SOT

SOT

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

GRC

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risks Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risks Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам (проектный)

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Положение Банка России № 716-П и управление операционными рисками

Положение Банка России № 716-П и управление операционными рисками
22.03.2021

  |  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |   


Руслан Рахметов, Security Vision


Целью данной статьи является краткое и доступное объяснение смысла управления операционными рисками в кредитных организациях, а также того, какую роль в этом играет новое Положение Банка России № 716-П.


Вы можете найти множество других определений в зависимости от контекста их применения. Ниже приведены термины, которые, на мой взгляд, наиболее кратко и понятно объясняют смысл данного понятия с учетом нашего с вами контекста данной статьи.


Риск – это произведение вероятности на убыток.


Операционный риск – риск возникновения прямых и непрямых потерь в результате несовершенства или ошибочных внутренних процессов кредитной организации, действий персонала и иных лиц, сбоев и недостатков информационных, технологических и иных систем, а также в результате реализации внешних событий.


Под словом «управление» здесь понимается реализация различных мер (организационных или технических), которые должны быть направлены как на снижение вероятности возникновения события, так и на уменьшение негативных последствий.


Возникает вопрос: «А зачем вообще осуществлять управление операционными рисками?».


Рассмотрим небольшой сценарий. Как вы знаете, у любой организации возникают различные непредвиденные события, которые так или иначе влекут за собой денежные потери. Например, у вас перестал быть доступен интернет-портал, клиенты не могут оставить заявку на оформление кредита, а это в свою очередь - потеря потенциальной прибыли и даже, возможно, отток клиентов. Плюс есть большая вероятность репутационных потерь, так как СМИ могут гиперболизировать это событие, назвав его «беспрецедентной хакерской атакой на один из крупнейших банков страны». Хотя всё вышеописанное скорей всего являлось классической реализацией операционного риска, который можно классифицировать как риск информационных систем, связанный с нарушением доступности интернет-портала вследствие ошибочных действий персонала. А вот для снижения вероятности наступления и размера денежных потерь такого события следовало бы реализовать как организационные меры (создание четких регламентов по администрированию для ИТ-специалистов), так и технические (реализация резервной независимой стабильной копии интернет-портала).


Разобравшись с основными терминами относительно управления операционными рисками, теперь рассмотрим Положение Банка России № 716-П «О требованиях к системе управления операционным риском в кредитной организации и банковской группе». Как можно заметить, здесь уже фигурирует слово «система» - данное положение предъявляет требования к комплексному, унифицированному и системному подходу к управлению операционными рисками. Помимо этого, данный документ в явном виде предъявляет требования к наличию автоматизированной информационной системы, которая должна обеспечить процедуры в отношении обработки операционных рисков.


Предпосылками появления нового документа от Банка России являлось отсутствие унифицированного и комплексного подхода в отношении управления операционными рисками. Кроме того, реализация требований, описанных в Положении № 716-П, является необходимым этапом для последующего применения кредитными организациями нового стандартизированного подхода величины операционного риска в соответствии с требованиями стандарта «Базель III», который планируется к внедрению в российское банковское регулирование.


Базель III — документ Базельского комитета по банковскому надзору, содержащий методические рекомендации в области банковского регулирования. Третья часть Базельского соглашения была разработана в ответ на недостатки в финансовом регулировании, выявленные финансовым кризисом конца 2000-х годов. Базель III усиливает требования к капиталу банка и вводит новые нормативные требования по ликвидности. Главной целью соглашения «Базель III» является повышение качества управления рисками в банковском деле, что, в свою очередь, должно укрепить стабильность финансовой системы в целом.

Базельский комитет по банковскому надзору — организация, действующая при Банке международных расчётов, разрабатывающая единые стандарты и методики регулирования банковской деятельности, принимаемые в различных странах.


Требования, описанные в Положении Банка России № 716-П, должны быть выполнены кредитными организациями не позднее 01 января 2022 года. 


