Риск информационной безопасности
Риск информационной безопасности как вид операционного риска: актуальная нормативная база (851-П заменил 683-П с 29.03.2025), требования 821-П и связь с СУОР по 716-П.
Актуальность проверена: 2026-05-28
Кратко
Риск информационной безопасности является видом операционного риска по 716-П. Для банков актуальный профильный документ по защите информации - 851-П, действующее с 29.03.2025; 683-П утратило силу с этой даты. 821-П остается важным для требований к защите информации при переводах денежных средств. 757-П относится к некредитным финансовым организациям и для банков не является базовым актом, кроме случаев совмещения деятельности и единого контура безопасности.
Нормативная база
- Положение Банка России № 716-П от 08.04.2020.
- Положение Банка России № 851-П от 30.01.2025.
- Положение Банка России № 821-П от 17.08.2023.
- Положение Банка России № 683-П от 17.04.2019 - утратило силу с 29.03.2025.
- Положение Банка России № 757-П от 20.04.2021 - для НФО.
Суть требования
Банк должен управлять риском ИБ в рамках СУОР, фиксировать события риска ИБ в базе событий при реализации операционного риска, выполнять требования защиты информации и обеспечивать взаимодействие ИБ со службой управления рисками. Инциденты защиты информации требуют отдельной технической и регуляторной обработки.
Практическое значение для банка
- ИБ классифицирует инциденты и источники угроз.
- СУР отражает значимые события ИБ в базе операционного риска.
- ИТ обеспечивает технические меры и журналы.
- Бизнес оценивает клиентский эффект и компенсации.
- Юристы и комплаенс оценивают правовые, регуляторные и договорные последствия.
Типовые ситуации
- Операция без согласия клиента.
- Социальная инженерия с клиентским ущербом.
- Компрометация учетных данных.
- Нарушение целостности электронного сообщения.
- Инцидент поставщика, влияющий на защищаемую информацию.
Что должен сделать банк
- Заменить 683-П на 851-П во внутренних ссылках.
- Проверить переходные даты 851-П: 29.03.2025, 01.10.2025, 01.01.2027.
- Описать связь ИБ-инцидентов с базой событий.
- Настроить обмен данными между ИБ, ИТ, СУР и бизнесом.
- Разделять риск ИБ, риск ИС и внешний мошеннический фактор.
- Проверить применимость 821-П и 757-П в конкретной деятельности.
Риски неправильного применения
Использование 683-П как актуального документа после 29.03.2025 методологически неверно. Второй риск - вести ИБ-инциденты отдельно и не отражать события с потерями или клиентским эффектом в базе операционного риска. Третий риск - автоматически считать социальную инженерию риском ИБ без анализа фактов и классификаторов.
Связанные заметки
- События ИБ и операционный риск
- Взаимодействие ИБ и службы управления рисками
- Риск информационных систем
- Сбойные операции по картам
Вопросы для самопроверки
- Какие внутренние документы еще ссылаются на 683-П?
- Какие события ИБ попадают в базу операционного риска?
- Как отделяется ИБ от ИС?
- Какие требования 851-П вступают позднее?
- Когда применим 757-П?
Источники
Живой сад
Этот текст можно улучшать вместе
Выдели фрагмент в заметке и нажми «Сообщить» — откроется короткая форма с контекстом.
Ниже можно оставить комментарий через Telegram, когда заметка связана с публикацией канала.
Добавь `telegramPostId` в публичную заметку, чтобы здесь появился виджет обсуждения.