Экспертиза

Начало четвёртого квартала 2022 года оказалось достаточно насыщенным для специалистов по информационной безопасности кредитных организаций: одновременно вступили в силу Положение об обеспечении операционной надежности 787-П и поправки к Положению об управлении операционным риском 716-П в редакции 6103-У. Как показала практика, не во всех кредитных организациях процессы управления риском ИБ оказались в должной степени адаптированы к требованиям 716-П. Возникла необходимость в предельно сжатые сроки предоставить ЦБ в рамках процедур дистанционного надзора или проверок ряд специфических данных: контрольные показатели уровня риска (КПУР), порядок ведения базы событий, классификатора и т.п. В этой статье расскажу о том, из каких базовых элементов должна состоять система управления операционными рисками (СУОР), в рамках которой управляют рисками ИБ, с какой периодичностью и в какой последовательности должны функционировать её процессы. Также остановлюсь на основных моментах, которые необходимо проконтролировать при подготовке к проверке ЦБ.

В конце апреля Банк России опубликовал два новых положения, описывающих требования к операционной надёжности в целях обеспечения непрерывности банковских и финансовых услуг для кредитных организаций — 787-П от 12.01.2022 и для некредитных финансовых организаций — 779-П от 15.11.2021.

Не так давно кредитные организации столкнулись с новыми требованиями к управлению операционным риском, часть которых составляли требования к противодействию риску информационной безопасности и риску информационных систем. Теперь каждой финансовой организации предстоит реализовать меры к надёжному функционированию рабочих процессов в условиях сбоев и возможных нештатных ситуаций, что отчасти схоже с требованиями 7 и 8 глав Положения Банка России от 8 апреля 2020 г. N 716-П «О требованиях к системе управления операционным риском в кредитной организации и банковской группе» (далее – 716-П).