Приведение в соответствие требованиям

716-П и 744-П ЦБ РФ

С 2022-го года Центральный Банк России ввел новые требования к обеспечению стабильности кредитных организаций – требования внедрить систему управления операционными рисками (СУОР) в соответствии с положением 716-П.

В соответствии с этим положением, банк должен определить, что способно навредить его основным процессам, насколько навредить. Также необходимо понимать, как следить за негативными событиями, и снижать вероятность их наступления или размер последствий.

В положении 716-П существенное внимание уделено вопросам рисков информационной безопасности и информационных систем. Для обработки рисков ИБ и ИС банк или кредитная организация должна:

  • Определить перечень критических, основных и поддерживающих процессов;
  • Определить перечень ИТ-систем, обеспечивающих работу этих процессов;
  • Разработать дерево ключевых индикаторов риска, релевантных для этих систем;
  • Описать в политике ИТ процедуры снижения вероятности рисков, и мониторинга за уровнем риска, риски нарушения непрерывности работы, риски качества функционирования и качества данных;
  • Описать в политике ИБ процедуры снижения вероятности рисков;
  • Разработать методику мониторинга событий, способных указать на реализацию риска;
  • Разработать методику оценки финансового влияния риска;
  • Постоянно улучшать систему.

КАК СТРОИТСЯ ПРОЕКТ

На сегодняшний день мы предлагаем 2 подхода к проектам по внедрению СУОР:

1

Аудит существующей СУОР и разработка плана улучшения СУОР в части рисков ИБ и ИС в соответствии с требованиями положения Банка России №716-П;

2

Аудит существующей СУОР и разработка процессов регистрации и оценки реализованных событий операционного риска в части рисков ИБ и ИС в соответствии с требованиями положения Банка России №744-П.

Анкета для бюджетной оценки

вы можете существенно упростить запрос КП, если заполните анкету

Скачать опросный лист

Важно знать

Проект аудита СУОР на соответствие требованиям 716-П позволяет оценить существующую степень соответствия, и спланировать дальнейшие шаги по приведению в соответствие, а также их длительность и стоимость.

Внедрение СУОР является достаточно сложным и длительным проектом, поэтому важно определить границы проекта – то, какие события прорабатывать в первую очередь. В качестве такой границы при первом внедрении СУОР мы предлагаем описывать случавшиеся, или имеющие высокую вероятность реализации событий – этого подхода достаточно для удовлетворения требования положения Банка России №744-П от 07.12.2020.

Проект приведения в соответствие требованиями положения 716-П в части реализованных событий позволяет разработать действующие процедуры СУОР для ограниченного количества КИР и бизнес-процессов банка, а также приступить к расчету уровня ОР для высоковероятных событий.

Полный текст Положения ЦБ РФ 716-П

Скачать (PDF, 576KB)

СТАНДАРТНЫЙ ХОД ПРОЕКТА И РЕЗУЛЬТАТЫ

аудита СУОР на соответствие требованиям 716-П

  • Этап 1

    60-80 раб. дней

    Оценка текущего состояния процессов управления операционными рисками

    • Анализируем существующие бизнес-процессы банка, и поддерживающие их функционирование ИТ-системы;
    • Анализируем существующее состояние СУОР;
    • Анализируем существующие процессы защиты информации;
    • Анализируем существующие процессы обеспечения надежности;
    • Анализируем существующие процедуры унификации ИТ инфраструктуры, управления разработкой и обеспечения функционального качества;
    • Анализируем существующие процессы обеспечения качества данных;
      Разрабатывает отчет о существующем состоянии СУОР, процессах управления рисками ИС и ИБ.

  • Этап 2

    65-95 раб. дней

    Разработка верхнеуровневых процессов СУОР, а также roadmap внедрения и проектов внутренних нормативных актов в части управления рисками ИТ и ИБ

    • Разрабатываем перечень критичных и основных процессов;
    • Разрабатываем перечень систем, оказывающих существенное влияние на критичные и основные бизнес-процессы;
    • Разрабатываем roadmap мероприятий по внедрению СУОР и рекомендации по построению процессов выявления, оценки и управления ОР в части рисков ИС и ИБ;
    • Помогаем построить часть перечня КИР и организовать его в дерево, оцениваем необходимые шаги для построения дерева КИР;
    • Разрабатываем проект политики об управлении риском ИБ и рекомендации для ее улучшения;
    • Разрабатываем проект политики об управлении риском ИС и рекомендации для ее улучшения;
    • Разрабатываем требования к положению о стандартизации и обеспечения качества функционирования;
    • Разрабатываем требования к положению об обеспечении качества данных (при необходимости);
    • Разрабатываем проект регламента ведения базы событий ОР и анализируем шаги, необходимые для разработки и сбора контрольных показателей;
    • Разрабатываем проект регламента оценки потерь от событий риска ИБ и ИС и анализируем шаги, необходимые для проведения оценок.

СТАНДАРТНЫЙ ХОД ПРОЕКТА И РЕЗУЛЬТАТЫ

проекта по приведению в соответствие 716-П в границах событий, описываемых в 744-П

  • Этап 1

    55-75 раб. дней

    Оценка текущего состояния процессов управления операционными рисками

    • Анализируем существующие бизнес-процессы банка, и поддерживающие их функционирование ИТ-системы;
    • Анализируем существующее состояние СУОР;
    • Анализируем существующие процессы защиты информации;
    • Анализируем существующие процессы обеспечения надежности;
    • Анализируем существующие процедуры унификации ИТ инфраструктуры, управления разработкой и обеспечения функционального качества;
    • Анализируем существующие процессы обеспечения качества данных;
    • Разрабатываем отчет о существующем состоянии СУОР, процессах управления рисками ИС и ИБ

  • Этап 2

    75-90 раб. дней

    Разработка процессов СУОР и проектов внутренних нормативных актов в части управления рисками ИБ и ИС

    • Разрабатываем перечень критичных и основных процессов;
    • Разрабатываем перечень систем, оказывающих существенное влияние на критичные и основные бизнес-процессы;
    • Строим часть перечня КИР, описывающих реализованные или вероятные события рисков ИС и ИБ
    • Организовываем разработанный перечень КИР в дерево
    • Описываем разработанные КИР
    • Разрабатываем проект политики об управлении риском ИБ;
    • Разрабатываем проект политики об управлении риском ИС;
    • Разрабатываем проект положения о стандартизации и обеспечения качества функционирования со стороны СУОР, в том числе при взаимодействии с поставщиками услуг;
    • Разрабатываем проект положения об управлении качеством данных (при необходимости);
    • Разрабатываем проект положения об обеспечении неп со стороны СУОР;
    • Рассчитываем контрольные показатели для разработанных КИР, а также их пороговые и сигнальные значения
    • Разрабатываем регламент установления пороговых значений контрольных показателей;
    • Разрабатываем регламент количественной оценки (реализованных событий);
    • Разрабатываем регламент качественной оценки (реализованных событий);
    • Разрабатываем регламент регулярного обновления КИР;
    • Разрабатываем регламент ведения базы событий ОР;
    • Разрабатываем рекомендации для дальнейшего улучшения СУОР.
Почему

нам доверяют:

15+ лет

опытная команда

200+ проектов

ежегодно

45+ стран

география проектов

ОСТАЛИСЬ ВОПРОСЫ?

    О КОМПАНИИ

    ООО “Кард Сек” | Москва, 2-я Хуторская ул., 38А, стр. 9
    Тел: +7 495 120 26 28 | Email: signal@cardsec.ru