Что интересного по ИБ в проекте Положения Банка России “О требованиях к системе управления операционным риском…

Что интересного по ИБ в проекте Положения Банка России “О требованиях к системе управления операционным риском…

Создается впечатление, что проект Положения ради рисков ИБ и ИТ и написан. Во всяком случае по тексту проекта документа в нескольких местах специально указывается: “операционный риск, включая риск ИБ и риск ИС”.
Документ солидный - из категории 90+ и это не возраст, а количество страниц в Положении. Далее по тексту мои комментарии будут выделяться так: (Прим.).
В проекте Положения Банк России устанавливает требования к системе управления операционным риском в кредитной организации и банковской группе (Прим.далее для краткости - просто “КО”), включая требования к системам управления риском информационной безопасности и риском информационных систем, а также ведению аналитической базы данных о событиях операционного риска и потерях, понесенных вследствие реализации этого риска.
Бегло пробежимся по тексту проекта Положения Банка России, специально выделяя требования Положения по ИБ- и ИТ-рискам.
За что сразу цеплятся глаз “бумажного безопасника”? Например, за то, что с 4-ой главы Положения начинает мелькать термин “цифровая инфраструктура”, хотя и в законе №187-ФЗ “О безопасности критической информационной инфраструктуры”, и в ГОСТ Р 57580.1-2017 используется устоявшийся термин “информационная инфраструктура”. Кто-то из рисковиков-разработчиков проекта поддался магии “цифровой экономики”. Но вот в Приложении 2 к Положению всё же встречаем традиционный термин “информационная инфраструктура”, хотя в п.1.3 Приложения 2 опять упоминается “цифровая инфраструктура”.
Глава 1. Общие положения
1.2. Операционный риск присущ (Прим. для нормативного документа - слишком изыскано) всем направлениям КО, процессам и системам.
1.4. Риск информационной безопасности (далее – риск ИБ) определяется в соответствии с главой 7.1* настоящего Положения, риск информационных систем (далее – риск ИС), определяется в соответствии с пунктом 8.1** настоящего Положения.
_____
* 7.1 Банк, в соответствии с ГОСТ 57580.1-2017, Указом Президента РФ от 05 декабря 2016 года “Об утверждении Доктрины ИБ РФ”, определяет порядок управления риском недостатков процессов обеспечения информационной безопасности (Прим. что-то мало понятное!), а также несоответствие указанных процессов характеру и (или) масштабам деятельности Банка, требованиям нормативных актов Банка России, положениям национальных стандартов РФ и иных требований о защите данных (Прим. странно: обычно говорят “о защите информации”), разработанных Банком России в рамках законодательства РФ о техническом регулировании и стандартизации (далее – риск информационной безопасности).
** 8.1 Банк определяет систему управления риском отказов (нарушения функционирования) применяемых КО информационных систем и (или) недостаточности их функциональных возможностей (характеристик) потребностям КО (далее – риск ИС), включающей мероприятия и процедуры по обеспечению требований к непрерывности, безопасности и качеству функционирования информационных систем с учетом главы 7 настоящего Положения, в соответствии с Федеральным законом от 26 июля 2017 года № 187-ФЗ “О безопасности КИИ РФ”, ГОСТ Р 53647 “Менеджмент непрерывности бизнеса”, ГОСТ Р 57580.1-2017 “Защита информации финансовых организаций”, ГОСТ 56939-2016 “Защита информации. Разработка безопасного программного обеспечения”, а также с учетом требований к используемым информационным системам, определение которых установлено пунктом 3 статьи 2 Федерального закона от 27 июля 2006 года № 149-ФЗ “Об информации, информационных технологиях и о защите информации”.
Глава 2. Классификации, используемые в системе управления операционным риском
2.3.5 ... опер.риск ... классифицируется по видам риска в зависимости от процессов КО, например:
-риск ИБ;
-риск ИС;
-риск управления проектами (далее – проектный риск);
-риск ошибок и недостатков управленческих процессов (далее – управленческий риск);
-правовой риск;
-риск нарушения процедур контроля;
-риск ошибок процессов разработки, проверки, адаптации, приемки методик и количественных моделей оценки активов и рисков (далее – модельный риск);
-риск персонала.
2.7. Типов событий для целей управления операционным риском ... (далее классификация событий первого уровня):
2.7.1 Внутреннее мошенничество ...
2.7.2 Внешнее мошенничество ...
2.7.3 Нарушения кадровой политики и безопасности труда ...
2.7.4 Нарушения прав клиентов и контрагентов ...
2.7.5 Ущерб материальным (физическим) активам КО ...
2.7.6 Нарушения функционирования и сбои систем ...
2.7.7 Нарушения при организации, исполнении и управлении процессами ...
