Глава 1. Общие положения

Глава 2. Процедуры управления операционным риском

Глава 3. Классификатор событий операционного риска

Глава 4. Дополнительные элементы системы управления операционным риском

Глава 5. Система контрольных показателей уровня операционного риска

Глава 6. Ведение базы событий

• уникальный порядковый идентификационный номер события операционного риска (группы событий операционного риска); (Абзац в редакции, введенной в действие с 1 октября 2022 года указанием Банка России от 25 марта 2022 года N 6103-У. - См. предыдущую редакцию)
• идентификатор группы событий операционного риска (в случае, если события операционного риска объединены в группу), определяемой в соответствии с пунктом 6.12 настоящего Положения, с указанием количества событий операционного риска в группе; (Абзац в редакции, введенной в действие с 1 октября 2022 года указанием Банка России от 25 марта 2022 года N 6103-У. - См. предыдущую редакцию)
• дату, когда событие операционного риска было зарегистрировано в базе событий (дата регистрации);
• время регистрации события операционного риска в базе событий в случае программно-аппаратной фиксации событий операционного риска;
• дату, когда событие операционного риска произошло или впервые началось (дата реализации);
• время, когда событие операционного риска произошло или впервые началось, в случае программно-аппаратной фиксации событий риска информационной безопасности и других событий операционного риска;
• дату (и время в случае, если характер события операционного риска это предусматривает), когда кредитной организации (головной кредитной организации банковской группы) стало известно о событии операционного риска (дата выявления);
• дату (и время для событий риска информационной безопасности) окончания события операционного риска (дата окончания события) в случае, если наличие такой информации определяется характером события операционного риска;
• статус события операционного риска (в том числе "оценка потерь от реализации события операционного риска завершена" и "оценка потерь от реализации события операционного риска не завершена"). При этом кредитная организация (головная кредитная организация банковской группы) определяет виды статусов события операционного риска;
• подразделение, в котором произошло событие операционного риска;
• подразделение, выявившее событие операционного риска;
• описание события операционного риска (детализированное описание события операционного риска, включающее ответы на вопросы: в чем заключается событие операционного риска, каким образом оно было обнаружено, что явилось его причиной (причинами);
• категорию источника операционного риска в соответствии с пунктом 3.3 настоящего Положения;
• значимые источники операционного риска, которые повлияли на реализацию события операционного риска, согласно письменному обоснованию работника кредитной организации (головной кредитной организации банковской группы) с указанием долей их влияния в отношении события операционного риска, установленных в соответствии с внутренними документами кредитной организации (головной кредитной организации банковской группы);
• тип события операционного риска в соответствии с пунктом 3.6 настоящего Положения;
• вид операционного риска (в случае, если событие операционного риска отнесено к одному из видов операционного риска в соответствии с пунктом 1.4 настоящего Положения);
• связь с другими видами операционного риска (риском информационной безопасности, риском нарушения непрерывности деятельности и другими) и другими видами риска (кредитным, рыночным, риском ликвидности, стратегическим, риском потери деловой репутации и другими) при наличии такой связи. При этом кредитная организация (головная кредитная организация банковской группы) указывает, является ли другой вид риска источником или следствием события операционного риска; (Абзац в редакции, введенной в действие с 1 октября 2022 года указанием Банка России от 25 марта 2022 года N 6103-У. - См. предыдущую редакцию)
• идентификатор связанного события операционного риска в случае, если такая связь установлена. При этом кредитная организация (головная кредитная организация банковской группы) указывает, является ли событие операционного риска источником или следствием другого события операционного риска;
• дополнительную классификацию типа события операционного риска в зависимости от вида риска;
• направления деятельности первого уровня в соответствии с пунктом 3.9 настоящего Положения с указанием наиболее значимого из них; (Абзац в редакции, введенной в действие с 1 октября 2022 года указанием Банка России от 25 марта 2022 года N 6103-У. - См. предыдущую редакцию)
• процесс согласно перечню процессов, определенному во внутренних документах кредитной организации (головной кредитной организации банковской группы);
• этап процесса согласно определенным в кредитной организации (головной кредитной организации банковской группы) правилам описания процессов (при наличии);
• информационную систему (в случае, если информационная система задействована при выполнении этапа процесса);
• меры, направленные на уменьшение негативного влияния операционного риска, в случае если кредитная организация (головная кредитная организация банковской группы) в соответствии с внутренними документами разрабатывает их при реализации данного события операционного риска. (Абзац в редакции, введенной в действие с 1 октября 2022 года указанием Банка России от 25 марта 2022 года N 6103-У. - См. предыдущую редакцию)

• вид потери в соответствии с пунктом 3.11 настоящего Положения;
• признак связи потери с другим видом риска (при наличии такой связи), который не будет включаться кредитной организацией (головной кредитной организацией банковской группы) в состав валовых прямых потерь, определяемых в соответствии с пунктом 6.7 настоящего Положения; (Абзац в редакции, введенной в действие с 1 октября 2022 года указанием Банка России от 25 марта 2022 года N 6103-У. - См. предыдущую редакцию)
• величину потери от реализации события операционного риска (группы событий операционного риска) в рублях, определяемую в соответствии с внутренними документами кредитной организации (головной кредитной организации банковской группы) (например, в случае прямых потерь - сумма бухгалтерской записи по счетам бухгалтерского учета, в случае непрямых потерь - оценочное значение, при этом для событий операционного риска, связанных с кредитным риском, отсутствует необходимость ежедневного пересмотра суммы основного долга (или остатка основного долга) и процентов по нему в базе событий при условии отражения данных в базе событий на дату возникновения события операционного риска и на ежеквартальной основе); (Абзац в редакции, введенной в действие с 1 октября 2022 года указанием Банка России от 25 марта 2022 года N 6103-У. - См. предыдущую редакцию)
• дату учета потери, то есть в случае реализации прямой потери - дату отражения прямой потери от реализации события операционного риска на счетах бухгалтерского учета (например, для событий правового риска датой учета потерь являются дата создания (изменения) резерва в соответствии с абзацем пятым подпункта 3.12.6 пункта 3.12 настоящего Положения и даты отражения в бухгалтерском учете других связанных с этим обстоятельством расходов; для событий операционного риска, связанных с кредитным риском, датой учета потерь является дата создания (изменения) резерва в соответствии с абзацем четвертым подпункта 3.12.1 пункта 3.12 настоящего Положения), в случае реализации непрямой потери - дату регистрации события операционного риска; (Абзац в редакции, введенной в действие с 1 октября 2022 года указанием Банка России от 25 марта 2022 года N 6103-У. - См. предыдущую редакцию)
• информацию о бухгалтерской записи (бухгалтерских записях) в бухгалтерском учете содержащей суммы прямой потери; (Абзац в редакции, введенной в действие с 1 октября 2022 года указанием Банка России от 25 марта 2022 года N 6103-У. - См. предыдущую редакцию)
• экспертную оценку качественной потери, определяемой в соответствии с подпунктом 3.13.2 пункта 3.13 настоящего Положения, в случае регистрации наличия качественной потери для события операционного риска, в результате которого возникла данная потеря;
• обоснование величины потери (для косвенных потерь размером менее 100 тысяч рублей обоснование не заполняется) или причину, по которой потери не возникли. Формат обоснования величины потери кредитная организация (головная кредитная организация банковской группы) определяет во внутренних документах самостоятельно;
• агрегированную сумму валовых прямых потерь и сумму косвенных потерь в рублях накопленным итогом с даты регистрации первой потери; (Абзац в редакции, введенной в действие с 1 октября 2022 года указанием Банка России от 25 марта 2022 года N 6103-У. - См. предыдущую редакцию)
• агрегированную сумму валовых прямых потерь в рублях накопленным итогом с даты регистрации первой потери; (Абзац в редакции, введенной в действие с 1 октября 2022 года указанием Банка России от 25 марта 2022 года N 6103-У. - См. предыдущую редакцию)
• сумму косвенных потерь в рублях накопленным итогом с даты регистрации первой потери;     (Абзац в редакции, введенной в действие с 1 октября 2022 года указанием Банка России от 25 марта 2022 года N 6103-У. - См. предыдущую редакцию)
• сумму потерь, указанных в абзаце втором подпункта 3.13.3 пункта 3.13 настоящего Положения, в рублях.