В соответствии с новым подходом, теперь в данную систему управления операционными рисками должны входить следующие 10 видов рисков:

1.       риск информационной безопасности

2.       риск информационных систем

3.       правовой риск

4.       риск ошибок в управлении проектами

5.       риск ошибок в управленческих процессах

6.       риск ошибок в процессах осуществления внутреннего контроля

7.       модельный риск

8.       риск потерь средств клиентов, контрагентов, работников и третьих лиц

9.       риск ошибок процесса управления персоналом

10.   операционный риск платежной системы.


С точки зрения построения системы управления операционными рисками (СУОР), документ устанавливает требования к следующим аспектам:

·       к базам данных событий операционного риска

·       к процедурам СУОР

·       к классификаторам, используемым в СУОР

·       к контрольным показателям уровня операционного риска

·       к программному комплексу, обеспечивающему функционирование СУОР

·       к системам мер, направленных на снижения уровня операционного риска

·       к подразделениям (работникам) кредитной организации по управлению операционными рисками

·       к иным элементам СУОР.


Как мы видим, внедрение комплексной СУОР в кредитной организации с использованием средств автоматизации затрагивает все аспекты управления операционными рисками. Применение такого системного подхода позволит снизить трудозатраты и повысить качество данных и их анализа, для последующей реализации корректных мероприятий направленных на снижение уровня рисков. Системный подход также позволяет избежать «слепых зон», в которых могут оставаться невыявленные и неуправляемые риски.


Для решения задач по автоматизации процессов и процедур СУОР согласно Положению Банка России № 716-П мы как разработчик платформы Security Vision готовы предложить наш специализированный модуль по работе с операционными рисками. Данный модуль уже успешно используется в ряде кредитно-финансовых организаций, включая крупнейшие банки России.

Положение 716-П Управление ИБ ИБ для начинающих Киберриски (Cyber Risk, CRS) Подкасты ИБ Финансы в ИБ

Рекомендуем

Новые возможности систем TIP, SGRC, IRP/SOAR, UEBA и Anomaly Detection на платформе Security Vision 5
Новые возможности систем TIP, SGRC, IRP/SOAR, UEBA и Anomaly Detection на платформе Security Vision 5
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №8 «Используйте инструменты автоматизации для обеспечения работы аналитиков SOC»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №8 «Используйте инструменты автоматизации для обеспечения работы аналитиков SOC»
Обзор публикации NIST SP 800-82 Rev. 2 "Guide to Industrial Control Systems (ICS) Security"
Обзор публикации NIST SP 800-82 Rev. 2 "Guide to Industrial Control Systems (ICS) Security"
«Фишки» Security Vision: создание экосистемы
«Фишки» Security Vision: создание экосистемы
Управление рисками информационной безопасности. Часть 2. Стандарт NIST SP 800-39
Управление рисками информационной безопасности. Часть 2. Стандарт NIST SP 800-39
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №10 «Применяйте метрики оценки эффективности для улучшения работы SOC»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №10 «Применяйте метрики оценки эффективности для улучшения работы SOC»
TIP и TI (Threat Intelligence или Киберразведка), что это такое
TIP и TI (Threat Intelligence или Киберразведка), что это такое
Обзор публикации NIST SP 800-124 Rev. 2 (Draft) "Guidelines for Managing the Security of Mobile Devices in the Enterprise"
Обзор публикации NIST SP 800-124 Rev. 2 (Draft) "Guidelines for Managing the Security of Mobile Devices in the Enterprise"
Обзор публикации NIST SP 800-218 "Secure Software Development Framework (SSDF) Version 1.1: Recommendations for Mitigating the Risk of Software Vulnerabilities"
Обзор публикации NIST SP 800-218 "Secure Software Development Framework (SSDF) Version 1.1: Recommendations for Mitigating the Risk of Software Vulnerabilities"
DDoS-атаки: что это такое и способы защиты от них
DDoS-атаки: что это такое и способы защиты от них
Применение стандарта ISO 31000
Применение стандарта ISO 31000

