Разъяснения Банка России от 30.09.2021 N 716-Р-2021/44 "Разъяснения по управлению риском информационной безопасности и риском информационных систем"

В соответствии с пунктом 1.4 Положения N 716-П риск информационной безопасности (далее - риск ИБ) и риск информационных систем (далее - риск ИС) являются видами операционного риска, и, следовательно, управление данными видами риска должно осуществляться не обособлено, а в рамках СУОР, в тесном взаимодействии со службой управления рисками кредитной организации и в соответствии требованиями и процедурами, указанными в Положения Банка России от 08.04.2020 N 716-П "О требованиях к системе управления операционным риском в кредитной организации и банковской группе" (далее - Положение N 716-П).

Кредитная организация в соответствии с пунктом 6.9 Положения N 716-П вправе вести учет событий риска ИБ и риска ИС как в составе базе событий операционного риска (консолидировано), так и раздельно. В случае если кредитная организация ведет отдельные базы событий по риску ИБ и риску ИС, в данной кредитной организации должен быть разработан порядок интеграции информации, содержащейся в вышеуказанных базах событий, с базой событий операционного риска. В том числе кредитной организацией во внутренних документах должно быть определено следующее:

порядок взаимодействия подразделения, ответственного за организацию управления операционным риском, со службой информационной безопасности и с подразделением (подразделениями), ответственным (ответственными) за обеспечение функционирования информационных систем, по вопросам передачи информации о событиях риска ИБ и риска ИС, как минимум по передаче информации о событиях риска ИБ и риска ИС с прямыми потерями, расследования обстоятельств данных событий и разработки мероприятий, направленных на повышение эффективности управления данными рисками и уменьшение их негативного влияния;

перечень лиц, ответственных за ведение базы событий по риску ИБ и риску ИС, в том числе за своевременную передачу информации о событиях данных видов операционного риска в подразделение, ответственное за организацию управления операционным риском, для включения их базу событий операционного риска;

сроки и формат передачи данных о событиях риска ИБ и риска ИС в целях регистрации в базе событий операционного риска, с учетом требований пункта 6.10 Положения N 716-П.

В силу специфики процедур управления риском информационной безопасности Банк России рекомендует обратить особое внимание на подходы к дополнительной классификации риска информационной безопасности, указанные в приложении 5 к Положению N 716-П, в разрезе типов событий, категорий источников операционного риска, направлений деятельности, в том числе в разрезе составляющих их процессов. Также в соответствии с приложением 5 к Положению N 716-П кредитная организация обязана использовать дополнительные (специфические) виды прямых и непрямых потерь от реализации риска информационной безопасности для классификации событий риска информационной безопасности в дополнение к установленным в пункте 3.11 Положения N 716-П. Кроме того, дополнительная классификация событий риска ИБ, указанная в приложении 5 Положения N 716-П, не заменяет основную классификацию событий операционного риска, указанную в главе 3 Положения N 716-П. Событие риска ИБ сначала должно быть классифицировано в соответствии с требованиями главы 3 Положения 716-П, в том числе по типам событий операционного риска, перечисленным в пункте 3.6 Положения 716-П, и уже в разрезе элементов классификации дополнительно классифицировано, в соответствии с приложением 5 к Положению N 716-П.

Обращаем внимание, что в случае если для кредитной организации (исходя из вида лицензии и масштаба деятельности) в соответствии с требованиями главы 9 Положения N 716-П процедура регистрации в базе событий операционного риска (в том числе риска ИБ и риска ИС), по которым отсутствуют прямые и непрямые потери, носит рекомендательный характер. Банк России рекомендует кредитной организации как для внутренних целей (например, определений КИР), так и для целей соблюдения иных нормативных актов Банка России самостоятельно определить необходимость регистрации событий операционного риска по отдельным видам операционного риска (например, событий риска информационной безопасности) и (или) типам событий, и (или) отдельным процессам, которые были предотвращены и которые не привели как к прямым, так и непрямым потерям.

При разработке и утверждении перечня контрольных показателей уровня операционного риска в соответствии с требованиями главы 5 Положения N 716-П необходимо учитывать, что данный перечень должен содержать контрольные показатели уровня риска ИБ, указанные в пункте 1.2 приложения 1 к Положению N 716-П. В соответствии с абзацем седьмым подпункта 7.9.2 пункта 7.9 Положения N 716-П служба информационной безопасности обязана осуществлять мониторинг сигнальных и контрольных значений контрольных показателей уровня риска ИБ. Рекомендуем кредитной организации обеспечить организацию информационного обмена между соответствующими подразделениями кредитной организации и информационными системами в целях передачи службой информационной безопасности результатов мониторинга текущих (то есть фактических на расчетную дату), сигнальных и контрольных значений контрольных показателей уровня риска ИБ в службу управления рисками для формирования внутренних отчетов по управлению операционным риском в соответствии с пунктом 4.2 Положения Банка России N 416-П.

Обращаем внимание, что требования пункта 4.2 Положения N 716-П к формированию отчетов по операционному риску распространяются также на отчеты по риску ИБ и риску ИС, в том числе:

требование о необходимости ежедневной передачи информации о крупных событиях риск ИБ и риска ИС в службу управления рисками кредитной организации, в соответствии с подпунктом 4.2.1 пункта 4.2 Положения N 716-П;

требования к формированию ежеквартальных и ежегодных отчетов в соответствии с подпунктами 4.2.2 и 4.2.3 пункта 4.2 Положения N 716-П.