Разработка политики информационной безопасности в кредитных учреждениях

Размещено на http://www.allbest.ru

Размещено на http://www.allbest.ru

Разработка политики информационной безопасности

в кредитных учреждениях

Содержание

информационная безопасность кредитное учреждение

Введение

Глава 1. Подготовительные этапы в разработке политики ИБ

1.1 Комплексный подход

1.2 Категорирование

1.3 Управление рисками

1.4 Рекомендации по осуществлению контроля со стороны органов управления за организацией деятельности кредитной организации

1.5 Система органов внутреннего контроля

Глава 2. Создание политики

2.1 Рекомендации по созданию политики ИБ

2.2 Разработка корпоративной политики

2.3 Разработка частных политик

2.4 Разработка должностных инструкций и положений

Глава 3. Ввод в эксплуатацию

3.1 Ознакомление сотрудников

3.2 Создание документов 4-го уровня

3.3 Аудит

3.4 Обязанности и роль внешних аудиторов

3.5 Возможные технические решения

Заключение

Список использованной литературы

Введение

Несмотря на тот факт, что мы привыкли ассоциировать информационную безопасность (ИБ) с вирусными и хакерскими атаками, защитой периметра сети, криптографией и другими задачами, решаемыми преимущественно техническими методами, основой ИБ является управление безопасностью организации.

Банковская система (БС) Российской Федерации (РФ) включает в себя Банк России, кредитные организации, а также филиалы и представительства иностранных банков. Развитие и укрепление БС РФ, а также обеспечение эффективного и бесперебойного функционирования платежной системы РФ являются целями деятельности Банка России. Важнейшим условием реализации этих целей является обеспечение необходимого и достаточного уровня ИБ организаций БС РФ, их активов (в т.ч. информационных), который во многом определяется уровнем ИБ банковских технологических процессов (платежных, информационных и пр.), автоматизированных банковских систем, эксплуатирующихся организациями БС РФ.

Особенности БС РФ таковы, что негативные последствия сбоев в работе отдельных организаций могут привести к быстрому развитию системного кризиса платежной системы РФ, нанести ущерб интересам собственников и клиентов. В случаях наступления инцидентов ИБ значительно возрастают результирующий риск и возможность нанесения ущерба организациям БС РФ. Поэтому для организаций БС РФ угрозы ИБ представляют существенную опасность.

Для противостояния таким угрозам и обеспечения эффективности мероприятий по ликвидации неблагоприятных последствий инцидентов ИБ (их влияния на операционный, репутационный, стратегический и иные риски) в организациях БС РФ следует обеспечить достаточный уровень ИБ. Необходимо также сохранить этот уровень в течение длительного времени. По этим причинам обеспечение ИБ является для организаций БС РФ одним из основополагающих аспектов их деятельности.

Деятельность, относящаяся к обеспечению ИБ, должна контролироваться. В связи с этим Банк России является сторонником регулярной оценки уровня ИБ в организациях БС РФ, оценки риска нарушения ИБ и принятия мер, необходимых для управления этим риском.

Исходя из этого разработан стандарт СТО БР ИББС_1.0_2008 по обеспечению ИБ организаций БС РФ, который является базовым для развивающей и обеспечивающей его группы документов в области стандартизации, в целом составляющих комплекс документов в области стандартизации по обеспечению ИБ организаций БС РФ.

Основные цели стандартизации по обеспечению ИБ организаций БС РФ:

– развитие и укрепление БС РФ;

– повышение доверия к БС РФ;

– поддержание стабильности организаций БС РФ и на этой основе -- стабильности БС РФ в целом;

– достижение адекватности мер защиты реальным угрозам ИБ;

– предотвращение и(или) снижение ущерба от инцидентов ИБ.

Основные задачи стандартизации по обеспечению ИБ организаций БС РФ:

– установление единых требований по обеспечению ИБ организаций БС РФ;

– повышение эффективности мероприятий по обеспечению и поддержанию ИБ организаций БС РФ.

Глава 1. Подготовительные этапы в разработке политики ИБ

1.1 Комплексный подход

Обеспечение комплексной безопасности является необходимым условием функционирования любой компании (Рис.1). Эта «комплексность» заключается, прежде всего, в продуманности, сбалансированности защиты, разработке четких организационно-технических мер и обеспечении контроля над их исполнением.

Рисунок 1. Компоненты архитектуры информационной безопасности.

Вначале необходимо провести аудит информационных процессов фирмы, выявить критически важную информацию, которую необходимо защищать. Иногда к решению задачи подходят однобоко, полагая, что защита заключается в обеспечении конфиденциальности информации. При этом упускается из виду необходимость обеспечения защиты от подделки, модификации, парирования угроз нарушения работоспособности системы. Аудит информационных процессов должен заканчиваться определением перечня конфиденциальной информации предприятия, участков, где эта информация обращается, допущенных к ней лиц, а также последствий утраты (искажения) этой информации.

После реализации этого этапа становится ясно, что защищать, где защищать и от кого: ведь в подавляющем большинстве инцидентов в качестве нарушителей будут выступать - сами сотрудники фирмы. И с этим ничего нельзя поделать: придется принять как данность. Различным угрозам безопасности можно присвоить значение вероятности их реализации. Умножив вероятность реализации угрозы на причиняемый этой угрозой ущерб, получим риск угрозы. После этого следует приступать к разработке политики ИБ.

1.2 Категорирование

Существуют три основных аспекта ИБ:

– доступность;

– конфиденциальность;

– целостность.

