Глава 7. Управление риском информационной безопасности
7.1. Кредитная организация (головная кредитная организация банковской группы) определяет во внутренних документах порядок управления риском информационной безопасности.
7.2. Риск информационной безопасности включает в себя:
риск преднамеренных действий со стороны работников кредитной организации и (или) третьих лиц с использованием программных и (или) программно-аппаратных средств, направленных на объекты информационной инфраструктуры кредитной организации (головной кредитной организации банковской группы) в целях нарушения и (или) прекращения их функционирования и (или) создания угрозы безопасности информации, подготавливаемой, обрабатываемой и хранимой такими объектами, а также в целях несанкционированного присвоения, хищения, изменения, удаления данных и иной информации (структуры данных, параметров и характеристик систем, программного кода) и нарушения режима доступа (далее - киберриск);
другие виды риска информационной безопасности, связанных с обработкой (хранением, уничтожением) информации без использования объектов информационной инфраструктуры.
7.3. Инциденты, приведшие к фактической реализации риска информационной безопасности, в том числе киберриска, обусловленные источниками риска информационной безопасности, в том числе инциденты, связанные с нарушениями требований к обеспечению защиты информации при осуществлении переводов денежных средств, установленных в соответствии с Положением Банка России от 9 июня 2012 года N 382-П "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств", зарегистрированным Министерством юстиции Российской Федерации 14 июня 2012 года N 24575, 1 июля 2013 года N 28930, 10 сентября 2014 года N 34017, 22 июня 2018 года N 51411 (далее - Положение Банка России N 382-П), и Положением Банка России от 17 апреля 2019 года N 683-П "Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента", зарегистрированным Министерством юстиции Российской Федерации 16 мая 2019 года N 54637 (далее - Положение Банка России N 683-П) (далее - инциденты защиты информации), вследствие которых возникли прямые и непрямые потери кредитной организации (головной кредитной организации банковской группы) (далее - событие риска информационной безопасности), фиксируются кредитной организацией (головной кредитной организацией банковской группы) в базе событий с присвоением вида операционного риска в соответствии с абзацем семнадцатым пункта 6.6 настоящего Положения.
Негативное влияние риска информационной безопасности должно определяться в виде потерь, приведенных в пункте 3.11 настоящего Положения и пункте 4 приложения 5 к настоящему Положению.
7.4. Кредитная организация (головная кредитная организация банковской группы) классифицирует события риска информационной безопасности по источникам операционного риска в соответствии с пунктом 3.3 настоящего Положения, а также по уязвимостям информационных систем и их компонентов как источникам последующих уровней классификации источников событий операционного риска в соответствии с пунктом 3.4 настоящего Положения, обусловленным недостатками процессов обеспечения защиты информации, способствующими реализации угрозы безопасности информации (совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации).
7.5. Кредитная организация (головная кредитная организация банковской группы) определяет во внутренних документах порядок ведения базы событий риска информационной безопасности (как в общей базе событий, так и в отдельной базе событий риска информационной безопасности). В случае если кредитная организация (головная кредитная организация банковской группы) ведет отдельную базу событий риска информационной безопасности, подразделению (работникам), ответственному (ответственным) за организацию и контроль обеспечения защиты информации (далее - служба информационной безопасности), необходимо соблюдать требования к классификации событий риска информационной безопасности в соответствии с пунктами 3.3 - 3.15 настоящего Положения и требования к ведению базы событий в соответствии с пунктами 6.6 - 6.21 настоящего Положения.
7.6. Кредитная организация (головная кредитная организация банковской группы) обеспечивает выявление, регистрацию и учет всех событий риска информационной безопасности с определением всех элементов классификации в соответствии с главами 2, 3 и 6 настоящего Положения, приложениями 4 и 5 к настоящему Положению, определяет суммы потерь в разрезе видов потерь в соответствии с пунктом 3.11 настоящего Положения и пунктом 4 приложения 5 к настоящему Положению с распределением по датам отражения в бухгалтерском учете, с раздельным учетом поступивших возмещений.
