Положение о требованиях к системе управления операционным риском в финансовой организации и банковской группе

.

.

.

.

.

.

ПОЛОЖЕНИЕ О

ТРЕБОВАНИЯХ

К СИСТЕМЕ

УПРАВЛЕНИЯ

ОПЕРАЦИОННЫМ

РИСКОМ В

ФИНАНСОВОЙ

ОРГАНИЗАЦИИ

И БАНКОВСКОЙ

ГРУППЕ

.

.

.

.

.

На основании статьи 57.1 Закона «О Центральном банке» и статьи 11.12 Закона «О банках и банковской деятельности», Государственный банк устанавливает требования к системе управления операционным риском в финансовой организации и банковской группе.

.

Глава 1. Общие положения.

.

1.1. Финансовая организация и головная финансовая организация банковской группы, за исключением центрального контрагента в значении, установленном в статье 2 Закона «О клиринге, клиринговой деятельности и центральном контрагенте» и центрального депозитария в значении, установленном в статье 2 Закона «О едином центральном депозитарии ценных бумаг», должны организовать управление операционным риском в соответствии с настоящим Положением.

Понятие «операционный риск» применяется в настоящем Положении в значении, установленном в пункте 4.1 приложения 1 к Указанию «О требованиях к системе управления рисками и капиталом финансовой организации и банковской группы».

1.2. Финансовая организация (головная финансовая организация банковской группы) выявляет случаи фактической реализации операционного риска (далее событие операционного риска) в соответствии с главой 2 настоящего Положения, классифицирует события операционного риска в соответствии с главой 3 настоящего Положения и фиксирует события операционного риска в базе событий в соответствии с главой 6 настоящего Положения. Понятие «база событий» применяется в настоящем Положении в значении, установленном в пункте 4.3 приложения 1 к Указанию «О требованиях к системе управления рисками и капиталом финансовой организации и банковской группы».

1.3. Система управления операционным риском в финансовой организации (головной финансовой организации банковской группы) включает следующие элементы:

a)процедуры управления операционным риском в соответствии с главой 2 настоящего Положения;
b)классификатор событий операционного риска, используемый в системе управления операционным риском, в соответствии с главой 3 настоящего Положения;
c)базу событий;
d)контрольные показатели уровня операционного риска в соответствии с главой 5 настоящего Положения;
e)подразделение финансовой организации (головной финансовой организации банковской группы), ответственное за организацию управления операционным риском, структурно входящее в службу управления рисками финансовой организации (головной финансовой организации банковской группы) (далее подразделение, ответственное за организацию управления операционным риском);
f)специализированные подразделения финансовой организации (головной финансовой организации банковской группы, участников банковской группы (в последних при наличии), которые в рамках функциональных обязанностей выполняют процедуры управления операционным риском, указанные в подпунктах 2.1.2, 2.1.6 и 2.1.7 пункта 2.1 настоящего Положения, в части отдельных видов операционного риска, определенных в пункте 1.4 настоящего Положения (далее специализированное подразделение). В случае если специализированные подразделения организационно независимы от службы управления рисками финансовой организации (головной финансовой организации банковской группы), финансовая организация (головная финансовая организация банковской группы) определяет во внутренних документах порядок координации руководителем подразделения, ответственного за организацию управления операционным риском, деятельности работников таких специализированных подразделений, связанной с управлением операционным риском, в части соблюдения процедур управления операционным риском, обмена информации, предоставления отчетности и других элементов взаимодействия;
g)подразделения финансовой организации (головной финансовой организации банковской группы), осуществляющие в рамках системы управления операционным риском идентификацию операционного риска, сбор информации и информирование о выявленном операционном риске как подразделения, ответственного за организацию управления операционным риском, так и подразделения, в котором выявлен операционный риск (в соответствии с внутренними документами финансовой организации (головной финансовой организации банковской группы) в случае, если операционный риск выявлен в деятельности другого подразделения финансовой организации (головной финансовой организации банковской группы), оценку выявленных операционных рисков (в пределах своей компетенции), разработку и проведение мероприятий, направленных на уменьшение негативного влияния операционного риска, а также мониторинг уровня операционного риска в своих процессах (далее центры компетенций). К центрам компетенций в рамках системы управления операционным риском относятся подразделения финансовой организации (головной финансовой организации банковской группы), в функциональные обязанности которых входит осуществление операций и сделок в рамках своих процессов и которые несут ответственность за результаты выполнения процесса и за достижение целевых показателей процесса (далее подразделения, ответственные за осуществление операций и сделок и за результаты процесса), и подразделения, обеспечивающие процессы финансовой организации (головной финансовой организации банковской группы);
h)подразделение финансовой организации (головной финансовой организации банковской группы), структурно независимое от службы управления рисками (например, служба внутреннего аудита), уполномоченное проводить ежегодную оценку эффективности функционирования системы управления операционным риском, в том числе оценку эффективности выполнения принятых в финансовой организации (головной финансовой организации банковской группы) процедур управления операционным риском, в соответствии с пунктом 4.4 настоящего Положения (далее уполномоченное подразделение);
i)автоматизированную информационную систему, объем и функциональность которой определяется осуществляемыми операциями и (или) действующими процессами финансовой организации (головной финансовой организации банковской группы), обеспечивающую функционирование как в целом системы управления операционным риском, так и отдельных ее элементов (например, базы событий), в том числе сохранность данных и их защиту от искажений;
j)дополнительные элементы системы управления операционным риском, определенные в соответствии с главой 4 настоящего Положения.

1.4. Финансовая организация (головная финансовая организация банковской группы) для целей унификации управления операционным риском выделяет следующие виды операционного риска, процедуры управления по которым выполняются специализированными подразделениями при участии подразделения, ответственного за организацию управления операционным риском:

a)риск реализации угроз безопасности информации, которые обусловлены недостатками процессов обеспечения информационной безопасности, в том числе проведения технологических и других мероприятий, недостатками прикладного программного обеспечения автоматизированных систем и приложений, а также несоответствием указанных процессов деятельности финансовой организации (далее риск информационной безопасности);
b)риск отказов и (или) нарушения функционирования применяемых финансовой организацией информационных систем и (или) несоответствия их функциональных возможностей и характеристик потребностям финансовой организации (далее риск информационных систем);
c)правовой риск в значении, установленном в пункте 3.3 Указания «О требованиях к системе управления рисками и капиталом финансовой организации и банковской группы»;
d)риск ошибок в управлении проектами, состоящий в недостатках и нарушениях организации процессов управления проектной деятельностью, направленных на изменение систем функционирования и поддержания работоспособности финансовой организации;
e)риск ошибок в управленческих процессах, состоящий в недостатках и нарушениях внутренних процессов финансовой организации, недостатках принятия решений по банковским сделкам и операциям, внутрихозяйственной деятельности;
f)риск ошибок в процессах осуществления внутреннего контроля, состоящий в недостатках и нарушениях системы внутреннего контроля, в том числе нарушениях правил внутреннего контроля в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию насилия, нарушениях внутренних правил совершения операций и сделок;
g)модельный риск в значении, установленном в пункте 4.2 приложения 1 к Указанию «О требованиях к системе управления рисками и капиталом финансовой организации и банковской группы»;
h)риск потерь средств клиентов, контрагентов, работников и третьих лиц (не компенсированных финансовой организацией) вследствие нарушения финансовой организацией кодексов профессиональной этики, рыночных практик, правил поведения финансовой организации при продаже финансовых инструментов и услуг;
i)риск ошибок процесса управления персоналом, состоящий в недостатках и нарушениях внутренних процессов финансовой организации в управлении персоналом, в том числе при подборе, найме, адаптации, увольнении, обеспечении безопасности и охраны труда, социальной поддержки, в системе вознаграждения и компенсации;
j)операционный риск платежной системы в значении, установленном в абзаце третьем пункта 1 приложения 2 к Положению «О требованиях к порядку обеспечения бесперебойности функционирования платежной системы, показателям бесперебойности функционирования платежной системы и методикам анализа рисков в платежной системе, включая профили рисков»;
k)риск нарушения способности финансовой организации (головной финансовой организации банковской группы) поддерживать операционную устойчивость финансовой организации (головной финансовой организации банковской группы), включающую обеспечение непрерывности осуществления критически важных процессов и критически важных операций, определенных финансовой организацией в соответствии с подпунктом 4.1.1 пункта 4.1 настоящего Положения (далее операционная устойчивость), в результате воздействия источников операционного риска, указанных в пункте 3.3 настоящего Положения, а также изменений процессов финансовой организации (головной финансовой организации банковской группы) или действий третьих лиц, включая нарушения операционной надежности, требования к которой установлены Государственным банком в соответствии со статьей 57.5 Закона «О Центральном банке» (далее соответственно операционная надежность, риск нарушения непрерывности деятельности).

В случае если в финансовой организации (головной финансовой организации банковской группы, участнике банковской группы) отсутствуют специализированные подразделения, процедуры управления отдельными видами операционного риска выполняет служба управления рисками.

1.5. Финансовая организация (головная финансовая организация банковской группы) утверждает процедуры управления операционным риском в соответствии с пунктом 2.4 Указания «О требованиях к системе управления рисками и капиталом финансовой организации и банковской группы». Единоличный и коллегиальный исполнительные органы финансовой организации (головной финансовой организации банковской группы) обеспечивают их исполнение в соответствии с требованиями главы 2 настоящего Положения. Коллегиальный исполнительный орган финансовой организации (головной финансовой организации банковской группы) несет ответственность за соблюдение требований настоящего Положения.

.

Глава 2. Процедуры управления операционным риском.

.

2.1. Финансовая организация (головная финансовая организация банковской группы) с учетом положений пункта 4.1 приложения 1 к Указанию «О требованиях к системе управления рисками и капиталом финансовой организации и банковской группы» и главы 9 настоящего Положения устанавливает во внутренних документах следующие процедуры управления операционным риском:

2.1.1. Идентификация операционного риска, включающая следующие способы:

a)анализ базы событий;
b)проведение подразделениями финансовой организации (головной финансовой организации банковской группы) ежегодной самооценки уровня операционного риска и форм (способов) контроля, направленных на снижение его уровня, на основе формализованных анкет (далее самооценка операционного риска) в соответствии с требованиями абзацев шестого, восьмого тринадцатого подпункта 2.1.5 настоящего пункта;
c)анализ динамики количественных показателей, направленных на измерение и контроль уровня операционного риска в определенный момент времени (ключевых индикаторов риска) (далее КИР), по направлениям деятельности, в том числе в разрезе составляющих их процессов, финансовой организации (головной финансовой организации банковской группы) в соответствии с абзацами девятым двадцатым подпункта 2.1.7 настоящего пункта;
d)интервью с работниками финансовой организации (головной финансовой организации банковской группы), в том числе с руководством финансовой организации (головной финансовой организации банковской группы), в рамках которых работниками и руководством финансовой организации (головной финансовой организации банковской группы) обсуждаются операционные риски, оказывающие влияние на деятельность финансовой организации (головной финансовой организации банковской группы);
e)анализ актов проверок, исполнительных актов (решений, определений, постановлений) и (или) актов исполнительных государственных органов, Государственного банка в части фактов, относящихся к реализации операционного риска;
f)анализ информации уполномоченного подразделения и внешнего аудита;
g)анализ информации работников финансовой организации (головной финансовой организации банковской группы), полученной в рамках инициативного информирования работниками финансовой организации (головной финансовой организации банковской группы) службы управления рисками и (или) службы внутреннего аудита;
h)анализ других внешних и внутренних источников информации и способов выявления рисков.

Финансовая организация (головная финансовая организация банковской группы) использует результаты процедуры идентификации операционного риска для проведения процедур количественной и качественной оценки уровня операционного риска и корректного учета связи идентифицированного операционного риска с событиями операционного риска в базе событий.

Финансовая организация (головная финансовая организация банковской группы) определяет во внутренних документах порядок ведения реестра операционных рисков с использованием элементов классификации, указанных в пункте 3.1 настоящего Положения.

2.1.2. Сбор и регистрация информации о внутренних событиях операционного риска и потерях от его реализации, включающие следующие способы:

a)автоматизированное выявление информации из информационных систем о реализовавшихся или возможных в будущем событиях операционного риска;
b)неавтоматизированное выявление и сбор информации о событиях операционного риска, предусматривающие с использованием экспертного мнения выявление информации и проведение анализа обстоятельств и причин произошедших событий операционного риска, в случае, если автоматизированное выявление и сбор информации о событиях операционного риска невозможны. Порядок и срок проведения анализа обстоятельств и причин произошедших событий операционного риска определяется финансовой организацией (головной финансовой организации банковской группы) во внутренних документах;
c)ввод информации о событиях операционного риска в базу событий по алгоритмизированным правилам, установленным финансовой организацией (головной финансовой организации банковской группы) во внутренних документах;
d)классификацию выявленных событий операционного риска в соответствии с главой 3 настоящего Положения;
e)определение потерь от реализации событий операционного риска в соответствии с подпунктом 2.1.3 настоящего пункта;
f)регистрацию событий операционного риска в базе событий;
g)определение стоимости возмещений потерь от реализации событий операционного риска в базе событий;
h)обновление в соответствии с главой 6 настоящего Положения информации о событиях операционного риска в базе событий при выяснении новых обстоятельств их реализации;
i)актуализацию источников информации о событиях операционного риска и сведений о центрах компетенций, ответственных за их сбор.

Финансовая организация (головная финансовая организация банковской группы) обеспечивает соблюдение процедуры сбора и регистрации информации о внутренних событиях операционного риска и потерях по всем направлениям деятельности, в том числе в разрезе составляющих их процессов, с указанием во внутренних документах:

a)центров компетенций;
b)правил предоставления информации об идентифицированных событиях операционного риска центрами компетенций в подразделение, ответственное за организацию управления операционным риском, не позднее пяти рабочих дней с момента идентификации события операционного риска, за исключением событий операционного риска, загружаемых в базу событий программноаппаратными средствами на определенную финансовой организацией (головной финансовой организацией банковской группы) отчетную дату в соответствии с порядком, указанным финансовой организаций (головной финансовой организацией банковской группы) во внутренних документах, но не реже одного раза в месяц (предоставление информации об идентифицированных событиях операционного риска дочерней финансовой организацией в головную финансовую организацию банковской группы осуществляется в соответствии с пунктом 6.3 настоящего Положения);
c)контрольных показателей уровня операционного риска, указанных в абзацах втором и седьмом подпункта 1.1.1 и абзацах втором и девятом подпункта 1.2.1 пункта 1 приложения 1 к настоящему Положению в разрезе центров компетенций (ключевых показателей эффективности по выявлению событий операционного риска в процессах), ответственность за несоблюдение которых возложена на центры компетенций (их руководителей).

2.1.3. Определение потерь и возмещений потерь от реализации событий операционного риска, включающее следующие способы:

a)учет потерь финансовой организации (головной финансовой организации банковской группы), указанных в пункте 3.11 настоящего Положения, включая установление сроков выявления и правил отражения в бухгалтерском учете, с учетом пунктов 6.7 6.19 настоящего Положения;
b)порядок и методы определения потерь финансовой организации (головной финансовой организации банковской группы), указанных в пункте 3.13 настоящего Положения, от события операционного риска;
c)порядок выявления расходов, относящихся к операционному риску, из общих расходов финансовой организации (головной финансовой организации банковской группы) (для определения потерь, указанных в пункте 3.12 настоящего Положения), в том числе порядок выявления и сверки событий операционного риска с данными бухгалтерского учета;
d)порядок и методы оценки недополученных доходов, связанных с событиями операционного риска (для определения потерь, указанных в пункте 3.13 настоящего Положения);
e)порядок и методы определения потенциальных потерь, указанных в подпункте 3.13.3 пункта 3.13 настоящего Положения;
f)порядок и методы определения стоимости возмещений от событий операционного риска;
g)отбор и назначение экспертов финансовой организации (головной финансовой организации банковской группы), ответственных за расчет потерь от реализации событий операционного риска в разрезе направлений деятельности, в том числе в разрезе составляющих их процессов, областей их компетенции и ответственности. Допускается совмещение функции регистрации событий операционного риска в базе событий и функции расчета потерь и возмещений от реализации событий операционного риска.

2.1.4. Количественная оценка уровня операционного риска, включающая следующие способы:

a)агрегированную оценку уровня операционного риска по финансовой организации (головной финансовой организации банковской группы) в целом, по подразделениям финансовой организации (головной финансовой организации банковской группы), а также по типам событий операционного риска в соответствии с пунктом 3.6 настоящего Положения, направлениям деятельности, в том числе в разрезе составляющих их процессов, в соответствии с пунктом 3.9 настоящего Положения и видам операционного риска в соответствии с пунктом 1.4 настоящего Положения. Финансовая организация (головная финансовая организация банковской группы) применяет агрегированную оценку уровня операционного риска в случае, если финансовая организация (головная финансовая организация банковской группы) использует методы количественной оценки потерь от реализации операционного риска на основе статистических данных из базы событий с использованием продвинутого подхода, включающего методы, указанные в пункте 4.4 приложения 1 к Указанию «О требованиях к системе управления рисками и капиталом финансовой организации и банковской группы» (далее продвинутый подход);
b)оценку объема капитала, выделяемого финансовой организацией (головной финансовой организацией банковской группы) в рамках внутренних процедур оценки достаточности капитала (далее ВПОДК), на покрытие потерь от реализации событий операционного риска в целом по финансовой организации (головной финансовой организации банковской группы) в разрезе направлений деятельности, в том числе в разрезе составляющих их процессов, риска информационной безопасности и других видов операционного риска, с учетом подходов к расчету объема капитала, выделяемого финансовой организацией (головной финансовой организацией банковской группы) на покрытие потерь от реализации операционного риска, изложенных в приложении 2 к настоящему Положению;
c)оценку ожидаемых потерь от реализации операционного риска в разрезе направлений деятельности, в том числе в разрезе составляющих их процессов, с использованием статистических данных по событиям операционного риска, зарегистрированным в базе событий в этих разрезах (при наличии), в целях определения способов покрытия указанных ожидаемых потерь, в том числе их учета в ценообразовании услуг и тарифов. Финансовая организация (головная финансовая организация банковской группы) устанавливает во внутренних документах методы и порядок проведения оценки ожидаемых потерь от реализации операционного риска.

Финансовая организация (головная финансовая организация банковской группы) разрабатывает во внутренних документах способы проведения процедуры количественной оценки уровня операционного риска, в том числе с использованием средств автоматизации.

2.1.5. Качественная оценка уровня операционного риска, проводимая в отношении выявленных операционных рисков в дополнение к количественной оценке и включающая следующие способы:

a)самооценку операционного риска в соответствии с абзацами шестым, восьмым тринадцатым настоящего подпункта;
b)профессиональную оценку выделенными для данной процедуры работниками подразделений финансовой организации (головной финансовой организации банковской группы) и (или) внешними экспертами с учетом установленных финансовой организацией (головной финансовой организации банковской группы) во внутренних документах правил привлечения внешних экспертов;
c)сценарный анализ операционных рисков, в том числе моделирование угроз, включающее анализ потенциальных источников реализации операционного риска и возможных потерь от них (далее моделирование угроз), с учетом осуществляемых финансовой организацией процессов и форм (способов) контроля операционного риска.

Финансовая организация (головная финансовая организация банковской группы) разрабатывает во внутренних документах методы проведения процедуры качественной оценки уровня операционного риска, в том числе с использованием средств автоматизации.

Подразделение, ответственное за организацию управления операционным риском, разрабатывает на ежегодной основе план мероприятий по проведению качественной оценки уровня операционного риска с обязательным включением в него перечня критически важных процессов, определенных финансовой организацией (головной финансовой организацией банковской группы) в соответствии с подпунктом 4.1.1 пункта 4.1 настоящего Положения, и перечня процессов, уровень существенности операционного риска у которых по результатам качественных оценок, предшествующих дате проведения качественной оценки уровня операционного риска, был высоким или очень высоким в соответствии с абзацем одиннадцатым настоящего подпункта или не оценивался в течение двух лет, предшествующих дате проведения качественной оценки уровня операционного риска, в отношении которых осуществляется качественная оценка уровня операционного риска, с указанием ответственных и участвующих подразделений финансовой организации (головной финансовой организации банковской группы) (далее план проведения качественной оценки). Коллегиальный исполнительный орган финансовой организации (головной финансовой организации банковской группы) утверждает план проведения качественной оценки.

Подразделения финансовой организации (головной финансовой организации банковской группы) осуществляют оценку уровня операционного риска в соответствии с планом проведения качественной оценки.

Самооценка операционного риска проводится подразделениями финансовой организации (головной финансовой организации банковской группы) в отношении выполняемых ими процессов в соответствии с внутренними документами финансовой организации (головной финансовой организации банковской группы) не реже одного раза в год по установленной во внутренних документах методике (в виде анкетирования выделенных для самооценки операционного риска работников подразделений финансовой организации (головной финансовой организации банковской группы) по направлениям деятельности, в том числе в разрезе составляющих их процессов, которые включены в план проведения качественной оценки, с использованием формализованных анкет).

Самооценка операционного риска проводится финансовой организацией (головной финансовой организацией банковской группы) в отношении всех видов операционного риска в соответствии с планом проведения качественной оценки.

Финансовая организация (головная финансовой организации банковской группы) определяет критерии самооценки операционного риска, которые должны включать:

a)критерии оценки уровня существенности операционного риска (с соотнесением к четырехуровневой шкале: «очень высокий», «высокий», «средний», «низкий»), включая критерии оценки потерь и количественной и качественной оценки вероятности реализации операционного риска в условиях текущего процесса;
b)критерии оценки эффективности форм (способов) контроля (с учетом уровня регламентации и автоматизации мер уменьшения негативного влияния оцениваемого операционного риска), как действующих на момент проведения оценки, так и рассматриваемых финансовой организацией (головной финансовой организацией банковской группы) к внедрению;
c)критерии оценки уровня возможных потерь при реализации операционного риска с учетом оценки эффективности форм (способов) контроля (далее уровень остаточного риска).

