Навигация
Новые документы
Реклама
Ресурсы в тему
|
Постановление Правления Национального банка Республики Беларусь от 10.12.2010 № 540 "Об утверждении технических кодексов установившейся практики "Банковские технологии. Управление рисками в сфере информационных технологий" и "Банковские технологии. Внутренний контроль и аудит информационных систем"< Главная страница На основании статей 26, 39 Банковского кодекса Республики Беларусь Правление Национального банка Республики Беларусь ПОСТАНОВЛЯЕТ: 1. Утвердить прилагаемые технические кодексы установившейся практики "Банковские технологии. Управление рисками в сфере информационных технологий" и "Банковские технологии. Внутренний контроль и аудит информационных систем". 2. Настоящее постановление вступает в силу с 1 марта 2011 г. Председатель Правления П.П.Прокопович ТКП-2010 УДК МКС 35.240.40 КП 05 Ключевые слова: банковские технологии, внутренний контроль, внутренний аудит, аудитор, информационные системы. Дата введения 2011-03-01 Предисловие1. Разработан Открытым акционерным обществом "Центр банковских технологий". Внесен Национальным банком Республики Беларусь. 2. Утвержден и введен в действие постановлением Правления Национального банка Республики Беларусь от 10 декабря 2010 г. N 540. 3. Введен впервые. Настоящий технический кодекс установившейся практики не может быть воспроизведен, тиражирован и распространен в качестве официального издания без разрешения Национального банка Республики Беларусь. Издан на русском языке. Содержание1. Область применения 2. Нормативные ссылки 3. Термины и определения 4. Общие положения 5. Общие требования к процедурам внутреннего контроля информационной системы банка 5.1. Требования к процедурам внутреннего контроля в процессах планирования и организации информационной системы банка 5.2. Требования к процедурам внутреннего контроля в процессах приобретения и внедрения информационной системы в банке 5.3. Требования к процедурам внутреннего контроля в процессах эксплуатации и сопровождения информационной системы банка 5.4. Требования к процедурам внутреннего контроля в процессах мониторинга и оценки информационной системы банка 6. Внутренний аудит информационной системы банка 6.1. Планирование внутреннего аудита информационной системы 6.2. Выполнение процедуры внутреннего аудита информационной системы 6.3. Критерии ценности аудиторского отчета 1. Область примененияНастоящий технический кодекс установившейся практики (далее - технический кодекс) устанавливает общие требования к процедурам внутреннего контроля и внутреннего аудита информационных систем банков. Использование банками настоящего технического кодекса носит добровольный характер, если только в отношении отдельных положений обязательность их применения не установлена законодательством Республики Беларусь, иными нормативными правовыми актами, в том числе нормативными правовыми актами Национального банка Республики Беларусь. При применении технического кодекса банками обязательна ссылка на него и (или) прямого использования устанавливаемых в нем положений в локальных нормативных правовых актах банков, а также в договорах. При этом требования технического кодекса, содержащие положения долженствования, применяются на обязательной основе, а рекомендации применяются по решению банка. Технический кодекс определяет общие требования к процедурам внутреннего контроля следующих групп процессов в отношении информационных систем: - планирование и организация; - приобретение и внедрение; - эксплуатация и сопровождение; - мониторинг и оценка. Предполагается, что выполнение положений технического кодекса поручается компетентным лицам с соответствующей квалификацией. 2. Нормативные ссылкиВ техническом кодексе использованы ссылки на следующие технические нормативные правовые акты в области технического нормирования и стандартизации: СТБ П ISO/IEC 27001-2008 Информационные технологии. Технологии безопасности. Системы управления защитой информации. Требования СТБ П 34.101.41-2009 Информационные технологии и безопасность. Обеспечение информационной безопасности банков Республики Беларусь. Общие положения СТБ П 34.101.42-2009 Информационные технологии и безопасность. Обеспечение информационной безопасности банков Республики Беларусь. Аудит информационной безопасности 3. Термины и определенияВ техническом кодексе применяют следующие термины с соответствующими определениями: 3.1. Владелец данных (информации): субъект, реализующий права владения, пользования и распоряжения данными (информацией) в соответствии с законодательством Республики Беларусь и локальными нормативными правовыми актами банка. 3.2. Владелец процесса: субъект, ответственный за выполнение процесса в соответствии с законодательством Республики Беларусь и локальными нормативными правовыми актами банка. 3.3. Внутренний аудит информационной системы; внутренний аудит ИС: системный процесс получения объективных данных о состоянии информационной системы, а также внешних и внутренних факторах, влияющих на функционирование информационной системы, включая систему внутреннего контроля ИС, с целью оценки соответствия информационной системы установленным требованиям и целям (критериям аудита). 3.4. Информационная система; ИС: совокупность банков данных, информационных технологий и комплекса (комплексов) программно-технических средств. 3.5. Инцидент: любое событие, не являющееся штатным элементом сервиса ИС, которое вызывает сбой или снижение качества ее функционирования. 3.6. Мера: стандарт, применяемый для оценки эффективности в связи с ожидаемыми результатами. 3.7. Персонал ИС: сотрудники банка, выполняющие функции, необходимые для обеспечения функционирования ИС банка. 3.8. Пользователь информационной системы и (или) информационной сети; пользователь ИС: работник банка, получивший доступ к ИС и (или) информационной сети и пользующийся ими при исполнении должностных обязанностей. 3.9. Проблема: неизвестная причина, лежащая в основе одного или многих инцидентов в ИС. 3.10. Процедура: документированный порядок, включающий в себя последовательность действий, описывающих достижение результата. Процедуры определяются как часть процессов. 4. Общие положения4.1. Система внутреннего контроля ИС входит в состав общей системы внутреннего контроля и общей системы управления информационными технологиями (далее - ИТ) банка и должна состоять из совокупности согласованных правил, инструкций, процедур и средств внутреннего контроля ИС. 4.2. Правилами внутреннего контроля ИС регламентируется процесс осуществления внутреннего контроля ИС и его структура. 4.3. В дополнение к правилам внутреннего контроля ИС должны использоваться документированные процедуры по выполнению проверок оборудования, программного обеспечения, процессов, операций и персонала ИС. 4.4. Процедуры внутреннего контроля ИС должны подвергаться плановым проверкам и пересматриваться внепланово в случаях изменений в техническом или программном оснащении ИС, изменении технологических процессов, изменении организационной структуры. 4.5. Программно-технические средства внутреннего контроля ИС рекомендуется интегрировать в ИС для реализации внутренних контролей ИС в автоматизированном или автоматическом режиме, включая контроль ввода и обработки данных, доступа к ИС, а также контроль состояния процессов в ИС. 4.6. Функционирование системы внутреннего контроля ИС должно быть обеспечено соответствующими ресурсами: персонал, оборудование и программное обеспечение. 4.7. ИС подлежат регулярному внутреннему аудиту в соответствии с планами проведения внутреннего аудита ИС. 4.8. Помимо плановых аудиторских проверок могут проводиться внеплановые проверки ИС. Внеплановые проверки ИС, как правило, выполняются в случаях существенных изменений в техническом или программном оснащении ИС, технологических процессов, организационной структуры. 4.9. Персонал, ответственный за проведение внутреннего аудита ИС, кроме обладания необходимой квалификацией должен быть независим от тех, кто непосредственно отвечает за функционирование ИС и проверяемые виды деятельности. 5. Общие требования к процедурам внутреннего контроля информационной системы банкаВсе ИТ-процессы в отношении ИС должны контролироваться. Базовая модель контроля показана на рисунке 1. *****НА БУМАЖНОМ НОСИТЕЛЕ Рисунок 1Общие требования к процедурам внутреннего контроля ИТ-процессов: - определить измеряемые, исполнимые, реалистичные, ориентированные на результат цели и задачи для эффективного выполнения каждого ИТ-процесса. Следует убедиться, что цели и задачи процесса связаны с бизнес-целями и обеспечены соответствующими шкалами оценки; - определить владельца для каждого ИТ-процесса, четко сформулировать его роли и сферы ответственности; - разработать и реализовать каждый ключевой ИТ-процесс таким образом, чтобы он был повторяемым и постоянно приносил ожидаемые результаты. Создать логичную, но гибкую и масштабируемую последовательность действий, которая приведет к желаемым результатам и будет достаточно гибкой для нестандартных ситуаций и экстренных случаев. Использовать последовательные процессы во всех случаях, когда это возможно, и видоизменять их только, когда это неизбежно; - определить ключевые действия и конечные результаты процесса. Назначить и донести однозначное понимание ролей и ответственностей для эффективного и результативного исполнения и документирования ключевых действий, а также для отчетности по конечным результатам процесса; - определить и донести до всех заинтересованных сторон процедуры ИТ-процессов. Процедуры должны документироваться, пересматриваться, поддерживаться, утверждаться, храниться и использоваться для обучения. Убедиться, что процедуры доступны, правильны, понятны и актуальны; - определить набор показателей, которые позволят оценить результаты и эффективность ИТ-процесса. Поставить конкретные задачи, которые соответствуют целям процесса, и выявить показатели, которые отражают достижение этих целей. Описать, как должен происходить сбор данных. Сравнить текущие показатели с планируемыми и при необходимости действовать с учетом возможных отклонений. Сопоставить показатели, цели и методы в рамках единого подхода к оценке эффективности ИТ-процессов. 5.1. Требования к процедурам внутреннего контроля в процессах планирования и организации информационной системы банка5.1.1. В процессах планирования и организации ИС необходимо осуществлять контроль за: - разработкой планов создания и развития ИС; - определением информационной архитектуры ИС; - определением направления технологического развития ИС; - определением ИТ-процессов, организационной структуры и взаимосвязей ИС; - управлением бюджетом создания, развития и эксплуатации ИС; - разработкой методологии внутреннего контроля для ИС; - управлением персоналом ИС; - управлением качеством ИТ-процессов; - оценкой и управлением ИТ-рисками как категорией операционного риска; - управлением ИТ-проектами. 5.1.1.1. В процессе разработки планов создания и развития ИС процедуры внутреннего контроля должны содержать меры, обеспечивающие контроль: - обоснования планов создания и развития ИС; - выполнения оценки рисков не реализации поставленных целей и задач; - адекватности используемых методик обоснования необходимости создания или развития ИС и правильность сделанных на их основе выводов; - обоснования решений по созданию и развитию ИС; - структуры планов, в частности наличие в тактических планах задач, обеспечивающих контроль за отклонениями от выполнения, включая изменения по стоимости, графику или функциональности, которые могут повлиять на ожидаемые результаты; - качества используемой внутренней и внешней информации; - соблюдения действующего законодательства и локальных нормативных правовых актов. 