Вообще говоря, нарушения ИБ могут затрагивать лишь часть этих аспектов, равно как и регуляторы безопасности могут быть специфичны для отдельных аспектов. Поэтому целесообразно оценивать возможный ущерб отдельно для нарушений доступности, конфиденциальности и целостности, а при необходимости можно получить интегральную оценку.

Размер ущерба удобно оценивать по трехуровневой шкале как низкий, умеренный или высокий (Рис.2).



Рисунок 2. Шкала оценки ущерба при нарушении информационной безопасности

Потенциальный ущерб для организации оценивается как низкий, если потеря доступности, конфиденциальности и/или целостности оказывает ограниченное вредоносное воздействие на деятельность организации, ее активы и персонал. Ограниченность вредоносного воздействия означает, что:

– организация остается способной выполнять возложенную на нее миссию, но эффективность основных функций оказывается заметно сниженной;

– активам организации наносится незначительный ущерб;

– организация несет незначительные финансовые потери;

– персоналу наносится незначительный вред.

Потенциальный ущерб для компании оценивается как умеренный, если потеря доступности, конфиденциальности и/или целостности оказывает серьезное вредоносное воздействие на деятельность организации, ее активы и персонал. Серьезность вредоносного воздействия означает, что:

– компания остается способной выполнять возложенную на нее миссию, но эффективность основных функций оказывается существенно сниженной;

– активам организации причиняется значительный ущерб;

– компания несет значительные финансовые потери;

– персоналу наносится значительный вред, не создающий угрозы жизни или здоровью.

Потенциальный ущерб для организации оценивается как высокий, если потеря доступности, конфиденциальности и/или целостности оказывает тяжелое или катастрофически вредоносное воздействие на деятельность организации, ее активы и персонал, то есть:

– компания теряет способность выполнять все или некоторые из своих основных функций;

– активам организации причиняется крупный ущерб;

– организация несет крупные финансовые потери;

– персоналу наносится тяжелый или катастрофический вред, создающий возможную угрозу жизни или здоровью.

Необходимо также подсчитать возможные собственные потери (в виде неполученной прибыли) и выгоды конкурентов (полученную ими прибыль) при реализации угроз затрагивающих конкретную категорию информации.

Далее при определении возможных угроз и оценки вероятности осуществления каждой из них несложно подсчитать оптимальный бюджет на защиту информации.

1.3 Управление рисками

Задача управления рисками состоит в их постоянной идентификации, анализе, оценке и поддержании на допустимом для организации уровне.

Отсутствие внимания к существующим в организации информационным рискам может привести к возникновению кризисных ситуаций, потере имиджа, репутации и бизнеса в целом.

Имеется множество различных классификаций банковских рисков. Различаясь положенными в их основу критериями, эти классификации роднит то, что все они однозначно полагают кредитный и процентный риски основными для банков.

Классификация банковских рисков:

Критерии	Риски
Сфера действия рисков	Внутренние риски: – кредитные риски; – процентные риски; – валютные риски; – рыночные риски; – риски финансовых услуг; – прочие риски; Внешние риски (международные, страховые, республиканские, региональные): – страховые риски; – риски стихийных бедствий; – правовые (законодательные) риски; – конкурентные риски; – политические риски; – социальные риски; – экономические риски; – финансовые риски; – риски перевода; – организационные риски; – отраслевые риски; – прочие риски;
	Кредитоспособность клиента
Состав клиентов банка	– мелкого; – среднего; – крупного;
	Общие
Масштабы рисков	– клиента; – банка;
	Частные (от отдельных операций)
Степень (уровень риска)	– полные; – умеренные; – низкие;
Распределение рисков во времени	– прошлые (ретроспективные); – текущие; – будущие (перспективные);
Характер учета операций	– балансовые; – забалансовые;
Возможность регулирования	– открытые; – закрытые;

Внутренние банковские риски возникают в результате деятельности самих банков и зависят от проводимых операций. Соответственно банковские риски делятся:

– связанные с активами (кредитные, валютные, рыночные, расчетные, лизинговые, факторинговые, кассовые, риск по корреспондентскому счету, по финансированию и инвестированию и др.);

– связанные с пассивами банка (риски по вкладным и прочим депозитным операциям, по привлеченным межбанковским кредитам);

– связанные с качеством управления банком своими активами и пассивами (процентный риск, риск несбалансированной ликвидности, неплатежеспособности, риски структуры капитала, левереджа, недостаточности капитала банка);

– связанные с риском реализации финансовых услуг (операционные, технологические риски, риски инноваций, стратегические риски, бухгалтерские, административные, риски злоупотреблений, безопасности).

Внешние риски в своей совокупности обычно характеризуются также пространственным аспектом, означающим, что различным (регионам, республикам), разным странам или группам стран в каждый данный момент присущи особое сочетание и специфическая мера остроты внешних рисков, обусловливающие особую привлекательность или непривлекательность данного региона или данной страны с точки зрения банковской деятельности. Выражение "страновой (региональный) риск" означает только этот аспект, но не содержательно отдельный вид риска наравне с финансовыми, экономическими, политическими и иными внешними рисками.

Риски состава клиента связаны с маркетингом банковских услуг и контактами с общественностью. Разнообразие требований мелкого, среднего и крупного клиента с неизбежностью определяет и степень самого риска. Так, мелкий заемщик больше зависит от случайностей рыночной экономики. В то же время значительные кредиты, выданные одному крупному клиенту или группе связанных между собой клиентов, часто являются причиной банковских банкротств.

Степень банковского риска, как видно из классификации, определяется тремя понятиями: полный, умеренный и низкий риски.

