Разъяснения Банка России от 29 октября 2020 г. № 716-Р-2020/9 "Об управлении риском информационной безопасности"
Вопрос
1. Может ли кредитная организация (головная кредитная организация) (далее - кредитная организация), исходя из масштаба и характера деятельности, не определять должностное лицо, ответственное за функционирование системы обеспечения информационной безопасности, а возложить его функции на коллегиальный исполнительный орган?
2. Может ли должностным лицом, ответственным за функционирование системы обеспечения информационной безопасности, быть руководитель службы информационной безопасности, не участвующий в совершении операций, сделок, организации бухгалтерского и управленческого учета, обеспечении функционирования информационных систем, с прямым подчинением лицу, осуществляющему функции единоличного исполнительного органа кредитной организации?
Ответ
По вопросу 1.
В соответствии с пунктом 7.7. Положения Банка России от 8 апреля 2020 года N 716-П "О требованиях к системе управления операционным риском в кредитной организации и банковской группе" (далее - Положение Банка России N 716-П) кредитная организация должна назначить должностное лицо (лицо, его замещающего), ответственное за функционирование системы обеспечения информационной безопасности (с прямым подчинением лицу, осуществляющему функции единоличного исполнительного органа кредитной организации, или его заместителю) и не участвующее в совершении операций, сделок, организации бухгалтерского и управленческого учета, обеспечении функционирования информационных систем.
При этом норма подпункта 7.9.2 пункта 7.9 Положения Банка России N 716-П касается только порядка составления и рассмотрения отчетов по событиям риска информационной безопасности.
По вопросу 2.
Кредитная организация, исходя из характера и масштаба деятельности, вправе возложить функции должностного лица, ответственного за функционирование системы обеспечения информационной безопасности, на руководителя службы информационной безопасности, не участвующего в совершении операций, сделок, организации бухгалтерского и управленческого учета, обеспечении функционирования информационных систем, при условии прямого подчинения лицу, осуществляющему функции единоличного исполнительного органа кредитной организации, в соответствии с пунктом 7.7. Положения Банка России N 716-П.
Обзор документа
Банк России указал, что кредитная организация обязана назначить должностное лицо, ответственное за функционирование системы обеспечения информационной безопасности. Оно не может участвовать в совершении операций, сделок, организации бухгалтерского и управленческого учета, обеспечении функционирования информационных систем. Эти правила касаются только порядка составления и рассмотрения отчетов по событиям риска информационной безопасности.
Кредитная организация исходя из характера и масштаба деятельности вправе возложить функции должностного лица, ответственного за функционирование системы обеспечения информационной безопасности, на руководителя соответствующей службы, не участвующего в совершении операций, сделок, организации бухгалтерского и управленческого учета, обеспечении функционирования информационных систем. Необходимо, чтобы оно подчинялось лицу, реализующему функции единоличного исполнительного органа кредитной организации.