Год 2022. Новое Положение Банка России от 08.04.2020 № 716-П

Год 2022. Новое Положение Банка России от 08.04.2020 № 716-П

Все в этой жизни построено на оценке рисков

 

Банковская сфера в настоящий момент всё ещё под капельницей, в качестве которой можно рассматривать, например, систему управления операционным риском кредитной организации.

В июне 2020, наконец-то, было опубликовано новое Положение Банка России от 08.04.2020 № 716‑П “О требованиях к системе управления операционным риском в кредитной организации и банковской группе”.

В Положении Банка России № 716-П подробно описываются процессы управления операционным риском в кредитной организации (далее – КО) и вводятся понятия события операционного риска, системы контрольных показателей уровня операционного риска, единого классификатора событий операционного риска и прочее.

Положение Банка России № 716-П описывает следующие элементы системы управления операционным риском в КО:

- процедуры выявления случаев фактической реализации операционного риска, классификации событий операционного риска и фиксации событий операционного риска в базе событий;

- порядок ведения базы событий, включая требования к форме и содержанию вводимой информации;

- порядок установления и контроля соблюдения контрольных показателей уровня операционного риска;

- подходы к расчету объема капитала, выделяемого КО на покрытие потерь от реализации событий операционного риска;

- порядок управления риском информационной безопасности;

- порядок управления риском информационных систем;

- порядок применения требований в зависимости от размера активов, вида лицензии и категории кредитной организации;

- перечень возможных мер, направленных на уменьшение негативного влияния операционного риска (Приложении 3);

- детализированная классификация типов событий операционного риска (Приложении 4);

- перечень событий риска информационной безопасности (Приложении 5);

В Положении Банка России № 716-П содержатся требования по:

- проведению в КО ежегодной самооценки операционного риска;

- проведению в КО ежегодной оценки эффективности функционирования системы управления операционным риском;

- проведению в КО ежегодного анализа необходимости пересмотра требований политики управления операционным риском;

- формированию в КО плановых (целевых) показателей уровня операционного риска в разрезе направлений деятельности;

- формированию в КО отчетов по операционным рискам по 17 показателям;

- формированию в КО ежеквартальных отчетов о событиях риска информационной безопасности;

- хранению в КО внутренней отчетности по операционным рискам не менее 10 лет со дня рассмотрения.

Новое Положение от Банка России – это новый фронт работ для кредитных организаций.

Объём работ в КО по ведению базы событий операционного риска можно понять из перечисления ответственных в Положении Банка России № 716-П:

- перечень должностей работников, ответственных за ведение базы событий;

- перечень должностей работников, предоставляющих информацию для базы событий;

- перечень должностей работников, определяющих потери от реализации событий операционного риска, занесенные в базу событий;

- перечень должностей работников, ответственных за проверку полноты информации в базе событий и сверку счетов бухгалтерского учета с информацией, отраженной в базе событий.

Чтобы реализовать все требования Положения № 716-П во многих КО потребуется пересмотреть организацию ресурсного (кадрового и финансового) обеспечения служб (подразделений) управления рисками.

 В Положении № 716-П Банк России устанавливает, в том числе, требования к управлению рисками информационной безопасности и информационных систем в кредитной организации.

Рассмотрим примерный план мероприятий по исполнению требований разделов 7 и 8 Положения № 716-П для служб информационной безопасности (ИБ) и информационных технологий (ИТ) в кредитных организациях.

Согласно требованиям главы 7 “Управление риском информационной безопасности”, краткое изложение мероприятий, направленных на повышение эффективности управления риском информационной безопасности и уменьшение негативного влияния риска информационной безопасности, может выглядеть так:

1. КО определяет во внутренних документах порядок управления риском информационной безопасности (п.7.1);

2. КО фиксирует в базе событий (с присвоением вида операционного риска) инциденты, приведшие к фактической реализации риска информационной безопасности, в том числе, киберриска (п.7.3);

3. КО разрабатывает политику информационной безопасности, обеспечивает выявление, регистрацию и учет событий риска информационной безопасности с определением всех элементов классификации (п.7.6);

4. КО осуществляет выявление и идентификацию риска информационной безопасности, а также его оценку (п.7.7);

5. КО проводит ежегодное тестирование на проникновение и анализ уязвимостей информационной безопасности объектов информационной инфраструктуры в соответствии с требованиями, изложенными в Положении Банка России № 683-П (п.7.7);

6. КО проводит независимую оценку соответствия уровня защиты информации в отношении объектов информационной инфраструктуры кредитной организации в соответствии с требованиями, изложенными в Положении Банка России № 683-П (п.7.7);

7. КО осуществляет ведение базы событий риска информационной безопасности (п.п.7.9.2);

8. Служба ИБ формирует отчеты по рискам информационной безопасности (п.7.10):

- отчеты в соответствии с требованиями Положения Банка России № 382-П;

- сводные отчеты должностному лицу, ответственному за обеспечение ИБ, и уполномоченному коллегиальному органу КО.

9. Уполномоченное подразделение КО проводит регулярную (не реже одного раза в год) независимую оценку соблюдения требований, установленных главой 7 Положения № 716-П (п.7.11).