Полный риск предполагает потери, равные банковским вложениям в операцию. Так, сомнительный или потерянный кредит обладает полным, то есть 100-процентным, риском. Банк прибыли не получает, находится в зоне недопустимого или критического риска.

Умеренный риск (до 30%) возникает при не возврате небольшой части основного долга или процентов по ссуде, при потере лишь части суммы по финансовым и другим операциям банка. Риск находится в зоне допустимого. Банк получает прибыль, позволяющую покрыть допущенные потери и иметь доходы.

Низкий риск - незначительный риск, позволяющий банку не только покрыть потери, но и получить высокие доходы.

Наконец, риски бывают открытые и закрытые. Открытые риски не поддаются или слабо поддаются предупреждению и минимизации, закрытые же, наоборот, дают для этого хорошие возможности.

Также риски можно разделить по типу (виду банка). От вида банка зависит характерный для него набор рисков. Это надо понимать в том смысле, что хотя всем банкам присущи балансовые и забалансовые риски, риски финансовых услуг и внешние риски, их сочетание, основные зоны, размеры и приоритетные направления будут складываться по-разному в зависимости от преимущественной специализации банков, а значит, и по-разному характеризовать каждый вид банковской деятельности.

Так, для банков, широко занимающихся аккумуляцией свободных денежных средств и их размещением среди других кредитных учреждений, определяющими будут риски по вкладным и депозитным операциям и по возможному не возврату межбанковских кредитов.

Степень банковского риска учитывает полный, умеренный и низкий риск в зависимости от расположения по шкале рисков. Степень банковского риска характеризуется вероятностью события, ведущего к потере банком средств по данной операции. Она выражается в процентах или определенных коэффициентах.

Особенностью нахождения степени банковского риска является его индивидуальная величина, связанная с принятием на себя конкретного риска по конкретной банковской операции. Во многом она определяется субъективной позицией каждого банка.

Приведенная классификация и элементы, положенные в основу экономической классификации, имеют целью не столько перечисление всех видов банковских рисков, сколько демонстрацию наличия определенной системы, позволяющей банкам не упускать отдельные разновидности при определении совокупного размера рисков в коммерческой и производственной сфере.

Банковские риски реализации финансовых услуг подразделяются на:

– операционные риски;

– технологические риски;

– риски инноваций;

– стратегические риски;

– бухгалтерские риски;

– административные риски;

– риски злоупотреблений;

– риски безопасности.

Операционный риск - риск возникновения убытков в результате несоответствия характеру и масштабам деятельности кредитной организации и (или) требованиям действующего законодательства внутренних порядков и процедур проведения банковских операций и других сделок, их нарушения служащими кредитной организации и (или) иными лицами (вследствие непреднамеренных или умышленных действий или бездействия), несоразмерности (недостаточности) функциональных возможностей (характеристик) применяемых кредитной организацией информационных, технологических и других систем и (или) их отказов (нарушений функционирования), а также в результате воздействия внешних событий.

К технологическим рискам относятся риски сбоя технологии операций (риски сбоя компьютерной системы, потери документов из-за отсутствия хранилища и железных шкафов, сбоя в системе SWIFT, ошибки в концепции системы, несоизмеримые инвестиции, стоимость потерянного или испорченного компьютерного оборудования, утрата или измерение системы электронного аудита или логического контроля, уязвимость системы, компьютерное мошенничество, уничтожение или исчезновение компьютерных данных).

Риски безопасности состоят из рисков общей безопасности банка, внутренней и пожарной безопасности.

Риски инноваций состоят из проектных рисков (риск уникальных проектов, внутрибанковский риск, рыночный или портфельный риск), селективного риска (риск неправильного выбора инноваций), временного риска (неправильное определение времени для инновации), рисков отсутствия необходимых средств, риска изменения законодательства в сторону отмены нового для банка вида деятельности.

Стратегические риски - это риски неполучения запланированной прибыли в результате превышения допустимого риска, риск неправильного выбора и неверной оценки размера и степени риска, риск неверного решения банка (к примеру, риск неоднократной пролонгации одной и той же ссуды), риски неверного определения сроков операций, отсутствия контроля за потерями банка, неверного финансирования потерь, неверного выбора способов регулирования рисков (например, получение гарантии юридического лица вместо оформления договора залога) и пр. Все они с определенных позиций характеризуют качество управления банком.

Бухгалтерские риски включают в себя: риски потери денег из-за неправильных или несвоевременных начислений, ущерба репутации банка в глазах третьих лиц, а также риски мошенничества из-за большого количества неконтролируемых проводок, легкого доступа к ведению бухгалтерии и ее упрощенной схемы.

Административные риски обычно связаны с утратой платежных и иных документов. Административные риски тесно связаны с рисками банковских злоупотреблений, которые связаны с валютной спекуляцией, спекуляцией ценными бумагами, регулированием объемов кредитов и процентных ставок с целью " нажима" на клиента, возможностью оказания воздействия на финансовое состояние своего клиента, нарушением кредитных и договорных отношений со стороны банка с преднамеренной целью, участием в сговоре, неверной экспертизой проектов и консультирование с умыслом кражи, растраты, обмана.

Так называемые конкурентные риски для банков связаны с возможностью слияния банков и небанковских учреждений, появлением новых видов банковских операций и сделок, снижением стоимости услуг других банков, повышением требований к качеству банковских услуг, легкостью возникновения новых банковских учреждений, сложностью процедуры банкротства банков.

