ЦБ разработал требования для банков к управлению риском информационной безопасности

760

Банк России разработал проект положения «О требованиях к системе управления операционным риском в кредитной организации и банковской группе», устанавливающий требования к политике банков в сфере информационных технологий и к управлению операционным риском, риском информационной безопасности (включая киберриск) и риском информационных систем, а также определяет подходы к дополнительным требованиям к капиталу в рамках внутренних процедур оценки достаточности капитала, необходимого на покрытие потерь от реализации операционного риска, в том числе киберриска.

Документ содержит требования к ведению базы данных о событиях операционного риска, включая риск информационной безопасности, для внедрения в перспективе нового стандартизированного подхода к оценке операционного риска для расчета норматива достаточности капитала (Базель III).

Кроме того, проект положения определяет порядок проведения Банком России оценки качества системы управления операционным риском в кредитных организациях, а также полноты и качества базы данных о событиях операционного риска, в том числе риска информационной безопасности в кредитных организациях.

Из проекта положения

Риск ИБ включает в себя:

  • риск преднамеренного воздействия персонала кредитной организации, третьих лиц и(или) сторонних информационных систем, направленного на несанкционированное получение (хищение), изменение, удаление данных и иной цифровой информации и (или) структуры данных, параметров и характеристик систем (в том числе программного кода) и режима доступа, посредством цифровой инфраструктуры и технологий связи (далее – киберриск);
  • иные виды рисков ИБ, связанных с обработкой (хранением, уничтожением) информации без использования средств цифровой инфраструктуры.

Для целей управления риском информационных систем (ИС) кредитная организация во внутренних документах определяет и соблюдает политику по использованию информационных систем (Политика ИС), как взаимосвязанной совокупности, технических и программных средств, и иных элементов цифровой инфраструктуры, содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий, в рамках реализации мер поддержки и обеспечения бесперебойности функционирования основных бизнес-процессов кредитной организации.

Кредитная организация не реже одного раза в год выносит на рассмотрение исполнительного органа вопрос о пересмотре Политики ИС, в связи с изменением стратегии развития кредитной организации, в зависимости от характера и масштаба осуществляемых операций, действующих бизнес-процессов, изменяющихся факторов внешней среды, результатов процедур управления операционным риском, риском ИБ и ИС, результатов оценки качества функционирования системы управления операционным риском, проведенной уполномоченным подразделением.

Предполагается, что проведение Банком России оценки качества системы управления операционным риском будет осуществляться с 2020 года. К этому времени кредитные организации должны будут привести свои системы управления операционным риском, включая базы данных о событиях операционного риска, в соответствие новым требованиям, сообщает ЦБ.