Что такое информационные риски
Информационные риски.
Информационный риск – это возможность наступления случайного события, приводящего к нарушениям функционирования и снижению качества информации в информационной системе предприятия (ИСП), а также к неправомерному использованию или распространению информации во внешней среде, в результате которых наносится ущерб предприятию. Информационный риск оказывает отрицательное воздействие на результаты функционирования предприятия по определенной схеме.
ИТ-риски можно разделить на две категории:
· риски, вызванные утечкой информации и использованием ее конкурентами или сотрудниками в целях, которые могут повредить бизнесу;
· риски технических сбоев работы аппаратного и программного обеспечения, каналов передачи информации, которые могут привести к убыткам.
Классификация информационных рисков
Все информационные риски можно классифицировать на различные группы на основании нескольких критериев:
1. По источникам информационные риски делятся на внутренние и внешние;
2. По характеру – на преднамеренные и непреднамеренные;
3. По виду – прямые или косвенные;
4. По результату – нарушение достоверности информации, нарушение актуальности информации, нарушение полноты информации, нарушение конфиденциальности и др.
5. По механизму воздействия: стихийные бедствия, аварии, ошибки специалистов и др.
Существует три пути причинения ущерба предприятию в результате реализации информационного риска. Ущерб может быть следствием использования в бизнес-процессе управляющей информации, качество которой в результате воздействия информационного риска снизилось до неприемлемого уровня. Например, применение недостоверной информации, нарушение доступности информации в течение времени, превышающего предельно допустимое, приведут к ущербу предприятия. Предприятия несут убытки за счет прямого воздействия информационных рисков на объекты информационной системы, в результате которого объекты приходят в неработоспособное состояние. Такие риски будем называть прямыми информационными рисками. Для восстановления их работоспособности предприятие вынуждено расходовать ресурсы. Примерами таких рисков являются уничтожение технических средств в результате аварий и стихийных бедствий, утраты программных средств, информационных баз данных и т. п.
Третьим путем причинения ущерба предприятию в результате реализации информационных рисков является изменение внешней среды, которое сказывается на эффективности функционирования предприятия. Так, например, при нарушении конфиденциальности информации ухудшается конъюнктура рынка, возможен срыв переговоров с партнерами и другие последствия, приносящие ущерб материальным или интеллектуальным ресурсам предприятия. Большой ущерб предприятию наносится при попадании во внешнюю среду сведений об имевших место информационных рисках, касающихся предприятия. В некоторых случаях деловой репутации предприятия наносится такой ущерб, который может привести к банкротству предприятия.
Информационные риски, которые наносят ущерб предприятию, являющийся следствием воздействия рисков на бизнес-процессы предприятия или внешнюю среду, будем называть косвенными информационными рисками.
Процесс минимизации ИТ-рисков:
· Выявление возможных проблемы, а затем определение способов их решения.
· Определение сроков интеграции новых технологий при необходимости, по причине преобразования или слияния организации.
· Оптимизация бизнес-процессов организации.
· Обеспечение защиты интеллектуальной собственности организации и ее клиентов.
· Разработка порядка действий при форс-мажорных обстоятельствах.
· Определение фактических потребностей информационных ресурсов.
Обязательным условием успешного риск-менеджмента в области информационных технологий является его непрерывность. Поэтому оценка ИТ-рисков, а также разработка и обновление планов по их минимизации должны производиться с определенной периодичностью, например раз в квартал. Периодический аудит системы работы с информацией (информационный аудит), проводимый независимыми экспертами, будет дополнительно способствовать минимизации рисков.
Политические риски.
Политический риск – это вероятность того, что изменения законодательных и нормативно-регулирующих актов внутри страны или за её пределами окажет негативное воздействие на прибыль, операции и перспективы фирмы, поскольку политический риск связан не только с конкретной страной, но и с соседними странами или регионами.
Политические риски подразделяются на группы:
Риск потери собственности (например, национализация или экспроприация без надлежащей компенсации).
Риск трансферта, связанный с ограничением экспорта продукции или ресурсов, с ограничениями относительно конвертации локальной валюты в иностранную и осуществлением расчётов по внешнеэкономическим контрактам.
Контрактный риск, т.е. риск расторжения контракта вследствие действий правительства страны, в которой находится компания-контрагент.