Макроэкономический риск связан с нарушением основных пропорций в экономике страны и действием неблагоприятных финансовых факторов.

К рискам перевода можно отнести:

– отсутствие валюты;

– риск ликвидности внешней торговли и инвестиций, платежного баланса;

– отказ от выполнения обязательств;

– невыполнение обязательств в будущем;

– пересмотр договора;

– пересмотр плана;

– изменение стоимости инвалютных активов и пассивов в национальной денежной единице.

Организационные риски включают:

– отсутствие квалифицированного персонала;

– отсутствие или недостаток коммерческой и финансовой информации и пр.

Эффективность управления банковскими рисками, в первую очередь риском потери деловой репутации, в немалой степени зависит от того, кем осуществляется управление банковскими рисками и кто участвует в осуществлении банковских операций и других сделок.

В связи с этим кредитной организации рекомендуется уделять надлежащее внимание выполнению принципа "Знай своего служащего", обеспечивающего определенные проверочные стандарты при приеме служащих на работу, а также контроль за подбором и расстановкой кадров, четкие критерии квалификационных и личностных характеристик служащих применительно к содержанию и объему выполняемой работы и мере ответственности.

В целях соблюдения принципа "Знай своего служащего" кредитной организации (банку) рекомендуется предусматривать:

– квалификационные требования к служащим в соответствии с характером их деятельности;

– разработку и доведение до каждого служащего документа (например, должностной инструкции), регламентирующего должностные обязанности, права и ответственность;

– своевременное доведение до всех служащих принципов профессиональной этики;

– меры, обеспечивающие соблюдение банковской тайны и исключающие превышение служащим пределов его полномочий;

– требования к ведению служащими первичной учетной документации, отчетности, соблюдению правил документооборота;

– общие правила использования, хранения и передачи служебной информации служащими при осуществлении банковских операций и других сделок в соответствии с должностными обязанностями;

– недопустимость приема на работу и избрания в совет директоров (наблюдательный совет) кредитной организации лиц, не соответствующих требованиям к деловой репутации, устанавливаемым внутренними документами кредитной организации, а также законодательства РФ;

– проведение подготовки (переподготовки) служащих с разъяснением требований законодательства РФ, внутренних документов, в том числе по порядку осуществления банковских операций и других сделок и их отражения в учете, по управлению банковскими рисками, по противодействию легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;

– проведение подготовки и обучения служащих с разъяснением подходов к изучению и идентификации клиентов, а в случаях необходимости с разъяснением нормативных правовых актов стран местонахождения нерезидентов-клиентов, зарубежных филиалов, дочерних и зависимых организаций кредитной организации (подготовка и обучение служащих по вопросам противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма осуществляется согласно порядку, определенному Указанием Банка России);

– недопустимость участия в принятии решений об осуществлении кредитной организацией банковских операций и других сделок служащих, заинтересованных в их совершении;

– стимулирование предоставления служащими в кредитную организацию сведений об участии самих служащих или их близких родственников (определенных в качестве таковых законодательством РФ) в капитале юридических лиц, которые являются клиентами и контрагентами кредитной организации;

– контроль над соблюдением служащими установленных служебных обязанностей и внутренних распорядков (регламентов);

– недопустимость включения в состав служащих представителей юридических лиц - недобросовестных конкурентов;

– сбор и анализ информации о случаях нарушения служащими трудовой дисциплины, законодательства РФ или проявления неоправданного интереса к конфиденциальной информации.

Кредитной организации рекомендуется разработать основные принципы управления операционным риском, определяющие:

– цели и задачи управления операционным риском с учетом приоритетных направлений деятельности кредитной организации;

– основные методы выявления, оценки, мониторинга (постоянного наблюдения) операционного риска;

– основные методы контроля и (или) минимизации операционного риска (принятие мер по поддержанию риска на уровне, не угрожающем интересам кредиторов и вкладчиков, устойчивости кредитной организации);

– порядок представления отчетности и обмена информацией по вопросам управления операционным риском;

– распределение полномочий и ответственности между советом директоров (наблюдательным советом) и исполнительными органами за реализацию основных принципов управления операционным риском.

Степень детализации основных принципов управления операционным риском зависит от уровня операционного риска, которому подвергается кредитная организация.

Основные принципы управления операционным риском рекомендуется реализовывать во внутренних документах кредитной организации, определяющих:

– организационную структуру кредитной организации, разделение и делегирование полномочий, функциональные обязанности, порядок взаимодействия подразделений, служащих и обмена информацией;

– порядок, правила, процедуры совершения банковских операций и других сделок, учетную политику, организацию внутренних процессов;

– правила, порядки и процедуры функционирования систем (технических, информационных и других);

– порядок разработки и представления отчетности и иной информации;

– порядок стимулирования служащих и другие вопросы.

При изменении, разработке и принятии новых внутренних документов кредитной организации необходимо проводить оценку их соответствия основным принципам управления операционным риском.

В целях создания условий для эффективного управления операционным риском кредитной организации рекомендуется учредительными и (или) внутренними документами отнести к компетенции совета директоров (наблюдательного совета) следующие вопросы:

– утверждение основных принципов управления операционным риском;

– создание организационной структуры кредитной организации, соответствующей основным принципам управления операционным риском;

– осуществление контроля за полнотой и периодичностью проверок службой внутреннего контроля соблюдения основных принципов управления операционным риском отдельными подразделениями и кредитной организацией в целом;

– утверждение мер по обеспечению непрерывности финансово-хозяйственной деятельности при совершении банковских операций и других сделок, включая планы действий на случай непредвиденных обстоятельств (планы по обеспечению непрерывности и (или) восстановления финансово-хозяйственной деятельности);

– оценка эффективности управления операционным риском;

Мониторинг операционного риска рекомендуется осуществлять путем регулярного изучения системы показателей (в том числе статистических, финансовых) деятельности кредитной организации.

