Новые требования Банка России: важные аспекты

Александр Баранов

В последнее время темы обеспечения информационной безопасности (ИБ) и операционной надежности и непрерывности (ОНиН) для российских финансовых организаций приобрели особую актуальность. В первую очередь, это связано с появлением новых нормативных актов Банка России и, соответственно, новых регуляторных требований для кредитных организаций (КО) и некредитных финансовых организаций (НФО). Многие участники рынка оказались в ситуации, когда в ограниченные сроки необходимо внедрить новые требования ЦБ без сильной нагрузки на операционную деятельность компании и на капитал (бюджет), чтобы не возникало потенциальных конфликтов интересов в рамках существующих бизнес-процессов, действующих в компаниях внутренних документов и в рамках наличия соответствующего персонала в штате. Проблематику внедрения новых требований комментирует Александр Баранов, председатель комитета ПАРТАД по внутреннему контролю, внутреннему аудиту и управлению рисками, советник генерального директора ООО «РСХБ Управление Активами».

 

Особенности момента

Требования и рекомендации Банка России по обеспечению непрерывности деятельности финансовых организаций были и ранее, но тогда они касались вопросов обеспечения непрерывности их деятельности и ее восстановления в случае чрезвычайных ситуаций – так называемые требования по наличию у КО планов обеспечения непрерывности и восстановления деятельности (план ОНиВД) в рамках требований положения Банка России 242‑П, а также рекомендации для инфраструктурных организаций финансового рынка 20‑МР. Структура нового формата регуляторных требований Банка России к финансовым организациям представлена в табл. 1.

 

Таблица 1. Нормативная база требований Банка России по ИБ и ОНиН для финансовых организаций

Таблица 1. Нормативная база требований Банка России по ИБ и ОНиН для финансовых организаций

 

Особенности новых требований Банка России предполагают отраслевое разделение для банковских и небанковских финансовых организаций. Случай, когда НФО является дочерней организацией банковской группы – отдельная история, выходящая за пределы данной статьи.

Новые регуляторные требования к банкам непосредственно связаны с актуализацией системы управления операционными рисками и на верхнем уровне, эти изменения нашли свое отражение в новом нормативном акте для банков 716‑П. В этом положении Банка России введены новые требования для КО в части управления операционными рисками. Между тем, для НФО в 2021–2022 годах Банк России не вводил новых (дополнительных) требований по управлению ни операционными рисками, ни рисками в целом. В настоящее время законодательные требования для НФО в контексте риск-менеджмента сегментированы по лицензионной деятельности НФО (с учетом возможного совмещения). Так, для НПФ актуальные требования риск-менеджмента приведены в Указании 4060‑У, а для профучастников рынка ценных бумаг (ПУ РЦБ) – в Указании 4501‑У.

По сути, вышеназванными нормативными требованиями исчерпывается весь список новых требований Банка России к ФО в части совершенствования системы управления рисками и связанным с ней темами обеспечения ИБ и ОНиН. Проекты этих нормативных актов появились еще в прошлом году. Многие участники рынка и профильные СРО (НФА, НАУФОР и НАПФ) весной 2022 года попросили регулятора отодвинуть сроки внедрения новых требований по ОНиН на 2025–2026 годы, ссылаясь на озвученный Банком России мораторий на внедрение новых регуляторных требований в 2022 году. Однако Центробанк РФ ответил участникам рынка, что в озвученных еще 2021 году планах регулятора было стремление внедрить все новые требования по операционной надежности финансовых организаций до 2023 года.

Между тем, Банк России пообещал не штрафовать участников рынка и не вводить иных карательных санкций против них за несоблюдение новых требований по ОНиН до 1 января 2023 года. В ноябре 2022‑го НАУФОР вновь обратилась к Банку России, попросив не применять санкций за несоблюдение требований для НФО в рамках Положения 779‑П после 1 января 2023 года.

Особенностью положений 719‑П (для КО) и 757‑П (для НФО), содержащих новые требования к финансовой индустрии по информационной безопасности, является то, что в числе подписантов этих нормативных актов, помимо главы ЦБ, значатся также руководители ФСБ и ФСТЭК. Это необычная практика в части нормативных актов мегарегулятора финансовых рынков. Возможно, в этой связи профильные СРО по поводу возможных послаблений данных требований даже и не пытались апеллировать к Банку России, заранее понимая всю сложность своих просьб.