Финансовая организация (головная финансовая организация банковской группы) разрабатывает требования к проведению профессиональной оценки уровня операционного риска выделенными для данной процедуры работниками подразделений финансовой организации (головной финансовой организации банковской группы) и (или) внешними экспертами с указанием сроков, правил и порядка ее проведения.

Финансовая организация (головная финансовая организация банковской группы) разрабатывает во внутренних документах методы проведения профессиональной оценки уровня операционного риска выделенными для данной процедуры работниками подразделений финансовой организации (головной финансовой организации банковской группы) на основе требований к ее проведению.

Финансовая организация (головная финансовая организация банковской группы) разрабатывает во внутренних документах методику сценарного анализа операционных рисков и порядок его проведения.

Финансовая организация (головная финансовая организация банковской группы) определяет в порядке проведения сценарного анализа операционных рисков критерии проведения сценарного анализа операционных рисков в отношении выявленных операционных рисков в ходе качественной оценки уровня операционного риска, проводимой в соответствии с планом проведения качественной оценки, а также в отношении источников операционного риска, которые не реализовались в деятельности финансовой организации (головной финансовой организации банковской группы), по которым уровень существенности операционного риска оценивается как высокий или очень высокий в соответствии с абзацем одиннадцатым настоящего подпункта.

Финансовая организация (головная финансовая организация банковской группы) проводит оценку негативного влияния выявленных сценариев реализации операционных рисков и источников операционного риска на свою деятельность в разрезе направлений деятельности и составляющих их процессов с учетом задействованных при их выполнении других процессов и (или) информационных систем, а также с учетом участия третьих лиц (внешних подрядчиков, контрагентов, участников банковской группы) в выполнении процессов финансовой организации (головной финансовой организации банковской группы) (далее зависимость процессов от третьих лиц (внешних подрядчиков, контрагентов, участников банковской группы).

Финансовая организация (головная финансовая организация банковской группы) в целях проведения качественной оценки видов операционного риска разрабатывает во внутренних документах методику моделирования угроз реализации вида операционного риска и порядок проведения моделирования угроз, в том числе порядок оценки негативного влияния угроз по шкале качественных оценок, разработанной в соответствии с абзацем двенадцатым подпункта 3.13.2 пункта 3.13 настоящего Положения.

2.1.6. Выбор и применение способа реагирования на операционный риск по результатам мероприятий, утвержденных в соответствии с абзацем шестым подпункта 2.1.5 настоящего пункта, в срок не более трех месяцев со дня проведения оценки уровня операционного риска, включая следующие способы реагирования:

a)уклонение от риска, предусматривающее отказ финансовой организации (головной финансовой организации банковской группы) от оказания соответствующего вида услуг и операций в связи с высоким уровнем операционного риска в них;
b)передачу риска, предусматривающую страхование, передачу риска другой стороне контрагенту и (или) клиенту;
c)принятие риска, предусматривающее готовность финансовой организации (головной финансовой организации банковской группы) принять возможные потери в рамках установленного лимита потерь с процедурой контроля соблюдения лимита;
d)принятие мер, направленных на уменьшение негативного влияния операционного риска на качество процессов, величины потерь от реализации операционного риска до учета возмещения (далее валовые потери), включая разработку финансовой организацией (головной финансовой организации банковской группы) форм (способов) контроля, которые включают:
e)изменения, вносимые в процессы;
f)установление дополнительных форм (способов) контроля;
g)обучение работников, в том числе участников процессов;
h)применение автоматизированных решений;
i)другие меры, направленные на уменьшение негативного влияния операционного риска.

Рекомендуемый перечень возможных мер, направленных на уменьшение негативного влияния операционного риска, приведен в приложении 3 к настоящему Положению.

Финансовая организация (головная финансовая организация банковской группы) выбирает и применяет способы реагирования на операционный риск в зависимости от оценки уровня операционного риска, в том числе уровня потерь от реализации операционного риска и событий операционного риска.

Финансовая организация (головная финансовая организация банковской группы) определяет во внутренних документах порядок проведения процедуры выбора и применения способа реагирования на операционный риск, в том числе методы оценки стоимости выбранного способа реагирования.

Финансовая организация (головная финансовая организация банковской группы) разрабатывает меры, направленные на уменьшение негативного влияния операционного риска, с учетом оценки их эффективности и уровня остаточного риска (по результатам реализации мероприятий, направленных на повышение качества системы управления операционным риском и уменьшение негативного влияния операционного риска).

2.1.7. Мониторинг операционного риска, включающий следующие способы:

a)установление и мониторинг КИР;
b)анализ статистики событий операционного риска, в том числе причин возникновения событий операционного риска и потерь от их реализации;
c)контроль выполнения мероприятий, направленных на повышение качества системы управления операционным риском и уменьшение негативного влияния операционного риска, включая мероприятия, направленные на предотвращение (снижение вероятности) событий операционного риска, и мероприятия, направленные на ограничение размера потерь от реализации событий операционного риска, определенных в соответствии с подпунктом 4.1.5 пункта 4.1 настоящего Положения;
d)контроль выполнения мер, направленных на уменьшение негативного влияния операционного риска, определенных в соответствии с абзацами пятым десятым подпункта 2.1.6 настоящего пункта;
e)контроль соблюдения выбранных способов реагирования на операционные риски;
f)мониторинг потоков информации в рамках реализации операционного риска, поступающей от подразделений финансовой организации (головной финансовой организации банковской группы) и центров компетенций, единоличного и коллегиального органов управления финансовой организации (головной финансовой организации банковской группы), из других источников информации.

Финансовая организация (головная финансовая организация банковской группы) определяет во внутренних документах процедуру мониторинга операционного риска.

Финансовая организация (головная финансовая организация банковской группы) во внутренних документах определяет правила, методы применения процедуры мониторинга операционного риска в зависимости от уровня операционных рисков и способы документирования результатов процедуры мониторинга операционного риска.

Финансовая организация (головная финансовая организация банковской группы) во внутренних документах устанавливает требования к КИР и к их документированию, включающие:

a)количественное измерение КИР;
b)способы расчета КИР, в том числе с использованием средств автоматизации;
c)периодичность (не реже одного раза в год) проведения оценки в целях пересмотра КИР для обеспечения поддержания КИР в актуальном состоянии;
d)регулярность и своевременность расчета КИР с указанием сроков (периода) расчета КИР (например, в постоянном режиме, один раз в неделю, по состоянию на момент закрытия операционного дня);
e)процедуры валидации значений и данных КИР для проверки корректности расчета;
f)состав информации, используемой для расчета КИР, и ее источников, включая способ получения информации;
g)пороговые значения КИР с обоснованием их установления;
h)наименования и элементы классификации операционных рисков, которые отслеживают КИР;
i)подразделение финансовой организации (головной финансовой организации банковской группы), ответственное за предоставление данных для расчета КИР и (или) расчет КИР;
j)порядок реагирования на превышение пороговых значений КИР.

Для финансовых организаций (головных финансовых организаций банковской группы), являющихся в соответствии со статьей 3 Закона «О национальной платежной системе» операторами платежной системы или операторами услуг платежной инфраструктуры, требования к КИР должны быть установлены с учетом требований к определению показателей бесперебойности функционирования платежной системы, установленных в приложении 1 к Положению «О требованиях к порядку обеспечения бесперебойности функционирования платежной системы, показателям бесперебойности функционирования платежной системы и методикам анализа рисков в платежной системе, включая профили рисков», которые должны рассматриваться в качестве КИР.

Финансовая организация (головная финансовая организация банковской группы) направляет результаты процедуры мониторинга операционного риска на рассмотрение коллегиальному исполнительному органу финансовой организации (головной финансовой организации банковской группы) или другим органам финансовой организации (головной финансовой организации банковской группы), перечень которых определяется во внутренних документах финансовой организации (головной финансовой организации банковской группы), в составе ежеквартального и годового отчетов об управлении операционным риском в соответствии с абзацем вторым и третьим подпункта 4.2.2 и подпунктом 4.2.3 пункта 4.2 настоящего Положения.

2.2. Финансовая организация (головная финансовая организация банковской группы) предусматривает во внутренних документах, регламентирующих процедуры управления операционным риском, функции и обязанность подразделений финансовой организации (головной финансовой организации банковской группы), участвующих на различных этапах процессов (далее подразделение участник процессов), а также подразделений, ответственных за осуществление операций и сделок и за результаты процесса, участвовать в выявлении операционного риска и сборе информации о событиях операционного риска и потерях от его реализации, в качественной оценке операционного риска.

2.3. Финансовая организация (головная финансовая организация банковской группы) включает информацию о результатах проведения процедур управления операционным риском, установленных пунктом 2.1 настоящего Положения, в состав ежеквартального и годового отчетов об управлении операционным риском в соответствии с абзацем вторым подпункта 4.2.2 и подпунктом 4.2.3 пункта 4.2 настоящего Положения.

2.4. Финансовая организация (головная финансовая организация банковской группы) определяет во внутренних документах, регламентирующих процедуры управления операционным риском, способы их проведения, перечисленные в настоящей главе, с учетом требований, указанных в главе 9 настоящего Положения.

2.5. Оценка эффективности выполнения процедур управления операционным риском финансовой организации (головной финансовой организации банковской группы) производится уполномоченным подразделением с учетом требований подпункта 4.1.4 пункта 4.1, пунктов 4.4, 4.6, 6.12, 6.17, 6.19, 7.11, 8.4, подпункта 8.8.8 пункта 8.8 и главы 9 настоящего Положения и приложения 1 к настоящему Положению. Отчет о результатах оценки эффективности выполнения процедур управления операционным риском (в том числе на предмет их полноты и корректности) предоставляется уполномоченным подразделением на рассмотрение совету участников (наблюдательному совету) и коллегиальному исполнительному органу финансовой организации (головной финансовой организации банковской группы) в срок, установленный во внутренних документах финансовой организации (головной финансовой организации банковской группы).

.

Глава 3. Классификатор событий операционного риска.

.

3.1. Финансовая организация (головная финансовая организация банковской группы) классифицирует все события операционного риска в разрезе следующих элементов: источников операционного риска, типов событий операционного риска, направлений деятельности, в том числе в разрезе составляющих их процессов, и видов потерь от реализации операционного риска.

3.2. Финансовая организация (головная финансовая организация банковской группы) для всех видов операционного риска определяет во внутренних документах единый классификатор событий операционного риска в разрезе элементов, перечисленных в пункте 3.1 настоящего Положения. Единый классификатор событий операционного риска должен обновляться финансовой организацией (головной финансовой организации банковской группы) с учетом изменений осуществляемых операций и (или) действующих процессов финансовой организации (головной финансовой организации банковской группы).

3.3. Источники операционного риска классифицируются финансовой организацией (головной финансовой организацией банковской группы) на следующие категории:

3.3.1. К первой категории относятся недостатки процессов, в том числе ненадежная и (или) неэффективная организация внутренних процессов управления в финансовой организации и совершения банковских и других операций, а также несоответствие указанных процессов деятельности финансовой организации и (или) требованиям законодательства (далее недостатки процессов);

3.3.2. Ко второй категории относятся недостатки, связанные с действиями персонала финансовой организации (непреднамеренные ошибки, умышленные действия или бездействие) и других связанных с финансовой организацией лиц, включая собственников, а также лиц, связанных с финансовой организацией в рамках агентских отношений по выполнению работ (оказанию услуг) от лица финансовой организации в соответствии со статьей 64.1 Закона «О Центральном банке» (далее действия персонала и других связанных с финансовой организацией лиц);

3.3.3. К третьей категории относятся отказы и (или) нарушения функционирования применяемых финансовой организацией информационных, технологических и других систем, оборудования и (или) несоответствие их функциональных возможностей и характеристик потребностям финансовой организации (далее сбои систем и оборудования);

3.3.4. К четвертой категории относится воздействие внешних причин, включая действия третьих лиц, в том числе действия суда и исполнительных государственных органов, Государственного банка, других организаций, а также другие воздействия внешнего характера (далее внешние причины).

3.4. Финансовая организация (головная финансовая организация банковской группы) во внутренних документах определяет последующие уровни классификации источников событий операционного риска.

3.5. У одного и того же события операционного риска может быть один источник или несколько источников операционного риска. В случае если финансовой организацией (головной финансовой организацией банковской группы) определено более одного источника операционного риска, в отношении реализовавшегося события операционного риска в базе событий финансовая организация (головная финансовая организация банковской группы) указывает все выявленные источники события операционного риска и определяет наиболее значимый источник операционного риска.

3.6. Классификация типов событий операционного риска осуществляется финансовой организацией (головной финансовой организацией банковской группы) следующим образом:

3.6.1. совершение работниками финансовой организации и другими связанными с финансовой организацией лицами, включая собственников, а также физическими лицами, связанными с финансовой организацией в рамках агентских отношений по выполнению работ (оказанию услуг) от лица финансовой организации, преднамеренных действий или преднамеренное бездействие указанных лиц, направленные на присвоение, хищение, уничтожение, нанесение ущерба материальным и нематериальным активам или другому имуществу финансовой организации и (или) средствам клиентов, нарушение процессов, препятствующие достижению целей финансовой организации, в том числе умышленное несоблюдение нормативных актов или внутренних документов финансовой организации в целях извлечения материальной и нематериальной выгоды (далее преднамеренные действия персонала);

3.6.2. совершение третьими лицами преднамеренных действий, направленных на присвоение, хищение, уничтожение, нанесение ущерба материальным и нематериальным активам или другому имуществу финансовой организации и (или) средствам клиентов (за исключением вандализма), нарушение процессов и ухудшение работы систем, препятствующих достижению стратегии развития финансовой организации или нарушающих законодательство, в том числе приобретение гражданских прав на имущество финансовой организации обманным путем (далее преднамеренные действия третьих лиц);

3.6.3. нарушение со стороны финансовой организации трудового законодательства, кадровой политики, условий труда и безопасности, требований по охране труда или охране здоровья, связанных с выплатами работникам финансовой организации по исковым требованиям (в том числе по искам о возмещении морального и материального вреда или искам в связи с дискриминацией), а также вследствие прекращения трудовых отношений (далее нарушение кадровой политики и безопасности труда);

3.6.4. нарушение со стороны финансовой организации гражданских прав клиентов и контрагентов, включая нанесение им ущерба, при оказании им услуг и совершении операций, включая нарушение условий договоров и сохранности конфиденциальной информации, ставшей доступной финансовой организации в процессе взаимодействия с клиентами и контрагентами по операциям и сделкам при оказании услуг, предоставлении банковских услуг с условием приобретения клиентом сопутствующих услуг финансовой организации или третьих лиц и нарушение законодательства в сфере защиты гражданских прав потребителей, а также антимонопольного законодательства (далее нарушение гражданских прав клиентов и контрагентов);

3.6.5. ущерб материальным активам финансовой организации вследствие снижения стоимости имущества, потери свойств материальных активов финансовой организации в результате стихийных бедствий, техногенных катастроф, эпидемий, беспорядков, вандализма и военных действий (далее ущерб материальным активам);

3.6.6. нарушение и сбои систем и оборудования, обеспечивающих функционирование деятельности финансовой организации (далее нарушение и сбои систем и оборудования);

3.6.7. нарушение организации, исполнения и управления процессами финансовой организации, включая ошибки при обработке операций, недостатки обеспечения функционирования процессов, недостатки систем управления рисками, внутреннего контроля, учета и отчетности, системы обеспечения информационной безопасности, недостатки внутренних процедур противодействия легализации (отмыванию) доходов, полученных преступным путем, финансированию насилия и финансированию распространения оружия массового уничтожения, недостатки в процессах взаимоотношений с торговыми контрагентами и поставщиками, за исключением действий, перечисленных в подпункте 3.6.1 настоящего пункта (далее нарушение организации, исполнения и управления процессами).

3.7. Для отдельных видов операционного риска в целях классификации событий операционного риска в базе событий финансовой организацией (головной финансовой организацией банковской группы) применяются дополнительные типы событий операционного риска в разрезе классификации типов событий в соответствии с пунктом 3.6 настоящего Положения.

3.8. Финансовая организация (головная финансовая организация банковской группы) определяет во внутренних документах детализированную классификацию типов событий операционного риска в соответствии с приложением 4 к настоящему Положению, а также вправе определить более детализированную классификацию типов событий операционного риска с учетом осуществляемых операций и (или) действующих процессов финансовой организации (головной финансовой организации банковской группы).

3.9. События операционного риска классифицируются финансовой организацией (головной финансовой организации банковской группы) по основным направлениям деятельности первого уровня следующим образом:

3.9.1. оказание услуг юридическим лицам, государственным органам и местного самоуправления по организации доступа к рынкам капитала, оптимизации структуры активов и повышению качества корпоративного управления, слияниям и поглощениям, оказанию консультационных услуг финансового посредничества, в том числе при организации синдицированного финансирования (корпоративное финансирование);

3.9.2. осуществление операций и сделок с финансовыми инструментами торгового портфеля (операции и сделки на финансовом рынке);

3.9.3. оказание банковских услуг розничным клиентам, кроме брокерских и депозитарных услуг (розничное банковское обслуживание);

3.9.4. оказание юридическим лицам банковских услуг, за исключением основного направления деятельности первого уровня, указанного в подпункте 3.9.1 настоящего пункта (коммерческое банковское обслуживание корпоративных клиентов);

3.9.5. осуществление переводов денежных средств, платежей и расчетов через платежные системы, в том числе платежную систему Государственного банка, в которых финансовая организация выступает как оператор по переводу денежных средств, в том числе платежей по собственным операциям, за исключением внутрибанковских операций по организации услуг по проведению платежей, расчетов и взаимодействия с клиентом в рамках предоставления банковских услуг, относящихся к основным направлениям деятельности первого уровня, указанным в подпунктах 3.9.3, 3.9.4, 3.9.6 3.9.8 настоящего пункта (осуществление переводов денежных средств, платежей и расчетов через платежные системы);

3.9.6. оказание агентских и депозитарных услуг, в том числе услуг по хранению сертификатов ценных бумаг и (или) их учету, обеспечению сохранности активов и документов клиентов (агентские и депозитарные услуги);

3.9.7. управление активами клиентов по договорам доверительного управления (управление активами);

3.9.8. брокерское обслуживание розничных клиентов (розничное брокерское обслуживание);

3.9.9. обеспечивающие и организационные направления деятельности, например, бухгалтерский учет, административнохозяйственная деятельность, управление рисками, деятельность по обеспечению функционирования информационных систем, обеспечение физической безопасности, противопожарной безопасности и охраны труда, юридическое сопровождение, управление персоналом, корпоративное управление и управление капиталом финансовой организации (головной финансовой организацией банковской группы) (обеспечение деятельности финансовой организации).

3.10. Финансовая организация (головная финансовая организация банковской группы) определяет во внутренних документах классификацию направлений деятельности, в том числе в разрезе составляющих их процессов, до второго уровня и далее с учетом осуществляемых операций и (или) действующих процессов финансовой организации (головной финансовой организации банковской группы).

В случае если финансовой организацией (головной финансовой организацией банковской группы) определено более одного направления деятельности первого уровня в отношении реализовавшегося события операционного риска, финансовая организация (головная финансовая организация банковской группы) указывает в базе событий все направления деятельности первого уровня, в которых реализовалось событие операционного риска, и определяет наиболее значимое направление деятельности первого уровня.

3.11. Виды потерь от реализации событий операционного риска подразделяются финансовой организацией (головной финансовой организацией банковской группы) на прямые и непрямые потери.

3.12. Прямые потери, отраженные на счетах по учету расходов, убытков в бухгалтерском учете в соответствии с Положением «О порядке определения доходов, расходов и прочего совокупного дохода финансовых организаций», и приравненных к ним счетах по учету дебиторской задолженности, классифицируются финансовой организацией (головной финансовой организацией банковской группы) по следующим видам.

3.12.1. Снижение (обесценение) стоимости активов. Данный вид потерь включает в себя следующие виды потерь второго уровня:

a)потеря активов, за исключением наличных денежных средств, в результате хищения;
b)потеря наличных денежных средств в результате хищения или физического уничтожения;
c)обесценение стоимости займа в результате начисления дополнительных резервов в соответствии с Положением «О порядке формирования финансовыми организациями резервов на возможные потери по ссудам, ссудной и приравненной к ней задолженности», Положением «О порядке формирования финансовыми организациями резервов на возможные потери», и Указанием «О формировании и размере резерва на возможные потери под операции финансовых организаций с резидентами офшорных зон», в случае увеличения финансового риска изза реализации события операционного риска;
d)расходы на создание резервов по счетам бухгалтерского учета для покрытия потерь от реализации события операционного риска с учетом видов резервов, за исключением резервов, приведенных в абзаце пятом подпункта 3.12.6 настоящего пункта;
e)потери, отраженные на счетах бухгалтерского учета, не связанных с балансовыми счетами расходов;
f)потери, отраженные на счетах бухгалтерского учета, отнесенных к счетам расходов;
g)расходы, связанные с мероприятиями по возврату финансовых средств и других финансовых активов, возникшими по причине операционного риска;
h)отрицательная переоценка стоимости торгового портфеля и (или) финансового инструмента в части, обусловленной нарушением правил совершения сделок и операций с инструментами торгового портфеля, правил совершения операций, определенных во внутренних документах финансовой организации (например, нарушение лимита сделки);
i)начисление амортизационных расходов по причине операционного риска (например, при списании с баланса оборудования, испорченного в результате события операционного риска).

