Информационное письмо Банка России от 24.05.2019 N ИН-06-28/45 "О рекомендациях по участию совета директоров (наблюдательного совета) в процессах развития и управления информационными технологиями и управления риском информационной безопасности в публичном акционерном обществе"

ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ

ИНФОРМАЦИОННОЕ ПИСЬМО
от 24 мая 2019 г. N ИН-06-28/45

О РЕКОМЕНДАЦИЯХ
ПО УЧАСТИЮ СОВЕТА ДИРЕКТОРОВ (НАБЛЮДАТЕЛЬНОГО СОВЕТА)
В ПРОЦЕССАХ РАЗВИТИЯ И УПРАВЛЕНИЯ ИНФОРМАЦИОННЫМИ
ТЕХНОЛОГИЯМИ И УПРАВЛЕНИЯ РИСКОМ ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ В ПУБЛИЧНОМ АКЦИОНЕРНОМ ОБЩЕСТВЕ

В целях совершенствования корпоративного управления Банк России направляет для применения прилагаемые рекомендации по участию совета директоров (наблюдательного совета) в процессах развития и управления информационными технологиями и управления риском информационной безопасности в публичном акционерном обществе.

Настоящее информационное письмо подлежит опубликованию в "Вестнике Банка России" и размещению на официальном сайте Банка России в информационно-телекоммуникационной сети "Интернет".

Первый заместитель
Председателя Банка России
С.А.ШВЕЦОВ

В условиях стремительного развития информационных технологий цифровая трансформация бизнеса посредством внедрения современных информационных технологий в бизнес-процессы компании оказывает все возрастающее влияние на деятельность компании как в краткосрочной, так и в долгосрочной перспективе и становится ключевым фактором успешной реализации стратегии и достижения бизнес-целей компании, способствует развитию ее конкурентоспособности. С другой стороны, с развитием информационных технологий все более важное значение приобретают процессы управления риском информационной безопасности, пренебрежение которым представляет серьезную угрозу для стабильности деятельности компании и ее успешного развития в долгосрочной перспективе.

Вопросы развития и управления информационными технологиями, а также обеспечения информационной безопасности не ограничиваются исключительно решением технических и технологических задач, поскольку связаны непосредственно со стратегией развития компании. При этом процессы внедрения информационных технологий и обеспечения информационной безопасности взаимосвязаны и в условиях стремительного развития данной сферы требуют повышенного внимания компании, а проблемы, связанные с указанными процессами, - комплексного решения.

Системный подход к решению вопросов развития информационных технологий и информационной безопасности, в том числе путем грамотного инвестирования в указанные сферы и формирования компетентного кадрового ресурса для внедрения и эксплуатации информационных технологий, а также управления риском информационной безопасности, является важным фактором для достижения стратегических целей и эффективного развития компании.

В соответствии с Кодексом корпоративного управления <1>, рекомендованным Банком России к применению акционерными обществами, ценные бумаги которых допущены к организованным торгам (далее - Кодекс корпоративного управления), вопросы стратегического управления компанией и определения принципов и подходов к организации системы управления рисками являются одними из ключевых функций совета директоров (наблюдательного совета) (далее - совет директоров). При реализации указанных функций на современном этапе возрастает роль совета директоров при формировании в компании запроса на цифровую трансформацию и принятии стратегических решений по вопросам внедрения и (или) развития информационных технологий с точки зрения оценки их роли и возможного влияния на деятельность и развитие бизнеса компании, а также по вопросам управления риском информационной безопасности.

--------------------------------

<1> Письмо Банка России от 10.04.2014 N 06-52/2463 "О Кодексе корпоративного управления".

Настоящий документ разработан в развитие рекомендаций Кодекса корпоративного управления <2> для использования в первую очередь публичными акционерными обществами, ценные бумаги которых допущены к организованным торгам, а также иными обществами, заинтересованными в эффективном управлении информационными технологиями и риском информационной безопасности (далее - общества). В качестве отправной точки, устанавливающей общие направления, общества могут использовать приведенные ниже рекомендации, адаптируя их под конкретные обстоятельства, отражающие специфику и особенности их деятельности.

--------------------------------

<2> Принципы 2.1.2, 2.1.3 Кодекса корпоративного управления.

1. При осуществлении стратегического управления обществом <3> совету директоров рекомендуется уделять внимание вопросам развития информационных технологий и управления риском информационной безопасности, связанным с реализацией информационных угроз, в том числе обусловленных недостатками (уязвимостью) применяемых информационных технологий.

--------------------------------

<3> Принцип 2.1 Кодекса корпоративного управления.

В целях обеспечения эффективного развития информационных технологий и управления риском информационной безопасности в обществе совету директоров рекомендуется:

а) рассмотреть целесообразность разработки внутренних документов общества, определяющих вопросы внедрения новых информационных технологий с учетом целей и задач, стоящих перед обществом, а также характера и масштаба его деятельности и принимаемых рисков; определить основные направления информационной стратегии (ИТ-стратегия), политики в сфере информационных технологий (ИТ-политика), закрепляющие основные принципы развития и использования информационных технологий, а также ожидаемые результаты и эффекты от их внедрения;

б) рассмотреть целесообразность разработки внутренних документов общества, определяющих вопросы управления рисками информационной безопасности с учетом целей и задач, стоящих перед обществом, а также характера и масштаба его деятельности и принимаемых рисков; определить политику управления риском информационной безопасности, закрепляющую основные принципы организации системы управления риском информационной безопасности;

в) при определении принципов и подходов к организации системы управления рисками <4> принимать во внимание влияние новых информационных технологий, а также степень существенности влияния на общество рисков, связанных с реализацией информационных угроз, в том числе обусловленных недостатками (уязвимостью) применяемых информационных технологий, а также киберугроз, обусловленных возможностью реализации компьютерных атак;

--------------------------------

<4> Принцип 2.1.3 Кодекса корпоративного управления.

