Финансовая сфера

Банковское обозрение


  • 716 раз отмерь
29.11.2022 FinCorpFinRegulationFinSecurityАналитика

716 раз отмерь

С начала 2022 года вступило в силу Положение Банка России № 716-П по управлению операционными рисками. Суть документа заключается в том, что банки должны оценивать риски, в том числе риски информационной безопасности, а также резервировать собственные средства на случай их реализации. Но в реальности к отчетности банков по этому положению много вопросов


С 1 октября 2022 года банки начали направлять в Банк России соответствующую отчетность, но на деле во многих организациях требования Положения № 716-П и связанных с ним положений ЦБ РФ выполняются формально или не выполняются вовсе. Помимо этого в конце прошлого года в Техническом комитете по стандартизации при Банке России ТК № 122 были приняты проекты двух новых ГОСТов по операционной надежности и управлению рисками, которые в том числе потребуют проведения внешних аудитов.

Оперриски — кто крайний?

Переход на риск-ориентированный подход был анонсирован Банком России давно, в том числе в вопросах обеспечения ИБ. Все нормативно-правовые акты последних лет, предъявляющие требования к обеспечению ИБ, направлены на реализацию этого подхода. При этом часть экспертов считают оценку рисков в сфере ИБ невозможной, а часть говорят о недостаточности такого подхода и призывает трансформировать подход из риск-ориентированного в бизнес-ориентированный.

С начала 2022 года стало обязательным к исполнению Положение Банка России № 716-П, которое описывает требования к обеспечению процесса управления операционными рисками. При этом риски информационной безопасности и риски IT приравниваются этим документом к остальным видам оперрисков, а значит, должны быть вписаны в общую систему управления операционными рисками (СУОР) на уровне всей финансовой организации. Помимо этого в октябре 2022 года вступили в силу Положения Банка России № 787-П и № 779-П по операционной надежности (для кредитных и некредитный финансовых организаций соответственно), что делает процесс управления операционными рисками идеологически связанным с обеспечением операционной надежности.

И вот здесь мы подходим к одной из главных проблем. Внедрение требований Положения № 716-П — это чья ответственность? Последний год мы видим перебрасывание «горячей картошки» от менеджмента к рисковикам, а от них — к специалистам по IТ и ИБ. Во многих банках наблюдается попытка переместить зону ответственности в сторону именно службы информационной безопасности. Причем зависит это зачастую не от размера организации, а от ее уровня зрелости. Почему же такой вариант представляется экспертам ошибочным? Давайте разбираться.   

Что требует регуляторика?

Согласно требованиям Банка России, СУОР должна состоять из следующих обязательных элементов: специализированные подразделения и информационные системы, база событий и классификатор, процедуры управления операционным риском, а также контрольные показатели уровня риска и дополнительные элементы СУОР. Первые два элемента определяются самой организацией, в то время как требования к остальным прописаны в Положении № 716-П.

В документе также определены основные процедуры управления операционным риском (ОР), которые можно разделить на два блока:

Процедуры расчета показателей для организации на плановый период (год):

  1. идентификация риска;
  2. количественная оценка уровня риска;
  3. качественная оценка уровня риска;
  4. определение потерь и возмещений;
  5. выбор и применение способа реагирования;

Процедуры оперативной обработки конкретных событий ОР (или группы событий)

  1. сбор и регистрация рисковых событий;
  2. мониторинг.

Итогом первого блока процедур формируется «Реестр идентифицированных рисков», который соотносится с данными объема операций кредитной организации за предыдущий годовой период, и на основании них рассчитываются и утверждаются контрольные и сигнальные значения показателей уровня риска (КПУР).

При этом описанные процедуры не являются полным перечнем процессов, которые необходимо внедрить для управления операционными рисками и обеспечения операционной надежности. Для более широкого понимания вопроса нужно в том числе обратиться к текстам проектов соответствующих ГОСТов, которые в декабре 2021 года были приняты в Техническом комитете по стандартизации № 122 при Банке России. Данные документы в явном виде говорят о необходимости построения системы управления в соответствии с циклом Деминга: PDCA (Plan — Do — Check — Act, то есть планирование — действие — проверка — корректировка).  

На рисунке приведен пример, показывающий какими процессами могут быть дополнены описанные выше семь процедур из Положения № 716-П и как они разнесены по циклу Деминга. Для удобства добавленные процессы имеют буквенное обозначение.

