Приложение. Рекомендации по участию совета директоров (наблюдательного совета) в процессах развития и управления информационными технологиями и управления риском информационной безопасности в публичном акционерном обществе. Информационное письмо Банка России от 24.05.2019 N ИН-06-28/45 "О рекомендациях по участию совета директоров (наблюдательного совета) в процессах развития и управления информационными технологиями и управления риском информационной безопасности в публичном акционерном обществе"

Приложение
к письму Банка России
от 24.05.2019 N ИН-06-28/45

Рекомендации
по участию совета директоров (наблюдательного совета) в процессах развития и управления информационными технологиями и управления риском информационной безопасности в публичном акционерном обществе

В условиях стремительного развития информационных технологий цифровая трансформация бизнеса посредством внедрения современных информационных технологий в бизнес-процессы компании оказывает все возрастающее влияние на деятельность компании как в краткосрочной, так и в долгосрочной перспективе и становится ключевым фактором успешной реализации стратегии и достижения бизнес-целей компании, способствует развитию ее конкурентоспособности. С другой стороны, с развитием информационных технологий все более важное значение приобретают процессы управления риском информационной безопасности, пренебрежение которым представляет серьезную угрозу для стабильности деятельности компании и ее успешного развития в долгосрочной перспективе.

Вопросы развития и управления информационными технологиями, а также обеспечения информационной безопасности не ограничиваются исключительно решением технических и технологических задач, поскольку связаны непосредственно со стратегией развития компании. При этом процессы внедрения информационных технологий и обеспечения информационной безопасности взаимосвязаны и в условиях стремительного развития данной сферы требуют повышенного внимания компании, а проблемы, связанные с указанными процессами, - комплексного решения.

Системный подход к решению вопросов развития информационных технологий и информационной безопасности, в том числе путем грамотного инвестирования в указанные сферы и формирования компетентного кадрового ресурса для внедрения и эксплуатации информационных технологий, а также управления риском информационной безопасности, является важным фактором для достижения стратегических целей и эффективного развития компании.

В соответствии с Кодексом корпоративного управления ¹, рекомендованным Банком России к применению акционерными обществами, ценные бумаги которых допущены к организованным торгам (далее - Кодекс корпоративного управления), вопросы стратегического управления компанией и определения принципов и подходов к организации системы управления рисками являются одними из ключевых функций совета директоров (наблюдательного совета) (далее - совет директоров). При реализации указанных функций на современном этапе возрастает роль совета директоров при формировании в компании запроса на цифровую трансформацию и принятии стратегических решений по вопросам внедрения и (или) развития информационных технологий с точки зрения оценки их роли и возможного влияния на деятельность и развитие бизнеса компании, а также по вопросам управления риском информационной безопасности.

Настоящий документ разработан в развитие рекомендаций Кодекса корпоративного управления ² для использования в первую очередь публичными акционерными обществами, ценные бумаги которых допущены к организованным торгам, а также иными обществами, заинтересованными в эффективном управлении информационными технологиями и риском информационной безопасности (далее - общества). В качестве отправной точки, устанавливающей общие направления, общества могут использовать приведенные ниже рекомендации, адаптируя их под конкретные обстоятельства, отражающие специфику и особенности их деятельности.

1. При осуществлении стратегического управления обществом ³ совету директоров рекомендуется уделять внимание вопросам развития информационных технологий и управления риском информационной безопасности, связанным с реализацией информационных угроз, в том числе обусловленных недостатками (уязвимостью) применяемых информационных технологий.

В целях обеспечения эффективного развития информационных технологий и управления риском информационной безопасности в обществе совету директоров рекомендуется:

а) рассмотреть целесообразность разработки внутренних документов общества, определяющих вопросы внедрения новых информационных технологий с учетом целей и задач, стоящих перед обществом, а также характера и масштаба его деятельности и принимаемых рисков; определить основные направления информационной стратегии (ИТ-стратегия), политики в сфере информационных технологий (ИТ-политика), закрепляющие основные принципы развития и использования информационных технологий, а также ожидаемые результаты и эффекты от их внедрения;

б) рассмотреть целесообразность разработки внутренних документов общества, определяющих вопросы управления рисками информационной безопасности с учетом целей и задач, стоящих перед обществом, а также характера и масштаба его деятельности и принимаемых рисков; определить политику управления риском информационной безопасности, закрепляющую основные принципы организации системы управления риском информационной безопасности;

в) при определении принципов и подходов к организации системы управления рисками ⁴ принимать во внимание влияние новых информационных технологий, а также степень существенности влияния на общество рисков, связанных с реализацией информационных угроз, в том числе обусловленных недостатками (уязвимостью) применяемых информационных технологий, а также киберугроз, обусловленных возможностью реализации компьютерных атак;

г) на регулярной основе осуществлять контроль ⁵ за реализацией исполнительными органами ИТ-стратегии, управлением информационными технологиями, а также управлением риском ин формационной безопасности в обществе.

