SOT

Security Orchestration Tools

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

VS
Vulnerability Scanner

Сканер уязвимостей

SPC
Security Profile Compliance

Контроль параметров безопасности

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

Governance, Risk Management and Compliance

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Положение Банка России № 716-П и управление операционными рисками

Положение Банка России № 716-П и управление операционными рисками
22.03.2021

  |  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |   


Руслан Рахметов, Security Vision


Целью данной статьи является краткое и доступное объяснение смысла управления операционными рисками в кредитных организациях, а также того, какую роль в этом играет новое Положение Банка России № 716-П.


Вы можете найти множество других определений в зависимости от контекста их применения. Ниже приведены термины, которые, на мой взгляд, наиболее кратко и понятно объясняют смысл данного понятия с учетом нашего с вами контекста данной статьи.


Риск – это произведение вероятности на убыток.


Операционный риск – риск возникновения прямых и непрямых потерь в результате несовершенства или ошибочных внутренних процессов кредитной организации, действий персонала и иных лиц, сбоев и недостатков информационных, технологических и иных систем, а также в результате реализации внешних событий.


Под словом «управление» здесь понимается реализация различных мер (организационных или технических), которые должны быть направлены как на снижение вероятности возникновения события, так и на уменьшение негативных последствий.


Возникает вопрос: «А зачем вообще осуществлять управление операционными рисками?».


Рассмотрим небольшой сценарий. Как вы знаете, у любой организации возникают различные непредвиденные события, которые так или иначе влекут за собой денежные потери. Например, у вас перестал быть доступен интернет-портал, клиенты не могут оставить заявку на оформление кредита, а это в свою очередь - потеря потенциальной прибыли и даже, возможно, отток клиентов. Плюс есть большая вероятность репутационных потерь, так как СМИ могут гиперболизировать это событие, назвав его «беспрецедентной хакерской атакой на один из крупнейших банков страны». Хотя всё вышеописанное скорей всего являлось классической реализацией операционного риска, который можно классифицировать как риск информационных систем, связанный с нарушением доступности интернет-портала вследствие ошибочных действий персонала. А вот для снижения вероятности наступления и размера денежных потерь такого события следовало бы реализовать как организационные меры (создание четких регламентов по администрированию для ИТ-специалистов), так и технические (реализация резервной независимой стабильной копии интернет-портала).


Разобравшись с основными терминами относительно управления операционными рисками, теперь рассмотрим Положение Банка России № 716-П «О требованиях к системе управления операционным риском в кредитной организации и банковской группе». Как можно заметить, здесь уже фигурирует слово «система» - данное положение предъявляет требования к комплексному, унифицированному и системному подходу к управлению операционными рисками. Помимо этого, данный документ в явном виде предъявляет требования к наличию автоматизированной информационной системы, которая должна обеспечить процедуры в отношении обработки операционных рисков.


Предпосылками появления нового документа от Банка России являлось отсутствие унифицированного и комплексного подхода в отношении управления операционными рисками. Кроме того, реализация требований, описанных в Положении № 716-П, является необходимым этапом для последующего применения кредитными организациями нового стандартизированного подхода величины операционного риска в соответствии с требованиями стандарта «Базель III», который планируется к внедрению в российское банковское регулирование.


Базель III — документ Базельского комитета по банковскому надзору, содержащий методические рекомендации в области банковского регулирования. Третья часть Базельского соглашения была разработана в ответ на недостатки в финансовом регулировании, выявленные финансовым кризисом конца 2000-х годов. Базель III усиливает требования к капиталу банка и вводит новые нормативные требования по ликвидности. Главной целью соглашения «Базель III» является повышение качества управления рисками в банковском деле, что, в свою очередь, должно укрепить стабильность финансовой системы в целом.

Базельский комитет по банковскому надзору — организация, действующая при Банке международных расчётов, разрабатывающая единые стандарты и методики регулирования банковской деятельности, принимаемые в различных странах.


Требования, описанные в Положении Банка России № 716-П, должны быть выполнены кредитными организациями не позднее 01 января 2022 года. 


В соответствии с новым подходом, теперь в данную систему управления операционными рисками должны входить следующие 10 видов рисков:

1.       риск информационной безопасности

2.       риск информационных систем

3.       правовой риск

4.       риск ошибок в управлении проектами

5.       риск ошибок в управленческих процессах

6.       риск ошибок в процессах осуществления внутреннего контроля

7.       модельный риск

8.       риск потерь средств клиентов, контрагентов, работников и третьих лиц

9.       риск ошибок процесса управления персоналом

10.   операционный риск платежной системы.


