Обзор Положения 716-П

Обзор Положения 716-П

В середине 2020 года было опубликовано Положение Банка России от 8 апреля 2020 года № 716-П «О требованиях к системе управления операционным риском в кредитной организации и банковской группе». Требования данного нормативного акта призваны создать в кредитной организации (далее — Банк) действенную систему управления рисками, операционными, в частности. Если же система управления рисками в Банке уже существует, то выполнение требований 716-П значительно повысят эффективность службы управления рисками (при её наличии).

716-П описывает следующие процедуры и подходы в рамках системы управления операционным риском в Банке:

  • процедуры выявления риск-событий;
  • процедуры классификации событий операционного риска;
  • порядок ведения базы событий, включая требования к форме и содержанию вводимой информации;
  • фиксацию событий операционного риска в базе событий;
  • порядок установления и контроля соблюдения контрольных показателей уровня операционного риска;
  • подходы к расчету объема капитала, выделяемого Банком на покрытие потерь от реализации событий операционного риска;
  • процедуры уменьшения негативного влияния операционного риска;
  • перечень риск-событий информационной безопасности;

В Положении Банка России № 716-П содержатся требования по:

  • проведению в Банке ежегодной самооценки операционного риска;
  • проведению в Банке ежегодной оценки эффективности функционирования системы управления операционным риском;
  • проведению в Банке ежегодного анализа необходимости пересмотра требований политики управления операционным риском;
  • формированию в Банке плановых (целевых) показателей уровня операционного риска в разрезе направлений деятельности;
  • формированию в Банке отчетов по операционным рискам;
  • формированию в Банке ежеквартальных отчетов о событиях риска информационной безопасности;
  • хранению в Банке внутренней отчетности по операционным рискам.

Роли, задействованные в системе управления операционными рисками.

716-П выделяет несколько ролей, задействованных в системе управления операционными рисками:

  • ответственные за ведение базы событий;
  • предоставляющие информацию для базы событий;
  • определяющие потери от реализации событий операционного риска, занесенные в базу событий;
  • контролирующие полноту информации в базе событий и сверку счетов бухгалтерского учета с информацией, отраженной в базе событий.

Также 716-П обязывает Банк на создание центров компетенций, в функции которых входит идентификация операционного риска, сбор информации и информирование о выявленном операционном риске службу управления рисками (при её наличии), подразделения Банка, в котором выявлен операционный риск. Также центры компетенций должны проводить оценку выявленных операционных рисков (в пределах своей компетенции), разработку и проведение мероприятий, направленных на уменьшение негативного влияния операционного риска, а также мониторинг уровня операционного риска в своих процессах.

Процедуры управления рисками информационной безопасности (ИБ).

В рамках 716-П система управления рисками ИБ состоит из деятельности по разработке внутренней нормативной документации в направлении управления рисками ИБ, включая разработку Политики ИБ Банка, порядок управления риском информационной безопасности, а также технических процедур управления рисками ИБ.

В рамках организационных процедур управления рисками ИБ, Банк:

  • фиксирует в базе событий инциденты, приведшие к фактической реализации риска информационной безопасности;
  • обеспечивает выявление, регистрацию и учет риск-событий информационной безопасности с определением всех элементов классификации;
  • осуществляет выявление и идентификацию риска информационной безопасности, а также его оценку (установление ключевых индикаторов риска);
  • осуществляет ведение базы событий риска информационной безопасности.

Банк, при установлении и контроле уровня ключевых индикаторов риска, должен проводить анализ статистики риск-событий операционного риска, контролировать выполнение мероприятий, процедур и мер по управлению операционным риском в соответствии с 716-П. Также Банк должен соблюдать порядок формирования и сроки ежеквартальных и годовых отчетов.

Технические процедуры управления рисками ИБ, Банк:

 

В рамках управления рисками ИБ служба ИБ формирует следующие отчеты по рискам информационной безопасности:

  • отчеты в соответствии с требованиями 382-П;
  • сводные отчеты должностному лицу, ответственному за обеспечение ИБ (куратору), и правлению Банка.

В рамках управления рисками ИБ служба ИБ проводит регулярную, но не реже одного раза в год, независимую оценку соблюдения требований 716-П.

Процедуры управления рисками информационных систем (ИС)

Организационные процедуры управления рисками ИС:

  • определяет во внутренних документах порядок управления риском информационных систем;
  • определяет во внутренних документах процедуры по обеспечению требований к непрерывности и качеству функционирования информационных систем и обеспечению качества данных в информационных системах;
  • определяет политику информационных систем как взаимосвязанной совокупности технических и программных средств, других объектов информационной инфраструктуры;
  • назначает должностное лицо, ответственное за информационные системы, не реже одного раза в год проводит анализ необходимости пересмотра требований политики информационных систем;
  • определяет во внутренних документах методику и порядок обеспечения качества данных в информационных системах;
    определяет подразделение, ответственное за обеспечение функционирования информационных систем, не реже одного раза в год проводит анализ необходимости пересмотра
  • требований к информационным системам;
  • проводит регулярную независимую оценку соблюдения требований № 716-П;
  • определяет подразделение, ответственное за обеспечение непрерывности функционирования информационных систем;
  • определяет должностное лицо, ответственное за обеспечение непрерывности функционирования информационных систем в кредитной организации;
  • проводит самооценку рисков информационных систем в разрезе процессов с учетом требований Положения № 716-П и направляет отчеты по результатам самооценки в СУР (служба управления рисков)
  • определяет подразделение, ответственное за предоставление отчетов по риску информационных систем.

Технические процедуры управления рисками ИС:

  • обеспечивает проведение регулярного резервного копирования данных критически важных процессов, включая резервирование технических средств, размещенных в альтернативных основным техническим средствам помещениям.
  • проводит регулярную оценку состава компонентов информационной инфраструктуры и характеристик информационных систем на предмет их достаточности и эффективности;
  • проведение ежегодного тестирования уязвимостей информационных систем.

Выделение в 716-П глав об управлении рисками ИБ и ИС свидетельствуют о том, что теперь данные риски являются частью операционных рисков, что напрямую связано с расчетами и выделением достаточности капитала. В связи с этим фактом, значимость служб ИБ и ИТ в Банке значительно возрастает. Службы ИБ и ИТ теперь напрямую влияют на возможность реализации риск-события, от которых Банк будет нести финансовые потери и, в последствии, влиять на коэффициенты, связанные с расчётом резервного капитала, выделяемого на покрытие рисков.

В рамках внутреннего контроля Банк должен проводить независимую оценку информация о событиях операционного риска в базе событий, соблюдения требований 716-П.

В соответствии с п. 10.2. Положения Банка России № 716-П от 08.04.2020 Система управления операционным риском подлежит приведению в соответствие с требованиями настоящего Положения кредитными организациями (головными кредитными организациями банковской группы), в срок до 1 января 2022 года.

 

Фролов Сергей Николаевич
Автор статьи:

Специалист по информационной безопасности

Услуги для Вас

Выполнение требований SWIFT

Услуга по выполнению требований SWIFT (помощь в проведении самоаттестации, независимая экспертиза результатов самоаттестации)

Подробнее

Пентест (pentest)

Тестирование на проникновение: анализ уязвимостей, моделирование хакерских атак

Подробнее

ГОСТ Р 57580

Оценка соответствия (аудит) требованиям в области информационной безопасности по ГОСТ Р 57580

Подробнее