Откройте актуальную версию документа прямо сейчас
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
Купить систему ГАРАНТ
Получить демо-доступ
Узнать стоимость
Информационный банк
Подобрать комплект
Семинары
- Главная
- Национальный стандарт РФ ГОСТ Р 57580.3-2022 "Безопасность финансовых (банковских) операций. Управление риском реализации информационных угроз и обеспечение операционной надежности. Общие положения" (утв. и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 22 декабря 2022 г. N 1548-ст)
- Приложение Д (обязательное). Состав КПУР для кредитных организаций
Приложение Д (обязательное). Состав КПУР для кредитных организаций
Приложение Д
(обязательное)
Состав КПУР для кредитных организаций
Д.1 Для целей настоящего стандарта состав КПУР для кредитных организаций, определяемый согласно требованиям нормативных актов Банка России [6], распределен по группам, представленным в Д.1.1 - Д.1.3.
Д.1.1 Состав группы КПУР, характеризующих уровень совокупных потерь кредитной организации в результате событий риска реализации информационных угроз, приведен в таблице Д.1.
Д.1.2 Состав группы КПУР, характеризующих уровень несанкционированных операций (потерь клиентов) в результате инцидентов, приведен в таблице Д.2.
Д.1.3 Состав группы КПУР, характеризующих уровень зрелости процессов управления риском реализации информационных угроз, обеспечения операционной надежности и защиты информации, приведен в таблице Д.3.
Д.2 В рамках таблиц Д.1 - Д.3 для сигнальных и контрольных значений КПУР, которые кредитная организация определяет самостоятельно, используется обозначение "С" (если иное не установлено нормативными актами Банка России). Для сигнальных и контрольных значений КПУР, которые кредитная организация определяет согласно требованиям нормативных актов Банка России, используется обозначение "ТН".
Таблица Д.1 - Базовый состав группы КПУР, характеризующих уровень совокупных потерь кредитной организации в результате инцидентов
|
Контрольный показатель уровня риска |
Сигнальное значение |
Контрольное значение |
|
1 Общая сумма чистых * прямых потерь от реализации событий риска реализации информационных угроз за отчетный период (первый квартал, полугодие, девять месяцев, год) нарастающим итогом с начала календарного года [6] |
С |
С |
|
2 Общая сумма валовых ** прямых потерь от реализации событий риска реализации информационных угроз, связанных с переводами денежных средств и платежами в платежных системах, за отчетный период (первый квартал, полугодие, девять месяцев, год) нарастающим итогом с начала календарного года [6] |
С |
С |
|
3 Общая сумма валовых прямых и сумм величин косвенных потерь от реализации событий риска реализации информационных угроз за отчетный период (первый квартал, полугодие, девять месяцев, год) нарастающим итогом с начала календарного года к расчету объема капитала, выделяемого на покрытие потерь от реализации операционного риска (в случае, если кредитная организация применяет подход количественной оценки потерь от реализации риска реализации информационных угроз (в составе операционного риска) на основе статистики базы событий такого риска (с использованием статистики за период не менее пяти лет) с использованием продвинутых подходов [6] |
С |
С |
|
4 Общая сумма валовых прямых и сумм величин косвенных потерь кредитной организации в результате использования электронных средств платежа клиентов кредитных организаций без их согласия за отчетный период (первый квартал, полугодие, девять месяцев, год) нарастающим итогом с начала календарного года (в случае если кредитная организация применяет продвинутый подход к расчету объема капитала, выделяемого на покрытие потерь от реализации операционного риска) [6] |
С |
С |
|
5 Общая сумма валовых прямых и сумм величин косвенных потерь кредитной организации в результате переводов и снятия денежных средств, связанных с несанкционированным доступом к объектам информатизации кредитной организации, за отчетный период (первый квартал, полугодие, девять месяцев, год) нарастающим итогом с начала календарного года (в случае если кредитная организация применяет продвинутый подход к расчету объема капитала, выделяемого на покрытие потерь от реализации операционного риска) [6] |
С |
С |
|
6 Отношение общей суммы чистых прямых потерь от реализации событий риска реализации информационных угроз, понесенных кредитной организацией за отчетный период (первый квартал, полугодие, девять месяцев, год), к базовому капиталу кредитной организации на последнюю отчетную дату года [6] |
С |
С |
|
7 Отношение суммы валовых прямых потерь от реализации событий риска реализации информационных угроз, понесенных кредитной организацией при выполнении кредитной организацией функций участника платежной системы Банка России, за отчетный период (первый квартал, полугодие, девять месяцев, год) нарастающим итогом с начала календарного года, к общей сумме операций по переводу денежных средств через платежную систему Банка России за этот же период [6] |