5.1.1.2. В процессе определения информационной архитектуры ИС процедуры внутреннего контроля должны содержать меры, обеспечивающие контроль: - создания и поддержки модели данных ИС в соответствии с заранее определенной методологией построения информационной архитектуры ИС и планами развития ИС; - обеспечения точности и корректности информационной архитектуры и модели данных; - ведения справочника данных ИС, включающего в себя правила представления данных; - назначения владельцев данных (информации); - классификации информации в соответствии с заранее согласованной классификационной схемой, основанной на критичности и значимости данных (например, общедоступные, конфиденциальные и др.); - обеспечения целостности, непротиворечивости и совместимости всех данных, хранящихся в электронной форме, таких, как базы, хранилища и архивы данных. 5.1.1.3. В процессе определения направления технологического развития ИС процедуры внутреннего контроля должны содержать меры, обеспечивающие контроль: - планирования технологической инфраструктуры ИС; - выполнения анализа перспективных направлений, технологий и тенденций в области нормативного регулирования; - разработки и развития технологических стандартов и инструкций; - разработки планов развития технологической инфраструктуры ИС; - информирования заинтересованных сторон и их участие в планировании развития технологической инфраструктуры ИС; - оценки ИТ-рисков при разработке новых возможностей ИС. 5.1.1.4. В процессе определения ИТ-процессов, организационной структуры и взаимосвязей ИС процедуры внутреннего контроля должны содержать меры, обеспечивающие контроль: - наличия и разработки методологии ИТ-процессов; - создания организационной структуры ИС; - потребности и стратегии в области аутсорсинга, в том числе соотношения между персоналом ИС банка и сторонними специалистами; - определения должностных обязанностей и полномочий персонала ИС и пользователей ИС; - назначения ответственного персонала ИС по вопросам обеспечения качества и их обеспечения соответствующими средствами контроля и информирования; - назначения ответственного персонала ИС за управление ИТ-рисками, информационной и физической безопасностью; - определения ключевого персонала ИС и минимизации зависимости от конкретных специалистов в исполнении критических функций; - оптимальности внутренних и внешних взаимосвязей ИС. 5.1.1.5. В процессе управления бюджетом создания, развития и эксплуатации ИС процедуры внутреннего контроля должны содержать меры, обеспечивающие контроль: - формирования бюджета; - управления затратами. 5.1.1.6. В процессе разработки методологии внутреннего контроля для ИС процедуры должны содержать меры, обеспечивающие контроль: - определения элементов среды контроля для ИС; - определения общих подходов к ИТ-рискам и методам их контроля; - документирования методологии и процедур контроля для ИС. 5.1.1.7. В процессе управления персоналом процедуры внутреннего контроля должны содержать меры, обеспечивающие контроль: - найма и обучения персонала ИС; - компетентности персонала ИС; - распределения обязанностей; - оптимальности численности персонала; - эффективности работы персонала ИС; - зависимости от отдельных ключевых трудовых ресурсов; - выполнения надлежащих мер при переходе персонала ИС на другую работу или увольнении (передача знаний, перераспределение ответственностей и ликвидация прав доступа). 5.1.1.8. В процессе управления качеством ИТ-процессов процедуры внутреннего контроля должны содержать меры, обеспечивающие контроль: - создания и поддержки системы управления качеством ИТ-процессов; - определения стандартов и инструкций по управлению качеством, включая стандарты в области разработки и приобретения компонентов ИС; - определения системы измерений уровня качества ИТ-процессов. 5.1.1.9. В процессе оценки и управления ИТ-рисками процедуры внутреннего контроля должны содержать меры, обеспечивающие контроль: - определения методологии управления ИТ-рисками и ее интеграции в методологию управления операционным риском; - идентификации ИТ-рисков; - оценки вероятности и последствий реализации идентифицированных ИТ-рисков; - разработки планов обработки ИТ-рисков. 5.1.1.10. В процессе управления ИТ-проектами процедуры внутреннего контроля должны содержать меры, обеспечивающие контроль: - определения методологии управления ИТ-проектами; - планирования ИТ-проектов; - определения ресурсов ИТ-проектов; - определения рисков ИТ-проектов; - обеспечения качества ИТ-проектов; - определения системы контроля за внесением изменений в ИТ-проекты; - эффективности ИТ-проектов по охвату, срокам реализации, качеству, затратам и рискам. 5.2. Требования к процедурам внутреннего контроля в процессах приобретения и внедрения информационной системы в банке5.2.1. В процессах приобретения и внедрения ИС необходимо осуществлять контроль за: - выбором решений по автоматизации; - приобретением и организацией поддержки программных приложений; - приобретением и организацией обслуживания технологической инфраструктуры; - обеспечением обучения пользователей и персонала ИС; - управлением договорными отношениями с поставщиками ИС; - организацией внесения изменений в ИС; - внедрением и принятием решений и изменений в ИС. 5.2.1.1. В процессе выбора решений по автоматизации процедуры внутреннего контроля должны содержать меры, обеспечивающие контроль: - определения и обоснования требований к функциональности ИС; - анализа рисков, связанных с реализацией требований к функциональности ИС; - разработки основного и альтернативного планов действий по реализации требований. 5.2.1.2. В процессе приобретения и организации поддержки программных приложений ИС процедуры внутреннего контроля должны содержать меры, обеспечивающие контроль: - преобразования требований к ИС в спецификации на приобретение программного обеспечения; - определения дизайна приложений и технических требований к программному обеспечению; - внедрения контрольных функций ИС в программные приложения; - выполнения требований к безопасности и доступности программных приложений в соответствии с выявленными рисками и принятой в банке классификацией данных, информационной архитектурой, архитектурой информационной безопасности и уровнем принятых рисков; - конфигурирования и внедрения приобретенного программного обеспечения; - разработки программных приложений; - обеспечения качества программных приложений; - управления требованиями к программным приложениям; - разработки стратегии и плана поддержки программных приложений. 5.2.1.3. В процессе приобретения и организации обслуживания технологической инфраструктуры ИС процедуры внутреннего контроля должны содержать меры, обеспечивающие контроль: - планирования приобретения технологической инфраструктуры; - внедрения критериев контроля и безопасности в процессе конфигурирования, интеграции и обслуживания аппаратного обеспечения и системного программного обеспечения; - создания среды тестирования компонентов технологической инфраструктуры ИС; - разработки стратегии и плана обслуживания технологической инфраструктуры ИС. 5.2.1.4. В процессе обеспечения обучения пользователей ИС и персонала ИС процедуры внутреннего контроля должны содержать меры, обеспечивающие контроль: - приобретения и разработки документации для пользователей и персонала ИС; - планирования и организации обучения пользователей ИС эффективному и оптимальному использованию ИС для поддержки бизнес-процессов; - планирования и организации обучения персонала ИС эффективному и оптимальному обслуживанию ИС и связанной с ней инфраструктуры. 5.2.1.5. В процессе управления договорными отношениями с поставщиками ИС или ее компонентов процедуры внутреннего контроля должны содержать меры, обеспечивающие контроль: - разработки и применения процедур осуществления поставок и стратегии в области закупок компонентов инфраструктуры ИС, в том числе аппаратного и программного обеспечения, а также услуг; - управления договорами с поставщиками; - выбора поставщиков. 5.2.1.6. В процессе организации внесения изменений в ИС процедуры внутреннего контроля должны содержать меры, обеспечивающие контроль: - организации применения формализованных процедур в области управления изменениями для стандартизованной обработки всех запросов на изменения; - организации проведения оценки всех запросов на изменения; - установления процесса определения, заявления, тестирования, документирования, оценки и авторизации аварийных изменений; - установления системы мониторинга и отчетности по статусу изменений; - организации процесса обновления документации ИС при реализации изменений. 5.2.1.7. В процессе внедрения и приемки решений и изменений в ИС процедуры внутреннего контроля должны содержать меры, обеспечивающие контроль: - проведения обучения пользователей и персонала ИС в соответствии с определенными планами; - планирования и проведения тестирования изменений; - ввода изменений в промышленную эксплуатацию; - анализа результатов ввода изменений в промышленную эксплуатацию. 5.3. Требования к процедурам внутреннего контроля в процессах эксплуатации и сопровождения информационной системы банка5.3.1. В процессах эксплуатации и сопровождения ИС необходимо осуществлять контроль за: - управлением уровнем обслуживания ИС, в том числе сторонними организациями; - управлением производительностью и мощностями ресурсов ИС; - обеспечением непрерывности функционирования ИС; - обеспечением информационной безопасности ИС; - обучением пользователей и персонала ИС; - управлением инцидентами; - управлением конфигурацией ИС; - управлением проблемами; - управлением данными в ИС; - обеспечением физической безопасности и защиты ИС от воздействия окружающей среды; - управлением операциями по эксплуатации ИС. 5.3.1.1. В процессе управления уровнем обслуживания ИС процедуры внутреннего контроля должны содержать меры, обеспечивающие контроль: - разработки методологии управления уровнем обслуживания ИС, включающей требования к услугам сторонних организаций, определение ответственности внутренних и внешних поставщиков и потребителей ИТ-услуг; - определения ИТ-услуг; - формирования и заключения соглашений об уровне обслуживания для всех критичных ИТ-услуг; - управления рисками, связанными с аутсорсингом ИТ; - выполнения соглашений об уровне обслуживания. 5.3.1.2. В процессе управления производительностью и мощностями ресурсов ИС процедуры внутреннего контроля должны содержать меры, обеспечивающие контроль: - текущей производительности и мощности ИТ-ресурсов; - прогнозирования производительности и мощностей ИТ-ресурсов; - доступности ИТ-ресурсов; - осуществления мониторинга производительности и мощностей ИТ-ресурсов. 5.3.1.3. В процессе обеспечения непрерывности функционирования ИС процедуры внутреннего контроля должны содержать меры, обеспечивающие контроль: - разработки документации по обеспечению непрерывности функционирования ИС; - планирования обеспечения непрерывной работы и восстановления ИС; - тестирования планов обеспечения непрерывной работы и восстановления ИС; - актуализации планов обеспечения непрерывной работы и восстановления ИС; - регулярного обучения персонала ИС и заинтересованных сторон по выполнению соответствующих процедур по планам обеспечения непрерывной работы и восстановления ИС; - обеспечения доступности и ознакомления с планами обеспечения непрерывной работы и восстановления ИС заинтересованных сторон. 5.3.1.4. В процессе обеспечения информационной безопасности ИС процедуры внутреннего контроля должны соответствовать требованиям СТБ П ISO/IEC 27001-2008, СТБ П 34.101.41-2009, СТБ П 34.101.42-2009. 