Журнал "Information Security/ Информационная безопасность" #4, 2023

l регулярный мониторинг их соблюдения; l отчеты по ОР должны содер- жать данные о фактических значениях КПУР. Завершающим этапом является оценка эффективно- сти системы отчетов об управ- лении ОР. Что за ним стоит? Все отчеты о СУОР должны находиться в строгом соответ- ствии требованиям и срокам ЦБ РФ. На основании их содер- жания разрабатываются меро- приятия, направленные на повышение эффективности СУОР. В итоге получаем отчет о результатах оценки эффектив- ности СУОР, который предо- ставляется уполномоченным подразделением на рассмотре- ние совету директоров и испол- нительному органу для утвер- ждения, как правило, на еже- годной основе. Оценка эффективности управления риском ИБ Аудит данной области прово- дится по следующим вопросам: l соблюдение порядка работы системы ИБ в соответствии с внутренними документами организации; l распределение функций и ответственности между под- разделениями и работниками в пределах системы ИБ; l соблюдение порядка и сроков формирования отчетов по рис- кам ИБ; l полнота ведения базы собы- тий рисков ИБ; l соблюдение порядка предо- ставления информации о поте- рях, связанных с реализацией риска ИБ. Обратимся к практическому примеру оценки эффективности управления риском ИБ. Результаты оценки эффек- тивности управления риском ИБ заносятся в таблицу (см. табл. 4), которая содержит качественную и балльную оцен- ку по каждой области. На этом примере видно, что существующая система управ- ления риском ИБ оцениваемого банка в целом соответствует требованиям регулятора, но с отдельными несущественными нарушениями, которые рекомен- дуется оперативно устранить в целях повышения оценки. Выводы и экспертные рекомендации Главной целью проведения оценки эффективности СУОР является минимизация рисков, своевременное их предотвра- щение, а также выявление уязвимостей и их устранение. Данный этап играет важную роль в системе управления рисками, так как в реальности наблюдается тенденция роста разновидностей и количества проявлений рисков. В целях сохранения надежной и бес- перебойной работы организа- ции стоит своевременно про- водить совершенствование СУОР. l • 61 УПРАВЛЕНИЕ www.itsec.ru Показатели Весовой коэффициент Качественная оценка Бальная оценка Обеспечение выполнения порядка функ- ционирования системы ИБ, определенного внутренними документами кредитной орга- низации, с учетом требований п. 7.6–7.7 положения № 716-П 0,2 "Удовлетвори- тельно" 2 Распределение функций и ответственности совета директоров (наблюдательного сове- та), коллегиального исполнительного орга- на и работников банка в рамках организа- ционной структуры обеспечения ИБ, в том числе исключающее конфликт интересов 0,2 "Хорошо" 1 Выполнение службой ИБ функций, опреде- ленных во внутренних документах кредит- ной организации, с учетом требований п. 7.9 положения № 716-П 0,1 "Хорошо" 1 Соблюдение требований ведения базы событий риска информационной безопас- ности требованиям п. 6.9 положения № 716-П (в случае ведения в кредитной организации базы событий риска информа- ционной безопасности раздельно с базой событий операционного риска) 0,2 "Удовлетвори- тельно" 2 Соблюдение требований к порядку предо- ставления данных о прямых потерях от реа- лизации событий риска информационной безопасности для регистрации в базе собы- тий операционного риска в соответствии с п. 6.10 положения № 716-П (в случае ведения в кредитной организации базы событий риска информационной безопас- ности раздельно с базой событий опера- ционного риска) 0,2 "Удовлетвори- тельно" 2 Средневзвешенная оценка "Удовлетвори- тельно" 1,6 Таблица 4. Результаты оценки эффективности управления риском ИБ Чек-лист: что делать для получения наивысшего результата оценки эффективности СУОР 1. Выстроить организацию СУОР таким образом, чтобы она охватывала все структурные подразделения (исключая конфликт интересов) и всю деятельность банка. 2. Обеспечить полную регламентацию и привести в соответствие с 716-П всю документацию по СУОР. 3. Уделять внимание качеству реализации установленных процедур управления ОР. 4. Осуществлять регулярный мониторинг принятого объема ОР. 5. Соблюдать требования регулятора в области управления риском ИБ и информационных систем. 6. Утвердить целевые значения КПУР и проводить их регулярный мониторинг. 7. Соблюдать порядок и срок формирования отчетов об управлении ОР. 8. В целях повышения объективности оценки эффективности рекомендуется кроме внутренних подразделений привлекать к работе независимых экспертов, обладающих опытом и знаниями в данной сфере. Ваше мнение и вопросы присылайте по адресу is@groteck.ru