Вопрос

1. Как следует применять дополнительный классификатор риска информационной безопасности, указанный в приложении 5 к Положению Банка России от 04.08.2020 N 716-П "О требованиях к системе управления операционным риском в кредитной организации и банковской группе" (далее - Положение N 716-П):

- вместо классификатора операционного риска, указанного в главе 3 Положения N 716-П;

- в дополнение к классификатору операционного риска, указанному в главе 3 Положения N 716-П?

2. Правильно ли понимание, что в соответствии с пунктом 2.6 приложения 5 к Положению N 716-П событие риска информационной безопасности должно классифицироваться по каждому их трех дополнительных источников риска информационной безопасности (источники риска реализации угроз безопасности), а не под одному из них:

- по направлению компьютерной атаки;

- по типу атакуемого объекта;

- по типу компьютерной атаки?

3. Каким образом необходимо осуществлять классификацию риска информационной безопасности согласно пункту 3 приложения 5 к Положению N 716-П:

- в соответствии с одним из пунктов 3.1 или 3.2 приложения 5 к Положению N 716-П;

- в соответствии с пунктом 3.1 приложения 5 к Положению N 716-П, а затем в соответствии с пунктом 3.2 приложения 5 к Положению N 716-П?

Ответ

1. Подход, изложенный в варианте втором данного вопроса, считаем верным.

2. Кредитная организация классифицирует события риска информационной безопасности по каждому из классификаторов, указанных в пункте 2.6 приложения 5 к Положению N 716-П.

3. Кредитная организация осуществляет детализацию классификации событий риска информационной безопасности как по способам формирования и передачи распоряжений на осуществление транзакций в соответствии с пунктом 3.1 приложения 5 к Положению N 716-П, так и по технологическим участкам в соответствии с пунктом 3.2 приложения 5 к Положению N 716-П.