5.3.1.5. В процессе обучения пользователей и персонала ИС процедуры внутреннего контроля должны содержать меры, обеспечивающие контроль: - определения потребностей в обучении пользователей ИС и персонала ИС; - планирования обучения; - проведения обучения; - актуальности, качества и эффективности обучения. 5.3.1.6. В процессе управления инцидентами процедуры внутреннего контроля должны содержать меры, обеспечивающие контроль: - регистрации обращений пользователей; - разрешения инцидентов и фиксации механизмов их решения; - учета неразрешенных инцидентов; - эффективности разрешения инцидентов, выявления тенденций или повторяющихся проблем. 5.3.1.7. В процессе управления конфигурацией ИС процедуры внутреннего контроля должны содержать меры, обеспечивающие контроль: - учета и хранения всех конфигурационных данных и изменений в них; - целостности и наличия отклонений в конфигурации ИС; - программного и аппаратного обеспечения ИС на предмет соответствия установленным в банке требованиям; - приобретения и учета лицензий. 5.3.1.8. В процессе управления проблемами процедуры внутреннего контроля должны содержать меры, обеспечивающие контроль: - выявления и классификации проблем; - учета, отслеживания, разрешения и устранения проблем. 5.3.1.9. В процессе управления данными в ИС процедуры внутреннего контроля должны содержать меры, обеспечивающие контроль: - обработки данных в соответствии с установленными требованиями; - записи, хранения и архивирования данных; - использования и вывода из эксплуатации носителей данных; - резервного хранения и восстановления данных; - выполнения требований по безопасности в отношении записи, обработки, хранения и вывода данных. 5.3.1.10. В процессе обеспечения физической безопасности и защиты ИС от воздействия окружающей среды процедуры внутреннего контроля должны содержать меры, обеспечивающие контроль: - определения и внедрения показателей физической безопасности помещений для размещения оборудования и персонала ИС; - предоставления, ограничения и прекращения доступа в помещения, здания и территории размещения инфраструктуры ИС; - защиты оборудования ИС от факторов внешней среды; - управления оборудованием ИС и выполнения процедур по техническому обслуживанию в соответствии с инструкциями, техническими требованиями, спецификациями поставщиков, требованиями по технике безопасности и охране здоровья. 5.3.1.11. В процессе управления операциями по эксплуатации ИС процедуры внутреннего контроля должны содержать меры, обеспечивающие контроль: - определения, реализации и поддержки процедур и инструкций для операций по эксплуатации ИС; - составления графика работ, процессов и задач по эксплуатации ИС; - мониторинга инфраструктуры ИС и относящихся к ней событий, протоколирования операций и другой деятельности, связанной с поддержкой операций; - определения и реализации на практике процедур, обеспечивающих оперативную поддержку инфраструктуры ИС, в том числе планового обслуживания оборудования. 5.4. Требования к процедурам внутреннего контроля в процессах мониторинга и оценки информационной системы банка5.4.1. В процессах мониторинга и оценки ИС необходимо осуществлять контроль за: - организацией мониторинга и оценкой эффективности ИС; - мониторингом и оценкой системы внутреннего контроля ИС; - обеспечением соответствия ИС внешним требованиям; - обеспечением корпоративного управления ИС. 5.4.1.1. В процессе организации мониторинга и оценки эффективности ИС процедуры внутреннего контроля должны содержать меры, обеспечивающие контроль: - формирования и внедрения методик мониторинга и оценки эффективности ИС; - определения подлежащих мониторингу основных показателей и сбора данных, приемлемых для оценки эффективности ИС; - формирования отчетности по результатам мониторинга; - реализации корректирующих действий, основанных на результатах мониторинга, и оценки эффективности. 5.4.1.2. В процессе мониторинга и оценки внутреннего контроля ИС процедуры должны содержать меры, обеспечивающие контроль: - выполнения мониторинга, сравнительного анализа и совершенствования среды внутреннего контроля и соответствующей методологии; - результативности, полноты и эффективности управленческого внутреннего контроля ИС; - реализации корректирующих действий, вытекающих из оценок системы внутреннего контроля ИС. 5.4.1.3. В процессе обеспечения соответствия ИС внешним требованиям процедуры внутреннего контроля должны содержать меры, обеспечивающие контроль: - выявления требований законодательства, регулирующих норм и условий договоров; - анализа и корректировок процедур на предмет соответствия требованиям законодательства, регулирующих норм и условий договоров. 5.4.1.4. В процессе обеспечения корпоративного управления ИС процедуры внутреннего контроля должны содержать меры, обеспечивающие контроль: - соответствия системы управления ИС общекорпоративному управлению банком и среде контроля; - информирования руководства банка об эффективности ИС и обеспечении соответствия ИС бизнес-процессам банка и корпоративной стратегии банка; - использования и распределения ресурсов информационных технологий; - организации управления ИТ-рисками; - организации и периодического проведения независимой оценки (внутренней или внешней) соответствия ИС требованиям законодательства и локальных нормативных правовых актов банка, корпоративной политики, стандартов и общепринятых практик, а также эффективности и результативности ИС. 6. Внутренний аудит информационной системы банка6.1. Планирование внутреннего аудита информационной системыВ процессе планирования внутреннего аудита банка необходимо: - определить цели и область проведения внутреннего аудита ИС; - определить ответственных лиц; - разработать план внутреннего аудита ИС. 6.1.1. Цели и область проведения внутреннего аудита ИС определяются на основе анализа структуры ИС и ее подсистем, их физического расположения и взаимосвязей, а также структуры ролей и распределения ответственности персонала ИС. 6.1.2. План внутреннего аудита ИС должен включать: - цель внутреннего аудита ИС; - критерии внутреннего аудита ИС; - границы внутреннего аудита ИС; - сроки проведения внутреннего аудита ИС; - описание процедуры внутреннего аудита ИС; - распределение ресурсов при проведении внутреннего аудита ИС. План внутреннего аудита ИС должен определять совокупность оцениваемых ИТ-процессов, ИТ-ресурсов и информационных критериев, последовательность шагов по сбору и анализу информации внутреннего аудита ИС и проведению необходимых тестов. 6.1.3 На этапе планирования определяются наиболее значимые для существующих бизнес-процессов банка информационные критерии: эффективность, полезность, конфиденциальность, целостность, доступность, соответствие и достоверность. Затем идентифицируются ИТ-риски и оценивается общий уровень контроля рассматриваемых бизнес-процессов. При этом принимаются во внимание существующие механизмы управления, последние изменения в ИС банка, зарегистрированные инциденты и результаты предыдущих аудитов ИС. На основе полученной информации осуществляется выбор соответствующих ИТ-процессов и связанных с ними ИТ-ресурсов, служащих объектом исследования в рамках внутреннего аудита ИС. 6.2. Выполнение процедуры внутреннего аудита информационной системыВыполнение процедуры внутреннего аудита ИС включает следующие этапы: - идентификация механизмов управления ИТ и документирование (включает в себя получение и первичный анализ информации); - оценка процессов управления; - проверка соответствия критериям аудита процессов управления и компонентов ИС; - детальная проверка процессов управления и компонентов ИС, выработка рекомендаций и подготовка отчета; - контроль за выполнением рекомендаций. 6.2.1. На этапе идентификации механизмов управления ИТ и документирования осуществляется получение, документирование и первичный анализ информации о состоянии ИС, а также идентификация существующих механизмов управления ИТ с учетом выяснения следующих вопросов: - требования к ИС; - организационная структура ИС; - распределение ролей и ответственности; - политики и процедуры в ИТ; - требования нормативных правовых актов; - существующие процессы управления ИТ; - существующая отчетность в рамках управления ИТ. Информация о состоянии ИС должна быть пригодна для оценки на ее основе степени соответствия параметров ИС критериям аудита, фактического уровня ИТ-рисков и выработки рекомендаций, направленных на их минимизацию. 6.2.2. На этапе оценки процессов управления производится оценка эффективности существующих процессов управления при выполнении задач управления ИТ, оценивается их целесообразность и пригодность путем сравнения с установленными критериями и стандартами. Аудитору необходимо убедиться в том, что: - существующие ИТ-процессы документированы; - ответственность и подотчетность четко определены; - там, где необходимо, существуют компенсирующие процессы управления ИТ. 6.2.3. Проверка соответствия критериям аудита процессов управления и компонентов ИС осуществляется путем получения прямых и косвенных свидетельств надлежащего выполнения установленных процедур управления за оцениваемый период. На этом этапе проводится оценка соответствия ИС и управления ИТ требованиям нормативных правовых актов и стандартов, а также выполняется ограниченное исследование адекватности результатов процессов управления, определяется уровень детальной проверки и объем дополнительной работы, необходимой для получения подтверждения адекватности ИТ-процессов. Аудитору необходимо получить доказательства пригодности существующих процессов управления для решения задач управления ИТ. 6.2.4. На этапе детальной проверки процессов управления и компонентов ИС, выработки рекомендаций и подготовки отчета выполняются: а) выявление источников ИТ-рисков, в частности: 1) неготовность ИТ оказывать адекватную поддержку бизнес-процессам банка; 2) высокая длительность и стоимость проектов по созданию и модернизации ИС и ее компонентов; 3) несоответствие фактического уровня ИТ-сервисов и показателей функционирования ИС существующим требованиям; 4) частые сбои и длительное время восстановления работоспособности ИС; 5) неполное использование пользователями возможностей ИС; 6) ошибки при обработке данных в ИС; 7) недостатки в обеспечении полноты контрольных и управленческих процедур, направленных на достижение целей управления ИТ и обеспечения требуемых показателей функционирования ИС; 8) недостатки в системе управления информационной безопасностью, повышающие вероятность нарушения конфиденциальности, целостности и доступности информации в ИС; 9) совокупность недостатков системы управления ИТ в отношении отдельных компонентов ИС, задействованных в поддержке отдельного бизнес-процесса, которые могут привести к реализации рисков банка; 10) неадекватное управление персоналом, что может привести к отсутствию высококвалифицированного персонала, необходимого для выполнения ключевых ИТ-операций; б) оценка и обоснование ИТ-рисков путем использования аналитических методов и экспертных оценок; в) ситуационное моделирование, позволяющее оценить адекватность применяемых методов управления и контроля за ИТ для различных условий деятельности, в том числе расширение или изменение масштабов деятельности банка, модернизация или переход на новую ИС, изменение объемов финансирования, отсутствие ключевого персонала ИС; г) документирование недостатков процессов управления ИТ, угроз и уязвимостей ИС, являющихся следствием этих недостатков, реальных и потенциальных последствий реализации угроз путем причинно-следственного анализа и проведения сравнительного тестирования; д) подготовка рекомендаций по повышению эффективности внутреннего контроля ИС с целью улучшения состояния ИС и управления ИТ банка; е) подготовка рекомендаций по совершенствованию методологии оценки ИТ-рисков в условиях динамично изменяющейся среды функционирования ИС; ж) формирование аудиторского отчета. 