Разъяснения Банка России от 17 мая 2022 г. № 716-Р-2022/68 "О контрольных показателях уровня риска информационной безопасности"
Вопрос
1. Следует ли для расчета контрольного показателя уровня риска информационной безопасности, указанного в абзаце пятом подпункта 1.2.1 пункта 1.2 приложения 1 к Положению Банка России от 08.04.2020 N 716-П "О требованиях к системе управления операционным риском в кредитной организации и банковской группе" (далее - Положение N 716-П) (а именно "общей суммы операций по переводу денежных средств через платежную систему Банка России"), включать все исходящие денежные переводы по корреспондентскому счету кредитной организации, открытому в Банке России, включая денежные переводы и платежи, связанные как с собственными операциями кредитной организации, так и с операциями клиентов кредитной организации?
2. Следует ли для расчета контрольного показателя уровня риска информационной безопасности, указанного в абзаце шестом подпункта 1.2.1 пункта 1 приложения 1 к Положению N 716-П (а именно в "общей суммы переводов денежных средств и платежей в платежных системах"), включать сумму всех исходящих денежных платежей и переводов, включая денежные переводы и платежи, связанные как с собственными операциями Банка, так и с операциями клиентов Банка, по корреспондентским счетам, открытым в Банке России, банках-корреспондентах и небанковских кредитных организациях, за исключением денежных переводов и платежей по счетам для осуществления клиринга?
3. Следует ли для расчета контрольного показателя уровня риска информационной безопасности, указанного в абзаце седьмом подпункта 1.2.1 пункта 1 приложения 1 к Положению N 716-П (а именно "общей суммы переводов за этот же период"), включать данные из отчетной формы 0403203 "Сведения о событиях, связанных с нарушением защиты информации при осуществлении переводов денежных средств" (строка N 5 "Итого по подразделу 2.1? подраздела 2.1, столбец N 3 "Общая сумма денежных средств, переведенных (списанных) с банковских счетов клиентов на основании распоряжений, переданных с использованием электронного средства платежа")?
4. Возможно ли установление целевых значений не для всех контрольных показателей уровня риска информационной безопасности?
Ответ
По вопросу 1.
Предполагается, что при расчете кредитной организацией контрольного показателя уровня риска информационной безопасности, указанного в абзаце пятом подпункта 1.2.1 пункта 1.2 приложения 1 к Положению N 716-П, учитываются, в том числе, его потери как участника сервиса быстрых платежей.
По вопросу 2.
Переводы и платежи по счетам для осуществления клиринга не учитываются при определении контрольного показателя уровня риска информационной безопасности, указанного в абзаце шестом подпункта 1.2.1 пункта 1 приложения 1 к Положению N 716-П.
По вопросу 3.
Полагаем целесообразным для расчета контрольного показателя уровня риска информационной безопасности, указанного в абзаце седьмом подпункта 1.2.1 пункта 1 приложения 1 к Положению N 716-П, использовать данные, включаемые в отчетность по форме 0403203 "Сведения о событиях, связанных с нарушением защиты информации при осуществлении переводов денежных средств".
По вопросу 4.
В соответствии с пунктом 5.1 Положения N 716-П в целях контроля за уровнем операционного риска кредитная организация определяет во внутренних документах на плановый годовой период контрольные показатели уровня операционного риска (далее - КПУР) в соответствии с приложением 1 к Положению N 716-П, а также устанавливает целевые значения этих показателей. При этом количественные контрольные показатели риска информационной безопасности, указанные в абзацах десятом-четырнадцатом подпункта 1.2.1 пункта 1 приложения 1 к Положению N 716-П, устанавливаются в случае, если кредитная организация применяет продвинутый подход к расчету объема капитала, выделяемого на покрытие потерь от реализации операционного риска.
Дополнительные комментарии Банка России по вопросам порядка утверждения КПУР размещены на сайте Банка России в следующем разделе: "Ответы на типовые запросы кредитных организаций по вопросам банковского регулирования и надзора", "N 716-П от 08.04.2020 Положение Банка России "О требованиях к системе управления операционным риском в кредитной организации и банковской группе", "О контрольных показателях уровня операционного риска", вопрос 2.
Обзор документа
При расчете контрольного показателя уровня риска информационной безопасности - "общая сумма операций по переводу денежных средств через платежную систему Банка России" учитываются потери как участника СБП.
Переводы и платежи по счетам для осуществления клиринга не учитываются при определении "общей суммы переводов денежных средств и платежей в платежных системах".
Для расчета контрольного показателя "общая сумма переводов за этот же период" используются данные, включаемые в отчетность по форме 0403203 "Сведения о событиях, связанных с нарушением защиты информации при осуществлении переводов денежных средств".
Также Банк России разъяснил, можно ли устанавливать целевые значения не для всех контрольных показателей уровня риска информационной безопасности.