Процессы управления ОР (для первого года внедрения СУОР)

Данная иллюстрация не претендует на описание целевого состояния процесса управления операционными рисками, а только предлагает один из возможных вариантов распределения процедур. Они должны быть внедрены для всех видов операционных рисков, в том числе для IT- и ИБ-рисков.

Киберриски в рамках СУОР

Для начала хотелось бы разобраться с пониманием терминов «риски информационной безопасности» и «киберриски» в рамках предлагаемых Положением № 716-П определений. Несмотря на то что многие используют эти термины как взаимозаменяемые, они таковыми не являются. Риск информационной безопасности — более широкое понятие, оно говорит о рисках, связанных не только с уязвимостями информационных систем, но и, например, с риском разглашения информации сотрудником.

Далее мы будем говорить именно о рисках информационной безопасности в общем виде. К ним Положение № 716-П предъявляет дополнительные требования, описанные в гл. 7. Большая часть из них пересекается с соответствующими требованиями из ГОСТ Р 57580.1 — основного документа, описывающего организационные и технические меры по защите информации в финансовых организациях. Но помимо этого в Положении № 716-П содержатся новые для функции ИБ процессы:

  • идентификация и оценка рисков информационной безопасности с использованием базы событий и классификаторов, ключевых индикаторов риска (КИР) и прочего;
  • мониторинг отсутствия превышения значения контрольного показателя уровня риска (КПУР) для рисков ИБ;
  • участие совета директоров и коллегиального исполнительного органа в управлении рисками ИБ.

Кроме того, ожидаемый ГОСТ по управлению риском реализации информационных угроз и обеспечению операционной надежности описывает необходимость внедрения трех линий защиты. По сути, вышестоящая структура должна осуществлять функцию контроля для нижестоящей:

  • уполномоченное подразделение (служба внутреннего аудита);
  • служба управления рисками или специальное подразделение;
  • центр компетенции (для рисков ИБ — служба ИБ).

Отметим, что в регуляторике не закреплено, кто и в какой части отвечает за внедрение требований Положения № 716-П. Во многом поэтому внутри финансовых организаций возникают сложности с его реализацией. К сожалению, многим не хватает управленческих решений для выстраивания новых и адаптации существующих процессов. При этом желание переложить на плечи службы ИБ полностью исполнение Положения № 716-П или даже целиком процессы управления рисками ИБ представляется не соответствующим как целям риск-ориентированного подхода, так и бизнес-целям организации в части эффективного использования ресурсов и менеджмента процессов.

Границы ответственности службы ИБ

Сегодня департаменты информационной безопасности (ДИБ) финансовых организаций столкнулись с ситуацией, когда им нужно перестраивать часть внутренних процессов и встраивать их в общую СУОР. Проблема в том, что не во всех банках есть внедренная ранее СУОР, которую можно было бы адаптировать под требования Положения № 716-П, и получается, что службе ИБ просто не во что встраивать свои процессы. При этом часть банков уже получили в рамках дистанционного надзора запросы от департамента информационной безопасности Банка России на подтверждение реализации требований по управлению рисками ИБ.

И здесь возникает вопрос: а может ли служба ИБ единолично управлять рисками ИБ в соответствии с Положением № 716-П? Ответ — может, но только в случае выделения руководством серьезных дополнительных ресурсов, например, наем специалистов по рискам непосредственно в ДИБ для формирования отдельного контура СУОР для ИБ. В противном случае ИБ-специалисты могут лишь адаптировать свои процессы, но это точно не будет являться управлением рисками ИБ в понимании Положения № 716-П.

Наиболее эффективной представляется структура, когда в финансовой организации выстраивается единая СУОР для всех видов операционных рисков. При этом управление рисками ИБ как подпроцесс разделяется между центром экспертизы в виде ДИБ, ДИТ, службой по управлению рисками и руководством. Вопрос о том, кто является владельцем процесса, остается на усмотрение каждой конкретной организации, но осознанно участвовать в нем должны все четыре функции.

В качестве резюме

Управление операционными рисками, в том числе рисками информационной безопасности, нельзя и бессмысленно рассматривать в отрыве от вопросов операционной надежности. Конечно, служба ИБ не владеет достаточными компетенциями и полномочиями для самостоятельного управления рисками ИБ в понимании Положения № 716-П Банка России. При этом ИБ-специалисты банковской организации уже сегодня могут адаптировать часть внутренних процессов и проектировать/внедрять новые, но это, разумеется, не будет являться управлением рисками ИБ как операционными рисками финансовой организации.






Новости Новости Релизы