Вы можете открыть актуальную версию документа прямо сейчас.
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
- Главная
- Национальный стандарт РФ ГОСТ Р 57580.3-2022 "Безопасность финансовых (банковских) операций. Управление риском реализации информационных угроз и обеспечение операционной надежности. Общие положения" (утв. и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 22 декабря 2022 г. N 1548-ст)
- Приложение Д (обязательное). Состав КПУР для кредитных организаций
Приложение Д (обязательное). Состав КПУР для кредитных организаций
Приложение Д
(обязательное)
Состав КПУР для кредитных организаций
Д.1 Для целей настоящего стандарта состав КПУР для кредитных организаций, определяемый согласно требованиям нормативных актов Банка России [6], распределен по группам, представленным в Д.1.1 - Д.1.3.
Д.1.1 Состав группы КПУР, характеризующих уровень совокупных потерь кредитной организации в результате событий риска реализации информационных угроз, приведен в таблице Д.1.
Д.1.2 Состав группы КПУР, характеризующих уровень несанкционированных операций (потерь клиентов) в результате инцидентов, приведен в таблице Д.2.
Д.1.3 Состав группы КПУР, характеризующих уровень зрелости процессов управления риском реализации информационных угроз, обеспечения операционной надежности и защиты информации, приведен в таблице Д.3.
Д.2 В рамках таблиц Д.1 - Д.3 для сигнальных и контрольных значений КПУР, которые кредитная организация определяет самостоятельно, используется обозначение "С" (если иное не установлено нормативными актами Банка России). Для сигнальных и контрольных значений КПУР, которые кредитная организация определяет согласно требованиям нормативных актов Банка России, используется обозначение "ТН".
Таблица Д.1 - Базовый состав группы КПУР, характеризующих уровень совокупных потерь кредитной организации в результате инцидентов
|
Контрольный показатель уровня риска |
Сигнальное значение |
Контрольное значение |
|
1 Общая сумма чистых * прямых потерь от реализации событий риска реализации информационных угроз за отчетный период (первый квартал, полугодие, девять месяцев, год) нарастающим итогом с начала календарного года [6] |
С |
С |
|
2 Общая сумма валовых ** прямых потерь от реализации событий риска реализации информационных угроз, связанных с переводами денежных средств и платежами в платежных системах, за отчетный период (первый квартал, полугодие, девять месяцев, год) нарастающим итогом с начала календарного года [6] |
С |
С |
|
3 Общая сумма валовых прямых и сумм величин косвенных потерь от реализации событий риска реализации информационных угроз за отчетный период (первый квартал, полугодие, девять месяцев, год) нарастающим итогом с начала календарного года к расчету объема капитала, выделяемого на покрытие потерь от реализации операционного риска (в случае, если кредитная организация применяет подход количественной оценки потерь от реализации риска реализации информационных угроз (в составе операционного риска) на основе статистики базы событий такого риска (с использованием статистики за период не менее пяти лет) с использованием продвинутых подходов [6] |
С |
С |
|
4 Общая сумма валовых прямых и сумм величин косвенных потерь кредитной организации в результате использования электронных средств платежа клиентов кредитных организаций без их согласия за отчетный период (первый квартал, полугодие, девять месяцев, год) нарастающим итогом с начала календарного года (в случае если кредитная организация применяет продвинутый подход к расчету объема капитала, выделяемого на покрытие потерь от реализации операционного риска) [6] |
С |
С |
|
5 Общая сумма валовых прямых и сумм величин косвенных потерь кредитной организации в результате переводов и снятия денежных средств, связанных с несанкционированным доступом к объектам информатизации кредитной организации, за отчетный период (первый квартал, полугодие, девять месяцев, год) нарастающим итогом с начала календарного года (в случае если кредитная организация применяет продвинутый подход к расчету объема капитала, выделяемого на покрытие потерь от реализации операционного риска) [6] |
С |
С |
|
6 Отношение общей суммы чистых прямых потерь от реализации событий риска реализации информационных угроз, понесенных кредитной организацией за отчетный период (первый квартал, полугодие, девять месяцев, год), к базовому капиталу кредитной организации на последнюю отчетную дату года [6] |
С |
С |
|