7.7. Кредитная организация (головная кредитная организация банковской группы) в целях управления риском информационной безопасности определяет во внутренних документах порядок функционирования системы информационной безопасности и обеспечивает его выполнение, в том числе:
политику информационной безопасности;
выявление и идентификацию риска информационной безопасности, а также его оценку;
участие совета директоров (наблюдательного совета) и коллегиального исполнительного органа кредитной организации (головной кредитной организации банковской группы) в решении вопросов управления риском информационной безопасности;
распределение функций и ответственности коллегиального исполнительного органа и работников кредитной организации (головной кредитной организации банковской группы), в том числе исключающее конфликт интересов в рамках организационной структуры обеспечения информационной безопасности, а также предполагающее определение должностного лица (лица, его замещающего), ответственного за функционирование системы обеспечения информационной безопасности (с прямым подчинением лицу, осуществляющему функции единоличного исполнительного органа кредитной организации (головной кредитной организации банковской группы), или его заместителю) и не участвующего в совершении операций, сделок, организации бухгалтерского и управленческого учета, обеспечении функционирования информационных систем;
защиту от угроз безопасности информации, включая обеспечение защиты информации, управление риском информационной безопасности при передаче внешним контрагентам выполнения отдельных функций кредитной организации (головной кредитной организации банковской группы) и (или) использовании внешних информационных систем в рамках реализации направлений деятельности, в том числе в разрезе составляющих их процессов, кредитной организации (головной кредитной организации банковской группы), а также операционную надежность, в том числе на этапах жизненного цикла информационных систем кредитной организации (головной кредитной организации банковской группы), в части управления изменениями, конфигурациями (настраиваемыми параметрами) и уязвимостями объектов информационной инфраструктуры;
выявление событий риска информационной безопасности, включая обнаружение компьютерных атак, рассмотрение обращений клиентов, контрагентов, работников и третьих лиц, связанных с нарушением информационной безопасности, выявление и регистрацию инцидентов защиты информации, выявление уязвимостей и фактов компрометации объектов информационной инфраструктуры;
порядок реагирования на выявленные события риска информационной безопасности и восстановления деятельности кредитной организации (головной кредитной организации банковской группы) в случае реализации таких событий, включая порядок взаимодействия кредитной организации (головной кредитной организации банковской группы) с клиентами и третьими лицами, в том числе в случае получения уведомлений об осуществлении переводов денежных средств без согласия клиентов;
обмен информацией о событиях риска информационной безопасности, в том числе об инцидентах защиты информации, и предоставление данных в Банк России в соответствии с требованиями пункта 8 Положения Банка России N 683-П;
организацию ресурсного (кадрового и финансового) обеспечения, включая установление требований к квалификации работников кредитной организации (головной кредитной организации банковской группы), в том числе должностного лица (лица, его замещающего), ответственного за функционирование системы обеспечения информационной безопасности;
повышение осведомленности, обучение и развитие навыков работников кредитной организации (головной кредитной организации банковской группы) в области противодействия угрозам безопасности информации;
установление и реализацию программ контроля, в том числе программ аудита;
соответствие фактических значений контрольных показателей уровня риска информационной безопасности принятым в кредитной организации (головной кредитной организации банковской группы) значениям;
планирование, реализацию, контроль и совершенствование комплекса мероприятий, направленных на повышение эффективности управления риском информационной безопасности и уменьшение негативного влияния риска информационной безопасности, в том числе в соответствии с реализуемыми уровнями защиты информации в отношении объектов информационной инфраструктуры кредитной организации (головной кредитной организации банковской группы) в соответствии с требованиями подпункта 3.1 пункта 3 Положения Банка России N 683-П;
выполнение требований к обеспечению защиты информации при осуществлении банковской деятельности, связанной с осуществлением перевода денежных средств, в соответствии с пунктом 5 Положения Банка России N 683-П;
процессы применения прикладного программного обеспечения автоматизированных систем и приложений, соответствующих требованиям пункта 4 Положения Банка России N 683-П;
ежегодное тестирование на проникновение и анализ уязвимостей информационной безопасности объектов информационной инфраструктуры в соответствии с подпунктом 3.2 пункта 3 Положения Банка России N 683-П;
независимую оценку соответствия уровня защиты информации в отношении объектов информационной инфраструктуры кредитной организации (головной кредитной организации банковской группы) в соответствии с требованиями пункта 9 Положения Банка России N 683-П.
7.8. В политике информационной безопасности кредитная организация (головная кредитная организация банковской группы) в целях управления риском информационной безопасности определяет:
функции и ответственность коллегиального исполнительного органа и работников кредитной организации (головной кредитной организации банковской группы) в рамках управления риском информационной безопасности;
основные принципы функционирования системы обеспечения информационной безопасности;
сигнальные и контрольные значения контрольных показателей уровня риска информационной безопасности;
основные принципы организации контроля за функционированием системы обеспечения информационной безопасности;
требования к созданию ресурсных (кадровых и финансовых) условий системы обеспечения информационной безопасности;
требования к внешним контрагентам, выполняющим функции обеспечения информационной безопасности (аутсорсингу), а также определение порядка взаимодействия и распределения ответственности между ними.