2.11. Потери КО в результате реализации операционного риска делятся на прямые и непрямые.
Качественные потери включают в себя:
- приостановка деятельности в результате неблагоприятного события (например, технологического сбоя);
- утечка, потеря или искажение защищаемой и (или) коммерческой информации;
Глава 3. Требования к процедурам управления операционным риском
3.2. Процедура выявления и идентификации операционного риска включает:
- проведение ежегодной самооценки операционного риска ...
3.4. Процедура количественной оценки уровня операционного риска включает:
- агрегированную оценку уровня операционного риска по КО в целом ...;
оценку необходимого капитала на покрытие операционного риска в целом по КО и, при необходимости, в разрезе направлений деятельности и видов операционного риска (например, по риску ИБ) ...;
- оценку ожидаемых потерь от реализации операционного риска по бизнес-процессам ....
В случае отсутствия у КО статистики событий операционного риска достаточной для применения процедуры количественной оценки операционного риска, КО в обязательном порядке применяет процедуру качественной оценки.
3.5. Процедура качественной оценки уровня операционного риска, проводимая в отношении выявленных операционных рисков, в дополнение к количественной оценке, включает:
- самооценку операционного риска ...;
- экспертную профессиональную оценку (профессиональное мнение внутренних и внешних экспертов) ...;
- сценарный анализ операционных рисков.
3.6. Процедура выбора и применения способа реагирования на операционный риск по результатам проведенной оценки, включает:
- уклонение от риска (отказ КО от оказания соответствующего вида услуг и банковских операций в связи с высоким уровнем операционного риска в них);
- передача риска (страхование, передача риска другой стороне (контрагенту, клиенту);
- принятие риска (готовность КО принять возможные потери в рамках установленного лимита потерь, с соответствующей процедурой контроля соблюдения лимита);
- меры, направленные на снижение уровня операционного риска (разработка КО форм (способов) контроля и мер, направленных на снижение уровня операционного риска), включающие:
- реинжиниринг бизнес-процессов;
- установление дополнительных форм (способов) контролей;
- обучение персонала, в том числе участников бизнес-процессов;
- применение автоматизированных решений;
- иные меры, направленные на снижение уровня операционного риска
Глава 4. Требования к отдельным элементам системы управления операционным риском
4.1. Система управления операционным риском в КО ... включает следующие отдельные элементы:
4.1.1. Перечень основных бизнес-процессов КО в разрезе направлений деятельности ...;
4.1.2. Политику (положение) по управлению операционным риском и внутренние документы, описывающие процедуры управления операционным риском, включая риски ИБ и ИС, а также процедуры оценки качества функционирования системы управления операционным риском;
4.1.3. Внутренние документы по структуре и организации КО управления операционным риском ...
4.1.4. Порядок оценки КО и (или) внешними экспертами…
КО определяет подразделение, структурно независимое от службы управления рисками, уполномоченное проводить оценку качества функционирования системы управления операционным риском (включая риск ИБ и ИС) …
4.1.5. Систему мер, направленных на снижение уровня операционного риска …
Меры, направленные на ограничение размера потерь от событий операционного риска, включают в том числе:
разработку планов по обеспечению непрерывности ключевых бизнес-процессов и информационных систем, включая цифровую инфраструктуру, а также безопасности и целостности информационных систем и информации, в том числе в соответствии с требованиями главы 8 настоящего Положения;
- разработку планов восстановления деятельности КО, в случае реализации операционного риска и системы быстрого реагирования на события операционного риска с критичным уровнем потерь;
- способ и порядок возмещения потерь от реализации событий операционного риска, с использованием страхования, включая, имущественное страхование …
4.2. Подразделение, ответственное за управление операционным риском, регулярно (не реже одного раза в квартал) формирует и направляет на рассмотрение исполнительному органу КО внутреннюю отчетность по операционному риску.
4.2.1 …
Внутренняя отчетность по операционным рискам должна храниться в КО не менее 10 лет
4.3. КО устанавливает требования к информационной системе, обеспечивающей управление операционным риском, включающую автоматизацию ведения базы событий операционного риска и процедур управления операционным риском.
4.5. КО проводит регулярный (не реже одного раза в год) пересмотр требований политики управления операционным риском
Глава 5. Требования к системе контрольных показателей уровня операционного риска
Глава 6. Требования к ведению базы событий операционного риска
Глава 7. Требования к управлению риском информационной безопасности
7.1. (Прим. процитирован выше).
