Положение Банка России №716-П
Положение Банка России №716-П от «08» апреля 2020 года «О требованиях к системе управления операционным риском в кредитной организации и банковской группе» зарегистрировано в Минюсте «03» июня 2020 года.
Данное положение вступило в силу с «01» октября 2020 года (п. 10.1), выполнению подлежит не позднее «01» января 2022 года (п. 10.2). Это означает, что к «01» января 2022 года, все мероприятия уже должны быть реализованы. 716-П распространяется на кредитные организации и головные кредитные организации банковской группы кроме центрального контрагента и центрального депозитария (п.1). Рискам IT и ИБ уделено особое внимание в положении. Если понятие рисков информационной безопасности достаточно распространено, то риски информационных систем являются достаточно экзотичными. В положении под рисками информационной безопасности подразумевают риски нарушения конфиденциальности, целостности и доступности, а под рисками информационных систем – нарушение доступности информации.
Управление риском информационной безопасности должно включать в себя:
- Определение риска информационной безопасности и его источника (п. 7.2);
- Регистрацию инцидентов и рисков информационной безопасности (п. 7.3);
- Классификацию событий риска информационной безопасности по источникам и уязвимостям (п. 7.4);
- Требования к организационно-распорядительной документации по информационной безопасности (п. 7.7, отсылки к 683-П);
- Частные требования к политике информационной безопасности, например, сигнальные и контрольные значения показателей уровня рисков информационной безопасности (п. 7.8);
- Требования к службе информационной безопасности, например, ведение баз событий рисков информационной безопасности (п. 7.9, 7.10).
Управление риском информационных систем в рамках положения 716-П заключается в:
- Формировании требований к политике информационных систем (п. 8.2, 8.3), включая ежегодный пересмотр (п. 8.4);
- Проведении мероприятий по совершенствованию системы управления рисками информационных систем (п. 8.5, 8.6);
- Документировании требований к информационным системам (структуры, стандартизации, надежности, обеспечения качества данных, ежегодных пересмотров в п. 8.7.1-8.7.8);
- Документировании требований к качеству и непрерывности работы информационных систем (в том числе описанные выше требования к информационной безопасности, источники бесперебойного питания, резервное копирование не реже одного раза в день, соответствие стандартам, обеспечение непрерывности и восстановления деятельности, ежегодная оценка соответствия требованиям, ежегодное тестирование, ежегодная оценка эффективности, ответственность подразделений и должностных лиц в п. 8.8.1-8.8.13).
Обработка рисков информационных систем и информационной безопасности заключается в комплексе организационных мероприятий, направленном на снижение операционных рисков кредитной организации за счет увеличения надежности и защищенности ее автоматизированных систем.
Небанковские кредитные организации должны выполнять:
- Общие положения;
- Классификация операционных рисков;
- Базы событий;
- Отдельные требования (п. 9.4.1).
Банк с универсальной лицензией и активами до 500 млрд (помимо предыдущего):
- Управление риском информационных систем;
- Дополнительные элементы системы управления операционным риском (кроме автоматизации).
Банк с базовой лицензией (помимо предыдущего):
- Расчет контрольных показателей;
- Управление риском информационной безопасности.
Банк с универсальной лицензией и суммой активов более 500 млрд (помимо предыдущего):
- Требования к автоматизации управления риском.