 

Согласно требованиям главы 8 “Управление риском информационных систем”, краткое изложение мероприятий, направленных на повышение эффективности управления риском информационных систем и уменьшение негативного влияния риска информационных систем, может выглядеть так:

1. КО определяет во внутренних документах порядок управления риском информационных систем, включающий мероприятия и процедуры по обеспечению требований к непрерывности и качеству функционирования информационных систем и обеспечению качества данных в информационных системах (п.8.1);

2. КО определяет политику информационных систем как взаимосвязанной совокупности технических и программных средств, других объектов информационной инфраструктуры (п.8.2);

3. Должностное лицо, ответственное за информационные системы, не реже одного раза в год проводит анализ необходимости пересмотра требований политики информационных систем (п.8.4);

4. КО определяет во внутренних документах методику и порядок обеспечения качества данных в информационных системах (п.п.8.7.5. и 8.7.6);

5. Подразделение, ответственное за обеспечение функционирования информационных систем, не реже одного раза в год проводит анализ необходимости пересмотра требований к информационным системам (п.п.8.7.8);

6. Регулярное (не реже одного раза в день) резервное копирование данных критически важных процессов на резервные технические средства, размещенные не в тех зданиях, в которых размещены действующие технические средства (п.п.8.8.3);

7. КО проводит регулярную (не реже одного раза в год) оценку состава компонентов, архитектуры, информационной инфраструктуры и характеристик информационных систем на предмет их достаточности и эффективности (п.п.8.8.6);

8. Ежегодное тестирование уязвимостей информационных систем (п.п.8.8.7);

9. Уполномоченное подразделение КО проводит регулярную (не реже одного раза в год) независимую оценку соблюдения требований, установленных главой 8 Положения № 716-П, включая оценку эффективности (п.п.8.8.8);

10. Коллегиальный исполнительный орган КО определяет подразделение (подразделения), ответственное (ответственные) за обеспечение непрерывности функционирования информационных систем (п.п.8.8.9);

11. Коллегиальный исполнительный орган КО определяет должностное лицо (лицо, его замещающее), ответственное за обеспечение непрерывности функционирования информационных систем в кредитной организации (п.п.8.8.10);

12. Должностное лицо (лицо, его замещающее), ответственное за обеспечение непрерывности функционирования информационных систем КО, регулярно (не реже одного раза в год) проводит самооценку рисков информационных систем в разрезе процессов с учетом требований Положения № 716-П и направляет отчеты по результатам самооценки в подразделение, ответственное за организацию управления операционным риском (п.п.8.8.11);

13. Коллегиальный исполнительный орган КО определяет подразделение, ответственное за предоставление отчетов по риску информационных систем (п.п.8.8.12).

 

Положение Банка России от 08.04.2020 № 716-П вступает в силу с 1 октября 2020 года.

Система управления операционным риском (СУОР) подлежит приведению в соответствие с требованиями Положения № 716-П в срок до 1 января 2022 года.

В случае приведения СУОР в соответствие с установленными требованиями ранее 1 января 2022 года организация вправе проинформировать об этом Банк России в целях организации оценки соответствия системы требованиям Положения № 716-П.

 С 1 января 2022 года признается утратившим силу Указание Банка России от 25 июня 2012 года № 2840-У, предусматривающее требования к управлению операционным риском небанковскими кредитными организациями.

Перечень приложений:

Приложение 1. Контрольные показатели уровня операционного риска.

Приложение 2. Подходы к расчету объёма капитала, выделяемого кредитной организацией (головной кредитной организацией банковской группы) на покрытие потерь от реализации операционного риска.

Приложение 3. Рекомендуемый Перечень мер, направленных на уменьшение негативного влияния операционного риска.

Приложение 4. Детализированная классификация типов событий операционного риска.

Приложение 5. Подходы к дополнительной классификации риска ИБ.

 

В конце пара реплик по тексту Положения. Тяжеловато читается - это самое мягкое определение этого документа. Похоже для авторов документа слова были важнее смысла и это как раз тот случай, когда для них лучше было не знать о богатстве русского языка. В результате имеем 132 страницы из нагромождения смыслов, понятий, канцеляризмов, отглагольных существительных и всевозможных страдательных залогов: “используемых”, “требуемых”, “переданных” и так далее.

И ещё. Если такие понятия как: “система управления операционным риском”, “автоматизированная информационная система”, просто “информационная система”, “технологическая система”, “система внутреннего контроля”, “система вознаграждения и компенсации”, “платежная система”, “система обеспечения информационной безопасности”, просто “система информационной безопасности”, “система инженерно-технического обеспечения”, более-менее понятны подготовленному читателю, то, что стоит за: “системой управления рисками и капиталом”, “системой функционирования и поддержания работоспособности кредитной организации”, “системой управления риском информационных систем”, “системой быстрого реагирования на события операционного риска” читателю остаётся только гадать.

Из забавного. В Положении № 716-П в четвертой группе источников опер.риска для кредитных организаций (“воздействие внешних причин”) особо отмечены “действия суда и исполнительных органов гос.власти, Банка России и др. организаций” (п.п.3.3.4.). Самокритично.
Alt text

Устали от того, что Интернет знает о вас все?

Присоединяйтесь к нам и станьте невидимыми!

Валерий Естехин

Информационная безопасность глазами практикующего специалиста по ИБ (16+)