| Название риска | Описание шаблона риска |
|---|---|
| СПАМ-угрозы | СПАМ-угрозы |
| Незащищенность электронной почты | Незащищенность электронной почты |
| Незащищенный удаленный доступ (санкционированный) к ИС и ПК | Незащищенный удаленный доступ (санкционированный) к ИС и ПК |
| Несанкционированный удаленный доступ к ИС и ПК | Несанкционированный удаленный доступ к ИС и ПК |
| DDoS-атаки на АБС и компьютеры сотрудников банка | DDoS-атаки на АБС и компьютеры сотрудников банка |
| Неправомочная скрытая продолжительная эксплуатация информационно- вычислительных ресурсов | Неправомочная скрытая продолжительная эксплуатация информационно-вычислительных ресурсов |
| Совмещение обязанностей разработчика и пользователя ПО | Совмещение обязанностей разработчика и пользователя ПО |
| Программные атаки на возможности процессоров и оперативной памяти | Программные атаки на возможности процессоров и оперативной памяти |
| Нарушения порядка копирования (резервирования) информации | Нарушения порядка копирования (резервирования) информации |
| Возникновение окон уязвимости в защите информационных систем, связанное с использованием «заплат» в защищенном ПО | Возникновение окон уязвимости в защите информационных систем, связанное с использованием «заплат» в защищенном ПО |
| Изменение конфигурации средств и систем обработки информации | Изменение конфигурации средств и систем обработки информации |
| Проникновение в информационные системы вредоносных кодов | Проникновение в информационные системы вредоносных кодов |
| Использование неполной или искаженной информации | Использование неполной или искаженной информации |
| Потеря или недоступность важных данных | Потеря или недоступность важных данных |
| Сбои программного управления | Сбои программного управления |
| Выход из строя технических средств вследствие форс-мажорных обстоятельств | Выход из строя технических средств вследствие форс-мажорных |
| Обычный выход из строя технических средств | Обычный выход из строя технических средств (среднестатистический) |
| Дефицит организационных процедур, позволяющих проводить внутренние служебные разбирательства по фактам нарушений рисков конфиденциальности | Дефицит организационных процедур, позволяющих проводить внутренние |
| Отсутствие механизмов регистрации несанкционированного допуска к информации для идентификации, авторизации клиентов и сотрудников банка | Отсутствие механизмов регистрации несанкционированного допуска к информации для идентификации, авторизации клиентов и сотрудников банка |
| Отсутствие в системах ДБО защитных мер, обеспечивающие невозможность отказа от авторства проводимых операций и транзакций | Отсутствие в системах ДБО защитных мер, обеспечивающие невозможность отказа от авторства проводимых операций и транзакций (например, ЭЦП) |
| Отсутствие процедур мониторинга и анализа всех выполненных операций | Отсутствие процедур мониторинга и анализа всех выполненных операций |
| Фактические кражи и хищения технических средств | Фактические кражи и хищения технических средств (телефоны, ноутбуки, |
| Перехват данных различными способами | Перехват данных различными способами |
| Виртуальные кражи и подлоги с использованием персональных данных | Виртуальные кражи и подлоги с использованием персональных данных |
| Недостоверная идентификация пользователей ИС | Недостоверная идентификация пользователей ИС |
| Нарушения порядка хранения и передачи паролей | Нарушения порядка хранения и передачи паролей |
| Несанкционированное использование системы электронных платежей, дистанционного банковского обслуживания (ДБО) | Несанкционированное использование системы электронных платежей, |
| Несоблюдение конфиденциальности паролей | Несоблюдение конфиденциальности паролей |
| Несанкционированный доступ к паролям и ключам | Несанкционированный доступ к паролям и ключам |
| Принятие в эксплуатацию непротестированных СКЗИ | Принятие в эксплуатацию непротестированных СКЗИ |
| Возможность бесконтрольного съема информации с внутренних позиций | Возможность бесконтрольного съема информации с внутренних позиций |
| Возможность удаленного съема информации с внешних позиций | Возможность удаленного съема информации с внешних позиций |
| Продолжительное сохранение окна авторизации при бездействии или в случае выхода сотрудника из помещения | Продолжительное сохранение окна авторизации при бездействии или |
| Утечка служебной информации по различным каналам | Утечка служебной информации по различным каналам |
| Отсутствие четких регламентов работы с персональным данными | Отсутствие четких регламентов работы с персональным данными |
| Несанкционированный доступ к данным в ИС и ПК | Несанкционированный доступ к данным в ИС и ПК |
| Возможность внешнего проникновения в Intranet системы банка | Возможность внешнего проникновения в Intranet системы банка |
| Использование несертифицированных и нелицензионных продуктов | Использование несертифицированных и нелицензионных продуктов |
| Упоминание банка в контексте экстремизма, отмывания финансовых средств, киберугроз и кибертерроризма | Упоминание банка в контексте экстремизма, отмывания финансовых средств, |
| Распространение во внешней среде информации экономического характера, угрожающей репутации банка | Распространение во внешней среде информации экономического характера, |
| Бесконтрольное использование Интернета | Бесконтрольное использование Интернета |
| Злоумышленные действия при сервисном обслуживании | Злоумышленные действия при сервисном обслуживании |
| Бесконтрольное использование и списание носителей информации | Бесконтрольное использование и списание носителей информации |
| Отсутствие систем видеонаблюдения за ключевыми узлами информационных систем, контроля доступа в рабочие помещения | Отсутствие систем видеонаблюдения за ключевыми узлами информационных |
| Отсутствие регламента действий сотрудников ИБ в случае возникновения нештатной ситуации | Отсутствие регламента действий сотрудников ИБ в случае возникновения |
| Отсутствие средств сигнализации при возникновении нештатных ситуаций | Отсутствие средств сигнализации при возникновении нештатных ситуаций |
| Совмещение обязанностей администратора ИС и администратора ИБ | Совмещение обязанностей администратора ИС и администратора ИБ |
| Злоумышленные действия администратора сетей | Злоумышленные действия администратора сетей |
| Нанесение умышленного вреда нелояльными сотрудниками | Нанесение умышленного вреда нелояльными сотрудниками |
| Ошибки персонала, низкая квалификация | Ошибки персонала, низкая квалификация |