7 Отношение суммы валовых прямых потерь от реализации событий риска реализации информационных угроз, понесенных кредитной организацией при выполнении кредитной организацией функций участника платежной системы Банка России, за отчетный период (первый квартал, полугодие, девять месяцев, год) нарастающим итогом с начала календарного года, к общей сумме операций по переводу денежных средств через платежную систему Банка России за этот же период [6] |
ТН |
ТН |
|
8 Отношение суммы валовых прямых потерь от реализации событий риска информационной безопасности, связанных с переводами денежных средств и платежами в платежных системах за отчетный период (первый квартал, полугодие, девять месяцев, год) нарастающим итогом с начала календарного года, к общей сумме переводов денежных средств и платежей в платежных системах за этот же период [6] |
ТН |
ТН |
|
9 Доля реализованных (по количеству), то есть непредотвращенных, событий риска реализации информационных угроз с ненулевой величиной валовых прямых потерь, которые кредитная организация не отразила в базе событий, по отношению ко всем событиям риска реализации информационных угроз, зарегистрированным в базе событий, с ненулевой величиной валовых прямых потерь в течение отчетного периода (первого квартала, полугодия, девяти месяцев, года), о которых кредитная организация сообщила в своих отчетах в Банк России *** [6] |
С |
С |
|
10 Доля выявленных (по количеству) в ходе оценки эффективности функционирования системы управления риском реализации информационных угроз, проведенной уполномоченным подразделением, внешним экспертом или Банком России, событий риска реализации информационных угроз с ненулевой величиной валовых прямых потерь, о которых кредитная организация не сообщила в своих отчетах в Банк России ***, к которому относится проверяемый период, по отношению ко всем зарегистрированным событиям риска реализации информационных угроз с ненулевой величиной валовых прямых потерь, о которых кредитная организация сообщила в своих отчетах в Банк России *** [6] |
С |
С |
|
11 Отношение суммы чистых прямых и сумм величин косвенных потерь от событий риска реализации информационных угроз к собственным средствам (капиталу) кредитной организации на последнюю отчетную дату года (в случае если кредитная организация применяет продвинутый подход к расчету объема капитала, выделяемого на покрытие потерь от реализации операционного риска) [6] |
С |
С |
|
12 Отношение суммы валовых прямых и сумм величин косвенных потерь, понесенных кредитной организацией при выполнении кредитной организацией функций оператора других платежных систем или оператора услуг платежной инфраструктуры, за отчетный период (первый квартал, полугодие, девять месяцев, год) нарастающим итогом с начала календарного года, к общей сумме операций по переводу денежных средств через другие платежные системы или платежную инфраструктуру за этот же период (в случае если кредитная организация применяет продвинутый подход к расчету объема капитала, выделяемого на покрытие потерь от реализации операционного риска) [6] |
С |
С |
|
* Потери за вычетом суммы возмещения, определяемые с учетом требований нормативных актов Банка России, в частности [6]. ** Потери до учета возмещения, определяемые с учетом требований нормативных актов Банка России, в частности [6]. *** Отчеты, направляемые в Банк России в соответствии с пунктом 8 нормативного акта Банка России [8]. | ||
Таблица Д.2 - Базовый состав группы КПУР, характеризующих уровень несанкционированных операций в результате инцидентов
|
Контрольный показатель уровня риска |
Сигнальное значение |
Контрольное значение |
|
1 Отношение суммы денежных средств, по которой получены уведомления от клиентов о несанкционированном переводе (списании) денежных средств (в отношении которых получены уведомления от клиентов ОПДС о списании денежных средств с их банковских счетов без их согласия), за отчетный период (первый квартал, полугодие, девять месяцев, год) нарастающим итогом с начала календарного года к общей сумме переводов денежных средств за этот же период [6], [10] |
ТН |
ТН |
|
2 Отношение суммы денежных средств, возмещенной (возвращенной) клиентам, по которой получены уведомления от клиентов об использовании электронного средства платежа без их согласия в соответствии с частью 11 статьи 9 Федерального закона [11], за отчетный период (первый квартал, полугодие, девять месяцев, год) нарастающим итогом с начала календарного года к сумме денежных средств, в отношении которой получены такие уведомления, за этот же период |
С |
С |
|