Политика информационной безопасности должна утверждаться коллегиальным исполнительным органом кредитной организации (головной кредитной организации банковской группы).
Коллегиальный исполнительный орган кредитной организации (головной кредитной организации банковской группы) несет ответственность за соблюдение требований политики информационной безопасности.
7.9. Кредитная организация (головная кредитная организация банковской группы) с учетом требований, указанных в главе 9 настоящего Положения, определяет выполнение службой информационной безопасности или отдельным структурным подразделением, ответственным за обеспечение информационной безопасности, следующих функций.
7.9.1. В целях обеспечения информационной безопасности:
разработка политики информационной безопасности;
контроль осуществления работниками кредитной организации (головной кредитной организации банковской группы) мероприятий в области обеспечения информационной безопасности и защиты информации и выполнения других задач, возложенных на них внутренними документами кредитной организации (головной кредитной организации банковской группы);
осуществление планирования и контроля процессов обеспечения информационной безопасности в рамках комплекса мероприятий, направленных на повышение эффективности управления риском информационной безопасности и уменьшение негативного влияния риска информационной безопасности;
разработка предложений по совершенствованию процессов обеспечения информационной безопасности, в том числе в рамках комплекса мероприятий, направленных на повышение эффективности управления риском информационной безопасности и уменьшение негативного влияния риска информационной безопасности;
составление отчетов по обеспечению информационной безопасности и направление их должностному лицу, ответственному за обеспечение информационной безопасности;
осуществление других функций, связанных с обеспечением информационной безопасности, предусмотренных внутренними документами кредитной организации (головной кредитной организации банковской группы).
7.9.2. В целях управления риском информационной безопасности:
соблюдение процедур управления операционным риском, установленных в подпунктах 2.1.1, 2.1.2 и 2.1.7 пункта 2.1 настоящего Положения, в части идентификации, сбора и регистрации информации о событиях риска информационной безопасности и потерях в базе событий, мониторинга риска информационной безопасности, в том числе на основе информации, предоставляемой центрами компетенций, ответственными за сбор информации о событиях операционного риска;
ведение базы событий риска информационной безопасности;
участие в реализации процессов в рамках комплекса мероприятий, направленных на повышение эффективности управления риском информационной безопасности и уменьшение негативного влияния риска информационной безопасности;
оценка эффективности управления риском информационной безопасности;
составление отчетов по событиям риска информационной безопасности и направление их в службу управления рисками и должностному лицу, ответственному за обеспечение информационной безопасности, а при его отсутствии - коллегиальному исполнительному органу кредитной организации (головной кредитной организации банковской группы);
осуществление мониторинга сигнальных и контрольных значений контрольных показателей уровня риска информационной безопасности, определенных в соответствии с подпунктом 1.2 пункта 1 приложения 1 к настоящему Положению;
участие в разработке внутренних документов в области управления риском информационной безопасности;
информирование работников кредитной организации (головной кредитной организации банковской группы) по вопросам, связанным с управлением риском информационной безопасности;
осуществление других функций, связанных с управлением риском информационной безопасности, предусмотренных внутренними документами кредитной организации (головной кредитной организации банковской группы).
7.10. Служба информационной безопасности формирует следующие специализированные отчеты по рискам информационной безопасности, направляемые на рассмотрение коллегиальному исполнительному органу кредитной организации (головной кредитной организации банковской группы), в дополнение к отчетам, формируемым подразделением, ответственным за организацию управления операционным риском в соответствии с пунктом 4.2 настоящего Положения:
отчеты в соответствии с подпунктом 2.15.3 пункта 2.15 Положения Банка России N 382-П;
сводные отчеты, направляемые должностному лицу, ответственному за обеспечение информационной безопасности, и коллегиальному исполнительному органу кредитной организации (головной кредитной организации банковской группы).
Кредитная организация (головная кредитная организация банковской группы) устанавливает во внутренних документах порядок и сроки предоставления данных отчетов.
7.11. Уполномоченное подразделение проводит регулярную (не реже одного раза в год) независимую оценку соблюдения требований, установленных настоящей главой, в рамках оценки эффективности системы управления операционным риском.