7.2. Риск ИБ включает в себя:
риск преднамеренного воздействия персонала КО, третьих лиц и(или) сторонних информационных систем, направленного на несанкционированное получение (хищение), изменение, удаление данных и иной цифровой информации и (или) структуры данных, параметров и характеристик систем (в том числе программного кода) и режима доступа, посредством цифровой инфраструктуры и технологий связи (далее – киберриск);
- иные виды рисков ИБ, связанных с обработкой (хранением, уничтожением) информации без использования средств цифровой инфраструктуры.
7.4. Фактическая реализация риска ИБ… фиксируется в базе событий операционного риска, с присвоением отдельного признака.
7.5. КО вправе определить ведение базы событий риска ИБ как в общей базе событий операционного риска, так и в отдельной базе
7.7. КО … определяет во внутренних документах и обеспечивает функционирование системы обеспечения информационной безопасности, включающей:
- стратегию (политику) обеспечения информационной безопасности …
- организационную структуру обеспечения информационной безопасности, в том числе распределение ролей и обязанностей, исключающее конфликт интересов;
- структурное подразделение (его структуру, роли, функционал и полномочия), ответственное за обеспечение информационной безопасности;
- должностное лицо, ответственное за функционирование системы информационной безопасности (не ниже члена коллегиального исполнительного органа управления, а также не участвующего в совершении банковских операций и сделок) и организации бухгалтерского и управленческого учета, обеспечения функционирования информационных систем;
критерии оценки эффективности подразделения, ответственного за обеспечение информационной безопасности;
- требования к квалификации персонала…
- ПО, технические и специальные аппаратные средства обеспечения ИБ;
- процессы обеспечения ИБ и защиты данных;
- систему мер обеспечения ИБ и защиты данных;
требования к качеству ИС и иных технических средств обеспечения ИБ, а также их классификация по уровням соответствия требованиям;
- обеспечение хранения кодов и устройств электронно-цифровой подписи (Прим. ЭЦП - устаревший термин, да и: “хранение кодов и устройств …” – это о чём?) уполномоченных работников КО, исключающая доступ к ним посторонних лиц и возможность несанкционированного использования;
стресс-тестированиена предмет обеспечения ИБ (Прим. почему по аналогии с 382-П не написать "тестирование на проникновение"?) и обнаружения уязвимостей, результаты которого отражаются в отчете о стресс-тестировании обеспечения ИБ;
независимуюоценку на соответствие требованиям обеспечения ИБ, проводимой КО (Прим.по 382-П исключается оценка соответствия в форме самооценки) и(или) приглашенным квалифицированным экспертом.
7.10. Внутренняя отчетность КО по рискам ИБ включает:
- информацию о событиях риска ИБ в соответствии с пунктом 4.4. настоящего Положения и контрольных показателей уровня риска ИБ, перечисленных в пункте 2 Приложения 3 к настоящему Положению;
отчеты, в соответствии с требованиями Положения Банка России № 382-П ...;
отчеты, в порядке информирования ФинЦЕРТ, в том числе сводные отчеты должностному лицу, ответственному за обеспечение ИБ и уполномоченному коллегиальному органу о таком информировании.
7.11. Уполномоченное подразделение проводит регулярную (не реже одного раза в год) независимую оценку, установленных настоящей главой требований.
Глава 8. Требования к управлению риском информационных систем
8.1... (Прим.процитирован выше).
8.2. Для целей управления риском ИС КО во внутренних документах определяет и соблюдает политику по использованию информационных систем (далее – Политика ИС), как взаимосвязанной совокупности, технических и программных средств, и иных элементов цифровой инфраструктуры, содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий, в рамках реализации мер поддержки и обеспечения бесперебойности функционирования основных бизнес-процессов КО.
8.3. КО не реже одного раза в год выносит на рассмотрение исполнительного органа вопрос о пересмотре Политики ИС ...
8.4. Исполнительный орган управления КО обеспечивает соблюдение Политики ИС, в том числе определяет:
- роли и ответственность структурных подразделений по исполнению Политики;
- должностное лицо, ответственное за обеспечение функционирования ИС КО (далее – должностное лицо, ответственное за ИС);
- порядок информационного обмена в рамках реализации Политики ИС;
- порядок и периодичность регулярной отчетности должностного лица, ответственного за ИС и подразделений по исполнению Политики ИС перед исполнительным органом КО.
Далее излагаются:
- Требования к структуре ИС (п.8.7.1);
- Требования к стандартизации и унификации, используемые при создании, модернизации и эксплуатации ИС (п.8.7.2);
- Требования к надежности функционирования ИС (п.8.7.3);
- Требования к обеспечению качества данных (п.8.7.4).
8.7.6. КО не реже одного раза в год пересматривает требования к ИС с учетом текущих и стратегических планов развития, а также оценки уровня операционного риска и их влияния на ключевые бизнес-процессы, отраженной во внутренней отчетности по операционному риску и мер, направленных на снижение уровня операционного риска, внутренней отчетности подразделения, ответственного за обеспечение информационной безопасности и подразделения, ответственного за работу ИС.
