Приложение В (обязательное). Классификация событий риска реализации информационных угроз в разрезе видов (направлений) деятельности финансовых организаций. Национальный стандарт РФ ГОСТ Р 57580.3-2022 "Безопасность финансовых (банковских) операций. Управление риском реализации информационных угроз и обеспечение операционной надежности. Общие положения" (утв. и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 22.12.2022 N 1548-ст)

Приложение В
(обязательное)

Классификация событий риска реализации информационных угроз в разрезе видов (направлений) деятельности финансовых организаций

В.1 Классификация событий риска реализации информационных угроз с точки зрения видов (направлений) деятельности осуществляется финансовой организацией согласно подходу, описанному ниже.

В.2 Кредитные организации классифицируют события риска реализации информационных угроз с точки зрения следующих видов (направлений) деятельности первого уровня [6], представленных в В.2.1 - В.2.9.

В.2.1 Оказание услуг юридическим лицам, органам государственной власти и местного самоуправления по организации доступа к рынкам капитала, оптимизации структуры активов и повышению качества корпоративного управления, слияниям и поглощениям, оказанию консультационных услуг финансового посредничества, в том числе при организации синдицированного кредитования (корпоративное финансирование).

В.2.2 Осуществление операций и сделок с финансовыми инструментами торгового портфеля (операции и сделки на финансовом рынке).

В.2.3 Оказание банковских услуг розничным клиентам, кроме брокерских и депозитарных услуг (розничное банковское обслуживание).

В.2.4 Оказание юридическим лицам банковских услуг, за исключением основного вида (направления) деятельности первого уровня кредитной организации, указанного в В.2.1 (коммерческое банковское обслуживание корпоративных клиентов).

В.2.5 Осуществление переводов денежных средств, платежей и расчетов через платежные системы, в том числе платежную систему Банка России, в которых кредитная организация выступает как оператор по переводу денежных средств, в том числе платежей по собственным операциям, за исключением внутрибанковских операций по организации услуг по проведению платежей, расчетов и взаимодействия с клиентом в рамках предоставления банковских услуг, относящихся к основным направлениям деятельности первого уровня кредитной организации, указанным в В.2.3, В.2.4, В.2.6 - В.2.8 (осуществление переводов денежных средств, платежей и расчетов через платежные системы).

В.2.6 Оказание агентских и депозитарных услуг, в том числе услуг по хранению сертификатов ценных бумаг и (или) их учету, обеспечению сохранности активов и документов клиентов (агентские услуги и депозитарные услуги).

В.2.7 Управление активами клиентов по договорам доверительного управления (управление активами).

В.2.8 Брокерское обслуживание розничных клиентов (розничное брокерское обслуживание).

В.2.9 Обеспечивающие и организационные направления деятельности, например бухгалтерский учет, административно-хозяйственная деятельность, управление рисками, деятельность по обеспечению функционирования информационных систем, обеспечение физической безопасности, противопожарной безопасности и охраны труда, юридическое сопровождение, управление персоналом (обеспечение деятельности кредитной организации).

В.3 В качестве последующего уровня классификации события риска реализации информационных угроз классифицируются кредитными организациями по направлениям деятельности с точки зрения следующих бизнес- и технологических процессов, представленных в В.3.1 - В.3.13.

В.3.1 Бизнес- и технологический процесс, обеспечивающий привлечение денежных средств физических лиц во вклады.

В.3.2 Бизнес- и технологический процесс, обеспечивающий привлечение денежных средств юридических лиц во вклады.

В.3.3 Бизнес- и технологический процесс, обеспечивающий размещение привлеченных во вклады денежных средств физических и (или) юридических лиц от своего имени и за свой счет.

В.3.4 Бизнес- и технологический процесс, обеспечивающий осуществление переводов денежных средств по поручению физических лиц по их банковским счетам.

В.3.5 Бизнес- и технологический процесс, обеспечивающий осуществление переводов денежных средств по поручению юридических лиц, в том числе банков-корреспондентов, по их банковским счетам, за исключением переводов по распоряжениям участников платежной системы ¹⁾.

------------------------------

¹⁾_{В случае переводов по распоряжениям участников платежной системы показатель устанавливается в соответствии с нормативным актом Банка России [36].}

------------------------------

В.3.6 Бизнес- и технологический процесс, обеспечивающий открытие и ведение банковских счетов физических лиц.