Определенное представление о недовольстве участников рынка показывают итоги интерактивного голосования на Cbonds Financial Risk Conference 22 сентября 2022 года (рис. 1, рис. 2.) Как видно на представленных рисунках, многие представители финансовой индустрии из числа банков и некредитных организаций посчитали избыточным в настоящее время внедрение новых нормативных актов, которые бы усиливали нагрузку на капитал. На том мероприятии Cbonds ряд спикеров в своих выступлениях и в ответах на вопросы из зала акцентировали внимание участников конференции на реализацию системных и инфраструктурных рисков, которые ранее были менее приоритетными в части оценки рисков в индустрии. Так, участников рынка интересовали вопросы осуществления трансграничных операций, решение проблем с замороженными активами, беспокоили системные риски, связанные с увеличением общей неопределенности, а также участники рынка посетовали на усиление влияния на рынки кредитных рисков. На фоне этих проблем представители индустрии высказали мнение, что внедрение новых требований в части ОНиН не столь приоритетное. С этим отчасти можно поспорить, но в любом случае внедрение новых регуляторных требований приведет участников рынка к дополнительным затратам.

 

Рис. 1. Отношение к регуляторным требованиям к ФО

Рис. 1. Отношение к регуляторным требованиям к ФО
Источник: Интерактивный опрос на конференции Cbonds 22 сентября 2022 года.

 

Рис. 2. Отношение участников рынка к новым требованиям к ФО по ОНиН

Рис. 2. Отношение участников рынка к новым требованиям к ФО по ОНиН
Источник: Интерактивный опрос на конференции Cbonds 22 сентября 2022 года.

 

Особенности реализации

Верхнеуровневые изменения системы управления операционными рисками для банков описаны в 716‑П. Новые требования, описанные в 719‑П, которые банки обязаны были внедрить до 1 октября 2022 года, естественным образом без серьезных изменений вписываются в требования 716‑П. Правильная регламентация обеспечения информационной безопасности для финансовых организаций, по мнению регулятора, должна учитывать их индивидуальные особенности. Во время первых проверок и консультаций с банковским сообществом в 2022 году по анализу соответствия внедрения новых регуляторных требований для КО ЦБ РФ столкнулся с типовыми решениями по регламентации обеспечения ИБ без учета особенностей бизнеса банков. Иными словами, данные решения на уровне ряда банков не учитывали взаимосвязь предложенных решений по исполнению требований по ИБ с ранее принятыми внутренними нормативными документами, не учитывали особенности клиентской базы, многофилиальность и множественность часовых поясов, организационную структуру, должностные инструкции верхнеуровневого руководства, курирующих руководителей блоков и руководителей подразделений. Получилось, что многие участники финансовой индустрии пошли по пути наименьшего сопротивления, внедрив у себя в качестве внутренних нормативных документов в области ИБ типовые пакеты, предложенные консультантами без учета индивидуальной специ-фики организаций. Аналогичные нюансы выявились и в области внутренней регламентации новых требований по ОНиН.

Рассмотрим историю внедрения новых требований для НФО. Еще в доковидное время было утверждено Положение Банка России от 17.04.2019 года № 684‑П «Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций». Часть норм Положения 684‑П вступила в силу, но другая – имела отложенный срок. С 31 декабря 2019 года по 1 июля 2020 года действовало письмо Банка России о неприменении мер административного воздействия за нарушения пунктов 9–11 Положения 684‑П. Позже было утверждено Положение 757‑П, которое определило новые требования для НФО в области информационной безопасности. Этот нормативный акт вступил в силу взамен Положения 684‑П, которое в свою очередь утратило силу с 1 января 2022 года. Сроки внедрения требований 757‑П делятся на два вида:

• для НРД и для ЦК (центральных контрагентов ПАО «Московская биржа» и ПАО «Санкт-Петербургская биржа») в течение 10 дней с момента опубликования;
• для остальных НФО с 1 января 2022 года по 1 января 2024 года детально прописано вступление отдельных требований (пункты Положения).

В этом Положении был определен термин «уровень защиты информации», даны критерии отнесения НФО к соответствующему уровню защиты, в частности, и определены требования подтверждения (аудита) уровня защиты информации для финансовых организаций по срокам и по процедурам. НРД и ЦК были отнесены к организациям с усиленным уровнем защиты информации. Всего было определено три уровня: усиленный, стандартный и минимальный. Для НФО с усиленным уровнем защиты информации (за исключением НРД и ЦК), а также для НФО со стандартным уровнем защиты информации требования Положения 757‑П вступили в силу с 1 января 2022 года. Для НФО с минимальным уровнем защиты информации требования этого нормативного акта вступили в силу с 1 июля 2022 года. В качестве послаблений по исполнению Положения 757‑П в апреле 2022 года Банк России разослал письмо о неприменении мер административного воздействия до 1 января 2023 года за нарушение требований этого нормативного акта.

