716-П требует от банков построения целостной и самодостаточной конструкции управления и контроля рисками. Это касается как банков, у которых уже существует и функционирует система риск-менеджмента, так и организаций, обладающих банковской лицензией, у которых упомянутая система отсутствует вовсе.
Рассматриваемый источник нормативного регулирования затрагивает различные виды рисков, в данной статье мы рассмотрим профильный для службы информационной безопасности (далее – ИБ), а также для ответственных за ИБ лиц вид рисков – ИБ.
В фабуле рассматриваемого документа обязательства по структуре системы риск – менеджмента направления ИБ располагаются в седьмой главе.
Более подробная информация на сайте RTM Group.
Определение риск событий
В самом начале приводится определение риск-событий, которые тематически относятся к рискам ИБ – гипотетическая возможность умышленных действий сотрудников Банка по саботированию (например, с помощью вредоносного программного обеспечения) элементов информационной инфраструктуры, в которых циркулирует защищаемая информация с целью вывода их из строя, либо кражи/уничтожения.
Распоряжение о обязательной регистрации ЧП
Далее следует указание Центрального Банка РФ (далее – ЦБ РФ) в отношении обязательной регистрации чрезвычайных происшествий, случившихся в результате реализации риск-события ИБ в установленной форме пенташкалы. В этом же пункте есть указание на обсчитывание отрицательных последствий риск-событий ИБ, которое рассчитываются в эквиваленте убытков.
Группировка риск-событий
Ниже следуют указания по сгруппированию риск-событий ИБ по источникам/причинам/происхождениям, а также по незащищённости автоматизированных систем, либо их модулей. Также в данном пункте отражены распоряжения на документарную организацию порядка регистрации риск-событий ИБ в пенташкалу, а также обязательном заполнении всех ячеек пенташкалы при регистрации.
Документарное сопровожение
Дальше следуют подпункты по документарному сопровождению системы риск-менеджмента в направлении ИБ, например:
- Необходимость разработки/доработки Политики ИБ;
- Порядок поиска и оценки риск – событий в направлении ИБ;
- Обязательность участия высшего руководства Банка (председатель правления, члены правления Банка) в вопросах управления киберрисков;
- Обязанность распределения функционала и ответственности персонала Банка в системе риск – менеджмента в направлении ИБ, для минимизации субъективной заинтересованности;
- Повышения уровня информационной безопасности при использовании сторонних информационных систем (ИС контрагентов), либо при делегировании полномочий по управлению собственными информационными системами на аутсорс по изменению параметров настроек и конфигурацию модулей безопасности самих систем;
- Поиск риск – событий в направлении ИБ по средствам обнаружения попыток несанкционированного внедрения в локальную вычислительную сеть, просмотр обращений потребителей услуг Банка, Банковских служащих, контрагентов;
- Обязательное установление стандартом действий по фактам выявления риск – событий;
- Соответствие 683-П;
- Введение требований по уровню профессионализма к соискателям на должности лиц, ответственных за ИБ в Банке;
- Обязанность Банка за процесс обучения персонала, повышения квалификации/вовлеченности в процесс риск – менеджмента в направлении ИБ;
- Обязательный, ежегодный пентест.
Структура политики ИБ
Далее расположены пункты к структуре политики ИБ. В данном документе обязательно должны быть отражены следующие пункты:
- Функционал и полномочия структурного подразделения Банка, который отвечает за организацию риск – менеджмента в направлении ИБ
- Основные концепции, тезисы деятельности службы ИБ в разрезе 716-П
- Установление двух типов коэффициентов риск – событий ИБ: базовый и предупредительный
- Основные положения и структура системы контрольных мероприятий в отношении службы ИБ
- Политика ИБ должна быть утверждена подразделением, занимающимся организацией функционирования координации действий по снижению уровня киберрисков
- Применение цикла Дёминга в сфере структуры защиты информации Банка
- Внедрение или оптимизация системы отчетности в направлении риск – менеджмента службы ИБ
Обязательные профилактические меры
Ниже следует перечень обязательных действий для снижения вероятности риск-событий в направлении ИБ:
- Покрытие общих положений 716-П по умериванию и локализации последствий реализации риск – событий и подпадание службы ИБ под эти положения;
- Регистрация риск – событий в направлении ИБ в общебанковскую пенташкалу;
- Иные действия.
Добавить комментарий
Для отправки комментария вам необходимо авторизоваться.