Актуальность вопросов, которые предлагалось обсудить гостям бизнес-ужина обусловлена тем, что с 1 октября 2022 года вступили в силу изменения в № 716-П, внесенные 6103-У. Несмотря на четко очерченные регулятором дедлайны, для того чтобы приступить к внедрению требований 716-П, а также 779-П и 787-П, многие представители ФО ждут выхода двух новых ГОСТов, содержащих детализированную информацию об управлении киберрисками и обеспечении операционной надежности. При этом проведение полноценных проверок Банком России по реализации требований 716-П возможны уже со следующего года.
Основными сложностями, с которыми приходится сталкиваться представителям финансовых организаций при выполнении требований Положения Банка России, являются: отсутствие единой унифицированной базы знаний по видам операционных рисков, сжатость сроков реализации, последние изменения регуляторики, а также размытые контуры ответственности за выполнение данного проекта. Эти вопросы поднимались в ходе бизнес-ужина.
В своем докладе «Управление рисками ИБ и обеспечение операционной надежности в рамках СУОР» ведущий консультант по ИБ AKTIV.CONSULTING Александр Моисеев рассказал о формировании службы управления операционным риском (СУОР), разобрал ключевые требования по управлению киберрисками, выделив при этом то новое, что вводит 716-П в этой части: ведение базы событий, классификатор и КПУР — контрольные показатели уровня риска. Отдельно Александр рассмотрел построение процесса операционной надежности, который тесно связан с управлением рисками ИБ и оптимально функционирует в рамках СУОР по 716-П.
Одна из ключевых сложностей, с которой сталкиваются представители финансовых организациях при внедрении требований 716-П, — проведение границ ответственности в процессе управления операционными рисками. Этой теме был посвящен доклад Олега Симакова, руководителя направления по работе с клиентами AKTIV.CONSULTING.
Спикер рассмотрел три сценария внедрения СУОР в организациях, каждый из которых предполагает для службы ИБ ведомую, автономную либо ведущую роли в процессе. Кроме того, в своем докладе Олег Симаков предложил типовой процесс внедрения СУОР, разбив его на пять ключевых этапов, постепенное прохождение которых гарантирует соблюдение сроков и достижения поставленных целей. Эксперт подчеркнул, что риск-ориентированный подход является инструментом для руководителя службы ИБ выделения дополнительных ресурсов и в целом способствует выстраиванию эффективного диалога между службой ИБ и Бизнесом.
Виталий Кремков
Советник по организованным торгам и информационной безопасности «Центральной торговой системы» (ЦТС)
Благодарим коллег из AKTIV.CONSULTING за приглашение и представленные доклады.
Не только банковские, но и другие финансовые организации заинтересованы в защите данных на том высоком уровне, которого требует Банк России, в том числе и ЦТС. Наша компания заботится о максимальной защите данных пользователей, но технологии постоянно развиваются, и требования к защите информации от внешних воздействий растут, поэтому так важна возможность пообщаться с коллегами по отрасли в неформальной обстановке и поделиться опытом. Благодаря дискуссионному характеру встречи, у нас с коллегами получилось обсудить различные процессы управления киберрисками: кто станет владельцем такого процесса, какие шаги и подразделения он должен включать и — главное — как обеспечить его регулярность.
Презентация «Управление рисками ИБ и обеспечение операционной надежности в рамках СУОР»
Презентация «Границы ответственности службы ИБ в процессе управления операционными рисками»