1 октября вступило в силу Положение ЦБ РФ № 716-П «О требованиях к системе управления операционным риском в кредитной организации и банковской группе». Документ вызывает немало вопросов и споров в профессиональном сообществе. Мы поделились своим видением подходов к выполнению требований регулятора и подготовили краткую инструкцию, которая поможет разобраться в управлении операционным риском в целом и рисками для информационной безопасности (ИБ) / информационных систем (ИС) в частности.
- Введение
- Построение системы управления в соответствии с требованиями регулятора
- 2.1. Стадия «Plan»: планирование
- 2.2. Стадия «Plan»: организация процесса управления риском
- 2.3. Стадия «Plan»: классификация событий риска
- 2.4. Стадия «Do»: формирование базы и оценка рисков
- 2.5. Стадия «Check»: мониторинг риска и оценка эффективности системы управления риском
- 2.6. Стадия «Act»: постоянное улучшение системы
- Система ИБ: что это такое и нужно ли бояться новой сущности
- Особые требования по управлению риском для информационных систем
- Выводы
Введение
Положение ЦБ РФ № 716-П (далее — «Положение») распространяется на банки и небанковские кредитные организации: депозитарии, страховые и лизинговые компании, платёжные системы и системы денежных переводов, клиринговые организации. В нём описаны требования к порядку управления операционным риском, классификатору рисковых событий, порядку ведения базы этих событий, контрольным показателям уровня риска и их расчёту, к управлению риском для ИБ и ИС и т. д. Все эти требования необходимо закрыть к 1 января 2022 года, и пока вопросов о том, как это сделать, больше, чем ответов.
Специалисты компании «Инфосистемы Джет» обладают богатым экспертным опытом в областях банковского комплаенса (соответствия нормативным и законодательным требованиям. — Прим. ред.), построения систем управления информационной безопасностью и непрерывностью бизнеса, проведения оценки рисков. Поэтому имеется возможность предварительно ответить на некоторые из этих вопросов. Мы разобрались в терминологии, структурировали основные требования и перевели их на понятный для специалистов по ИБ и ИТ язык.
Построение системы управления в соответствии с требованиями регулятора
Само по себе понятие «система управления» не ново и описано в международном стандарте ISO 9000:2015. Напомним: это совокупность взаимосвязанных и взаимодействующих элементов организации, предназначенная для установления политики и целей, а также процессов для достижения этих целей. Проще говоря — подход к управлению, определённые процедуры и выполняющие их люди.
В основе построения всех подобных систем лежит модель PDCA: Plan — Do — Check — Act (Планируйте — Делайте — Проверяйте — Действуйте. — Прим. ред.). На стадии «Plan» необходимо задокументировать процессы и выделить для них ресурсы. Следующая стадия предполагает выполнение процессов в соответствии с документацией. На стадии «Check» следует проводить регулярные проверки этих процессов и оценивать эффективность работы системы управления. Стадия «Act» предполагает постоянное улучшение системы.
Система управления операционным риском, о которой говорится в Положении, функционирует именно по этой модели.
Стадия «Plan»: планирование
На этой стадии мы рекомендуем задокументировать следующие процессы:
- порядок управления риском (можно в виде методики управления риском для ИБ и плана качественной оценки риска);
- руководство по системе управления риском для ИБ;
- порядок ведения базы событий;
- функции и обязанности подразделений, участвующих в процессе управления риском;
- функции службы ИБ;
- политику ИБ;
- политику ИС.
Порядок управления риском описан в международном стандарте ISO 31000:2018.
Рисунок 1. Процесс управления риском согласно ISO 31000:2018
В этом смысле Положение солидарно с международным стандартом.
Организациям необходимо задокументировать все стадии оценки риска, периодичность и способы её проведения, список ответственных за выполнение оценки, процедуры отчётности о результатах, способы обработки риска, которые будут использоваться, метод организации мониторинга риска и прочее. Часто подобные документы называют методикой управления риском.
Поскольку риски для ИБ и ИТ в Положении рекомендуется оценивать качественно, а не количественно, нужен соответствующий план качественной оценки. В нём могут быть отражены области оценки (список бизнес-процессов, в отношении которых проводится оценка риска), периоды и ответственные за проведение оценки сотрудники. Мы рекомендуем делать такой план приложением к методике управления рисками.