6.2.5. На этапе контроля за выполнением рекомендаций осуществляется проверка эффективности принятых мер по исправлению выявленных нарушений в организации внутреннего контроля ИС и выполнения рекомендаций по его совершенствованию. 6.3. Критерии ценности аудиторского отчетаКритериями ценности аудиторского отчета являются: - достоверность: выводы отчета основаны на фактах, которые могут быть повторно проверены, а также на изучении достаточного количества информации; - актуальность: основной акцент в отчете делается на проблемах и рисках, которые уже реализуются или с высокой вероятностью могут быть реализованы в краткосрочной перспективе; - ясность: информация излагается в структурированном виде - от общих выводов в бизнес-терминах для руководства банка до частных рекомендаций, включающих специфические аспекты, для руководства ИТ; - полезность (применимость): информация максимально адаптирована для целей формирования планов совершенствования ИС и системы управления ИТ. ТКП-2010 ТЕХНИЧЕСКИЙ КОДЕКС УСТАНОВИВШЕЙСЯ ПРАКТИКИБАНКОВСКИЕ ТЕХНОЛОГИИ УПРАВЛЕНИЕ РИСКАМИ В СФЕРЕ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙБАНКАЎСКIЯ ТЭХНАЛОГII УПРАЎЛЕННЕ РЫЗЫКАМI Ў СФЕРЫ IНФАРМАЦЫЙНЫХ ТЭХНАЛОГIЙBANKING TECHNOLOGIES RISK MANAGEMENT IN THE SPHERE OF ITУДК МКС 35.240.40 КП 05 Ключевые слова: банковские технологии, управление рисками, внутренний контроль, информационные системы, программные средства. Дата введения 2011-03-01 Предисловие1. Разработан Открытым акционерным обществом "Центр банковских технологий". Внесен Национальным банком Республики Беларусь. 2. Утвержден и введен в действие постановлением Правления Национального банка Республики Беларусь от 10 декабря 2010 г. N 540. 3. Введен впервые. Настоящий технический кодекс установившейся практики не может быть воспроизведен, тиражирован и распространен в качестве официального издания без разрешения Национального банка Республики Беларусь. Издан на русском языке. Содержание1. Область применения 2. Нормативные ссылки 3. Термины и определения 4. Общие требования к системе управления рисками в сфере информационных технологий 4.1. Общие требования 4.2. Процесс создания системы управления рисками в сфере информационных технологий 4.3. Процесс реализации системы управления рисками в сфере информационных технологий 4.4. Процесс контроля и анализа управления рисками в сфере информационных технологий 4.5. Процесс поддержки эффективности и совершенствования системы управления рисками в сфере информационных технологий 5. Осуществление процесса управления рисками в сфере информационных технологий 5.1. Общие требования 5.2. Общие требования к процедуре определения области рассмотрения, идентификации и оценки активов банка 5.2.1. Определение области рассмотрения и идентификация активов банка 5.2.2. Оценка активов банка 5.3. Общие требования к процедуре анализа рисков в сфере банковских информационных технологий 5.3.1. Общие требования к анализу источников рисков в сфере банковских информационных технологий, идентификации и оценке эффективности существующих мер по снижению рисков в сфере банковских информационных технологий 5.3.2. Общие требования к процедуре оценки рисков в сфере банковских информационных технологий 5.4. Общие требования к процедуре обработки рисков в сфере банковских информационных технологий 5.5. Мониторинг 6. Требования к документации системы управления рисками в сфере информационных технологий Приложение А (рекомендуемое). Типовой перечень активов банка Приложение В (рекомендуемое). Рекомендуемый перечень и описание типовых источников (причин) рисков в сфере информационных технологий Введение1. Общие положенияТехнический кодекс направлен на применение процессного подхода для создания, реализации, контроля, анализа, поддержания и совершенствования системы управления рисками в сфере банковских информационных технологий (далее - СУРИТ), являющейся частью общей системы управления операционными рисками банка. Целью СУРИТ в банке являются: - эффективность и результативность финансовой и хозяйственной деятельности банка при совершении банковских операций и других сделок, эффективность управления банковскими рисками, активами и пассивами, включая обеспечение сохранности активов банка; - достоверность, полнота, объективность и своевременность составления и представления финансовой, бухгалтерской, статистической и иной отчетности (для внешних и внутренних пользователей), а также информационная безопасность; - соблюдение банком и его работниками требований законодательства Республики Беларусь, локальных нормативных правовых актов банка; - исключение вовлечения банка в финансовые операции, имеющие незаконный характер, в том числе предупреждение и пресечение деяний, связанных с легализацией доходов, полученных преступным путем, и финансированием террористической деятельности, а также своевременное представление в соответствии с законодательством Республики Беларусь сведений в государственные органы. Применение в банке системы процессов наряду с их идентификацией и взаимодействием, а также управление процессами, направленное на получение желаемого результата, может называться "процессный подход". Преимущество процессного подхода состоит в непрерывности управления, которое он обеспечивает на стыке отдельных процессов в рамках системы процессов, а также при их комбинации и взаимодействии. СУРИТ включает следующие процессы: - планирование (создание СУРИТ) - установление политики, целей, процессов и процедур, относящихся к управлению ИТ-рисками для достижения результатов в соответствии с общей политикой и целями банка; - осуществление (реализация СУРИТ) - реализация и эксплуатация политики, средств управления, процессов и процедур в области СУРИТ; - проверка (контроль и анализ СУРИТ) - оценка и, где применимо, измерение показателей процессов по отношению к политике, целям и практическому опыту в области СУРИТ; - действие (поддержка и совершенствование СУРИТ) - осуществление действий по исправлению и предупреждению недостатков СУРИТ, основанных на результатах внутреннего аудита СУРИТ или другой соответствующей информации, для достижения непрерывного совершенствования СУРИТ. 2. Совместимость с другими системами управленияТехнический кодекс может применяться наряду с СТБ П ISO/IEC 27001-2008, СТБ П 34.101.41-2009, СТБ П 34.101.42-2009, ISO/IEC 13335-1:2004 и ISO/IEC TR 13335-3:2007 с целью обеспечения постоянной комплексной реализации и эксплуатации сопутствующих стандартов по управлению инфраструктурой информационных технологий. Одна система управления, разработанная соответствующим образом, может таким образом удовлетворить требованиям всех данных стандартов. 1. Область примененияТехнический кодекс устанавливает требования к процессам управления рисками в сфере информационных технологий банков, относящихся к категории операционного риска. Использование банками технического кодекса при управлении рисками носит добровольный характер, если только в отношении отдельных положений обязательность их применения не установлена законодательством Республики Беларусь, в том числе нормативными правовыми актами Национального банка Республики Беларусь. При применении технического кодекса банками обязательна ссылка на него и (или) прямого использования устанавливаемых в нем положений в локальных нормативных правовых актах банка, а также в договорах. При этом требования технического кодекса, содержащие положения долженствования, применяются на обязательной основе, а рекомендации применяются по решению банка. 2. Нормативные ссылкиВ техническом кодексе использованы ссылки на следующие технические нормативные правовые акты в области технического нормирования и стандартизации (далее - ТНПА): СТБ П ISO/IEC 27001-2008 Информационные технологии. Технологии безопасности. Системы управления защитой информации. Требования СТБ П 34.101.41-2009 Информационные технологии и безопасность. Обеспечение информационной безопасности банков Республики Беларусь. Общие положения СТБ П 34.101.42-2009 Информационные технологии и безопасность. Обеспечение информационной безопасности банков Республики Беларусь. Аудит информационной безопасности ISO/IEC 13335-1:2006 Information technology - Guidelines for the management of IT Security - Part 4: Selection of safeguards (Информационные технологии. Руководство по управлению безопасностью информационных технологий IT. Часть 4. Выбор защитных мер) ISO/IEC TR 13335-3:2007 Information technology - Guidelines for the management of IT Security - Part 3: Techniques for the management of IT security (Информационные технологии. Руководящие указания по контролю безопасности информационных технологий. Часть 3. Методы контроля IT) ISO/IEC TR 13335-4:2000 Information technology - Security techniques - Management of information and communications technology security - Part 1: Concepts and models for information and communications technology security management (Информационные технологии. Методы защиты. Управление безопасностью информационно-коммуникационных технологий. Часть 1. Концепция и модели управления безопасностью информационно-коммуникационных технологий) ИСО/МЭК Руководство 73-2005 Менеджмент риска. Термины и определения Примечание. При пользовании настоящим техническим кодексом целесообразно проверить действие ТНПА по каталогу, составленному по состоянию на 1 января текущего года, и по соответствующим информационным указателям, опубликованным в текущем году. Если ссылочные ТНПА заменены (изменены), то при пользовании настоящим техническим кодексом следует руководствоваться замененными (измененными) ТНПА. Если ссылочные ТНПА отменены без замены, то положение, в котором дана ссылка на них, применяется в части, не затрагивающей эту ссылку. 3. Термины и определенияВ техническом кодексе применяют следующие термины с соответствующими определениями: 3.1. Актив банка: все, что имеет ценность для банка и находится в его распоряжении. Примечание. К активам банка могут относиться: - банковские ресурсы (финансовые, людские, вычислительные, телекоммуникационные и др.); - информационные активы, в том числе различные виды банковской информации (платежной, финансово-аналитической, служебной, управляющей и др.) на следующих фазах их жизненного цикла: генерация (создание), обработка, хранение, передача, уничтожение; - банковские процессы (банковские платежные технологические процессы, банковские информационные технологические процессы, процессы жизненного цикла автоматизированных банковских систем и др.); - банковские продукты и услуги, предоставляемые клиентам. 3.2. Анализ риска: систематическое использование информации для идентификации источников и оценки риска (ИСО/МЭК Руководство 73-2005). Примечания: 1. Анализ риска обеспечивает базу для оценивания риска, мероприятий по снижению риска и принятия риска. 2. Информация может включать в себя исторические данные, результаты теоретического анализа, мотивированное суждение и касаться причастных сторон. 3. Процесс идентификации рисков применительно к безопасности информационной системы, определения вероятности их осуществления и потенциального воздействия, а также дополнительных контрмер, ослабляющих (уменьшающих) это воздействие. 3.3. Идентификация риска: процесс нахождения, составления перечня и описания элементов риска (ИСО/МЭК Руководство 73-2005). Примечания: 1. Элементы риска могут включать в себя источники или опасности, события, последствия и вероятность. 2. Идентификация риска может также отражать интересы причастных сторон. 