Риск изменения регулирующих норм (законодательной базы, изменение торгового режима и таможенной политики, изменения в налоговой системе, валютном регулировании, регулировании внешнеполитической деятельности страны).
Операционный риск, который затрагивает свободу действий руководителей компаний.
Риск военных действий, гражданских беспорядков, смены власти.
Макрополитический риск затрагивает всех экономических субъектов данной страны без исключения и оценивается по политическим, социальным, экономическим, юридическим параметрам в каждой стране.
Микрополитический риск касается только предприятий, обладающих определенными характеристиками, и его оценка производится для каждой операции в отдельности.
Также политические риски можно разделить на:
· риск, вызванный регулятивными мерами, затрагивающими всех субъектов;
· риск, вызванный дискриминационными мерами, ставящими одни предприятия в более выгодное положение по сравнению с другими;
· риск, вызванный выборочным вмешательством, которое влияет на деятельность одного определенного предприятия.
Наиболее общая классификация основывается на разделении политических рисков, возникших в результате непредвиденных событий под влиянием общей ситуации в стране, и рисков, вызванных действиями органов власти. Эта классификация объединяет практически все виды политических рисков:
· непредвиденные события (революция, смена власти, изменения в правительстве, война, политические беспорядки, гражданская война, ущерб, причиненный иностранным сотрудникам);
· действия органов власти:
· политического характера (конфискация активов, введение эмбарго, изменение законодательства);
· административного характера (аннулирование лицензий);
· макроэкономического характера (запрет на конвертацию или перевод средств за границу, кардинальные изменения в проводимой экономической политике);
· микроэкономического или финансового характера (одностороннее расторжение контракта государственным предприятием, неплатеж со стороны государственных покупателей, несоблюдение арбитражных постановлений, непоставка продукции).
Методика оценки рисков информационной безопасности
Что делать после того, как проведена идентификация информационных ресурсов и активов, определены их уязвимости, составлен перечень угроз? Необходимо оценить риски информационной безопасности от реализации угроз. Это нужно для того, чтобы адекватно выбрать меры и средства защиты информации.
На практике применяются количественный и качественный подходы к оценке рисков ИБ. В чем их разница?
Количественный метод
Количественная оценка рисков применяется в ситуациях, когда исследуемые угрозы и связанные с ними риски можно сопоставить с конечными количественными значениями, выраженными в деньгах, процентах, времени, человекоресурсах и проч. Метод позволяет получить конкретные значения объектов оценки риска при реализации угроз информационной безопасности.
При количественном подходе всем элементам оценки рисков присваивают конкретные и реальные количественные значения. Алгоритм получения данных значений должен быть нагляден и понятен. Объектом оценки может являться ценность актива в денежном выражении, вероятность реализации угрозы, ущерб от реализации угрозы, стоимость защитных мер и прочее.
Как провести количественную оценку рисков?
1. Определить ценность информационных активов в денежном выражении.
2. Оценить в количественном выражении потенциальный ущерб от реализации каждой угрозы в отношении каждого информационного актива.
Следует получить ответы на вопросы «Какую часть от стоимости актива составит ущерб от реализации каждой угрозы?», «Какова стоимость ущерба в денежном выражении от единичного инцидента при реализации данной угрозы к данному активу?».
3. Определить вероятность реализации каждой из угроз ИБ.
Для этого можно использовать статистические данные, опросы сотрудников и заинтересованных лиц. В процессе определения вероятности рассчитать частоту возникновения инцидентов, связанных с реализацией рассматриваемой угрозы ИБ за контрольный период (например, за один год).
4. Определить общий потенциальный ущерб от каждой угрозы в отношении каждого актива за контрольный период (за один год).
Значение рассчитывается путем умножения разового ущерба от реализации угрозы на частоту реализации угрозы.
5. Провести анализ полученных данных по ущербу для каждой угрозы.
По каждой угрозе необходимо принять решение: принять риск, снизить риск либо перенести риск.
Принять риск — значит осознать его, смириться с его возможностью и продолжить действовать как прежде. Применимо для угроз с малым ущербом и малой вероятностью возникновения.
Снизить риск — значит ввести дополнительные меры и средства защиты, провести обучение персонала и т д. То есть провести намеренную работу по снижению риска. При этом необходимо произвести количественную оценку эффективности дополнительных мер и средств защиты. Все затраты, которые несет организация, начиная от закупки средств защиты до ввода в эксплуатацию (включая установку, настройку, обучение, сопровождение и проч.), не должны превышать размера ущерба от реализации угрозы.