ТН |
ТН |
|
8 Отношение суммы валовых прямых потерь от реализации событий риска информационной безопасности, связанных с переводами денежных средств и платежами в платежных системах за отчетный период (первый квартал, полугодие, девять месяцев, год) нарастающим итогом с начала календарного года, к общей сумме переводов денежных средств и платежей в платежных системах за этот же период [6] |
ТН |
ТН |
|
9 Доля реализованных (по количеству), то есть непредотвращенных, событий риска реализации информационных угроз с ненулевой величиной валовых прямых потерь, которые кредитная организация не отразила в базе событий, по отношению ко всем событиям риска реализации информационных угроз, зарегистрированным в базе событий, с ненулевой величиной валовых прямых потерь в течение отчетного периода (первого квартала, полугодия, девяти месяцев, года), о которых кредитная организация сообщила в своих отчетах в Банк России *** [6] |
С |
С |
|
10 Доля выявленных (по количеству) в ходе оценки эффективности функционирования системы управления риском реализации информационных угроз, проведенной уполномоченным подразделением, внешним экспертом или Банком России, событий риска реализации информационных угроз с ненулевой величиной валовых прямых потерь, о которых кредитная организация не сообщила в своих отчетах в Банк России ***, к которому относится проверяемый период, по отношению ко всем зарегистрированным событиям риска реализации информационных угроз с ненулевой величиной валовых прямых потерь, о которых кредитная организация сообщила в своих отчетах в Банк России *** [6] |
С |
С |
|
11 Отношение суммы чистых прямых и сумм величин косвенных потерь от событий риска реализации информационных угроз к собственным средствам (капиталу) кредитной организации на последнюю отчетную дату года (в случае если кредитная организация применяет продвинутый подход к расчету объема капитала, выделяемого на покрытие потерь от реализации операционного риска) [6] |
С |
С |
|
12 Отношение суммы валовых прямых и сумм величин косвенных потерь, понесенных кредитной организацией при выполнении кредитной организацией функций оператора других платежных систем или оператора услуг платежной инфраструктуры, за отчетный период (первый квартал, полугодие, девять месяцев, год) нарастающим итогом с начала календарного года, к общей сумме операций по переводу денежных средств через другие платежные системы или платежную инфраструктуру за этот же период (в случае если кредитная организация применяет продвинутый подход к расчету объема капитала, выделяемого на покрытие потерь от реализации операционного риска) [6] |
С |
С |
|
* Потери за вычетом суммы возмещения, определяемые с учетом требований нормативных актов Банка России, в частности [6]. ** Потери до учета возмещения, определяемые с учетом требований нормативных актов Банка России, в частности [6]. *** Отчеты, направляемые в Банк России в соответствии с пунктом 8 нормативного акта Банка России [8]. | ||
Таблица Д.2 - Базовый состав группы КПУР, характеризующих уровень несанкционированных операций в результате инцидентов
|
Контрольный показатель уровня риска |
Сигнальное значение |
Контрольное значение |
|
1 Отношение суммы денежных средств, по которой получены уведомления от клиентов о несанкционированном переводе (списании) денежных средств (в отношении которых получены уведомления от клиентов ОПДС о списании денежных средств с их банковских счетов без их согласия), за отчетный период (первый квартал, полугодие, девять месяцев, год) нарастающим итогом с начала календарного года к общей сумме переводов денежных средств за этот же период [6], [10] |
ТН |
ТН |
|
2 Отношение суммы денежных средств, возмещенной (возвращенной) клиентам, по которой получены уведомления от клиентов об использовании электронного средства платежа без их согласия в соответствии с частью 11 статьи 9 Федерального закона [11], за отчетный период (первый квартал, полугодие, девять месяцев, год) нарастающим итогом с начала календарного года к сумме денежных средств, в отношении которой получены такие уведомления, за этот же период |
С |
С |
|
3 Отношение количества операций, соответствующих признакам осуществления перевода денежных средств без согласия клиента - физического лица *, в отношении которых кредитная организация не приняла к исполнению и (или) приостановила исполнение распоряжений о совершении операций по переводу денежных средств в соответствии с частью 5.1 статьи 8 Федерального закона [11], за отчетный период (первый квартал, полугодие, девять месяцев, год) нарастающим итогом с начала календарного года к общему количеству операций по переводу денежных средств за этот же период |
С |
С |
|
