Разъяснения Банка России от 17 сентября 2021 г. № 716-Р-2021/38 "Об управлении риском информационной безопасности (часть 2)"

Вопрос

1. Какие квалификационные и иные требования должны быть предъявлены к должностному лицу, ответственному за функционирование системы обеспечения информационной безопасности, который должен быть назначен в соответствии с Положением Банка России от 8 апреля 2020 года N 716-П "О требованиях к системе управления операционным риском в кредитной организации и банковской группе" (далее - Положение N 716-П)?

2. Могут ли быть возложены на одного работника кредитной организации (головной кредитной организация банковской группы) (далее - кредитная организация) функции куратора службы информационной безопасности, назначаемого в соответствии со Стандартом Банка России ИББС-1.2-2014 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0-2014" и функции должностного лица, ответственного за функционирование системы обеспечения информационной безопасности, назначаемого в соответствии с Положением N 716-П?

3. В соответствии с требованиями Положения N 716-П могут ли служба информационной безопасности и служба информационных систем иметь общего руководителя или входить в состав друг друга?

4. Какие должностные обязанности должны быт возложены на должностное лицо, ответственное за функционирование системы обеспечения информационной безопасности, назначаемое в соответствии с Положением N 716-П?

5. Может ли таким должностным лицом, ответственным за функционирование системы обеспечения информационной безопасности, быть представитель Службы управления рисками при условии прямого подчинения лицу, осуществляющему функции единоличного исполнительного органа кредитной организации?

Ответ

1. В соответствии с абзацем десятым пункта 7.7 Положения N 716-П в целях управления риском информационной безопасности кредитная организация обеспечивает организацию ресурсного (кадрового и финансового) обеспечения, включая установление требований к квалификации работников кредитной организации, в том числе должностного лица (лица, его замещающего), ответственного за функционирование системы обеспечения информационной безопасности.

Таким образом, кредитная организация самостоятельно определяет требования к квалификации должностного лица, ответственного за функционирование системы обеспечения информационной безопасности, с учетом того, что данное должностное лицо должно обладать достаточными знаниями, компетенцией, полномочиями в целях обеспечения его независимости в части принятия решений по вопросам обеспечения информационной безопасности.

2. В соответствии с абзацем пятым пункта 7.7 Положения N 716-П кредитная организация в целях управления риском информационной безопасности обеспечивает определение должностного лица (лица, его замещающего), ответственного за функционирование системы обеспечения информационной безопасности (с прямым подчинением лицу, осуществляющему функции единоличного исполнительного органа кредитной организации, или его заместителю) и не участвующего в совершении операций, сделок, организации бухгалтерского и управленческого учета, обеспечении функционирования информационных систем.

Стандарты Банка России СТО БР ИББС-1.0-2014 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения" и СТО БР ИББС-1.2-2014 "Обеспечение информационной безопасности организации банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0-2014" (далее при совместном упоминании - стандарты Банка России) содержат положения относительно назначения куратора службы информационной безопасности из числа руководства при условии, что служба информационной безопасности и служба информатизации (автоматизации) не должны иметь общего куратора.

На основании вышеизложенного не усматриваем противоречия между функциями куратора службы информационной безопасности и должностного лица, ответственного за функционирование системы обеспечения информационной безопасности, и полагаем возможным совмещение данных функций одним лицом при условии одновременного соблюдения требований Положения N 716-П и положений стандартов Банка России.

3. Положение N 716-П не содержит норм, предусматривающих объединение подразделения, ответственного за организацию и контроль обеспечения защиты информации, и подразделения, ответственного за обеспечение функционирования информационных систем.

Одновременно, обращаем внимание, что стандарты Банка России СТО БР ИББС-1.0-2014 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения" и СТО БР ИББС-1.2-2014 "Обеспечение информационной безопасности организации банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0-2014" содержат положения относительно назначения куратора службы информационной безопасности из числа руководства при условии, что служба информационной безопасности и служба информатизации (автоматизации) не должны иметь общего куратора.

4. Кредитная организация, исходя из характера и масштаба деятельности, самостоятельно определяет во внутренних документах функции должностного лица, ответственного за функционирование системы обеспечения информационной безопасности (с прямым подчинением лицу, осуществляющему функции единоличного исполнительного органа кредитной организации, или его заместителю) и не участвующего в совершении операций, сделок, организации бухгалтерского и управленческого учета, обеспечении функционирования информационных систем.

5. В соответствии с подпунктом 8.2.1 пункта 8.2 Стандарта Банка России СТО БР ИББС 1.0-2014 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения" для целей реализации, эксплуатации, контроля и поддержания на должном уровне системы обеспечения информационной безопасности кредитной организации следует сформировать службу информационной безопасности.

Функции, которые должны быть возложены на службу информационной безопасности, указаны в пункте 7.9 Положения N 716-П. Полагаем, что функции по обеспечению информационной безопасности, указанные в подпункте 7.9.1 пункта 7.9 Положения N 716-П, целесообразно относить только к компетенции службы информационной безопасности или отдельного структурного подразделения, ответственного за обеспечение информационной безопасности. В то же время, функции по управлению риском информационной безопасности, указанные в подпункте 7.9.2 пункта 7.9 Положения N 716-П, по усмотрению кредитной организации могут относиться как к компетенции службы информационной безопасности, так и к компетенции службы управления рисками. Дополнительные комментарии Банка России по вопросу возможности возложения функций должностного лица, ответственного за функционирования системы обеспечения информационной безопасности, на руководителя службы информационной безопасности размещены на официальном сайте Банка России в следующем разделе: "Ответы на типовые запросы кредитных организаций по вопросам банковского регулирования и надзора", "N 716-П от 08.04.2020 Положение Банка России "О требованиях к системе управления операционным риском в кредитной организации и банковской группе", "Об управлении риском информационной безопасности", вопрос от 29.10.2020 N 2.