3.12.2. Досрочное списание (выбытие, потеря, уничтожение) материальных и нематериальных, финансовых активов в результате реализации события операционного риска.

3.12.3. Денежные выплаты клиентам, контрагентам, работникам финансовой организации и другим третьим лицам в целях компенсации им во внеочередном порядке убытков, понесенных ими как в результате действий третьих лиц, так и в результате реализации иных источников операционного риска, в том числе компенсированные финансовой организацией хищения средств клиентов, контрагентов, работников и третьих лиц (с раздельным учетом потерь, которые были компенсированы финансовой организацией, и потерь, которые впоследствии были компенсированы третьими лицами, в том числе страховыми организациями, иностранными страховыми организациями).

Финансовая организация (головная финансовая организация банковской группы) классифицирует вид прямых потерь, указанный в абзаце первом настоящего подпункта, в разрезе работников, а также клиентов, контрагентов и третьих лиц по следующим группам: физические лица, индивидуальные предприниматели, лица, занимающиеся частной практикой, юридические лица.

3.12.4. Денежные выплаты работникам финансовой организации в целях компенсации им во внеочередном порядке убытков, понесенных ими по вине финансовой организации.

3.12.5. Потери от ошибочных платежей, включающие:

потери в размере ошибочного платежа;

потери в виде уплаченных комиссий по проведению ошибочного платежа;

потери, связанные с поиском возможности возврата ошибочного платежа.

3.12.6. Расходы (выплаты), связанные с решениями суда и (или) представительством финансовой организации в судах по делам, связанным с потерями от реализации событий операционного риска, включающие:

a)расходы на работников финансовой организации, представляющих интересы финансовой организации в суде по делам, связанным с реализацией событий операционного риска, не включая расходы на фонд оплаты труда;
b)выплаты и компенсации по решению суда по делам, связанным с реализацией событий операционного риска;
c)расходы на адвокатов и исполнительных представителей по делам (в случае отказа суда от удовлетворения иска в целом или в части) в величине потерь от реализации событий операционного риска;
d)начисление резервов по прочим потерям и резервов оценочных обязательств нефинансового характера в соответствии с пунктом 6.1 Положения «О порядке формирования финансовыми организациями резервов на возможные потери» по предъявленным претензиям и исполнительным искам.

3.12.7. Штрафы, наложенные исполнительными государственными органами и (или) Государственным банком.

3.12.8. Расходы на устранение последствий реализации события операционного риска, направленные на восстановление деятельности и (или) снижение потерь от реализовавшегося события операционного риска.

3.12.9. Отрицательный финансовый результат от невыгодных для финансовой организации сделок, совершенных по причине операционного риска, в том числе переоценка стоимости активов в сторону уменьшения и (или) исключения из расчета величины собственных средств (капитала) по предписанию Государственного банка.

3.12.10. Прочие потери, связанные с реализацией события операционного риска или устранением последствий события операционного риска.

3.13. Непрямые потери финансовой организации (головной финансовой организации банковской группы с учетом влияния событий операционного риска участников банковской группы), не отраженные в бухгалтерском учете, но косвенно связанные с событиями операционного риска, классифицируются финансовой организацией (головной финансовой организации банковской группы) на потери, определяемые расчетным методом в денежном выражении (далее косвенные потери), потери, определяемые с использованием экспертного мнения (далее качественные потери) в случае, если потери не выражены в денежном выражении расчетным способом, а также потери финансовой организации, не реализовавшиеся в виде прямых и косвенных потерь, которые могли бы возникнуть при реализации не выявленных финансовой организацией источников операционного риска и (или) при неблагоприятном стечении обстоятельств (например, нарушение работником финансовой организации лимита, которое при данном стечении обстоятельств не привело к прямым потерям в результате реализации события операционного риска) (далее потенциальные потери).

3.13.1. Косвенные потери включают в себя:

a)недополученные доходы от приостановления или прекращения совершения операций, вызванных событиями операционного риска (например, приостановления или прекращения работы систем, оборудования);
b)неполученные доходы, связанные с не проведением отдельных сделок и операций по причине реализации событий операционного риска, не связанных с приостановлением и (или) прекращением совершения операций;
c)повышение стоимости заимствований, например, стоимости привлечения финансовых средств, в результате события операционного риска;
d)снижение рыночной стоимости акций финансовой организации или инструментов капитала финансовой организации по причине реализации события операционного риска;
e)потери, связанные с восстановлением ликвидности изза оттока денежных средств по причине реализации операционного риска;
f)прочие потери, связанные с устранением последствий или снижением потерь от реализации операционного риска, за исключением потерь, определенных в соответствии с подпунктами 3.12.8 и 3.12.10 пункта 3.12 настоящего Положения.

3.13.2. Качественные потери включают в себя:

a)возникновение источников других видов риска (например, финансового риска, установленного/рыночного риска, риска ликвидности, риска потери деловой репутации, регуляторного риска, стратегического риска);
b)нарушение операционной устойчивости финансовой организации (головной финансовой организации банковской группы) в случае, если финансовая организация (головная финансовая организация банковской группы) не определила его в денежном выражении, и (или) приостановку основных и прочих процессов, определяемых финансовой организацией (головной финансовой организацией банковской группы) в соответствии с подпунктом 4.1.1 пункта 4.1 настоящего Положения, в результате события операционного риска, в том числе возникшего в результате сбоев систем и оборудования;
c)отток клиентов;
d)неисполнение обязательств по сделке и (или) неоказание услуги;
e)ограничения, приводящие к выполнению невыгодных для финансовой организации действий, накладываемые со стороны исполнительных государственных органов, Государственного банка;
f)снижение качества предоставления услуг, выполнения операций (например, нарушение регламентированных сроков выполнения процессов и операций, установленных во внутренних документах финансовой организации);
g)утечку, потерю или искажение защищаемой, в том числе коммерческой, информации;
h)исполнительные акты (решения, определения, постановления), акты исполнительных государственных органов, Государственного банка, не связанные с уплатой штрафов;
i)снижение лимитов на межбанковское финансирование;
j)другие качественные потери.

Финансовая организация (головная финансовая организация банковской группы) в отношении каждой качественной потери проводит оценку ее значимости в соответствии с установленной во внутренних документах финансовой организации (головной финансовой организации банковской группы) шкалой качественных оценок потерь по четырехуровневой шкале: «очень высокие», «высокие», «средние», «низкие».

Финансовая организация (головная финансовая организация банковской группы) устанавливает во внутренних документах критерии шкалы качественных оценок и методику определения оценок для качественных потерь от реализации события операционного риска, включая критерии соотнесения шкалы качественных оценок с количественными потерями.

3.13.3. Потенциальные потери включают в себя:

a)потери (в том числе хищение) средств клиентов, контрагентов, работников и третьих лиц, которые не были компенсированы финансовой организацией, с учетом положений абзаца восьмого пункта 6.5 настоящего Положения, включая потери средств физических лиц, в том числе индивидуальных предпринимателей, юридических лиц, штрафы, наложенные на должностных лиц финансовой организации;
b)другие потенциальные потери.

Финансовая организация (головная финансовая организация банковской группы) классифицирует потери, указанные в абзаце втором настоящего подпункта, в разрезе клиентов и контрагентов по следующим группам:

физические лица, бизнесмены, лица, занимающиеся частной практикой, юридические лица.

3.14. В случае если финансовая организация (головная финансовая организация банковской группы) использует дополнительную классификацию видов потерь, финансовая организация (головная финансовая организация банковской группы) устанавливает их во внутренних документах, включая порядок их определения и актуализации.

3.15. Финансовая организация (головная финансовая организация банковской группы) устанавливает во внутренних документах методы и порядок определения прямых и непрямых потерь, порядок отнесения расходов финансовой организации (головной финансовой организацией банковской группы) по событиям операционного риска.

.

Глава 4. Дополнительные элементы системы управления операционным риском.

.

4.1. Система управления операционным риском в финансовой организации (головной финансовой организации банковской группы) в дополнение к элементам, предусмотренным в пункте 1.3 настоящего Положения, включает следующие элементы:

4.1.1. Перечень процессов финансовой организации (головной финансовой организации банковской группы), отнесенных к направлениям деятельности (в разрезе составляющих их процессов), приведенным в пункте 3.9 настоящего Положения, в том числе технологических процессов, требующих обеспечения информационного взаимодействия, обработки и хранения информации с помощью информационных систем (далее технологические процессы), с указанием уровня их критичности, функций подразделений, ответственных за осуществление операций и сделок и за результаты процесса, и подразделений участников процессов.

По уровню критичности процессы финансовой организации (головной финансовой организации банковской группы) подразделяются на критически важные, основные и прочие.

К критически важным процессам относятся процессы, которые обеспечивают выполнение операций финансовой организации (головной финансовой организации банковской группы), указанных в пунктах 1 4 и 9 части первой статьи 5 Закона «О банках и банковской деятельности», ведение бухгалтерского учета, представление отчетности в Государственный банк в соответствии с Указанием «О перечне, формах и порядке составления и представления форм отчетности финансовых организаций в Государственный банк», поддержание ликвидности, выполнение операций на финансовых рынках, кассовых операций, работу онлайнсервисов дистанционного обслуживания и доступа к осуществлению операций, соблюдение требований Закона «О персональных данных», Трудового законодательства, Закона «О банках и банковской деятельности» (далее критически важные операции), а также другие процессы, которые определены финансовой организацией (головной финансовой организацией банковской группы) и прерывание функционирования которых оказывает влияние на выполнение обязательств перед клиентами и контрагентами финансовой организации (головной финансовой организации банковской группы).

К основным процессам относятся процессы, которые обеспечивают выполнение операций, указанных в пунктах 5 7.3 части первой статьи 5 Закона «О банках и банковской деятельности», в случае если они не отнесены финансовой организацией (головной финансовой организацией банковской группы) к критически важным процессам, а также процессы, которые обеспечивают выполнение операций и услуг, объем которых формирует величину расходов и (или) доходов финансовой организации (головной финансовой организации банковской группы) более 5 процентов от дохода за отчетный год для целей расчета капитала на покрытие операционного риска, определяемого в соответствии с пунктом 3 Положения «О порядке расчета размера операционного риска», (далее доход за год для целей расчета капитала на покрытие операционного риска), в случае если финансовая организация применяет для целей расчета размера операционного риска Положение «О порядке расчета размера операционного риска», или более 5 процентов от величины бизнесиндикатора финансовой организации (головной финансовой организации банковской группы) на последнюю дату ее расчета, которая определяется в соответствии с пунктом 2.2 Положения «О порядке расчета размера операционного риска («Базель III») и осуществления Государственным банком надзора за его соблюдением», в случае если финансовая организация применяет для целей расчета размера операционного риска Положение «О порядке расчета размера операционного риска («Базель III») и осуществления Государственным банком надзора за его соблюдением». Финансовая организация (головная финансовая организация банковской группы) проводит регулярный (не реже одного раза в год) анализ необходимости пересмотра основных процессов с учетом пункта 4.6 настоящего Положения.

К прочим процессам относятся процессы, не отнесенные финансовой организацией (головной финансовой организацией банковской группы) к критически важным процессам или основным процессам.

4.1.2. Политика управления операционным риском и внутренние документы, описывающие процедуры управления операционным риском, а также процедуры оценки эффективности функционирования системы управления операционным риском.

4.1.3. Внутренние документы, устанавливающие в финансовой организации (головной финансовой организации банковской группы) структуру и организацию системы управления операционным риском, в том числе полномочия и функции руководителей подразделения, ответственного за организацию управления операционным риском, специализированных подразделений, центров компетенций с учетом исключения конфликта интересов.

Дочерние финансовые организации должны согласовывать внутренние документы по структуре и организации системы управления операционным риском, а также внутренние документы, указанные в подпункте 4.1.2 настоящего пункта, с головной финансовой организацией банковской группы.

4.1.4. Порядок оценки уполномоченным подразделением и (или) организацией, осуществляющей внешний аудит, эффективности функционирования системы управления операционным риском, в том числе выполнения принятых в финансовой организации (головной финансовой организации банковской группы) процедур управления операционным риском.

Финансовая организация (головная финансовая организация банковской группы) определяет во внутренних документах уполномоченное подразделение, а также правила привлечения для оценки эффективности функционирования системы управления операционным риском внешних экспертов.

4.1.5. Комплекс мероприятий, направленных на повышение качества системы управления операционным риском и уменьшение негативного влияния операционного риска, включая мероприятия, направленные на предотвращение и (или) снижение вероятности событий операционного риска, и мероприятия, направленные на ограничение размера потерь от реализации событий операционного риска, включая случаи фактической реализации риска нарушения непрерывности деятельности финансовой организации (головной финансовой организации банковской группы), в том числе случаи фактического нарушения требований к операционной надежности (далее событие риска нарушения непрерывности деятельности).

Мероприятия, направленные на предотвращение и (или) снижение вероятности событий операционного риска, включают:

a)реализацию финансовой организацией (головной финансовой организацией банковской группы) способов контроля, например, указанных в пунктах 10, 11, 15, 17, 18, 28 приложения 3 к настоящему Положению, на этапах процессов, в которых выявлены операционные риски;
b)изменение финансовой организацией (головной финансовой организацией банковской группы) процессов и распределение обязанностей для обеспечения исключения конфликта интересов;
c)документирование финансовой организацией (головной финансовой организацией банковской группы) результатов выполнения процедур контроля в процессах;
d)обеспечение финансовой организацией (головной финансовой организацией банковской группы) контроля совершения операций и сделок, включая установление во внутренних документах финансовой организации (головной финансовой организации банковской группы) требований к третьим лицам (внешним подрядчикам, контрагентам, участникам банковской группы), обеспечивающим выполнение критически важных процессов и (или) функционирование информационных систем финансовой организации (головной финансовой организации банковской группы), в части системы управления операционным риском третьих лиц (внешних подрядчиков, контрагентов, участников банковской группы), в том числе риском нарушения непрерывности деятельности, и реализации контроля за соблюдением данных требований;
e)исключение совершения неконтролируемых финансовой организацией (головной финансовой организацией банковской группы) операций и сделок;
f)другие мероприятия, разрабатываемые финансовой организацией (головной финансовой организацией банковской группы) в зависимости от вида и характеристик процесса, в том числе мероприятия, разрабатываемые в целях управления риском нарушения непрерывности деятельности.

Мероприятия, направленные на ограничение размера потерь от реализации событий операционного риска, включают:

a)установление финансовой организацией (головной финансовой организацией банковской группы) пороговых значений в отношении полномочий принятия решений и определения лимитов операционного риска, контроля за соблюдением полномочий;
b)внедрение финансовой организацией (головной финансовой организацией банковской группы) элементов автоматизации участков процессов, при выполнении которых выявлены операционные риски по причине ошибок работников;
c)разработку финансовой организацией (головной финансовой организацией банковской группы) планов по обеспечению непрерывности и (или) восстановления критически важных процессов и функционирования информационных систем, включая автоматизированные системы, программные и (или) программноаппаратные средства, телекоммуникационное оборудование и линии связи, эксплуатация и использование которых обеспечивается финансовой организацией (головной финансовой организацией банковской группы) для осуществления процессов и операций (далее объекты информационной инфраструктуры), а также планов по обеспечению безопасности и целостности информационных систем и информации, в том числе в соответствии с требованиями главы 8 настоящего Положения, с учетом внешних факторов, влияющих на критически важный процесс и (или) информационную систему и их тестирование в случаях реализации операционного риска, влияющих на непрерывность осуществления критически важных процессов и (или) функционирование информационных систем и предусмотренных сценариями реализации операционного риска, определенными в рамках проведения сценарного анализа в соответствии с подпунктом 2.1.5 пункта 2.1 настоящего Положения, включая систему быстрого реагирования на события операционного риска;
d)определение способа и порядка возмещения потерь от реализации событий операционного риска, например, с использованием переноса риска на участников финансового рынка, страхования;
e)юридическое обеспечение исполнительных процессов с участием финансовой организации (головной финансовой организации банковской группы);
f)юридическое сопровождение процессов, договоров и документации финансовой организации (головной финансовой организации банковской группы), в том числе с третьими лицами (внешними подрядчиками, контрагентами, участниками банковской группы);
g)другие мероприятия, направленные на ограничение размера потерь от реализации событий операционного риска.

Финансовая организация (головная финансовая организация банковской группы) в зависимости от осуществляемых операций и (или) действующих процессов определяет во внутренних документах комплекс мероприятий, направленных на повышение качества системы управления операционным риском и уменьшение негативного влияния операционного риска.

Головная финансовая организация банковской группы должна обеспечить выполнение комплекса мероприятий, направленных на повышение качества системы управления операционным риском и уменьшение негативного влияния операционного риска, реализуемого у участников банковской группы.

4.1.6. Способы мотивации работников финансовой организации (головной финансовой организации банковской группы) к совершению следующих действий при участии в управлении операционным риском:

a)инициативное информирование работниками финансовой организации (головной финансовой организации банковской группы) о возможных операционных рисках и выявленных событиях операционного риска;
b)участие работников финансовой организации (головной финансовой организации банковской группы) в процедурах управления операционным риском, указанных в главе 2 настоящего Положения;
c)направление работниками финансовой организации (головной финансовой организации банковской группы) предложений по мероприятиям, направленным на повышение качества системы управления операционным риском и уменьшение негативного влияния операционного риска;
d)реализация работниками финансовой организации (головной финансовой организации банковской группы) мероприятий, направленных на повышение качества системы управления операционным риском и уменьшение негативного влияния операционного риска, указанных в подпункте 4.1.5 настоящего пункта;
e)другие действия работников финансовой организации (головной финансовой организации банковской группы) по участию в управлении операционным риском.

Финансовая организация (головная финансовая организация банковской группы) определяет во внутренних документах способы мотивации работников финансовой организации (головной финансовой организации банковской группы) в участии в управлении операционным риском, включающие требование соблюдения контрольных показателей уровня операционного риска, установленных в соответствии с главой 5 настоящего Положения, а также категории работников, на которые распространяются способы мотивации, указанные в настоящем подпункте.

4.1.7. Отчеты по операционному риску и информация о событиях операционного риска, формируемые финансовой организацией (головной финансовой организацией банковской группы) в соответствии с пунктом 4.2 настоящего Положения.

4.2. Подразделение, ответственное за организацию управления операционным риском, формирует отчеты по операционному риску на ежеквартальной и ежегодной основе и обеспечивает ежедневное направление информации о событиях операционного риска или предоставление доступа к такой информации руководителю службы управления рисками.

4.2.1. Подразделение, ответственное за организацию управления операционным риском, ежедневно направляет руководителю службы управления рисками информацию о событиях операционного риска, зарегистрированных в базе событий за отчетную дату, предшествующую дате подготовке информации, об обстоятельствах их возникновения и их влиянии на соблюдение плановых (целевых) показателей уровня операционного риска, установленных в соответствии с пунктом 4.5 настоящего Положения, другую информацию (при наличии).

Финансовая организация (головная финансовая организация банковской группы) определяет во внутренних документах порядок информирования руководителя службы управления рисками и критерии значимости событий операционного риска, включаемых в ежедневное информирование по операционному риску.

В случае если в финансовой организации (головной финансовой организации банковской группы) применяются программноаппаратные средства, позволяющие обеспечить автоматизированное формирование информации из базы событий и ее направление в электронном виде руководителю службы управления рисками, а также организацию прямого доступа к базе событий (или другому информационному ресурсу) для самостоятельного просмотра (выгрузки) информации работниками службы управления рисками, финансовая организация (головная финансовая организация банковской группы) определяет во внутренних документах порядок организации этих действий.

4.2.2. Подразделение, ответственное за организацию управления операционным риском, ежеквартально на определенную финансовой организацией (головной финансовой организацией банковской группы) отчетную дату формирует и направляет руководителю службы управления рисками и коллегиальному исполнительному органу финансовой организации (головной финансовой организации банковской группы) следующие отчеты:

a)об управлении операционным риском, содержащий информацию о событиях операционного риска и потерях финансовой организации (головной финансовой организации банковской группы, участников банковской группы) в разрезе элементов классификации событий операционного риска в соответствии с главой 3 настоящего Положения и отдельных видов операционного риска в соответствии с пунктом 1.4 настоящего Положения, содержащий информацию, указанную в подпункте 4.2.4 настоящего пункта, за исключением событий риска информационной безопасности, о результатах проведенных процедур управления операционным риском, в том числе о результатах процедуры количественной и качественной оценки уровня операционного риска, выбранных способах реагирования по результатам проведенной процедуры количественной и качественной оценки уровня операционного риска, результатах мониторинга операционного риска, результатах выполнения мероприятий, направленных на повышение качества системы управления операционным риском и уменьшение негативного влияния операционного риска;
b)о событиях риска информационной безопасности;
c)о фактических значениях контрольных показателей уровня операционного риска (включая контрольные показатели риска информационной безопасности в соответствии с подпунктом 1.2 пункта 1 приложения 1 к настоящему Положению).

4.2.3. Подразделение, ответственное за организацию управления операционным риском, ежегодно формирует и направляет руководителю службы управления рисками и коллегиальному исполнительному органу финансовой организации (головной финансовой организации банковской группы) отчет об управлении операционным риском за год, содержащий сведения о проведенных мероприятиях и работах, которые планируется провести в целях уменьшения негативного влияния риска операционного риска, а также информацию, указанную в абзацах втором четвертом подпункта 4.2.2 настоящего пункта.

Финансовая организация (головная финансовая организация банковской группы) устанавливает во внутренних документах порядок предоставления на рассмотрение совета участников (наблюдательного совета) отчета об управлении операционным риском за год.