В.3.7 Бизнес- и технологический процесс, обеспечивающий открытие и ведение банковских счетов юридических лиц.

В.3.8 Бизнес- и технологический процесс, обеспечивающий осуществление переводов денежных средств без открытия банковских счетов, в том числе электронных денежных средств (за исключением почтовых переводов).

В.3.9 Бизнес- и технологический процесс, обеспечивающий выполнение операций на финансовых рынках.

В.3.10 Бизнес- и технологический процесс, обеспечивающий выполнение кассовых операций.

В.3.11 Бизнес- и технологический процесс, обеспечивающий работу онлайн-сервисов дистанционного обслуживания и доступа к осуществлению операций.

В.3.12 Бизнес- и технологический процесс, обеспечивающий размещение и обновление биометрических персональных данных в единой биометрической системе.

В.3.13 Бизнес- и технологический процесс, обеспечивающий идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, в том числе с применением информационных технологий без их личного присутствия.

В.4 Некредитные финансовые организации классифицируют события риска реализации информационных угроз с точки зрения следующих видов (направлений) деятельности первого уровня, представленных в В.4.1 - В.4.16.

В.4.1 Осуществление деятельности профессиональных участников рынка ценных бумаг:

- осуществление брокерской деятельности;

- осуществление дилерской деятельности;

- осуществление деятельности по управлению ценными бумагами;

- осуществление деятельности регистратора;

- осуществление депозитарной деятельности, включая деятельность центрального депозитария.

В.4.2 Осуществление деятельности управляющих компаний инвестиционного фонда, паевого инвестиционного фонда и негосударственного пенсионного фонда.

В.4.3 Осуществление деятельности специализированных депозитариев инвестиционного фонда, паевого инвестиционного фонда и негосударственного пенсионного фонда.

В.4.4 Осуществление клиринговой деятельности и деятельности центрального контрагента.

В.4.5 Осуществление деятельности организатора торговли.

В.4.6 Осуществление репозитарной деятельности.

В.4.7 осуществление деятельности регистратора финансовых транзакций.

В.4.8 Осуществление деятельности субъектов страхового дела.

В.4.9 Осуществление деятельности негосударственных пенсионных фондов.

В.4.10 Осуществление деятельности микрофинансовых организаций.

В.4.11 Осуществление деятельности кредитных потребительских кооперативов.

В.4.12 Осуществление деятельности жилищных накопительных кооперативов.

В.4.13 Осуществление деятельности сельскохозяйственных кредитных потребительских кооперативов.

В.4.14 Осуществление деятельности оператора инвестиционной платформы.

В.4.15 Осуществление деятельности ломбардов.

В.4.16 Осуществление деятельности оператора финансовой платформы.

В.4.17 Осуществление деятельности операторов информационных систем, в которых осуществляется выпуск цифровых финансовых активов.

В.4.18 Осуществление деятельности операторов обмена цифровых финансовых активов.

В.5 В рамках дополнительной детализации классификации событий риска реализации информационных угроз с точки зрения видов (направлений) деятельности отдельные некредитные финансовые организации классифицируют виды (направления) деятельности, в том числе с точки зрения составляющих их бизнес- и технологических процессов, представленных в В.5.1 - В.5.17.

В.5.1 Осуществление брокерской деятельности:

- бизнес- и технологический процесс, обеспечивающий исполнение поручений клиентов на совершение сделок с ценными бумагами и заключение договоров, являющихся производными финансовыми инструментами;

- бизнес- и технологический процесс, обеспечивающий внесение записей во внутренний учет;

- бизнес- и технологический процесс, обеспечивающий возврат клиентам денежных средств.

В.5.2 Осуществление дилерской деятельности:

- бизнес- и технологический процесс, обеспечивающий совершение сделок купли-продажи ценных бумаг от своего имени и за свой счет путем публичного объявления цен покупки и (или) продажи определенных ценных бумаг с обязательством покупки и (или) продажи этих ценных бумаг по объявленным лицом, осуществляющим такую деятельность, ценам;

- бизнес- и технологический процесс, обеспечивающий внесение записей во внутренний учет.