Кредитной организации рекомендуется определять периодичность осуществления мониторинга операционного риска на основе его существенности для соответствующего направления деятельности, внутреннего процесса или информационно-технологической системы.

В целях мониторинга операционного риска рекомендуется создание системы индикаторов уровня операционного риска - показателей или параметров, которые теоретически или эмпирически связаны с уровнем операционного риска, принимаемого кредитной организацией.

В качестве индикаторов уровня операционного риска могут быть использованы сведения о количестве несостоявшихся или незавершенных банковских операций и других сделок, увеличении их частоты и (или) объемов, текучести кадров, частоте допускаемых ошибок и нарушений, времени (продолжительности) простоя информационно-технологических систем и других показателях.

Для каждого индикатора рекомендуется установить лимиты (пороговые значения), что позволит обеспечить выявление значимых для кредитной организации операционных рисков и своевременное адекватное воздействие на них.

Кроме того, рекомендуется установить периодичность пересмотра системы индикаторов уровня операционного риска.

Контроль за соблюдением установленных правил и процедур осуществляется в рамках системы внутреннего контроля.

В отношении контроля за операционным риском наиболее важным является:

– контроль за соблюдением установленных лимитов по проводимым банковским операциям и другим сделкам;

– соблюдение установленного порядка доступа к информации и материальным активам банка;

– надлежащая подготовка персонала;

– регулярная выверка первичных документов и счетов по проводимым банковским операциям и другим сделкам.

1.4 Рекомендации по осуществлению контроля со стороны органов управления за организацией деятельности кредитной организации

1.4.1 К компетенции совета директоров (наблюдательного совета) рекомендуется отнесение следующих вопросов

– создание и функционирование эффективного внутреннего контроля;

– регулярное рассмотрение на своих заседаниях эффективности внутреннего контроля и обсуждение с исполнительными органами кредитной организации вопросов организации внутреннего контроля и мер по повышению его эффективности;

– рассмотрение документов по организации системы внутреннего контроля, подготовленных исполнительными органами кредитной организации, службой внутреннего контроля, должностным лицом (ответственным сотрудником, структурным подразделением) по противодействию легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма, иными структурными подразделениями кредитной организации, аудиторской организацией, проводящей (проводившей) аудит;

– принятие мер, обеспечивающих оперативное выполнение исполнительными органами кредитной организации рекомендаций и замечаний службы внутреннего контроля, аудиторской организации, проводящей (проводившей) аудит, и надзорных органов;

– своевременное осуществление проверки соответствия внутреннего контроля характеру, масштабам и условиям деятельности кредитной организации в случае их изменения.

1.4.2 К компетенции исполнительных органов рекомендуется отнесение следующих вопросов:

– установление ответственности за выполнение решений совета директоров (наблюдательного совета), реализацию стратегии и политики кредитной организации в отношении организации и осуществления внутреннего контроля;

– делегирование полномочий на разработку правил и процедур в сфере внутреннего контроля руководителям соответствующих структурных подразделений и контроль за их исполнением;

– проверка соответствия деятельности кредитной организации внутренним документам, определяющим порядок осуществления внутреннего контроля, и оценка соответствия содержания указанных документов характеру и масштабам деятельности кредитной организации;

– распределение обязанностей подразделений и служащих, отвечающих за конкретные направления (формы, способы осуществления) внутреннего контроля;

– рассмотрение материалов и результатов периодических оценок эффективности внутреннего контроля;

– создание эффективных систем передачи и обмена информацией, обеспечивающих поступление необходимых сведений к заинтересованным в ней пользователям. Системы передачи и обмена информацией включают в себя все документы, определяющие операционную политику и процедуры деятельности кредитной организации;

– создание системы контроля за устранением выявленных нарушений и недостатков внутреннего контроля и мер, принятых для их устранения.

1.4.3 Органам управления кредитной организации рекомендуется:

– оценивать риски, влияющие на достижение поставленных целей, и принимать меры, обеспечивающие реагирование на меняющиеся обстоятельства и условия в целях обеспечения эффективности оценки банковских рисков. Для эффективного выявления и наблюдения новых или не контролировавшихся ранее банковских рисков организация системы внутреннего контроля кредитной организации должна своевременно пересматриваться;

– обеспечить участие во внутреннем контроле всех служащих кредитной организации в соответствии с их должностными обязанностями;

– установить порядок, при котором служащие доводят до сведения органов управления и руководителей структурных подразделений кредитной организации (филиала) информацию обо всех нарушениях законодательства Российской Федерации, учредительных и внутренних документов, случаях злоупотреблений, несоблюдения норм профессиональной этики;

– принимать документы по вопросам взаимодействия службы внутреннего контроля с подразделениями и служащими кредитной организации и контролировать их соблюдение;

– исключить принятие правил и (или) осуществление практики, которые могут стимулировать совершение действий, противоречащих законодательству Российской Федерации, целям внутреннего контроля.

1.5 Система органов внутреннего контроля

В соответствии со статьями 10 и 24 Федерального закона "О банках и банковской деятельности" в уставе кредитной организации должны содержаться сведения о системе органов внутреннего контроля, порядке их образования и полномочиях, а организационная структура кредитной организации в части распределения полномочий между членами совета директоров (наблюдательного совета) коллегиального исполнительного органа, определения полномочий единоличного исполнительного органа, полномочий, подотчетности и ответственности всех подразделений кредитной организации, служащих должна соответствовать характеру и масштабам проводимых операций.