Рекомендуем

Новые возможности систем TIP, SGRC, IRP/SOAR, UEBA и Anomaly Detection на платформе Security Vision 5
Новые возможности систем TIP, SGRC, IRP/SOAR, UEBA и Anomaly Detection на платформе Security Vision 5
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №8 «Используйте инструменты автоматизации для обеспечения работы аналитиков SOC»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №8 «Используйте инструменты автоматизации для обеспечения работы аналитиков SOC»
Обзор публикации NIST SP 800-82 Rev. 2 "Guide to Industrial Control Systems (ICS) Security"
Обзор публикации NIST SP 800-82 Rev. 2 "Guide to Industrial Control Systems (ICS) Security"
«Фишки» Security Vision: создание экосистемы
«Фишки» Security Vision: создание экосистемы
Управление рисками информационной безопасности. Часть 2. Стандарт NIST SP 800-39
Управление рисками информационной безопасности. Часть 2. Стандарт NIST SP 800-39
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №10 «Применяйте метрики оценки эффективности для улучшения работы SOC»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №10 «Применяйте метрики оценки эффективности для улучшения работы SOC»
TIP и TI (Threat Intelligence или Киберразведка), что это такое
TIP и TI (Threat Intelligence или Киберразведка), что это такое
Обзор публикации NIST SP 800-124 Rev. 2 (Draft) "Guidelines for Managing the Security of Mobile Devices in the Enterprise"
Обзор публикации NIST SP 800-124 Rev. 2 (Draft) "Guidelines for Managing the Security of Mobile Devices in the Enterprise"
Обзор публикации NIST SP 800-218 "Secure Software Development Framework (SSDF) Version 1.1: Recommendations for Mitigating the Risk of Software Vulnerabilities"
Обзор публикации NIST SP 800-218 "Secure Software Development Framework (SSDF) Version 1.1: Recommendations for Mitigating the Risk of Software Vulnerabilities"
DDoS-атаки: что это такое и способы защиты от них
DDoS-атаки: что это такое и способы защиты от них
Применение стандарта ISO 31000
Применение стандарта ISO 31000

Похожие статьи

Управление рисками информационной безопасности (конспект лекции)
Управление рисками информационной безопасности (конспект лекции)
Тренды информационной безопасности. Часть 2
Тренды информационной безопасности. Часть 2
SOAR-системы
SOAR-системы
SGRC по закону. Финансы
SGRC по закону. Финансы
SIEM - Security Information and Event Management
SIEM - Security Information and Event Management
Построение системы управления информационной безопасностью. Часть 1. Инвентаризация активов
Построение системы управления информационной безопасностью. Часть 1. Инвентаризация активов
MITRE: последователи и антагонисты
MITRE: последователи и антагонисты
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №8 «Используйте инструменты автоматизации для обеспечения работы аналитиков SOC»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №8 «Используйте инструменты автоматизации для обеспечения работы аналитиков SOC»
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков

Похожие статьи

Управление рисками информационной безопасности (конспект лекции)
Управление рисками информационной безопасности (конспект лекции)
Тренды информационной безопасности. Часть 2
Тренды информационной безопасности. Часть 2
SOAR-системы
SOAR-системы
SGRC по закону. Финансы
SGRC по закону. Финансы
SIEM - Security Information and Event Management
SIEM - Security Information and Event Management
Построение системы управления информационной безопасностью. Часть 1. Инвентаризация активов
Построение системы управления информационной безопасностью. Часть 1. Инвентаризация активов
MITRE: последователи и антагонисты
MITRE: последователи и антагонисты
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №8 «Используйте инструменты автоматизации для обеспечения работы аналитиков SOC»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №8 «Используйте инструменты автоматизации для обеспечения работы аналитиков SOC»
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков