№ 716-П от 08.04.2020 Положение Банка России «О требованиях к системе управления операционным риском в кредитной организации и банковской группе»
Об управлении риском информационной безопасности (часть 2)
Вопрос
1. Какие квалификационные и иные требования должны быть предъявлены к должностному лицу, ответственному за функционирование системы обеспечения информационной безопасности, который должен быть назначен в соответствии с Положением Банка России от 8 апреля 2020 года
2. Могут ли быть возложены на одного работника кредитной организации (головной кредитной организация банковской группы) (далее – кредитная организация) функции куратора службы информационной безопасности, назначаемого в соответствии со Стандартом Банка России ИББС-1.2—2014 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0—2014» и функции должностного лица, ответственного за функционирование системы обеспечения информационной безопасности, назначаемого в соответствии с Положением
3. В соответствии с требованиями Положения
4. Какие должностные обязанности должны быт возложены на должностное лицо, ответственное за функционирование системы обеспечения информационной безопасности, назначаемое в соответствии с Положением
5. Может ли таким должностным лицом, ответственным за функционирование системы обеспечения информационной безопасности, быть представитель Службы управления рисками при условии прямого подчинения лицу, осуществляющему функции единоличного исполнительного органа кредитной организации?
Ответ
1. В соответствии с абзацем десятым пункта 7.7 Положения
Таким образом, кредитная организация самостоятельно определяет требования к квалификации должностного лица, ответственного за функционирование системы обеспечения информационной безопасности, с учетом того, что данное должностное лицо должно обладать достаточными знаниями, компетенцией, полномочиями в целях обеспечения его независимости в части принятия решений по вопросам обеспечения информационной безопасности.
2. В соответствии с абзацем пятым пункта 7.7 Положения
Стандарты Банка России СТО БР ИББС-1.0—2014 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» и СТО БР ИББС-1.2—2014 «Обеспечение информационной безопасности организации банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0—2014» (далее при совместном упоминании – стандарты Банка России) содержат положения относительно назначения куратора службы информационной безопасности из числа руководства при условии, что служба информационной безопасности и служба информатизации (автоматизации) не должны иметь общего куратора.
На основании вышеизложенного не усматриваем противоречия между функциями куратора службы информационной безопасности и должностного лица, ответственного за функционирование системы обеспечения информационной безопасности, и полагаем возможным совмещение данных функций одним лицом при условии одновременного соблюдения требований Положения
3. Положение
Одновременно, обращаем внимание, что стандарты Банка России СТО БР ИББС-1.0—2014 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» и СТО БР ИББС-1.2—2014 «Обеспечение информационной безопасности организации банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0—2014» содержат положения относительно назначения куратора службы информационной безопасности из числа руководства при условии, что служба информационной безопасности и служба информатизации (автоматизации) не должны иметь общего куратора.
4. Кредитная организация, исходя из характера и масштаба деятельности, самостоятельно определяет во внутренних документах функции должностного лица, ответственного за функционирование системы обеспечения информационной безопасности (с прямым подчинением лицу, осуществляющему функции единоличного исполнительного органа кредитной организации, или его заместителю) и не участвующего в совершении операций, сделок, организации бухгалтерского и управленческого учета, обеспечении функционирования информационных систем.
5. В соответствии с подпунктом 8.2.1 пункта 8.2 Стандарта Банка России СТО
Функции, которые должны быть возложены на службу информационной безопасности, указаны в пункте 7.9 Положения