Внутренний контроль должны осуществлять в соответствии с полномочиями, определенными учредительными и внутренними документами кредитной организации:

– органы управления кредитной организации, предусмотренные статьей 11.1 Федерального закона «О банках и банковской деятельности»;

– ревизионная комиссия (ревизор);

– главный бухгалтер (его заместители) кредитной организации;

– руководитель (его заместители) и главный бухгалтер (его заместители) филиала кредитной организации;

– подразделения и служащие, осуществляющие внутренний контроль в соответствии с полномочиями, определяемыми внутренними документами кредитной организации, включая:

Службу внутреннего контроля (внутреннего аудита) (далее - служба внутреннего контроля) - структурное подразделение кредитной организации, создается для осуществления внутреннего контроля и содействия органам управления кредитной организации в обеспечении эффективного функционирования кредитной организации.

Внутренний документ, регулирующий деятельность службы внутреннего контроля (далее - положение о службе внутреннего контроля) должен определять:

– цели и сферу деятельности службы внутреннего контроля;

– принципы (стандарты) и методы деятельности службы внутреннего контроля, отвечающие требованиям настоящего Положения;

– статус службы внутреннего контроля в организационной структуре кредитной организации, ее задачи, полномочия, права и обязанности, а также взаимоотношения с другими подразделениями кредитной организации, в том числе осуществляющими контрольные функции;

– подчиненность и подотчетность руководителя службы внутреннего контроля;

– обязанность руководителя службы внутреннего контроля информировать о выявляемых при проведении проверок нарушениях (недостатках) по вопросам, определяемым кредитной организацией, совет директоров (наблюдательный совет), единоличный и коллегиальный исполнительный орган и руководителя структурного подразделения кредитной организации, в котором проводилась проверка;

– обязанность руководителя и служащих службы внутреннего контроля информировать органы управления кредитной организации о всех случаях, которые препятствуют осуществлению службой внутреннего контроля своих функций;

– порядок участия службы внутреннего контроля в разработке внутренних документов кредитной организации;

– ответственность руководителя службы внутреннего контроля в случаях неинформирования или несвоевременного информирования по вопросам, определяемым кредитной организацией, совета директоров (наблюдательного совета), единоличного и коллегиального исполнительного органа.

Положение о службе внутреннего контроля утверждается советом директоров (наблюдательным советом) кредитной организации в соответствии со статьями 48 и 65 Федерального закона «Об акционерных обществах» (Собрание законодательства Российской Федерации, 1996, N 1, ст. 1; 2001, N 33 (часть I), ст. 3423; 2002, N 45, ст. 4436) и статьей 32 Федерального закона «Об обществах с ограниченной ответственностью» (Собрание законодательства Российской Федерации, 1998, N 7, ст. 785), если в уставе кредитной организации не предусмотрено иное.

Служба внутреннего контроля осуществляет следующие функции:

– проверка и оценка эффективности системы внутреннего контроля;

– проверка полноты применения и эффективности методологии оценки банковских рисков и процедур управления банковскими рисками (методик, программ, правил, порядков и процедур совершения банковских операций и сделок, управления банковскими рисками);

– проверка надежности функционирования системы внутреннего контроля за использованием автоматизированных информационных систем, включая контроль целостности баз данных и их защиты от несанкционированного доступа и (или) использования, наличие планов действий на случай непредвиденных обстоятельств;

– проверка достоверности, полноты, объективности и своевременности бухгалтерского учета и отчетности и их тестирование, а также надежности (включая достоверность, полноту и объективность) и своевременности сбора и представления информации и отчетности;

– проверка достоверности, полноты, объективности и своевременности представления иных сведений в соответствии с нормативными правовыми актами в органы государственной власти и Банк России;

– проверка применяемых способов (методов) обеспечения сохранности имущества кредитной организации;

– оценка экономической целесообразности и эффективности совершаемых кредитной организацией операций;

– проверка соответствия внутренних документов кредитной организации нормативным правовым актам, стандартам саморегулируемых организаций (для профессиональных участников рынка ценных бумаг);

– проверка процессов и процедур внутреннего контроля;

– проверка систем, созданных в целях соблюдения правовых требований, профессиональных кодексов поведения;

– оценка работы службы управления персоналом кредитной организации;

– другие вопросы, предусмотренные внутренними документами кредитной организации.

Кредитная организация обязана обеспечить постоянство деятельности, независимость и беспристрастность службы внутреннего контроля, профессиональную компетентность ее руководителя и служащих, создать условия для беспрепятственного и эффективного осуществления службой внутреннего контроля своих функций.

Постоянство деятельности службы внутреннего контроля означает, что служба внутреннего контроля кредитной организации должна действовать на постоянной основе.

Кредитная организация должна установить численный состав, структуру и техническую обеспеченность службы внутреннего контроля в соответствии с масштабами деятельности, характером совершаемых банковских операций и сделок.

Служба внутреннего контроля должна состоять из служащих, входящих в штат кредитной организации.