В области требований по ОНиН для НФО было утверждено Положение Банка России от 15.11.2021 года № 779‑П. Это был новый нормативный акт, и по своей терминологии, а также в части классификации НФО по их размерам он опирался на утвержденное ранее Положение 757‑П по ИБ для НФО. Положение 779‑П в области ОНиН определяет для срока внедрения требований для НФО:

• с 1 октября 2022 года для НФО усиленного и стандартного уровня защиты информации;
• с 1 января 2023 года для НФО с минимальным уровнем защиты информации.

 

Особенности требований

Положения 719‑П (для КО) и 757‑П (для НФО) содержат однородные требования по обеспечению информационной безопасности. Так, в целях противодействия осуществлению незаконных финансовых операций при осуществлении деятельности в сфере финансовых рынков, предусмотренной частью 1 статьи 76.1 Федерального закона от 10.07.2002 года № 86‑ФЗ «О Центральном банке Российской Федерации (Банке России)», финансовые организации (и банки и НКО) должны осуществлять защиту следующей информации, получаемой, подготавливаемой, обрабатываемой, передаваемой и хранимой в автоматизированных системах, используемых финансовыми организациями:

• информации, содержащейся в документах, составляемых при осуществлении финансовых операций в электронном виде работниками и/или клиентами финансовой организации;
• информации, необходимой финансовой организации для авторизации своих клиентов в целях осуществления финансовых операций и удостоверения права клиентов распоряжаться денежными средствами, ценными бумагами или иным имуществом;
• информации об осуществленных финансовой организацией и ее клиентами финансовых операциях;
• ключевой информации средств криптографической защиты информации, используемой финансовой организацией и ее клиентами при осуществлении финансовых операций (криптографические ключи).

В случае если защищаемая информация содержит персональные данные, финансовая организация должна применять меры по обеспечению безопасности персональных данных при их обработке в соответствии со статьей 19 Федерального закона от 27.07.2006 года № 152‑ФЗ «О персональных данных».

Обеспечение защиты информации с помощью средств криптографической защиты информации (СКЗИ) финансовые организации должны осуществлять в соответствии с технической документацией на СКЗИ, а также следующими федеральными законами и нормативными правовыми актами РФ:

• Федеральным законом от 06.04.2011 года № 63‑ФЗ «Об электронной подписи»;
• Федеральным законом 27.07.2006 года № 152‑ФЗ «О персональных данных»;
• Постановлением Правительства Российской Федерации от 01.11.2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
• Приказом ФСБ РФ от 09.02.2005 года № 66 «Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)»;
• Приказом ФСБ РФ от 10.07.2014 года № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности».

В рамках положений 719‑П и 757‑П финансовые организации должны осуществлять защиту информации в отношении эксплуатируемых автоматизируемых систем (АС), программного обеспечения (ПО), средств вычислительной техники (СВТ), телекоммуникационного оборудования (ТО) в соответствии с требованиями национального стандарта РФ ГОСТ 57580.1.–2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер».

Оценка соответствия уровня защиты информации должна осуществляться финансовыми организациями с привлечением проверяющих организаций в соответствии с требованиями национального стандарта РФ ГОСТ Р 57580.2–2018 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия». В нормативных актах Банка России по ИБ для финансовых организаций содержится и описание требований к проверяющим организациям. Так, оценка соответствия уровня защиты информации должна осуществляться финансовыми организациями с привлечением сторонних организаций, имеющих лицензию на проведение работ и услуг, предусмотренных подпунктами «б», «д» или «е» пункта 4 Положения о лицензировании деятельности по технической защите конфиденциальной информации, утвержденного Постановлением Правительства РФ от 03.02.2012 № 79 «О лицензировании деятельности по технической защите конфиденциальной информации».

Остальные требования нормактов Центробанка в области ИБ уже имеют специализацию в зависимости от профиля деятельности финансовой организации, ее размеров и отнесения к тому или иному уровню защиты информации.

Требования Банка России в области ОНиН для банков в рамках Положения 787‑П достаточно однородные, а для НФО в рамках 779‑П сильно разнятся в зависимости от уровня защиты информации.

