Оставьте заявку
Наш эксперт свяжется с вами в ближайшее время
Нажимая на кнопку "Отправить" вы соглашаетесь с Политикой конфиденциальности
Операционные риски информационной безопасности и информационных систем кредитных организаций (716-П)
Операционные риски информационной безопасности и риски информационных систем в нормативной документации
Основным нормативно-правовым актом, определяющим основные требования к кредитным организациям в части работы с операционным рискам информационной безопасности и рисками информационных систем является Положение Банка России от 8 апреля 2020 г. № 716-П "О требованиях к системе управления операционным риском в кредитной организации и банковской группе".
Риск информационной безопасности в 716-П
Риск информационной безопасности и риск информационных систем упоминаются в 716-П в п.1.4: «Риск информационной безопасности – риск реализации угроз безопасности информации, которые обусловлены недостатками процессов обеспечения ИБ.»
Риск информационных систем в 716-П
Пож риском информационных систем в 716-П понимается риск отказов и нарушения функционирования применяемых кредитной организацией информационных систем или несоответствия их функциональных возможностей и характеристик потребностям кредитной организации.
Глава 7 Положения 716-П – Требования в части рисков ИБ
Необходимо разработать / скорректировать ключевые ОРД (организационно-распорядительных документов) кредитной организации в части ИБ:
1. Политика ИБ, включающая:
– функции и ответственность органов и сотрудников в рамках УР ИБ;
– сигнальные и контрольные значения уровня риска ИБ;
– основные принципы контроля работы СУР ИБ.
2. Положение о службе ИБ.
3. Порядок ведения базы событий ОР.
4. Методика оценки риска ИБ;
5. Регламент управления риском ИБ;
6. Технологическое описание управления риском ИБ.
Необходимо также:
1. соответствовать общим требованиям 683-П;
2. провести тестирование на проникновение;
3. провести анализ уязвимостей ПО к ОУД 4.
Глава 8 Положения 716-П – Требования в части рисков ИС
Необходимо разработать / скорректировать ряд ключевых ОРД (организационно-распорядительных документов) кредитной организации:
1. Политика ИС (в частности п.8.3), должна определять:
– функции и полномочия ответственного за работу ИС подразделения;
– ответственное за работу ИС лицо;
– перечень ИС, обслуживающих бизнес-процессы;
– требования к ИС;
– порядок информационного взаимодействия в рамках реализации политики.
2. План ОНиВД.
3. Регламент обеспечения качества данных;
4. Положение о службе ИТ;
5. Порядок информационного взаимодействия в рамках управления операционным риском.
Необходимо также:
1. обеспечить контроль условий эксплуатации ИС и вспомогательного оборудования;
2. обеспечить резервное копирование;
3. провести тестирование уязвимостей ИС;
4. обеспечить регулярные внутренние оценки соответствия.
Процедуры идентификации операционного риска информационной безопасности
В процессе анализа системы управления операционным риском существуют определенные процедуры идентификации операционного риска информационной безопасности:
● анализ базы событий;
● проведение подразделениями ежегодной самооценки уровня операционного риска
● анализ динамики количественных показателей, направленных на измерение
● и контроль уровня операционного риска в определенный момент времени (ключевых индикаторов риска – КИР);
● интервью с работниками КО;
● анализ актов проверок, судебных актов (решений, определений, постановлений) и (или) актов исполнительных органов государственной власти, Банка России в части
● фактов, относящихся к реализации операционного риска;
● анализ информации уполномоченного подразделения и внешнего аудита;
● анализ информации работников, полученной в рамках инициативного информирования работниками КО службы управления рисками и (или) службы внутреннего аудита;
● анализ других внешних и внутренних источников информации и способов выявления рисков.
