Разъяснения Банка России от 11 ноября 2020 г. № 716-Р-2020/11 "О видах риска информационной безопасности"

Вопрос

1. Являются ли случаи хищения денежных средств у клиентов кредитной организации (головной кредитной организации банковской группы) (далее - кредитная организация) без использования программных и(или) программно-аппаратных средств, направленных на объекты информационной инфраструктуры кредитной организации (например, социальная инженерия, фишинг, хищения, связанные с заменой SIM-карт, хищения в случае несанкционированного физического доступа третьих лиц к банковской карте или мобильному устройству клиента) риском информационной безопасности, а также к какой категории источников риска они относятся в соответствии с пунктом 2 приложения 5 к Положению Банка России от 8 апреля 2020 года N 716-П "О требованиях к системе управления операционным риском в кредитной организации и банковской группе" (далее - Положение Банка России N 716-П)?

Кроме того, какие риски следует относить к другим видам риска, указанным в абзаце втором пункта 7.2 Положения Банка России N 716-П?

2. Соответствует ли определение "компьютерная атака", используемое в Положении Банка России N 716-П, определению термина "компьютерная атака", используемому в следующий стандартах: Р 50.1.053-2005, Р 51275-2006, Р 50.1.056-2005?

3. Согласно пункту 4.1 приложения 5 к Положению Банка России N 716-П к прямым потерям от реализации событий риска информационной безопасности, в том числе киберриска, относятся выплаты компенсаций клиентам и контрагентам в результате осуществления переводов денежных средств без согласия клиента. Просим пояснить, относятся ли данные компенсации клиентам и контрагентам, выполняемые кредитной организацией на добровольной основе, к прямым потерям от реализации событий риска информационной безопасности, в том числе киберриска?

4. Какие события риска информационной безопасности, в том числе киберриска, могут привести к качественным потерям, указанным в пункте 4.3 приложения 5 к Положению Банка России N 716-П, в частности к "возникновению уязвимостей в объектах информационной инфраструктуры, программном обеспечении и приложениях, банковских процессах", а также какие потери могут быть отнесены к виду "другие потери качества объектов информационной инфраструктуры кредитной организации"?

5. Каким образом следует учитывать в соответствии с требованиями Положения Банка России N 716-П риск информационной безопасности, который не был реализован, но в то же время может являться источником потерь в будущем?

Ответ

По вопросу 1.

Перечисленные случаи хищения денежных средств у клиентов кредитной организации относятся к "другим видам риска информационной безопасности, связанным с обработкой (хранением, уничтожением) информации без использования объектов информационной инфраструктуры", указанному в абзаце третьем пункта 7.2 Положения Банка России N 716-П, то есть не являются событиями киберриска, определенными в абзаце втором пункта 7.2 Положения Банка России N 716-П, так как они совершаются без преднамеренных действий в целях нарушения или прекращения функционирования объектов информационной инфраструктуры кредитной организации, а только лишь используют работающую инфраструктуру кредитной организации для целей хищения путем применения незаконно полученных кодов авторизации операций, доступа или иных критериев идентификации вне информационной инфраструктуры кредитной организации. Кредитная организация вправе самостоятельно разработать в соответствии с пунктом 3.4 Положения Банка России N 716-П дополнительную классификацию видов (способов) несанкционированного получения клиентских кодов авторизации или идентификации в рамках дополнительной классификации источников событий риска информационной безопасности по источнику "внешние причины" в соответствии с пунктом 2.4 приложения 5 к Положения Банка России N 716-П, а также самостоятельно разработать в соответствии с пунктом 3.8 Положения Банка России N 716-П для разновидностей этих случаев последующие уровни классификации в рамках типа события "преднамеренные действия третьих лиц", указанного в подпункте 3.6.2 пункта 3.6 Положения Банка России N 716-П.

По вопросу 2.

Термин "компьютерная атака" применяется в Положении Банка России N 716-П в значении, определенном в перечисленных в вопросе ГОСТах.

По вопросу 3.

В соответствии с подпунктом 3.12.3 пункта 3.12 Положения Банка России N 716-П компенсации потерь клиентов из-за действий третьих лиц, выплаченные кредитной организацией во внесудебном порядке, являются прямыми потерями от реализации операционного риска и должны регистрироваться в базе событий безотносительно того, принудительно или по собственной инициативе ("доброй воле") кредитная организация осуществила данную компенсацию, с признанием или не признанием своей "вины".

Кредитная организация вправе самостоятельно разработать в соответствии с пунктом 3.14 Положения Банка России N 716-П последующие уровни классификации потерь, указанных в подпункте 3.12.3 пункта 3.12 Положения Банка России N 716-П, например, по видам компенсаций, выплаченных в добровольном порядке или по иным основаниям, с признанием или не признанием своей "вины" кредитной организацией для цели осуществления последующего анализа и контроля за уровнем и суммарной величиной таких выплат, например, путем установления для них соответствующих значений ключевых индикаторов риска в соответствии с абзацами десятым - двадцать первым подпункта 2.1.7 пункта 2.1 Положения Банка России N 716?П.

По вопросу 4.

Примером события риска информационной безопасности, приводящего к качественным потерям, является DDOS-атака, которая может остановить выполнение бизнес-процесса кредитной организации или нарушить его функционирование, нарушить целостность информации, хранящейся в информационных базах.

Обращаем внимание, что категория "другие потери качества объектов информационный инфраструктуры кредитной организации" создана для того, чтобы кредитные организации могли относить к данной категории другие потери, не перечисленные в приложении 5 к Положению Банка России N 716-П.

По вопросу 5.

В целях регулирования работы кредитной организации с операционными рисками, которые не реализовались в настоящий момент, но могут реализоваться в будущем, Положением Банка России N 716-П предусмотрены процедуры управления операционным риском, определяемые в соответствии с подпунктом 2.1.1 пункта 2.1 Положения банка России N 716-П (идентификация операционного риска), подпунктом 2.1.4 пункта 2.1 Положения банка России N 716-П (например, оценка ожидаемых потерь от операционного риска), подпункта 2.1.5 пункта 2.1 Положения банка России N 716-П (качественная оценка операционного риска, которая предусматривает проведение самооценки операционного риска, где есть возможность анализировать вероятность и влияние не реализовавшихся рисков, но которые могут реализоваться). Также подпункт 2.1.5 пункта 2.1 Положения банка России N 716-П предусматривает проведение сценарного анализа операционного риска в отношении операционных рисков, а также их источников, которые не реализовались в кредитной организации, но у которых есть вероятность реализации с высоким уровнем потерь или других последствий.

Все вышеперечисленные процедуры применимы к управлению риском информационной безопасности как части операционного риска.

Обращаем внимание, что организатором и ответственным за методологию данных процедур является подразделение, ответственное за организацию управления операционным риском.