Приложение Е (обязательное). Состав КПУР для некредитных финансовых организаций. Национальный стандарт РФ ГОСТ Р 57580.3-2022 "Безопасность финансовых (банковских) операций. Управление риском реализации информационных угроз и обеспечение операционной надежности. Общие положения" (утв. и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 22.12.2022 N 1548-ст)

Приложение Е
(обязательное)

Состав КПУР для некредитных финансовых организаций

Е.1 Для целей настоящего стандарта состав КПУР для некредитных финансовых организаций распределен по группам.

Е.1.1 Состав группы КПУР, характеризующих уровень совокупных потерь некредитной финансовой организации в результате инцидентов, приведен в таблице Е.1.

Е.1.2 Состав группы КПУР, характеризующих уровень несанкционированных операций в результате инцидентов, приведен в таблице Е.2.

Е.1.3 Состав группы КПУР, характеризующих уровень зрелости процессов управления риском реализации информационных угроз, обеспечения операционной надежности и защиты информации, приведен в таблице Е.3.

Е.2 В рамках таблиц Е.1 - Е.3 для сигнальных и контрольных значений КПУР, которые кредитная организация определяет самостоятельно, используется обозначение "С" (если иное не установлено нормативными актами Банка России). Для сигнальных и контрольных значений КПУР, которые некредитная финансовая организация определяет согласно требованиям нормативных актов Банка России, используется обозначение "ТН".

Таблица Е.1 - Базовый состав группы КПУР, характеризующих уровень совокупных потерь некредитной финансовой организации в результате инцидентов

Контрольный показатель уровня риска	Сигнальное значение	Контрольное значение
1 Общая сумма валовых прямых потерь от реализации событий риска реализации информационных угроз за отчетный период (первый квартал, полугодие, девять месяцев, год) нарастающим итогом с начала календарного года	С	С
2 Общая сумма валовых прямых и косвенных потерь от реализации событий риска реализации информационных угроз за отчетный период (первый квартал, полугодие, девять месяцев, год) нарастающим итогом с начала календарного года	С	С

Таблица Е.2 - Базовый состав группы КПУР, характеризующих уровень несанкционированных операций в результате инцидентов

Контрольный показатель уровня риска	Сигнальное значение	Контрольное значение
1 Количество событий реализации информационных угроз, связанных с возникновением финансовых инцидентов, за отчетный период (первый квартал, полугодие, девять месяцев, год) нарастающим итогом с начала календарного года	С	С

Таблица Е.3 - Базовый состав группы КПУР, характеризующих уровень зрелости процессов управления риском реализации информационных угроз, обеспечения операционной надежности и защиты информации

Контрольный показатель уровня риска	Сигнальное значение	Контрольное значение
1 Оценка эффективности функционирования системы управления риском реализации информационных угроз, проведенная уполномоченным подразделением и (или) внешним экспертом (специализированной организацией или квалифицированным внешним экспертом) по решению совета директоров (наблюдательного совета), а в случае его отсутствия - исполнительным органом некредитной финансовой организации	С	С
2 Уровень зрелости процессов применения технологических мер, реализуемых на технологических участках бизнес- и технологических процессов (Оценка выполнения требований нормативных актов Банка России [9] к обеспечению защиты информации, применяемых с использованием технологических мер защиты информации)	С	С
3 Уровень зрелости процессов реализации функций безопасности и контроля (наличия) уязвимостей объектов информатизации прикладного уровня (Оценка выполнения требований нормативных актов Банка России [9] к обеспечению защит