Начало четвёртого квартала 2022 года оказалось достаточно насыщенным для специалистов по информационной безопасности кредитных организаций: одновременно вступили в силу Положение об обеспечении операционной надежности 787-П и поправки к Положению об управлении операционным риском 716-П в редакции 6103-У. Как показала практика, не во всех кредитных организациях процессы управления риском ИБ оказались в должной степени адаптированы к требованиям 716-П. Возникла необходимость в предельно сжатые сроки предоставить ЦБ в рамках процедур дистанционного надзора или проверок ряд специфических данных: контрольные показатели уровня риска (КПУР), порядок ведения базы событий, классификатора и т.п. В этой статье расскажу о том, из каких базовых элементов должна состоять система управления операционными рисками (СУОР), в рамках которой управляют рисками ИБ, с какой периодичностью и в какой последовательности должны функционировать её процессы. Также остановлюсь на основных моментах, которые необходимо проконтролировать при подготовке к проверке ЦБ.
Формирование СУОР в организации
Положение Банка России 716-П устанавливает единые подходы к управлению различными видами рисков (в т.ч. рисков ИБ) в кредитных организациях. Согласно документу СУОР состоит из следующих элементов:
Замечу, что некоторые элементы СУОР ранее не встречались в регуляторике в явном виде, и потому требуют пояснения:
База событий — раздел ИС, где регистрируются параметры и данные о событиях риска, которые превысили порог регистрации;
Классификатор — раздел ИС, где проставляются классификационные признаки и атрибуты, позволяющие анализировать записи в базе событий в различных разрезах;
Показатели КПУР — величины, которые могут быть выбраны кредитной организацией в виде количественных и качественных показателей, и для которых рассчитываются и обосновываются сигнальные значения (СЗ) и контрольные значения (КЗ).
Самым трудозатратным элементом с точки зрения внедрения являются Процедуры управления рисками, которые для наглядности можно разделить на два блока:
Блок I. Процедуры расчёта показателей для организации на плановый период (год), включающие:
Блок II. Процедуры оперативной обработки конкретных событий риска в течение планового периода (года), включающие:
В результате прохождения процедур первого блока формируется «Реестр идентифицированных рисков», который соотносится с данными объёма операций кредитной организации за предыдущий годовой период. На его основании рассчитываются и утверждаются контрольные и сигнальные значения КПУР на плановый период.
Результатом прохождения процедур второго блока будет наполнение базы записями о событиях риска, в отношении которых затем проводится комплексный мониторинг на предмет:
Различия между КИР и КПУР
Ниже я приведу два примера, демонстрирующих различия между КПУР и КИР, а также то, что КИР — сущность, хорошо знакомая специалистам по ИБ. Они сталкиваются с ней постоянно при настройке систем и средств защиты (различные политики AV или DLP, правила корреляции SIEM и т.д.).
Итак, что ИБ-специалист должен идентифицировать как КИР, а что — как КПУР?
1. «Средняя мощность DDoS-атаки на веб-сайт организации». Пороговое значение: 10 Гбит/с (при превышении требуется реагирование) — это КИР.
2. «Общая сумма валовых прямых потерь от реализации событий риска ИБ за отчётный период (год) с нарастающим итогом с начала календарного года». Сигнальное значение: 0,25 млн руб. (при превышении требуется переход в режим ежедневного мониторинга). Контрольное значение: 1 млн руб. (при превышении требуется эскалация проблемы на уровень топ-менеджмента) — это КПУР.
Управление рисками ИБ
Выше я рассмотрел, из каких элементов должна состоять СУОР в организации. В Главе 7 Положения 716-П изложен ряд дополнительных требований по ИБ. Они заключаются в документировании порядка функционирования Системы менеджмента информационной безопасности (СМИБ), проведении отдельных процедур ИБ и проверок безопасности, которые и так выполняются в кредитных организациях в рамках исполнения других Положений ЦБ. В данной главе представлен своего рода «чек-лист».
Остановимся подробней на тех требованиях, соответствие которым будет проверяться в первую очередь при аудитах и дистанционном надзоре ЦБ. Прежде всего, это процедуры оценки рисков нарушения ИБ, хорошо знакомые специалистам по информационной безопасности по документу «Рекомендации в области стандартизации Банка России» РС БР ИББС-2.2. В документе описываются методы качественной оценки, которые затем в соответствии с рекомендуемыми шкалами переводятся в оценки количественные. Эти оценки являются входными данными для оценки резервируемого капитала на покрытие потерь от событий риска ИБ по продвинутому и регуляторному подходу. И чем точней будет оценка рисков ИБ, тем эффективней будет использоваться капитал кредитной организации.
Из новшеств, на которые следует обратить внимание при подготовке к проверке, можно выделить расчёт СЗ и КЗ КПУР ИБ, участие совета директоров в их утверждении и включение их в состав Политики ИБ. Важно отметить, что обоснованность расчёта будет проверяться ЦБ. Он должен быть выполнен на основе статистических данных о событиях риска ИБ за период не менее десяти лет. Допускается формирование методики учёта недостающих данных, если накоплена статистика менее чем за десять лет.
Следующий момент связан с ведением Базы событий в части ИБ. Записи могут вестись как консолидировано в единой базе, так и раздельно (в информационных системах ИБ), но с ежемесячным включением информации о событиях с прямыми потерями. При этом принятый в кредитной организации порядок должен быть закреплён во внутренней нормативной документации (ВНД).
Отдельно следует упомянуть, что классификация в части ИБ осуществляется в соответствии с Приложением 5 Положения 716 и опирается на СТО БР БФБО-1.5. Также нужно принять во внимание, что в последней редакции 716-П в рамках подхода к дополнительной классификации риска ИБ добавлен новый тип событий риска ИБ «операции без согласия клиента».
Структуру, полномочия и функции распределения ролей, обязанностей и полномочий необходимо реализовывать с учётом исключения конфликта интересов. Для сотрудников отдела ИБ должны быть закреплены в ВНД функции по обеспечению информационной безопасности, по управления риском информационной безопасности, а также дополнительные обязанности по формированию сводных отчётов по рискам ИБ для коллегиального исполнительного органа, в дополнение к отчётам, формируемым рисковиками. При этом необходимо обеспечить, чтобы служба внутреннего аудита проводила ежегодную независимую оценку эффективности системы управления риском ИБ (в рамках оценки эффективности всей СУОР).
В завершение статьи хочу подчеркнуть, что многие процессы управления рисками ИБ в том или ином виде выполнялись в кредитных организациях до внедрения Положения 716-П. Документ лишь унифицировал подходы к управлению различными видами рисков. Специалисты ИБ становятся центром компетенций по своему направлению и должны участвовать как в хорошо знакомых им технических мероприятиях по обеспечению ИБ, так и в общей командной работе с рисковиками, службой внутреннего аудита и топ-менеджментом. Мероприятия по управлению рисками ИБ в итоге способствуют не только более эффективному использованию капитала кредитной организации, но и повышению устойчивости финансовой системы в целом.