• риск преднамеренных действий со стороны работников кредитной организации и (или) третьих лиц с использованием программных и (или) программно-аппаратных средств, направленных на объекты информационной инфраструктуры кредитной организации (головной кредитной организации банковской группы) в целях нарушения и (или) прекращения их функционирования и (или) создания угрозы безопасности информации, подготавливаемой, обрабатываемой и хранимой такими объектами, а также в целях несанкционированного присвоения, хищения, изменения, удаления данных и иной информации (структуры данных, параметров и характеристик систем, программного кода) и нарушения режима доступа (далее - киберриск);
• другие виды риска информационной безопасности, связанные с обработкой (хранением, уничтожением) информации без использования объектов информационной инфраструктуры. (Абзац в редакции, введенной в действие с 1 октября 2022 года указанием Банка России от 25 марта 2022 года N 6103-У. - См. предыдущую редакцию)

• политику информационной безопасности;
• выявление и идентификацию риска информационной безопасности, а также его оценку;
• участие совета директоров (наблюдательного совета) и коллегиального исполнительного органа кредитной организации (головной кредитной организации банковской группы) в решении вопросов управления риском информационной безопасности;
• распределение функций и ответственности коллегиального исполнительного органа и работников кредитной организации (головной кредитной организации банковской группы), в том числе исключающее конфликт интересов в рамках организационной структуры обеспечения информационной безопасности, а также предполагающее определение должностного лица (лица, его замещающего), ответственного за функционирование системы обеспечения информационной безопасности (с прямым подчинением лицу, осуществляющему функции единоличного исполнительного органа кредитной организации (головной кредитной организации банковской группы) и не участвующего в совершении операций, сделок, организации бухгалтерского и управленческого учета, обеспечении функционирования информационных систем; (Абзац в редакции, введенной в действие с 1 октября 2022 года указанием Банка России от 25 марта 2022 года N 6103-У. - См. предыдущую редакцию)
• выявление событий риска информационной безопасности, включая рассмотрение обращений клиентов, контрагентов, работников и третьих лиц, связанных с нарушением информационной безопасности, выявление и регистрацию инцидентов защиты информации, выявление фактов компрометации объектов информационной инфраструктуры; (Абзац в редакции, введенной в действие с 1 октября 2022 года указанием Банка России от 25 марта 2022 года N 6103-У. - См. предыдущую редакцию)
• обеспечение осведомленности кредитной организации (головной кредитной организации банковской группы) и участников технологических процессов об актуальных угрозах безопасности информации, обмен информацией о событиях риска информационной безопасности, в том числе об инцидентах защиты информации, и представление данных в Банк России в соответствии с требованиями пункта 8 Положения Банка России N 683-П; (Абзац в редакции, введенной в действие с 1 октября 2022 года указанием Банка России от 25 марта 2022 года N 6103-У. - См. предыдущую редакцию)
• организацию ресурсного (кадрового и финансового) обеспечения, включая установление требований к квалификации работников кредитной организации (головной кредитной организации банковской группы), в том числе должностного лица (лица, его замещающего), ответственного за функционирование системы обеспечения информационной безопасности; (Абзац в редакции, введенной в действие с 1 октября 2022 года указанием Банка России от 25 марта 2022 года N 6103-У. - См. предыдущую редакцию)
• повышение осведомленности, обучение и развитие навыков работников кредитной организации (головной кредитной организации банковской группы) в области противодействия угрозам безопасности информации; (Абзац в редакции, введенной в действие с 1 октября 2022 года указанием Банка России от 25 марта 2022 года N 6103-У. - См. предыдущую редакцию)
• установление и реализацию программ контроля, в том числе программ аудита, включая независимую оценку соответствия уровня защиты информации в отношении объектов информационной инфраструктуры кредитной организации (головной кредитной организации банковской группы) в соответствии с требованиями пункта 9 Положения Банка России N 683-П; (Абзац в редакции, введенной в действие с 1 октября 2022 года указанием Банка России от 25 марта 2022 года N 6103-У. - См. предыдущую редакцию)
• проведение мониторинга риска информационной безопасности; (Абзац в редакции, введенной в действие с 1 октября 2022 года указанием Банка России от 25 марта 2022 года N 6103-У. - См. предыдущую редакцию)
• соответствие фактических значений контрольных показателей уровня риска информационной безопасности принятым в кредитной организации (головной кредитной организации банковской группы) значениям; (Абзац в редакции, введенной в действие с 1 октября 2022 года указанием Банка России от 25 марта 2022 года N 6103-У. - См. предыдущую редакцию)
• планирование, разработку, реализацию, контроль и совершенствование комплекса мероприятий, направленных на повышение эффективности управления риском информационной безопасности и уменьшение негативного влияния риска информационной безопасности, в том числе в соответствии с реализуемыми уровнями защиты информации в отношении объектов информационной инфраструктуры кредитной организации (головной кредитной организации банковской группы) в соответствии с требованиями подпункта 3.1 пункта 3 Положения Банка России N 683-П;(Абзац в редакции, введенной в действие с 1 октября 2022 года указанием Банка России от 25 марта 2022 года N 6103-У. - См. предыдущую редакцию)
• обеспечение защиты от угроз безопасности информации, включая обеспечение защиты информации, управление риском информационной безопасности при передаче третьим лицам (внешним подрядчикам, контрагентам, участникам банковской группы) выполнения отдельных функций кредитной организации (головной кредитной организации банковской группы) и (или) использовании внешних информационных систем в рамках реализации направлений деятельности, в том числе в разрезе составляющих их процессов, кредитной организации (головной кредитной организации банковской группы), управление риском несанкционированного доступа внутреннего нарушителя, являющегося работником кредитной организации (головной кредитной организации банковской группы) или третьим лицом, обладающими полномочиями по доступу к объектам информационной инфраструктуры кредитной организации (далее - внутренний нарушитель), предотвращение не контролируемого кредитной организацией (головной кредитной организацией банковской группы) распространения сведений, составляющих банковскую тайну, а также обеспечение операционной надежности; (Абзац в редакции, введенной в действие с 1 октября 2022 года указанием Банка России от 25 марта 2022 года N 6103-У. - См. предыдущую редакцию)
• порядок реагирования на выявленные события риска информационной безопасности, в том числе инциденты защиты информации, и восстановления деятельности кредитной организации (головной кредитной организации банковской группы) в случае реализации таких событий, включая порядок взаимодействия кредитной организации (головной кредитной организации банковской группы) с клиентами и третьими лицами, в том числе в случае получения уведомлений, связанных с осуществлением перевода денежных средств без согласия клиентов; (Абзац в редакции, введенной в действие с 1 октября 2022 года указанием Банка России от 25 марта 2022 года N 6103-У. - См. предыдущую редакцию)
• выполнение требований к обеспечению защиты информации при осуществлении банковской деятельности, связанной с осуществлением перевода денежных средств, в соответствии с пунктом 5 Положения Банка России N 683-П; (Абзац в редакции, введенной в действие с 1 октября 2022 года указанием Банка России от 25 марта 2022 года N 6103-У. - См. предыдущую редакцию)
• процессы применения прикладного программного обеспечения автоматизированных систем и приложений, соответствующих требованиям пункта 4 Положения Банка России N 683-П; (Абзац в редакции, введенной в действие с 1 октября 2022 года указанием Банка России от 25 марта 2022 года N 6103-У. - См. предыдущую редакцию)
• ежегодное тестирование на проникновение и анализ уязвимостей информационной безопасности объектов информационной инфраструктуры в соответствии с подпунктом 3.2 пункта 3 Положения Банка России N 683-П. (Абзац в редакции, введенной в действие с 1 октября 2022 года указанием Банка России от 25 марта 2022 года N 6103-У. - См. предыдущую редакцию)

