Глава 8. Управление риском информационных систем
8.1. Кредитная организация (головная кредитная организация банковской группы) определяет во внутренних документах порядок управления риском информационных систем, включающий мероприятия и процедуры по обеспечению требований к непрерывности и качеству функционирования информационных систем и обеспечению качества данных в информационных системах.
8.2. В целях управления риском информационных систем кредитная организация (головная кредитная организация банковской группы) во внутренних документах определяет политику информационных систем как взаимосвязанной совокупности технических и программных средств, других объектов информационной инфраструктуры, содержащейся в базах данных информации и обеспечивающих ее обработку технологий в рамках реализации мероприятий поддержки и обеспечения непрерывности функционирования процессов кредитной организации (головной кредитной организации банковской группы) и обеспечивает ее соблюдение.
8.3. В политике информационных систем кредитная организация (головная кредитная организация банковской группы) в целях управления риском информационных систем определяет:
функции и полномочия подразделения (подразделений), ответственного (ответственных) за обеспечение функционирования информационных систем и их компонентов (далее - подразделение (подразделения), ответственное (ответственные) за обеспечение функционирования информационных систем), по исполнению политики информационных систем и требований настоящей главы;
должностное лицо (лицо, его замещающее), ответственное за обеспечение функционирования информационных систем кредитной организации (головной кредитной организации банковской группы) и координацию деятельности подразделения (подразделений), ответственного (ответственных) за обеспечение функционирования информационных систем (далее - должностное лицо, ответственное за информационные системы);
перечень информационных систем, обеспечивающих функционирование процессов;
требования к информационным системам, в том числе требования по обеспечению непрерывности и качества функционирования информационных систем;
порядок информационного взаимодействия в рамках реализации политики информационных систем;
порядок и периодичность формирования отчетов должностного лица, ответственного за информационные системы, и подразделения (подразделений), ответственного (ответственных) за обеспечение функционирования информационных систем, направляемых на рассмотрение коллегиальному исполнительному органу кредитной организации (головной кредитной организации банковской группы).
Политика информационных систем утверждается коллегиальным исполнительным органом кредитной организации (головной кредитной организации банковской группы).
Коллегиальный исполнительный орган кредитной организации (головной кредитной организации банковской группы) несет ответственность за соблюдение требований политики информационных систем.
8.4. Должностное лицо, ответственное за информационные системы, проводит не реже одного раза в год анализ необходимости пересмотра требований политики информационных систем в зависимости от осуществляемых операций и (или) действующих процессов, изменяющихся внешних факторов и стратегических планов развития кредитной организации (головной кредитной организации банковской группы), результатов процедур управления операционным риском, результатов оценки эффективности функционирования системы управления операционным риском, проведенной уполномоченным подразделением, и направляет результаты анализа на рассмотрение коллегиальному исполнительному органу кредитной организации (головной кредитной организации банковской группы) для принятия решения о необходимости внесения изменений в политику информационных систем и внутренние документы.
Кредитная организация (головная кредитная организация банковской группы) определяет во внутренних документах порядок и правила проведения анализа и пересмотра политики информационных систем.
8.5. Кредитная организация (головная кредитная организация банковской группы) определяет в политике информационных систем перечень информационных систем, обеспечивающих функционирование процессов, в соответствии с подпунктом 4.1.1 пункта 4.1 настоящего Положения, в том числе требующих обеспечение информационного взаимодействия, обработку и хранение информации с помощью информационных систем.
8.6. Кредитная организация (головная кредитная организация банковской группы) обеспечивает проведение подразделениями кредитной организации (головной кредитной организации банковской группы) мероприятий, направленных на выявление, оценку, разработку форм (способов) контроля, и мероприятий, направленных на повышение качества системы управления риском информационных систем и снижение уровня риска информационных систем и сопряженных с ним рисков информационной безопасности, влияющих на информационные системы (в том числе рисков уничтожения (искажения, безвозвратного удаления) носителей и (или) хранилищ информации и данных, хранящихся в информационных системах).
8.7. Кредитная организация (головная кредитная организация банковской группы) в целях управления риском информационных систем разрабатывает во внутренних документах и соблюдает требования к информационным системам с учетом их влияния на обеспечение бесперебойной работы процессов кредитной организации (головной кредитной организации банковской группы).
8.7.1. Требования к структуре информационных систем, включая требования к:
составу основных функций, компонентов, подсистем информационных систем и их иерархической структуры в соответствии с заданными кредитной организацией (головной кредитной организацией банковской группы) функциональными требованиями и техническими заданиями;
средствам и способам обмена информации между подсистемами информационных систем в случае распределенной архитектуры, в том числе с элементами, размещенными у внешних поставщиков услуг и информации (провайдеров, операторов связи или других контрагентов);
архитектуре взаимодействия со смежными информационными системами, в том числе третьих лиц и провайдеров.
