user-93929747651
Посты
Комментарии
----------
Цитата

user-36219925515 пишет:
Если можно связать уязвимости информационных систем (их классификацию) с инцидентами, то классификация по уязвимостям нашел.

----------


Мне кажется, что это не то. Должен быть выложен перечень на сайте ЦБ, но я его там не нахожу.

Вот что нашел по этому поводу:
----------
Цитата


Вопрос:
Какова дополнительная классификация типов инцидентов операционной надежности, перечень которых размещен на сайте Банка России в соответствии с абз. 8 п. 9 Проекта? Размещен ли этот перечень на сайте? Если нет, то каковы планируемые сроки его размещения? Для исключения неверного толкования предлагается дать ссылки на конкретные пункты и документ, где содержится перечень типов инцидентов. Необходимо ли будет переклассифицировать ранее зарегистрированные события в случае изменения перечня (с целью обеспечения сопоставимости данных)? Кроме того, размещение классификатора событий операционного риска и его обновление позволят обеспечить своевременное внесение изменений в банковские автоматизированные системы только с одновременным механизмом оперативного уведомления кредитных организаций об обновлениях. Также, по мнению ряда кредитных организаций, в силу динамичности перечня целесообразно предусмотреть возможность указания во внутренних документах банков ссылки на перечень Банка России, а не полное его дублирование.

Ответ:
По аналогии с инцидентами защиты информации сведения об инцидентах операционной надежности необходимо будет представлять в соответствии со стандартом Банка России СТО БР БФБО-1.5-2018 "Безопасность финансовых (банковских) операций. Управление инцидентами информационной безопасности. О формах и сроках взаимодействия Банка России с участниками информационного обмена при выявлении инцидентов, связанных с нарушением требований к обеспечению защиты информации", который будет доработан в части инцидентов операционной надежности и размещен на сайте Банка России в разделах "Информационная безопасность", "Стандарты Банка России". Ссылка на ненормативный акт недопустима по требованиям Минюста России. В этой связи дана ссылка на официальный сайт Банка России, указание конкретной веб-ссылки недопустимо. Во внутренних документах можно будет сделать отсылку на СТО БР БФБО-1.5-2018 (после его доработки в обновленном виде с учетом инцидентов операционной надежности).

----------


Я скачал этот СТО БР БФБО-1.5-2018 с сайта Банка России, но не нашел в нем перечень инцидентов операционной надежности. Похоже на то, что он до сих пор не доработан и не обновлен.
10.10.2022
16:58
----------
Цитата

kapitosha пишет:
Почему 3.13.2 необязательный? для банков с базовой лицензией требования главы 3 в целом является обязательном для исполнения. Относительно п.2.1.5 в новой редакции 716-П добавили обязательным для выполнения требования абзаца 19 подпункта 2.1.5.

----------


По 3.13.2 имеется какое-то противоречие на мой взгляд.
Из 9.3.1:
банк с базовой лицензией с учетом порога регистрации фиксирует в базе событий события операционного риска с прямыми потерями, а также потерями, указанными в абзаце втором подпункта 3.13.3 пункта 3.13 настоящего Положения

Если учет косвенных потерь (за исключением потерь, указанных в абзаце втором подпункта 3.13.3 пункта 3.13 Положения 716-П) не является обязательным требованием и не влияет ни на что, то зачем тогда делать их оценку по шкале?

По 2.1.5 - согласен. После внесенных изменений в 716-П придется делать моделирование.

Вы нашли на сайте Банка России перечень типов инцидентов операционной надежности?
10.10.2022
16:38
----------
Цитата

Кредитные организации при определении в соответствии с пунктом 3.7 Положения Банка России № 716-П дополнительных типов событий операционного риска должны предусматривать во внутренних документах классификацию типов инцидентов операционной надежности с использованием перечня типов инцидентов операционной надежности, размещаемого Банком России на официальном сайте Банка России в информационно-телекоммуникационной сети "Интернет" (далее - сеть "Интернет"), и обеспечивать их регулярную актуализацию.
----------


Кто-нибудь нашел на сайте Банка России данный перечень типов инцидентов операционной надежности?
08.09.2022
12:15

Все продукты Банки.ру

Показать ещеСкрыть