• функции и ответственность коллегиального исполнительного органа и работников кредитной организации (головной кредитной организации банковской группы) в рамках управления риском информационной безопасности;
• основные принципы функционирования системы обеспечения информационной безопасности и задачи управления риском информационной безопасности; (Абзац в редакции, введенной в действие с 1 октября 2022 года указанием Банка России от 25 марта 2022 года N 6103-У. - См. предыдущую редакцию)
• сигнальные и контрольные значения контрольных показателей уровня риска информационной безопасности;
• основные принципы организации контроля за функционированием системы обеспечения информационной безопасности;
• требования к созданию ресурсных (кадровых и финансовых) условий системы обеспечения информационной безопасности;
• требования к третьим лицам (внешним подрядчикам, контрагентам, участникам банковской группы), которым могут быть переданы функции кредитной организации (головной кредитной организации банковской группы) по обеспечению информационной безопасности, а также определение порядка взаимодействия и распределения ответственности между кредитной организацией (головной кредитной организацией банковской группы) и привлеченными ею третьими лицами. (Абзац в редакции, введенной в действие с 1 октября 2022 года указанием Банка России от 25 марта 2022 года N 6103-У. - См. предыдущую редакцию)

• разработка политики информационной безопасности;
• контроль осуществления работниками кредитной организации (головной кредитной организации банковской группы) мероприятий в области обеспечения информационной безопасности и защиты информации и выполнения других задач, возложенных на них внутренними документами кредитной организации (головной кредитной организации банковской группы);
• осуществление планирования и контроля процессов обеспечения информационной безопасности в рамках комплекса мероприятий, направленных на повышение эффективности управления риском информационной безопасности и уменьшение негативного влияния риска информационной безопасности;
• разработка предложений по совершенствованию процессов обеспечения информационной безопасности, в том числе в рамках комплекса мероприятий, направленных на повышение эффективности управления риском информационной безопасности и уменьшение негативного влияния риска информационной безопасности;
• составление отчетов по обеспечению информационной безопасности и направление их должностному лицу, ответственному за обеспечение информационной безопасности;
• осуществление других функций, связанных с обеспечением информационной безопасности, предусмотренных внутренними документами кредитной организации (головной кредитной организации банковской группы).

• соблюдение процедур управления операционным риском, установленных в подпунктах 2.1.1, 2.1.2 и 2.1.7 пункта 2.1 настоящего Положения, в части идентификации, сбора и регистрации информации о событиях риска информационной безопасности и потерях в базе событий, мониторинга риска информационной безопасности, в том числе на основе информации, предоставляемой центрами компетенций, ответственными за сбор информации о событиях операционного риска;
• ведение базы событий риска информационной безопасности;
• участие в реализации процессов в рамках комплекса мероприятий, направленных на повышение эффективности управления риском информационной безопасности и уменьшение негативного влияния риска информационной безопасности;
• абзац утратил силу с 1 октября 2022 года - указание Банка России от 25 марта 2022 года N 6103-У - см. предыдущую редакцию;
• составление отчетов по событиям риска информационной безопасности и направление их в службу управления рисками и должностному лицу, ответственному за обеспечение информационной безопасности; (Абзац в редакции, введенной в действие с 1 октября 2022 года указанием Банка России от 25 марта 2022 года N 6103-У. - См. предыдущую редакцию)
• осуществление мониторинга сигнальных и контрольных значений контрольных показателей уровня риска информационной безопасности, определенных в соответствии с подпунктом 1.2 пункта 1 приложения 1 к настоящему Положению;
• участие в разработке внутренних документов в области управления риском информационной безопасности;
• информирование работников кредитной организации (головной кредитной организации банковской группы) по вопросам, связанным с управлением риском информационной безопасности;
• осуществление других функций, связанных с управлением риском информационной безопасности, предусмотренных внутренними документами кредитной организации (головной кредитной организации банковской группы).