4.2.4. Информация о событиях операционного риска, включая события риска информационной безопасности, включается финансовой организацией (головной финансовой организацией банковской группы) в отчеты, указанные в подпункте 4.2.2 настоящего пункта, в разрезе направлений деятельности, в том числе в разрезе составляющих их процессов, типов событий операционного риска и источников операционного риска отдельно по видам операционного риска и содержит в том числе следующие показатели:

a)общее количество событий операционного риска количество всех событий операционного риска, которые были зафиксированы в финансовой организации (головной финансовой организации банковской группы) с начала года до отчетной даты и в отчетном периоде;
b)количество событий операционного риска в разрезе прямых и косвенных потерь с начала года до отчетной даты и в отчетном периоде;
c)количество событий операционного риска в разрезе потерь, указанных в абзаце втором подпункта 3.13.3 пункта 3.13 настоящего Положения, с начала года до отчетной даты и в отчетном периоде;
d)сумма прямых и сумма косвенных потерь от реализации событий операционного риска финансовой организации (головной финансовой организации банковской группы, включая потери от реализации операционного риска участников банковской группы) в разрезе направлений деятельности, в том числе в разрезе составляющих их процессов, и типов событий операционного риска, указанных в пункте 3.12 и подпункте 3.13.1 пункта 3.13 настоящего Положения, с начала года до отчетной даты и в отчетном периоде;
e)сумма потерь, указанных в абзаце втором подпункта 3.13.3 пункта 3.13 настоящего Положения, от реализации событий операционного риска финансовой организации (головной финансовой организации банковской группы в разрезе направлений деятельности, в том числе в разрезе составляющих их процессов, и типов событий операционного риска с начала года до отчетной даты и в отчетном периоде;
f)сумма прямых и сумма косвенных потерь, отнесенных к потерям, указанным в подпункте 3.12.8 пункта 3.12 и абзаце седьмом подпункта 3.13.1 пункта 3.13 настоящего Положения в части потерь на восстановление деятельности, в разрезе направлений деятельности, в том числе в разрезе составляющих их процессов, и типов событий операционного риска за отчетный период нарастающим итогом;
g)сумма прямых потерь от регуляторного риска, связанных с реализацией операционного риска и включаемых в состав валовых потерь от реализации событий операционного риска в соответствии с пунктом 6.10 настоящего Положения;
h)максимальная величина прямых и максимальная величина косвенных потерь от реализации одного события операционного риска с наибольшими потерями из тех событий операционного риска, которые были зафиксированы у финансовой организации (головной финансовой организации банковской группы), в разрезе направлений деятельности, в том числе в разрезе составляющих их процессов, с начала года до отчетной даты и в отчетном периоде;
i)максимальная величина потерь, указанных в абзаце втором подпункта 3.13.3 пункта 3.13 настоящего Положения, от одного события операционного риска с наибольшими потерями из тех событий операционного риска, которые были зафиксированы у финансовой организации (головной финансовой организации банковской группы), в разрезе направлений деятельности, в том числе в разрезе составляющих их процессов, с начала года до отчетной даты и в отчетном периоде;
j)сумма прямых и сумма косвенных потерь от реализации пяти крупнейших (по сумме потерь) событий операционного риска из тех событий операционного риска, которые были зафиксированы у финансовой организации (головной финансовой организации банковской группы), в разрезе направлений деятельности, в том числе в разрезе составляющих их процессов, с начала года до отчетной даты и в отчетном периоде;
k)сумма потерь, указанных в абзаце втором подпункта 3.13.3 пункта 3.13 настоящего Положения, от реализации пяти крупнейших (по сумме потерь) событий операционного риска из тех событий операционного риска, которые были зафиксированы у финансовой организации (головной финансовой организации банковской группы), в разрезе направлений деятельности, в том числе в разрезе составляющих их процессов, с начала года до отчетной даты и в отчетном периоде;
l)сумма возмещений по прямым потерям за счет не связанных с финансовой организацией (головной финансовой организацией банковской группы) лиц, которые были отражены на балансовых счетах финансовой организации (головной финансовой организации банковской группы), в разрезе направлений деятельности, в том числе в разрезе составляющих их процессов, и типов событий операционного риска с начала года до отчетной даты и в отчетном периоде;
m)сумма возмещений по прямым потерям за счет связанных с финансовой организацией (головной финансовой организацией банковской группы) юридических и физических лиц в разрезе направлений деятельности, в том числе в разрезе составляющих их процессов, и типов событий операционного риска с начала года до отчетной даты и в отчетном периоде;
n)сумма чистых потерь, определяемых в соответствии с требованиями пункта 6.18 настоящего Положения, которая была отражена на балансовых счетах финансовой организации (головной финансовой организации банковской группы) с начала года до отчетной даты и в отчетном периоде;
o)средняя величина прямых и средняя величина косвенных потерь от реализации одного события операционного риска в разрезе направлений деятельности, в том числе в разрезе составляющих их процессов, и типов событий операционного риска за отчетный период;
p)среднеквадратичное отклонение (сигма) величины прямых потерь по группам событий операционного риска в разрезе направлений деятельности, в том числе в разрезе составляющих их процессов, и типов событий операционного риска за год (включается в отчет в случае, если количество событий операционного риска за отчетный период составляет более 100);
q)распределение потерь от реализации событий операционного риска по группам (менее 200 евро, от 200 евро до 1 тысячи евро, от 1 тысячи евро до 3500 евро, от 3500 евро до 7 тысяч евро, от 7 тысяч евро до 14 тысяч евро, более 14 тысяч евро).

4.2.5. Коллегиальный исполнительный орган финансовой организации (головной финансовой организации банковской группы) рассматривает в установленные во внутренних документах финансовой организации (головной финансовой организации банковской группы) сроки (но не позднее двадцати рабочих дней со дня получения на рассмотрение) отчеты по операционным рискам финансовой организации (головной финансовой организации банковской группы) и дает поручения по разработке мероприятий, направленных на повышение качества системы управления операционным риском и уменьшение негативного влияния операционного риска, с указанием ответственных за реализацию мероприятий подразделений и сроков выполнения.

Отчеты по операционным рискам должны храниться финансовой организацией (головной финансовой организацией банковской группы) не менее десяти лет со дня рассмотрения коллегиальным исполнительным органом финансовой организации (головной финансовой организации банковской группы).

4.3. Финансовая организация (головная финансовая организация банковской группы) дополнительно устанавливает во внутренних документах следующие требования:

4.3.1. Требования к информационной системе, обеспечивающей управление операционным риском и включающей автоматизацию ведения базы событий и процедур управления операционным риском.

Финансовая организация (головная финансовая организации банковской группы) организует информационный обмен информационной системы, обеспечивающей управление операционным риском, с другими информационными системами финансовой организации (головной финансовой организации банковской группы), позволяющими получать первичную информацию о сбоях систем и оборудования, об ошибках, отклонениях в процессах финансовой организации (головной финансовой организации банковской группы) и о реализации событий операционного риска, в зависимости от осуществляемых операций и (или) действующих процессов.

4.3.2. Требования к управлению модельным риском, включающие соблюдение следующих процедур:

a)выявление потенциальных ошибок в процессах разработки, проверки, адаптации, приемки, применения методик количественных и качественных моделей оценки активов (далее модели оценки активов), включая оценку влияния этих ошибок на качество и прогнозную точность моделей оценки активов;
b)выявление недостоверности и неполноты данных, использованных при разработке и проверке моделей оценки активов, включая в том числе оценку влияния этих ошибок на качество моделей оценки активов, например, приводящих к невозможности определения значения одного или нескольких входных параметров модели оценки активов или существенных факторов, использованных в модели оценки активов;
c)контроль за разработкой моделей оценки активов, проверка правильности применения методик и технологий моделирования, в том числе правильности постановки задачи на разработку, принимаемых допущений, использования в моделях оценки активов всех существенных факторов, оценки прогнозной точности моделей оценки активов, контроль за соответствием моделей оценки активов условиям внешней среды и внешним и внутренним факторам их применения;
d)выявление ошибок в процессах регистрации, учета и отчетности о результатах разработки и применения моделей оценки активов;
e)контроль за полнотой документации о разработке моделей оценки активов и ее применением;
f)контроль за своевременностью калибровки моделей оценки активов, связанной с изменением внешних и внутренних факторов их применения и поступлением новых данных, свидетельствующих о снижении качества моделей оценки активов и их прогнозной точности;
g)валидация моделей оценки активов (подразделением финансовой организации (головной финансовой организации банковской группы) и (или) внешними экспертами);
h)контроль качества валидации моделей оценки активов, в том числе корректности применения валидационных тестов и критериев, включая контроль за правильностью интерпретации результатов валидации и реагирования на эти результаты;
i)контроль за внедрением моделей оценки активов в промышленную эксплуатацию, в том числе за имплементацией программного кода в автоматизированные системы финансовой организации (головной финансовой организации банковской группы);
j)выявление ошибок в интерпретации результатов моделей оценки активов для принятия управленческих решений и бизнесрешений в финансовой организации (головной финансовой организации банковской группы), в том числе связанных с использованием моделей оценки активов в предметных областях, для которых они не разрабатывались и не валидировались.

4.3.3. Требования к перечню процессов финансовой организации (головной финансовой организации банковской группы), указанному в подпункте 4.1.1 пункта 4.1 настоящего Положения.

Финансовая организация (головная финансовая организации банковской группы) при составлении и ведении перечня процессов финансовой организации (головной финансовой организации банковской группы), указанного в подпункте 4.1.1 пункта 4.1 настоящего Положения, обеспечивает:

a)выявление и учет взаимосвязей между критически важными процессами, работниками подразделений, информационными системами и информацией, задействованными при выполнении критически важных процессов (далее взаимосвязи между критически важными процессами), с учетом зависимости процессов от третьих лиц (внешних подрядчиков, контрагентов, участников банковской группы);
b)мониторинг изменений выявленных взаимосвязей между критически важными процессами.

4.3.4. Требования к управлению операционным риском, возникающим при внесении изменений в критически важные процессы финансовой организации (головной финансовой организации банковской группы) и (или) информационные системы, используемые при выполнении критически важных процессов, включающие соблюдение следующих процедур:

a)выявление и оценка операционного риска при принятии финансовой организацией (головной финансовой организацией банковской группы) решения об осуществлении функций подразделений финансовой организации (головной финансовой организации банковской группы), банковских операций, услуг, которые финансовая организация (головная финансовая организация банковской группы) не выполняла или не оказывала в течение календарного года, других изменениях, вносимых в критически важные процессы финансовой организации (головной финансовой организации банковской группы), а также оценка влияния выявленного операционного риска на контрольные показатели уровня операционного риска финансовой организации (головной финансовой организации банковской группы), определенные в соответствии с главой 5 настоящего Положения;
b)оценка влияния изменений, вносимых в процессы, на критически важные процессы финансовой организации (головной финансовой организации банковской группы) с учетом взаимосвязей между критически важными процессами и наличия зависимости процессов от третьих лиц (внешних подрядчиков, контрагентов, участников банковской группы);
c)организация ресурсного обеспечения (кадрового и финансового), необходимого для осуществления функций подразделений финансовой организации (головной финансовой организации банковской группы), банковских операций, услуг, которые финансовая организация (головная финансовая организация банковской группы) не выполняла или не оказывала в течение календарного года, и других изменений, вносимых в критически важные процессы финансовой организации (головной финансовой организации банковской группы), до начала их выполнения или оказания финансовой организацией (головной финансовой организации банковской группы);
d)утверждение решением органа управления финансовой организации функций подразделений финансовой организации (головной финансовой организации банковской группы), банковских операций, услуг, которые финансовая организация (головная финансовая организация банковской группы) не выполняла или не оказывала в течение календарного года, и других изменений, вносимых в критически важные процессы финансовой организации (головной финансовой организации банковской группы), включая функции, операции, услуги, переданные (или частично переданные) на выполнение третьим лицам (внешним подрядчикам, контрагентам, участникам банковской группы);
e)централизованный учет и мониторинг функций подразделений финансовой организации (головной финансовой организации банковской группы), банковских операций, услуг, которые финансовая организация (головная финансовая организация банковской группы) не выполняла или не оказывала в течение календарного года, и других изменений, вносимых в критически важные процессы финансовой организации (головной финансовой организации банковской группы), включая функции, операции, услуги, переданные (или частично переданные) на выполнение третьим лицам (внешним подрядчикам, контрагентам, участникам банковской группы), в целях последующей оценки их влияния на контрольные показатели уровня операционного риска финансовой организации (головной финансовой организации банковской группы), определенные в соответствии с главой 5 настоящего Положения;
f)планирование и контроль внедрения функций подразделений финансовой организации (головной финансовой организации банковской группы), банковских операций, услуг, которые финансовая организация (головная финансовая организация банковской группы) не выполняла или не оказывала в течение календарного года, и других изменений, вносимых в критически важные процессы финансовой организации (головной финансовой организации банковской группы).

4.4. Уполномоченное подразделение финансовой организации (головной финансовой организации банковской группы) в соответствии с порядком, указанным в подпункте 4.1.4 пункта 4.1 настоящего Положения, ежегодно осуществляет оценку эффективности функционирования системы управления операционным риском, включающую оценку:

a)полноты и точности информации, отраженной в базе событий, а также корректности ведения базы событий;
b)корректности определения вида и величины потерь от реализации событий операционного риска;
c)соблюдения установленных финансовой организацией (головной финансовой организацией банковской группы) в политике управления операционным риском и в других внутренних документах требований и процедур управления операционным риском;
d)корректности проведенных оценок величины потерь от реализации событий операционного риска;
e)комплекса мероприятий, разрабатываемого в соответствии с подпунктом 4.1.5 пункта 4.1 настоящего Положения;
f)эффективности мер, направленных на уменьшение негативного влияния операционного риска;
g)соблюдения других требований настоящего Положения.

4.5. Финансовая организация (головная финансовая организация банковской группы) в целях осуществления контроля за объемом операционного риска, принятым в финансовой организации (головной финансовой организацией банковской группы), в соответствии с пунктом 3.4 Указания «О требованиях к системе управления рисками и капиталом финансовой организации и банковской группы» разрабатывает и устанавливает плановые (целевые) показатели уровня операционного риска в разрезе направлений деятельности, в том числе в разрезе составляющих их процессов, которые формируются финансовой организацией (головной финансовой организацией банковской группы) на основе следующих данных, характеризующих объемы операций, подверженных операционному риску за определенный период (день, неделя, месяц, квартал, полугодие, девять месяцев, год):

a)количество сделок, операций, транзакций;
b)объем сделок, операций, транзакций в денежном выражении в национальной валюте;
c)количество платежей, осуществленных через корреспондентский счет финансовой организации (головной финансовой организации банковской группы) и другие корреспондентские счета;
d)доход за год для целей расчета капитала на покрытие операционного риска;
e)обороты по счетам бухгалтерского учета;
f)другие данные.

Финансовая организация (головная финансовая организация банковской группы) соотносит данные, характеризующие объем операций, с зарегистрированными в базе событий потерями и определяет показатели уровня операционного риска, порядок соблюдения которых устанавливается финансовой организацией (головной финансовой организацией банковской группы) во внутренних документах.

4.6. Подразделение, ответственное за организацию управления операционным риском, проводит регулярный (не реже одного раза в год) анализ необходимости пересмотра требований политики управления операционным риском в зависимости от осуществляемых операций и (или) действующих процессов, изменяющихся внешних факторов, результатов процедур управления операционным риском, результатов оценки эффективности функционирования системы управления операционным риском, проведенной уполномоченным подразделением, изменений в стратегии управления рисками и капиталом и направляет результаты анализа на рассмотрение коллегиальным исполнительным органом финансовой организации (головной финансовой организации банковской группы) для принятия решения о необходимости внесения изменений во внутренние документы, указанные в подпунктах 4.1.2 и 4.1.3 пункта 4.1 настоящего Положения.

.

Глава 5. Система контрольных показателей уровня операционного риска.

.

5.1. В целях контроля за уровнем операционного риска финансовая организация (головная финансовая организация банковской группы) определяет во внутренних документах на плановый годовой период в соответствии с приложением 1 к настоящему Положению контрольные показатели уровня операционного риска, а также устанавливает целевые значения этих показателей: значение показателя, при нарушении которого проводится ежедневный мониторинг значений показателя и реализация мер, направленных на устранение превышения фактического значения данного показателя над предельно допустимым значением показателя (далее сигнальное значение), и предельно допустимое значение показателя, при нарушении которого информация доводится до совета участников (наблюдательного совета) и применяются меры реагирования, которые описаны во внутренних документах финансовой организации (головной финансовой организации банковской группы) в соответствии с пунктом 5.4 настоящего Положения (далее контрольное значение).

5.2. Совет участников (наблюдательный совет) финансовой организации (головной финансовой организации банковской группы):

a)утверждает сигнальные и контрольные значения контрольных показателей уровня операционного риска на плановый годовой период в целом по финансовой организации (головной финансовой организации банковской группы), которые ежегодно подлежат пересмотру и актуализации финансовой организацией (головной финансовой организацией банковской группы) в рамках оценки соответствия процедур управления рисками текущей ситуации в финансовой организации (головной финансовой организации банковской группы), проводимой в соответствии с абзацем первым пункта 3.5 Указания «О требованиях к системе управления рисками и капиталом финансовой организации и банковской группы», в том числе по результатам оценки эффективности функционирования системы управления операционным риском в соответствии с пунктом 4.4 настоящего Положения;
b)обеспечивает контроль за фактическими значениями контрольных показателей уровня операционного риска;
c)обеспечивает реагирование финансовой организации (головной финансовой организации банковской группы) в случае превышения сигнальных и контрольных значений контрольных показателей уровня операционного риска.

5.3. Подразделение, ответственное за организацию управления операционным риском, проводит расчет сигнальных и контрольных значений контрольных показателей уровня операционного риска на основе статистических данных о событиях операционного риска за период не менее десяти лет в соответствии с установленным во внутренних документах финансовой организации (головной финансовой организацией банковской группы) порядком.

В случае если период ведения базы событий составляет менее десяти лет, финансовая организация (головная финансовая организация банковской группы) определяет методику учета недостающих данных во внутренних документах и производит расчет на основе фактически имеющегося периода наблюдений с последующим добавлением данных за новые годы по мере их накопления вплоть до достижения десяти лет.

Подразделение, ответственное за организацию управления операционным риском, оформляет расчет и обоснование сигнальных и контрольных значений контрольных показателей уровня операционного риска в виде заключения и включает его в состав материалов, направляемых им на рассмотрение коллегиальным исполнительным органом финансовой организации (головной финансовой организации банковской группы) при утверждении (пересмотре) политики управления операционным риском.

Финансовая организация (головная финансовая организация банковской группы) определяет во внутренних документах орган управления финансовой организации (головной финансовой организации банковской группы), который утверждает сигнальные и контрольные значения контрольных показателей уровня операционного риска на плановый годовой период в разрезе направлений деятельности, в том числе составляющих их процессов, и подразделений, ответственных за осуществление операций и сделок и за результаты процесса, с учетом сигнальных и контрольных значений контрольных показателей уровня операционного риска в целом по финансовой организации (головной финансовой организации банковской группы), утвержденных в соответствии с абзацем вторым пункта 5.2 настоящего Положения.

5.4. Финансовая организация (головная финансовая организация банковской группы) определяет во внутренних документах порядок действий должностных лиц в соответствии с пунктом 1.1 приложения 1 к Указанию «О требованиях к системе управления рисками и капиталом финансовой организации и банковской группы», а также определяет функции и ответственность органов управления и подразделений финансовой организации (головной финансовой организации банковской группы), комплекс мероприятий, направленных на повышение качества системы управления операционным риском и уменьшение негативного влияния операционного риска или пересмотр сигнальных и контрольных значений контрольных показателей уровня операционного риска, в том числе порядок информирования совета участников (наблюдательного совета) финансовой организации (головной финансовой организации банковской группы) в случае нарушения контрольных значений контрольных показателей уровня операционного риска.

.

Глава 6. Ведение базы событий.

.

6.1. Финансовая организация (головная финансовая организация банковской группы) осуществляет ведение на постоянной основе базы событий.

6.2. Порядок ведения базы событий, включая требования к форме и содержанию вводимой информации, должен быть установлен во внутренних документах финансовой организации (головной финансовой организации банковской группы).

6.3. Головная финансовая организация банковской группы определяет во внутренних документах порядок ведения базы событий консолидировано по банковской группе с учетом потерь от реализации операционного риска у участников банковской группы. В случае раздельного ведения базы событий дочерние финансовые организации на ежемесячной основе предоставляют данные о событиях операционного риска и потерях в головную финансовую организацию банковской группы в целях расчета объема капитала банковской группы, выделяемого на покрытие потерь от реализации операционного риска, и соблюдения ВПОДК банковской группы.

В случае если база событий ведется головной финансовой организацией банковской группы раздельно с дочерними финансовыми организациями, дочерние финансовые организации определяют во внутренних документах порядок ведения базы событий, который согласовывают с головной финансовой организацией банковской группы.

В случае если дочерние финансовые организации ведут учет событий операционного риска по элементам классификации, отличным от предусмотренных главой 3 настоящего Положения, головная финансовая организация банковской группы устанавливает во внутренних документах правила соотнесения классификации событий операционного риска дочерних финансовых организаций, ведущих учет событий операционного риска по другим элементам классификации, с требованиями главы 3 настоящего Положения и определяет порядок предоставления отчетов дочерних финансовых организаций с учетом правил соотнесения классификации.

Головная финансовая организация банковской группы в случае необходимости определяет во внутренних документах дополнительные отчеты участников банковской группы по операционному риску, направляемые в головную финансовую организацию банковской группы.