3.4. Идентификация источников риска: процесс нахождения, составления перечня и описания источников риска (ИСО/МЭК Руководство 73-2005). 3.5. Ключевой индикатор риска: показатель, теоретически или эмпирически связанный с уровнем риска, принимаемым банком, при этом в общем случае не являясь его оценкой. Примечание. В качестве ключевых индикаторов риска могут использоваться: - количество допущенных ошибок при проведении операций, выявленных банком / внешними органами контроля; - количество аварий, сбоев информационных систем; - время (продолжительность) простоя информационных систем. 3.6. Количественная оценка риска: процесс присвоения значений вероятности и последствий риска (ИСО/МЭК Руководство 73-2005). Примечание. Количественная оценка риска может учитывать стоимость, выгоды, интересы причастных сторон и другие переменные, рассматриваемые при оценивании риска. 3.7. Критерии риска: правила, по которым оценивают значимость риска (ИСО/МЭК Руководство 73-2005). Примечание. Критерии риска могут включать в себя сопутствующие стоимость и выгоды, законодательные и обязательные требования, социально-экономические и экологические аспекты, озабоченность причастных сторон, приоритеты и другие затраты на оценку. 3.8. Обработка риска: процесс выбора и осуществления мер по изменению риска. Примечания: 1. Термин "обработка риска" иногда используют для обозначения самих мер. 2. Меры по обработке риска могут включать в себя предотвращение, уменьшение (снижение), перенос, принятие или отказ от риска. 3.9. Остаточный риск: риск, сохраняющийся после обработки риска (ИСО/МЭК Руководство 73-2005). 3.10. Перенос риска: разделение с другой стороной бремени потерь или выгод от риска. Примечания: 1. Законодательные или обязательные требования могут ограничивать, запрещать или поручать перенос определенного риска. 2. Перенос риска может быть осуществлен страхованием или другими соглашениями. 3. Перенос риска может создавать новый риск или модифицировать существующий риск. 4. Перенос риска осуществляется с учетом стоимости и законодательных требований. 3.11. Политика управления рисками в сфере информационных технологий банка; политика: совокупность правил, определяющих и ограничивающих деятельность участников системы управления рисками в сфере информационных технологий банка. 3.12. Предотвращение риска: решение не быть вовлеченным в рискованную ситуацию или действие, предупреждающее вовлечение в нее (ИСО/МЭК Руководство 73-2005). 3.13. Принятие риска: решение принять риск (ИСО/МЭК Руководство 73-2005). Примечание. Принятие риска зависит от критериев риска. 3.14. Риск в сфере банковских информационных технологий; ИТ-риск: комбинация вероятности наступления события и уровня его негативного воздействия на прибыль банка вследствие использования в банке соответствующих информационных технологий. 3.15. Снижение риска: действия, предпринятые для уменьшения вероятности, негативных последствий или того и другого вместе, связанных с риском (ИСО/МЭК Руководство 73-2005). 4. Общие требования к системе управления рисками в сфере информационных технологий4.1. Общие требования4.1.1. СУРИТ представляет собой совокупность организационной структуры, стратегии, методик и процедур, являющихся средствами управления ИТ-рисками. 4.1.2. СУРИТ должна отвечать следующим требованиям: - определять общие принципы для деятельности банка в отношении СУРИТ; - учитывать требования нормативных правовых актов, внутренних норм и правил банка по обеспечению СУРИТ; - отвечать требованиям стратегического управления рисками банка; - устанавливать критерии, по которым оцениваются ИТ-риски; - согласовываться и утверждаться органами управления банка. 4.1.3. СУРИТ учреждается, реализуется, управляется, контролируется, пересматривается, поддерживается и совершенствуется в контексте деятельности банка и рисков, с которыми он сталкивается. Для постоянного улучшения результативности и эффективности СУРИТ необходимо: - определить процессы, необходимые для СУРИТ; - определить последовательность и взаимодействие процессов СУРИТ; - определить критерии и методы, необходимые для обеспечения результативности как при осуществлении, так и при управлении процессами СУРИТ; - обеспечить наличие ресурсов и информации, необходимых для поддержки процессов СУРИТ и их мониторинга; - осуществлять мониторинг и анализ процессов СУРИТ; - принимать меры, необходимые для достижения запланированных результатов и постоянного улучшения процессов СУРИТ. 4.2. Процесс создания системы управления рисками в сфере информационных технологий4.2.1. В рамках процесса создания СУРИТ определяется: 4.2.1.1. Область действия в рамках деятельности банка, организационной структуры банка и активов банка. 4.2.1.2. Порядок применения СУРИТ в рамках деятельности банка, организационной структуры банка и активов банка. 4.2.1.3. Порядок определения области рассмотрения, идентификации и оценки активов банка, включающий разработку процедур: - идентификации активов банка и владельцев данных активов; - идентификации ИТ-рисков для активов банка; - идентификации источников ИТ-рисков; - идентификации негативных воздействий на активы банка. 4.2.1.4. Подход к анализу ИТ-рисков, включающий: - определение методики оценки ИТ-рисков; - разработку критериев для принятия ИТ-рисков и установления приемлемых уровней ИТ-рисков. 4.2.1.5. Порядок анализа и оценки ИТ-рисков, включающий разработку процедур: - оценки негативных воздействий на банк, которые могут быть результатом реализации ИТ-рисков; - оценки вероятности реализации ИТ-рисков; - определения уровней ИТ-рисков; - определения необходимости обработки ИТ-рисков с использованием критериев принятия ИТ-рисков. 4.2.1.6. Порядок обработки ИТ-рисков, включающий процедуры: - применения соответствующих средств управления; - принятия ИТ-рисков при условии, что они четко соответствуют стратегии деятельности банка и критериям принятия ИТ-рисков, установленным банком; - отказа от ИТ-рисков; - передачи ИТ-рисков иным сторонам; - выбора целей и средств контроля для обработки ИТ-рисков. При данном выборе принимают во внимание критерии необходимости обработки ИТ-риска, а также требования нормативных правовых актов, организационной структуры банка, договорных отношений со сторонними организациями, целей и бизнес-процессов банка, влияющих на возникновение, повышение уровня или реализацию ИТ-рисков. Примечание. Выбор целей и средств контроля для обработки ИТ-рисков должен осуществляться с использованием СТБ П ISO/IEC 27001-2008 Информационные технологии. Технологии безопасности. Системы управления защитой информации. Требования. Цели и средства контроля, перечисленные в СТБ П ISO/IEC 27001-2008, выбираются как часть данного процесса в качестве подходящих для удовлетворения установленных требований. Цели и средства контроля, перечисленные в СТБ П ISO/IEC 27001-2008, не являются исчерпывающими. Могут выбираться дополнительные цели и средства контроля. 4.2.1.7. Порядок мониторинга ИТ-рисков, включающий процедуры: - мониторинга и пересмотра средств контроля; - регулярного пересмотра эффективности СУРИТ; - анализа пересмотра оценки ИТ-рисков в запланированные интервалы времени, а также остаточные ИТ-риски и установленные приемлемые уровни ИТ-риска; - проверки СУРИТ. 4.3. Процесс реализации системы управления рисками в сфере информационных технологий4.3.1. В рамках процесса реализации СУРИТ осуществляется: - выполнение процесса управления ИТ-рисками; - выполнение запланированных процедур обработки ИТ-рисков с целью достижения установленных целей контроля ИТ-рисков, включающих анализ стоимости контрмер, направленных на уменьшение уровней ИТ-рисков, распределение ролей и ответственности в процессах управления ИТ-рисками; - использование средств контроля. 4.4. Процесс контроля и анализа управления рисками в сфере информационных технологий4.4.1. В процессе контроля и анализа в рамках СУРИТ выполняются следующие процедуры: - регистрации всех действий и событий, оказывающих негативное влияние на работу СУРИТ; - анализа средств контроля ИТ-рисков, процедур и результатов обработки ИТ-рисков в целях обнаружения ошибок; - оценки мер и действий, предпринимаемых для недопущения реализации ИТ-рисков и снижения их уровней; - анализа изменений в нормативных правовых актах, организационной структуре банка, договорных отношениях со сторонними организациями, целях и бизнес-процессах банка, влияющих на возникновение, повышение уровня или реализацию ИТ-рисков; - анализа результатов функционирования СУРИТ на соответствие целям СУРИТ; - оценки необходимости внесения изменений в СУРИТ. 4.4.2. Процедуры процесса контроля и анализа должны выполняться регулярно через запланированные банком интервалы времени и при необходимости внепланово. 4.4.3. Внеплановое выполнение процедур процесса контроля и анализа рекомендуется выполнять в следующих случаях: - реализации ИТ-рисков; - изменений в СУРИТ; - изменений в нормативных правовых актах, организационной структуре банка, договорных отношениях со сторонними организациями, целях и бизнес-процессах банка, влияющих на возникновение, повышение уровня или реализацию ИТ-рисков. 4.4.4. Полученные данные в результате выполнения процедур контроля и анализа сохраняются и используются для оценки СУРИТ. 4.4.5. Процедуры процесса контроля и анализа и планы их выполнения должны документироваться и регулярно пересматриваться в целях улучшения. 4.4.6. В целях определения соответствия СУРИТ требованиям относящихся к ней нормативных правовых актов, внутренних норм и правил банка, а также оценки реализации процесса контроля и анализа необходимо проводить внутренний аудит СУРИТ. Внутренние аудиты СУРИТ проводят через запланированные интервалы с составлением отчета по результатам аудита. Процесс проведения внутреннего аудита СУРИТ должен документироваться. 4.5. Процесс поддержки эффективности и совершенствования системы управления рисками в сфере информационных технологий4.5.1. В рамках процесса поддержки эффективности и совершенствования СУРИТ осуществляется: 4.5.1.1. Внесение изменений в СУРИТ для устранения несоответствия СУРИТ нормативным правовым актам, организационной структуре банка, целям и бизнес-процессам банка, влияющим на возникновение, повышение уровня или реализацию ИТ-рисков. Действия по внесению изменений в СУРИТ: - выявление несоответствий; - определение причин несоответствий; - реализация необходимых корректирующих мер; - проверка принятых корректирующих мер. 4.5.1.2. Регулярное определение предупредительных мер для устранения причин возможных несоответствий СУРИТ требованиям нормативных правовых актов, организационной структуры банка, договорных отношений со сторонними организациями, целей и бизнес-процессов банка, влияющих на возникновение, повышение уровня или реализацию ИТ-рисков. Принятые предупредительные меры должны соответствовать степени значимости возможных ИТ-рисков. Действия по совершенствованию СУРИТ: - выявление недостатков в СУРИТ и возможных несоответствий; - определение необходимых улучшений в СУРИТ; - реализация улучшений в СУРИТ; - оценка результатов совершенствования СУРИТ. 4.5.1.3. Информирование всех заинтересованных сторон об изменениях в СУРИТ. 4.5.2. Процедуры поддержки в рабочем состоянии и совершенствования СУРИТ и результаты их выполнения документируются и регулярно пересматриваются в целях улучшения. 5. Осуществление процесса управления рисками в сфере информационных технологий5.1. Общие требованияПроцесс управления ИТ-рисками должен включать следующие процедуры: - определение области рассмотрения, идентификация и оценка активов банка; - анализ ИТ-рисков; - обработка ИТ-рисков; - мониторинг ИТ-рисков. ИТ-риски необходимо контролировать постоянно, периодически проводя их переоценку. Качественно выполненная и тщательно документированная первая оценка ИТ-рисков банка может существенно упростить последующую деятельность по управлению ИТ-рисками банка. 