Перенести риск — значит переложить последствия от реализации риска на третье лицо, например с помощью страхования.
В результате количественной оценки рисков должны быть определены:
Количественный анализ рисков информационной безопасности (пример)
Рассмотрим методику на примере веб-сервера организации, который используется для продажи определенного товара. Количественный разовый ущерб от выхода сервера из строя можно оценить как произведение среднего чека покупки на среднее число обращений за определенный временной интервал, равное времени простоя сервера. Допустим, стоимость разового ущерба от прямого выхода сервера из строя составит 100 тысяч рублей.
Теперь следует оценить экспертным путем, как часто может возникать такая ситуация (с учетом интенсивности эксплуатации, качества электропитания и т д.). Например, с учетом мнения экспертов и статистической информации, мы понимаем, что сервер может выходить из строя до 2 раз в год.
Умножаем две эти величины, получаем, что среднегодовой ущерб от реализации угрозы прямого выхода сервера из строя составляет 200 тысяч рублей в год.
Эти расчеты можно использовать при обосновании выбора защитных мер. Например, внедрение системы бесперебойного питания и системы резервного копирования общей стоимостью 100 тысяч рублей в год позволит минимизировать риск выхода сервера из строя и будет вполне эффективным решением.
Качественный метод
К сожалению, не всегда удается получить конкретное выражение объекта оценки из-за большой неопределенности. Как точно оценить ущерб репутации компании при появлении информации о произошедшем у нее инциденте ИБ? В таком случае применяется качественный метод.
При качественном подходе не используются количественные или денежные выражения для объекта оценки. Вместо этого объекту оценки присваивается показатель, проранжированный по трехбалльной (низкий, средний, высокий), пятибалльной или десятибалльной шкале (0… 10). Для сбора данных при качественной оценке рисков применяются опросы целевых групп, интервьюирование, анкетирование, личные встречи.
Анализ рисков информационной безопасности качественным методом должен проводиться с привлечением сотрудников, имеющих опыт и компетенции в той области, в которой рассматриваются угрозы.
Как провести качественную оценку рисков:
1. Определить ценность информационных активов.
Ценность актива можно определить по уровню критичности (последствиям) при нарушении характеристик безопасности (конфиденциальность, целостность, доступность) информационного актива.
2. Определить вероятность реализации угрозы по отношению к информационному активу.
Для оценки вероятности реализации угрозы может использоваться трехуровневая качественная шкала (низкая, средняя, высокая).
3. Определить уровень возможности успешной реализации угрозы с учетом текущего состояния ИБ, внедренных мер и средств защиты.
Для оценки уровня возможности реализации угрозы также может использоваться трехуровневая качественная шкала (низкая, средняя, высокая). Значение возможности реализации угрозы показывает, насколько выполнимо успешное осуществление угрозы.
4. Сделать вывод об уровне риска на основании ценности информационного актива, вероятности реализации угрозы, возможности реализации угрозы.
Для определения уровня риска можно использовать пятибалльную или десятибалльную шкалу. При определении уровня риска можно использовать эталонные таблицы, дающие понимание, какие комбинации показателей (ценность, вероятность, возможность) к какому уровню риска приводят.
5. Провести анализ полученных данных по каждой угрозе и полученному для нее уровню риска.
Часто группа анализа рисков оперирует понятием «приемлемый уровень риска». Это уровень риска, который компания готова принять (если угроза обладает уровнем риска меньшим или равным приемлемому, то она не считается актуальной). Глобальная задача при качественной оценке — снизить риски до приемлемого уровня.
6. Разработать меры безопасности, контрмеры и действия по каждой актуальной угрозе для снижения уровня риска.
Какой метод выбрать?
Целью обоих методов является понимание реальных рисков ИБ компании, определение перечня актуальных угроз, а также выбор эффективных контрмер и средств защиты. Каждый метод оценки рисков имеет свои преимущества и недостатки.
Количественный метод дает наглядное представление в деньгах по объектам оценки (ущербу, затратам), однако он более трудоемок и в некоторых случаях неприменим.
Качественный метод позволяет выполнить оценку рисков быстрее, однако оценки и результаты носят более субъективный характер и не дают наглядного понимания ущерба, затрат и выгод от внедрения СЗИ.