Не допускается передача функций службы внутреннего контроля кредитной организации сторонней организации, за исключением следующего случая:

– В кредитной организации, входящей в состав банковской группы, допускается передача отдельных функций службы внутреннего контроля службе внутреннего контроля другой кредитной организации, входящей в банковскую группу. Основанием для принятия решения о передаче отдельных функций службы внутреннего контроля является отсутствие у кредитной организации специалистов по подлежащим контролю видам деятельности и невозможность или нецелесообразность найма таких специалистов на постоянной основе с учетом характера и масштабов деятельности кредитной организации. Перечень передаваемых функций, порядок взаимодействия и ответственность при осуществлении функций службы внутреннего контроля должны быть согласованы между кредитными организациями в письменной форме. При этом ответственность за эффективность осуществления переданных функций несет кредитная организация, принявшая решение о передаче отдельных функций службы внутреннего контроля.

Сведения о передаче отдельных функций службы внутреннего контроля в кредитных организациях, входящих в состав банковской группы, содержащие перечень передаваемых функций, порядок взаимодействия и ответственность при осуществлении функций службы внутреннего контроля, представляются в территориальные учреждения Банка России по месту обслуживания каждой из указанных кредитных организаций, входящих в состав банковской группы.

Независимость службы внутреннего контроля.

Кредитная организация обеспечивает независимость службы внутреннего контроля в соответствии с порядком, в котором должно быть установлено, что служба внутреннего контроля:

– действует под непосредственным контролем совета директоров (наблюдательного совета);

– не осуществляет деятельность, подвергаемую проверкам, за исключением случаев, предусмотренных абзацем пятым настоящего подпункта;

– по собственной инициативе докладывает совету директоров (наблюдательному совету) о вопросах, возникающих в ходе осуществления службой внутреннего контроля своих функций, и предложениях по их решению, а также раскрывает эту информацию единоличному и коллегиальному исполнительному органу кредитной организации;

– подлежит независимой проверке аудиторской организацией или советом директоров (наблюдательным советом), если такая проверка предусмотрена уставом кредитной организации.

Во внутренних документах кредитной организации должно быть предусмотрено:

– порядок утверждения положения о службе внутреннего контроля, годовых и текущих планов проверок, отчетов о выполнении планов проверок в соответствии со статьями 48 и 65 Федерального закона "Об акционерных обществах" и со статьей 32 Федерального закона "Об обществах с ограниченной ответственностью";

– подотчетность руководителя службы внутреннего контроля совету директоров (наблюдательному совету) кредитной организации;

– подчиненность руководителя подразделения внутреннего контроля филиала кредитной организации (при наличии подразделения внутреннего контроля в филиале) или служащего филиала кредитной организации, выполняющего функции представителя службы внутреннего контроля кредитной организации в соответствующем филиале, руководителю службы внутреннего контроля кредитной организации;

– право руководителя службы внутреннего контроля взаимодействовать с соответствующими руководителями кредитной организации (ее подразделений) для оперативного решения вопросов и порядок такого взаимодействия;

– невозможность функционального подчинения руководителю (его заместителям) службы внутреннего контроля иных подразделений кредитной организации, а также совмещения служащими службы внутреннего контроля (включая руководителя и его заместителей) своей деятельности с деятельностью в других подразделениях кредитной организации;

– участие службы внутреннего контроля в разработке внутренних документов кредитной организации.

Служба внутреннего контроля не вправе участвовать в совершении банковских операций и других сделок.

Руководитель и служащие службы внутреннего контроля не имеют права подписывать от имени кредитной организации платежные (расчетные) и бухгалтерские документы, а также иные документы, в соответствии с которыми кредитная организация принимает банковские риски, либо визировать такие документы.

Беспристрастность службы внутреннего контроля.

Кредитная организация обеспечивает решение поставленных перед службой внутреннего контроля задач без вмешательства со стороны органов управления, подразделений и служащих кредитной организации, не являющихся служащими службы внутреннего контроля.

Руководитель (его заместители) и служащие службы внутреннего контроля, ранее занимавшие должности в других структурных подразделениях кредитной организации, не должны участвовать в проверке деятельности и функций, которые осуществлялись ими в течение проверяемого периода и в течение двенадцати месяцев после завершения такой деятельности и осуществления функций.

Кредитная организация вправе устанавливать порядок перемещения (периодичность, обоснованность) руководителя (его заместителей) и служащих службы внутреннего контроля на другие должности в кредитной организации в случае изменения характера и масштабов деятельности, появления новых видов или направлений деятельности и т.п.

Руководителем службы внутреннего контроля рекомендуется не назначать лицо, работающее по совместительству.

Профессиональная компетентность руководителя (его заместителей) и служащих службы внутреннего контроля.

Руководитель (его заместители) и служащие службы внутреннего контроля должны владеть достаточными знаниями о банковской деятельности и методах внутреннего контроля и сбора информации, ее анализа и оценки в связи с выполнением служебных обязанностей.

Кредитная организация укомплектовывает службу внутреннего контроля служащими, имеющими высокий уровень профессиональной квалификации и подготовки.

Кредитной организации рекомендуется устанавливать для руководителя (его заместителей) службы внутреннего контроля требования о наличии опыта руководства структурным подразделением кредитной организации, связанным с совершением банковских операций и других сделок.

Обучение (переподготовку) руководителя (его заместителей) и служащих службы внутреннего контроля рекомендуется осуществлять на регулярной основе.

Создание условий для беспрепятственного и эффективного осуществления службой внутреннего контроля своих функций.

Служба внутреннего контроля обязана осуществлять проверки по всем направлениям деятельности кредитной организации. Объектом проверок является любое подразделение и служащий кредитной организации.

Основные способы (методы) осуществления проверок службой внутреннего контроля, которые следует использовать кредитной организации, предусмотрены Приложением 3 к настоящему Положению.