В.5.3 Осуществление деятельности форекс-дилера:

- бизнес- и технологический процесс, обеспечивающий заключение от своего имени и за свой счет с физическими лицами, не являющимися индивидуальными предпринимателями, не на организованных торгах сделок, перечисленных в ст. 4.1 Федерального закона [33];

- бизнес- и технологический процесс, обеспечивающий внесение записей во внутренний учет;

- бизнес- и технологический процесс, обеспечивающий возврат клиентам денежных средств.

В.5.4 Осуществление деятельности по управлению ценными бумагами:

- бизнес- и технологический процесс, обеспечивающий совершения сделок с ценными бумагами и (или) заключения договоров, являющихся производными финансовыми инструментами в интересах учредителя управления;

- бизнес- и технологический процесс, обеспечивающий внесение записей во внутренний учет;

- бизнес- и технологический процесс, обеспечивающий возврат клиентам денежных средств.

В.5.5 Осуществление деятельности регистратора:

- бизнес- и технологический процесс, обеспечивающий внесение учетных записей в реестр владельцев ценных бумаг;

- бизнес- и технологический процесс, обеспечивающий осуществление регистратором сверки учитываемых регистратором прав на ценные бумаги с центральным депозитарием по счету номинального держателя центрального депозитария.

В.5.6 Осуществление депозитарной деятельности, включая деятельность центрального депозитария:

- бизнес- и технологический процесс, обеспечивающий внесение учетных записей в учетные регистры;

- бизнес- и технологический процесс, обеспечивающий осуществление расчетным депозитарием расчетов по результатам сделок, совершенных на организованных торгах;

- бизнес- и технологический процесс, обеспечивающий выплату депоненту доходов в денежной форме, причитающихся владельцам ценных бумаг;

- бизнес- и технологический процесс, обеспечивающий осуществление центральным депозитарием сверки учитываемых центральным депозитарием прав на ценные бумаги с регистратором по счету номинального держателя центрального депозитария.

В.5.7 Осуществление деятельности управляющих компаний инвестиционного фонда, паевого инвестиционного фонда и негосударственного пенсионного фонда:

- бизнес- и технологический процесс, обеспечивающий доверительное управление имуществом фондов, в том числе осуществление прав, удостоверенных ценными бумагами, составляющими фонды;

- бизнес- и технологический процесс, обеспечивающий реализацию прав владельцев инвестиционных паев;

- бизнес- и технологический процесс, обеспечивающий осуществление учета имущества фондов и контроля за его распоряжением им, в том числе процесс взаимодействия со специализированным депозитарием.

В.5.8 Осуществление деятельности специализированных депозитариев инвестиционного фонда, паевого инвестиционного фонда и негосударственного пенсионного фонда:

- бизнес- и технологический процесс, обеспечивающий осуществление специализированным депозитарием контроля за распоряжением имуществом клиентов;

- бизнес- и технологический процесс, обеспечивающий внесение учетных записей в реестр владельцев ценных бумаг (в случае оказания услуг по ведению реестра владельцев инвестиционных паев паевых инвестиционных фондов, ипотечных сертификатов участия).

В.5.9 Осуществление клиринговой деятельности и деятельности центрального контрагента:

- бизнес- и технологический процесс, обеспечивающий определение подлежащих исполнению обязательств;

- бизнес- и технологический процесс, обеспечивающий совершение действий, направленных на исполнение подлежащих исполнению обязательств;

- бизнес- и технологический процесс, обеспечивающий направление поручения на возврат имущества, являющегося клиринговым обеспечением.

В.5.10 Осуществление деятельности организатора торговли:

- бизнес- и технологический процесс, обеспечивающий заключение договора между участниками торгов;

- бизнес- и технологический процесс, обеспечивающий ведение реестров участников торгов и их клиентов, реестра заявок, реестра заключенных на организованных торгах договоров, реестра внебиржевых договоров;

- бизнес- и технологический процесс, обеспечивающий раскрытие и предоставление информации организатора торговли.

В.5.11 Осуществление репозитарной деятельности:

- бизнес- и технологический процесс, обеспечивающий учет заключенных не на организованных торгах договоров РЕПО, договоров, являющихся производными финансовыми инструментами, а также иных договоров;

- бизнес- и технологический процесс, обеспечивающий учет регистратором финансовых транзакций информации о совершении финансовых сделок и об операциях по ним с использованием финансовой платформы;

- бизнес- и технологический процесс, обеспечивающий передачу реестра, ведение которого осуществляет репозитарий, в Банк России или в другой репозитарий.