Выбор метода следует делать исходя из специфики конкретной компании и задач, поставленных перед специалистом.
Разработайте политику безопасности, проверьте защищенность сети, определите угрозы
Станислав Шиляев, руководитель проектов по информационной безопасности компании «СКБ Контур»
Не пропустите новые публикации
Подпишитесь на рассылку, и мы поможем вам разобраться в требованиях законодательства, подскажем, что делать в спорных ситуациях, и научим больше зарабатывать.
Что такое информационные риски
(1).jpg "Что такое информационные риски. Смотреть фото Что такое информационные риски. Смотреть картинку Что такое информационные риски. Картинка про Что такое информационные риски. Фото Что такое информационные риски")
Об актуальных изменениях в КС узнаете, став участником программы, разработанной совместно с АО «Сбербанк-АСТ». Слушателям, успешно освоившим программу выдаются удостоверения установленного образца.
Программа разработана совместно с АО «Сбербанк-АСТ». Слушателям, успешно освоившим программу, выдаются удостоверения установленного образца.
Обзор документа
Разъяснения Банка России от 11 ноября 2020 г. № 716-Р-2020/11 «О видах риска информационной безопасности»
Кроме того, какие риски следует относить к другим видам риска, указанным в абзаце втором пункта 7.2 Положения Банка России N 716-П?
2. Соответствует ли определение «компьютерная атака», используемое в Положении Банка России N 716-П, определению термина «компьютерная атака», используемому в следующий стандартах: Р 50.1.053-2005, Р 51275-2006, Р 50.1.056-2005?
3. Согласно пункту 4.1 приложения 5 к Положению Банка России N 716-П к прямым потерям от реализации событий риска информационной безопасности, в том числе киберриска, относятся выплаты компенсаций клиентам и контрагентам в результате осуществления переводов денежных средств без согласия клиента. Просим пояснить, относятся ли данные компенсации клиентам и контрагентам, выполняемые кредитной организацией на добровольной основе, к прямым потерям от реализации событий риска информационной безопасности, в том числе киберриска?
4. Какие события риска информационной безопасности, в том числе киберриска, могут привести к качественным потерям, указанным в пункте 4.3 приложения 5 к Положению Банка России N 716-П, в частности к «возникновению уязвимостей в объектах информационной инфраструктуры, программном обеспечении и приложениях, банковских процессах», а также какие потери могут быть отнесены к виду «другие потери качества объектов информационной инфраструктуры кредитной организации»?
5. Каким образом следует учитывать в соответствии с требованиями Положения Банка России N 716-П риск информационной безопасности, который не был реализован, но в то же время может являться источником потерь в будущем?
Перечисленные случаи хищения денежных средств у клиентов кредитной организации относятся к «другим видам риска информационной безопасности, связанным с обработкой (хранением, уничтожением) информации без использования объектов информационной инфраструктуры», указанному в абзаце третьем пункта 7.2 Положения Банка России N 716-П, то есть не являются событиями киберриска, определенными в абзаце втором пункта 7.2 Положения Банка России N 716-П, так как они совершаются без преднамеренных действий в целях нарушения или прекращения функционирования объектов информационной инфраструктуры кредитной организации, а только лишь используют работающую инфраструктуру кредитной организации для целей хищения путем применения незаконно полученных кодов авторизации операций, доступа или иных критериев идентификации вне информационной инфраструктуры кредитной организации. Кредитная организация вправе самостоятельно разработать в соответствии с пунктом 3.4 Положения Банка России N 716-П дополнительную классификацию видов (способов) несанкционированного получения клиентских кодов авторизации или идентификации в рамках дополнительной классификации источников событий риска информационной безопасности по источнику «внешние причины» в соответствии с пунктом 2.4 приложения 5 к Положения Банка России N 716-П, а также самостоятельно разработать в соответствии с пунктом 3.8 Положения Банка России N 716-П для разновидностей этих случаев последующие уровни классификации в рамках типа события «преднамеренные действия третьих лиц», указанного в подпункте 3.6.2 пункта 3.6 Положения Банка России N 716-П.
Термин «компьютерная атака» применяется в Положении Банка России N 716-П в значении, определенном в перечисленных в вопросе ГОСТах.
