Банк России начал нормативно квалифицировать риски информационной безопасности как операционные.
8 июня Министерство юстиции РФ зарегистрировало Положение Банка России от 8 апреля 2020 года № 716-П «О требованиях к системе управления операционным риском в кредитной организации и банковской группе». В соответствии с этим документом, как и в международной практике, риск информационной безопасности является подвидом операционного риска, а управление им включено в систему управления операционным риском.
БОЛЕЕ СЕРЬЁЗНЫЙ УРОВЕНЬ
Банк России устанавливает нормативные требования к системе управления операционным риском, включая риски информационной безопасности и информационных систем. Формулируются требования к классификации событий реализации таких рисков, к ведению соответствующей базы событий, а также показателей контроля полноты учёта прямых потерь.
Это более серьёзный уровень требований в сравнении с Положением Банка России от 9 июня 2012 года № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств».
Включение управления риска информационной безопасности и риска информационных систем в систему управления операционным риском в целях обеспечения информационной безопасности компьютерных систем и сервисов кредитных организаций направлено на повышение значимости этого направления деятельности, ответственности за её результаты.
Во-первых, нормы обеспечения информационной безопасности, которые прежде носили рекомендательный характер, становятся обязательными. Во-вторых, конечная ответственность за эти вопросы переходит с подразделений информационной безопасности на руководство кредитных организаций.
ИНФОРМАЦИОННЫЕ РИСКИ ДОРОЖАЮТ
Данная новация отвечает зарубежной и международной практике, подходу стандартизированной оценки Базеля III, согласно которой расчёт размера операционного риска включается в нормативы достаточности капитала. Уровень риска информационной безопасности, наряду с другими рисками, теперь напрямую влияет на размеры достаточности капитала.
Чем хуже обеспечение информационной безопасности и управление этим риском, тем чаще в банке будут реализовываться потери от реализации этих рисков, что в итоге приводит к повышению резервного капитала, выделяемого на покрытие операционных рисков через так называемый коэффициент внутренних потерь, участвующий в формуле его расчёта, и наоборот.
Информационная безопасность превращается в один из главных показателей оценки банковской деятельности. Устанавливается прямая связь между обеспечением информационной безопасности и финансовыми аспектами деятельности кредитных организаций. Это в равной мере относится как к банкам, так и к небанковским кредитным организациям.
НЕ ОКАЗАТЬСЯ В «ШТРАФНИКАХ»
Для кредитных организаций это означает необходимость более серьёзного подхода к обеспечению информационной безопасности. Классификация рисков в этой сфере предполагает выделение из общего количества инцидентов, реализовавшихся в виде нарушений работы компьютерных систем, утечек информации, персональных данных, таких событий, которые приводят к прямым потерям и убыткам кредитной организации, например в виде кражи денежных средств.
Чтобы достигнуть соответствия Положению № 716-П, кредитным организациям придётся провести ряд мероприятий. Решение об этом должно принимать руководство кредитной организации, в чью компетенцию входит ответственность за управление операционным риском и информационной безопасностью. Комплекс мероприятий, в основном организационных и связанных с изменением документации, предстоит разработать и выполнять сотрудникам подразделений информационной безопасности.
Для крупных банков выполнение требований № 716-П не должно составить больших трудностей. Учитывая масштабы и широкое распределение бизнес-процессов, информационная безопасность там, как правило, обеспечивается на достаточном уровне, и затраты на создание системы информационной безопасности уже реализованы. Небольшим банкам и небанковским кредитным организациям, возможно, придётся приложить более значительные усилия.
ЧТО И КОГДА ПРЕДСТОИТ СДЕЛАТЬ
Финансовых затрат как таковых на достижение соответствия № 716-П кредитным организациям не потребуется. Востребованы организационные и технологические изменения, например, по обеспечению информационного взаимодействия между подразделениями информационной безопасности и управления операционными рисками, организации между ними документооборота, включение этих вопросов в планы и программы проверок службы внутреннего аудита.
Недостаточное выявление нарушений обеспечения информационной безопасности отныне повлияет на расчёт размера операционного риска, что может обернуться необходимостью повышения нормативов достаточности капитала.
Также за несоблюдение отдельных требований, выявленных в ходе последующего надзора после 1 января 2022 года, могут быть приняты меры в соответствии со статьёй 74 Федерального закона № 86-ФЗ «О Центральном банке Российской Федерации (Банке России)», в том числе наложены штрафы.
Можно отметить следующие сроки введения новых требований в силу. 1 октября 2020 года формально начинает действовать Положение Банка России № 716-П. На достижение соответствия его требованиям кредитным организациям отводится весь 2021 год. Лишь после этого срока, в 2022 году, может быть начато проведение контрольно-надзорных мероприятий.