Михаил Стороженко, 07/12/20
Особенности и нюансы нового подхода
Пресс-служба Банка России разместила на своем официальном сайте информацию о выпуске положения № 716-П от 08.04.2020 г.1, в котором Банк России устанавливает требования к системе управления операционным риском (в том числе риском информационной безопасности и риском информационных систем), классификации событий такого риска, ведению соответствующей базы и контролю за полнотой учета прямых потерь в базе. Это необходимо банкам для расчета размера операционного риска, который включается в нормативы достаточности капитала, согласно подходу на основе стандартизированной оценки Базеля III.
Новое положение устанавливает, что кредитные организации должны привести свои базы данных событий операционного риска и порядок учета таких событий в соответствие с требованиями стандарта Базель III к 1 января 2022 г.
Отдельное внимание при рассмотрении положения в данной статье предлагаю уделить риску информационной безопасности, который в гл. 1 выделен в отдельный вид операционного риска. В гл. 7 приведены детальные требования к системе управления риском информационной безопасности, а в приложении 5 – подходы к дополнительной классификации риска информационной безопасности.
Перевод новых требований с языка ИБ на язык риск-менеджмента
Основная инновация положения заключается в сопоставлении подходов и терминов специфики отрасли информационной безопасности (в части определений и методологии информационной безопасности, в том числе сущностей – угроз, уязвимостей, инцидентов или событий информационной безопасности, ущерба и др.) с общими подходами и терминологией системы управления рисками по стандартам управления рисками СOSO ЕRM, FЕRMa и др. (такими сущностями, как потенциальный и фактический риск, источник риска, уровень и карта рисков, меры реагирования, потери и т.д.) и методологией COBIT 5 с точки зрения оценки зрелости процесса управления риском информационной безопасности. Схематично и верхнеуровнево соответствие этих трех методологий представлено в таблице. дальнейшую детализацию таблицы по отдельным сущностям и атрибутам, при наличии такой задачи, можно достаточно быстро дополнить на основании приведенных в положении классификаторов. Указанное соответствие, или, другими словами,
перевод с языка ИБ на язык риск-менеджмента, позволит кредитным организациям по-другому посмотреть на те события, которые раньше были понятны только профильным подразделениям информационной безопасности и, как следствие, учесть их уже в качестве отдельного вида операционного риска, оценить и управлять ими уже по методологии управления рисками.
Требования по соответствию и оценке эффективности процесса управления ИБ по методологии COBIT 5 PAM, включая базовые практики (Base Practices – BPs) и рабочие продукты процесса (Work Products – WPs), фактически заложены в отдельные требования гл. 7 положения.
Таблица. Соответствие методологий ИБ, RM и COBIT 5
Стандарты Банка России как основа для формирования обязательных требований
В гл. 7 и приложении 5 наблюдается множество перекрестных ссылок на профильные нормативные документы по обеспечению информационной безопасности Банка России, в том числе на положение Банка России от 9 июня 2012 г. № 382-П "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств", положение Банка России от 17 апреля 2019 г. № 683-П "Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента".
Применимость ссылок на указанные положения обусловлена наличием уже регламентированных норм для отдельных категорий кредитных организаций или отдельных категорий операций. Однако нет отдельных требований в части мер, не охваченных указанными документами (382-П, 683-П). По всей видимости, отдельные дополнения и уточнения будут появляться по результатам оценки соответствия кредитных организаций требованиям положения, в рамках надзорных процедур регулятора.
В приложении 5 прослеживается схожесть классификации отдельных разделов со стандартами Банка России СТО БР ИББС. Это имеет под собой определенные основания в виде как структуры "подходов" классификации, так и информационного письма Банка России от 16.07.2020 г. № ИН 014-56/113, в котором дано разъяснение, что стандарты Банка России СТО БР ИББС имеют рекомендательный характер. Следовательно, можно предположить, что регулятор имел целью закрепить отдельные нормы стандартов СТО БР ИББС как обязательные к применению в рамках норм положения.
"BYOD и COPE: удобство против безопасности" читать статью >>>
Универсальный потенциал
По итогам субъективной оценки данного положения хочется поблагодарить всех причастных к разработке положения сотрудников Банка России за столь интересную и, без сомнения, инновационную разработку соответствия методологий информационной безопасности, управления рисками и оценки процессов. При этом, если убрать специфику положения для банковской сферы и кредитных организаций, указанный подход имеет все шансы стать универсальным для любого предприятия, организации или компании.
1 http://www.cbr.ru/press/event/?id=6849
Опубликовано в журнале "Системы безопасности" №5/2020