С точки зрения построения системы управления операционными рисками (СУОР), документ устанавливает требования к следующим аспектам:

·       к базам данных событий операционного риска

·       к процедурам СУОР

·       к классификаторам, используемым в СУОР

·       к контрольным показателям уровня операционного риска

·       к программному комплексу, обеспечивающему функционирование СУОР

·       к системам мер, направленных на снижения уровня операционного риска

·       к подразделениям (работникам) кредитной организации по управлению операционными рисками

·       к иным элементам СУОР.


Как мы видим, внедрение комплексной СУОР в кредитной организации с использованием средств автоматизации затрагивает все аспекты управления операционными рисками. Применение такого системного подхода позволит снизить трудозатраты и повысить качество данных и их анализа, для последующей реализации корректных мероприятий направленных на снижение уровня рисков. Системный подход также позволяет избежать «слепых зон», в которых могут оставаться невыявленные и неуправляемые риски.


Для решения задач по автоматизации процессов и процедур СУОР согласно Положению Банка России № 716-П мы как разработчик платформы Security Vision готовы предложить наш специализированный модуль по работе с операционными рисками. Данный модуль уже успешно используется в ряде кредитно-финансовых организаций, включая крупнейшие банки России.

Положение 716-П Управление ИБ ИБ для начинающих Киберриски (Cyber Risk, CRS) Подкасты ИБ Финансы в ИБ

Рекомендуем

SCA на языке безопасника
SCA на языке безопасника
Безопасность использования облачных хранилищ
Безопасность использования облачных хранилищ
Фантастический TI и где он обитает
Фантастический TI и где он обитает
Что такое шлюзы безопасности и какие функции они выполняют
Что такое шлюзы безопасности и какие функции они выполняют
Процессы ИТ и ИБ
Процессы ИТ и ИБ
Модель угроз ФСТЭК
Модель угроз ФСТЭК
Метрики: их очарование и коварство
Метрики: их очарование и коварство
Конфиденциальная информация
Конфиденциальная информация
Тестирование на проникновение
Тестирование на проникновение
Этичный хакер и его роль в безопасности
Этичный хакер и его роль в безопасности
MITRE: последователи и антагонисты
MITRE: последователи и антагонисты

Рекомендуем

SCA на языке безопасника
SCA на языке безопасника
Безопасность использования облачных хранилищ
Безопасность использования облачных хранилищ
Фантастический TI и где он обитает
Фантастический TI и где он обитает
Что такое шлюзы безопасности и какие функции они выполняют
Что такое шлюзы безопасности и какие функции они выполняют
Процессы ИТ и ИБ
Процессы ИТ и ИБ
Модель угроз ФСТЭК
Модель угроз ФСТЭК
Метрики: их очарование и коварство
Метрики: их очарование и коварство
Конфиденциальная информация
Конфиденциальная информация
Тестирование на проникновение
Тестирование на проникновение
Этичный хакер и его роль в безопасности
Этичный хакер и его роль в безопасности
MITRE: последователи и антагонисты
MITRE: последователи и антагонисты

Похожие статьи

Темные стороны контейнеров: риски и меры безопасности
Темные стороны контейнеров: риски и меры безопасности
Интернет вещей и его применение
Интернет вещей и его применение
Darknet — что это, как им пользуются преступники, чего следует остерегаться
Darknet — что это, как им пользуются преступники, чего следует остерегаться
Технология SOAR и ее место в SOC
Технология SOAR и ее место в SOC
Lessons Learned: почему никогда не стыдно взять и всё переделать
Lessons Learned: почему никогда не стыдно взять и всё переделать
Обзор Баз данных угроз
Обзор Баз данных угроз
Сетевая форензика с помощью ZUI
Сетевая форензика с помощью ZUI
Каналы утечки информации. Часть 2
Каналы утечки информации. Часть 2
Пентесты
Пентесты
Модель зрелости SOAR
Модель зрелости SOAR
Визуализация: лучшие практики
Визуализация: лучшие практики

Похожие статьи

Темные стороны контейнеров: риски и меры безопасности
Темные стороны контейнеров: риски и меры безопасности
Интернет вещей и его применение
Интернет вещей и его применение
Darknet — что это, как им пользуются преступники, чего следует остерегаться
Darknet — что это, как им пользуются преступники, чего следует остерегаться
Технология SOAR и ее место в SOC
Технология SOAR и ее место в SOC
Lessons Learned: почему никогда не стыдно взять и всё переделать
Lessons Learned: почему никогда не стыдно взять и всё переделать
Обзор Баз данных угроз
Обзор Баз данных угроз
Сетевая форензика с помощью ZUI
Сетевая форензика с помощью ZUI
Каналы утечки информации. Часть 2
Каналы утечки информации. Часть 2
Пентесты
Пентесты
Модель зрелости SOAR
Модель зрелости SOAR
Визуализация: лучшие практики
Визуализация: лучшие практики