5.2. Общие требования к процедуре определения области рассмотрения, идентификации и оценки активов банка5.2.1. Определение области рассмотрения и идентификация активов банка5.2.1.1. Для определения области рассмотрения активов банка осуществляется выбор анализируемых объектов и уровня детализации, на котором они будут рассматриваться с учетом требуемых для анализа затрат времени и человеческих ресурсов. В целях сокращения затрат может рассматриваться совокупность только наиболее важных активов банка с учетом, что оценка будет ограниченной. При этом рекомендуется создать модель (описание) информационной инфраструктуры банка, позволяющую определить, какие объекты информационной инфраструктуры банка выбраны для анализа ИТ-рисков, а какие остались за его рамками. Модель информационной инфраструктуры банка следует поддерживать в актуальном состоянии, чтобы при изменении информационной инфраструктуры банка или более глубоком анализе ИТ-рисков можно было оценить, какие объекты нуждаются в рассмотрении. 5.2.1.2. Анализ информационной инфраструктуры банка предназначен для формирования и документирования активов банка, подверженных ИТ-риску (приложение А). При составлении перечня активов банка рекомендуется анализировать следующие уровни информационной инфраструктуры банка: - аппаратные средства, включающие оборудование (собственное и предоставленное поставщиками услуг), локальную вычислительную сеть (проводные и беспроводные участки), носители электронной информации; - программное обеспечение (приобретенное, используемое по лицензии и разработанное банком); - данные и информацию в электронной форме. 5.2.1.3. При проведении анализа информационной инфраструктуры банка рекомендуется выделять программные интерфейсы (приложения), которые обеспечивают взаимодействие внешних пользователей и персонала с информационной системой банка, в отдельную группу объектов информационной инфраструктуры банка в связи с их высокой значимостью и подверженностью угрозам. 5.2.1.4. Активы банка, включенные в определенную область рассмотрения, должны быть выявлены, и наоборот, любые активы банка, выведенные за область рассмотрения (независимо от причин), должны быть рассмотрены еще раз с тем, чтобы убедиться, что они не были пропущены. 5.2.2. Оценка активов банка5.2.2.1. Ценность активов банка определяется исходя из их важности для достижения целей банка и осуществления его деятельности, а также их стоимости. Оценка активов банка проводится по определенной в банке шкале и методике оценки активов банка. Пример. Примером шкалы оценок может быть определение уровня ценности как "низкий", "средний" или "высокий" или с большей степенью детализации "пренебрежимо малый", "низкий", "средний", "высокий", "очень высокий". 5.2.2.2. Методика оценки активов банка должна обеспечивать получение количественных и качественных оценок там, где получение количественных оценок невозможно. Используемая шкала оценок активов банка должна быть снабжена соответствующими пояснениями. 5.2.2.3. В ходе оценки активов банка рекомендуется выявлять зависимости одних активов банка от других, оказывающие влияние на оценку активов банка. Данные о зависимостях, существующих между отдельными активами банка, должны способствовать идентификации некоторых видов ИТ-рисков. 5.3. Общие требования к процедуре анализа рисков в сфере банковских информационных технологий5.3.1. Общие требования к анализу источников рисков в сфере банковских информационных технологий, идентификации и оценке эффективности существующих мер по снижению рисков в сфере банковских информационных технологийВ ходе выполнения настоящей процедуры должны быть решены следующие задачи: - выявлены и описаны все значимые угрозы активам банка и их источники - факторы ИТ-рисков, включая инциденты, приводящие к реализации ИТ-рисков (приложение В - Таблица 1); - определены уязвимости информационной инфраструктуры банка, увеличивающие вероятность реализации ИТ-рисков; - определены существующие меры по снижению ИТ-рисков и проведена оценка их эффективности; - составлен классификатор ИТ-рисков. Классификация ИТ-рисков должна быть единой, полной и непротиворечивой. 5.3.2. Общие требования к процедуре оценки рисков в сфере банковских информационных технологий5.3.2.1. Оценка ИТ-рисков проводиться с учетом направленности деятельности банка, его организационной структуры и информационной инфраструктуры. Примечание. Учитывая, что ИТ-риски банка являются категорией операционных рисков, рекомендуется рассматривать ИТ-риски с привязкой к бизнес-процессам банка, чтобы иметь возможность получения консолидированной оценки операционного риска каждого бизнес-процесса. 5.3.2.2. Величина ИТ-риска определяется ценностью подвергающихся риску активов банка, вероятностью реализации угроз, способных оказать негативное воздействие на деятельность банка, а также наличием действующих или планируемых мер, использование которых могло бы снизить уровень ИТ-риска. 5.3.2.3. Процедура оценки ИТ-рисков должна быть документирована и поддерживаться в актуальном состоянии. 5.3.2.4. Результатом оценки ИТ-рисков должно быть количественное и / или качественное измерение величины ИТ-рисков. 5.3.2.5. Для оценки ИТ-рисков рекомендуется использовать данные о частоте и последствиях инцидентов, приводящих к реализации ИТ-рисков. 5.3.2.6. Для оценки частоты инцидентов применяются следующие подходы: - использование имеющихся статистических данных; - получение частот происходящих инцидентов, приводящих к реализации ИТ-рисков, на основе аналитических или имитационных методов; - использование мнений экспертов. 5.3.2.7. Данные, используемые для оценки частоты инцидентов, должны соответствовать типу системы, оборудования или деятельности, подлежащих рассмотрению. 5.3.2.8. Анализ последствий используется для оценки вероятного воздействия на активы банка, которое вызывается инцидентом. 5.3.2.9. Анализ последствий должен: - основываться на выбранных инцидентах; - описывать любые последствия, являющиеся результатом инцидентов; - учитывать существующие меры, направленные на смягчение последствий, наряду со всеми соответствующими условиями, оказывающими влияние на последствия; - устанавливать критерии, используемые для полной идентификации последствий; - рассматривать и учитывать как немедленные последствия, так и те, которые могут проявиться по прошествии определенного периода времени, если это не противоречит области рассмотрения активов банка; - рассматривать и учитывать вторичные последствия, распространяющиеся на смежное оборудование и системы. 5.3.2.10. По результатам оценки ИТ-рисков в банке должен быть составлен перечень оцененных ИТ-рисков. 5.3.2.11. Используемый банком метод оценки ИТ-рисков должен быть повторяемым и прослеживаемым. 5.4. Общие требования к процедуре обработки рисков в сфере банковских информационных технологий5.4.1. После оценки ИТ-рисков должно быть принято решение относительно их обработки, выбора и реализации мер и средств по минимизации ИТ-риска: - уменьшение ИТ-риска. ИТ-риск считается неприемлемым и для его уменьшения выбираются и реализуются соответствующие меры и средства уменьшения ИТ-риска; - передача ИТ-риска. ИТ-риск считается неприемлемым и на определенных условиях передается сторонней организации; - принятие ИТ-риска. ИТ-риск считается осознанно допустимым, банк принимает возможные последствия в связи с тем, что стоимость контрмер значительно превосходит финансовые потери в случае реализации ИТ-риска либо банк не может найти подходящие меры и средства уменьшения ИТ-риска; - приемлемость ИТ-риска. После выбора мер по снижению уровня ИТ-риска в результате применения контрмер всегда будут иметь место остаточные ИТ-риски. Данные остаточные риски должны оцениваться банком как приемлемые или неприемлемые. Такая оценка должна быть осуществлена путем рассмотрения потенциальных неблагоприятных воздействий на деятельность банка, которые могут быть вызваны остаточными ИТ-рисками. Должно быть принято решение о допустимости ИТ-рисков в связи с имеющимися ограничениями либо необходимо предусмотреть дополнительные меры для снижения уровня неприемлемых ИТ-рисков; - отказ от ИТ-риска. Отказ от процессов, являющихся источниками ИТ-риска. 5.4.2. Должен быть составлен план управления ИТ-рисками, включающий в себя экономически оправданные механизмы управления и контрмеры, направленные на уменьшение ИТ-рисков. 5.4.3. ИТ-риски должны быть ранжированы и для каждого ИТ-риска должна быть определена соответствующая контрмера. 5.5. Мониторинг5.5.1 В процессе мониторинга осуществляется непрерывный мониторинг ИТ-рисков с целью быстрого выявления и исправления недостатков в процессах и процедурах по управлению ИТ-рисками. 5.5.2. Осуществляется накопление и анализ данных об ИТ-рисках в рамках общей системы управления операционными рисками банка, включая: - сбор информации о технических и технологических сбоях, инцидентах в информационной системе банка; - идентификацию ключевых индикаторов ИТ-риска; - систематизацию и анализ накопленных данных. 5.5.3. В процессе мониторинга отслеживаются ключевые индикаторы ИТ-риска и пороговые значения установленных критериев, позволяющие предсказать возможные потери от реализовавшихся ИТ-рисков. Ключевые индикаторы ИТ-риска должны быть ориентированы на выявление потенциальных источников ИТ-рисков. 5.5.4. Процедуры мониторинга ИТ-рисков должны принимать во внимание: - виды и сущность нарушений функционирования информационной системы; - вид, степень сложности осуществляемых и планируемых банком банковских операций; - состояние телекоммуникационных систем и информационных технологий в банке; - уровень квалификации работников банка, а также кадровые и организационные изменения в его структуре. 5.5.5. Результаты мониторинга ИТ-рисков должны регулярно предоставляться заинтересованным лицам банка. 6. Требования к документации системы управления рисками в сфере информационных технологий6.1. Документация СУРИТ должна включать: - политику применения и цели СУРИТ; - описание области действия СУРИТ; - описание процессов, процедур и средств контроля СУРИТ; - план обработки ИТ-рисков. 6.2. Должен осуществляться контроль документации СУРИТ, включающий: - согласование и утверждение документов СУРИТ; - поддержание в актуальном состоянии документации СУРИТ (регулярный пересмотр и обновление документов СУРИТ); - доведение документации СУРИТ до всех заинтересованных сторон банка; - определение порядка хранения, использования и уничтожения документации СУРИТ. 6.3. Заинтересованные лица банка должны регулярно получать отчеты как от подразделений, осуществляющих операции, так и от подразделения, осуществляющего функции внутреннего контроля за эффективностью СУРИТ. 