Службой внутреннего контроля осуществляется контроль за эффективностью принятых подразделениями и органами управления по результатам проверок мер, обеспечивающих снижение уровня выявленных рисков, или документирование принятия руководством подразделения и (или) органами управления решения о приемлемости выявленных рисков для кредитной организации.

Если, по мнению руководителя службы внутреннего контроля, руководство подразделения и (или) органы управления взяли на себя риск, являющийся неприемлемым для кредитной организации, или принятые меры контроля неадекватны уровню риска, то руководитель службы внутреннего контроля обязан проинформировать совет директоров (наблюдательный совет) кредитной организации.

Кредитная организация должна установить порядок:

– контроля (включая проведение повторных проверок) за принятием мер по устранению выявленных службой внутреннего контроля нарушений;

– представления не реже одного раза в полгода службой внутреннего контроля информации о принятых мерах по выполнению рекомендаций и устранению выявленных нарушений совету директоров (наблюдательному совету), единоличному исполнительному органу (его заместителям) и (или) коллегиальному исполнительному органу.

«О рекомендациях по разработке кредитными организациями правил внутреннего контроля в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма» (см. письмо ЦБ РФ от 13.07.2005 N 99-Т).

«О квалификационных требованиях к специальным должностным лицам, ответственным за соблюдение правил внутреннего контроля в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма и программ его осуществления в кредитных организациях» (см. Указание ЦБ РФ от 09.08.2004 N 1486-У).

Ответственного сотрудника (структурное подразделение) по противодействию легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма - должностное лицо (структурное подразделение), ответственное за разработку и реализацию правил внутреннего контроля в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма, программ его осуществления и иных внутренних организационных мер в указанных целях, а также за организацию представления в уполномоченный орган по противодействию легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма сведений в соответствии с Федеральным законом "О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма" и нормативными актами Банка России.

Иные структурные подразделения и (или) ответственных сотрудников кредитной организации, к которым, в зависимости от характера и масштаба деятельности кредитной организации, могут относиться:

– контролер профессионального участника рынка ценных бумаг - ответственный сотрудник и (или) структурное подразделение, осуществляющее проверку соответствия деятельности кредитной организации, как профессионального участника рынка ценных бумаг, требованиям законодательства Российской Федерации о ценных бумагах и защите прав и законных интересов инвесторов на рынке ценных бумаг, нормативных правовых актов федерального органа исполнительной власти по рынку ценных бумаг;

– ответственный сотрудник по правовым вопросам - сотрудник и (или) структурное подразделение, отвечающее за проверку соблюдения нормативных правовых актов, стандартов саморегулируемых организаций (для профессиональных участников рынка ценных бумаг), учредительных и внутренних документов кредитной организации.

Глава 2. Создание политики

2.1 Рекомендации по созданию политики ИБ

Наступление любой из кризисных ситуаций может быть вызвано неправомерным использованием информационных активов организации, а результатом становится риск потери бизнеса. Безусловно, кризисные ситуации могут наступить и по причине форс-мажорных ситуаций, но - как показывает практика и статистика - угрозы в области информационной безопасности существенно более реальны.

Зависимость финансовых организаций от компьютерных и телекоммуникационных ресурсов свидетельствует о необходимости разработки планов аварийного восстановления всех банковских систем в случае возникновения кризисной ситуации.

Планы аварийного восстановления для финансово-кредитных учреждений являются одним из требований Центрального банка РФ и входят в состав обязательных документов внутреннего контроля наряду с политикой обеспечения ИБ.

Рекомендуется, чтобы положения документов по обеспечению ИБ организации БС РФ:

– носили не рекомендательный, а обязательный характер;

– были выполнимыми и контролируемыми. Не рекомендуется включать в состав этих документов положения, контроль реализации которых затруднен или невозможен;

– были адекватны требованиям и условиям ведения деятельности (включая угрозы и риски ИБ), в том числе в условиях их изменчивости;

– не противоречили друг другу.

В состав документов организации БС РФ рекомендуется включить документ (классификатор), содержащий перечень и назначение всех документов организации БС РФ (для каждого из вышеопределенных уровней иерархической структуры), регламентирующих деятельность по обеспечению ИБ организации БС РФ. Указанный классификатор может быть полезен при осуществлении менеджмента документов организации БС РФ, для повышения степени осведомленности сотрудников организации БС РФ, а также при выполнении аудита информационной безопасности организации БС РФ.

При наличии у организации БС РФ сети филиалов (территориальных учреждений) в каждом из филиалов (территориальном учреждении) рекомендуется иметь единый для организации БС РФ, утвержденный комплект документов по обеспечению ИБ. В случае возникновения необходимости учета специфики конкретных филиалов в них должны быть разработаны собственные документы, учитывающие эту специфику. Рекомендуется, чтобы документы по обеспечению ИБ филиала (территориального учреждения) организации БС РФ базировались на положениях документов по обеспечению ИБ, принятых головной организацией (центральным аппаратом) организации БС РФ, и не противоречили им.

В состав внутренних документов организаций БС РФ по обеспечению ИБ рекомендуется включать следующие виды документов (документированной информации):

– документы, содержащие положения корпоративной политики ИБ организации БС РФ (документы первого уровня), определяют высокоуровневые цели, содержание и основные направления деятельности по обеспечению ИБ, предназначенные для организации в целом;

– документы, содержащие положения частных политик (документы второго уровня), детализируют положения корпоративной политики ИБ применительно к одной или нескольким областям ИБ, видам и технологиям деятельности организации БС РФ;