Положение обязывает описать все элементы системы управления риском во внутренних документах организации. Рекомендуется разработать единое руководство, в котором будет описано, как именно у вас реализован тот или иной элемент системы управления риском: своеобразный «навигатор» по ней. Такой подход зарекомендовал себя при построении систем управления ИТ-услугами и систем управления ИБ. Это позволяет избежать накопления лишней документации в вашей организации, помогает сотрудникам понять, как устроена и функционирует система, упрощает жизнь проверяющим.
Порядок ведения базы событий риска должен включать требования к форме и содержанию вводимой информации, описывать процедуры внесения данных подразделениями, определять то, каким образом в процессе будут участвовать дочерние организации. Вдобавок необходимо описать, кто и каким образом собирает информацию о событиях риска, кто определяет потери, если эти события случатся.
Требования к функциональности служб ИБ в области управления риском чётко прописаны в пункте 7.9 Положения. Если у организации есть положение о службе ИБ или другой подобный документ, нужно будет его доработать. Но если такого документа не было, вам придётся его написать. Также необходимо определить все задействованные в процессе подразделения и всех ответственных лиц вашей организации, а затем составить документ, который можно назвать регламентом взаимодействия между ними по вопросам управления риском.
Требования к политике ИБ также есть в Положении, этому посвящён пункт 7.8. Как правило, политика ИБ есть у всех организаций, так что достаточно будет немного доработать её в соответствии с новыми требованиями регулятора.
Стадия «Plan»: организация процесса управления риском
В пункте 1.3 выделены те сотрудники и подразделения, которые обеспечивают выполнение документированных процедур системы управления риском. Однако далее по тексту документа можно встретить и другие роли. Для упрощения понимания мы постарались систематизировать и визуализировать их.
Рисунок 2. Схема взаимодействия участников процесса управления риском
Примечание: ДЛ — должностное лицо, ДИТ — департамент ИТ, ОР — операционный риск, ВА — внутренний аудит, КО — кредитная организация.
Центральный элемент — коллегиальный исполнительный орган, куда направляются отчёты и который несёт ответственность за соблюдение требований документа.
Ключевую роль в процессе играет служба управления рисками. Например, она должна ежегодно разрабатывать план мероприятий по проведению качественной оценки уровня операционных рисков, формировать и направлять отчёты руководителю службы управления рисками. Эти отчёты можно разделить на три вида: ежедневные, ежеквартальные и ежегодные.
Служба информационной безопасности формирует специализированные отчёты по рискам для ИБ, которые затем направляет на рассмотрение коллегиальному исполнительному органу. Эксперт кредитной организации отвечает за расчёт потерь от реализации событий рисков, а внешний эксперт выполняет оценку того, насколько эффективно функционирует система управления риском. В задачи службы внутреннего аудита входит ежегодная оценка эффективности работы коллегиального органа управления операционными рисками.
Поскольку риски для ИБ напрямую влияют на функционирование информационных систем, отвечающие за эти системы подразделения должны не реже раза в год анализировать требования к ним с учётом планов развития и отчётов службы ИБ. Эта работа ложится на плечи ИТ.
К центрам компетенций относят подразделения кредитных организаций, в функциональные обязанности которых входит выполнение операций и сделок в рамках своих процессов. Мы рекомендуем выделять такие центры во всех бизнес-подразделениях, потому что рисковые события могут быть специфичными для каждой функции и «с ходу» ИБ-служба в них не разберётся.
Стадия «Plan»: классификация событий риска
Все события риска, которые вы будете отслеживать, нужно классифицировать. Для этого вы должны определить и задокументировать источники и типы событий операционных рисков в соответствии с параметрами, описанными в третьей главе Положения.
Существует четыре категории источников: недостатки процессов, действия персонала и других связанных с кредитной организацией лиц, сбои систем и оборудования и внешние причины. Примером последних могут быть действия третьих лиц, в том числе действия суда и исполнительных органов государственной власти.
Положение также описывает основные типы событий операционных рисков:
- преднамеренные действия персонала;
- преднамеренные действия третьих лиц;
- нарушение кадровой политики и безопасности труда;
- нарушение прав клиентов и контрагентов;
- ущерб материальным активам;
- нарушение и сбои систем и оборудования;
нарушение организации и исполнения процессов, управления ими.
Когда у вас задокументирован и готов единый классификатор событий, можно переходить к следующей стадии.
Стадия «Do»: формирование базы и оценка рисков
На этой стадии организация начинает формировать свою базу событий рисков для ИБ. Она может быть как одной для всей организации, так и распределённой, для каждого подразделения. Базу событий можно вести в удобном для вас формате — SGRC-решения, XLS-файлы или самописные системы: для автоматизации процесса стоит использовать автоматизированную информационную систему.
