"Операционные риски информационной безопасности и информационных систем кредитных организаций (716-П)" (24.10.22)
Операционные риски информационной безопасности и риски информационных систем в нормативной документации
Основным нормативно-правовым актом, определяющим основные требования к кредитным организациям в части работы с операционным рискам информационной безопасности и рисками информационных систем является Положение Банка России от 8 апреля 2020 г. № 716-П "О требованиях к системе управления операционным риском в кредитной организации и банковской группе".
Риск информационной безопасности в 716-П
Риск информационной безопасности и риск информационных систем упоминаются в 716-П в п.1.4: «Риск информационной безопасности – риск реализации угроз безопасности информации, которые обусловлены недостатками процессов обеспечения ИБ.»
Риск информационных систем в 716-П
Пож риском информационных систем в 716-П понимается риск отказов и нарушения функционирования применяемых кредитной организацией информационных систем или несоответствия их функциональных возможностей и характеристик потребностям кредитной организации.
Глава 7 Положения 716-П – Требования в части рисков ИБ
Необходимо разработать / скорректировать ключевые ОРД (организационно-распорядительных документов) кредитной организации в части ИБ:
1. Политика ИБ, включающая: – функции и ответственность органов и сотрудников в рамках УР ИБ; – сигнальные и контрольные значения уровня риска ИБ; – основные принципы контроля работы СУР ИБ.
2. Положение о службе ИБ. 3. Порядок ведения базы событий ОР. 4. Методика оценки риска ИБ; 5. Регламент управления риском ИБ; 6. Технологическое описание управления риском ИБ.
Необходимо также:
1. соответствовать общим требованиям 683-П; 2. провести тестирование на проникновение; 3. провести анализ уязвимостей ПО к ОУД 4.
Глава 8 Положения 716-П – Требования в части рисков ИС
Необходимо разработать / скорректировать ряд ключевых ОРД (организационно-распорядительных документов) кредитной организации:
1. Политика ИС (в частности п.8.3), должна определять: – функции и полномочия ответственного за работу ИС подразделения; – ответственное за работу ИС лицо; – перечень ИС, обслуживающих бизнес-процессы; – требования к ИС; – порядок информационного взаимодействия в рамках реализации политики. 2. План ОНиВД. 3. Регламент обеспечения качества данных; 4. Положение о службе ИТ; 5. Порядок информационного взаимодействия в рамках управления операционным риском.
Необходимо также:
1. обеспечить контроль условий эксплуатации ИС и вспомогательного оборудования; 2. обеспечить резервное копирование; 3. провести тестирование уязвимостей ИС; 4. обеспечить регулярные внутренние оценки соответствия.
Процедуры идентификации операционного риска информационной безопасности
В процессе анализа системы управления операционным риском существуют определенные процедуры идентификации операционного риска информационной безопасности:
● анализ базы событий; ● проведение подразделениями ежегодной самооценки уровня операционного риска ● анализ динамики количественных показателей, направленных на измерение ● и контроль уровня операционного риска в определенный момент времени (ключевых индикаторов риска – КИР); ● интервью с работниками КО; ● анализ актов проверок, судебных актов (решений, определений, постановлений) и (или) актов исполнительных органов государственной власти, Банка России в части ● фактов, относящихся к реализации операционного риска; ● анализ информации уполномоченного подразделения и внешнего аудита; ● анализ информации работников, полученной в рамках инициативного информирования работниками КО службы управления рисками и (или) службы внутреннего аудита; ● анализ других внешних и внутренних источников информации и способов выявления рисков.
Критерии оценки операционных рисков информационной безопасности
В соответствии с Положением Банка России от 8 апреля 2020 г. № 716-П (глава 2 № 716-П) Кредитная организация определяет критерии самооценки операционного риска, которые должны включать:
1. критерии оценки уровня существенности операционного риска с соотнесением к четырехуровневой шкале: – очень высокий; – высокий; – средний; – низкий. 2. критерии оценки эффективности форм контроля с учетом уровня регламентации и автоматизации мер уменьшения негативного влияния оцениваемого операционного риска, действующих на момент проведения оценки; 3. критерии оценки уровня возможных потерь при реализации операционного риска с учетом оценки эффективности форм контроля.
Требования к процедурам управления операционными рисками информационной безопасности
Основные требования к процедурам управления операционными рисками информационной безопасности подробно описаны в 4 главе Положения Банка России № 716-П:
1. процедуры оценки операционного риска и корректного учета связи идентифицированных операционных рисков с событиями операционного риска в базе событий; 2. процедуры сбора и регистрации информации о внутренних событиях операционного риска; 3. процедуры определения потерь и возмещений от событий операционного риска; 4. процедуры количественной оценки уровня операционного риска; 5. процедуры качественной оценки уровня операционного риска; 6. процедуры выбора и применения способа реагирования на операционный риск; 7. разработка мер реагирования; 8. процедуры мониторинга операционного риска.
Способы управления операционными рисками информационной безопасности
В процессе анализа системы управления операционными рисками существуют основные способы управления рисками информационной безопасности: 1. Оценка результатов работы системы управления операционными рисками. 2. Сбор и анализ данных об операционных рисках информационной безопасности. 3. Оценка и анализ информации по всем доступным источникам.
Санкции за несоблюдение требований по оценке операционных рисков информационной безопасности в соответствии
При несоблюдении всех выдвинутых требований кредитным организациям грозят такие наказания как: ● предписание по исправлению выявленных нарушений (несоответствие 716-П); ● штраф от 700 тыс. руб; ● отзыв лицензии (в случае неоднократных нарушений в течение года). Как правило, в начале применения нового нормативного акта (в течение 1 года) Банк России ограничивается предписаниями об устранении нарушений без наложения административного штрафа.
Другие материалы
Подпишитесь чтобы получать уведомления о выходе новых материалов и новостей