Откройте актуальную версию документа прямо сейчас
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Приложение А
(обязательное)
Классификация событий риска реализации информационных угроз с точки зрения источников риска
А.1 Классификация событий риска реализации информационных угроз с точки зрения источников риска производится по четырем категориям:
- категория 1 "недостатки процессов";
- категория 2 "действия персонала и других связанных с финансовой организацией лиц";
- категория 3 "сбои объектов информатизации" 1);
------------------------------
1)Отказы и (или) нарушения функционирования применяемых финансовой организацией объектов информатизации и (или) несоответствие их функциональных возможностей и характеристик потребностям финансовой организации.
------------------------------
- категория 4 "внешние факторы".
А.2 Финансовая организация классифицирует события риска реализации информационных угроз с точки зрения источников риска первого уровня по четырем категориям согласно А.1, а также по уязвимостям, обусловленным недостатками процессов обеспечения операционной надежности и защиты информации, посредством которых реализована информационная угроза.
А.3 В целях дополнительной классификации событий риска реализации информационных угроз финансовая организация к категории "недостатки процессов" относит:
- недостатки процессов применения технологических мер защиты информации, обрабатываемой в рамках технологических операций при выполнении бизнес- и технологических процессов;
- недостатки процессов применения прикладного программного обеспечения автоматизированных систем и приложений, соответствующих требованиям к обеспечению защиты информации [8]-[10];
- недостатки процессов планирования, реализации, контроля и совершенствования процессов обеспечения операционной надежности и защиты информации;
- недостатки других внутренних процессов, связанных с обеспечением операционной надежности и защиты информации финансовой организации.
А.4 В целях дополнительной классификации событий риска реализации информационных угроз финансовая организация к категории "действия персонала и других связанных с финансовой организацией лиц" относит реализацию несанкционированного доступа работников финансовой организации или третьих лиц, обладающих полномочиями доступа к объектам информатизации инфраструктурного уровня финансовой организации (действия внутреннего нарушителя).
А.5 В целях дополнительной классификации событий риска реализации информационных угроз финансовая организация к категории "сбои объектов информатизации" относит сбои и отказы в работе объектов информатизации в результате реализации информационных угроз.
А.6 В целях дополнительной классификации событий риска реализации информационных угроз финансовая организация к категории "внешние факторы" относит реализацию компьютерных атак или несанкционированного доступа лиц, не обладающих полномочиями доступа к объектам информатизации инфраструктурного уровня финансовой организации (действия внешнего нарушителя), в том числе с целью:
- блокирования штатного функционирования бизнес- и технологических процессов финансовой организации;
- хищения, искажения, удаления информации конфиденциального характера (включая персональные данные).
А.7 В рамках дополнительной детализации классификации источников риска реализации информационных угроз финансовые организации классифицируют источники риска с точки зрения направлений компьютерных атак, типов компьютерных атак и компьютерных инцидентов и типов атакуемых объектов.
А.7.1 По вектору (направлению) компьютерных атак:
- компьютерные атаки, направленные на объекты информатизации финансовой организации;
- компьютерные атаки, направленные на клиента финансовой организации.
А.7.2 По типам компьютерных атак и компьютерных инцидентов, определяемых согласно форматам представления информации о компьютерных инцидентах в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, учитывающим формы и сроки взаимодействия Банка России с участниками информационного обмена при выявлении инцидентов [32].
А.7.3 По типам атакуемых объектов:
а) на инфраструктурном уровне объектов информатизации (системном уровне информационной инфраструктуры):
- аппаратное обеспечение;
- сетевое оборудование;
- сетевые приложения и сервисы;
- серверные компоненты виртуализации, программные инфраструктурные сервисы;
- операционные системы, системы управления базами данных, сервера приложений;
б) на прикладном уровне объектов информатизации (уровне автоматизированных систем и приложений), используемых для выполнения бизнес- и технологических процессов финансовой организации при оказании финансовых и (или) информационных услуг:
- система дистанционного банковского обслуживания;
- система обработки транзакций, осуществляемых с использованием платежных карт;
- информационный ресурс сети Интернет;
- автоматизированная банковская система;
- система посттранзакционного обслуживания операций, осуществляемых с использованием платежных карт;
- автоматизированные системы, используемые работниками финансовой организации;
в) на прикладном уровне объектов информатизации (уровне автоматизированных систем и приложений), используемых клиентом финансовой организации при получении финансовых и (или) информационных услуг:
- мобильное приложение;
- файловый сервер;
- система дистанционного банковского обслуживания;
- сервер электронной почты;
- автоматизированная система, используемая работниками клиента финансовой организации;
г) другой тип объектов информатизации;
д) работники финансовой организации;
е) причастные стороны финансовой организации (за исключением клиентов финансовой организации);
ж) клиенты финансовой организации.
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.