Приложение Е (обязательное). Состав КПУР для некредитных финансовых организаций. Национальный стандарт РФ ГОСТ Р 57580.3-2022 "Безопасность финансовых (банковских) операций. Управление риском реализации информационных угроз и обеспечение операционной надежности. Общие положения" (утв. и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 22.12.2022 N 1548-ст)

Приложение Е
(обязательное)

Состав КПУР для некредитных финансовых организаций

Е.1 Для целей настоящего стандарта состав КПУР для некредитных финансовых организаций распределен по группам.

Е.1.1 Состав группы КПУР, характеризующих уровень совокупных потерь некредитной финансовой организации в результате инцидентов, приведен в таблице Е.1.

Е.1.2 Состав группы КПУР, характеризующих уровень несанкционированных операций в результате инцидентов, приведен в таблице Е.2.

Е.1.3 Состав группы КПУР, характеризующих уровень зрелости процессов управления риском реализации информационных угроз, обеспечения операционной надежности и защиты информации, приведен в таблице Е.3.

Е.2 В рамках таблиц Е.1 - Е.3 для сигнальных и контрольных значений КПУР, которые кредитная организация определяет самостоятельно, используется обозначение "С" (если иное не установлено нормативными актами Банка России). Для сигнальных и контрольных значений КПУР, которые некредитная финансовая организация определяет согласно требованиям нормативных актов Банка России, используется обозначение "ТН".

Таблица Е.1 - Базовый состав группы КПУР, характеризующих уровень совокупных потерь некредитной финансовой организации в результате инцидентов

Контрольный показатель уровня риска	Сигнальное значение	Контрольное значение
1 Общая сумма валовых прямых потерь от реализации событий риска реализации информационных угроз за отчетный период (первый квартал, полугодие, девять месяцев, год) нарастающим итогом с начала календарного года	С	С
2 Общая сумма валовых прямых и косвенных потерь от реализации событий риска реализации информационных угроз за отчетный период (первый квартал, полугодие, девять месяцев, год) нарастающим итогом с начала календарного года	С	С

Таблица Е.2 - Базовый состав группы КПУР, характеризующих уровень несанкционированных операций в результате инцидентов

Контрольный показатель уровня риска	Сигнальное значение	Контрольное значение
1 Количество событий реализации информационных угроз, связанных с возникновением финансовых инцидентов, за отчетный период (первый квартал, полугодие, девять месяцев, год) нарастающим итогом с начала календарного года	С	С

Таблица Е.3 - Базовый состав группы КПУР, характеризующих уровень зрелости процессов управления риском реализации информационных угроз, обеспечения операционной надежности и защиты информации

Контрольный показатель уровня риска	Сигнальное значение	Контрольное значение
1 Оценка эффективности функционирования системы управления риском реализации информационных угроз, проведенная уполномоченным подразделением и (или) внешним экспертом (специализированной организацией или квалифицированным внешним экспертом) по решению совета директоров (наблюдательного совета), а в случае его отсутствия - исполнительным органом некредитной финансовой организации	С	С
2 Уровень зрелости процессов применения технологических мер, реализуемых на технологических участках бизнес- и технологических процессов (Оценка выполнения требований нормативных актов Банка России [9] к обеспечению защиты информации, применяемых с использованием технологических мер защиты информации)	С	С
3 Уровень зрелости процессов реализации функций безопасности и контроля (наличия) уязвимостей объектов информатизации прикладного уровня (Оценка выполнения требований нормативных актов Банка России [9] к обеспечению защиты информации, применяемых в отношении прикладного программного обеспечения автоматизированных систем и приложений)	С	С
4 Уровень зрелости процессов планирования, реализации, контроля и совершенствования системы защиты информации, определяемой в соответствии с ГОСТ Р 57580.1 (Оценка выполнения требований нормативных актов Банка России [9] к обеспечению защиты информации объектов информатизации согласно методике оценки соответствия, определенной ГОСТ Р 57580.2 *)	С	ТН
4.1 Уровень зрелости процесса "Обеспечение защиты информации при управлении доступом", определенного ГОСТ Р 57580.1 (Оценка соответствия уровня защиты информации в отношении указанного процесса согласно методике оценки соответствия защиты информации, определенной ГОСТ Р 57580.2)	С	С
4.2 Уровень зрелости процесса "Предотвращение утечек информации", определенного ГОСТ Р 57580.1 (Оценка соответствия уровня защиты информации в отношении указанного процесса согласно методике оценки соответствия защиты информации, определенной ГОСТ Р 57580.2)	С	С
5 Уровень зрелости процессов планирования, реализации, контроля и совершенствования системы обеспечения операционной надежности финансовой организации, определяемой в соответствии с ГОСТ Р 57580.4 (согласно методике оценки соответствия, определяемой в рамках семейства стандартов ОН)	С	ТН
* Независимая оценка соответствия уровня защиты информации в отношении объектов информатизации кредитной организации в соответствии с требованиями нормативного акта Банка России [9].