(Прим. далее в п.8.8.3 что-то весьма радикальное!):
8.8.3. Регулярное (не реже одного раза в день) резервное копирование данных ключевых бизнес процессов на резервные технические средства, размещенные в иных зданиях чем те, в которых размещены действующие технические средства, обеспечивающие функционирование ИС в текущем рабочем режиме.
8.8.6. Проведение КО регулярных (не реже одного раза в год) оценок состава компонент, архитектуры, инфраструктуры и характеристик ИС на их достаточность и эффективность для обеспечения функционирования ключевых бизнес-процессов КО, по результатам которых принимаются меры по устранению выявленных недостатков в ИС.
8.8.7. Ежегодное тестирование (Прим. на проникновение?) и анализ уязвимостей ИС или их компонент, в том числе разработку комплекса мер, направленных на устранение выявленных уязвимостей.
8.8.8. Проведение уполномоченным подразделением регулярной (не реже одного раза в год) независимой оценки, установленных настоящей главой требований, включающих оценку качества:
- соблюдения Политики ИС;
- мероприятий, направленных на выявление, регулирование, разработку мер, направленных на снижение риска ИС и сопряженных с ними рисков ИБ, влияющих на ИС;
- требований к ИС в целях управления рисками ИС и их соблюдения;
- требования по обеспечению непрерывности, безопасности и качества функционирования ИС.
Уполномоченное подразделение направляет отчеты по результатам оценки исполнительному органу КО, подразделениям, ответственным за обеспечение функционирования ИС и службе управления рисками.
8.8.10. КО определяет должностное лицо, ответственное за обеспечение непрерывности функционирования ИС в организации, включая его полномочия и требования к его квалификации и сертификации (при необходимости).
8.8.11. КО проводит самооценку рисков ИС в разрезе бизнес-процессов и соблюдения требований настоящей главы, и направляет отчеты по результатам самооценки в подразделение, ответственное за управление операционным риском и(или) иному уполномоченному органу.
8.8.12. Внутренняя отчетность КО по риску информационных систем включает:
- информацию о сбоях ИС;
- информацию о событиях риска ИС в соответствии с пунктом 4.2 настоящего Положения;
- отчеты по результатам самооценки риска ИС в разрезе бизнес-процессов, в том числе ключевых, структурных подразделений КО, категорий ИС.
Глава 9. Порядок надзорной оценки системы управления операционным риском
Глава 10. Заключительные положения
+5 приложений:
Приложение 1 Классификация типов событий операционного риска второго уровня
Приложение 2 Подходы к дополнительной классификации риска ИБ
Приложение 3 Рекомендуемый перечень возможных мер, направленных на снижение уровня операционного риска
Приложение 4 Контрольные показатели уровня операционного риска и риска ИБ
Приложение 5 Подходы к расчету капитала, необходимого на покрытие потерь от реализации операционного риска
Резюме
Документ – пока сырой, но в целом понятен и службам ИБ “на руку”. Процитирую тезис Андрея Бажина, директора по ИБ “ВТБ Капитал”, высказанный на одной из недавних конференций по ИБ: “Повышать персональную ответственность руководителей финансовых организаций или назначенных кураторов из числа членов правления или заместителей генерального директора за реализацию рисков ИБ”. Этому и призвано способствовать Положение Банка России “О требованиях к системе управления операционным риском в кредитной организации и банковской группе”.
Два раздела Положения целиком касаются ИБ (и ИТ) непосредственно – раздел 7 и 8. Кроме понятных требований к Политике ИБ, содержатся требования к Политике ИС (политики по использованию информационных систем).
Текущую Политику по ИБ необходимо дополнить:
- требованием по обмену информацией о событиях риска ИБ и предоставляемых данных в ФинЦЕРТ, в соответствии с нормативными актами Банка России;
- показателями и методиками оценки эффективности обеспечения ИБ и управления риском ИБ (если это не сделано ранее);
- ссылкой на выполнение требований настоящего Положения.
В положение о Службе ИБ необходимо прописать обязанность по направлению информации о событиях риска ИБ в ФинЦЕРТ.
Согласно проекту Положения бизнес должен закладываться на риски ИБ и ИС.
По срокам реализации: кредитная организация должна соответствовать Положению к 01.01.2020.
Основной вывод для службы ИБ: становится больше регулярной отчетности.
Совет дня: из двух зол: риск ИТ & риск ИБ будь меньшим!
Alt text

Валерий Естехин

Информационная безопасность глазами практикующего специалиста по ИБ (16+)