Положение Банка России от 8 апреля 2020 г. № 716-П

Положение Банка России от 8 апреля 2020 г. № 716-П "О требованиях к системе управления операционным риском в кредитной организации и банковской группе"

Ключевые выдержки из положения Банка России от 8 апреля 2020 г. № 716-П:

Документ описывает методы прогнозирования и управления операционными рисками. Ключевые из таких рисков, связанных с ИТ и ИБ, - неработоспособность системы защиты информации и нарушение отказоустойчивости информационной системы:
1) Документ определяет риски реализации угроз безопасности информации, которые обусловлены недостатками процессов обеспечения информационной безопасности, в том числе проведения технологических и других мероприятий, недостатками прикладного программного обеспечения автоматизированных систем и приложений, а также несоответствием указанных процессов деятельности кредитной организации.
2) Один из видов операционного риска - риск реализации угроз безопасности информации, который обусловлен недостатками процессов обеспечения информационной безопасности, в том числе проведения технологических и других мероприятий, недостатками прикладного программного обеспечения автоматизированных систем и приложений, а также несоответствием указанных процессов деятельности кредитной организации.
3) Каждой кредитной организации необходимо проводить оценку объема капитала, на покрытие потерь от реализации событий операционного риска, в том числе в разрезе составляющих их процессов, риска информационной безопасности и других видов операционного риска, с учетом подходов к расчету объема капитала, выделяемого кредитной организацией на покрытие потерь от реализации операционного риска.
4) Отдельная глава документа разъясняет как управлять риском информационной безопасности:
  • кредитная организация обеспечивает выявление, регистрацию и учет всех событий риска информационной безопасности;
  • кредитная организация распределяет функции и ответственности коллегиального исполнительного органа и работников кредитной организации, в том числе исключающие конфликт интересов в рамках организационной структуры обеспечения информационной безопасности, а также предполагающие определение должностного лица (лица, его замещающего), ответственного за функционирование системы обеспечения информационной безопасности (с прямым подчинением лицу, осуществляющему функции единоличного исполнительного органа кредитной организации, или его заместителю) и не участвующего в совершении операций, сделок, организации бухгалтерского и управленческого учета, обеспечении функционирования информационных систем;
  • кредитная организация выявляет и идентифицирует риски информационной безопасности, а также их оценку;
  • кредитная организация обеспечивает защиту от угроз безопасности информации, включая обеспечение защиты информации, управление риском информационной безопасности при передаче внешним контрагентам выполнения отдельных функций кредитной организации;
  • кредитная организация обеспечивает обмен информацией о событиях риска информационной безопасности (в том числе об инцидентах защиты информации) и предоставление данных в Банк России;
  • кредитная организация обеспечивает повышение осведомленности, обучение и развитие навыков работников кредитной организации (головной кредитной организации банковской группы) в области противодействия угрозам безопасности информации;
  • кредитная организация обеспечивает планирование, реализацию, контроль и совершенствование комплекса мероприятий, направленных на повышение эффективности управления риском информационной безопасности и уменьшение его негативного влияния, в том числе в соответствии с реализуемыми уровнями защиты информации в отношении объектов информационной инфраструктуры кредитной организации;
  • кредитная организация обеспечивает ежегодное тестирование на проникновение и анализ уязвимостей информационной безопасности объектов информационной инфраструктуры.

5) Документ описывает требования к информационной системе (выделены ключевые):
  • требования к составу основных функций, компонентов, подсистем информационных систем и их иерархической структуре в соответствии с заданными кредитной организацией;
  • требования к средствам и способам обмена информации между подсистемами информационных систем в случае распределенной архитектуры, в том числе с элементами, размещенными у внешних поставщиков услуг и информации;
  • требование к архитектуре взаимодействия со смежными информационными системами, в том числе третьих лиц и провайдеров;
  • требования к перечню используемых кредитной организацией программных и технических средств;
  • требования к перечню программно-аппаратных решений, которым необходимы лицензировании и сертификация;
  • требования к порядку выявления и устранения сбоев информационных систем, включающему перечень возможных отказов и (или) сбоев информационных систем или их элементов, их классификацию и примерные варианты решения, а также к информационному, техническому и программному обеспечению информационных систем;
  • требование к ежегодному тестированию уязвимостей информационных систем и (или) их компонентов и других источников риска информационных систем, а также к разработке комплекса мероприятий, направленных на устранение выявленных уязвимостей информационных систем и (или) других источников риска информационных систем.

Источник

Срок действия не ограничен

Ответственность:
В части законодательства о банках и банковской деятельности:
  • Статья 19 ФЗ "О банках и банковской деятельности": принятие Банком России мер в отношении организаций, допустивших нарушение, а именно штрафы, предписания, ограничения деятельности.
В части законодательства о национальной платежной системе:
  • ч.2 ст.13.12 КоАП РФ: Нарушение правил защиты информации
  • ст.13.14 КоАП РФ: Разглашение информации с ограниченным доступом
  • ч.2 ст.15.26 КоАП РФ: Нарушение законодательства о банках и банковской деятельности
  • ст.15.36 КоАП РФ: Неисполнение предписания Банка России, направленного им при осуществлении надзора в национальной платежной системе

Ответственные лица
  • Руководители государственных органов (организаций)
  • Зам. руководителя по ИБ

Связанные документы:
  • Положение Банка России от 3 октября 2017 года № 607-П "О требованиях к порядку обеспечения бесперебойности функционирования платежной системы, показателям бесперебойности функционирования платежной системы и методикам анализа рисков в платежной системе, включая профили рисков"
  • Федеральный закон от 27 июня 2011 года № 161-ФЗ "О национальной платежной системе"
  • Положение Банка России от 17 апреля 2019 года № 683-П "Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента"