Приведение в соответствие требованиям

716-П, ГОСТ Р 57580.3-2022, ГОСТ Р 57580.4-2022 и 7-МР

С 2022-го года Центральный Банк России требует от кредитных организаций внедрить систему управления операционными рисками – СУОР.

Эти требования затрагивают одновременно многие процессы, в том числе управленческие, ИБ, инфраструктурные (в частности, обеспечение операционной устойчивости), процессы развития и другие.

Эти требования дополнительно детализированы в специальных стандартах: ГОСТ Р 57580.3-2022 и ГОСТ Р 57580.4-2022. Также, в Методических рекомендациях Банка России МР-7 от 20 декабря 2023 года Банк России указал, на рекомендации которого уровня ГОСТ Р 57580.3 и ГОСТ Р 57580.4 каждая организация должна ориентироваться, а также устанавливает сроки реализации:

  • Кредитные организации с универсальной лицензией и размером активов более 500 миллионов рублей должны реализовать усиленный уровень ГОСТ Р 57580.3 и ГОСТ Р 57580.4 до 31 декабря 2025 года;
  • Кредитные организации с универсальной лицензией и размером активов менее 500 миллионов рублей, с базовой лицензией, небанковские кредитные организации,  должны реализовать стандартный уровень ГОСТ Р 57580.3 и ГОСТ Р 57580.4 до 31 декабря 2026 года.

КАК СТРОИТСЯ ПРОЕКТ

На сегодняшний день мы выполняем различные проекты, связанные с СУОР, включая:
1
Проведение периодического аудита эффективности работы СУОР в соответствии с методологией Банка России;
2
Проведение аудита СУОР и разработки плана внедрения ГОСТ Р 57580.3 и ГОСТ Р 57580.4;
3
Приведение в соответствие требованиям 716-П и внедрение системы управления операционными рисками в части рисков ИС и ИБ.

В положении 716-П существенное внимание уделено вопросам рисков информационной безопасности и информационных систем. Для обработки рисков ИБ и ИС банк или кредитная организация должна:

  • Определить перечень критических, основных и поддерживающих бизнес-процессов организации;
  • Определить перечень ИТ-систем, обеспечивающих работу этих бизнес-процессов;
  • Разработать дерево ключевых индикаторов риска (КИР) – то есть тех параметров, за которыми можно следить и своевременно не допускать инцидентов операционной надежности;
  • Описать в политике ИТ процедуры снижения вероятности рисков, и мониторинга за уровнем риска, риски нарушения непрерывности работы, риски качества функционирования и качества данных;
  • Описать в политике ИБ процедуры снижения вероятности рисков;
  • Разработать методику мониторинга событий, способных указать на реализацию риска;
  • Разработать методику оценки финансового влияния риска;
  • Постоянно улучшать систему.

Анкета для бюджетной оценки

вы можете существенно упростить запрос КП, если заполните анкету

Важно знать

Внедрение СУОР является достаточно сложным и длительным проектом.
Кроме того, СУОР может развиваться в организации с течением времени, развитием новых направлений и внедрением новых систем.
В составе проектов по внедрению СУОР мы разрабатываем процессы управления рисками, а также документируем реализацию этих процессов в заданных границах – для существующих бизнес-процессов, для существующих систем, и в объеме КИР и КПУР, требуемых со стороны Банка России. Предлагаемые нами процессы позволяют развивать реализацию контролей в дальнейшем.

Полный текст Положения ЦБ РФ 716-П

СТАНДАРТНЫЙ ХОД ПРОЕКТА И РЕЗУЛЬТАТЫ

для аудита СУОР и разработки плана внедрения ГОСТ Р 57580.3 и ГОСТ Р 57580.4

  • Этап 1

    40-65 раб. дней

    Оценка текущего состояния процессов управления операционными рисками

    • Анализируем существующее состояние СУОР;
    • Анализируем существующие процессы защиты информации;
    • Анализируем существующие процессы обеспечения надежности;
    • Анализируем существующие процедуры унификации ИТ инфраструктуры, управления разработкой и обеспечения функционального качества;
    • Анализируем существующие процессы обеспечения качества данных;
    • Разрабатываем отчет о существующем состоянии СУОР, процессах управления рисками ИС и ИБ.
  • Этап 2

    20-40 раб. дней

    Разработка roadmap внедрения ГОСТ Р 57580.3 и ГОСТ Р 57580.4 и внедрения изменений в СУОР в части управления рисками ИТ и ИБ
    • Разрабатываем перечень критичных и основных процессов;
    • Разрабатываем перечень систем, оказывающих существенное влияние на критичные и основные бизнес-процессы;
    • Разрабатываем roadmap мероприятий по внедрению СУОР и рекомендации по построению процессов выявления, оценки и управления ОР в части рисков ИС и ИБ;
    • Согласовываем подход к выбору технических мер из ГОСТ Р 57580.3 и ГОСТ Р 57580.4;
    • Разрабатываем план выполнения требований ГОСТ Р 57580.3 и ГОСТ Р 57580.4.

СТАНДАРТНЫЙ ХОД ПРОЕКТА И РЕЗУЛЬТАТЫ

для приведения в соответствие требованиям 716-П и внедрения системы управления операционными рисками в части рисков ИС и ИБ

  • Этап 1

    40-65 раб. дней

    Оценка текущего состояния процессов управления операционными рисками

    • Анализируем существующие бизнес-процессы банка, и поддерживающие их функционирование ИТ-системы;
    • Анализируем существующее состояние СУОР;
    • Анализируем существующие процессы защиты информации;
    • Анализируем существующие процессы обеспечения надежности;
    • Анализируем существующие процедуры унификации ИТ инфраструктуры, управления разработкой и обеспечения функционального качества;
    • Анализируем существующие процессы обеспечения качества данных;
    • Разрабатываем отчет о существующем состоянии СУОР, процессах управления рисками ИС и ИБ.
  • Этап 2

    45-90 раб. дней

    Разработка процессов СУОР и проектов внутренних нормативных актов в части управления рисками ИБ и ИС

    • Разрабатываем перечень критичных и основных процессов;
    • Разрабатываем перечень систем, оказывающих существенное влияние на критичные и основные бизнес-процессы;
    • Строим часть перечня КИР, описывающих реализованные или вероятные события рисков ИС и ИБ;
    • Организовываем разработанный перечень КИР в дерево;
    • Описываем разработанные КИР;
    • Разрабатываем проект политики об управлении риском ИБ;
    • Разрабатываем проект политики об управлении риском ИС;
    • Разрабатываем проект положения о стандартизации и обеспечения качества функционирования со стороны СУОР, в том числе при взаимодействии с поставщиками услуг;
    • Разрабатываем проект положения об управлении качеством данных (при необходимости);
    • Разрабатываем проект положения об обеспечении со стороны СУОР;
    • Рассчитываем контрольные показатели для разработанных КИР, а также их пороговые и сигнальные значения;
    • Разрабатываем регламент установления пороговых значений контрольных показателей;
    • Разрабатываем регламент количественной оценки (реализованных событий);
    • Разрабатываем регламент качественной оценки (реализованных событий);
    • Разрабатываем регламент регулярного обновления КИР;
    • Разрабатываем регламент ведения базы событий ОР;
    • Разрабатываем рекомендации для дальнейшего улучшения СУОР;
    • Согласовываем подход к выбору технических мер из ГОСТ Р 57580.3 и ГОСТ Р 57580.4.