Критерии оценки операционных рисков информационной безопасности
В соответствии с Положением Банка России от 8 апреля 2020 г. № 716-П (глава 2 № 716-П) Кредитная организация определяет критерии самооценки операционного риска, которые должны включать:
1. критерии оценки уровня существенности операционного риска с соотнесением к четырехуровневой шкале:
– очень высокий;
– высокий;
– средний;
– низкий.
2. критерии оценки эффективности форм контроля с учетом уровня регламентации и автоматизации мер уменьшения негативного влияния оцениваемого операционного риска, действующих на момент проведения оценки;
3. критерии оценки уровня возможных потерь при реализации операционного риска с учетом оценки эффективности форм контроля.
Требования к процедурам управления операционными рисками информационной безопасности
Основные требования к процедурам управления операционными рисками информационной безопасности подробно описаны в 4 главе Положения Банка России № 716-П:
1. процедуры оценки операционного риска и корректного учета связи идентифицированных операционных рисков с событиями операционного риска в базе событий;
2. процедуры сбора и регистрации информации о внутренних событиях операционного риска;
3. процедуры определения потерь и возмещений от событий операционного риска;
4. процедуры количественной оценки уровня операционного риска;
5. процедуры качественной оценки уровня операционного риска;
6. процедуры выбора и применения способа реагирования на операционный риск;
7. разработка мер реагирования;
8. процедуры мониторинга операционного риска.
Способы управления операционными рисками информационной безопасности
В процессе анализа системы управления операционными рисками существуют основные способы управления рисками информационной безопасности:
1. Оценка результатов работы системы управления операционными рисками.
2. Сбор и анализ данных об операционных рисках информационной безопасности.
3. Оценка и анализ информации по всем доступным источникам.
Санкции за несоблюдение требований по оценке операционных рисков информационной безопасности в соответствии
При несоблюдении всех выдвинутых требований кредитным организациям грозят такие наказания как:
● предписание по исправлению выявленных нарушений (несоответствие 716-П);
● штраф от 700 тыс. руб;
● отзыв лицензии (в случае неоднократных нарушений в течение года).
Как правило, в начале применения нового нормативного акта (в течение 1 года) Банк России ограничивается предписаниями об устранении нарушений без наложения административного штрафа.
Основным нормативно-правовым актом, определяющим основные требования к кредитным организациям в части работы с операционным рискам информационной безопасности и рисками информационных систем является Положение Банка России от 8 апреля 2020 г. № 716-П "О требованиях к системе управления операционным риском в кредитной организации и банковской группе".
Риск информационной безопасности в 716-П
Риск информационной безопасности и риск информационных систем упоминаются в 716-П в п.1.4: «Риск информационной безопасности – риск реализации угроз безопасности информации, которые обусловлены недостатками процессов обеспечения ИБ.»
Риск информационных систем в 716-П
Пож риском информационных систем в 716-П понимается риск отказов и нарушения функционирования применяемых кредитной организацией информационных систем или несоответствия их функциональных возможностей и характеристик потребностям кредитной организации.
Глава 7 Положения 716-П – Требования в части рисков ИБ
Необходимо разработать / скорректировать ключевые ОРД (организационно-распорядительных документов) кредитной организации в части ИБ:
1. Политика ИБ, включающая:
– функции и ответственность органов и сотрудников в рамках УР ИБ;
– сигнальные и контрольные значения уровня риска ИБ;
– основные принципы контроля работы СУР ИБ.
2. Положение о службе ИБ.
3. Порядок ведения базы событий ОР.
4. Методика оценки риска ИБ;
5. Регламент управления риском ИБ;
6. Технологическое описание управления риском ИБ.
Необходимо также:
1. соответствовать общим требованиям 683-П;
2. провести тестирование на проникновение;
3. провести анализ уязвимостей ПО к ОУД 4.
