716-П требует от банков построения целостной и самодостаточной конструкции управления и контроля рисками. Это касается как банков, у которых уже существует и функционирует система риск-менеджмента, так и организаций, обладающих банковской лицензией, у которых упомянутая система отсутствует вовсе.

Рассматриваемый источник нормативного регулирования затрагивает различные виды рисков, в данной статье мы рассмотрим профильный для службы информационной безопасности (далее – ИБ), а также для ответственных за ИБ лиц вид рисков – ИБ.

В фабуле рассматриваемого документа обязательства по структуре системы риск – менеджмента направления ИБ располагаются в седьмой главе.

Более подробная информация на сайте RTM Group.

Определение риск событий

В самом начале приводится определение риск-событий, которые тематически относятся к рискам ИБ – гипотетическая возможность умышленных действий сотрудников Банка по саботированию (например, с помощью вредоносного программного обеспечения) элементов информационной инфраструктуры, в которых циркулирует защищаемая информация с целью вывода их из строя, либо кражи/уничтожения.

Распоряжение о обязательной регистрации ЧП

Далее следует указание Центрального Банка РФ (далее – ЦБ РФ) в отношении обязательной регистрации чрезвычайных происшествий, случившихся в результате реализации риск-события ИБ в установленной форме пенташкалы. В этом же пункте есть указание на обсчитывание отрицательных последствий риск-событий ИБ, которое рассчитываются в эквиваленте убытков.

Группировка риск-событий

Ниже следуют указания по сгруппированию риск-событий ИБ по источникам/причинам/происхождениям, а также по незащищённости автоматизированных систем, либо их модулей. Также в данном пункте отражены распоряжения на документарную организацию порядка регистрации риск-событий ИБ в пенташкалу, а также обязательном заполнении всех ячеек пенташкалы при регистрации.

Документарное сопровожение

Дальше следуют подпункты по документарному сопровождению системы риск-менеджмента в направлении ИБ, например:

  • Необходимость разработки/доработки Политики ИБ;
  • Порядок поиска и оценки риск – событий в направлении ИБ;
  • Обязательность участия высшего руководства Банка (председатель правления, члены правления Банка) в вопросах управления киберрисков;
  • Обязанность распределения функционала и ответственности персонала Банка в системе риск – менеджмента в направлении ИБ, для минимизации субъективной заинтересованности;
  • Повышения уровня информационной безопасности при использовании сторонних информационных систем (ИС контрагентов), либо при делегировании полномочий по управлению собственными информационными системами на аутсорс по изменению параметров настроек и конфигурацию модулей безопасности самих систем;
  • Поиск риск – событий в направлении ИБ по средствам обнаружения попыток несанкционированного внедрения в локальную вычислительную сеть, просмотр обращений потребителей услуг Банка, Банковских служащих, контрагентов;
  • Обязательное установление стандартом действий по фактам выявления риск – событий;
  • Соответствие 683-П;
  • Введение требований по уровню профессионализма к соискателям на должности лиц, ответственных за ИБ в Банке;
  • Обязанность Банка за процесс обучения персонала, повышения квалификации/вовлеченности в процесс риск – менеджмента в направлении ИБ;
  • Обязательный, ежегодный пентест.

Структура политики ИБ

Далее расположены пункты к структуре политики ИБ. В данном документе обязательно должны быть отражены следующие пункты:

  1. Функционал и полномочия структурного подразделения Банка, который отвечает за организацию риск – менеджмента в направлении ИБ
  2. Основные концепции, тезисы деятельности службы ИБ в разрезе 716-П
  3. Установление двух типов коэффициентов риск – событий ИБ: базовый и предупредительный
  4. Основные положения и структура системы контрольных мероприятий в отношении службы ИБ
  5. Политика ИБ должна быть утверждена подразделением, занимающимся организацией функционирования координации действий по снижению уровня киберрисков
  6. Применение цикла Дёминга в сфере структуры защиты информации Банка
  7. Внедрение или оптимизация системы отчетности в направлении риск – менеджмента службы ИБ

Обязательные профилактические меры

Ниже следует перечень обязательных действий для снижения вероятности риск-событий в направлении ИБ:

  • Покрытие общих положений 716-П по умериванию и локализации последствий реализации риск – событий и подпадание службы ИБ под эти положения;
  • Регистрация риск – событий в направлении ИБ в общебанковскую пенташкалу;
  • Иные действия.

Добавить комментарий