• функции и полномочия подразделения (подразделений), ответственного (ответственных) за обеспечение функционирования информационных систем и их компонентов (далее - подразделение (подразделения), ответственное (ответственные) за обеспечение функционирования информационных систем), по исполнению политики информационных систем и требований настоящей главы;
• должностное лицо (лицо, его замещающее), ответственное за обеспечение функционирования информационных систем кредитной организации (головной кредитной организации банковской группы) и координацию деятельности подразделения (подразделений), ответственного (ответственных) за обеспечение функционирования информационных систем (далее - должностное лицо, ответственное за информационные системы), не участвующее в совершении операций, сделок, организации бухгалтерского и управленческого учета, обеспечении функционирования системы обеспечения информационной безопасности, с прямым подчинением лицу, осуществляющему функции единоличного исполнительного органа кредитной организации (головной кредитной организации банковской группы); (Абзац в редакции, введенной в действие с 1 октября 2022 года указанием Банка России от 25 марта 2022 года N 6103-У. - См. предыдущую редакцию)
• абзац утратил силу с 1 октября 2022 года - указание Банка России от 25 марта 2022 года N 6103-У - см. предыдущую редакцию;
• требования к информационным системам, в том числе требования по обеспечению непрерывности и качества функционирования информационных систем;
• порядок информационного взаимодействия в рамках реализации политики информационных систем;
• порядок и периодичность формирования отчетов должностного лица, ответственного за информационные системы, и подразделения (подразделений), ответственного (ответственных) за обеспечение функционирования информационных систем, направляемых на рассмотрение коллегиальному исполнительному органу кредитной организации (головной кредитной организации банковской группы).

• информационных систем кредитной организации (головной кредитной организации банковской группы) с соотнесением их элементов с процессами в соответствии с подпунктом 4.1.1 пункта 4.1 настоящего Положения, выполнение которых они обеспечивают;
• структуры информационного обмена между элементами информационных систем, используемых при обеспечении процессов кредитной организации (головной кредитной организации банковской группы);
• информационных систем третьих лиц (внешних подрядчиков, контрагентов, участников банковской группы) и их элементов, обеспечивающих процессы кредитной организации (головной кредитной организации банковской группы), и структуры информационного обмена между их элементами и элементами других информационных систем кредитной организации (головной кредитной организации банковской группы). Кредитная организация (головная кредитная организация банковской группы) в случае отсутствия информации об информационных системах третьих лиц (внешних подрядчиков, контрагентов, участников банковской группы) документирует причины и учитывает отсутствие указанной информации при оценке уровня риска информационных систем, в том числе в соответствии с абзацами седьмым и восьмым подпункта 8.7.2 пункта 8.7 настоящего Положения;
• подразделений и работников подразделений кредитной организации (головной кредитной организации банковской группы) и (или) третьих лиц (внешних подрядчиков, контрагентов, участников банковской группы), являющихся пользователями и (или) обеспечивающих функционирование информационных систем. (Пункт в редакции, введенной в действие с 1 октября 2022 года указанием Банка России от 25 марта 2022 года N 6103-У. - См. предыдущую редакцию)

• классификатор возможных источников и причин образования в информационных системах данных, не соответствующих требованиям к качеству данных в информационных системах;
• показатели (индикаторы) качества данных для оценки характеристик качества данных, разрабатываемые кредитной организацией (головной кредитной организацией банковской группы) для различных информационных систем;
• методы и алгоритмы расчета, правила измерения показателей качества данных, в том числе с использованием контрольных выборок данных;
• критерии оценки качества данных.

• процедуры измерения показателей качества данных;
• процедуры обоснования, утверждения и корректировки предельно допустимых значений показателей качества данных, критериев оценки качества данных;
• процедуры реагирования на случаи нарушения установленных кредитной организацией (головной кредитной организацией банковской группы) предельно допустимых значений показателей качества данных, критериев оценки качества данных;
• процедуры, правила и периодичность контроля качества данных и формирования отчетов о качестве данных, о проведении мероприятий контроля качества данных;
• процедуры исправления выявленных ошибок в данных и документирования внесенных в них изменений;
• порядок взаимодействия органов управления, подразделений и должностных лиц кредитной организации (головной кредитной организации банковской группы) по вопросам обеспечения качества данных, устанавливающий их полномочия, ответственность, подотчетность и обеспеченность ресурсами, в том числе определяющий в кредитной организации (головной кредитной организации банковской группы) должностное лицо (должностные лица), несущее (несущие) персональную ответственность за обеспечение качества данных в информационных системах;
• порядок и периодичность (не реже одного раза в год) проведения независимой оценки качества данных.

• соблюдения политики информационных систем;
• мероприятий, направленных на повышение качества системы управления риском информационных систем и уменьшение негативного влияния риска информационных систем;
• требований к информационным системам в целях управления риском информационных систем;
• требований по обеспечению непрерывности и качества функционирования информационных систем.

• определение полномочий подразделения и его работников;
• целевые показатели и критерии эффективности работы подразделения с занесением их в положение о подразделении и должностные инструкции работников;
• контрольные процедуры и целевые показатели подразделения, в том числе порядок их актуализации.

Глава 9. Соблюдение требований настоящего Положения кредитными организациями (головной кредитной организацией банковской группы)

• требования глав 1, 3, 6 настоящего Положения и приложений 4 и 5 к настоящему Положению;
• требования абзацев первого и второго подпункта 2.1.1, абзацев первого, третьего - четырнадцатого подпункта 2.1.2 (при этом НКО с учетом порога регистрации фиксирует в базе событий события операционного риска с прямыми потерями, потерями, указанными в абзаце втором подпункта 3.13.3 пункта 3.13 настоящего Положения), подпункта 2.1.3, абзацев первого и второго подпункта 2.1.4, абзацев первого - двенадцатого подпункта 2.1.6 (НКО обеспечивает выбор и применение способа реагирования, в том числе принятие мер, направленных на уменьшение негативного влияния операционного риска, только в части реализовавшихся событий операционного риска с прямыми потерями) пункта 2.1, пунктов 2.2-2.5 главы 2 настоящего Положения;
• требования подпункта 4.1.4 пункта 4.1, пункта 4.4 главы 4 настоящего Положения;
• требования пунктов 7.1-7.7, абзацев первого - третьего, пятого - девятого пункта 7.8, подпункта 7.9.1, абзацев первого - четвертого, шестого, восьмого - десятого подпункта 7.9.2 пункта 7.9, пункты 7.10 и 7.11 главы 7 настоящего Положения. (Абзац в редакции, введенной в действие с 1 октября 2022 года указанием Банка России от 25 марта 2022 года N 6103-У. - См. предыдущую редакцию)