В соответствии с подпунктом 3.12.3 пункта 3.12 Положения Банка России N 716-П компенсации потерь клиентов из-за действий третьих лиц, выплаченные кредитной организацией во внесудебном порядке, являются прямыми потерями от реализации операционного риска и должны регистрироваться в базе событий безотносительно того, принудительно или по собственной инициативе («доброй воле») кредитная организация осуществила данную компенсацию, с признанием или не признанием своей «вины».
Примером события риска информационной безопасности, приводящего к качественным потерям, является DDOS-атака, которая может остановить выполнение бизнес-процесса кредитной организации или нарушить его функционирование, нарушить целостность информации, хранящейся в информационных базах.
Обращаем внимание, что категория «другие потери качества объектов информационный инфраструктуры кредитной организации» создана для того, чтобы кредитные организации могли относить к данной категории другие потери, не перечисленные в приложении 5 к Положению Банка России N 716-П.
В целях регулирования работы кредитной организации с операционными рисками, которые не реализовались в настоящий момент, но могут реализоваться в будущем, Положением Банка России N 716-П предусмотрены процедуры управления операционным риском, определяемые в соответствии с подпунктом 2.1.1 пункта 2.1 Положения банка России N 716-П (идентификация операционного риска), подпунктом 2.1.4 пункта 2.1 Положения банка России N 716-П (например, оценка ожидаемых потерь от операционного риска), подпункта 2.1.5 пункта 2.1 Положения банка России N 716-П (качественная оценка операционного риска, которая предусматривает проведение самооценки операционного риска, где есть возможность анализировать вероятность и влияние не реализовавшихся рисков, но которые могут реализоваться). Также подпункт 2.1.5 пункта 2.1 Положения банка России N 716-П предусматривает проведение сценарного анализа операционного риска в отношении операционных рисков, а также их источников, которые не реализовались в кредитной организации, но у которых есть вероятность реализации с высоким уровнем потерь или других последствий.
Все вышеперечисленные процедуры применимы к управлению риском информационной безопасности как части операционного риска.
Обращаем внимание, что организатором и ответственным за методологию данных процедур является подразделение, ответственное за организацию управления операционным риском.
Обзор документа
Банк России выпустил разъяснения по видам рисков информационной безопасности, по их отнесению к событиям киберриска, а также по прямым потерям от реализации операционного риска.
В частности, указано, что примером события риска информационной безопасности, приводящего к качественным потерям, является DDOS-атака, которая может остановить выполнение бизнес-процесса кредитной организации, нарушить целостность данных.
Компенсации потерь клиентов из-за действий третьих лиц, выплаченные кредитной организацией во внесудебном порядке, являются прямыми потерями от реализации операционного риска и должны регистрироваться в базе событий независимо от того, принудительно или по собственной инициативе банк произвел компенсацию, с признанием или непризнанием своей вины.
Что такое информационные риски
Об актуальных изменениях в КС узнаете, став участником программы, разработанной совместно с АО «Сбербанк-АСТ». Слушателям, успешно освоившим программу выдаются удостоверения установленного образца.
Программа разработана совместно с АО «Сбербанк-АСТ». Слушателям, успешно освоившим программу, выдаются удостоверения установленного образца.
Обзор документа
Разъяснения Банка России от 30 сентября 2021 г. N 716-Р-2021/44 “Разъяснения по управлению риском информационной безопасности и риском информационных систем”
Кредитная организация в соответствии с пунктом 6.9 Положения N 716-П вправе вести учет событий риска ИБ и риска ИС как в составе базе событий операционного риска (консолидировано), так и раздельно. В случае если кредитная организация ведет отдельные базы событий по риску ИБ и риску ИС, в данной кредитной организации должен быть разработан порядок интеграции информации, содержащейся в вышеуказанных базах событий, с базой событий операционного риска. В том числе кредитной организацией во внутренних документах должно быть определено следующее:
порядок взаимодействия подразделения, ответственного за организацию управления операционным риском, со службой информационной безопасности и с подразделением (подразделениями), ответственным (ответственными) за обеспечение функционирования информационных систем, по вопросам передачи информации о событиях риска ИБ и риска ИС, как минимум по передаче информации о событиях риска ИБ и риска ИС с прямыми потерями, расследования обстоятельств данных событий и разработки мероприятий, направленных на повышение эффективности управления данными рисками и уменьшение их негативного влияния;
перечень лиц, ответственных за ведение базы событий по риску ИБ и риску ИС, в том числе за своевременную передачу информации о событиях данных видов операционного риска в подразделение, ответственное за организацию управления операционным риском, для включения их базу событий операционного риска;
сроки и формат передачи данных о событиях риска ИБ и риска ИС в целях регистрации в базе событий операционного риска, с учетом требований пункта 6.10 Положения N 716-П.