Вести базу должны ответственные сотрудники. Это могут быть те же люди, которые задействованы в качестве участников процесса управления рисками. При этом они могут быть в каждом подразделении, которое ведёт свою базу.
Оценку рисков в Положении называют «самооценка». Её необходимо проводить не реже одного раза в год, она должна быть качественной, а для проведения можно привлекать внешних экспертов.
О том, как проводить самооценку, не сказано практически ничего, кроме того, что необходимо выделить четыре уровня риска: «очень высокий», «высокий», «средний» и «низкий», принимая в расчёт вероятность реализации риска и возможных последствий. В Положении не сказано, каким подходом при этом руководствоваться и какой методике следовать. Требования к отчётности по результатам оценки тоже отсутствуют, говорится только, что её необходимо предоставлять коллегиальному исполнительному органу.
Это значит, что вы можете самостоятельно выбирать методику расчёта, подходящую к реалиям бизнеса. Мы рекомендуем ориентироваться на международные стандарты ISO 31000:2018 и IEC 31010:2019.
Отнеситесь внимательно к составлению отчёта по результатам проведённой оценки рисков. Согласно лучшим практикам, он должен содержать риски, имеющие существенный потенциал воздействия, и одновременно идентифицировать «быстрые решения», которые помогут снизить риски.
Стадия «Check»: мониторинг риска и оценка эффективности системы управления риском
Если вы не хотите допустить риски, вам необходимо их постоянно отслеживать. Положение предлагает несколько способов:
- установление и мониторинг КИР (ключевых индикаторов риска);
- анализ причин возникновения риска и возможных потерь от его реализации;
- контроль выполнения мер, направленных на повышение качества системы управления риском;
- контроль соблюдения выбранных способов реагирования / обработки риска;
- мониторинг потоков информации в рамках реализации риска.
Так как документ не требует использовать все вышеперечисленные способы, стоит определить, какие из них подходят именно вашей организации, и на них остановиться. Например, полезно анализировать причины возникновения того или иного риска, чтобы минимизировать его в будущем. Без контроля соблюдения выбранных способов обработки риска тоже не обойтись, иначе как убедиться, что способ был применён? А мониторинг потоков информации — это, например, анализ статистики риска по отрасли. Наверняка вы это уже делаете в рамках своей ежедневной работы.
Что касается ключевых индикаторов риска, то это — количественные показатели, направленные на измерение и контроль уровня операционного риска в определённый момент времени. Требования к их описанию можно найти в пункте 2.1.7 Положения.
Если взять рисковый сценарий, а именно тройку «причина риска — рисковое событие — его возможные последствия», то КИР будет показателем, который «вешается» на каждую возможную причину возникновения рискового события для его предотвращения. Например, это может быть количество попыток ввода пароля или время недоступности информационной системы.
Об оценке эффективности системы управления рисками: в пункте 4.4 перечислены направления, которые необходимо оценить, а также говорится, что делать это нужно раз в год. На основании опыта в построении систем управления рекомендуем попробовать реализовать это через метрики эффективности для каждого из перечисленных в пункте 4.4 направлений.
Например, вам нужно проверить «полноту информации, отражённой в базе событий». Вы открываете базу событий и проверяете заполнение необходимых полей, например, за прошедший месяц. В идеале, предположим, должно быть заполнено 90 % полей от общего количества, но не менее 70 %. Таким образом, 90 % — целевое значение, 70 % — пороговое. Если фактический показатель меньше установленного порогового значения, то, значит, полнота информации в базе «хромает», а это может негативно сказаться на эффективности системы управления риском. Чтобы этого не произошло, следует выяснить, почему не все поля базы заполняются.
Ещё один возможный способ оценки эффективности, помимо введения метрик, — независимые аудиты.
Стадия «Act»: постоянное улучшение системы
Стадия «Act» модели PDCA подразумевает постоянное повышение качества системы управления рисками. Регулятор предлагает улучшать систему управления с помощью мероприятий, направленных на предотвращение и снижение вероятности событий риска, а также на ограничение размера потерь от реализации риска.
Чтобы внедрить мероприятия, необходимо определить области для повышения качества. Один из способов определения таких областей, который мы рекомендуем, — как раз оценка эффективности системы управления. Следует улучшать те области и процессы, которые будут признаны неэффективными. В результате будет повышаться качество системы управления в целом. Другой способ — те же независимые аудиты.
