Положение Банка России №716-П

Положение Банка России №716-П от «08» апреля 2020 года «О требованиях к системе управления операционным риском в кредитной организации и банковской группе» зарегистрировано в Минюсте «03» июня 2020 года.

Данное положение вступило в силу с «01» октября 2020 года (п. 10.1), выполнению подлежит не позднее «01» января 2022 года (п. 10.2). Это означает, что к «01» января 2022 года, все мероприятия уже должны быть реализованы. 716-П распространяется на кредитные организации и головные кредитные организации банковской группы кроме центрального контрагента и центрального депозитария (п.1). Рискам IT и ИБ уделено особое внимание в положении. Если понятие рисков информационной безопасности достаточно распространено, то риски информационных систем являются достаточно экзотичными. В положении под рисками информационной безопасности подразумевают риски нарушения конфиденциальности, целостности и доступности, а под рисками информационных систем – нарушение доступности информации.

Управление риском информационной безопасности должно включать в себя:

  • Определение риска информационной безопасности и его источника (п. 7.2);
  • Регистрацию инцидентов и рисков информационной безопасности (п. 7.3);
  • Классификацию событий риска информационной безопасности по источникам и уязвимостям (п. 7.4);
  • Требования к организационно-распорядительной документации по информационной безопасности (п. 7.7, отсылки к 683-П);
  • Частные требования к политике информационной безопасности, например, сигнальные и контрольные значения показателей уровня рисков информационной безопасности (п. 7.8);
  • Требования к службе информационной безопасности, например, ведение баз событий рисков информационной безопасности (п. 7.9, 7.10).

Управление риском информационных систем в рамках положения 716-П заключается в:

  • Формировании требований к политике информационных систем (п. 8.2, 8.3), включая ежегодный пересмотр (п. 8.4);
  • Проведении мероприятий по совершенствованию системы управления рисками информационных систем (п. 8.5, 8.6);
  • Документировании требований к информационным системам (структуры, стандартизации, надежности, обеспечения качества данных, ежегодных пересмотров в п. 8.7.1-8.7.8);
  • Документировании требований к качеству и непрерывности работы информационных систем (в том числе описанные выше требования к информационной безопасности, источники бесперебойного питания, резервное копирование не реже одного раза в день, соответствие стандартам, обеспечение непрерывности и восстановления деятельности, ежегодная оценка соответствия требованиям, ежегодное тестирование, ежегодная оценка эффективности, ответственность подразделений и должностных лиц в п. 8.8.1-8.8.13).

Обработка рисков информационных систем и информационной безопасности заключается в комплексе организационных мероприятий, направленном на снижение операционных рисков кредитной организации за счет увеличения надежности и защищенности ее автоматизированных систем.

Управление операционным риском для различных типов организаций

Небанковские кредитные организации должны выполнять:

  • Общие положения;
  • Классификация операционных рисков;
  • Базы событий;
  • Отдельные требования (п. 9.4.1).

Банк с универсальной лицензией и активами до 500 млрд (помимо предыдущего):

  • Управление риском информационных систем;
  • Дополнительные элементы системы управления операционным риском (кроме автоматизации).

Банк с базовой лицензией (помимо предыдущего):

  • Расчет контрольных показателей;
  • Управление риском информационной безопасности.

Банк с универсальной лицензией и суммой активов более 500 млрд (помимо предыдущего):

  • Требования к автоматизации управления риском.

Напишите нам, чтобы получить консультацию по вопросам Положения №716-П и мы свяжемся с Вами!

Заполнить

Заинтересованы в услуге? Напишите нам!