8.7.2. Требования к стандартизации и унификации, используемые при создании, модернизации и эксплуатации информационных систем, включая требования к:
перечню используемых кредитной организацией (головной кредитной организацией банковской группы) программных и технических средств;
перечню программно-аппаратных решений, требующих лицензирования и сертификации;
правилам разработки (как собственными силами кредитной организации (головной кредитной организации банковской группы), так и силами привлеченных подрядчиков), приемки, тестирования, сопровождения информационных систем и ведения рабочей документации, включая порядок хранения и изменения исходного кода (в том числе раздельное хранение, исключающее доступ разработчиков);
классификации информационных систем с учетом критичности и влияния информационных систем на процессы, а также влияния сбоев в работе информационных систем на процессы кредитной организации (головной кредитной организации банковской группы);
квалификации работников, задействованных при разработке и эксплуатации информационных систем;
закупке услуг и информации в случае необходимости привлечения внешних поставщиков услуг и информации, в том числе порядку выбора поставщиков, определения их ответственности и правил их взаимодействия;
критериям и порядку определения технической и экономической целесообразности передачи на аутсорсинг элементов информационных систем с учетом рисков утраты доступа к этим элементам информационных систем и утраты данных, а также порядку контроля кредитной организации (головной кредитной организации банковской группы) за элементами информационных систем, переданными на аутсорсинг.
8.7.3. Требования к надежности функционирования информационных систем, включая требования к:
порядку выявления и устранения сбоев информационных систем, включающему перечень возможных отказов и (или) сбоев информационных систем или их элементов, их классификацию и примерные варианты решения, а также к информационному, техническому и программному обеспечению информационных систем;
режимам функционирования информационных систем (например, период доступности системы в течение суток, максимальное допустимое время простоя в год, допустимые интервалы в случае установки обновления);
аутсорсингу обслуживания и функционирования информационных систем, включая обязательные мероприятия по обеспечению сохранности элементов информационных систем, переданных на аутсорсинг, доступа к ним и контроля кредитной организации (головной кредитной организации банковской группы) за ними, в том числе персональную ответственность должностных лиц за сохранность информационных систем и данных, переданных на аутсорсинг;
перечню показателей надежности функционирования информационных систем и их пороговым значениям;
инструментам, методам контроля и способам оценки надежности функционирования информационных систем кредитной организации (головной кредитной организации банковской группы);
проведению мероприятий по повышению качества функционирования информационных систем;
периоду коммерческого использования с сохранением требуемых функций информационных систем (жизненному циклу информационных систем);
другие требования, отражающие особенности обеспечения функционирования процессов и структуры информационных систем кредитной организации (головной кредитной организации банковской группы).
8.7.4. Требования к обеспечению качества данных в информационных системах в разрезе характеристик качества данных в рамках обеспечения функционирования процессов, включая требования к:
точности и достоверности данных в части отсутствия синтаксических и семантических ошибок в данных, а также их соответствия реальным и статистически наиболее вероятным значениям свойств, характеристик и параметров, зафиксированных в данных;
полноте данных в части достаточности объема данных (количеству хранящихся в информационных системах записей), глубине данных (периоду данных, используемому для проведения операций и оценки эффективности процессов, применяемых методик и моделей процессов) и широте данных (охвату данными всех разрезов, свойств и характеристик объектов), требуемым в рамках обеспечения функционирования процессов;
свойствам данных в любой момент времени адекватно отражать состояние объектов предметной области (актуальность данных);
взаимной непротиворечивости данных, хранящихся в информационных системах кредитной организации (головной кредитной организации банковской группы), других источниках и носителях информации, унификации данных при их перемещении в информационных системах и процессах, целостности соответствующих идентификационных ссылок и связей в структурах баз данных (согласованность данных);
возможности использования данных при функционировании процессов (доступность данных);
возможности осуществления контроля качества и происхождения данных, в том числе посредством отражения в информационных системах источников данных, истории создания, изменения, преобразования, удаления, хранения и передачи данных (контролируемость данных);
возможности сохранять установленный уровень функциональности и качества данных после их утраты, повреждения или изменения в результате сбоев или других нарушений функционирования информационных систем (восстанавливаемость данных);
другим характеристикам качества данных, определяемым кредитной организацией (головной кредитной организацией банковской группы) во внутренних документах.