Глава 8 Положения 716-П – Требования в части рисков ИС
Необходимо разработать / скорректировать ряд ключевых ОРД (организационно-распорядительных документов) кредитной организации:
1. Политика ИС (в частности п.8.3), должна определять:
– функции и полномочия ответственного за работу ИС подразделения;
– ответственное за работу ИС лицо;
– перечень ИС, обслуживающих бизнес-процессы;
– требования к ИС;
– порядок информационного взаимодействия в рамках реализации политики.
2. План ОНиВД.
3. Регламент обеспечения качества данных;
4. Положение о службе ИТ;
5. Порядок информационного взаимодействия в рамках управления операционным риском.
Необходимо также:
1. обеспечить контроль условий эксплуатации ИС и вспомогательного оборудования;
2. обеспечить резервное копирование;
3. провести тестирование уязвимостей ИС;
4. обеспечить регулярные внутренние оценки соответствия.
Процедуры идентификации операционного риска информационной безопасности
В процессе анализа системы управления операционным риском существуют определенные процедуры идентификации операционного риска информационной безопасности:
● анализ базы событий;
● проведение подразделениями ежегодной самооценки уровня операционного риска
● анализ динамики количественных показателей, направленных на измерение
● и контроль уровня операционного риска в определенный момент времени (ключевых индикаторов риска – КИР);
● интервью с работниками КО;
● анализ актов проверок, судебных актов (решений, определений, постановлений) и (или) актов исполнительных органов государственной власти, Банка России в части
● фактов, относящихся к реализации операционного риска;
● анализ информации уполномоченного подразделения и внешнего аудита;
● анализ информации работников, полученной в рамках инициативного информирования работниками КО службы управления рисками и (или) службы внутреннего аудита;
● анализ других внешних и внутренних источников информации и способов выявления рисков.
Критерии оценки операционных рисков информационной безопасности
В соответствии с Положением Банка России от 8 апреля 2020 г. № 716-П (глава 2 № 716-П) Кредитная организация определяет критерии самооценки операционного риска, которые должны включать:
1. критерии оценки уровня существенности операционного риска с соотнесением к четырехуровневой шкале:
– очень высокий;
– высокий;
– средний;
– низкий.
2. критерии оценки эффективности форм контроля с учетом уровня регламентации и автоматизации мер уменьшения негативного влияния оцениваемого операционного риска, действующих на момент проведения оценки;
3. критерии оценки уровня возможных потерь при реализации операционного риска с учетом оценки эффективности форм контроля.
Требования к процедурам управления операционными рисками информационной безопасности
Основные требования к процедурам управления операционными рисками информационной безопасности подробно описаны в 4 главе Положения Банка России № 716-П:
1. процедуры оценки операционного риска и корректного учета связи идентифицированных операционных рисков с событиями операционного риска в базе событий;
2. процедуры сбора и регистрации информации о внутренних событиях операционного риска;
3. процедуры определения потерь и возмещений от событий операционного риска;
4. процедуры количественной оценки уровня операционного риска;
5. процедуры качественной оценки уровня операционного риска;
6. процедуры выбора и применения способа реагирования на операционный риск;
7. разработка мер реагирования;
8. процедуры мониторинга операционного риска.
Способы управления операционными рисками информационной безопасности
В процессе анализа системы управления операционными рисками существуют основные способы управления рисками информационной безопасности:
1. Оценка результатов работы системы управления операционными рисками.
2. Сбор и анализ данных об операционных рисках информационной безопасности.
3. Оценка и анализ информации по всем доступным источникам.
Санкции за несоблюдение требований по оценке операционных рисков информационной безопасности в соответствии
При несоблюдении всех выдвинутых требований кредитным организациям грозят такие наказания как:
● предписание по исправлению выявленных нарушений (несоответствие 716-П);
● штраф от 700 тыс. руб;
● отзыв лицензии (в случае неоднократных нарушений в течение года).
Как правило, в начале применения нового нормативного акта (в течение 1 года) Банк России ограничивается предписаниями об устранении нарушений без наложения административного штрафа.
Другие материалы