6.4. Данные о событиях операционного риска и потерях от реализации событий операционного риска должны охватывать всю деятельность финансовой организации (головной финансовой организации банковской группы), все подразделения, организационные, информационные и технологические системы и регионы присутствия финансовой организации (головной финансовой организации банковской группы).

Финансовая организация (головная финансовая организация банковской группы) обеспечивает наличие в базе событий подробной информации о причинах и обстоятельствах реализованных событий операционного риска.

6.5. Финансовая организация (головная финансовая организация банковской группы) устанавливает во внутренних документах величину прямых и непрямых потерь от реализации события операционного риска, при котором финансовая организация (головная финансовая организация банковской группы) регистрирует событие операционного риска в базе событий (далее порог регистрации).

Порог регистрации устанавливается финансовой организацией (головной финансовой организацией банковской группы) в зависимости от величины потерь и типа событий операционного риска:

a)для событий операционного риска, относящихся к типам событий операционного риска, указанным в подпунктах 3.6.1 и 3.6.2 пункта 3.6 настоящего Положения, порог регистрации в базе событий не устанавливается;
b)для событий операционного риска, потери по которым относятся к указанным в абзаце втором подпункта 3.13.3 пункта 3.13 настоящего Положения, порог регистрации в базе событий не устанавливается;
c)для других типов событий операционного риска, потери по которым относятся к прямым и непрямым потерям, за исключением потерь, указанных в абзаце втором подпункта 3.13.3 пункта 3.13 настоящего Положения, порог регистрации в базе событий составляет не более 200 евро.

Дочерняя финансовая организация банковской группы, созданная в соответствии с правом иностранного государства, регулирование деятельности которой осуществляется банком и (или) иным органом надзора иностранного государства, в функции которого входят банковский надзор и надзор за финансовым рынком, соблюдает порог регистрации событий операционного риска в соответствии с требованиями, установленными банком и (или) иным органом иностранного государства, в юрисдикции которых находится данная дочерняя финансовая организация банковской группы. В случае если банком и (или) иным органом надзора иностранного государства, в функции которого входят банковский надзор и надзор за финансовым рынком, в юрисдикции которых находится данная дочерняя финансовая организация банковской группы, не установлены требования к порогу регистрации событий операционного риска в базе событий, головная финансовая организация банковской группы устанавливает во внутренних документах для данных дочерних финансовых организаций порог регистрации событий операционного риска в базе событий, предусмотренный настоящим пунктом.

В случае если событие операционного риска привело только к качественным потерям, оценка значимости которых в соответствии с абзацем двенадцатым подпункта 3.13.2 пункта 3.13 настоящего Положения соотносится с уровнем «средние» или «низкие», финансовая организация (головная финансовая организация банковской группы) определяет во внутренних документах требования к регистрации таких событий операционного риска в базе событий.

Основанием для регистрации событий, повлекших потери, указанные в абзаце втором подпункта 3.13.3 пункта 3.13 настоящего Положения, является результат рассмотрения финансовой организацией (головной финансовой организацией банковской группы) обращений клиентов, контрагентов, работников и третьих лиц в установленном во внутренних документах порядке.

6.6. База событий финансовой организации (головной финансовой организации банковской группы, финансовых организаций банковской группы в случае раздельного ведения базы событий) должна содержать следующую информацию:

a)уникальный порядковый идентификационный номер события операционного риска (группы событий операционного риска);
b)идентификатор группы событий операционного риска (в случае, если события операционного риска объединены в группу), определяемой в соответствии с пунктом 6.12 настоящего Положения, с указанием количества событий операционного риска в группе;
c)дату, когда событие операционного риска было зарегистрировано в базе событий (дата регистрации);
d)время регистрации события операционного риска в базе событий в случае программноаппаратной фиксации событий операционного риска;
e)дату, когда событие операционного риска произошло или впервые началось (дата реализации);
f)время, когда событие операционного риска произошло или впервые началось, в случае программноаппаратной фиксации событий риска информационной безопасности и других событий операционного риска;
g)дату (и время в случае, если характер события операционного риска это предусматривает), когда финансовой организации (головной финансовой организации банковской группы) стало известно о событии операционного риска (дата выявления);
h)дату (и время для событий риска информационной безопасности) окончания события операционного риска (дата окончания события) в случае, если наличие такой информации определяется характером события операционного риска;
i)статус события операционного риска (в том числе «оценка потерь от реализации события операционного риска завершена» и «оценка потерь от реализации события операционного риска не завершена»). При этом финансовая организация (головная финансовая организация банковской группы) определяет виды статусов события операционного риска;
j)подразделение, в котором произошло событие операционного риска;
k)подразделение, выявившее событие операционного риска;
l)описание события операционного риска (детализированное описание события операционного риска, включающее ответы на вопросы: в чем заключается событие операционного риска, каким образом оно было обнаружено, что явилось его причиной (причинами);
m)категорию источника операционного риска в соответствии с пунктом 3.3 настоящего Положения;
n)значимые источники операционного риска, которые повлияли на реализацию события операционного риска, согласно письменному обоснованию работника финансовой организации (головной финансовой организации банковской группы) с указанием долей их влияния в отношении события операционного риска, установленных в соответствии с внутренними документами финансовой организации (головной финансовой организации банковской группы);
o)тип события операционного риска в соответствии с пунктом 3.6 настоящего Положения;
p)вид операционного риска (в случае, если событие операционного риска отнесено к одному из видов операционного риска в соответствии с пунктом 1.4 настоящего Положения);
q)связь с другими видами операционного риска (риском информационной безопасности, риском нарушения непрерывности деятельности и другими) и другими видами риска (финансовым, рыночным, риском ликвидности, стратегическим, риском потери деловой репутации и другими) при наличии такой связи. При этом финансовая организация (головная финансовая организация банковской группы) указывает, является ли другой вид риска источником или следствием события операционного риска;
r)идентификатор связанного события операционного риска в случае, если такая связь установлена. При этом финансовая организация (головная финансовая организация банковской группы) указывает, является ли событие операционного риска источником или следствием другого события операционного риска;
s)дополнительную классификацию типа события операционного риска в зависимости от вида риска;
t)направления деятельности первого уровня в соответствии с пунктом 3.9 настоящего Положения с указанием наиболее значимого из них;
u)процесс согласно перечню процессов, определенному во внутренних документах финансовой организации (головной финансовой организации банковской группы);
v)этап процесса согласно определенным в финансовой организации (головной финансовой организации банковской группы) правилам описания процессов (при наличии);
w)информационную систему (в случае, если информационная система задействована при выполнении этапа процесса);
x)меры, направленные на уменьшение негативного влияния операционного риска, в случае если финансовая организация (головная финансовая организация банковской группы) в соответствии с внутренними документами разрабатывает их при реализации данного события операционного риска.

Группа полей базы событий, содержащая информацию о потерях от реализации события операционного риска по каждому виду потерь и возмещений, включает:

a)вид потери в соответствии с пунктом 3.11 настоящего Положения;
b)признак связи потери с другим видом риска (при наличии такой связи), который не будет включаться финансовой организацией (головной финансовой организацией банковской группы) в состав валовых прямых потерь, определяемых в соответствии с пунктом 6.7 настоящего Положения;
c)величину потери от реализации события операционного риска (группы событий операционного риска) в национальной валюте, определяемую в соответствии с внутренними документами финансовой организации (головной финансовой организации банковской группы) (например, в случае прямых потерь сумма бухгалтерской записи по счетам бухгалтерского учета, в случае непрямых потерь оценочное значение, при этом для событий операционного риска, связанных с финансовым риском, отсутствует необходимость ежедневного пересмотра суммы основного долга (или остатка основного долга) и процентов по нему в базе событий при условии отражения данных в базе событий на дату возникновения события операционного риска и на ежеквартальной основе);
d)дату учета потери, то есть в случае реализации прямой потери дату отражения прямой потери от реализации события операционного риска на счетах бухгалтерского учета (например, для событий правового риска датой учета потерь являются дата создания (изменения) резерва в соответствии с абзацем пятым подпункта 3.12.6 пункта 3.12 настоящего Положения и даты отражения в бухгалтерском учете других связанных с этим обстоятельством расходов; для событий операционного риска, связанных с финансовым риском, датой учета потерь является дата создания (изменения) резерва в соответствии с абзацем четвертым подпункта 3.12.1 пункта 3.12 настоящего Положения), в случае реализации непрямой потери дату регистрации события операционного риска;
e)информацию о бухгалтерской записи (бухгалтерских записях) в бухгалтерском учете содержащей суммы прямой потери;
f)экспертную оценку качественной потери, определяемой в соответствии с подпунктом 3.13.2 пункта 3.13 настоящего Положения, в случае регистрации наличия качественной потери для события операционного риска, в результате которого возникла данная потеря;
g)обоснование величины потери (для косвенных потерь размером менее 1 тысячи евро обоснование не заполняется) или причину, по которой потери не возникли. Формат обоснования величины потери финансовая организация (головная финансовая организация банковской группы) определяет во внутренних документах самостоятельно;
h)агрегированную сумму валовых прямых потерь и сумму косвенных потерь в национальной валюте накопленным итогом с даты регистрации первой потери;
i)агрегированную сумму валовых прямых потерь в национальной валюте накопленным итогом с даты регистрации первой потери;
j)сумму косвенных потерь в национальной валюте накопленным итогом с даты регистрации первой потери;
k)сумму потерь, указанных в абзаце втором подпункта 3.13.3 пункта 3.13 настоящего Положения, в национальной валюте.

Группа полей базы событий, содержащая информацию о полученном возмещении понесенных потерь, определяемом в соответствии с пунктом 6.17 настоящего Положения, включает:

a)мероприятия, осуществленные финансовой организацией (головной финансовой организацией банковской группы) в целях получения возмещения по понесенным потерям от реализации события операционного риска;
b)вид возмещения в соответствии с пунктом 6.15 настоящего Положения;
c)признак связи возмещения с видом потерь от реализации конкретного события операционного риска, определяемым в соответствии с пунктом 3.11 настоящего Положения;
d)сумму возмещения в национальной валюте;
e)дату отражения возмещения на счетах бухгалтерского учета;
f)информацию о бухгалтерской записи суммы возмещения;
g)источники получения возмещения (от страховой организации, иностранной страховой организации, входящих в банковскую группу, страховой организации, иностранной страховой организации, не входящих в банковскую группу, связанных с финансовой организацией (головной финансовой организацией банковской группы, участниками банковской группы) лиц в соответствии со статьей 64.1 Закона «О Центральном банке», контрагента, работников финансовой организации (головной финансовой организации банковской группы, участников банковской группы) и других третьих лиц);
h)сумму чистых потерь, определяемых в соответствии с пунктом 6.18 настоящего Положения.

В случае если сумма потерь и возмещений отражается финансовой организацией (головной финансовой организацией банковской группы) в иностранной валюте, пересчет в национальную валюту осуществляется финансовой организацией (головной финансовой организацией банковской группы) в базе событий эквивалентно.

В случае если сумма возмещений в национальной валюте, рассчитанная в соответствии с курсом иностранной валюты, установленным Государственным банком, превышает сумму потерь в национальной валюте, в базе событий должна быть отражена сумма потерь в национальной валюте.

В случае если финансовая организация (головная финансовая организация банковской группы) использует дополнительные поля базы событий, финансовая организация (головная финансовая организация банковской группы) определяет их во внутренних документах.

6.7. Финансовая организация (головная финансовая организация банковской группы) ежемесячно на отчетную дату определяет величину валовых прямых потерь от реализации событий операционного риска со статусом «оценка потерь от реализации события операционного риска не завершена» начиная от даты регистрации события операционного риска в базе событий и от начала календарного года (в случае, если событие операционного риска реализовалось ранее текущего календарного года) нарастающим итогом. Также в расчет валовых прямых потерь финансовой организацией (головной финансовой организацией банковской группы) включаются прямые потери от реализации событий операционного риска, статус которых был переведен в статус «оценка потерь от реализации события операционного риска завершена», в течение отчетного месяца.

Головная финансовая организация банковской группы для целей расчета величины валовых прямых потерь по банковской группе осуществляет перерасчет величины валовых прямых потерь и последующих возмещений от событий операционного риска, произошедших у иностранных дочерних финансовых организаций, ведущих учет событий операционного риска в иностранной валюте, в рубли по курсу иностранной валюты, установленному Государственным банком, на отчетную дату, с последующим ежемесячным перерасчетом на отчетную дату.

6.7.1. В расчет величины валовых прямых потерь финансовой организацией (головной финансовой организацией банковской группы) включаются:

a)сумма прямых потерь от реализации события операционного риска, определяемых в соответствии с пунктом 3.12 настоящего Положения, включая обесценение, списание активов, отраженных на счетах бухгалтерского учета финансовой организации (головной финансовой организации банковской группы);
b)корректировка стоимости прямых потерь, не отраженных в бухгалтерском учете в течение текущего календарного года, связанных с перерасчетом величины прямых потерь от реализации события операционного риска прошлого периода, в случае, если отражение в бухгалтерском учете потерь длится более одного календарного года (распределенные во времени потери). При этом в случае такой корректировки потери рассчитываются финансовой организацией (головной финансовой организацией банковской группы) в корреспонденции со счетами расходов текущего года;
c)сумма прямых потерь по событиям операционного риска, которые вызывают искажение финансовой отчетности финансовой организации (головной финансовой организации банковской группы) за определенный отчетный период (календарный год), но которые могут быть полностью скорректированы в дальнейшем (например, при завершении расчетов, создании исправительных бухгалтерских записей и переоценке справедливой стоимости финансовых инструментов, при определении временных потерь).

Финансовая организация (головная финансовая организация банковской группы) определяет во внутренних документах порядок учета величины валовых прямых потерь, позволяющий точно определять уровень операционного риска, в том числе для целей расчета показателя, указанного в абзаце седьмом подпункта 1.1.1 пункта 1 приложения 1 к настоящему Положению.

6.7.2. Финансовая организация (головная финансовая организация банковской группы) определяет во внутренних документах порядок идентификации прямых потерь и возмещений в разрезе всех событий операционного риска, повлекших потери, с указанием дат учета, сумм и реквизитов бухгалтерских записей.

6.7.3. В валовые прямые потери финансовой организацией (головной финансовой организацией банковской группы) не включаются:

a)расходы финансовой организации (головной финансовой организации банковской группы) по договорам на поддержание и регулярное обслуживание систем технического обеспечения;
b)внутренние и внешние расходы финансовой организации (головной финансовой организации банковской группы), направленные на улучшение деятельности после завершения оценки потерь от реализации операционного риска (модернизация, совершенствование, мероприятия по предотвращению риска, улучшению качества процессов, оценке рисков и расширению функционала по управлению операционным риском);
c)выплата страховых премий.

6.8. По одному событию операционного риска финансовой организацией (головной финансовой организацией банковской группы) выявляются и учитываются в базе событий все виды произошедших потерь. Каждая потеря отражается финансовой организацией (головной финансовой организацией банковской группы) в базе событий отдельной записью с указанием идентификатора записи потери и номера бухгалтерской записи (идентификатора бухгалтерской записи), даты учета потери и с пометкой о связи с другим видом риска.

Финансовая организация (головная финансовая организация банковской группы) указывает перечень всех бухгалтерских записей одного вида потерь от реализации события операционного риска при указании в базе событий информации, приведенной в абзаце тринадцатом пункта 6.6 настоящего Положения, или в виде вложения со списком всех бухгалтерских записей в разбивке по суммам.

6.9. Финансовая организация (головная финансовая организация банковской группы) ведет учет потерь от реализации событий всех видов операционного риска, в том числе событий риска нарушения непрерывности деятельности, событий операционного риска, связанных с потерями, указанными в абзаце втором подпункта 3.13.3 пункта 3.13 настоящего Положения, и событий других нефинансовых рисков в составе общей базы событий либо раздельно. При этом финансовая организация (головная финансовая организация банковской группы) устанавливает единый подход к идентификации, оценке и классификации в соответствии с главами 2 и 3 настоящего Положения, исключающий дублирование и пропуски информации, в целях определения количественных контрольных показателей уровня операционного риска, указанных в приложении 1 к настоящему Положению.

6.10. В случае если финансовая организация (головная финансовая организация банковской группы) ведет базу событий отдельных видов операционного риска, событий регуляторного риска и (или) событий других нефинансовых рисков раздельно, финансовая организация (головная финансовая организация банковской группы) ежемесячно на отчетную дату включает события регуляторного риска и других нефинансовых рисков с прямыми потерями, связанными с реализацией операционного риска, в состав базы событий с учетом исключения пропусков и дублирования потерь, связанных с раздельным ведением баз событий.

6.11. В случае если у события операционного риска потери распределены по разным учетным периодам (годам), данные потери в базе событий должны быть отнесены к годам их отражения на счетах бухгалтерского учета.

6.12. Финансовая организация (головная финансовая организация банковской группы) определяет во внутренних документах специальные критерии для определения данных о потерях, вызванных единичными событиями операционного риска, и о потерях, вызванных однородными событиями операционного риска, произошедшими в течение установленного во внутренних документах периода времени (группа событий).

Финансовая организация (головная финансовая организация банковской группы) определяет во внутренних документах критерии однородности событий операционного риска для целей их группировки (например, события операционного риска объединяются финансовой организацией (головной финансовой организацией банковской группы) в одну группу в случае, если у них одинаковый источник операционного риска, один и тот же процесс или этап процесса, тип события операционного риска и (или) вид потерь, а период времени возникновения составил не более 48 часов). Группировка событий операционного риска должна быть предметом оценки, проводимой уполномоченным подразделением.

Финансовая организация (головная финансовая организация банковской группы) регистрирует группу событий в базе событий как одно событие операционного риска с указанием количества событий операционного риска, включенных в группу событий.

6.13. Возмещения потерь отражаются в группе полей базы событий, содержащей информацию о полученном возмещении понесенных потерь, по каждому событию операционного риска. Каждое возмещение потерь должно быть связано с регистрацией в бухгалтерском учете компенсации потери от реализации события операционного риска, отражено на счетах бухгалтерского учета в виде бухгалтерской записи по счетам доходов (прибылей), обратной бухгалтерской записи по счетам расходов или убытков, другой бухгалтерской записи по счетам бухгалтерского учета, отражающих поступление возмещения, с указанием номера бухгалтерской записи (идентификатора бухгалтерской записи), даты записи.

6.14. Финансовая организация (головная финансовая организация банковской группы) отражает в базе событий все возмещения одного вида по каждой прямой потере от реализации события операционного риска при указании в базе событий информации, приведенной в абзаце тринадцатом пункта 6.6 настоящего Положения, или в виде вложения со списком всех бухгалтерских записей в разбивке по суммам.

Финансовая организация (головная финансовая организация банковской группы) в случае получения возмещения по косвенным потерям (включая страховые выплаты, направленные на возмещение убытков, связанных с нарушением операционной устойчивости финансовой организации (головной финансовой организации банковской группы) и (или) приостановкой основных и прочих процессов, определяемых финансовой организацией (головной финансовой организацией банковской группы) в соответствии с подпунктом 4.1.1 пункта 4.1 настоящего Положения, изза реализации источников операционного риска) вправе учитывать полученные возмещения при определении величины косвенной потери расчетным методом как без отражения отдельной записи о возмещении в базе событий (производится перерасчет величины косвенной потери с указанием информации о полученном возмещении), так и с отражением в базе событий отдельной записи о сумме полученного возмещения.

6.15. Виды возмещений потерь:

a)возмещения, полученные в исполнительном порядке;
b)возмещения, полученные во внеочередном порядке по соглашению сторон;
c)страховые выплаты от одной или нескольких страховых организаций, иностранных страховых организаций;
d)возмещения, полученные от третьих лиц;
e)возмещения от работников финансовой организации (головной финансовой организации банковской группы, участника банковской группы);
f)возмещения, полученные из других источников;
g)восстановление резерва на возможные потери по ссудам, ссудной и приравненной к ней задолженности в соответствии с Положением О порядке формирования финансовыми организациями резервов на возможные потери по ссудам, ссудной и приравненной к ней задолженности» и Указанием «О формировании и размере резерва на возможные потери под операции финансовых организаций с резидентами офшорных зон»;
h)восстановление резерва по прочим потерям и обязательствам нефинансового характера в соответствии с Положением «О порядке формирования финансовыми организациями резервов на возможные потери».

6.16. Финансовая организация (головная финансовая организация банковской группы) определяет во внутренних документах порядок контроля за своевременностью отражения возмещения потерь от реализации событий операционного риска.

6.17. Финансовая организация (головная финансовая организация банковской группы) должна учитывать в базе событий отдельно валовые потери и чистые потери, определяемые в соответствии с пунктом 6.18 настоящего Положения. Возмещение используется финансовой организацией (головной финансовой организацией банковской группы) для уменьшения потерь только после того, как платеж получен финансовой организацией (головной финансовой организацией банковской группы) и отражен на счетах бухгалтерского учета. Дебиторская задолженность не является возмещением. Финансовая организация (головная финансовая организация банковской группы) в целях расчета суммы чистых потерь по событию операционного риска учитывает сумму возмещений, не превышающую сумму потерь в национальной валюте. Финансовая организация (головная финансовая организация банковской группы) вправе не отражать поступившие возмещения в базе событий. В этом случае сумма чистых потерь от реализации события операционного риска в базе событий должна быть равна сумме валовых потерь от реализации данного события операционного риска.

В случае поступления возмещения от третьего лица в базе событий финансовая организация (головная финансовая организация банковской группы) указывает наименование третьего лица и его характеристики (например, страховая организация, контрагент, признак связи с финансовой организацией или банковской группой).

