Журнал "Системы Безопасности" № 5‘2020

S E C U R I T Y A N D I T M A N A G E M E N T 26 Н овое положение устанавливает, что кредитные организации должны привести свои базы данных событий операционного риска и порядок учета таких событий в соответствие с требования- ми стандарта базель iii к 1 января 2022 г. Отдельное внимание при рассмотрении поло- жения в данной статье предлагаю уделить риску информационной безопасности, который в гл. 1 выделен в отдельный вид операционного риска. В гл. 7 приведены детальные требования к системе управления риском информационной безопасности, а в приложении 5 – подходы к дополнительной классификации риска информационной безопасности. Перевод новых требований с языка ИБ на язык риск-менеджмента Основная инновация положения заключается в сопоставлении подходов и терминов специфики отрасли информационной безопасности (в части определений и методологии информационной безопасности, в том числе сущностей – угроз, уязвимостей, инцидентов или событий информа- ционной безопасности, ущерба и др.) с общими подходами и терминологией системы управления рисками по стандартам управления рисками cOSO eRM, FeRMa и др. (такими сущностями, как потенциальный и фактический риск, источник риска, уровень и карта рисков, меры реагирова- ния, потери и т.д.) и методологией cOBiT 5 с точки зрения оценки зрелости процесса управления риском информационной безопасности. Схема- тично и верхнеуровнево соответствие этих трех методологий представлено в таблице. дальней- шую детализацию таблицы по отдельным сущно- стям и атрибутам, при наличии такой задачи, можно достаточно быстро дополнить на основа- нии приведенных в положении классификаторов. указанное соответствие, или, другими словами, перевод с языка иб на язык риск-менеджмента, позволит кредитным организациям по-другому посмотреть на те события, которые раньше были понятны только профильным подразделениям информационной безопасности и, как след- ствие, учесть их уже в качестве отдельного вида операционного риска, оценить и управлять ими уже по методологии управления рисками. Требования по соответствию и оценке эффек- тивности процесса управления иб по методоло- гии cOBiT 5 PaM, включая базовые практики (Base Practices – BPs) и рабочие продукты про- цесса (Work Products – WPs), фактически зало- жены в отдельные требования гл. 7 положения. Стандарты Банка России как основа для формирования обязательных требований В гл. 7 и приложении 5 наблюдается множество перекрестных ссылок на профильные норма- тивные документы по обеспечению информа- ционной безопасности банка России, в том числе на положение банка России от 9 июня 2012 г. № 382-П "О требованиях к обеспечению защиты информации при осуществлении пере- водов денежных средств и о порядке осуществ- ления банком России контроля за соблюдением требований к обеспечению защиты информа- ции при осуществлении переводов денежных средств", положение банка России от 17 апреля 2019 г. № 683-П "Об установлении обязатель- ных для кредитных организаций требований к обеспечению защиты информации при осу- ществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента". Применимость ссылок на указанные положе- ния обусловлена наличием уже регламентиро- ванных норм для отдельных категорий кредит- ных организаций или отдельных категорий операций. Однако нет отдельных требований в части мер, не охваченных указанными доку- ментами (382-П, 683-П). По всей видимости, отдельные дополнения и уточнения будут появляться по результатам оценки соответ- ствия кредитных организаций требованиям положения, в рамках надзорных процедур регулятора. В приложении 5 прослеживается схожесть клас- сификации отдельных разделов со стандартами банка России СТО бР иббС. Это имеет под собой определенные основания в виде как структуры "подходов" классификации, так и информационного письма банка России от 16.07.2020 г. № ин 014-56/113, в котором дано разъяснение, что стандарты банка России СТО бР иббС имеют рекомендательный харак- тер. Следовательно, можно предположить, что регулятор имел целью закрепить отдельные нормы стандартов СТО бР иббС как обязатель- ные к применению в рамках норм положения. Универсальный потенциал По итогам субъективной оценки данного поло- жения хочется поблагодарить всех причастных к разработке положения сотрудников банка России за столь интересную и, без сомнения, инновационную разработку соответствия мето- дологий информационной безопасности, управления рисками и оценки процессов . При этом, если убрать специфику положения для банковской сферы и кредитных организаций, указанный подход имеет все шансы стать уни- версальным для любого предприятия, органи- зации или компании. n октябрь – ноябрь 2020 www.secuteck.ru СПЕЦПРОЕКТ SecuFinance. ЗащиТныЕ ТЕхнОлОгии банКа будущЕгО Ваше мнение и вопросы по статье направляйте на ss @groteck.ru Михаил Стороженко Руководитель направления информационной безопасности Таблица. Соответствие методологий ИБ, RM и COBIT 5 ERM Источники риска Потенциальный Фактический Потери риск риск COBIT 5 Ошибки Отказы Действия Внешние - - - или или персонала факторы недостатки недостатки процессов систем ИБ Уязвимость Уязвимость Угроза Угроза Событие ИБ Инцидент ИБ Ущерб Нормативные требования Банка России к системе управления рисками ИБ Особенности и нюансы нового подхода Пресс-служба Банка России разместила на своем официальном сайте информацию о выпуске положения № 716-П от 08.04.2020 г. 1 , в котором Банк России устанавливает требования к системе управления операционным риском (в том числе риском информационной безопасности и риском информационных систем), классификации событий такого риска, ведению соответствующей базы и контролю за полнотой учета прямых потерь в базе. Это необходимо банкам для расчета размера операционного риска, который включается в нормативы достаточности капитала, согласно подходу на основе стандартизированной оценки Базеля III 1 http://www.cbr.ru/press/event/?id=6849