Вопрос: О применении кредитными организациями стандарта "Руководство по контрольным показателям риска информационной безопасности, связанным с операциями без согласия клиентов".
Ответ: Департамент информационной безопасности Банка России рассмотрел стандарт Экспертного центра по применению продвинутых подходов к оценке банковских рисков для регуляторных целей "Руководство по контрольным показателям риска информационной безопасности, связанным с операциями без согласия клиентов" (далее - Руководство) и сообщает следующее.
Руководство не противоречит требованиям, установленным Положением Банка России от 8 апреля 2020 года N 716-П "О требованиях к системе управления операционным риском в кредитной организации и банковской группе" (далее - Положение Банка России N 716-П).
Вместе с тем отмечаем, что в целях обеспечения единства подходов по установлению целевых значений и расчету фактических значений количественных контрольных показателей уровня риска информационной безопасности, связанных с осуществлением перевода денежных средств без согласия клиента, а также установлению пороговых значений и расчету фактических значений количественных показателей, направленных на измерение и контроль уровня риска информационной безопасности в определенный момент времени (далее - единство подходов), Банком России были опубликованы Методические рекомендации по установлению целевых значений и расчету фактических значений количественных контрольных показателей уровня риска информационной безопасности, связанных с осуществлением перевода денежных средств без согласия клиента, а также установлению пороговых значений и расчету фактических значений ключевых индикаторов риска информационной безопасности от 30 ноября 2023 года N 17-МР (далее - Методические рекомендации Банка России).
Обращаем внимание, что Руководство не способствует обеспечению единства подходов с учетом Методических рекомендаций Банка России.
В частности, подход к расчету значений контрольных показателей уровня риска информационной безопасности, изложенный в текущей редакции Руководства, отличается от подхода, представленного в Методических рекомендациях Банка России. Так, Методические рекомендации Банка России предусматривают расчет значений контрольных показателей уровня риска информационной безопасности дополнительно в разрезе групп типов операций, определенных отчетностью по форме 0403203 "Сведения о событиях, связанных с нарушением защиты информации при осуществлении переводов денежных средств" (далее - отчетность по форме 0403203).
В то же время полагаем, что указанное расхождение не является препятствием к применению кредитными организациями Руководства.
Также сообщаем о необходимости дальнейшего учета изменений, связанных с совершенствованием механизма противодействия хищению денежных средств ("антифрода"), предусмотренного Федеральным законом от 24 июля 2023 года N 369-ФЗ "О внесении изменений в Федеральный закон "О национальной платежной системе" (вступает в силу с 25 июля 2024 года), а также с соответствующими изменениями отчетности по форме 0403203.
Директор Департамента
информационной безопасности
В.А.УВАРОВ
14.06.2024