К зачету сумм возмещения финансовой организацией (головной финансовой организации банковской группы) не принимаются следующие виды возмещений:

a)возмещения, полученные от страховых организаций, входящих в банковскую группу (за исключением случая, когда возмещение от страховой организации, входящей в банковскую группу, получено в рамках перестрахования рисков от страховых брокеров, не входящих в банковскую группу);
b)возмещения от связанных с финансовой организацией (головной финансовой организации банковской группы, участниками банковской группы) лиц, акционеров, бенефициаров;
c)возмещения от других физических и юридических лиц, способных оказать влияние на деятельность финансовой организации (головной финансовой организации банковской группы, участников банковской группы).

Проверка достоверности, полноты и своевременности учета возмещений должна включаться финансовой организацией (головной финансовой организацией банковской группы) в программу оценки эффективности функционирования системы управления операционным риском, проводимой уполномоченным подразделением.

6.18. Чистые потери от реализации события операционного риска определяются как потери за вычетом суммы возмещений с учетом требований пункта 6.17 настоящего Положения.

6.19. В случае корректировки значения потерь и возмещений в базе событий предыдущее значение потерь финансовой организацией (головной финансовой организацией банковской группы) не исправляется, а добавляется новая информация с новым значением (должна быть обеспечена сохранность предыдущих значений).

Информация о событиях операционного риска в базе событий подлежит ежегодной независимой оценке, проводимой уполномоченным подразделением.

6.20. Финансовая организация (головная финансовая организация банковской группы) обеспечивает сохранность всех записей в базе событий. Внесение изменений и дополнений в информацию базы событий фиксируется финансовой организацией (головной финансовой организацией банковской группы) с указанием фамилии, имени, отчества (последнее при наличии) работника, сделавшего исправление, даты и основания исправления. Корректность исправления записи в соответствии с указанным основанием подлежит верификации в соответствии с внутренними документами финансовой организации (головной финансовой организации банковской группы).

6.21. Финансовая организация (головная финансовая организация банковской группы) устанавливает перечень должностей работников финансовой организации (головной финансовой организации банковской группы) с возложением полномочий и персональной ответственности на лиц, их замещающих, за несоблюдение требований внутренних документов по ведению базы событий, в том числе указывает во внутренних документах:

перечень должностей работников, ответственных за ведение базы событий;

a)перечень должностей работников, предоставляющих информацию для базы событий;
b)перечень должностей работников, определяющих потери от реализации событий операционного риска, занесенные в базу событий;
c)перечень должностей работников, ответственных за проверку полноты информации в базе событий и сверку счетов бухгалтерского учета с информацией, отраженной в базе событий.

.

Глава 7. Управление риском информационной безопасности.

.

7.1. Финансовая организация (головная финансовая организация банковской группы) определяет во внутренних документах порядок управления риском информационной безопасности.

7.2. Риск информационной безопасности включает в себя:

a)риск преднамеренных действий со стороны работников финансовой организации и (или) третьих лиц с использованием программных и (или) программноаппаратных средств, направленных на объекты информационной инфраструктуры финансовой организации (головной финансовой организации банковской группы) в целях нарушения и (или) прекращения их функционирования и (или) создания угрозы безопасности информации, подготавливаемой, обрабатываемой и хранимой такими объектами, а также в целях несанкционированного присвоения, хищения, изменения, удаления данных и иной информации (структуры данных, параметров и характеристик систем, программного кода) и нарушения режима доступа (далее киберриск);
b)другие виды риска информационной безопасности, связанные с обработкой (хранением, уничтожением) информации без использования объектов информационной инфраструктуры.

7.3. Инциденты, приведшие к фактической реализации риска информационной безопасности, в том числе киберриска, обусловленные источниками риска информационной безопасности, в том числе инциденты, связанные с нарушениями требований к обеспечению защиты информации при осуществлении переводов денежных средств, установленных в соответствии с Положением «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Государственным банком контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств», и Положением «Об установлении обязательных для финансовых организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента», (далее инциденты защиты информации), вследствие которых возникли прямые и (или) непрямые потери финансовой организации (головной финансовой организации банковской группы) (далее событие риска информационной безопасности), фиксируются финансовой организацией (головной финансовой организацией банковской группы) в базе событий с присвоением вида операционного риска в соответствии с абзацем семнадцатым пункта 6.6 настоящего Положения.

Негативное влияние риска информационной безопасности должно определяться в виде потерь, приведенных в пункте 3.11 настоящего Положения и пункте 4 приложения 5 к настоящему Положению.

7.4. Финансовая организация (головная финансовая организация банковской группы) классифицирует события риска информационной безопасности по источникам операционного риска в соответствии с пунктом 3.3 настоящего Положения, а также по уязвимостям информационных систем и их компонентов как источникам последующих уровней классификации источников событий операционного риска в соответствии с пунктом 3.4 настоящего Положения, обусловленным недостатками процессов обеспечения защиты информации, способствующими реализации угрозы безопасности информации (совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации).

7.5. Финансовая организация (головная финансовая организация банковской группы) определяет во внутренних документах порядок ведения базы событий риска информационной безопасности (как в общей базе событий, так и в отдельной базе событий риска информационной безопасности). В случае если финансовая организация (головная финансовая организация банковской группы) ведет отдельную базу событий риска информационной безопасности, подразделению (работникам), ответственному (ответственным) за организацию и контроль обеспечения защиты информации (далее служба информационной безопасности), необходимо соблюдать требования к классификации событий риска информационной безопасности в соответствии с пунктами 3.3 3.15 настоящего Положения и требования к ведению базы событий в соответствии с пунктами 6.6 6.21 настоящего Положения.

7.6. Финансовая организация (головная финансовая организация банковской группы) обеспечивает выявление, регистрацию и учет всех событий риска информационной безопасности с определением всех элементов классификации в соответствии с главами 2, 3 и 6 настоящего Положения, приложениями 4 и 5 к настоящему Положению, определяет суммы потерь в разрезе видов потерь в соответствии с пунктом 3.11 настоящего Положения и пунктом 4 приложения 5 к настоящему Положению с распределением по датам отражения в бухгалтерском учете, с раздельным учетом поступивших возмещений. В случае выявления событий риска информационной безопасности, связанных с не контролируемым финансовой организацией (головной финансовой организацией банковской группы) распространением сведений, составляющих банковскую тайну, финансовая организация (головная финансовая организация банковской группы) обеспечивает их регистрацию в базе событий, включающую описание указанных событий риска информационной безопасности в соответствии с пунктом 6.6 настоящего Положения.

7.7. Финансовая организация (головная финансовая организация банковской группы) в целях управления риском информационной безопасности определяет во внутренних документах порядок функционирования системы информационной безопасности и обеспечивает его выполнение, в том числе:

a)политику информационной безопасности;
b)выявление и идентификацию риска информационной безопасности, а также его оценку;
c)участие совета участников (наблюдательного совета) и коллегиального исполнительного органа финансовой организации (головной финансовой организации банковской группы) в решении вопросов управления риском информационной безопасности;
d)распределение функций и ответственности коллегиального исполнительного органа и работников финансовой организации (головной финансовой организации банковской группы), в том числе исключающее конфликт интересов в рамках организационной структуры обеспечения информационной безопасности, а также предполагающее определение должностного лица (лица, его замещающего), ответственного за функционирование системы обеспечения информационной безопасности (с прямым подчинением лицу, осуществляющему функции единоличного исполнительного органа финансовой организации (головной финансовой организации банковской группы) и не участвующего в совершении операций, сделок, организации бухгалтерского и управленческого учета, обеспечении функционирования информационных систем;
e)выявление событий риска информационной безопасности, включая рассмотрение обращений клиентов, контрагентов, работников и третьих лиц, связанных с нарушением информационной безопасности, выявление и регистрацию инцидентов защиты информации, выявление фактов компрометации объектов информационной инфраструктуры;
f)обеспечение осведомленности финансовой организации (головной финансовой организации банковской группы) и участников технологических процессов об актуальных угрозах безопасности информации, обмен информацией о событиях риска информационной безопасности, в том числе об инцидентах защиты информации, и представление данных в Государственный банк в соответствии с требованиями пункта 8 Положения «Об установлении обязательных для финансовых организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента»;
g)организацию ресурсного (кадрового и финансового) обеспечения, включая установление требований к квалификации работников финансовой организации (головной финансовой организации банковской группы), в том числе должностного лица (лица, его замещающего), ответственного за функционирование системы обеспечения информационной безопасности;
h)повышение осведомленности, обучение и развитие навыков работников финансовой организации (головной финансовой организации банковской группы) в области противодействия угрозам безопасности информации;
i)установление и реализацию программ контроля, в том числе программ аудита, включая независимую оценку соответствия уровня защиты информации в отношении объектов информационной инфраструктуры финансовой организации (головной финансовой организации банковской группы) в соответствии с требованиями пункта 9 Положения «Об установлении обязательных для финансовых организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента»;
j)проведение мониторинга риска информационной безопасности;
k)соответствие фактических значений контрольных показателей уровня риска информационной безопасности принятым в финансовой организации (головной финансовой организации банковской группы) значениям;
l)планирование, разработку, реализацию, контроль и совершенствование комплекса мероприятий, направленных на повышение эффективности управления риском информационной безопасности и уменьшение негативного влияния риска информационной безопасности, в том числе в соответствии с реализуемыми уровнями защиты информации в отношении объектов информационной инфраструктуры финансовой организации (головной финансовой организации банковской группы) в соответствии с требованиями подпункта 3.1 пункта 3 Положения «Об установлении обязательных для финансовых организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента»;
m)обеспечение защиты от угроз безопасности информации, включая обеспечение защиты информации, управление риском информационной безопасности при передаче третьим лицам (внешним подрядчикам, контрагентам, участникам банковской группы) выполнения отдельных функций финансовой организации (головной финансовой организации банковской группы) и (или) использовании внешних информационных систем в рамках реализации направлений деятельности, в том числе в разрезе составляющих их процессов, финансовой организации (головной финансовой организации банковской группы), управление риском несанкционированного доступа внутреннего нарушителя, являющегося работником финансовой организации (головной финансовой организации банковской группы) или третьим лицом, обладающими полномочиями по доступу к объектам информационной инфраструктуры финансовой организации (далее внутренний нарушитель), предотвращение не контролируемого финансовой организацией (головной финансовой организацией банковской группы) распространения сведений, составляющих банковскую тайну, а также обеспечение операционной надежности;
n)порядок реагирования на выявленные события риска информационной безопасности, в том числе инциденты защиты информации, и восстановления деятельности финансовой организации (головной финансовой организации банковской группы) в случае реализации таких событий, включая порядок взаимодействия финансовой организации (головной финансовой организации банковской группы) с клиентами и третьими лицами, в том числе в случае получения уведомлений, связанных с осуществлением перевода денежных средств без согласия клиентов;
o)выполнение требований к обеспечению защиты информации при осуществлении банковской деятельности, связанной с осуществлением перевода денежных средств, в соответствии с пунктом 5 Положения «Об установлении обязательных для финансовых организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента»;
p)процессы применения прикладного программного обеспечения автоматизированных систем и приложений, соответствующих требованиям пункта 4 Положения «Об установлении обязательных для финансовых организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента»;
q)ежегодное тестирование на проникновение и анализ уязвимостей информационной безопасности объектов информационной инфраструктуры в соответствии с подпунктом 3.2 пункта 3 Положения «Об установлении обязательных для финансовых организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента».

7.8. В политике информационной безопасности финансовая организация (головная финансовая организация банковской группы) в целях управления риском информационной безопасности определяет:

a)функции и ответственность коллегиального исполнительного органа и работников финансовой организации (головной финансовой организации банковской группы) в рамках управления риском информационной безопасности;
b)основные принципы функционирования системы обеспечения информационной безопасности и задачи управления риском информационной безопасности;
c)сигнальные и контрольные значения контрольных показателей уровня риска информационной безопасности;
d)основные принципы организации контроля за функционированием системы обеспечения информационной безопасности;
e)требования к созданию ресурсных (кадровых и финансовых) условий системы обеспечения информационной безопасности;
f)требования к третьим лицам (внешним подрядчикам, контрагентам, участникам банковской группы), которым могут быть переданы функции финансовой организации (головной финансовой организации банковской группы) по обеспечению информационной безопасности, а также определение порядка взаимодействия и распределения ответственности между финансовой организацией (головной финансовой организацией банковской группы) и привлеченными ею третьими лицами.

Политика информационной безопасности должна утверждаться коллегиальным исполнительным органом финансовой организации (головной финансовой организации банковской группы).

Коллегиальный исполнительный орган финансовой организации (головной финансовой организации банковской группы) несет ответственность за соблюдение требований политики информационной безопасности.

7.9. Финансовая организация (головная финансовая организация банковской группы) с учетом требований, указанных в главе 9 настоящего Положения, определяет выполнение службой информационной безопасности или отдельным структурным подразделением, ответственным за обеспечение информационной безопасности, следующих функций.

7.9.1. В целях обеспечения информационной безопасности:

a)разработка политики информационной безопасности;
b)контроль осуществления работниками финансовой организации (головной финансовой организации банковской группы) мероприятий в области обеспечения информационной безопасности и защиты информации и выполнения других задач, возложенных на них внутренними документами финансовой организации (головной финансовой организации банковской группы);
c)осуществление планирования и контроля процессов обеспечения информационной безопасности в рамках комплекса мероприятий, направленных на повышение эффективности управления риском информационной безопасности и уменьшение негативного влияния риска информационной безопасности;
d)разработка предложений по совершенствованию процессов обеспечения информационной безопасности, в том числе в рамках комплекса мероприятий, направленных на повышение эффективности управления риском информационной безопасности и уменьшение негативного влияния риска информационной безопасности;
e)составление отчетов по обеспечению информационной безопасности и направление их должностному лицу, ответственному за обеспечение информационной безопасности;
f)осуществление других функций, связанных с обеспечением информационной безопасности, предусмотренных внутренними документами финансовой организации (головной финансовой организации банковской группы).

7.9.2. В целях управления риском информационной безопасности:

a)соблюдение процедур управления операционным риском, установленных в подпунктах 2.1.1, 2.1.2 и 2.1.7 пункта 2.1 настоящего Положения, в части идентификации, сбора и регистрации информации о событиях риска информационной безопасности и потерях в базе событий, мониторинга риска информационной безопасности, в том числе на основе информации, предоставляемой центрами компетенций, ответственными за сбор информации о событиях операционного риска;
b)ведение базы событий риска информационной безопасности;
c)участие в реализации процессов в рамках комплекса мероприятий, направленных на повышение эффективности управления риском информационной безопасности и уменьшение негативного влияния риска информационной безопасности;
d)составление отчетов по событиям риска информационной безопасности и направление их в службу управления рисками и должностному лицу, ответственному за обеспечение информационной безопасности;
e)осуществление мониторинга сигнальных и контрольных значений контрольных показателей уровня риска информационной безопасности, определенных в соответствии с подпунктом 1.2 пункта 1 приложения 1 к настоящему Положению;
f)участие в разработке внутренних документов в области управления риском информационной безопасности;
g)информирование работников финансовой организации (головной финансовой организации банковской группы) по вопросам, связанным с управлением риском информационной безопасности;
h)осуществление других функций, связанных с управлением риском информационной безопасности, предусмотренных внутренними документами финансовой организации (головной финансовой организации банковской группы).

7.10. Служба информационной безопасности формирует сводные отчеты по рискам информационной безопасности, направляемые на рассмотрение должностному лицу, ответственному за обеспечение информационной безопасности, и коллегиальному исполнительному органу финансовой организации (головной финансовой организации банковской группы), в дополнение к отчетам, формируемым подразделением, ответственным за организацию управления операционным риском в соответствии с пунктом 4.2 настоящего Положения.

Финансовая организация (головная финансовая организация банковской группы) устанавливает во внутренних документах порядок и сроки представления данных отчетов.

7.11. Уполномоченное подразделение проводит регулярную (не реже одного раза в год) независимую оценку соблюдения требований, установленных настоящей главой, в рамках оценки эффективности системы управления операционным риском.

.

Глава 8. Управление риском информационных систем.

.

8.1. Финансовая организация (головная финансовая организация банковской группы) определяет во внутренних документах порядок управления риском информационных систем, включающий мероприятия и процедуры по обеспечению требований к непрерывности и качеству функционирования информационных систем и обеспечению качества данных в информационных системах.

8.2. В целях управления риском информационных систем финансовая организация (головная финансовая организация банковской группы) во внутренних документах определяет политику информационных систем как взаимосвязанной совокупности технических и программных средств, других объектов информационной инфраструктуры, содержащейся в базах данных информации и обеспечивающих ее обработку технологий в рамках реализации мероприятий поддержки и обеспечения непрерывности функционирования процессов финансовой организации (головной финансовой организации банковской группы) и обеспечивает ее соблюдение.

8.3. В политике информационных систем финансовая организация (головная финансовая организация банковской группы) в целях управления риском информационных систем определяет:

a)функции и полномочия подразделения (подразделений), ответственного (ответственных) за обеспечение функционирования информационных систем и их компонентов (далее подразделение (подразделения), ответственное (ответственные) за обеспечение функционирования информационных систем), по исполнению политики информационных систем и требований настоящей главы;
b)должностное лицо (лицо, его замещающее), ответственное за обеспечение функционирования информационных систем финансовой организации (головной финансовой организации банковской группы) и координацию деятельности подразделения (подразделений), ответственного (ответственных) за обеспечение функционирования информационных систем (далее должностное лицо, ответственное за информационные системы), не участвующее в совершении операций, сделок, организации бухгалтерского и управленческого учета, обеспечении функционирования системы обеспечения информационной безопасности, с прямым подчинением лицу, осуществляющему функции единоличного исполнительного органа финансовой организации (головной финансовой организации банковской группы);
c)требования к информационным системам, в том числе требования по обеспечению непрерывности и качества функционирования информационных систем;
d)порядок информационного взаимодействия в рамках реализации политики информационных систем;
e)порядок и периодичность формирования отчетов должностного лица, ответственного за информационные системы, и подразделения (подразделений), ответственного (ответственных) за обеспечение функционирования информационных систем, направляемых на рассмотрение коллегиальному исполнительному органу финансовой организации (головной финансовой организации банковской группы).
f)Политика информационных систем утверждается коллегиальным исполнительным органом финансовой организации (головной финансовой организации банковской группы).

Коллегиальный исполнительный орган финансовой организации (головной финансовой организации банковской группы) несет ответственность за соблюдение требований политики информационных систем.

8.4. Должностное лицо, ответственное за информационные системы, проводит не реже одного раза в год анализ необходимости пересмотра требований политики информационных систем в зависимости от осуществляемых операций и (или) действующих процессов, изменяющихся внешних факторов и стратегических планов развития финансовой организации (головной финансовой организации банковской группы), результатов процедур управления операционным риском, результатов оценки эффективности функционирования системы управления операционным риском, проведенной уполномоченным подразделением, и направляет результаты анализа на рассмотрение коллегиальному исполнительному органу финансовой организации (головной финансовой организации банковской группы) для принятия решения о необходимости внесения изменений в политику информационных систем и внутренние документы.

Финансовая организация (головная финансовая организация банковской группы) определяет во внутренних документах порядок и правила проведения анализа и пересмотра политики информационных систем.

8.5. Финансовая организация (головная финансовая организация банковской группы) описывает во внутренних документах архитектуру информационных систем и состав ее элементов, в том числе с учетом оценки влияния на них третьих лиц (внешних подрядчиков, контрагентов, участников банковской группы):

a)информационных систем финансовой организации (головной финансовой организации банковской группы) с соотнесением их элементов с процессами в соответствии с подпунктом 4.1.1 пункта 4.1 настоящего Положения, выполнение которых они обеспечивают;
b)структуры информационного обмена между элементами информационных систем, используемых при обеспечении процессов финансовой организации (головной финансовой организации банковской группы);
c)информационных систем третьих лиц (внешних подрядчиков, контрагентов, участников банковской группы) и их элементов, обеспечивающих процессы финансовой организации (головной финансовой организации банковской группы), и структуры информационного обмена между их элементами и элементами других информационных систем финансовой организации (головной финансовой организации банковской группы). Финансовая организация (головная финансовая организация банковской группы) в случае отсутствия информации об информационных системах третьих лиц (внешних подрядчиков, контрагентов, участников банковской группы) документирует причины и учитывает отсутствие указанной информации при оценке уровня риска информационных систем, в том числе в соответствии с абзацами седьмым и восьмым подпункта 8.7.2 пункта 8.7 настоящего Положения;
d)подразделений и работников подразделений финансовой организации (головной финансовой организации банковской группы) и (или) третьих лиц (внешних подрядчиков, контрагентов, участников банковской группы), являющихся пользователями и (или) обеспечивающих функционирование информационных систем.

8.6. Финансовая организация (головная финансовая организация банковской группы) обеспечивает проведение подразделениями финансовой организации (головной финансовой организации банковской группы) мероприятий, направленных на выявление, оценку, разработку форм (способов) контроля, и мероприятий, направленных на повышение качества системы управления риском информационных систем и снижение уровня риска информационных систем и сопряженных с ним рисков информационной безопасности, влияющих на информационные системы (в том числе рисков уничтожения (искажения, безвозвратного удаления) носителей и (или) хранилищ информации и данных, хранящихся в информационных системах).

8.7. Финансовая организация (головная финансовая организация банковской группы) в целях управления риском информационных систем разрабатывает во внутренних документах и соблюдает требования к информационным системам с учетом их влияния на обеспечение бесперебойной работы процессов и операционную устойчивость финансовой организации (головной финансовой организации банковской группы).

