|
Тип операционного риска
|
Возможная характеристика СВР
|
Возможный источник получения оценки СВР
|
Возможная характеристика СТП
|
Принятие решения о возможности аутсорсинга
|
|
Связанный с несоблюдением требований законодательства РФ (правовой)
|
Оценка соблюдения требований законодательства РФ в области:
- обеспечения защиты информации, обработки ПДн и информации, содержащей банковскую тайну;
- обеспечения непрерывности предоставления финансовых услуг;
- обеспечения возможности организации БС РФ предоставить необходимую и достоверную информацию в рамках выполнения Банком России и уполномоченными органами исполнительной власти их надзорных (контрольных) функций в области защиты информации
|
Собственная оценка организации БС РФ, выполненная ее работниками;
оценка, выполняемая консалтинговой организацией (независимой от поставщика услуг)
|
Наличие риска несоблюдения законодательства РФ
|
Однозначная невозможность передачи выполнения существенных функций на аутсорсинг;
аутсорсинг существенных функций невозможен
|
|
Связанный с потерей (невозможностью) контроля обеспечения ИБ поставщиком услуг
|
Оценка достижения целей обеспечения ИБ организации БС РФ;
оценка потенциала организации БС РФ обеспечить контроль риска нарушения ИБ при аутсорсинге существенных функций
|
Собственная оценка организации БС РФ, выполненная ее работниками;
оценка, выполняемая аудиторской или консалтинговой организацией (независимой от поставщика услуг)
|
Общая сумма операций по переводу денежных средств, включая электронные денежные средства, осуществляемых через организацию БС РФ с использованием электронных технологий;
среднеквартальный остаток денежных средств, находящихся на корреспондентских счетах организации БС РФ, открытых в расчетных центрах платежных систем, в том числе в платежной системе Банка России;
операционные расходы (убытки) организации БС РФ, связанные с нарушением непрерывности предоставления финансовых услуг в результате НСД к ее информационной инфраструктуре или информационной инфраструктуре поставщика услуг
|
Принимается самостоятельно организацией БС РФ на основании анализа показателей экономической целесообразности и уровня оцененного риска
|
|
Связанный с возможностью прерывания деятельности в результате реализации угроз ИБ
|
Оценка уровня соблюдения требования к непрерывности предоставления финансовых услуг;
оценка уровня защиты информации в соответствии с требованием законодательства РФ
|
Оценка выполняется на основе результатов прохождения поставщиком услуг внешнего независимого аудита
|
Операционные расходы (убытки) организации БС РФ, связанные с нарушением непрерывности предоставления финансовых услуг в результате НСД к ее информационной инфраструктуре или информационной инфраструктуре поставщика услуг
|
Принимается самостоятельно организацией БС РФ на основании анализа показателей экономической целесообразности и уровня оцененного риска
|
|
Связанный с реализацией инцидентов ИБ
|
Оценка уровня защиты информации в соответствии с требованием законодательства РФ;
оценка потенциала организации БС РФ обеспечить контроль уровня обеспечения ИБ после заключения соглашения с поставщиком услуг
|
Оценка выполняется на основе результатов прохождения поставщиком услуг внешнего независимого аудита
|
Общая сумма операций по переводу денежных средств, включая электронные денежные средства, осуществляемых через организацию БС РФ с использованием электронных технологий;
среднеквартальный остаток денежных средств, находящихся на корреспондентских счетах организации БС РФ, открытых в расчетных центрах платежных систем, в том числе в платежной системе Банка России;
операционные расходы (убытки) организации БС РФ, связанные с нарушением непрерывности предоставления финансовых услуг в результате НСД к ее информационной инфраструктуре или информационной инфраструктуре поставщика услуг
|
Принимается самостоятельно организацией БС РФ на основании анализа показателей экономической целесообразности и уровня оцененного риска
|
|
Связанный с возникновением зависимости от поставщика услуг
|
Оценка потенциала организации БС РФ обеспечить ИБ в случае отказа поставщика услуг от выполнения своих обязательств
|
Собственная оценка организации БС РФ, выполненная ее работниками;
оценка, выполняемая аудиторской или консалтинговой организацией (независимой от поставщика услуг)
|
Утрата организациями БС РФ необходимых компетенций, знаний и навыков, необходимых для обеспечения ИБ при необходимости возврата выполнения существенных функций с использованием собственных ресурсов;
неприемлемые финансовые затраты организаций БС РФ на обеспечение должного уровня ИБ в случае отказа поставщика услуг от своих обязательств;
невозможность обеспечить должный уровень ИБ при возврате выполнения существенных функций в течение периода времени, приемлемого для организаций БС РФ
|
Принимается самостоятельно организацией БС РФ на основании анализа показателей экономической целесообразности и уровня оцененного риска;
однозначная невозможность передачи выполнения существенных функций на аутсорсинг в случае отсутствия у организации БС РФ стратегии "выхода"
|