№ 716-П от 08.04.2020 Положение Банка России «О требованиях к системе управления операционным риском в кредитной организации и банковской группе»
Об управлении риском информационных систем (часть 3)
Вопрос
1. Могут ли быть возложены на одного работника кредитной организации (головной кредитной организации банковской группы) (далее – кредитная организация) функции куратора службы информатизации, назначаемого в соответствии со Стандартом Банка России ИББС-1.2—2014 и функции должностного лица, ответственного за информационные системы, назначаемого в соответствии с Положением Банка России от 8 апреля 2020 года
2. Правильно ли понимание, что под критериями оценки качества данных, указанными в подпунктах 8.7.5 и 8.7.6 пункта 8.7 Положения
оценку уровня обеспечения требований к качеству данных на уровне отдельных показателей качества данных (качественные данные, если предельно допустимые значения не превышены, некачественные данные, если предельно допустимые значения превышены);
критерии агрегированной оценки качества данных на уровне процессов и систем (способы агрегирования результатов мониторинга отдельных показателей качества данных на уровень процесса, системы или Банка в целом);
шкалу интерпретации результатов мониторинга показателей качества данных (например, трехуровневая (зеленая зона, желтая зона, красная зона)).
3. Правильно ли понимание, что План ОНиВД, который кредитная организация должна разрабатывать и утверждать в соответствии с подпунктом 4.1.5 пункта 4.1 Положения
Ответ
1. Подтверждаем, что функции куратора службы информатизации, назначаемого в соответствии со Стандартом ИББС-1.2—2014, и функции должностного лица, ответственного за обеспечение функционирования информационных систем, назначаемого в соответствии с пунктом 8.3 Положения
2. В соответствии с подпунктом 8.7.5 пункта 8.7 Положения
При этом сообщаем, что приведенные в вопросе критерии могут быть приняты кредитной организацией.
3. В соответствии с подпунктом 4.1.5 пункта 4.1 Положения
В целях управления риском информационных систем кредитная организация во внутренних документах определяет политику информационных систем как взаимосвязанной совокупности технических и программных средств, других объектов информационной инфраструктуры, содержащейся в базах данных информации и обеспечивающих ее обработку технологий в рамках реализации мероприятий поддержки и обеспечения непрерывности функционирования процессов кредитной организации и обеспечивает ее соблюдение с учетом требований пункта 8.2 Положения №
В соответствии с абзацем пятым пункта 8.3 Положения №
Планы непрерывности и (или) восстановления критически важных процессов и функционирования ИС должны быть учтены кредитной организацией в плане действий, направленном на обеспечение непрерывности деятельности и (или) восстановление деятельности кредитной организации в случае возникновения нестандартных и чрезвычайных ситуаций, предусматривающем использование дублирующих (резервных) автоматизированных систем и (или) устройств, а также восстановление критически важных для деятельности кредитной организации систем, поддерживаемых внешним поставщиком (провайдером) услуг, разрабатываемом в соответствии с пунктом 3.7 Положения