Глава 10. Заключительные положения

• общая сумма чистых прямых потерь, понесенных кредитной организацией от реализации событий операционного риска за вычетом чистых прямых потерь от реализации событий риска информационной безопасности за определенный период (первый квартал, полугодие, девять месяцев, год) с начала календарного года;
• отношение общей суммы валовых прямых потерь от реализации событий операционного риска за вычетом валовых прямых потерь от реализации событий риска информационной безопасности, понесенных кредитной организацией за годовой период, к базовому капиталу кредитной организации на последнюю отчетную дату года;
• отношение общей суммы чистых прямых потерь (включая чистые прямые потери от реализации событий риска информационной безопасности), понесенных кредитной организацией за год, к показателю объема операционного риска в виде показателя Д, рассчитанного в соответствии с пунктом 3 Положения Банка России N 652-П на последнюю отчетную дату для кредитных организаций, применяющих для расчета размера операционного риска Положение Банка России N 652-П, либо в виде показателя бизнес-индикатора, рассчитанного в соответствии с пунктом 2.2 Положения Банка России N 744-П на последнюю расчетную дату для кредитных организаций, применяющих для расчета размера операционного риска Положение Банка России N 744-П (далее - показатель объема операционного риска);
• отношение общей суммы валовых прямых потерь от реализации событий операционного риска за вычетом валовых прямых потерь от реализации событий риска информационной безопасности, понесенных кредитной организацией за год, к показателю объема операционного риска;
• отношение суммы чистых прямых потерь от реализации событий операционного риска, рассчитанных в соответствии с пунктом 6.18 настоящего Положения, понесенных кредитной организацией за год, за вычетом чистых прямых потерь от реализации событий риска информационной безопасности к показателю объема операционного риска;
• доля выявленных (по количеству) в ходе оценки эффективности функционирования системы управления операционным риском, проведенной уполномоченным подразделением, внешним экспертом или Банком России, событий операционного риска с валовыми прямыми потерями, превышающими порог регистрации, определяемый в соответствии с пунктом 6.5 настоящего Положения, которые кредитная организация не отразила в базе событий, по отношению ко всем зарегистрированным в базе событий событиям операционного риска с валовыми прямыми потерями, превышающими порог регистрации, за годовой период, к которому относится проверяемый период (контрольное значение должно быть не больше 5 процентов, сигнальное значение - не больше 3 процентов);
• отношение сумм валовых прямых потерь от реализации выявленных в ходе оценки эффективности функционирования системы управления операционным риском, проведенной уполномоченным подразделением, внешним экспертом или Банком России, событий операционного риска с прямыми потерями, превышающими порог регистрации, определяемый в соответствии с пунктом 6.5 настоящего Положения, которые кредитная организация не отразила в базе событий, к общей сумме валовых прямых потерь от реализации всех событий операционного риска, зарегистрированных в базе событий с прямыми потерями, превышающими порог регистрации, за годовой период, к которому относится проверяемый период (контрольное значение должно быть не больше 5 процентов, сигнальное значение - не больше 3 процентов);
• общая сумма валовых прямых и сумм величин косвенных потерь от реализации событий операционного риска, определяемых расчетным образом, за вычетом суммы валовых прямых и сумм величин косвенных потерь от реализации событий риска информационной безопасности, за определенный период (первый квартал, полугодие, девять месяцев, год) с начала календарного года;
• отношение суммы чистых прямых и сумм величин косвенных потерь от реализации событий операционного риска, определяемых расчетным образом, за вычетом суммы чистых прямых и сумм величин косвенных потерь от реализации событий риска информационной безопасности, к общему капиталу (собственным средствам) кредитной организации на последнюю отчетную дату года;
• другие количественные показатели, определяемые кредитной организацией в стратегии управления рисками и капиталом.

• оценка эффективности функционирования системы управления операционным риском, проведенная уполномоченным подразделением в соответствии с пунктом 4.4 настоящего Положения;
• другие качественные показатели, определяемые кредитной организацией в стратегии управления рисками и капиталом.

• общая сумма чистых прямых потерь от реализации событий риска информационной безопасности за отчетный период (первый квартал, полугодие, девять месяцев, год) нарастающим итогом с начала календарного года;
• общая сумма валовых прямых потерь от реализации событий риска информационной безопасности, связанных с переводами денежных средств и платежами в платежных системах, в соответствии с подпунктом 1.1 пункта 1 приложения 5 к настоящему Положению за отчетный период (первый квартал, полугодие, девять месяцев, год) нарастающим итогом с начала календарного года;
• отношение общей суммы чистых прямых потерь от реализации событий риска информационной безопасности, понесенных кредитной организацией за отчетный период (первый квартал, полугодие, девять месяцев, год), к базовому капиталу кредитной организации на последнюю отчетную дату года;
• отношение суммы валовых прямых потерь от реализации событий риска информационной безопасности, понесенных кредитной организацией при выполнении кредитной организацией функций участника платежной системы Банка России, за отчетный период (первый квартал, полугодие, девять месяцев, год) нарастающим итогом с начала календарного года к общей сумме осуществленных кредитной организацией операций по переводу денежных средств через платежную систему Банка России за этот же период (контрольное значение должно быть не более 0,05 процента, сигнальное значение - не более 0,005 процента);
• отношение суммы валовых прямых потерь от реализации событий риска информационной безопасности, связанных с переводами денежных средств и платежами в платежных системах, в соответствии с подпунктом 1.1 пункта 1 приложения 5 к настоящему Положению за отчетный период (первый квартал, полугодие, девять месяцев, год) нарастающим итогом с начала календарного года к общей сумме переводов денежных средств и платежей в платежных системах за этот же период (контрольное значение должно быть не более 0,05 процента, сигнальное значение - не более 0,005 процента);
• отношение суммы денежных средств, по которой получены уведомления, связанные с осуществлением перевода денежных средств без согласия клиента, за отчетный период (первый квартал, полугодие, девять месяцев, год) нарастающим итогом с начала календарного года к общей сумме переводов денежных средств за этот же период (контрольное значение должно быть не более 0,005 процента, сигнальное значение - не более 0,002 процента);
• доля реализованных (по количеству), то есть не предотвращенных системой информационной безопасности кредитной организации, событий риска информационной безопасности с ненулевой величиной валовых прямых потерь, которые кредитная организация не отразила в базе событий, по отношению ко всем событиям риска информационной безопасности, зарегистрированным в базе событий, с ненулевой величиной валовых прямых потерь в течение отчетного периода (первого квартала, полугодия, девяти месяцев, года), о которых кредитная организация проинформировала Банк России в соответствии с пунктом 8 Положения Банка России N 683-П;
• доля выявленных (по количеству) в ходе оценки эффективности функционирования системы управления операционным риском, проведенной уполномоченным подразделением, внешним экспертом или Банком России, событий риска информационной безопасности с ненулевой величиной валовых прямых потерь, о которых кредитная организация не проинформировала Банк России в соответствии с пунктом 8 Положения Банка России N 683-П, по отношению ко всем зарегистрированным событиям риска информационной безопасности с ненулевой величиной валовых прямых потерь, о которых кредитная организация проинформировала Банк России в соответствии с пунктом 8 Положения Банка России N 683-П, за годовой период, к которому относится проверяемый период;
• общая сумма валовых прямых и сумм величин косвенных потерь от реализации событий риска информационной безопасности за отчетный период (первый квартал, полугодие, девять месяцев, год) нарастающим итогом с начала календарного года к расчету объема капитала, выделяемого на покрытие потерь от реализации операционного риска (в случае, если кредитная организация применяет подход количественной оценки потерь от реализации операционного риска на основе статистики базы событий (с использованием статистики за период не менее пяти лет) с использованием продвинутого подхода;
• отношение суммы чистых прямых и сумм величин косвенных потерь от событий риска информационной безопасности к собственным средствам (капиталу) кредитной организации на последнюю отчетную дату года (в случае, если кредитная организация применяет продвинутый подход к расчету объема капитала, выделяемого на покрытие потерь от реализации операционного риска);
• отношение суммы валовых прямых и сумм величин косвенных потерь, понесенных кредитной организацией при выполнении кредитной организацией функций оператора платежной системы или оператора услуг платежной инфраструктуры, за отчетный период (первый квартал, полугодие, девять месяцев, год) нарастающим итогом с начала календарного года к общей сумме операций по переводу денежных средств через платежные системы, где кредитная организация выполняет функции оператора платежной системы, за этот же период (в случае, если кредитная организация применяет продвинутый подход к расчету объема капитала, выделяемого на покрытие потерь от реализации операционного риска);
• общая сумма валовых прямых и сумм величин косвенных потерь кредитной организации в результате использования электронных средств платежа клиентов кредитных организаций без их согласия за отчетный период (первый квартал, полугодие, девять месяцев, год) нарастающим итогом с начала календарного года (в случае, если кредитная организация применяет продвинутый подход к расчету объема капитала, выделяемого на покрытие потерь от реализации операционного риска);
• общая сумма валовых прямых и сумм величин косвенных потерь кредитной организации в результате переводов (снятия) денежных средств, связанных с несанкционированным доступом к объектам информационной инфраструктуры кредитной организации, за отчетный период (первый квартал, полугодие, девять месяцев, год) нарастающим итогом с начала календарного года (в случае, если кредитная организация применяет продвинутый подход к расчету объема капитала, выделяемого на покрытие потерь от реализации операционного риска);
• отношение количества операций по переводу денежных средств, соответствующих признакам осуществления перевода денежных средств без согласия клиента - физического лица, размещенным на официальном сайте Банка России в информационно-телекоммуникационной сети "Интернет" (далее соответственно - сеть "Интернет", операции, соответствующие признакам осуществления перевода денежных средств без согласия клиента - физического лица), в отношении которых кредитная организация в соответствии с частью 5 статьи 8 Федерального закона N 161-ФЗ (Собрание законодательства Российской Федерации, 2011, N 27, ст. 3872) не приняла к исполнению и (или) в соответствии с частью 5 1 статьи 8 Федерального закона N 161-ФЗ (Собрание законодательства Российской Федерации, 2011, N 27, ст. 3872; 2018, N 27, ст. 3950) приостановила исполнение распоряжений о совершении операций по переводу денежных средств, за отчетный период (первый квартал, полугодие, девять месяцев, год) нарастающим итогом с начала календарного года к общему количеству операций по переводу денежных средств за этот же период;