3 Отношение количества операций, соответствующих признакам осуществления перевода денежных средств без согласия клиента - физического лица *, в отношении которых кредитная организация не приняла к исполнению и (или) приостановила исполнение распоряжений о совершении операций по переводу денежных средств в соответствии с частью 5.1 статьи 8 Федерального закона [11], за отчетный период (первый квартал, полугодие, девять месяцев, год) нарастающим итогом с начала календарного года к общему количеству операций по переводу денежных средств за этот же период |
С |
С |
|
4 Отношение суммы денежных средств по операциям, соответствующим признакам осуществления перевода денежных средств без согласия клиента - физического лица, в отношении которых кредитная организация не приняла к исполнению и (или) приостановила исполнение распоряжений о совершении операций по переводу денежных средств в соответствии с частью 5.1 статьи 8 Федерального закона [11], за отчетный период (первый квартал, полугодие, девять месяцев, год) нарастающим итогом с начала календарного года к общей сумме денежных средств по операциям по переводу денежных средств за этот же период |
С |
С |
|
5 Отношение количества операций, соответствующих признакам осуществления перевода денежных средств без согласия клиента - физического лица, в отношении которых кредитная организация не приняла к исполнению и (или) приостановила исполнение распоряжений о совершении операций по переводу денежных средств в соответствии с частью 5.1 статьи 8 Федерального закона [11] и по которым получены подтверждения клиентов - физических лиц о направлении распоряжения о совершении операции по переводу денежных средств с их согласия и (или) получены подтверждения клиентов - физических лиц о возобновлении исполнения распоряжений в соответствии с частью 5.3 статьи 8 Федерального закона [11], за отчетный период (первый квартал, полугодие, девять месяцев, год) нарастающим итогом с начала календарного года к количеству операций, соответствующих признакам осуществления перевода денежных средств без согласия клиента - физического лица, в отношении которых кредитная организация не приняла к исполнению и (или) приостановила исполнение распоряжений о совершении операций по переводу денежных средств в соответствии с частью 5 статьи 8 Федерального закона [11], за этот же период |
С |
С |
|
6 Отношение суммы денежных средств по операциям, соответствующим признакам осуществления перевода денежных средств без согласия клиента - физического лица, в отношении которых кредитная организация не приняла к исполнению и (или) приостановила исполнение распоряжений о совершении операций по переводу денежных средств в соответствии с частью 5.1 статьи 8 Федерального закона [11] и по которым получены подтверждения клиентов - физических лиц о направлении распоряжения о совершении операции по переводу денежных средств с их согласия и (или) получены подтверждения клиентов - физических лиц о возобновлении исполнения распоряжений в соответствии с частью 5.3 статьи 8 Федерального закона [11], за отчетный период (первый квартал, полугодие, девять месяцев, год) нарастающим итогом с начала календарного года к сумме денежных средств по операциям, соответствующим признакам осуществления перевода денежных средств без согласия клиента - физического лица, в отношении которых кредитная организация не приняла к исполнению и (или) приостановила исполнение распоряжений о совершении операций по переводу денежных средств в соответствии с частью 5.1 статьи 8 Федерального закона [11], за этот же период |
С |
С |
|
7 Отношение количества операций по переводу денежных средств, в отношении которых кредитная организация не приостановила исполнение распоряжений о совершении операций по переводу денежных средств в соответствии с частью 5.1 статьи 8 Федерального закона [11] и по которым получены уведомления от клиентов - физических лиц об использовании электронного средства платежа без их согласия, в том числе в соответствии с частью 11 статьи 9 Федерального закона [11], за отчетный период (первый квартал, полугодие, девять месяцев, год) нарастающим итогом с начала календарного года к количеству операций по переводу денежных средств без согласия клиента - физического лица ** за этот же период |
С |
С |
|
8 Отношение суммы денежных средств по операциям по переводу денежных средств, в отношении которых кредитная организация не приостановила исполнение распоряжений о совершении операций по переводу денежных средств в соответствии с частью 5.1 статьи 8 Федерального закона [11] и по которым получены уведомления от клиентов - физических лиц об использовании электронного средства платежа без их согласия, в том числе в соответствии с частью 11 статьи 9 Федерального закона [11], за отчетн |