8.7.1. Требования к структуре информационных систем, включая требования к:

a)составу основных функций, компонентов, подсистем информационных систем и их иерархической структуры в соответствии с заданными финансовой организацией (головной финансовой организацией банковской группы) функциональными требованиями и техническими заданиями;
b)средствам и способам обмена информации между подсистемами информационных систем в случае распределенной архитектуры, в том числе с элементами, размещенными у третьих лиц (внешних подрядчиков, контрагентов, участников банковской группы);
c)архитектуре взаимодействия со смежными информационными системами, в том числе третьих лиц (внешних подрядчиков, контрагентов, участников банковской группы).

8.7.2. Требования к стандартизации и унификации, используемые при создании, модернизации и эксплуатации информационных систем, включая требования к:

a)перечню используемых финансовой организацией (головной финансовой организацией банковской группы) программных и технических средств;
b)перечню программноаппаратных решений, требующих сертификации;
c)правилам разработки (как собственными силами финансовой организации (головной финансовой организации банковской группы), так и силами привлеченных подрядчиков), приемки, тестирования, сопровождения информационных систем и ведения рабочей документации, включая порядок хранения и изменения исходного кода (в том числе раздельное хранение, исключающее доступ разработчиков);
d)классификации информационных систем с учетом критичности и влияния информационных систем на процессы, а также влияния сбоев в работе информационных систем на процессы финансовой организации (головной финансовой организации банковской группы);
e)квалификации работников, задействованных при разработке и эксплуатации информационных систем;
f)закупке услуг и информации в случае необходимости привлечения третьих лиц (внешних подрядчиков, контрагентов, участников банковской группы), в том числе порядку их выбора, определения их ответственности и правил их взаимодействия;
g)критериям и порядку определения технической и экономической целесообразности передачи на аутсорсинг элементов информационных систем с учетом рисков утраты доступа к этим элементам информационных систем и утраты данных, а также порядку контроля финансовой организации (головной финансовой организации банковской группы) за элементами информационных систем, переданными на аутсорсинг.

8.7.3. Требования к надежности функционирования информационных систем, включая требования к:

a)порядку выявления и устранения сбоев информационных систем, включающему перечень возможных отказов и (или) сбоев информационных систем или их элементов, их классификацию и примерные варианты решения, а также к информационному, техническому и программному обеспечению информационных систем;
b)режимам функционирования информационных систем (например, период доступности системы в течение суток, максимальное допустимое время простоя в год, допустимые интервалы в случае установки обновления);
c)аутсорсингу обслуживания и функционирования информационных систем, включая обязательные мероприятия по обеспечению сохранности элементов информационных систем, переданных на аутсорсинг, доступа к ним и контроля финансовой организации (головной финансовой организации банковской группы) за ними, в том числе персональную ответственность должностных лиц за сохранность информационных систем и данных, переданных на аутсорсинг;
d)перечню показателей надежности функционирования информационных систем и их пороговым значениям;
e)инструментам, методам контроля и способам оценки надежности функционирования информационных систем финансовой организации (головной финансовой организации банковской группы);
f)проведению мероприятий по повышению качества функционирования информационных систем;
g)периоду коммерческого использования с сохранением требуемых функций информационных систем (жизненному циклу информационных систем);
h)другие требования, отражающие особенности обеспечения функционирования процессов и структуры информационных систем финансовой организации (головной финансовой организации банковской группы).

8.7.4. Требования к обеспечению качества данных в информационных системах в разрезе характеристик качества данных в рамках обеспечения функционирования процессов, включая требования к:

a)точности и достоверности данных в части отсутствия синтаксических и семантических ошибок в данных, а также их соответствия реальным и статистически наиболее вероятным значениям свойств, характеристик и параметров, зафиксированных в данных;
b)полноте данных в части достаточности объема данных (количеству хранящихся в информационных системах записей), глубине данных (периоду данных, используемому для проведения операций и оценки эффективности процессов, применяемых методик и моделей процессов) и широте данных (охвату данными всех разрезов, свойств и характеристик объектов), требуемым в рамках обеспечения функционирования процессов;
c)свойствам данных в любой момент времени адекватно отражать состояние объектов предметной области (актуальность данных);
d)взаимной непротиворечивости данных, хранящихся в информационных системах финансовой организации (головной финансовой организации банковской группы), других источниках и носителях информации, унификации данных при их перемещении в информационных системах и процессах, целостности соответствующих идентификационных ссылок и связей в структурах баз данных (согласованность данных);
e)возможности использования данных при функционировании процессов (доступность данных);
f)возможности осуществления контроля качества и происхождения данных, в том числе посредством отражения в информационных системах источников данных, истории создания, изменения, преобразования, удаления, хранения и передачи данных (контролируемость данных);
g)возможности сохранять установленный уровень функциональности и качества данных после их утраты, повреждения или изменения в результате сбоев или других нарушений функционирования информационных систем (восстанавливаемость данных);
h)другим характеристикам качества данных, определяемым финансовой организацией (головной финансовой организацией банковской группы) во внутренних документах.

Финансовая организация (головная финансовая организация банковской группы) с учетом осуществляемых операций и (или) действующих процессов, уровня и сочетания принимаемых рисков, текущих и стратегических планов развития и доступных возможностей определяет во внутренних документах дополнительные характеристики качества данных в информационных системах, включающие разработку методики обеспечения качества данных и порядка обеспечения качества данных.

8.7.5. Финансовая организация (головная финансовая организация банковской группы) определяет во внутренних документах методику обеспечения качества данных в информационных системах, обеспечивающих критически важные процессы, включающую следующие элементы:

a)классификатор возможных источников и причин образования в информационных системах данных, не соответствующих требованиям к качеству данных в информационных системах;
b)показатели (индикаторы) качества данных для оценки характеристик качества данных, разрабатываемые финансовой организацией (головной финансовой организацией банковской группы) для различных информационных систем;
c)методы и алгоритмы расчета, правила измерения показателей качества данных, в том числе с использованием контрольных выборок данных;
d)критерии оценки качества данных.

Финансовая организация (головная финансовая организация банковской группы) определяет во внутренних документах другие элементы методики обеспечения качества данных в информационных системах.

Финансовая организация (головная финансовая организация банковской группы) применяет элементы методики обеспечения качества данных с учетом особенностей конкретных данных, в том числе методов и процедур их фиксирования, хранения и преобразования, а также их типов и форматов.

8.7.6. Финансовая организация (головная финансовая организация банковской группы) определяет во внутренних документах порядок обеспечения качества данных в информационных системах, обеспечивающих критически важные процессы, включающий следующие элементы:

a)процедуры измерения показателей качества данных;
b)процедуры обоснования, утверждения и корректировки предельно допустимых значений показателей качества данных, критериев оценки качества данных;
c)процедуры реагирования на случаи нарушения установленных финансовой организацией (головной финансовой организацией банковской группы) предельно допустимых значений показателей качества данных, критериев оценки качества данных;
d)процедуры, правила и периодичность контроля качества данных и формирования отчетов о качестве данных, о проведении мероприятий контроля качества данных;
e)процедуры исправления выявленных ошибок в данных и документирования внесенных в них изменений;
f)порядок взаимодействия органов управления, подразделений и должностных лиц финансовой организации (головной финансовой организации банковской группы) по вопросам обеспечения качества данных, устанавливающий их полномочия, ответственность, подотчетность и обеспеченность ресурсами, в том числе определяющий в финансовой организации (головной финансовой организации банковской группы) должностное лицо (должностные лица), несущее (несущие) персональную ответственность за обеспечение качества данных в информационных системах;
g)порядок и периодичность (не реже одного раза в год) проведения независимой оценки качества данных.

Финансовая организация (головная финансовая организация банковской группы) определяет во внутренних документах другие элементы порядка обеспечения качества данных в информационных системах.

8.7.7. Финансовая организация (головная финансовая организация банковской группы) определяет во внутренних документах дополнительные требования к информационным системам и их функционированию с учетом осуществляемых операций и (или) действующих процессов, уровня и сочетания принимаемых рисков, текущих и стратегических планов развития и доступных возможностей.

8.7.8. Подразделение (подразделения), ответственное (ответственные) за обеспечение функционирования информационных систем, не реже одного раза в год проводит (проводят) анализ необходимости пересмотра требований к информационным системам с учетом текущих и стратегических планов развития, их влияния на процессы, оценки уровня операционного риска, отраженной в отчетах по операционному риску, и мероприятий, направленных на повышение качества системы операционным риском и уменьшение негативного влияния операционного риска, а также с учетом отчетов службы информационной безопасности и подразделения, ответственного за обеспечение информационной безопасности, и направляет результаты анализа коллегиальному исполнительному органу финансовой организации (головной финансовой организации банковской группы) для принятия решения о пересмотре требований к информационным системам.

8.8. Финансовая организация (головная финансовая организация банковской группы) устанавливает во внутренних документах и соблюдает следующие требования по обеспечению непрерывности и качества функционирования информационных систем:

8.8.1. Разработка, реализация и контроль выполнения требований к информационным системам, обеспечивающим функционирование системы информационной безопасности в соответствии с пунктом 7.7 настоящего Положения.

8.8.2. Обеспечение условий эксплуатации технических средств элементов информационных систем, а также устройств бесперебойного электропитания, пожаротушения, вентиляции и кондиционирования, резервных цифровых каналов и устройств связи, резервных носителей данных.

8.8.3. Регулярное (не реже одного раза в день) резервное копирование данных критически важных процессов на резервные технические средства, размещенные не в тех зданиях, в которых размещены действующие технические средства, обеспечивающие функционирование информационных систем в текущем рабочем режиме. Финансовая организация (головная финансовая организация банковской группы) обеспечивает надежность функционирования резервных технических средств, в том числе соблюдение требования подпункта 8.8.2 настоящего пункта, режима охраны и доступа.

8.8.4. Использование программного обеспечения, принятого в эксплуатацию с соблюдением требований подпункта 8.7.2 пункта 8.7 настоящего Положения и технических условий эксплуатации, описанных в эксплуатационной документации программного обеспечения финансовой организации (головной финансовой организации банковской группы).

8.8.5. Наличие во внутренних документах финансовой организации (головной финансовой организации банковской группы) положения и стратегии по обеспечению непрерывности и восстановления функционирования информационных систем. Финансовая организация (головная финансовая организация банковской группы) определяет во внутренних документах орган финансовой организации (головной финансовой организации банковской группы), который утверждает стратегию и положение по обеспечению непрерывности и восстановления функционирования информационных систем, с установлением обязательств соблюдения требований внутренних документов всеми подразделениями финансовой организации (головной финансовой организации банковской группы).

8.8.6. Проведение финансовой организацией (головной финансовой организацией банковской группы) регулярных (не реже одного раза в год) оценок состава компонентов, архитектуры, информационной инфраструктуры и характеристик информационных систем на предмет их достаточности и эффективности для обеспечения функционирования процессов финансовой организации (головной финансовой организации банковской группы), по результатам которых финансовой организацией (головной финансовой организацией банковской группы) принимаются меры по устранению выявленных недостатков в информационных системах.

8.8.7. Ежегодное тестирование уязвимостей информационных систем и (или) их компонентов и других источников риска информационных систем, а также разработка комплекса мероприятий, направленных на устранение выявленных уязвимостей информационных систем и (или) других источников риска информационных систем.

8.8.8. Проведение уполномоченным подразделением регулярной (не реже одного раза в год) оценки соблюдения установленных настоящей главой требований, включая оценку эффективности:

a)соблюдения политики информационных систем;
b)мероприятий, направленных на повышение качества системы управления риском информационных систем и уменьшение негативного влияния риска информационных систем;
c)требований к информационным системам в целях управления риском информационных систем;
d)требований по обеспечению непрерывности и качества функционирования информационных систем.

Уполномоченное подразделение направляет отчеты по результатам оценки соблюдения требований, установленных настоящей главой, совету участников (наблюдательному совету) и коллегиальному исполнительному органу финансовой организации (головной финансовой организации банковской группы), подразделению (подразделениям), ответственному (ответственным) за обеспечение функционирования информационных систем, и службе управления рисками.

8.8.9. Коллегиальный исполнительный орган финансовой организации (головной финансовой организации банковской группы) определяет подразделение (подразделения), ответственное (ответственные) за обеспечение непрерывности функционирования информационных систем, включая:

a)определение полномочий подразделения и его работников;
b)целевые показатели и критерии эффективности работы подразделения с занесением их в положение о подразделении и должностные инструкции работников;
c)контрольные процедуры и целевые показатели подразделения, в том числе порядок их актуализации.

8.8.10. Коллегиальный исполнительный орган финансовой организации (головной финансовой организации банковской группы) определяет должностное лицо (лицо, его замещающее), ответственное за обеспечение непрерывности функционирования информационных систем в финансовой организации (головной финансовой организации банковской группы), включая его полномочия и требования к его квалификации.

8.8.11. Должностное лицо (лицо, его замещающее), ответственное за обеспечение непрерывности функционирования информационных систем в финансовой организации (головной финансовой организации банковской группы), регулярно (не реже одного раза в год) проводит самооценку рисков информационных систем в разрезе процессов с учетом требований настоящей главы и направляет отчеты по результатам самооценки в подразделение, ответственное за организацию управления операционным риском, и (или) другому органу, установленному финансовой организацией (головной финансовой организацией банковской группы) во внутренних документах.

8.8.12. Коллегиальный исполнительный орган финансовой организации (головной финансовой организации банковской группы) определяет подразделение, ответственное за предоставление отчетов по риску информационных систем в соответствии с требованиями пункта 4.2 настоящего Положения, а также порядок предоставления отчетов подразделению, ответственному за организацию управления операционным риском.

8.8.13. Финансовая организация (головная финансовая организация банковской группы) определяет во внутренних документах дополнительные требования к обеспечению непрерывности и качества функционирования информационных систем с учетом осуществляемых операций и (или) действующих процессов, принимаемых рисков, текущих и стратегических планов развития и доступных возможностей.

.

Глава 9. Соблюдение требований настоящего Положения финансовыми организациями (головной финансовой организацией банковской группы).

.

9.1. Банк, размер активов которого составляет 5 миллиардов евро и более на начало текущего отчетного года в соответствии со значением статьи «Всего активов», определяемым в соответствии с Разработочной таблицей для составления бухгалтерского баланса (публикуемой формы) пункта 3 Порядка составления и представления отчетности по форме 0409806 «Бухгалтерский баланс (публикуемая форма)», установленного приложением 1 к Указанию «О перечне, формах и порядке составления и представления форм отчетности финансовых организаций в Государственный банк» (далее банк, размер активов которого составляет 5 миллиардов евро и более):

9.1.1. обязан соблюдать:

a)требования глав 1, 3 8 настоящего Положения и приложений 1, 2, 4, 5 к настоящему Положению;
b)требования абзацев первого четвертого подпункта 2.1.1, подпунктов 2.1.2 2.1.4, абзацев первого второго, четвертого тринадцатого, шестнадцатого девятнадцатого подпункта 2.1.5, подпунктов 2.1.6 2.1.7 пункта 2.1, пунктов 2.2 2.5 главы 2 настоящего Положения;

9.1.2. вправе самостоятельно определить во внутренних документах другие способы управления операционным риском из указанных в пункте 2.1 настоящего Положения в дополнение к способам управления операционным риском, указанным в абзаце третьем подпункта 9.1.1 настоящего пункта.

9.2. Банк с универсальным разрешением, размер активов которого составляет менее 5 миллиардов евро на начало текущего отчетного года в соответствии со значением статьи «Всего активов», определяемым в соответствии с Разработочной таблицей для составления Бухгалтерского баланса (публикуемой формы) пункта 3 Порядка составления и представления отчетности по форме 0409806 «Бухгалтерский баланс (публикуемая форма)», установленного приложением 1 к Указанию «О перечне, формах и порядке составления и представления форм отчетности финансовых организаций в Государственный банк» (далее банк с универсальным разрешением, размер активов которого составляет менее 5 миллиардов евро):

9.2.1. обязан соблюдать:

a)требования глав 1, 3, 5 8 настоящего Положения и приложений 1, 2, 4, 5 к настоящему Положению,
b)требования абзацев первого третьего, четвертого (в части анализа динамики КИР по критически важным процессам) подпункта 2.1.1, подпункта 2.1.2 (банк с универсальным разрешением, размер активов которого составляет менее 5 миллиардов евро, с учетом порога регистрации фиксирует в базе событий события операционного риска с прямыми и (или) косвенными потерями, а также потерями, указанными в абзаце втором подпункта 3.13.3 пункта 3.13 настоящего Положения), подпункта 2.1.3, абзацев первого, третьего пятого подпункта 2.1.4, абзацев первого, второго, четвертого тринадцатого, шестнадцатого девятнадцатого подпункта 2.1.5, подпунктов 2.1.6 и 2.1.7 пункта 2.1, пунктов 2.2 2.5 настоящего Положения;
c)требования пунктов 4.1 4.2, подпунктов 4.3.3 и 4.3.4 пункта 4.3, пунктов 4.4 4.6 главы 4 настоящего Положения;

9.2.2. вправе самостоятельно определить во внутренних документах другие способы управления операционным риском из указанных в пункте 2.1 настоящего Положения, в дополнение к способам управления операционным риском, указанным в третьем абзаце подпункта 9.2.1 настоящего пункта.

9.3. Финансовая организация (головная финансовая организация банковской группы), которая на начало текущего отчетного года является банком с базовым разрешением (далее банк с базовым разрешением):

9.3.1. обязана соблюдать:

a)требования глав 1, 3, 5 7 настоящего Положения и приложений 2, 4, 5 к настоящему Положению;
b)требования абзацев первого второго подпункта 2.1.1, абзацев первого, третьего четырнадцатого подпункта 2.1.2 (при этом банк с базовым разрешением с учетом порога регистрации фиксирует в базе событий события операционного риска с прямыми потерями, а также потерями, указанными в абзаце втором подпункта 3.13.3 пункта 3.13 настоящего Положения), подпункта 2.1.3, абзацев первого, третьего и четвертого подпункта 2.1.4, абзацев первого, четвертого (в части моделирования угроз), девятнадцатого подпункта 2.1.5, абзацев первого двенадцатого подпункта 2.1.6 (в части соблюдения требований абзацев первого двенадцатого подпункта 2.1.6 пункта 2.1 настоящего Положения банк с базовым разрешением обеспечивает выбор и применение способа реагирования, в том числе принятие мер, направленных на уменьшение негативного влияния операционного риска, только в части реализовавшихся событий операционного риска с прямыми потерями) пункта 2.1, пунктов 2.2 2.5 главы 2 настоящего Положения;
c)требования пунктов 4.1, 4.2, 4.4 4.6 главы 4 настоящего Положения;
d)требования пунктов 8.1 8.5, пункта 8.6 (в части выявления риска информационной безопасности), абзацев шестого и седьмого подпункта 8.7.2, абзацев первого, третьего и четвертого подпункта 8.7.3, абзацев первого восьмого подпункта 8.7.4 пункта 8.7, подпунктов 8.8.1 8.8.5, подпунктов 8.8.8 8.8.10, подпунктов 8.8.12 8.8.13 пункта 8.8 главы 8 настоящего Положения;
e)требования абзацев второго восьмого, одиннадцатого подпункта 1.1.1, подпунктов 1.1.2, 1.1.3 и 1.2 пункта 1 приложения 1 к настоящему Положению;

9.3.2. вправе самостоятельно определить во внутренних документах другие способы управления операционным риском из указанных в пункте 2.1 настоящего Положения в дополнение к способам управления операционным риском, указанным в абзаце третьем подпункта 9.3.1 настоящего пункта.

9.4. Финансовая организация (головная финансовая организация банковской группы), которая на начало текущего отчетного года является небанковской финансовой организацией (далее НКО), обязана соблюдать:

a)требования глав 1, 3, 6 настоящего Положения и приложений 4 и 5 к настоящему Положению;
b)требования абзацев первого и второго подпункта 2.1.1, абзацев первого, третьего четырнадцатого подпункта 2.1.2 (при этом НКО с учетом порога регистрации фиксирует в базе событий события операционного риска с прямыми потерями, потерями, указанными в абзаце втором подпункта 3.13.3 пункта 3.13 настоящего Положения), подпункта 2.1.3, абзацев первого и второго подпункта 2.1.4, абзацев первого двенадцатого подпункта 2.1.6 (НКО обеспечивает выбор и применение способа реагирования, в том числе принятие мер, направленных на уменьшение негативного влияния операционного риска, только в части реализовавшихся событий операционного риска с прямыми потерями) пункта 2.1, пунктов 2.2 2.5 главы 2 настоящего Положения;
c)требования подпункта 4.1.4 пункта 4.1, пункта 4.4 главы 4 настоящего Положения;
d)требования пунктов 7.1 7.7, абзацев первого третьего, пятого девятого пункта 7.8, подпункта 7.9.1, абзацев первого четвертого, шестого, восьмого десятого подпункта 7.9.2 пункта 7.9, пункты 7.10 и 7.11 главы 7 настоящего Положения.

9.4.1. Порядок осуществления НКО, имеющей право на осуществление переводов денежных средств без открытия банковских счетов и связанных с ними иных банковских операций (далее платежная НКО), контроля за уровнем операционного риска при привлечении банковского платежного агента в соответствии со статьей 14 Закона «О национальной платежной системе» должен включать в себя:

a)порядок сбора и анализа платежной НКО информации о банковском платежном агенте;
b)порядок распределения полномочий между подразделениями и служащими платежной НКО при привлечении банковского платежного агента;
c)порядок выявления, оценки, мониторинга платежной НКО операционных рисков, связанных с привлечением банковского платежного агента, а также осуществления платежной НКО мер по достижению и (или) поддержанию их приемлемого уровня;
d)порядок осуществления платежной НКО контроля за деятельностью банковского платежного агента;
e)порядок обеспечения платежной НКО переводов денежных средств без открытия банковских счетов и связанных с ними иных банковских операций в случае несоблюдения банковским платежным агентом условий его привлечения (включая обеспечение возможности использования услуг другого банковского платежного агента или переход на самообслуживание);
f)порядок составления и периодичность представления в органы управления, определенные внутренними документами платежной НКО, отчета о результатах контроля за уровнем операционного риска при привлечении банковского платежного агента.