• отношение суммы денежных средств по операциям, соответствующим признакам осуществления перевода денежных средств без согласия клиента - физического лица, в отношении которых кредитная организация в соответствии с частью 5 статьи 8 Федерального закона N 161-ФЗ не приняла к исполнению и (или) в соответствии с частью 5 1 статьи 8 Федерального закона N 161-ФЗ приостановила исполнение распоряжений о совершении операций по переводу денежных средств, за отчетный период (первый квартал, полугодие, девять месяцев, год) нарастающим итогом с начала календарного года к общей сумме денежных средств по операциям по переводу денежных средств за этот же период;
• отношение количества операций, соответствующих признакам осуществления перевода денежных средств без согласия клиента - физического лица, в отношении которых кредитная организация в соответствии с частью 5 статьи 8 Федерального закона N 161-ФЗ не приняла к исполнению и (или) в соответствии с частью 5 1 статьи 8 Федерального закона N 161-ФЗ приостановила исполнение распоряжений о совершении операций по переводу денежных средств и по которым получены подтверждения клиентов - физических лиц о направлении распоряжения о совершении операции по переводу денежных средств с их согласия и (или) получены от клиентов - физических лиц подтверждения возобновления исполнения распоряжений в соответствии с частью 5 3 статьи 8 Федерального закона N 161-ФЗ (Собрание законодательства Российской Федерации, 2011, N 27, ст. 3872; 2018, N 27, ст. 3950), за отчетный период (первый квартал, полугодие, девять месяцев, год) нарастающим итогом с начала календарного года к количеству операций, соответствующих признакам осуществления перевода денежных средств без согласия клиента - физического лица, в отношении которых кредитная организация в соответствии с частью 5 статьи 8 Федерального закона N 161-ФЗ не приняла к исполнению и (или) в соответствии с частью 5 1 статьи 8 Федерального закона N 161-ФЗ приостановила исполнение распоряжений о совершении операций по переводу денежных средств, за этот же период;
• отношение суммы денежных средств по операциям, соответствующим признакам осуществления перевода денежных средств без согласия клиента - физического лица, в отношении которых кредитная организация в соответствии с частью 5 статьи 8 Федерального закона N 161-ФЗ не приняла к исполнению и (или) в соответствии с частью 5 1 статьи 8 Федерального закона N 161-ФЗ приостановила исполнение распоряжений о совершении операций по переводу денежных средств и по которым получены подтверждения клиентов - физических лиц о направлении распоряжения о совершении операции по переводу денежных средств с их согласия и (или) получены от клиентов - физических лиц подтверждения возобновления исполнения распоряжений в соответствии с частью 5 3 статьи 8 Федерального закона N 161-ФЗ, за отчетный период (первый квартал, полугодие, девять месяцев, год) нарастающим итогом с начала календарного года к сумме денежных средств по операциям, соответствующим признакам осуществления перевода денежных средств без согласия клиента - физического лица, в отношении которых кредитная организация в соответствии с частью 5 статьи 8 Федерального закона N 161-ФЗ не приняла к исполнению и (или) в соответствии с частью 5 1 статьи 8 Федерального закона N 161-ФЗ приостановила исполнение распоряжений о совершении операций по переводу денежных средств, за этот же период;
• отношение количества операций по переводу денежных средств, в отношении которых кредитная организация не приостановила исполнение распоряжений о совершении операций по переводу денежных средств в соответствии с частью 5 1 статьи 8 Федерального закона N 161-ФЗ и по которым получены уведомления от клиентов - физических лиц об использовании электронного средства платежа без их согласия, в том числе в соответствии с частью 11 статьи 9 Федерального закона N 161-ФЗ (Собрание законодательства Российской Федерации, 2011, N 27, ст. 3872), за отчетный период (первый квартал, полугодие, девять месяцев, год) нарастающим итогом с начала календарного года к количеству операций по переводу денежных средств без согласия клиента - физического лица за этот же период;
• отношение суммы денежных средств по операциям по переводу денежных средств, в отношении которых кредитная организация не приостановила исполнение распоряжений о совершении операций по переводу денежных средств в соответствии с частью 5 1 статьи 8 Федерального закона N 161-ФЗ и по которым получены уведомления от клиентов - физических лиц об использовании электронного средства платежа без их согласия, в том числе в соответствии с частью 11 статьи 9 Федерального закона N 161-ФЗ, за отчетный период (первый квартал, полугодие, девять месяцев, год) нарастающим итогом с начала календарного года к сумме денежных средств по операциям по переводу денежных средств без согласия клиента - физического лица за этот же период;
• отношение суммы денежных средств, возмещенной (возвращенной) клиентам, по которой получены уведомления от клиентов об использовании электронного средства платежа без их согласия, в том числе в соответствии с частью 11 статьи 9 Федерального закона N 161-ФЗ, за отчетный период (первый квартал, полугодие, девять месяцев, год) нарастающим итогом с начала календарного года к сумме денежных средств, в отношении которой получены такие уведомления, за этот же период;
• оценка соответствия уровню защиты информации в отношении процесса 1 "Обеспечение защиты информации при управлении доступом", определенного пунктом 7.2 национального стандарта Российской Федерации ГОСТ Р 57580.1-2017 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер", утвержденного приказом Федерального агентства по техническому регулированию и метрологии от 8 августа 2017 года N 822-ст (М., ФГУП "Стандартинформ", 2017) (далее - ГОСТ Р 57580.1-2017), согласно методике оценки соответствия защиты информации, определенной национальным стандартом Российской Федерации ГОСТ Р 57580.2-2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия", утвержденным приказом Федерального агентства по техническому регулированию и метрологии от 28 марта 2018 года N 156-ст (М., ФГУП "Стандартинформ", 2018) (далее - ГОСТ Р 57580.2-2018) (контрольное значение должно быть не менее 0,85, сигнальное значение - не менее 0,9);
• оценка соответствия уровню защиты информации в отношении процесса 5 "Предотвращение утечек информации", определенного пунктом 7.6 ГОСТ Р 57580.1-2017, согласно методике оценки соответствия защиты информации, определенной ГОСТ Р 57580.2-2018 (контрольное значение должно быть не менее 0,85, сигнальное значение - не менее 0,9);
• оценка выполнения установленных Положением Банка России N 683-П, Положением Банка России N 719-П, Положением Банка России от 23 декабря 2020 года N 747-П "О требованиях к защите информации в платежной системе Банка России", зарегистрированным Министерством юстиции Российской Федерации 3 февраля 2021 года N 62365, требований к обеспечению защиты информации, применяемых в отношении объектов информационной инфраструктуры, проводимая согласно методике оценки соответствия защиты информации, определенной ГОСТ Р 57580.2-2018.