В силу специфики процедур управления риском информационной безопасности Банк России рекомендует обратить особое внимание на подходы к дополнительной классификации риска информационной безопасности, указанные в приложении 5 к Положению N 716-П, в разрезе типов событий, категорий источников операционного риска, направлений деятельности, в том числе в разрезе составляющих их процессов. Также в соответствии с приложением 5 к Положению N 716-П кредитная организация обязана использовать дополнительные (специфические) виды прямых и непрямых потерь от реализации риска информационной безопасности для классификации событий риска информационной безопасности в дополнение к установленным в пункте 3.11 Положения N 716-П. Кроме того, дополнительная классификация событий риска ИБ, указанная в приложении 5 Положения N 716-П, не заменяет основную классификацию событий операционного риска, указанную в главе 3 Положения N 716-П. Событие риска ИБ сначала должно быть классифицировано в соответствии с требованиями главы 3 Положения 716-П, в том числе по типам событий операционного риска, перечисленным в пункте 3.6 Положения 716-П, и уже в разрезе элементов классификации дополнительно классифицировано, в соответствии с приложением 5 к Положению N 716-П.
Обращаем внимание, что в случае если для кредитной организации (исходя из вида лицензии и масштаба деятельности) в соответствии с требованиями главы 9 Положения N 716-П процедура регистрации в базе событий операционного риска (в том числе риска ИБ и риска ИС), по которым отсутствуют прямые и непрямые потери, носит рекомендательный характер. Банк России рекомендует кредитной организации как для внутренних целей (например, определений КИР), так и для целей соблюдения иных нормативных актов Банка России самостоятельно определить необходимость регистрации событий операционного риска по отдельным видам операционного риска (например, событий риска информационной безопасности) и (или) типам событий, и (или) отдельным процессам, которые были предотвращены и которые не привели как к прямым, так и непрямым потерям.
При разработке и утверждении перечня контрольных показателей уровня операционного риска в соответствии с требованиями главы 5 Положения N 716-П необходимо учитывать, что данный перечень должен содержать контрольные показатели уровня риска ИБ, указанные в пункте 1.2 приложения 1 к Положению N 716-П. В соответствии с абзацем седьмым подпункта 7.9.2 пункта 7.9 Положения N 716-П служба информационной безопасности обязана осуществлять мониторинг сигнальных и контрольных значений контрольных показателей уровня риска ИБ. Рекомендуем кредитной организации обеспечить организацию информационного обмена между соответствующими подразделениями кредитной организации и информационными системами в целях передачи службой информационной безопасности результатов мониторинга текущих (то есть фактических на расчетную дату), сигнальных и контрольных значений контрольных показателей уровня риска ИБ в службу управления рисками для формирования внутренних отчетов по управлению операционным риском в соответствии с пунктом 4.2 Положения Банка России N 416-П.
Обращаем внимание, что требования пункта 4.2 Положения N 716-П к формированию отчетов по операционному риску распространяются также на отчеты по риску ИБ и риску ИС, в том числе:
требование о необходимости ежедневной передачи информации о крупных событиях риск ИБ и риска ИС в службу управления рисками кредитной организации, в соответствии с подпунктом 4.2.1 пункта 4.2 Положения N 716-П;
требования к формированию ежеквартальных и ежегодных отчетов в соответствии с подпунктами 4.2.2 и 4.2.3 пункта 4.2 Положения N 716-П.
Обзор документа
Кредитная организация вправе вести учет событий риска информационной безопасности (риск ИБ) и риска информационных систем (риск ИС) как в составе базы событий операционного риска (консолидировано), так и раздельно.
В силу специфики процедур управления риском информационной безопасности рекомендуется обратить особое внимание на подходы к дополнительной классификации.
— как быть, если для кредитной организации процедура регистрации в базе событий операционного риска (в том числе риска ИБ и риска ИС) носит рекомендательный характер;
— что учитывать при разработке и утверждении перечня контрольных показателей уровня операционного риска;
— какие требования распространяются на отчеты по риску ИБ и риску ИС.