 

Новизна терминологии и особенности бизнес-процессов

При изучении требований новых нормативных актов в области ИБ и ОНиН участники рынка столкнулись с новыми терминами, подходами, процедурами контроля и управления, которые выходили за пределы классического риск-менеджмента. Несмотря на схожесть ряда новых терминов из области информационной безопасности со стандартными понятиями риск-менеджмента, имеются отличия от терминологии, связанной с организацией систем управления операционными рисками. Не будем детально погружаться в эти отличия, рассмотрим их на примере терминов «риск» и «угроза», «риск-событие» и «инцидент».

В соответствии со стандартами COSO, риск Компании – это реализация события недостижения планируемой (заданной) цели Компании, цели бизнес-процесса Компании, цели инвестиционного проекта, цели направления деятельности и так далее.

Угроза информационной безопасности – это потенциальная причина возникновения событий ИБ и инцидентов ИБ. При этом угроза ИБ возникает при наличии связанных компонентов:

• Источник угрозы ИБ
• Уязвимость актива
• Способ реализации угрозы
• Объект воздействия
• Вредоносное воздействие и его последствия.

Под событием операционного риска информационных технологий понимается изменение состояния элементов ИТ-инфраструктуры, которое может свидетельствовать о возникновении инцидента ИТ-инфраструктуры. Под инцидентом информационных технологий понимается событие операционного риска ИТ, приводящее к несанкционированному изменению состояния защищенности информации (конфиденциальности, целостности, доступности), то есть к реализации угрозы ИБ.

Таким образом, событие операционного риска ИТ – это частный случай события операционного риска, а инцидент ИТ – это сочетание события операционного риска ИТ с изменениями в ИТ-инфраструктуре, ведущими к реализации угрозы ИБ.

Рассмотрим определение событий ИБ и инцидентов ИБ по стандарту ISO 27000:2016. Событие ИБ – это определенное состояние системы, сервиса или сети, указывающее на вероятное нарушение политики ИБ или сбой мер защиты или на некую ранее неизвестную ситуацию, которая может иметь отношение к ИБ. Инцидент ИБ – это одно или несколько нежелательных или неожиданных событий ИБ, которые со значительной вероятностью указывают на компрометацию бизнес-процессов или реализованную угрозу ИБ.

 

Рис. 3. Риск-событие и Инцидент ИБ

Рис. 3. Риск-событие и Инцидент ИБ

Следующая схема (рис. 3) иллюстрирует похожесть и отличия риск-события в терминах риск-менеджмента от инцидента ИБ. Если в классическом риск-менеджменте риск фрагментируется на три компоненты: 1) фактор/причина, 2) риск-событие, 3) последствие/ожидаемый ущерб, то в области ИБ мы имеем дело не с риском как «триадой», а с конструкцией из четырех компонент: 1) источник угрозы ИБ + уязвимость актива, 2) угроза ИБ, 3) инцидент ИБ, 4) реализованная угроза ИБ/последствия.

В каком‑то смысле, если смотреть на угрозы ИБ с позиций риск-менеджмента, мы имеем дело со специфическими рисками, относящимися к категории операционных рисков. Классификация операционных рисков финансовой организации по категориям источников имеет общие черты с классификаций угроз ИБ по источнику угроз (табл. 2).

 

Таблица 2. Категории источников операционных рисков и угроз ИБ

Таблица 2. Категории источников операционных рисков и угроз ИБ

Следующие две схемы (рис. 4 и рис. 5.) позволяют проследить схожие подпроцессы при организации классической системы управления рисками и подпроцессы системы управления рисками информационных систем. Вторые включают в себя как обеспечение непрерывности деятельности, так и информационную безопасность. Из представленных схем видно, что переход из обычной практики управления операционным риском на уровне регуляторных требований для профучастников рынка ценных бумаг в рамках Указания 4501‑У к организации системы управления рисками, позволяющим удовлетворять требованиям Банка России в части ИБ и ОНиН, вносит новые элементы и связан с изменением, вернее усложнением, конструкции системы управления рисками.

 

Рис. 4. Методология управления рисками (на примере требований к профучастникам рынка ценных бумаг в рамках Указания 4501‑У)

Рис. 4. Методология управления рисками (на примере требований к профучастникам рынка ценных бумаг в рамках Указания 4501‑У)

 

Рис. 5. Организация системы управления рисками информационных систем (для обеспечения требований по ИБ и ОНиН)

 

Рис. 5. Организация системы управления рисками информационных систем (для обеспечения требований по ИБ и ОНиН)

 

Возможная архитектура решений

Не будем вдаваться в детали обеспечения требований Банка России в рамках ИБ и ОНиН: это во многом определяется разнесением на КО и НФО, а дальше на индивидуальные особенности. Однако представляется разумным вписать новые требования регулятора в существующую конструкцию принятой в финансовой организации системы управления рисками.