Приложение 3. Рекомендуемый перечень возможных мер, направленных на уменьшение негативного влияния операционного риска

• получение оператором по переводу денежных средств, обслуживающим плательщика, включая оператора электронных денежных средств, уведомлений в предусмотренной договором форме от клиентов - физических, юридических лиц, индивидуальных предпринимателей или лиц, занимающихся частной практикой, о случаях переводов денежных средств без согласия клиента, в том числе об использовании электронных средств платежа без согласия клиента;
• получение расчетным центром платежной системы уведомлений от участников платежной системы о списании денежных средств с их корреспондентских счетов без их согласия и (или) с использованием искаженной информации, содержащейся в распоряжениях платежных клиринговых центров или участников платежной системы;
• выявление оператором по переводу денежных средств, обслуживающим плательщика, включая оператора электронных денежных средств, операций, соответствующих признакам осуществления перевода денежных средств без согласия клиента, установленным Банком России и размещаемым на официальном сайте Банка России в сети "Интернет";
• выявление оператором по переводу денежных средств, обслуживающим плательщика, включая оператора электронных денежных средств, операций по переводу денежных средств и операций по выдаче наличных денежных средств, совершенных в результате несанкционированного доступа к объектам информационной инфраструктуры оператора по переводу денежных средств, в том числе при уменьшении остатка электронных денежных средств, за исключением виртуальных платежных карт;
• осуществление несанкционированного снятия в банкоматах денежных средств оператора по переводу денежных средств;
• осуществление несанкционированного снятия в банкоматах денежных средств оператора электронных денежных средств;
• выявление оператором по переводу денежных средств, включая оператора электронных денежных средств, и (или) оператором услуг платежной инфраструктуры компьютерных атак, последствия от реализации которых могут привести к случаям осуществления переводов денежных средств без согласия клиента;
• другие события нарушения защиты информации, связанные с несоблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств.

• неоказание услуг оператора по переводу денежных средств, включая оператора по переводу электронных денежных средств, на период более двух часов в целом по всем субъектам Российской Федерации, в которых оператор по переводу денежных средств (оператор по переводу электронных денежных средств) осуществляет перевод денежных средств с использованием платежных карт, их реквизитов и (или) систем (средств) дистанционного банковского обслуживания;
• неоказание услуг оператора по переводу денежных средств, включая оператора по переводу электронных денежных средств, на период более двух часов в целом по отдельным субъектам Российской Федерации, в которых оператор по переводу денежных средств (оператор по переводу электронных денежных средств) осуществляет перевод денежных средств с использованием платежных карт, их реквизитов и (или) систем (средств) дистанционного банковского обслуживания;
• неоказание расчетным центром расчетных услуг на период более одного операционного дня;
• невыполнение расчетным центром расчетов в течение операционного дня по принятым к исполнению распоряжениям платежного клирингового центра или участников платежной системы;
• прерывание платежным клиринговым центром предоставления услуг платежного клиринга на период более одного операционного дня;
• невыполнение платежным клиринговым центром в течение операционного дня платежного клиринга по принятым к исполнению распоряжениям участников платежной системы;
• прерывание операционным центром предоставления операционных услуг на период более двух часов;
• другие события риска информационной безопасности, связанные с неоказанием или несвоевременным оказанием услуг по переводу денежных средств.

• неоказание услуг кредитной организацией на период более двух часов в целом по всем субъектам Российской Федерации, в которых кредитная организация предоставляет услуги;
• неоказание услуг кредитной организацией на период более двух часов в целом по отдельным субъектам Российской Федерации, в которых кредитная организация предоставляет услуги;
• другие события нарушения защиты информации, последствия или выявление которых могут привести к инциденту, связанному с неоказанием или несвоевременным оказанием услуг.

