Разъяснения Банка России от 17 сентября 2021 г. № 716-Р-2021/39 "Об управлении риском информационных систем (часть 3)"

Вопрос

1. Могут ли быть возложены на одного работника кредитной организации (головной кредитной организации банковской группы) (далее - кредитная организация) функции куратора службы информатизации, назначаемого в соответствии со Стандартом Банка России ИББС-1.2-2014 и функции должностного лица, ответственного за информационные системы, назначаемого в соответствии с Положением Банка России от 8 апреля 2020 года N 716-П "О требованиях к системе управления операционным риском в кредитной организации и банковской группе" (далее - Положение N 716-П)?

2. Правильно ли понимание, что под критериями оценки качества данных, указанными в подпунктах 8.7.5 и 8.7.6 пункта 8.7 Положения N 716-П, Банк России подразумевает:

оценку уровня обеспечения требований к качеству данных на уровне отдельных показателей качества данных (качественные данные, если предельно допустимые значения не превышены, некачественные данные, если предельно допустимые значения превышены);

критерии агрегированной оценки качества данных на уровне процессов и систем (способы агрегирования результатов мониторинга отдельных показателей качества данных на уровень процесса, системы или Банка в целом);

шкалу интерпретации результатов мониторинга показателей качества данных (например, трехуровневая (зеленая зона, желтая зона, красная зона)).

3. Правильно ли понимание, что План ОНиВД, который кредитная организация должна разрабатывать и утверждать в соответствии с подпунктом 4.1.5 пункта 4.1 Положения N 716-П, одновременно должен соответствовать рекомендациям Положения Банка России от 16.12.2003 N 242-П "Об организации внутреннего контроля в кредитных организациях и банковских группах" (далее - Положение N 242-П)?

Ответ

1. Подтверждаем, что функции куратора службы информатизации, назначаемого в соответствии со Стандартом ИББС-1.2-2014, и функции должностного лица, ответственного за обеспечение функционирования информационных систем, назначаемого в соответствии с пунктом 8.3 Положения N 716-П, могут быть возложены на одного работника кредитной организации.

2. В соответствии с подпунктом 8.7.5 пункта 8.7 Положения N 716-П кредитная организация самостоятельно определяет критерии качества данных.

При этом сообщаем, что приведенные в вопросе критерии могут быть приняты кредитной организацией.

3. В соответствии с подпунктом 4.1.5 пункта 4.1 Положения N 716-П одним из дополнительных элементов системы управления операционным риском в кредитной организации является комплекс мероприятий, направленных на повышение качества системы управления операционным риском и уменьшение негативного влияния операционного риска, включая мероприятия, направленные на предотвращение и (или) снижение вероятности событий операционного риска, и мероприятия, направленные на ограничение размера потерь от реализации событий операционного риска. В составе мероприятий, направленных на ограничение размера потерь от реализации событий операционного риска, кредитная организация осуществляет разработку планов по обеспечению непрерывности и (или) восстановления критически важных процессов и функционирования информационных систем, включая объекты информационной инфраструктуры, а также планов по обеспечению безопасности и целостности информационных систем и информации (далее - планы непрерывности и (или) восстановления критически важных процессов и функционирования ИС), в том числе в соответствии с требованиями главы 8 Положения N 716-П, с учетом внешних факторов, влияющих на критически важный процесс и (или) информационную систему, в случае реализации операционного риска, включая систему быстрого реагирования на события операционного риска.

В целях управления риском информационных систем кредитная организация во внутренних документах определяет политику информационных систем как взаимосвязанной совокупности технических и программных средств, других объектов информационной инфраструктуры, содержащейся в базах данных информации и обеспечивающих ее обработку технологий в рамках реализации мероприятий поддержки и обеспечения непрерывности функционирования процессов кредитной организации и обеспечивает ее соблюдение с учетом требований пункта 8.2 Положения N 716-П.

В соответствии с абзацем пятым пункта 8.3 Положения N 716-П кредитная организация в целях управления риском информационных систем определяет в политике информационных систем требования к информационным системам, в том числе требования по обеспечению непрерывности и качества функционирования информационных систем, а также устанавливает во внутренних документах и соблюдает требования по обеспечению непрерывности и качества функционирования информационных систем, приведенные в пункте 8.8 Положения N 716-П.

Планы непрерывности и (или) восстановления критически важных процессов и функционирования ИС должны быть учтены кредитной организацией в плане действий, направленном на обеспечение непрерывности деятельности и (или) восстановление деятельности кредитной организации в случае возникновения нестандартных и чрезвычайных ситуаций, предусматривающем использование дублирующих (резервных) автоматизированных систем и (или) устройств, а также восстановление критически важных для деятельности кредитной организации систем, поддерживаемых внешним поставщиком (провайдером) услуг, разрабатываемом в соответствии с пунктом 3.7 Положения N 242-П и рекомендациями по его структуре и содержанию, приведенными в приложении 5 к Положению N 242-П.