Кредитная организация (головная кредитная организация банковской группы) с учетом осуществляемых операций и (или) действующих процессов, уровня и сочетания принимаемых рисков, текущих и стратегических планов развития и доступных возможностей определяет во внутренних документах дополнительные характеристики качества данных в информационных системах, включающие разработку методики обеспечения качества данных и порядка обеспечения качества данных.
8.7.5. Кредитная организация (головная кредитная организация банковской группы) определяет во внутренних документах методику обеспечения качества данных в информационных системах, обеспечивающих критически важные процессы, включающую следующие элементы:
классификатор возможных источников и причин образования в информационных системах данных, не соответствующих требованиям к качеству данных в информационных системах;
показатели (индикаторы) качества данных для оценки характеристик качества данных, разрабатываемые кредитной организацией (головной кредитной организацией банковской группы) для различных информационных систем;
методы и алгоритмы расчета, правила измерения показателей качества данных, в том числе с использованием контрольных выборок данных;
критерии оценки качества данных.
Кредитная организация (головная кредитная организация банковской группы) определяет во внутренних документах другие элементы методики обеспечения качества данных в информационных системах.
Кредитная организация (головная кредитная организация банковской группы) применяет элементы методики обеспечения качества данных с учетом особенностей конкретных данных, в том числе методов и процедур их фиксирования, хранения и преобразования, а также их типов и форматов.
8.7.6. Кредитная организация (головная кредитная организация банковской группы) определяет во внутренних документах порядок обеспечения качества данных в информационных системах, обеспечивающих критически важные процессы, включающий следующие элементы:
процедуры измерения показателей качества данных;
процедуры обоснования, утверждения и корректировки предельно допустимых значений показателей качества данных, критериев оценки качества данных;
процедуры реагирования на случаи нарушения установленных кредитной организацией (головной кредитной организацией банковской группы) предельно допустимых значений показателей качества данных, критериев оценки качества данных;
процедуры, правила и периодичность контроля качества данных и формирования отчетов о качестве данных, о проведении мероприятий контроля качества данных;
процедуры исправления выявленных ошибок в данных и документирования внесенных в них изменений;
порядок взаимодействия органов управления, подразделений и должностных лиц кредитной организации (головной кредитной организации банковской группы) по вопросам обеспечения качества данных, устанавливающий их полномочия, ответственность, подотчетность и обеспеченность ресурсами, в том числе определяющий в кредитной организации (головной кредитной организации банковской группы) должностное лицо (должностные лица), несущее (несущие) персональную ответственность за обеспечение качества данных в информационных системах;
порядок и периодичность (не реже одного раза в год) проведения независимой оценки качества данных.
Кредитная организация (головная кредитная организация банковской группы) определяет во внутренних документах другие элементы порядка обеспечения качества данных в информационных системах.
8.7.7. Кредитная организация (головная кредитная организация банковской группы) определяет во внутренних документах дополнительные требования к информационным системам и их функционированию с учетом осуществляемых операций и (или) действующих процессов, уровня и сочетания принимаемых рисков, текущих и стратегических планов развития и доступных возможностей.
8.7.8. Подразделение (подразделения), ответственное (ответственные) за обеспечение функционирования информационных систем, не реже одного раза в год проводит (проводят) анализ необходимости пересмотра требований к информационным системам с учетом текущих и стратегических планов развития, их влияния на процессы, оценки уровня операционного риска, отраженной в отчетах по операционному риску, и мероприятий, направленных на повышение качества системы операционным риском и уменьшение негативного влияния операционного риска, а также с учетом отчетов службы информационной безопасности и подразделения, ответственного за обеспечение информационной безопасности, и направляет результаты анализа коллегиальному исполнительному органу кредитной организации (головной кредитной организации банковской группы) для принятия решения о пересмотре требований к информационным системам.
8.8. Кредитная организация (головная кредитная организация банковской группы) устанавливает во внутренних документах и соблюдает следующие требования по обеспечению непрерывности и качества функционирования информационных систем.
8.8.1. Разработка, реализация и контроль выполнения требований к информационным системам, обеспечивающим функционирование системы информационной безопасности в соответствии с пунктом 7.7 настоящего Положения.
8.8.2. Обеспечение условий эксплуатации технических средств элементов информационных систем, а также устройств бесперебойного электропитания, пожаротушения, вентиляции и кондиционирования, резервных цифровых каналов и устройств связи, резервных носителей данных.
