Аудит и консалтинг по 716-П

Тонкая работа на стыке управления рисками, ИТ и ИБ

Положение обязывает учитывать уровень операционного риска и управлять им. Этот уровень используется не для расчета стоимости услуг банка, но для переоценки требований к достаточности капитала.

Риски информационной безопасности и риски информационных систем также относятся к операционным рискам и детально рассматриваются в Положении 716-П. Но риски ИБ и ИС традиционно сложны для приземления на бизнес-процессы и тем более сложны для оценки.

Чем выше риск поломки или взлома ИТ-систем Банка, тем выше уровень операционного риска, тем выше требования к достаточности капитала — и тем дороже выходит функционирование Банка.

Качественное управление уровнем операционного риска позволяет снизить требования к достаточности капитала и получить конкурентное преимущество.

Для приведения в соответствие может понадобиться:

Количественно оценить риски ИБ и ИС

Качественно оценить риски ИБ и ИС

Экспертно оценить влияние рисков ИБ и ИС

Провести аудит на соответствие требованиям Положения

Описать процессы сбора информации о событиях ОР и автоматизировать работу базы событий

Улучшить систему защиты информации для снижения потенциального негативного влияния событий ОР

Как строится проект

В зависимости от категории кредитной организации и степени зрелости системы управления рисками, требования Положения к системе управления ОР будут разными:

Банки с универсальной лицензией и объемом активов более 500 млрд. руб.
Банки с универсальной лицензией и объемом активов менее 500 млрд. руб.
Банки с базовой лицензией
Небанковские кредитные организации (НКО)

Однако приведение в соответствие строится по одинаковому сценарию:

Аудит соответствия требованиям 716-П

При аудите оценивается уровень соответствия требованиям, составляется перечень необходимых для соответствия процессов и разрабатываются подробные технические задания и описания для создания необходимых процессов и внутренних документов.

Аудит может быть проведен:

Для оценки качества системы управления только рисками ИБ и ИС
Для оценки качества системы управления операционными рисками, включая риски ИБ и ИС

Описание и оценка операционных рисков

Для работы системы управления операционным риском необходимо следить за уровнем операционного риска.

Это означает:

Выявить и описать актуальные операционные риски
Организовать их в виде дерева риск-индикаторов
Оценить потенциальное финансовое влияние этих рисков на деятельность кредитной организации
Рассчитать контрольные значения для каждого риск-индикатора

Создание базы событий

База событий нужна для сбора информации обо всех реализованных событиях ОР и формирования отчетности.

Система должна:

Собирать информацию о реализованных событиях ОР
Содержать оценку объема потерь от реализованных событий ОР
Учитывать связи с другими событиями ОР в дереве риск-индикаторов
Мониторить контрольные показатели и их значения

Полный текст Положения ЦБ РФ 716-П

Скачать (PDF, 590KB)

Для экспресс-проверки степени готовности нужно:

Определить подразделение, ответственное за организацию системы управления ОР в целом, и входящее в службу управления рисками
Определить подразделение, ответственное за работоспособность и поддержку базы событий
Определить, используется ли в кредитной организации продвинутая методология оценки ОР (отличная от положения №652-П)
Составить перечень направлений деятельности и критичных бизнес-процессов
Оценить, соответствует ли система обеспечения информационной безопасности кредитной организации требованиям Положений: 382-П, 683-П

Что дальше?

Положение №716-П предусматривает проведение мероприятий по контролю и развитию системы управления ОР. В том числе требуется проводить не реже 1 раза в год:

Проверку актуальности перечня ключевых риск-индикаторов;
Проверку актуальности контрольных значений (в том числе в части риска ИБ)
Проверку полноты и точности информации о реализованных событиях ОР в базе событий
Проверку актуальности проведенных оценок финансового влияния рисков на деятельность организации

Также, ежегодно необходимо предоставлять план проведения мероприятий по улучшению системы управления ОР и оценивать результативность уже одобренных мер.

Для банков с универсальной лицензией требуется проведение тестирования на проникновение в ИТ-системы.

Подробнее о приведении в соответствие с требованиями Положения ЦБ РФ 716-П

Мы подготовили для вас презентацию с кратким описанием

Запросить презентацию

Почему мы

Реализация требований Положения №716-П требует работы на стыке компетенций управления рисками, ИТ и ИБ

Это и повышение надежности ИТ-инфраструктуры организации, и оценка адекватности применяемых средств защиты относительно возможных потерь, и описание бизнес-процессов, которые поддерживаются данной ИТ-инфраструктурой, защищенной конкретными средствами защиты.

Для результативного выполнения требований — необходима команда, обладающая опытом на стыке компетенций, и желающая погружаться в работу других подразделений.

То есть команда, имеющая знания и опыт в следующих сферах:

ИБ

Одним из основных направлений нашей деятельности является аудит и реализация требований безопасности финансового сектора.

Мы работаем как со стандартами Центрального Банка России (382-П, 719-П, 683-П, ГОСТ 57580.1, СТО БР ИББС),
так и с международными отраслевыми стандартами платежных систем (PCI DSS, PCI PIN Security, PCI 3DS, SWIFT CSP)

ИТ

В нашей команде есть высококлассные ИТ и ИБ архитекторы.

Наш основной принцип – приземлить ИБ-проекты в функционирующий ИТ-ландшафт, и не нарушить заданные параметры отказоустойчивости.

В проектах по непрерывности бизнеса (BCP) мы руководствуемся международным стандартом ISO 22301.

Управление рисками

В проектах по построению СОИБ (системы обеспечения ИБ) мы работаем переводчиками между подразделениями.

Применяем методологию риск-анализа ISO 31000 для создания адекватного перечня мер защиты;
полученный перечень прорабатываем совместно с ИТ и ИБ подразделениями для создания оптимальной системы защиты.

Почему

нам доверяют:

15+ лет

опытная команда

5,000+ проектов

портфолио

45+ стран

география проектов

Остались вопросы или нужна презентация?

О компании

ООО «Кард Сек» | Москва, 2-я Хуторская ул., 38А, стр. 9
Тел: +7 495 120 26 28 | Email: 716@cardsec.ru