№ 716-П от 08.04.2020 Положение Банка России «О требованиях к системе управления операционным риском в кредитной организации и банковской группе»

Об управлении риском информационной безопасности (часть 4)

Вопрос

1. Каков порядок определения кредитной организацией (головной кредитной организацией банковской группы) (далее – кредитная организация) требований к качеству данных?

2. Следует ли относить к событиям риска информационной безопасности следующие виды инцидентов информационной безопасности, в результате которых отсутствуют прямые и (или) непрямые потери:

вредоносная активность, в том числе вирусы-шифровальщики;

отказ в обслуживании (DDoS атака или DoS атака) в результате которых сервисы или инфраструктура кредитной организации не доступна;

отказ в обслуживании (DDoS атака или DoS атака) в результате которых сервисы или инфраструктура кредитной организации не доступна;

несанкционированная (намеренная или случайная) пересылка конфиденциальной информации, для которой установлен запрет во внутренних документах на несанкционированную передачу, в сеть Интернет;

несанкционированная установка программного обеспечения на оборудования (АРМ и\или серверы кредитной организации);

несанкционированное предоставление прав доступа, в том числе привилегированных, работникам кредитной организации или работникам сторонних компаний, осуществляющих функции по договору с кредитной организацией;

нарушение требований в области ИБ, установленных во внутренних документах кредитной организации (например, открытые подозрительных писем, переход на фишинговые ссылки, несанкционированное подключение устройств (например, беспроводный модем, модуль Wi-Fi и др.) к оборудованию кредитной организации и др.);

по результатам инструментального сканирования выявлены критические уязвимости в инфраструктуре кредитной организации.

Ответ

По вопросу 1.

В целях управления риском информационных систем кредитной организации следует разработать во внутренних документах и соблюдать все требования к обеспечению качества данных в информационных системах, указанные в абзацах втором – восьмом подпункта 8.7.4 пункта 8.7 Положения Банка России от 08.04.2020 № 716-П «О требованиях к системе управления операционным риском в кредитной организации и банковской группе» (далее – Положение № 716-П), независимо от степени их влияния на бесперебойность работы информационных систем, в том числе не допускается ограничивать состав данных, к которым предъявляются требования к качеству данных и их характеристик. При этом в соответствии с абзацем девятым подпункта 8.7.4 пункта 8.7 Положения № 716-П кредитная организация вправе, с учетом характера и масштаба деятельности, определять во внутренних документах дополнительные характеристики качества данных в информационных системах. Обращаем внимание, что в соответствии с подпунктами 8.7.5 и 8.7.6 пункта 8.7 Положения № 716-П кредитной организации следует определить во внутренних документах методику и порядок обеспечения качества данных в информационных системах, обеспечивающих критически важные процессы, определяемые кредитной организацией в соответствии с подпунктом 4.1.1 пункта 4.1 Положения № 716 П.

По вопросу 2.

В соответствии с абзацем первым пункта 7.3 Положения № 716-П примеры событий, приведенные в обращениях, являются инцидентами защиты информации. Такие инциденты фиксируются кредитной организацией (головной кредитной организацией банковской группы) в соответствии с порядком, установленным во внутренних документах, например, в специализированной базе инцидентов защиты информации, которую ведет Служба информационной безопасности кредитной организации (головной кредитной организацией банковской группы) для целей соблюдения нормативных актов Банка России в области обеспечения защиты информации.

В соответствии с абзацем первым пункта 7.3 Положения № 716-П инциденты защиты информации являются событиями риска информационной безопасности и регистрируются кредитной организацией (головной кредитной организацией банковской группы) в базе событий риска информационной безопасности в случае, если в результате их реализации у нее возникают прямые и (или) непрямые потери, определяемые в соответствии с пунктом 3.11 Положения № 716-П и пунктом 4 приложения 5 к Положению № 716-П. При этом кредитная организация вправе самостоятельно определить во внутренних документах порядок ведения базы событий риска информационной безопасности (как в общей базе событий операционного риска, так и в отдельной базе событий риска информационной безопасности). В случае если кредитная организация (головная кредитная организация банковской группы) ведет базу событий риска информационной безопасности отдельно, кредитная организация (головная кредитная организация банковской группы) соответствии с пунктом 6.9 Положения № 716-П ежемесячно на отчетную дату включает события риска информационной безопасности с прямыми потерями, в состав общей базы событий операционного риска с учетом исключения пропусков и дублирования потерь, связанных с раздельным ведением баз событий.

В отношении вышеуказанных примеров инцидентов защиты информации сообщаем, что недоступность сервисов или инфраструктуры кредитной организации (головной кредитной организации банковской группы) в результате отказа в обслуживании (DDoS атаки или DoS атаки) влечет возникновение непрямых, а именно потенциальных потерь кредитной организации (головной кредитной организации банковской группы), определяемых в соответствии с подпунктом 3.13.3 пункта 3.13 Положения № 716-П. Таким образом, данное событие является событием риска информационной безопасности и должно регистрироваться в базе событий риска информационной безопасности кредитной организации (головной кредитной организации банковской группы).