8.8.3. Регулярное (не реже одного раза в день) резервное копирование данных критически важных процессов на резервные технические средства, размещенные не в тех зданиях, в которых размещены действующие технические средства, обеспечивающие функционирование информационных систем в текущем рабочем режиме. Кредитная организация (головная кредитная организация банковской группы) обеспечивает надежность функционирования резервных технических средств, в том числе соблюдение требования подпункта 8.8.2 настоящего пункта, режима охраны и доступа.
8.8.4. Использование программного обеспечения, принятого в эксплуатацию с соблюдением требований подпункта 8.7.2 пункта 8.7 настоящего Положения и технических условий эксплуатации, описанных в эксплуатационной документации программного обеспечения кредитной организации (головной кредитной организации банковской группы).
8.8.5. Наличие во внутренних документах кредитной организации (головной кредитной организации банковской группы) положения и стратегии по обеспечению непрерывности и восстановления функционирования информационных систем. Кредитная организация (головная кредитная организация банковской группы) определяет во внутренних документах орган кредитной организации (головной кредитной организации банковской группы), который утверждает стратегию и положение по обеспечению непрерывности и восстановления функционирования информационных систем, с установлением обязательств соблюдения требований внутренних документов всеми подразделениями кредитной организации (головной кредитной организации банковской группы).
8.8.6. Проведение кредитной организацией (головной кредитной организацией банковской группы) регулярных (не реже одного раза в год) оценок состава компонентов, архитектуры, информационной инфраструктуры и характеристик информационных систем на предмет их достаточности и эффективности для обеспечения функционирования процессов кредитной организации (головной кредитной организации банковской группы), по результатам которых кредитной организацией (головной кредитной организацией банковской группы) принимаются меры по устранению выявленных недостатков в информационных системах.
8.8.7. Ежегодное тестирование уязвимостей информационных систем и (или) их компонентов и других источников риска информационных систем, а также разработка комплекса мероприятий, направленных на устранение выявленных уязвимостей информационных систем и (или) других источников риска информационных систем.
8.8.8. Проведение уполномоченным подразделением регулярной (не реже одного раза в год) оценки соблюдения установленных настоящей главой требований, включая оценку эффективности:
соблюдения политики информационных систем;
мероприятий, направленных на повышение качества системы управления риском информационных систем и уменьшение негативного влияния риска информационных систем;
требований к информационным системам в целях управления риском информационных систем;
требований по обеспечению непрерывности и качества функционирования информационных систем.
Уполномоченное подразделение направляет отчеты по результатам оценки соблюдения требований, установленных настоящей главой, совету директоров (наблюдательному совету) и коллегиальному исполнительному органу кредитной организации (головной кредитной организации банковской группы), подразделению (подразделениям), ответственному (ответственным) за обеспечение функционирования информационных систем, и службе управления рисками.
8.8.9. Коллегиальный исполнительный орган кредитной организации (головной кредитной организации банковской группы) определяет подразделение (подразделения), ответственное (ответственные) за обеспечение непрерывности функционирования информационных систем, включая:
определение полномочий подразделения и его работников;
целевые показатели и критерии эффективности работы подразделения с занесением их в положение о подразделении и должностные инструкции работников;
контрольные процедуры и целевые показатели подразделения, в том числе порядок их актуализации.
8.8.10. Коллегиальный исполнительный орган кредитной организации (головной кредитной организации банковской группы) определяет должностное лицо (лицо, его замещающее), ответственное за обеспечение непрерывности функционирования информационных систем в кредитной организации (головной кредитной организации банковской группы), включая его полномочия и требования к его квалификации.
8.8.11. Должностное лицо (лицо, его замещающее), ответственное за обеспечение непрерывности функционирования информационных систем в кредитной организации (головной кредитной организации банковской группы), регулярно (не реже одного раза в год) проводит самооценку рисков информационных систем в разрезе процессов с учетом требований настоящей главы и направляет отчеты по результатам самооценки в подразделение, ответственное за организацию управления операционным риском, и (или) другому органу, установленному кредитной организацией (головной кредитной организацией банковской группы) во внутренних документах.
8.8.12. Коллегиальный исполнительный орган кредитной организации (головной кредитной организации банковской группы) определяет подразделение, ответственное за предоставление отчетов по риску информационных систем в соответствии с требованиями пункта 4.2 настоящего Положения, а также порядок предоставления отчетов подразделению, ответственному за организацию управления операционным риском.
8.8.13. Кредитная организация (головная кредитная организация банковской группы) определяет во внутренних документах дополнительные требования к обеспечению непрерывности и качества функционирования информационных систем с учетом осуществляемых операций и (или) действующих процессов, принимаемых рисков, текущих и стратегических планов развития и доступных возможностей.