4 Отношение суммы денежных средств по операциям, соответствующим признакам осуществления перевода денежных средств без согласия клиента - физического лица, в отношении которых кредитная организация не приняла к исполнению и (или) приостановила исполнение распоряжений о совершении операций по переводу денежных средств в соответствии с частью 5.1 статьи 8 Федерального закона [11], за отчетный период (первый квартал, полугодие, девять месяцев, год) нарастающим итогом с начала календарного года к общей сумме денежных средств по операциям по переводу денежных средств за этот же период |
С |
С |
|
5 Отношение количества операций, соответствующих признакам осуществления перевода денежных средств без согласия клиента - физического лица, в отношении которых кредитная организация не приняла к исполнению и (или) приостановила исполнение распоряжений о совершении операций по переводу денежных средств в соответствии с частью 5.1 статьи 8 Федерального закона [11] и по которым получены подтверждения клиентов - физических лиц о направлении распоряжения о совершении операции по переводу денежных средств с их согласия и (или) получены подтверждения клиентов - физических лиц о возобновлении исполнения распоряжений в соответствии с частью 5.3 статьи 8 Федерального закона [11], за отчетный период (первый квартал, полугодие, девять месяцев, год) нарастающим итогом с начала календарного года к количеству операций, соответствующих признакам осуществления перевода денежных средств без согласия клиента - физического лица, в отношении которых кредитная организация не приняла к исполнению и (или) приостановила исполнение распоряжений о совершении операций по переводу денежных средств в соответствии с частью 5 статьи 8 Федерального закона [11], за этот же период |
С |
С |
|
6 Отношение суммы денежных средств по операциям, соответствующим признакам осуществления перевода денежных средств без согласия клиента - физического лица, в отношении которых кредитная организация не приняла к исполнению и (или) приостановила исполнение распоряжений о совершении операций по переводу денежных средств в соответствии с частью 5.1 статьи 8 Федерального закона [11] и по которым получены подтверждения клиентов - физических лиц о направлении распоряжения о совершении операции по переводу денежных средств с их согласия и (или) получены подтверждения клиентов - физических лиц о возобновлении исполнения распоряжений в соответствии с частью 5.3 статьи 8 Федерального закона [11], за отчетный период (первый квартал, полугодие, девять месяцев, год) нарастающим итогом с начала календарного года к сумме денежных средств по операциям, соответствующим признакам осуществления перевода денежных средств без согласия клиента - физического лица, в отношении которых кредитная организация не приняла к исполнению и (или) приостановила исполнение распоряжений о совершении операций по переводу денежных средств в соответствии с частью 5.1 статьи 8 Федерального закона [11], за этот же период |
С |
С |
|
7 Отношение количества операций по переводу денежных средств, в отношении которых кредитная организация не приостановила исполнение распоряжений о совершении операций по переводу денежных средств в соответствии с частью 5.1 статьи 8 Федерального закона [11] и по которым получены уведомления от клиентов - физических лиц об использовании электронного средства платежа без их согласия, в том числе в соответствии с частью 11 статьи 9 Федерального закона [11], за отчетный период (первый квартал, полугодие, девять месяцев, год) нарастающим итогом с начала календарного года к количеству операций по переводу денежных средств без согласия клиента - физического лица ** за этот же период |
С |
С |
|
8 Отношение суммы денежных средств по операциям по переводу денежных средств, в отношении которых кредитная организация не приостановила исполнение распоряжений о совершении операций по переводу денежных средств в соответствии с частью 5.1 статьи 8 Федерального закона [11] и по которым получены уведомления от клиентов - физических лиц об использовании электронного средства платежа без их согласия, в том числе в соответствии с частью 11 статьи 9 Федерального закона [11], за отчетный период (первый квартал, полугодие, девять месяцев, год) нарастающим итогом с начала календарного года к сумме денежных средств по операциям по переводу денежных средств без согласия клиента - физического лица *** за этот же период |
С |
С |
|