6.4. Отчеты СУРИТ должны содержать: - оценку соответствия деятельности банка нормативным правовым актам и политике банка в области ИТ-рисков; - информацию о внешних и внутренних факторах и условиях, которые могут оказывать влияние на ИТ-риски банка и принятие решений в сфере управления ими; - данные о выявленных проблемных сферах и сферах потенциального возникновения проблем в управлении ИТ-рисками и предложения по их предотвращению (устранению). Приложение А ТИПОВОЙ ПЕРЕЧЕНЬ АКТИВОВ БАНКАa) Несетевые серверы: 1) несетевые серверы общего назначения; 2) прочие несетевые серверы. b) Сетевые серверы: 1) сетевые файл-серверы; 2) сетевые серверы БД; 3) сетевые серверы общего назначения; 4) прочие сетевые серверы. c) Несетевые рабочие станции: 1) портативные, не имеющие постоянного расположения; 2) стационарные рабочие станции с большим диапазоном возможностей (класса ПК); 3) стационарные рабочие станции с ограниченными возможностями (класса Х-терминала); 4) прочие стационарные рабочие станции. d) Сетевые рабочие станции: 1) портативные, не имеющие постоянного расположения; 2) стационарные рабочие станции с большим диапазоном возможностей (класса ПК); 3) стационарные рабочие станции с ограниченными возможностями (класса Х-терминала); 4) прочие стационарные рабочие станции. e) Локальные запоминающие устройства: 1) накопители на жестких дисках; 2) накопители на магнитной ленте; 3) накопители на оптических дисках; 4) прочие запоминающие устройства. f) Сетевые запоминающие устройства: 1) накопители на жестких дисках; 2) накопители на магнитной ленте; 3) накопители на оптических дисках; 4) прочие сетевые запоминающие устройства. g) Локальные печатающие устройства: 1) принтер. h) Сетевые печатающие устройства печати: 1) сервер печати; 2) сетевой принтер; 3) принтер; 4) другие сетевые устройства печати. i) Сетевые распределительные компоненты: 1) мост; 2) коммутатор; 3) маршрутизатор; 4) повторитель; 5) модем; 6) мультиплексор; 7) узел коммутации ATM; 8) узел коммутации X.25; 9) оконечный сетевой элемент; 10) спутниковая станция связи; 11) станция радиосвязи; 12) прочие сетевые распределительные компоненты. j) Сетевые шлюзы: 1) шлюз трансляции сообщений; 2) шлюз трансляции адресов; 3) шлюз безопасности; 4) управляющий шлюз; 5) шлюз преобразования протоколов; 6) прочие шлюзы. k) Управление сетью и управляющие серверы: 1) системы, обеспечивающие протоколирование сообщений и управление сообщениями; 2) сетевые серверы аутентификации; 3) сетевой центр управления; 4) другие средства сетевого управления и управляющие серверы. l) Сетевые интерфейсы: 1) постоянное соединение: 2) синхронное; 3) асинхронное. 4) коммутируемое соединение: 5) PSTN; 6) ISDN; 7) радиосоединение; 8) прочие типы соединений. m) Сетевые сервисы: 1) объединение локальных сетей; 2) канал с невысокой пропускной способностью; 3) канал с пропускной способностью, соответствующий предъявляемым требованиям; 4) маршрутизация сообщений; 5) сетевое хранилище; n) Сервисы общего назначения: 1) Internet; 2) другие сети общего назначения; 3) телефония; 4) прочие сетевые сервисы. o) Сервисы конечного пользователя: 1) электронная почта; 2) прикладной обмен сообщениями; 3) обмен электронными документами; 4) передача файлов; 5) сеансовая обработка; 6) пакетная обработка; 7) голос; 8) видео; 9) прочие сервисы конечного пользователя. p) Коммуникационные протоколы: 1) Х.25; 2) SDLS/HDLS; 3) IP; 4) CLNP (Connectionless Network Protocol); 5) ATM; 6) Frame Relay; 7) TDM; 8) протоколы спутникового обмена информацией; 9) Ethernet; 10) Token Ring; 11) прочие протоколы. q) Носители данных (Media): 1) неэлектронные носители: 2) устройства ввода; 3) устройства вывода; 4) важные записи; 5) прочие виды носителей; 6) электронные носители; 7) магнитные ленты; 8) диски; 9) прочие виды носителей. r) Прикладные и общесистемные программные средства. s) Программно-технические компоненты автоматизированных систем. t) Помещения, здания, сооружения ИТ. u) Информационные активы, в том числе различные виды банковской информации (платежной, финансово-аналитической, служебной, управляющей и др.) на следующих фазах их жизненного цикла: генерация (создание), обработка, хранение, передача, уничтожение. v) Банковские процессы (банковские платежные технологические процессы, банковские информационные технологические процессы, процессы жизненного цикла автоматизированных банковских систем и др.); w) Банковские продукты и услуги, предоставляемые клиентам. Приложение В РЕКОМЕНДУЕМЫЙ ПЕРЕЧЕНЬ И ОПИСАНИЕ ТИПОВЫХ ИСТОЧНИКОВ (ПРИЧИН) РИСКОВ В СФЕРЕ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙТаблица 1 ----------------------------+----------------------------------------- ¦Источник (причины) ИТ-риска¦ Описание ¦ +---------------------------+---------------------------------------------+ ¦Пожар ¦Неконтролируемый процесс горения, ¦ ¦ ¦сопровождающийся уничтожением материальных ¦ ¦ ¦ценностей и создающий опасность для жизни ¦ ¦ ¦людей. Возможные причины: поджог, ¦ ¦ ¦самовозгорание, природное явление ¦ +---------------------------+---------------------------------------------+ ¦Природные катастрофы, ¦Природные явления разрушительного характера ¦ ¦чрезвычайные ситуации и ¦(наводнения, землетрясения, извержения ¦ ¦стихийные бедствия ¦вулканов, ураганы, смерчи, тайфуны, цунами и ¦ ¦ ¦т.д.) ¦ +---------------------------+---------------------------------------------+ ¦Техногенные катастрофы ¦Разрушительный процесс, развивающийся в ¦ ¦ ¦результате нарушения нормального ¦ ¦ ¦взаимодействия технологических объектов с ¦ ¦ ¦компонентами окружающей природной среды, ¦ ¦ ¦приводящий к гибели людей, разрушению и ¦ ¦ ¦повреждению объектов экономики и компонентов ¦ ¦ ¦окружающей природной среды ¦ +---------------------------+---------------------------------------------+ ¦Нарушение ¦Негативное изменение климатических условий в ¦ ¦внутриклиматических условий¦помещениях, где расположены технические ¦ ¦ ¦средства и / или находится персонал: ¦ ¦ ¦значительные изменения температуры и ¦ ¦ ¦влажности, повышение содержания углекислого ¦ ¦ ¦газа, пыли и т.п. Возможные последствия: ¦ ¦ ¦сбои, отказы и аварии технических средств, ¦ ¦ ¦снижение работоспособности и нанесение ущерба¦ ¦ ¦здоровью персонала, нарушение непрерывности ¦ ¦ ¦выполнения процессов, снижение качества ¦ ¦ ¦информационных услуг (сервисов) ¦ +---------------------------+---------------------------------------------+ ¦Нарушение электропитания ¦Нарушение или снижение качества ¦ ¦ ¦электропитания. Возможные причины: ¦ ¦ ¦техногенная катастрофа, стихийное бедствие, ¦ ¦ ¦природное явление, террористический акт, ¦ ¦ ¦пожар и т.п. Возможные последствия: сбои и ¦ ¦ ¦отказы технических средств ¦ +---------------------------+---------------------------------------------+ ¦Нарушение функционирования ¦Сбои и аварии в системах водоснабжения, ¦ ¦систем жизнеобеспечения ¦канализации, отопления ¦ +---------------------------+---------------------------------------------+ ¦Нарушения общественного ¦Нарушения общественного порядка (например, во¦ ¦порядка, общественная ¦время уличных фестивалей, концертов, ¦ ¦нестабильность ¦спортивных мероприятий, производственных ¦ ¦ ¦собраний, демонстраций и т.д.), гражданские ¦ ¦ ¦беспорядки, социальные волнения, политическая¦ ¦ ¦нестабильность ¦ +---------------------------+---------------------------------------------+ ¦Террористические действия ¦Злоумышленные действия в отношении активов ¦ ¦ ¦банка, классифицируемые согласно ¦ ¦ ¦законодательству Республики Беларусь как ¦ ¦ ¦террористические акты, в том числе захват или¦ ¦ ¦попытка захвата заложников на территории ¦ ¦ ¦банка, обнаружение взрывных устройств, ¦ ¦ ¦получение сообщения об угрозе взрыва объектов¦ ¦ ¦банка ¦ +---------------------------+---------------------------------------------+ ¦Шпионаж ¦Выведывание, собирание или похищение ¦ ¦ ¦сведений, составляющих государственную или ¦ ¦ ¦банковскую тайну ¦ +---------------------------+---------------------------------------------+ ¦Саботаж ¦Сознательное неисполнение работниками ¦ ¦ ¦определенных обязанностей или небрежное их ¦ ¦ ¦исполнение ¦ +---------------------------+---------------------------------------------+ ¦Халатность ¦Невыполнение или ненадлежащее выполнение ¦ ¦ ¦персоналом своих обязанностей без злого ¦ ¦ ¦умысла ¦ +---------------------------+---------------------------------------------+ ¦Вредительство ¦Злоумышленное нанесение персоналом вреда ¦ ¦ ¦активам банка. В первую очередь вредительство¦ ¦ ¦может быть направлено на технические и ¦ ¦ ¦программные средства, а также на ¦ ¦ ¦информационные активы. Возможные последствия:¦ ¦ ¦ущерб, вызванный нарушением свойств активов ¦ ¦ ¦банка, включая их разрушение и уничтожение ¦ +---------------------------+---------------------------------------------+ ¦Ошибка персонала ¦Любые несоответствующие установленному ¦ ¦ ¦регламенту или сложившимся практикам действия¦ ¦ ¦персонала, совершаемые без злого умысла. ¦ ¦ ¦Возможные причины: недостаточно четко ¦ ¦ ¦определены обязанности, халатность, ¦ ¦ ¦недостаточное обучение или квалификация ¦ ¦ ¦персонала. Возникновению ошибок способствуют ¦ ¦ ¦отсутствие дисциплинарного процесса и ¦ ¦ ¦документирования процессов, предоставление ¦ ¦ ¦избыточных полномочий, использование ¦ ¦ ¦злоумышленником методов социального ¦ ¦ ¦инжиниринга к персоналу. Возможные ¦ ¦ ¦последствия: нарушение конфиденциальности ¦ ¦ ¦целостности, утрата активов банка, нарушение ¦ ¦ ¦непрерывности выполнения процессов, снижение ¦ ¦ ¦качества информационных услуг (сервисов), ¦ ¦ ¦сбои и отказы технических и программных ¦ ¦ ¦средств ¦ +---------------------------+---------------------------------------------+ ¦Хищение ¦Совершенное с корыстной целью противоправное ¦ ¦ ¦безвозмездное изъятие и / или обращение ¦ ¦ ¦имущества банка в пользу злоумышленника или ¦ ¦ ¦других лиц, причинившие ущерб собственнику ¦ ¦ ¦или иному владельцу этого имущества. ¦ ¦ ¦Возможные последствия: нарушение свойств ¦ ¦ ¦активов банка, их утрата, нарушение ¦ ¦ ¦непрерывности выполнения процессов, снижение ¦ ¦ ¦качества информационных услуг (сервисов), ¦ ¦ ¦прямой (непосредственный) ущерб деятельности ¦ ¦ ¦банка ¦ +---------------------------+---------------------------------------------+ ¦Выполнение вредоносных ¦Внедрение в систему и выполнение вредоносных ¦ ¦программ ¦программ: программных закладок, "троянских ¦ ¦ ¦коней", программных "вирусов" и "червей". ¦ ¦ ¦Возможные причины: беспечность, халатность, ¦ ¦ ¦низкая квалификация персонала ¦ ¦ ¦(пользователей), наличие уязвимостей ¦ ¦ ¦используемых программных средств. Возможные ¦ ¦ ¦последствия: несанкционированный доступ к ¦ ¦ ¦активам банка, нарушение их свойств, сбои, ¦ ¦ ¦отказы и аварии программных средств, ¦ ¦ ¦нарушение непрерывности выполнения процессов,¦ ¦ ¦снижение качества информационных услуг ¦ ¦ ¦(сервисов) ¦ +---------------------------+---------------------------------------------+ ¦Действия злонамеренного ¦Злоумышленные действия со стороны субъекта из¦ ¦неавторизованного субъекта ¦внешней по отношению к области обеспечения ¦ ¦ ¦среды информационной безопасности. Возможные ¦ ¦ ¦последствия: разрушение и уничтожение ¦ ¦ ¦технических и программных средств, внедрение ¦ ¦ ¦и выполнение вредоносных программ, нарушение ¦ ¦ ¦свойств, утрата активов банка ¦ +---------------------------+---------------------------------------------+ ¦Использование активов банка¦Умышленное использование активов банка в ¦ ¦не по назначению ¦целях, отличных от целей банка. Возможные ¦ ¦ ¦причины: отсутствие контроля персонала. ¦ ¦ ¦Возможные последствия: нехватка ¦ ¦ ¦вычислительных, сетевых или людских ресурсов,¦ ¦ ¦прямой ущерб банку ¦ +---------------------------+---------------------------------------------+ ¦Ложное сообщение об угрозе ¦Ложное сообщение об угрозе, такой как: пожар,¦ ¦ ¦террористический акт, техногенная катастрофа,¦ ¦ ¦гражданские беспорядки и т.