Осуществление указанного контроля также может быть реализовано в рамках системы управления рисками и направлено на обеспечение:

финансовой устойчивости и операционной надежности (непрерывности) бизнеса, а также осведомленности об уровне риска информационной безопасности, присущего деятельности общества;

эффективной и достаточной реализации мер, направленных на снижение риска информационной безопасности до допустимого уровня;

интеграции процессов управления рисками, связанными с применением информационных технологий, и риском информационной безопасности в общий процесс риск-менеджмента организации;

своевременного выявления и реагирования на инциденты информационной безопасности;

эффективного управления взаимоотношениями с внешними поставщиками услуг и связанными с ними рисками;

оценки влияния на деятельность общества инвестиций, направленных на развитие информационных технологий и обеспечение информационной безопасности, оценки ИТ-бюджета, включая оценку проектов на всем протяжении их жизненного цикла и значительных эксплуатационных расходов;

ответственного применения информационных технологий и соблюдения этических норм при их применении.

2. С учетом характера и масштабов деятельности общества, уровня и специфики принимаемых рисков совету директоров рекомендуется определять периодичность предоставления отчетов ⁶ единоличного исполнительного органа и коллегиального исполнительного органа по вопросам создания эффективной системы управления информационными технологиями, а также системы управления риском информационной безопасности, об инвестициях в информационные технологии и обеспечение информационной безопасности, достигнутых результатах, оценке влияния внедрения новых технологий на деятельность общества.

3. С учетом целей и задач, стоящих перед обществом, а также характера и масштабов деятельности общества, уровня и специфики принимаемых рисков совету директоров рекомендуется рассмотреть вопрос о целесообразности создания комитета по информационным технологиям и комитета по информационной безопасности ⁷.

4. В случае принятия советом директоров решения о создании комитета по информационным технологиям и комитета по информационной безопасности, председателями указанных комитетов рекомендуется назначать лиц из числа членов совета директоров, обладающих компетенциями и опытом в области информационных технологий и информационной безопасности соответственно. Функции председателя комитета по информационным технологиям и председателя комитета по информационной безопасности не рекомендуется возлагать на одного и того же члена совета директоров.

5. В случае принятия советом директоров решения о создании комитета по информационным технологиям к его задачам рекомендуется отнести ⁸:

выработку рекомендаций совету директоров в части утверждения ИТ-стратегии и ИТ-политики;

контроль за организацией процессов управления информационными технологиями;

контроль за организацией процессов мониторинга и надлежащего реагирования на изменения в развитии информационных технологий, включая учет потенциальных возможностей их применения обществом, а также оценку их возможного негативного воздействия на общество и его бизнес-модель;

рассмотрение вопросов, связанных с использованием информации и информационных технологий для сохранения и повышения интеллектуального капитала общества.

6. В случае принятия советом директоров решения о создании комитета по информационной безопасности к его задачам рекомендуется отнести ⁹:

выработку рекомендаций совету директоров в части утверждения политики управления риском информационной безопасности;

контроль за организацией процессов управления риском информационной безопасности, в том числе связанным с аутсорсингом и применением сторонних информационных сервисов, включая облачные технологии;

контроль за организацией процессов обеспечения защиты информации, в том числе персональных данных.

7. При осуществлении в обществе внутреннего аудита в оценку эффективности системы внутреннего контроля и системы управления рисками ¹⁰ рекомендуется включать оценку полноты и качества реализуемых мер, направленных на снижение риска информационной безопасности.

8. Наряду со сведениями, предусмотренными законодательством Российской Федерации, в годовой отчет общества с учетом целей и задач, стоящих перед обществом, а также характера и масштаба его деятельности и принимаемых рисков рекомендуется включать сведения о развитии и управлении информационными технологиями ¹¹ и управлении риском информационной безопасности ¹², в том числе:

сведения об основных направлениях деятельности в области развития и управления информационными технологиями в отчетный период, включая цели, значимые изменения и сведения по реализации ИТ-политики и ИТ-стратегии (при их наличии);

информацию о функционировании систем управления информационными технологиями и риском информационной безопасности и критериях оценки их эффективности;

сведения о мерах, направленных на повышение уровня знаний и квалификации членов совета директоров и менеджмента в области информационных технологий;

планы общества в области повышения надежности применяемых информационных технологий и эффективности управления риском информационной безопасности.

------------------------------

¹Письмо Банка России от 10.04.2014 N 06-52/2463 "О Кодексе корпоративного управления".

²Принципы 2.1.2, 2.1.3 Кодекса корпоративного управления.

³Принцип 2.1 Кодекса корпоративного управления.

⁴Принцип 2.1.3 Кодекса корпоративного управления.

⁵Принцип 2.1.1, пункт 60 Кодекса корпоративного управления.

⁶Пункты 59, 60, 73 Кодекса корпоративного управления.

⁷Принцип 2.8.4 Кодекса корпоративного управления.

⁸ Задачи комитета по информационным технологиям могут быть реализованы в рамках иного комитета, например комитета по стратегии.

⁹ Задачи комитета по информационной безопасности могут быть реализованы в рамках иного комитета, например комитета по управлению рисками.

¹⁰Принцип 5.2.2 Кодекса корпоративного управления.

¹¹ В рамках подп. 7, 9, 14 пункта 293 Кодекса корпоративного управления.

¹² В рамках подп. 13 пункта 293 Кодекса корпоративного управления.

Открыть документ в системе ГАРАНТ

Открыть в бесплатной Интернет-версии Открыть в Интернет-версии (только для пользователей системы ГАРАНТ)