Разъяснения Банка России от 22 октября 2021 г. № 716-Р-2021/59 "Об управлении риском информационных систем (часть 4)"

Вопрос

Правильно ли понимание, что кредитная организация (головная кредитная организации банковской группы) (далее - кредитная организация) разрабатывает и утверждает план по обеспечению непрерывности и (или) восстановления деятельности, указанный в абзаце двенадцатом подпункта 4.1.5 пункта 4.1 Положения Банка России от 04.08.2020 N 716-П "О требованиях к системе управления операционным риском в кредитной организации и банковской группе" (далее - Положение N 716-П), который является одним из элементов системы управления операционным риском в кредитной организации и, при этом, должен удовлетворять требованиям Банка России, предъявляемым к его структуре и содержанию в соответствии с рекомендациями иных нормативных актов Банка России?

Ответ

В соответствии с подпунктом 4.1.5 пункта 4.1 Положения N 716-П одним из дополнительных элементов системы управления операционным риском в кредитной организации является комплекс мероприятий, направленных на повышение качества системы управления операционным риском и уменьшение негативного влияния операционного риска, включая мероприятия, направленные на предотвращение и (или) снижение вероятности событий операционного риска, и мероприятия, направленные на ограничение размера потерь от реализации событий операционного риска. В составе мероприятий, направленных на ограничение размера потерь от реализации событий операционного риска, кредитная организация осуществляет разработку планов по обеспечению непрерывности и (или) восстановления критически важных процессов и функционирования информационных систем, включая объекты информационной инфраструктуры, а также планов по обеспечению безопасности и целостности информационных систем и информации (далее - планы непрерывности и (или) восстановления критически важных процессов и функционирования ИС), в том числе в соответствии с требованиями главы 8 Положения N 716-П, с учетом внешних факторов, влияющих на критически важный процесс и (или) информационную систему, в случае реализации операционного риска, включая систему быстрого реагирования на события операционного риска.

В целях управления риском информационных систем кредитная организация во внутренних документах определяет политику информационных систем как взаимосвязанной совокупности технических и программных средств, других объектов информационной инфраструктуры, содержащейся в базах данных информации и обеспечивающих ее обработку технологий в рамках реализации мероприятий поддержки и обеспечения непрерывности функционирования процессов кредитной организации и обеспечивает ее соблюдение с учетом требований пункта 8.2 Положения N 716-П.

В соответствии с абзацем пятым пункта 8.3 Положения N 716-П кредитная организация в целях управления риском информационных систем определяет в политике информационных систем требования к информационным системам, в том числе требования по обеспечению непрерывности и качества функционирования информационных систем, а также устанавливает во внутренних документах и соблюдает требования по обеспечению непрерывности и качества функционирования информационных систем, приведенные в пункте 8.8 Положения N 716-П.

Планы непрерывности и (или) восстановления критически важных процессов и функционирования ИС должны быть учтены кредитной организацией в плане действий, направленном на обеспечение непрерывности деятельности и (или) восстановление деятельности кредитной организации в случае возникновения нестандартных и чрезвычайных ситуаций, предусматривающем использование дублирующих (резервных) автоматизированных систем и (или) устройств, а также восстановление критически важных для деятельности кредитной организации систем, поддерживаемых внешним поставщиком (провайдером) услуг, разрабатываемом в соответствии с рекомендациями иных нормативных актов Банка России.