Рассмотрим пример возможного решения построения системы управления рисками профессионального участника рынка ценных бумаг (ПУ РЦБ), являющегося некредитной организацией, с учетом требований верхнеуровневых нормативных документов Банка России: 4501‑У (для риск-менеджмента) и 5683‑У (для организации внутреннего контроля). Следующая схема (рис. 6) дает представление об архитектуре регуляторных требований и основных проблем для реализации требований положений 757‑П и 779‑П для ПУ РЦБ.

 

Рис. 6. Архитектура регуляторных требований некредитных ПУ РЦБ

Рис. 6. Архитектура регуляторных требований некредитных ПУ РЦБ

 

На этой схеме обозначен ряд наиболее важных вопросов, которые придется решить небанковскому ПУ РЦБ, чтобы обеспечить выполнение требования соответствующих нормативных актов по ИБ (757‑П) и ОНиН (779‑П). В первую очередь, это вопрос, связанный с надлежащим персоналом, который может обеспечить требования по ИБ. Также это упирается в изменение оргструктуры организации, подготовки новых внутренних документов, которые будут учитывать индивидуальные особенности организации, вписываться в ее профиль деятельности, лицензии, штатное расписание и модель бизнеса. Аналогичные проблемы возникают и для других НФО, не являющихся ПУ РЦБ, но для них на уровне риск-менеджмента и внутреннего контроля будут действовать свои регуляторные требования. Схема, представленная на рис. 7, дает одно из возможных решений для некредитного ПУ РЦБ. Суть этого предложения заключается в том, что риск-менеджмент выступает методологом по регламентации процессов, связанных с управлением операционными рисками, имеющими отношение к обеспечению ИБ и ОНиН совместно с представителем IT, на которого может быть возложена функция главы компании по информационной безопасности. В отличие от риск-менеджмента и контролера организации функционал ответственного за ИБ не регламентирован и позволяет иметь возможность на совмещение с функцией руководителя IT. В то же время, несмотря на то что на уровне регламентации со стороны регулятора стоит под ИБ выделить человека, отделенного непосредственно от подразделения IT, чтобы не смешивать два уровня защиты организации (первый и второй в рамках модели «трех линий защиты»). В качестве одного из выводов, с которыми предстоит столкнуться, – это неизбежность автоматизации системы управления операционными рисками. Для крупных ПУ РЦБ, для которых в рамках требования 5683‑у необходимо иметь в штате внутреннего аудитора, он может решать вопросы по оценке эффективности соответствующего апрегрейта системы внутреннего контроля и управления рисками, которая позволит обеспечить выполнимость требования Центробанка по ИБ и ОНиН.

 

Рис. 7. Архитектура регуляторных требований и возможности для реализации требований 757‑П и 779‑П для некредитных ПУ РЦБ

Рис. 7. Архитектура регуляторных требований и возможности для реализации требований 757‑П и 779‑П для некредитных ПУ РЦБ

 

Аналогичные изменения можно внедрить и в другие НФО, например в негосударственные пенсионные фонды, только вместо верхнеуровнего нормативного акта Банка России по организации системы управления рисками для некредитного ПУ РЦБ 4501‑У там будет свой нормакт ЦБ – 4060‑У.

Подобная идеология по апгрейту системы внутреннего контроля и управления рисками со встраиванием в нее требований по ИБ (719‑П) и ОНиН (787‑П) может быть реализована и для банков на основе верхнеуровневых документов 716‑П (по управлению операционными рисками) и 242‑П (по организации системы внутреннего контроля).

На рис. 8. представлена возможная методологическая база по управлению нефинансовыми рисками с учетом требований по ИБ и ОНиН.

 

Рис. 8. Возможная методологическая база по управлению нефинансовыми рисками с учетом требований ИБ и ОНиН

Рис. 8. Возможная методологическая база по управлению нефинансовыми рисками с учетом требований ИБ и ОНиН

 

Многие вопросы, которые относятся к данной теме, выходят за пределы настоящей статьи. В частности, организация системы управления рисками с учетом новых регуляторных требований по ИБ и ОНиН для некредитной финансовой организации, входящей в банковскую группу, отличается от рассмотренного в данной статье. Также отдельная тема – построение автоматизированной системы управления операционными рисками с учетом выполнения требований по ИБ и ОНиН. Здесь возможны принципиально два различных решения: коробочное на базе собственного ПО внутри организации и использование специализированного ПО от внешнего вендора.