• получение уведомлений от клиентов - физических лиц, включая индивидуальных предпринимателей и (или) физических лиц, занимающихся в установленном законодательством Российской Федерации порядке частной практикой, и (или) юридических лиц о проведении банковской операции без их согласия;
• выполнение банковских операций в результате несанкционированного доступа к объектам информационной инфраструктуры, данным и (или) информационным системам кредитной организации;
• выявление кредитной организацией компьютерных атак, последствия от реализации которых могут привести к случаям и попыткам осуществления финансовой (банковской) операции без согласия клиента;
• выявление фактов эксплуатации уязвимостей информационных систем, обусловленных ошибками и недостатками процессов обеспечения защиты информации кредитной организации;
• другие события риска информационной безопасности, связанные с нарушением требований к обеспечению защиты информации при осуществлении банковской деятельности, не связанные с переводами денежных средств.

• недостатки процессов применения кредитной организацией технологий обработки информации при осуществлении банковской деятельности, связанной с осуществлением перевода денежных средств, применяемых в отношении технологии обработки защищаемой информации, в соответствии с требованиями пункта 5 Положения Банка России N 683-П;
• недостатки процессов применения кредитной организацией прикладного программного обеспечения автоматизированных систем и приложений, соответствующих требованиям к обеспечению защиты информации, приведенным в пункте 4 Положения Банка России N 683-П;
• недостатки процессов проведения мероприятий, направленных на повышение качества системы управления риском информационной безопасности и уменьшение негативного влияния риска информационной безопасности, в том числе процессов, реализующих уровни защиты информации в отношении объектов информационной инфраструктуры кредитной организации (головной кредитной организации банковской группы), установленные в соответствии с требованиями подпункта 3.1 пункта 3 Положения Банка России N 683-П;
• недостатки других внутренних процессов, обеспечивающих функционирование системы обеспечения информационной безопасности кредитной организации.

• блокирования штатного режима функционирования банковских или технологических процессов кредитной организации;
• хищения, искажения, удаления информации конфиденциального характера (включая персональные данные), информации ограниченного доступа и других типов информации кредитной организации, не подлежащей разглашению или опубликованию.

• компьютерные атаки, направленные на объекты информационной инфраструктуры кредитной организации;
• компьютерные атаки, направленные на клиента кредитной организации;

• компьютерные атаки, связанные с изменением маршрутно-адресной информации;
• компьютерные атаки, связанные с использованием вредоносного программного обеспечения применительно к объектам информационной инфраструктуры кредитных организаций и их клиентов;
• компьютерные атаки, возникшие в результате побуждения клиентов к осуществлению операций по переводу денежных средств путем обмана или злоупотребления доверием;
• компьютерные атаки типа "отказ в обслуживании" применительно к объектам информационной инфраструктуры кредитной организации;
• компьютерные атаки, связанные с реализацией несанкционированного доступа к банкоматам и платежным терминалам кредитных организаций;
• компьютерные атаки, связанные с эксплуатацией уязвимостей объектов информационной инфраструктуры кредитных организаций и их клиентов;
• компьютерные атаки, связанные со взломом, с компрометацией аутентификационных (учетных) данных;
• компьютерные атаки, связанные с реализацией спам-рассылки, осуществляемой в отношении кредитных организаций и их клиентов;
• компьютерные атаки, связанные с взаимодействием объектов информационной инфраструктуры кредитных организаций с центрами управления вредоносным программным обеспечением;
• компьютерные атаки, связанные с изменением (подменой) идентификатора мобильного абонента, номера идентификационного модуля абонента, а также с заменой идентификатора мобильного оборудования;
• компьютерные атаки, связанные с информацией, вводящей работников кредитных организаций и их клиентов, а также третьих лиц, взаимодействующих с ними, в заблуждение относительно принадлежности информации, распространяемой посредством сети "Интернет", вследствие сходства доменных имен, оформления или содержания с оригиналом;
• компьютерные атаки, связанные с распространением информации, касающейся предложения и (или) предоставления на территории Российской Федерации финансовых услуг лицами, не имеющими права их оказывать в соответствии с законодательством Российской Федерации (размещение в сети "Интернет" запрещенного контента);
• компьютерные атаки, связанные с размещением в сети "Интернет" информации, позволяющей осуществить неправомерный доступ к информационным системам кредитных организаций и их клиентов, используемым для выполнения банковских и (или) технологических процессов при оказании (получении) банковских услуг, в том числе путем неправомерного доступа к конфиденциальной информации клиентов (размещение в сети "Интернет" вредоносного ресурса);
• компьютерные атаки, связанные с изменением контента;
• компьютерные атаки, связанные со сканированием программных портов объектов информационной инфраструктуры кредитных организаций лицами, не обладающими соответствующими полномочиями;
• другие компьютерные атаки, направленные на объекты информационной инфраструктуры кредитных организаций и их клиентов;

• аппаратное обеспечение;
• сетевое оборудование;
• сетевые приложения и сервисы;
• серверные компоненты виртуализации, программные инфраструктурные сервисы;
• операционные системы, системы управления базами данных, сервера приложений;

• система дистанционного банковского обслуживания;
• система обработки транзакций, осуществляемых с использованием платежных карт;
• информационный ресурс сети "Интернет";
• автоматизированная банковская система;
• система посттранзакционного обслуживания операций, осуществляемых с использованием платежных карт;
• автоматизированная система, используемая персоналом кредитной организации;

• файловый сервер;
• система дистанционного банковского обслуживания;
• сервер электронной почты;
• автоматизированная система, используемая клиентом.

• использовании технологии дистанционного обслуживания, при которой обмен информацией между кредитной организацией и ее клиентом осуществляется с применением коротких текстовых сообщений с определенного в договоре банковского счета номера телефона;
• использовании технологии дистанционного обслуживания, при которой обмен информацией между кредитной организацией и ее клиентом осуществляется с применением программного обеспечения, разрабатываемого для использования в операционных системах мобильных устройств;
• использовании технологии дистанционного обслуживания, при которой обмен информацией между кредитной организацией и ее клиентом осуществляется с применением интернет-браузера без установки дополнительного программного обеспечения;
• использовании технологии дистанционного обслуживания, при которой обмен информацией между кредитной организацией и ее клиентом осуществляется с персонального компьютера с применением дополнительного программного обеспечения, предоставляемого кредитной организацией;
• использовании банкомата;
• использовании банкомата с возможностью приема наличных денежных средств;
• использовании автоматического устройства, конструкция которого предусматривает прием банкнот Банка России от клиентов и выдачу принятых банкнот Банка России клиентам без их обработки в кредитной организации, соответствующего требованиям, установленным Положением Банка России от 29 января 2018 года N 630-П "О порядке ведения кассовых операций и правилах хранения, перевозки и инкассации банкнот и монеты Банка России в кредитных организациях на территории Российской Федерации", зарегистрированным Министерством юстиции Российской Федерации 18 июня 2018 года N 51359;
• использовании электронного программно-технического устройства для приема к оплате платежных карт;
• использовании платежного терминала;
• осуществлении переводов с использованием платежных карт без непосредственного использования платежных карт;
• другом способе формирования и передачи распоряжений на осуществление транзакций, позволяющем совершить банковскую операцию.