Откройте актуальную версию документа прямо сейчас
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
Купить систему ГАРАНТ
Получить демо-доступ
Узнать стоимость
Информационный банк
Подобрать комплект
Семинары
- Главная
- Регламент Европейского Парламента и Совета Европейского Союза 2022/2554 от 14 декабря 2022 г. о цифровой операционной устойчивости финансового сектора, а также об изменении Регламентов (EC) 1060/2009, (ЕС) 648/2012, (ЕС) 600/2014, (ЕС) 909/2014 и (ЕС) 2016/1011
- Глава II. Управление ICT-рисками
- Раздел II
- Статья 8. Идентификация
Статья 8. Идентификация
Статья 8
Идентификация
1. В рамках системы управления ICT-рисками, указанной в Статье 6(1) настоящего Регламента, финансовые организации должны идентифицировать, классифицировать и должным образом подтверждать документами все коммерческие операции, должности и обязанности, поддерживаемые ICT, информационные активы и ICT-активы, поддерживающие такие функции, а также их роли и зависимость в отношении ICT-рисков. Финансовые организации должны пересматривать по мере необходимости, но не реже одного раза в год, достаточность этой классификации и любой соответствующей документации.
2. Финансовые организации должны на постоянной основе выявлять все источники ICT-рисков, в частности подверженность риску со стороны других финансовых организаций, и оценивать киберугрозы и факторы уязвимости ICT, относящиеся к их коммерческим операциям, поддерживаемым ICT, информационным активам и ICT-активам. Финансовые организации должны регулярно, но не реже одного раза в год, пересматривать сценарии влияющих на них рисков.
3. Финансовые организации, за исключением микропредприятий, должны проводить оценку рисков при каждом крупном изменении в инфраструктуре их сетевых и информационных систем, в их процессах или процедурах, которые затрагивают их коммерческие операции, поддерживаемые ICT, информационные активы или ICT-активы.
4. Финансовые организации должны идентифицировать все информационные активы и ICT-активы, в том числе находящиеся на удаленных сайтах, а также сетевые ресурсы и аппаратное оборудование, и обозначить те, которые считаются стратегическими. Они должны обозначить конфигурацию информационных активов и ICT-активов, а также связи и взаимозависимости между различными информационными активами и ICT-активами.
5. Финансовые организации должны определить и подтвердить документами все процессы, которые зависят от сторонних поставщиков услуг ICT, а также определить взаимосвязи со сторонними поставщиками услуг ICT, которые оказывают услуги, поддерживающие выполнение критических или важных функций.
6. В целях параграфов 1, 4 и 5 настоящей Статьи финансовые организации должны вести соответствующие ведомости и обновлять их периодически и каждый раз, когда происходят какие-либо существенные изменения, указанные в параграфе 3 настоящей Статьи.
7. Финансовые организации, за исключением микропредприятий, должны на регулярной основе и не реже одного раза в год проводить оценку конкретных ICT-рисков для всех унаследованных систем ICT и в любом случае до и после подключения технологий, приложений или систем.