В.5.12 Осуществление деятельности субъектов страхового дела:

- бизнес- и технологический процесс, обеспечивающий учет страховых случаев;

- бизнес- и технологический процесс, обеспечивающий возврат страховой премии;

- бизнес- и технологический процесс, обеспечивающий работу сайтов в части размещения информации, предусмотренной пунктом 6 статьи 6 Закона Российской Федерации [34].

В.5.13 Осуществление деятельности негосударственных пенсионных фондов:

- бизнес- и технологический процесс, обеспечивающий осуществление выплат вкладчикам, участникам, застрахованным лицам и их правопреемникам негосударственного пенсионного фонда в рамках обязательного пенсионного страхования и негосударственного пенсионного обеспечения;

- бизнес- и технологический процесс, обеспечивающий передачу средств пенсионных резервов и пенсионных накоплений управляющей компании;

- бизнес- и технологический процесс, обеспечивающий перевод выкупных сумм (средств пенсионных накоплений) в иные негосударственные пенсионные фонды и Пенсионный фонд Российской Федерации;

- бизнес- и технологический процесс, обеспечивающий размещение средств пенсионных резервов;

- бизнес- и технологический процесс, обеспечивающий расторжение договора негосударственного пенсионного обеспечения, договора об обязательном пенсионном страховании с негосударственным пенсионным фондом.

В.5.14 Осуществление деятельности операторов инвестиционных платформ:

- бизнес- и технологический процесс, обеспечивающий предоставление доступа к инвестиционной платформе;

- бизнес- и технологический процесс, обеспечивающий размещение инвестиционного предложения;

- бизнес- и технологический процесс, обеспечивающий инвестирование с использованием инвестиционной платформы путем предоставления займов;

- бизнес- и технологический процесс, обеспечивающий инвестирование с использованием инвестиционной платформы путем приобретения эмиссионных ценных бумаг, размещаемых с использованием инвестиционной платформы;

- бизнес- и технологический процесс, обеспечивающий инвестирование с использованием инвестиционной платформы путем приобретения утилитарных цифровых прав;

В бизнес- и технологический процесс, обеспечивающий инвестирование путем приобретения цифровых финансовых активов.

В.5.15 Осуществление деятельности оператора финансовой платформы, включая бизнес- и технологический процесс, обеспечивающий возможность совершения участниками финансовой платформы финансовых сделок с использованием финансовой платформы.

В.5.16 Осуществление деятельности операторов информационных систем, в которых осуществляется выпуск цифровых финансовых активов:

- бизнес- и технологический процесс, обеспечивающий доступ к информационной системе, в том числе ведение реестра пользователей информационной системы;

- бизнес- и технологический процесс, обеспечивающий выпуск цифровых финансовых активов в информационной системе;

- бизнес- и технологический процесс, обеспечивающий обращение цифровых финансовых активов в информационной системе, в том числе их погашение записей о цифровых финансовых активах;

- бизнес- и технологический процесс, обеспечивающий внесение записей оператором информационной системы в соответствии с частью 2 статьи 6 Федерального закона [35];

- бизнес- и технологический процесс, обеспечивающий внесение учетных записей в реестр владельцев акций непубличных акционерных обществ, осуществляющих выпуск цифровых финансовых активов, удостоверяющих права участия в капитале указанных непубличных акционерных обществ;

- бизнес- и технологический процесс, обеспечивающий взаимодействие с оператором обмена цифровых финансовых активов;

- бизнес- и технологический процесс, обеспечивающий мониторинг тождественности информации, содержащейся во всех базах данных, составляющих распределенный реестр.

В.5.17 Осуществление деятельности операторов обмена цифровых финансовых активов:

- бизнес- и технологический процесс, обеспечивающий возможность совершения сделок с цифровыми финансовыми активами;

- бизнес- и технологический процесс, обеспечивающий взаимодействие с оператором информационной системы.

В.6 В рамках дополнительной детализации классификации событий риска реализации информационных угроз в разрезе направлений деятельности, в том числе в разрезе составляющих их процессов, финансовая организация классифицирует бизнес- и технологические процессы в разрезе составляющих их технологических участков, определенных в приложении А ГОСТ Р 57580.4-2022.