Система ИБ: что это такое и нужно ли бояться новой сущности
Для управления ИБ-риском регулятор вводит новую сущность — систему информационной безопасности. Она определяет систематический подход к установлению, внедрению, эксплуатации, контролю, поддержанию и улучшению информационной безопасности кредитной организации. По сути, это — та же система управления операционным риском, элементы которой мы с вами разобрали, только авторы решили ввести новый термин для системы управления ИБ-риском.
У системы информационной безопасности имеется некоторая специфика. Речь — об элементах, касающихся необходимости исполнения требований Положения: например, выполнение ежегодного тестирования на проникновение и анализа уязвимостей, то есть проведение пентестов.
Особые требования по управлению риском для информационных систем
Этой теме в Положении посвятили целую главу (№ 8), поэтому на ней мы остановимся отдельно. Под «риском информационных систем» в документе понимают риск отказов и нарушения функционирования применяемых кредитной организацией информационных систем или несоответствия их функциональных возможностей и характеристик потребностям кредитной организации.
Чтобы этого избежать, в соответствии с Положением, необходимо разработать и документально закрепить обеспечение качества информационных систем, качества данных и непрерывности бизнеса. Для этого кредитная организация должна доработать или разработать пул документов — требований к самим системам, к обрабатываемым в них данным и к окружающей ИТ-инфраструктуре.
Рисунок 3. Управление риском для ИС
За первые два блока должно отвечать то подразделение кредитной организации, которое обеспечивает функционирование информационных систем, а за непрерывность — то, которое отвечает в целом за поддержание постоянной их работы. Зоны ответственности должны быть подкреплены внутренними приказами.
Главный документ управления рисками для информационных систем — соответствующая политика. Она утверждает коллегиальный исполнительный орган организации, декларирует перечень информационных систем, обеспечивающих функционирование критически важных бизнес-процессов, описывает требования к системам и определяет информационное взаимодействие в рамках системы управления рисками. Необходимо контролировать исполнение политики и в то же время регулярно обновлять её.
Выводы
В новом документе неизбежно будут содержаться лакуны или зоны неоднозначной трактовки. Мы выбрали и описали ключевые из таких неопределённостей Положения ЦБ РФ № 716-П. Но этот список — неполный, наверняка при желании вы сможете его продолжить.
Неопределённость № 1: область применения системы управления риском. Система не может существовать сама по себе, она всегда имеет какую-то область применения. Мы рекомендуем начинать с критически важных для бизнеса процессов организации — в первую очередь тех, что связаны с финансовыми операциями.
Неопределённость № 2: кросс-функциональное взаимодействие в рамках управления рисками. Есть очень много ролей, в ответственности и обязанностях которых можно запутаться. Чтобы этого избежать, достаточно структурировать в документах организации взаимоотношения между ними, определить порядок отчётности.
Неопределённость № 3: автоматизация системы управления риском. В Положении говорится об этом, но возникает вопрос: обязательна ли автоматизация системы? Мы считаем, что нет. У разных организаций — разный масштаб, по-разному выстроены процессы, разный уровень зрелости и неодинаковые финансовые возможности. Исходите из своих бизнес-приоритетов и принципа экономической целесообразности.
Неопределённость № 4: как вести базы событий риска? Каждая служба (ИТ, ИБ, управления рисками) может вести свою собственную базу. Однако мы рекомендуем собирать все события в единую базу.
Неопределённость № 5: ключевые индикаторы и контрольные показатели уровня риска. Здесь мы можем видеть терминологические нестыковки Положения, поскольку по сути своей это — одно и то же. Не пугайтесь разных терминов в разных главах документа.
Неопределённость № 6: принципы оценки риска. Как мы уже говорили, эти принципы не определены, поэтому каждая организация может выбирать свой подход к оценке.
Выполнение требований Положения ЦБ РФ № 716-П — настолько обширная тема, что мы посвятили ей отдельный вебинар. Предлагаем его посмотреть, если у вас всё ещё остались вопросы: в нём мы постарались прояснить все нюансы, о которых чаще всего спрашивают клиенты.
Авторы:
Татьяна Страмоус, эксперт Центра информационной безопасности «Инфосистемы Джет».
Ирина Павлова, старший консультант Центра информационной безопасности «Инфосистемы Джет».
Григорий Артемов, консультант по непрерывности «Инфосистемы Джет».