* Операций по переводу денежных средств, соответствующих признакам осуществления перевода денежных средств без согласия клиента - физического лица, размещенным на официальном сайте Банка России в информационно-телекоммуникационной сети Интернет. ** Количество операций по переводу денежных средств без согласия клиента - физического лица должно определяться как сумма количества операций по переводу денежных средств, в отношении которых кредитная организация не приостановила исполнение распоряжений о совершении операций по переводу денежных средств в соответствии с частью 5.1 статьи 8 Федерального закона [11] и по которым получены уведомления от клиентов - физических лиц об использовании электронного средства платежа без их согласия, в том числе в соответствии с частью 11 статьи 9 Федерального закона [11], и количества операций, соответствующих признакам осуществления перевода денежных средств без согласия клиента - физического лица, в отношении которых кредитная организация не приняла к исполнению и (или) приостановила исполнение распоряжений о совершении операций по переводу денежных средств в соответствии с частью 5.1 статьи 8 Федерального закона [11], за исключением случаев, когда получены подтверждения клиентов - физических лиц о направлении распоряжения о совершении операции по переводу денежных средств с их согласия и (или) получены подтверждения клиентов - физических лиц о возобновлении исполнения распоряжений в соответствии с частью 5.3 статьи 8 Федерального закона [11]. *** Сумма денежных средств по операциям по переводу денежных средств без согласия клиента - физического лица должна определяться как сумма денежных средств по операциям по переводу денежных средств, в отношении которых кредитная организация не приостановила исполнение распоряжений о совершении операций по переводу денежных средств в соответствии с частью 5.1 статьи 8 Федерального закона [11] и по которым получены уведомления от клиентов - физических лиц об использовании электронного средства платежа без их согласия, в том числе в соответствии с частью 11 статьи 9 Федерального закона [11], и денежных средств по операциям, соответствующим признакам осуществления перевода денежных средств без согласия клиента - физического лица, в отношении которых кредитная организация не приняла к исполнению и (или) приостановила исполнение распоряжений о совершении операций по переводу денежных средств в соответствии с частью 5.1 статьи 8 Федерального закона [11], за исключением случаев, когда получены подтверждения клиентов - физических лиц о направлении распоряжения о совершении операции по переводу денежных средств с их согласия и (или) получены подтверждения клиентов - физических лиц о возобновлении исполнения распоряжений в соответствии с частью 5.3 статьи 8 Федерального закона [11]. | ||
Таблица Д.3 - Базовый состав группы КПУР, характеризующих уровень зрелости процессов обеспечения операционной надежности и защиты информации
|
Контрольный показатель уровня риска |
Сигнальное значение |
Контрольное значение |
|
1 Оценка эффективности функционирования системы управления риском реализации информационных угроз, проведенная уполномоченным подразделением и (или) внешним экспертом (специализированной организацией или квалифицированным внешним экспертом) по решению совета директоров (наблюдательного совета) кредитной организации [6] |
С |
С |
|
2 Уровень зрелости процессов применения технологических мер, реализуемых на технологических участках бизнес- и технологических процессов (Оценка выполнения требований нормативных актов Банка России [8], [10], [21] к обеспечению защиты информации, применяемых с использованием технологических мер защиты информации) |
С |
С |
|
3 Уровень зрелости процессов реализации функций безопасности и контроля (наличия) уязвимостей объектов информатизации прикладного уровня (Оценка выполнения требований нормативных актов Банка России [8], [10] к обеспечению защиты информации, применяемых в отношении прикладного программного обеспечения автоматизированных систем и приложений) |
С |
С |
|
4 Уровень зрелости процессов планирования, реализации, контроля и совершенствования системы защиты информации, определяемой в соответствии с ГОСТ Р 57580.1 (Оценка выполнения требований нормативных актов Банка России [8], [10], [21] к обеспечению защиты информации объектов информатизации согласно методике оценки соответствия, определенной ГОСТ Р 57580.2 *) [6] |
С |
ТН |
|
4.1 Уровень зрелости процесса "Обеспечение защиты информации при управлении доступом", определенного ГОСТ Р 57580.1 (Оценка соответствия уровня защиты информации в отношении указанного процесса согласно методике оценки соответствия защиты информации, определенной ГОСТ Р 57580.2) |
ТН |
ТН |
|
4.2 Уровень зрелости процесса "Предотвращение утечек информации", определенного ГОСТ Р 57580.1 (Оценка соответствия уровня защиты информации в отношении указанного процесса согласно методике оценки соответствия защиты информации, определенной ГОСТ Р 57580.2) |
ТН |
ТН |
|
5 Уровень зрелости процессов планирования, реализации, контроля и совершенствования системы обеспечения операционной надежности финансовой организации, определяемой в соответствии с ГОСТ Р 57580.4 (согласно методике оценки соответствия, определяемой в рамках семейства стандартов ОН) |
С |
С |
|
* Независимая оценка соответствия уровня защиты информации в отношении объектов информатизации кредитной организации в соответствии с требованиями нормативного акта Банка России [8]. | ||