г) на регулярной основе осуществлять контроль <5> за реализацией исполнительными органами ИТ-стратегии, управлением информационными технологиями, а также управлением риском информационной безопасности в обществе.

--------------------------------

<5> Принцип 2.1.1, пункт 60 Кодекса корпоративного управления.

Осуществление указанного контроля также может быть реализовано в рамках системы управления рисками и направлено на обеспечение:

финансовой устойчивости и операционной надежности (непрерывности) бизнеса, а также осведомленности об уровне риска информационной безопасности, присущего деятельности общества;

эффективной и достаточной реализации мер, направленных на снижение риска информационной безопасности до допустимого уровня;

интеграции процессов управления рисками, связанными с применением информационных технологий, и риском информационной безопасности в общий процесс риск-менеджмента организации;

своевременного выявления и реагирования на инциденты информационной безопасности;

эффективного управления взаимоотношениями с внешними поставщиками услуг и связанными с ними рисками;

оценки влияния на деятельность общества инвестиций, направленных на развитие информационных технологий и обеспечение информационной безопасности, оценки ИТ-бюджета, включая оценку проектов на всем протяжении их жизненного цикла и значительных эксплуатационных расходов;

ответственного применения информационных технологий и соблюдения этических норм при их применении.

2. С учетом характера и масштабов деятельности общества, уровня и специфики принимаемых рисков совету директоров рекомендуется определять периодичность предоставления отчетов <6> единоличного исполнительного органа и коллегиального исполнительного органа по вопросам создания эффективной системы управления информационными технологиями, а также системы управления риском информационной безопасности, об инвестициях в информационные технологии и обеспечение информационной безопасности, достигнутых результатах, оценке влияния внедрения новых технологий на деятельность общества.

--------------------------------

<6> Пункты 59, 60, 73 Кодекса корпоративного управления.

3. С учетом целей и задач, стоящих перед обществом, а также характера и масштабов деятельности общества, уровня и специфики принимаемых рисков совету директоров рекомендуется рассмотреть вопрос о целесообразности создания комитета по информационным технологиям и комитета по информационной безопасности <7>.

--------------------------------

<7> Принцип 2.8.4 Кодекса корпоративного управления.

4. В случае принятия советом директоров решения о создании комитета по информационным технологиям и комитета по информационной безопасности, председателями указанных комитетов рекомендуется назначать лиц из числа членов совета директоров, обладающих компетенциями и опытом в области информационных технологий и информационной безопасности соответственно. Функции председателя комитета по информационным технологиям и председателя комитета по информационной безопасности не рекомендуется возлагать на одного и того же члена совета директоров.

5. В случае принятия советом директоров решения о создании комитета по информационным технологиям к его задачам рекомендуется отнести <8>:

--------------------------------

<8> Задачи комитета по информационным технологиям могут быть реализованы в рамках иного комитета, например комитета по стратегии.

выработку рекомендаций совету директоров в части утверждения ИТ-стратегии и ИТ-политики;

контроль за организацией процессов управления информационными технологиями;

контроль за организацией процессов мониторинга и надлежащего реагирования на изменения в развитии информационных технологий, включая учет потенциальных возможностей их применения обществом, а также оценку их возможного негативного воздействия на общество и его бизнес-модель;

рассмотрение вопросов, связанных с использованием информации и информационных технологий для сохранения и повышения интеллектуального капитала общества.

6. В случае принятия советом директоров решения о создании комитета по информационной безопасности к его задачам рекомендуется отнести <9>:

--------------------------------

<9> Задачи комитета по информационной безопасности могут быть реализованы в рамках иного комитета, например комитета по управлению рисками.

выработку рекомендаций совету директоров в части утверждения политики управления риском информационной безопасности;

контроль за организацией процессов управления риском информационной безопасности, в том числе связанным с аутсорсингом и применением сторонних информационных сервисов, включая облачные технологии;

контроль за организацией процессов обеспечения защиты информации, в том числе персональных данных.

7. При осуществлении в обществе внутреннего аудита в оценку эффективности системы внутреннего контроля и системы управления рисками <10> рекомендуется включать оценку полноты и качества реализуемых мер, направленных на снижение риска информационной безопасности.

--------------------------------

<10> Принцип 5.2.2 Кодекса корпоративного управления.

8. Наряду со сведениями, предусмотренными законодательством Российской Федерации, в годовой отчет общества с учетом целей и задач, стоящих перед обществом, а также характера и масштаба его деятельности и принимаемых рисков рекомендуется включать сведения о развитии и управлении информационными технологиями <11> и управлении риском информационной безопасности <12>, в том числе:

--------------------------------

<11> В рамках подп. 7, 9, 14 пункта 293 Кодекса корпоративного управления.

<12> В рамках подп. 13 пункта 293 Кодекса корпоративного управления.

сведения об основных направлениях деятельности в области развития и управления информационными технологиями в отчетный период, включая цели, значимые изменения и сведения по реализации ИТ-политики и ИТ-стратегии (при их наличии);

информацию о функционировании систем управления информационными технологиями и риском информационной безопасности и критериях оценки их эффективности;

сведения о мерах, направленных на повышение уровня знаний и квалификации членов совета директоров и менеджмента в области информационных технологий;

планы общества в области повышения надежности применяемых информационных технологий и эффективности управления риском информационной безопасности.