д. Возможные ¦ ¦ ¦последствия: нарушение свойств активов банка,¦ ¦ ¦их утрата, нарушение непрерывности выполнения¦ ¦ ¦процессов, снижение качества информационных ¦ ¦ ¦услуг (сервисов) ¦ +---------------------------+---------------------------------------------+ ¦Неконтролируемое ¦Неумышленное уничтожение активов банка. ¦ ¦уничтожение актива банка ¦Возможные причины: сбои оборудования, ¦ ¦ ¦природные факторы и техногенные катастрофы. ¦ ¦ ¦Возможные последствия: прямой ущерб банку ¦ +---------------------------+---------------------------------------------+ ¦Неконтролируемая ¦Неумышленное изменение активов банка. ¦ ¦модификация актива банка ¦Возможные причины: сбои оборудования, ¦ ¦ ¦природные факторы и техногенные катастрофы. ¦ ¦ ¦Возможные последствия: нарушение ¦ ¦ ¦непрерывности выполнения процессов, прямой ¦ ¦ ¦ущерб банку ¦ +---------------------------+---------------------------------------------+ ¦Несанкционированный ¦Несанкционированный логический доступ ¦ ¦логический доступ ¦неавторизованных субъектов к активам банка. ¦ ¦ ¦Возможные причины: компрометация пароля, ¦ ¦ ¦предоставление пользователям / ¦ ¦ ¦администраторам избыточных прав доступа, ¦ ¦ ¦недостатки (отсутствие) механизмов ¦ ¦ ¦аутентификации пользователей и ¦ ¦ ¦администраторов, ошибки администрирования, ¦ ¦ ¦оставление без присмотра программно- ¦ ¦ ¦технических средств. Одним из путей получения¦ ¦ ¦несанкционированного доступа к системе ¦ ¦ ¦является внедрение злоумышленником ¦ ¦ ¦вредоносных программ с целью хищения пароля ¦ ¦ ¦для входа в систему или получения прав ¦ ¦ ¦доступа. Возможные последствия: нарушение ¦ ¦ ¦свойств активов банка, сбои, отказы и аварии ¦ ¦ ¦программных и технических средств, нарушение ¦ ¦ ¦непрерывности процессов и / или снижение ¦ ¦ ¦качества информационных услуг (сервисов) ¦ +---------------------------+---------------------------------------------+ ¦Несанкционированный ¦Физический несанкционированный доступ ¦ ¦физический доступ ¦неавторизованных лиц в контролируемую зону ¦ ¦ ¦расположения технических средств и / или ¦ ¦ ¦активов банка. Возможные причины: может ¦ ¦ ¦осуществляться путем обхода средств контроля ¦ ¦ ¦физического доступа или использования ¦ ¦ ¦утраченных / похищенных средств обеспечения ¦ ¦ ¦доступа. Возможные последствия: разрушение и ¦ ¦ ¦уничтожение технических и программных ¦ ¦ ¦средств, нарушение конфиденциальности, ¦ ¦ ¦целостности, доступности активов банка, ¦ ¦ ¦нарушение непрерывности процессов и / или ¦ ¦ ¦снижение качества информационных услуг ¦ ¦ ¦(сервисов) ¦ +---------------------------+---------------------------------------------+ ¦Превышение допустимой ¦Неумышленное превышение допустимой нагрузки ¦ ¦нагрузки ¦на вычислительные, сетевые ресурсы системы. ¦ ¦ ¦Выполнение работниками объема операций ¦ ¦ ¦большего, чем это допускается ¦ ¦ ¦психофизиологическими нормами. Возможные ¦ ¦ ¦причины: малая вычислительная и / или ¦ ¦ ¦пропускная мощность, неправильная организация¦ ¦ ¦бизнес-процессов. Возможные последствия: сбои¦ ¦ ¦и отказы технических средств, нарушение ¦ ¦ ¦доступности технических средств, ошибки ¦ ¦ ¦персонала, нанесение вреда здоровью ¦ +---------------------------+---------------------------------------------+ ¦Разрушение / повреждение, ¦Физическое разрушение / повреждение ¦ ¦аварии технических средств ¦технических средства (канала связи) или ¦ ¦и каналов связи ¦определенное сочетание отказов его элементов,¦ ¦ ¦приводящее к нарушениям функционирования, ¦ ¦ ¦сопряженным с особо значительными ¦ ¦ ¦техническими потерями, делающие невозможным ¦ ¦ ¦функционирование технического средства ¦ ¦ ¦(канала связи) в целом в течение ¦ ¦ ¦значительного периода времени. Возможные ¦ ¦ ¦причины: действие внешних (физический ¦ ¦ ¦несанкционированный доступ, вредительство, ¦ ¦ ¦террористический акт, техногенная катастрофа,¦ ¦ ¦стихийное бедствие, природное явление, ¦ ¦ ¦гражданские беспорядки) и / или внутренних ¦ ¦ ¦(значительные отказы элементов технических ¦ ¦ ¦средств) факторов. Возможные последствия: ¦ ¦ ¦нарушение свойств активов банка, их утрата, ¦ ¦ ¦нарушение непрерывности выполнения процессов,¦ ¦ ¦снижение качества информационных услуг ¦ ¦ ¦(сервисов) ¦ +---------------------------+---------------------------------------------+ ¦Сбои и отказы программных ¦Нарушение работоспособности программных ¦ ¦средств ¦средств. Возможные причины: недопустимое ¦ ¦ ¦изменение параметров или свойств программных ¦ ¦ ¦средств под влиянием внутренних процессов ¦ ¦ ¦(ошибок) и / или внешних воздействий со ¦ ¦ ¦стороны вредоносных программ, оператора и ¦ ¦ ¦технических средств. Возможные последствия: ¦ ¦ ¦нарушение свойств активов банка, нарушение ¦ ¦ ¦непрерывности выполнения процессов, снижение ¦ ¦ ¦качества информационных услуг (сервисов) ¦ +---------------------------+---------------------------------------------+ ¦Сбои и отказы технических ¦Прерывание работоспособности технических ¦ ¦средств и каналов связи ¦средств или невозможность выполнения ими ¦ ¦ ¦своих функций в заранее установленных ¦ ¦ ¦границах. Возможные причины: недопустимое ¦ ¦ ¦изменение характеристик технических средств ¦ ¦ ¦под влиянием внутренних процессов, сложность ¦ ¦ ¦технических средств, нехватка персонала, ¦ ¦ ¦недостаточное техническое обслуживание. ¦ ¦ ¦Возможные последствия: сбои, отказы ¦ ¦ ¦программных средств, аварии систем, нарушение¦ ¦ ¦доступности активов банка, нарушение ¦ ¦ ¦непрерывности выполнения процессов, снижение ¦ ¦ ¦качества информационных услуг (сервисов) ¦ +---------------------------+---------------------------------------------+ ¦Запугивание и шантаж ¦Умышленное психологическое воздействие на ¦ ¦ ¦персонал, заключающееся в угрозе ¦ ¦ ¦разоблачения, физической расправы или ¦ ¦ ¦расправы с близкими. Возможные последствия: ¦ ¦ ¦несанкционированные злоумышленные действия ¦ ¦ ¦персонала ¦ +---------------------------+---------------------------------------------+ ¦Социальный инжиниринг ¦Умышленные действия сторонних лиц, ¦ ¦ ¦преследующие мошеннические цели, реализуемые ¦ ¦ ¦посредством обмана, введения в заблуждение ¦ ¦ ¦работников банка. Возможные последствия: ¦ ¦ ¦ошибки работников, нарушение свойств, утрата ¦ ¦ ¦активов банка, нарушение непрерывности ¦ ¦ ¦процессов, снижение качества информационных ¦ ¦ ¦услуг (сервисов) ¦ +---------------------------+---------------------------------------------+ ¦Несоответствие внутренних ¦Несоответствие деятельности может привести к ¦ ¦документов действующему ¦административным и уголовным санкциям со ¦ ¦законодательству ¦стороны судебных, надзорных и регулирующих ¦ ¦ ¦органов в отношении должностных лиц банка, ¦ ¦ ¦вызвать остановку отдельных видов ¦ ¦ ¦деятельности банка ¦ +---------------------------+---------------------------------------------+ ¦Изменчивость и ¦Непостоянство, различия и коллизии в ¦ ¦несогласованность ¦содержании требований и / или порядке их ¦ ¦требований надзорных и ¦выполнения способны дезорганизовать ¦ ¦регулирующих органов, ¦деятельность подразделения или его отдельных ¦ ¦вышестоящих инстанций ¦служб, снизить ее эффективность и качество, а¦ ¦ ¦при определенных обстоятельствах затруднить ¦ ¦ ¦ее осуществление. Способствует "размыванию" ¦ ¦ ¦или пересечению зон ответственности ¦ ¦ ¦исполнителей и служб, манипуляции со стороны ¦ ¦ ¦ответственных лиц и служб своими правами и ¦ ¦ ¦обязанностями в ущерб общей деятельности. ¦ ¦ ¦Приводит к перераспределению ресурсов в ¦ ¦ ¦пользу той деятельности (зачастую не ¦ ¦ ¦основной), за несоблюдение требований к ¦ ¦ ¦которой наказание наиболее ощутимое для банка¦ +---------------------------+---------------------------------------------+ ¦Угроза здоровью персонала ¦Угроза здоровью персонала в результате ¦ ¦ ¦радиационных, биологических, механических, ¦ ¦ ¦термических, химических и иных воздействий со¦ ¦ ¦стороны окружающей среды, объектов инженерной¦ ¦ ¦инфраструктуры, технических средств, пищевые ¦ ¦ ¦отравления, производственный травматизм. ¦ ¦ ¦Возможные причины: техногенные или природные ¦ ¦ ¦катастрофы, аварии объектов инженерной ¦ ¦ ¦инфраструктуры, неисправность оборудования, ¦ ¦ ¦несоблюдение правил техники безопасности и ¦ ¦ ¦охраны труда, санитарных правил и т.д. ¦ ¦ ¦Возможные последствия: нехватка персонала, ¦ ¦ ¦денежные выплаты, судебные разбирательства ¦ +---------------------------+---------------------------------------------+ ¦Зависимость от ¦Зависимость от партнеров заставляет банк ¦ ¦партнеров / клиентов ¦полагаться на их информационную безопасность,¦ ¦ ¦банк должен быть уверен, что партнер сможет ¦ ¦ ¦обеспечить должный уровень безопасности ¦ +---------------------------+---------------------------------------------+ ¦Ошибки, допущенные при ¦Неточности и неопределенности в договоре с ¦ ¦заключении контрактов с ¦провайдером внешних услуг, которые могут ¦ ¦провайдерами внешних услуг ¦создавать проблемы в работе заказчика ¦ +---------------------------+---------------------------------------------+ ¦Нарушения договорных ¦Невыполнение со стороны третьих лиц взятых на¦ ¦обязательств сторонними ¦себя обязательств перед подразделением по ¦ ¦(третьими) лицами ¦качеству, составу, содержанию и / или порядку¦ ¦ ¦оказания услуг, поставки продукции и т.д. ¦ ¦ ¦Например, невыполнение требований банка ¦ ¦ ¦разработчиками или поставщиками программно- ¦ ¦ ¦технических средств и услуг, или внешними ¦ ¦ ¦пользователями ¦ +---------------------------+---------------------------------------------+ ¦Нарушения персоналом ¦Несоблюдение персоналом положений политики и ¦ ¦организационных мер по ¦регламентов по информационной безопасности ¦ ¦обеспечению информационной ¦ ¦ ¦безопасности ¦ ¦ +---------------------------+---------------------------------------------+ ¦Ошибки кадровой работы ¦Ошибки кадровой работы заключаются в приеме ¦ ¦ ¦на работу неблагонадежных и / или ¦ ¦ ¦неквалифицированных сотрудников, увольнении ¦ ¦ ¦сотрудников без проведения сопутствующих ¦ ¦ ¦процедур по обеспечению информационной ¦ ¦ ¦безопасности, непроведении или нерегулярном ¦ ¦ ¦проведении обучения и проверок персонала ¦ +---------------------------+---------------------------------------------+ ¦Ошибки в обеспечении ¦Ошибки в обеспечении безопасности при ¦ ¦безопасности информационных¦разработке, эксплуатации, сопровождении и ¦ ¦систем на стадиях ¦выводе из эксплуатации информационных систем ¦ ¦жизненного цикла ¦ ¦ +---------------------------+---------------------------------------------+ ¦Разработка и использование ¦Некачественное выполнение документированного ¦ ¦некачественной документации¦описания технологических процессов обработки,¦ ¦ ¦хранения, передачи данных, руководств для ¦ ¦ ¦персонала, участвующего в этих ¦ ¦ ¦технологических процессах, а также описания ¦ ¦ ¦средств обеспечения информационной ¦ ¦ ¦безопасности и руководств по их использованию¦ +---------------------------+---------------------------------------------+ ¦Использование программных ¦Использование в информационной системе банка ¦ ¦средств и информации без ¦непроверенных данных или нелицензионного ¦ ¦гарантии источника ¦программного обеспечения, которые поступили ¦ ¦ ¦из внешних источников ¦ +---------------------------+---------------------------------------------+ ¦Нарушения функциональности ¦Случайное или намеренное неправильное ¦ ¦криптографической системы ¦управление криптографическими ключами, ¦ ¦ ¦криптографическими протоколами и алгоритмами,¦ ¦ ¦программно-аппаратными средствами систем ¦ ¦ ¦криптографической защиты информации, ¦ ¦ ¦приводящее к потере конфиденциальности, ¦ ¦ ¦целостности и информации, нарушению ¦ ¦ ¦неотказуемости приема-передачи информации, ¦ ¦ ¦блокировке функционирования платежных и ¦ ¦ ¦информационных систем банка ¦ +---------------------------+---------------------------------------------+ ¦Нарушения функциональности ¦Нарушение конфиденциальности и целостности ¦ ¦архивной системы ¦архивных данных и / или непредоставление ¦ ¦ ¦услуг архивной системой вследствие случайных ¦ ¦ ¦ошибок пользователей или неправильного ¦ ¦ ¦управления архивной системой, а также ¦ ¦ ¦вследствие физических воздействий на ¦ ¦ ¦компоненты архивной системы ¦ ¦---------------------------+---------------------------------------------- |
Новости законодательства
Новости Спецпроекта "Тюрьма"
Новости сайта
Новости Беларуси
Полезные ресурсы
Счетчики
|