4 Корректности проведенных оценок величины потерь от реализации риска реализации информационных угроз;

УПК.11.5 Мероприятий, направленных на уменьшение негативного влияния риска реализации информационных угроз.

УПК.12 Представление на рассмотрение фактических значений КПУР на регулярной основе или в случае выявления факта превышения сигнального и (или) контрольного значения одного из КПУР: - совету директоров (наблюдательному совету) финансовой организации не реже одного раза в год; - исполнительному органу финансовой организации, в том числе должностному лицу, ответственному за функционирование системы управления риском реализации информационных угроз, не реже одного раза в квартал.

УПК.13 Формирование внутренней отчетности финансовой организации:

УПК.14 Включение в отчетность о выявленных событиях риска реализации информационных угроз сведений о ведении претензионной работы финансовой организации в отношении ее причастных сторон, в том числе клиентов финансовой организации.

УПК.15 Включение в отчетность о результатах мониторинга риска реализации информационных угроз информации о реализовавшихся инцидентах, содержащей в том числе:

УПК.16 Определение процедур информирования и состава отчетности для представления совету директоров (наблюдательному совету) и исполнительному органу финансовой организации в рамках управления риском реализации информационных угроз, обеспечения операционной надежности и защиты информации подразделениями финансовой организации, формирующими «три линий защиты».

УПК.17 Организация и выполнение деятельности по валидации и верификации данных, содержащихся в отчетности в рамках управления риском реализации информационных угроз, со стороны подразделений, формирующих «третью линию защиты».

МР.1 Установление требований к КИР и их документированию, включающее:

МР.2.1 Набора КИР, характеризующих динамику возникновения инцидентов, приведших к прямым и (или) непрямым потерям финансовой организации, для мониторинга группы КПУР, характеризующих уровень совокупных потерь в результате реализации информационных угроз.

МР.2.2 Определение набора КИР, характеризующих динамику возникновения инцидентов, вызвавших прерывание выполнения бизнес- и технологических процессов, для мониторинга группы КПУР, характеризующих уровень операционной надежности бизнес- и технологических процессов финансовой организации;

МР.2.3 Определение набора КИР, характеризующих динамику поступления уведомлений от клиентов финансовой организации об осуществлении финансовых (банковских) операций, в том числе операций по переводу денежных средств без их согласия, для мониторинга группы КПУР, характеризующих уровень несанкционированных операций (потерь клиентов финансовой организации) в результате инцидентов;

МР.2.4 Определение набора КИР, характеризующих динамику выявленных нарушений** в рамках выполнения процессов управления риском реализации информационных угроз, обеспечения операционной надежности и защиты информации, для мониторинга группы КПУР, характеризующей уровень зрелости таких процессов.

МР.3  Определение в рамках установления требований к КИР, предусмотренных мерой МР.1 настоящей таблицы, в части источников информации, используемой для расчета КИР, следующих данных:

МР.4 Определение в рамках установления требований к КИР, предусмотренных мерой МР.1 настоящей таблицы, в части обоснования установления пороговых значений КИР, критериев учета влияния превышения пороговых значений КИР на возможность превышения сигнальных и контрольных значений КПУР.

МР.5  Определение порядка информирования должностного лица, ответственного за функционирование системы управления риском реализации информационных угроз, в случае выявления факта возможного превышения сигнальных и контрольных значений КПУР, о котором свидетельствуют фактические расчетные значений КИР.

ОСЗ.1.1 Выявления фактов или возможности превышения сигнальных и контрольных значений КПУР;

ОСЗ.1.2 Изменения политики финансовой организации в отношении принципов и приоритетов в реализации системы управления риском реализации информационных угроз;

ОСЗ.1.3 Изменения политики финансовой организации в отношении величины допустимого риска реализации информационных угроз (риск-аппетита), сигнальных и контрольных значений КПУР;

ОСЗ.1.4 Изменения политики финансовой организации в отношении аутсорсинга, в том числе в части взаимодействия с причастными сторонами – поставщиками услуг, включая поставщиков облачных услуг;

ОСЗ.1.5 Внедрения финансовой организацией новых технологий предоставления финансовых и (или) информационных услуг, существенное изменение критичной архитектуры (в частности, бизнес- и технологических процессов);

ОСЗ.1.6 Изменения условий взаимодействия финансовой организации с причастными сторонами – поставщиками услуг, включая поставщиков облачных услуг;

ОСЗ.1.7Изменения законодательства Российской Федерации, в том числе нормативных актов Банка России.

ОСЗ.2 Определение источников информации для проведения анализа необходимости совершенствования, включающих:

ОСЗ.3 Фиксация и доведение до коллегиального исполнительного органа (а в случае его отсутствия – единоличного исполнительного органа) или подотчетных им коллегиальных органов финансовой организации и должностного лица, ответственного за функционирование системы управления риском реализации информационных угроз, результатов (свидетельств) анализа эффективности такой системы в целях принятия решения о необходимости ее совершенствования.

ОСЗ.4 Принятие коллегиальным исполнительным органом финансовой организации и должностным лицом, ответственным за функционирование системы управления риском реализации информационных угроз, решений по совершенствованию системы управления риском реализации информационных угроз на основе результатов проведения анализа необходимости совершенствования такой системы:

ОСЗ.5  Рассмотрение и принятие решений о необходимости реализации стратегических улучшений системы управления риском реализации информационных угроз советом директоров (наблюдательным советом) финансовой организации.

ОСЗ.6 Фиксация во внутренних документах финансовой организации принятых решений по совершенствованию системы управления риском реализации информационных угроз*.

ОСЗ.7 Обеспечение со стороны должностного лица, ответственного за функционирование системы управления риском реализации информационных угроз (с привлечением службы ИБ), контроля за реализацией тактических улучшений системы управления риском реализации информационных угроз.

ОСЗ.8 Обеспечение со стороны коллегиального исполнительного органа финансовой организации и должностного лица, ответственного за функционирование системы управления риском реализации информационных угроз (с привлечением службы ИБ), контроля за реализацией стратегических улучшений системы управления риском реализации информационных угроз.

ОСЗ.9.1 Внедрение новых мер, пересмотр и исправление недостатков в применяемом составе организационных и технических мер по обеспечению операционной надежности и защиты информации;

ОСЗ.9.2 Пересмотр и адаптация способов выявления событий риска реализации информационных угроз в зависимости от модели информационных угроз.

ОСЗ.10.1 Пересмотр политики управления риском реализации информационных угроз в части уточнения установленных в ней целей, состава и значений КПУР, а также пересмотр плана реагирования на риск реализации информационных угроз;

ОСЗ.10.2 Пересмотр политики в отношении аутсорсинга, в том числе пересмотр соглашений об уровне оказания услуг (SLA); 

ОСЗ.10.3 Пересмотр области применения системы управления риском реализации информационных угроз (критичной архитектуры);

ОСЗ.10.4 Пересмотр и доработка методологии оценки риска реализации информационных угроз; 

ОСЗ.10.5  Пересмотр объемов ресурсного обеспечения в рамках управления риском реализации информационных угроз, обеспечения операционной надежности и защиты информации.