9.4.2. НКО вправе самостоятельно определить во внутренних документах другие способы управления операционным риском из указанных в пункте 2.1 настоящего Положения в дополнение к способам управления операционным риском, указанным в абзаце третьем настоящего пункта.

.

Глава 10. Заключительные положения.

.

10.1. Настоящее Положение вступает в силу со дня его официального опубликования.

10.2. Система управления операционным риском подлежит приведению в соответствие с требованиями настоящего Положения финансовыми организациями (головными финансовыми организациями банковской группы).

10.3. Финансовые организации (головные финансовые организации банковской группы) в случае приведения системы управления операционным риском в соответствие с требованиями настоящего Положения, вправе проинформировать об этом Государственный банк в целях организации Государственным банком оценки соответствия системы управления операционным риском требованиям настоящего Положения.

.

Утверждено Председателем Центрального банка

С.И. Шабулдаев

.

*******

.

Приложение 1 к Положению «О требованиях к системе управления операционным риском в финансовой организации и банковской группе».

.

КОНТРОЛЬНЫЕ ПОКАЗАТЕЛИ УРОВНЯ ОПЕРАЦИОННОГО РИСКА.

.

1. Финансовая организация (головная финансовая организация банковской группы) определяет во внутренних документах порядок установления и контроля соблюдения следующих контрольных показателей уровня операционного риска в соответствии с главами 5 и 9 настоящего Положения.

1.1. Базовый набор показателей системы управления операционным риском включает следующие показатели:

1.1.1. Количественные контрольные показатели:

a)общая сумма чистых прямых потерь, понесенных финансовой организацией от реализации событий операционного риска за вычетом чистых прямых потерь от реализации событий риска информационной безопасности за определенный период (первый квартал, полугодие, девять месяцев, год) с начала календарного года;
b)отношение общей суммы валовых прямых потерь от реализации событий операционного риска за вычетом валовых прямых потерь от реализации событий риска информационной безопасности, понесенных финансовой организацией за годовой период, к базовому капиталу финансовой организации на последнюю отчетную дату года;
c)отношение общей суммы чистых прямых потерь (включая чистые прямые потери от реализации событий риска информационной безопасности), понесенных финансовой организацией за год, к показателю объема операционного риска в виде показателя Д, рассчитанного в соответствии с пунктом 3 Положения «О порядке расчета размера операционного риска» на последнюю отчетную дату для финансовых организаций, применяющих для расчета размера операционного риска Положение «О порядке расчета размера операционного риска», либо в виде показателя бизнесиндикатора, рассчитанного в соответствии с пунктом 2.2 Положения «О порядке расчета размера операционного риска («Базель III») и осуществления Государственным банком надзора за его соблюдением» на последнюю расчетную дату для финансовых организаций, применяющих для расчета размера операционного риска Положение «О порядке расчета размера операционного риска («Базель III») и осуществления Государственным банком надзора за его соблюдением» (далее показатель объема операционного риска);
d)отношение общей суммы валовых прямых потерь от реализации событий операционного риска за вычетом валовых прямых потерь от реализации событий риска информационной безопасности, понесенных финансовой организацией за год, к показателю объема операционного риска;
e)отношение суммы чистых прямых потерь от реализации событий операционного риска, рассчитанных в соответствии с пунктом 6.18 настоящего Положения, понесенных финансовой организацией за год, за вычетом чистых прямых потерь от реализации событий риска информационной безопасности к показателю объема операционного риска;
f)доля выявленных (по количеству) в ходе оценки эффективности функционирования системы управления операционным риском, проведенной уполномоченным подразделением, внешним экспертом или Государственным банком, событий операционного риска с валовыми прямыми потерями, превышающими порог регистрации, определяемый в соответствии с пунктом 6.5 настоящего Положения, которые финансовая организация не отразила в базе событий, по отношению ко всем зарегистрированным в базе событий событиям операционного риска с валовыми прямыми потерями, превышающими порог регистрации, за годовой период, к которому относится проверяемый период (контрольное значение должно быть не больше 5 процентов, сигнальное значение не больше 3 процентов);
g)отношение сумм валовых прямых потерь от реализации выявленных в ходе оценки эффективности функционирования системы управления операционным риском, проведенной уполномоченным подразделением, внешним экспертом или Государственным банком, событий операционного риска с прямыми потерями, превышающими порог регистрации, определяемый в соответствии с пунктом 6.5 настоящего Положения, которые финансовая организация не отразила в базе событий, к общей сумме валовых прямых потерь от реализации всех событий операционного риска, зарегистрированных в базе событий с прямыми потерями, превышающими порог регистрации, за годовой период, к которому относится проверяемый период (контрольное значение должно быть не больше 5 процентов, сигнальное значение не больше 3 процентов);
h)общая сумма валовых прямых и сумм величин косвенных потерь от реализации событий операционного риска, определяемых расчетным образом, за вычетом суммы валовых прямых и сумм величин косвенных потерь от реализации событий риска информационной безопасности, за определенный период (первый квартал, полугодие, девять месяцев, год) с начала календарного года;
i)отношение суммы чистых прямых и сумм величин косвенных потерь от реализации событий операционного риска, определяемых расчетным образом, за вычетом суммы чистых прямых и сумм величин косвенных потерь от реализации событий риска информационной безопасности, к общему капиталу (собственным средствам) финансовой организации на последнюю отчетную дату года;
j)другие количественные показатели, определяемые финансовой организацией в стратегии управления рисками и капиталом.

1.1.2. Качественные контрольные показатели, к которым относятся качественные оценки по четырехуровневой системе («хорошо», «удовлетворительно», «сомнительно», «неудовлетворительно») по следующим направлениям:

a)оценка эффективности функционирования системы управления операционным риском, проведенная уполномоченным подразделением в соответствии с пунктом 4.4 настоящего Положения;
b)другие качественные показатели, определяемые финансовой организацией в стратегии управления рисками и капиталом.

1.1.3. Коллегиальный исполнительный орган финансовой организации (головной финансовой организации банковской группы) определяет лимиты операционного риска на основе установленных в политике управления операционным риском значений уровней контрольных показателей путем их распределения по направлениям деятельности, в том числе в разрезе составляющих их процессов, подразделениям, видам операционного риска (риск информационной безопасности, риск информационных систем, операционный риск в целом) в соответствии с абзацами вторым восьмым, одиннадцатым подпункта 1.1.1 настоящего пункта.

1.2. Базовый набор контрольных показателей уровня риска информационной безопасности включает следующие показатели:

1.2.1. Количественные контрольные показатели риска информационной безопасности:

a)общая сумма чистых прямых потерь от реализации событий риска информационной безопасности за отчетный период (первый квартал, полугодие, девять месяцев, год) нарастающим итогом с начала календарного года;
b)общая сумма валовых прямых потерь от реализации событий риска информационной безопасности, связанных с переводами денежных средств и платежами в платежных системах, в соответствии с подпунктом 1.1 пункта 1 приложения 5 к настоящему Положению за отчетный период (первый квартал, полугодие, девять месяцев, год) нарастающим итогом с начала календарного года;
c)отношение общей суммы чистых прямых потерь от реализации событий риска информационной безопасности, понесенных финансовой организацией за отчетный период (первый квартал, полугодие, девять месяцев, год), к базовому капиталу финансовой организации на последнюю отчетную дату года;
d)отношение суммы валовых прямых потерь от реализации событий риска информационной безопасности, понесенных финансовой организацией при выполнении финансовой организацией функций участника платежной системы Государственного банка, за отчетный период (первый квартал, полугодие, девять месяцев, год) нарастающим итогом с начала календарного года к общей сумме осуществленных финансовой организацией операций по переводу денежных средств через платежную систему Государственного банка за этот же период (контрольное значение должно быть не более 0,05 процента, сигнальное значение не более 0,005 процента);
e)отношение суммы валовых прямых потерь от реализации событий риска информационной безопасности, связанных с переводами денежных средств и платежами в платежных системах, в соответствии с подпунктом 1.1 пункта 1 приложения 5 к настоящему Положению за отчетный период (первый квартал, полугодие, девять месяцев, год) нарастающим итогом с начала календарного года к общей сумме переводов денежных средств и платежей в платежных системах за этот же период (контрольное значение должно быть не более 0,05 процента, сигнальное значение не более 0,005 процента);
f)отношение суммы денежных средств, по которой получены уведомления, связанные с осуществлением перевода денежных средств без согласия клиента, за отчетный период (первый квартал, полугодие, девять месяцев, год) нарастающим итогом с начала календарного года к общей сумме переводов денежных средств за этот же период (контрольное значение должно быть не более 0,005 процента, сигнальное значение не более 0,002 процента);
g)доля реализованных (по количеству), то есть не предотвращенных системой информационной безопасности финансовой организации, событий риска информационной безопасности с ненулевой величиной валовых прямых потерь, которые финансовая организация не отразила в базе событий, по отношению ко всем событиям риска информационной безопасности, зарегистрированным в базе событий, с ненулевой величиной валовых прямых потерь в течение отчетного периода (первого квартала, полугодия, девяти месяцев, года), о которых финансовая организация проинформировала Государственный банк в соответствии с пунктом 8 Положения «Об установлении обязательных для финансовых организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента»;
h)доля выявленных (по количеству) в ходе оценки эффективности функционирования системы управления операционным риском, проведенной уполномоченным подразделением, внешним экспертом или Государственным банком, событий риска информационной безопасности с ненулевой величиной валовых прямых потерь, о которых финансовая организация не проинформировала Государственный банк в соответствии с пунктом 8 Положения «Об установлении обязательных для финансовых организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента», по отношению ко всем зарегистрированным событиям риска информационной безопасности с ненулевой величиной валовых прямых потерь, о которых финансовая организация проинформировала Государственный банк в соответствии с пунктом 8 Положения «Об установлении обязательных для финансовых организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента», за годовой период, к которому относится проверяемый период;
i)общая сумма валовых прямых и сумм величин косвенных потерь от реализации событий риска информационной безопасности за отчетный период (первый квартал, полугодие, девять месяцев, год) нарастающим итогом с начала календарного года к расчету объема капитала, выделяемого на покрытие потерь от реализации операционного риска (в случае, если финансовая организация применяет подход количественной оценки потерь от реализации операционного риска на основе статистики базы событий (с использованием статистики за период не менее пяти лет) с использованием продвинутого подхода;
j)отношение суммы чистых прямых и сумм величин косвенных потерь от событий риска информационной безопасности к собственным средствам (капиталу) финансовой организации на последнюю отчетную дату года (в случае, если финансовая организация применяет продвинутый подход к расчету объема капитала, выделяемого на покрытие потерь от реализации операционного риска);
k)отношение суммы валовых прямых и сумм величин косвенных потерь, понесенных финансовой организацией при выполнении финансовой организацией функций оператора платежной системы или оператора услуг платежной инфраструктуры, за отчетный период (первый квартал, полугодие, девять месяцев, год) нарастающим итогом с начала календарного года к общей сумме операций по переводу денежных средств через платежные системы, где финансовая организация выполняет функции оператора платежной системы, за этот же период (в случае, если финансовая организация применяет продвинутый подход к расчету объема капитала, выделяемого на покрытие потерь от реализации операционного риска);
l)общая сумма валовых прямых и сумм величин косвенных потерь финансовой организации в результате использования электронных средств платежа клиентов финансовых организаций без их согласия за отчетный период (первый квартал, полугодие, девять месяцев, год) нарастающим итогом с начала календарного года (в случае, если финансовая организация применяет продвинутый подход к расчету объема капитала, выделяемого на покрытие потерь от реализации операционного риска);
m)общая сумма валовых прямых и сумм величин косвенных потерь финансовой организации в результате переводов (снятия) денежных средств, связанных с несанкционированным доступом к объектам информационной инфраструктуры финансовой организации, за отчетный период (первый квартал, полугодие, девять месяцев, год) нарастающим итогом с начала календарного года (в случае, если финансовая организация применяет продвинутый подход к расчету объема капитала, выделяемого на покрытие потерь от реализации операционного риска);
n)отношение количества операций по переводу денежных средств, соответствующих признакам осуществления перевода денежных средств без согласия клиента физического лица, размещенным на официальном сайте Государственного банка в информационнотелекоммуникационной сети «Интернет» (далее соответственно сеть «Интернет», операции, соответствующие признакам осуществления перевода денежных средств без согласия клиента физического лица), в отношении которых финансовая организация в соответствии с частью 5 статьи 8 Закона «О национальной платежной системе» не приняла к исполнению и (или) в соответствии с частью 5.1 статьи 8 Закона «О национальной платежной системе» приостановила исполнение распоряжений о совершении операций по переводу денежных средств, за отчетный период (первый квартал, полугодие, девять месяцев, год) нарастающим итогом с начала календарного года к общему количеству операций по переводу денежных средств за этот же период;
o)отношение суммы денежных средств по операциям, соответствующим признакам осуществления перевода денежных средств без согласия клиента физического лица, в отношении которых финансовая организация в соответствии с частью 5 статьи 8 Закона «О национальной платежной системе» не приняла к исполнению и (или) в соответствии с частью 5.1 статьи 8 Закона «О национальной платежной системе» приостановила исполнение распоряжений о совершении операций по переводу денежных средств, за отчетный период (первый квартал, полугодие, девять месяцев, год) нарастающим итогом с начала календарного года к общей сумме денежных средств по операциям по переводу денежных средств за этот же период;
p)отношение количества операций, соответствующих признакам осуществления перевода денежных средств без согласия клиента физического лица, в отношении которых финансовая организация в соответствии с частью 5 статьи 8 Закона «О национальной платежной системе» не приняла к исполнению и (или) в соответствии с частью 5.1 статьи 8 Закона «О национальной платежной системе» приостановила исполнение распоряжений о совершении операций по переводу денежных средств и по которым получены подтверждения клиентов физических лиц о направлении распоряжения о совершении операции по переводу денежных средств с их согласия и (или) получены от клиентов физических лиц подтверждения возобновления исполнения распоряжений в соответствии с частью 5.3 статьи 8 Закона «О национальной платежной системе», за отчетный период (первый квартал, полугодие, девять месяцев, год) нарастающим итогом с начала календарного года к количеству операций, соответствующих признакам осуществления перевода денежных средств без согласия клиента физического лица, в отношении которых финансовая организация в соответствии с частью 5 статьи 8 Закона «О национальной платежной системе» не приняла к исполнению и (или) в соответствии с частью 5.1 статьи 8 Закона «О национальной платежной системе» приостановила исполнение распоряжений о совершении операций по переводу денежных средств, за этот же период;
q)отношение суммы денежных средств по операциям, соответствующим признакам осуществления перевода денежных средств без согласия клиента физического лица, в отношении которых финансовая организация в соответствии с частью 5 статьи 8 Закона «О национальной платежной системе» не приняла к исполнению и (или) в соответствии с частью 5.1 статьи 8 Закона «О национальной платежной системе» приостановила исполнение распоряжений о совершении операций по переводу денежных средств и по которым получены подтверждения клиентов физических лиц о направлении распоряжения о совершении операции по переводу денежных средств с их согласия и (или) получены от клиентов физических лиц подтверждения возобновления исполнения распоряжений в соответствии с частью 5.3 статьи 8 Закона «О национальной платежной системе», за отчетный период (первый квартал, полугодие, девять месяцев, год) нарастающим итогом с начала календарного года к сумме денежных средств по операциям, соответствующим признакам осуществления перевода денежных средств без согласия клиента физического лица, в отношении которых финансовая организация в соответствии с частью 5 статьи 8 Закона «О национальной платежной системе» не приняла к исполнению и (или) в соответствии с частью 5.1 статьи 8 Закона «О национальной платежной системе» приостановила исполнение распоряжений о совершении операций по переводу денежных средств, за этот же период;
r)отношение количества операций по переводу денежных средств, в отношении которых финансовая организация не приостановила исполнение распоряжений о совершении операций по переводу денежных средств в соответствии с частью 5.1 статьи 8 Закона «О национальной платежной системе» и по которым получены уведомления от клиентов физических лиц об использовании электронного средства платежа без их согласия, в том числе в соответствии с частью 11 статьи 9 Закона «О национальной платежной системе», за отчетный период (первый квартал, полугодие, девять месяцев, год) нарастающим итогом с начала календарного года к количеству операций по переводу денежных средств без согласия клиента физического лица за этот же период;
s)отношение суммы денежных средств по операциям по переводу денежных средств, в отношении которых финансовая организация не приостановила исполнение распоряжений о совершении операций по переводу денежных средств в соответствии с частью 5.1 статьи 8 Закона «О национальной платежной системе» и по которым получены уведомления от клиентов физических лиц об использовании электронного средства платежа без их согласия, в том числе в соответствии с частью 11 статьи 9 Закона «О национальной платежной системе», за отчетный период (первый квартал, полугодие, девять месяцев, год) нарастающим итогом с начала календарного года к сумме денежных средств по операциям по переводу денежных средств без согласия клиента физического лица за этот же период;
t)отношение суммы денежных средств, возмещенной (возвращенной) клиентам, по которой получены уведомления от клиентов об использовании электронного средства платежа без их согласия, в том числе в соответствии с частью 11 статьи 9 Закона «О национальной платежной системе», за отчетный период (первый квартал, полугодие, девять месяцев, год) нарастающим итогом с начала календарного года к сумме денежных средств, в отношении которой получены такие уведомления, за этот же период;
u)оценка соответствия уровню защиты информации в отношении процесса 1 «Обеспечение защиты информации при управлении доступом», определенного в разделе 1 приложения № 6 настоящего положения, согласно методике оценки соответствия защиты информации, (контрольное значение должно быть не менее 0,85, сигнальное значение не менее 0,9);
v)оценка соответствия уровню защиты информации в отношении процесса 5 «Предотвращение утечек информации», определенного в разделе 1 приложения № 6 настоящего положения, согласно методике оценки соответствия защиты информации, (контрольное значение должно быть не менее 0,85, сигнальное значение не менее 0,9);
w)оценка выполнения установленных Положением «Об установлении обязательных требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента», Положением «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Государственным банком контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств», Положением «О требованиях к защите информации в платежной системе Государственного банка», требований к обеспечению защиты информации, применяемых в отношении объектов информационной инфраструктуры, проводимая согласно определенной методике оценки соответствия защиты информации.

При расчете количественного контрольного показателя уровня риска информационной безопасности, указанного в абзаце девятнадцатом настоящего подпункта, финансовая организация (головная финансовая организация банковского группы) определяет количество операций по переводу денежных средств без согласия клиента физического лица как сумму количества операций по переводу денежных средств, в отношении которых финансовая организация не приостановила исполнение распоряжений о совершении операций по переводу денежных средств в соответствии с частью 5.1 статьи 8 Закона «О национальной платежной системе» и по которым получены уведомления от клиентов физических лиц об использовании электронного средства платежа без их согласия, в том числе в соответствии с частью 11 статьи 9 Закона «О национальной платежной системе», и количества операций, соответствующих признакам осуществления перевода денежных средств без согласия клиента физического лица, в отношении которых финансовая организация в соответствии с частью 5 статьи 8 Закона «О национальной платежной системе» не приняла к исполнению и (или) в соответствии с частью 5.1 статьи 8 Закона «О национальной платежной системе» приостановила исполнение распоряжений о совершении операций по переводу денежных средств, за исключением случаев, когда получены подтверждения клиентов физических лиц о направлении распоряжения о совершении операции по переводу денежных средств с их согласия и (или) получены от клиентов физических лиц подтверждения возобновления исполнения распоряжений в соответствии с частью 5.3 статьи 8 Закона «О национальной платежной системе».

При расчете количественного контрольного показателя уровня риска информационной безопасности, указанного в абзаце двадцатом настоящего подпункта, финансовая организация (головная финансовая организация банковского группы) определяет сумму денежных средств по операциям по переводу денежных средств без согласия клиента физического лица как сумму денежных средств по операциям по переводу денежных средств, в отношении которых финансовая организация не приостановила исполнение распоряжений о совершении операций по переводу денежных средств в соответствии с частью 5.1 статьи 8 Закона «О национальной платежной системе» и по которым получены уведомления от клиентов физических лиц об использовании электронного средства платежа без их согласия, в том числе в соответствии с частью 11 статьи 9 Закона «О национальной платежной системе», и денежных средств по операциям, соответствующим признакам осуществления перевода денежных средств без согласия клиента физического лица, в отношении которых финансовая организация в соответствии с частью 5 статьи 8 Закона «О национальной платежной системе» не приняла к исполнению и (или) в соответствии с частью 5.1 статьи 8 Закона «О национальной платежной системе» приостановила исполнение распоряжений о совершении операций по переводу денежных средств, за исключением случаев, когда получены подтверждения клиентов физических лиц о направлении распоряжения о совершении операции по переводу денежных средств с их согласия и (или) получены от клиентов физических лиц подтверждения возобновления исполнения распоряжений в соответствии с частью 5.3 статьи 8 Закона «О национальной платежной системе».

1.2.2. Качественные контрольные показатели риска информационной безопасности, к которым относятся качественные оценки по четырехуровневой системе («хорошо», «удовлетворительно», «сомнительно», «неудовлетворительно»), по направлению «оценка эффективности функционирования системы управления риском информационной безопасности, проведенная уполномоченным подразделением и (или) внешним экспертом (специализированной организацией или квалифицированным внешним экспертом) по решению совета участников (наблюдательного совета) финансовой организации».

2. Дочерние финансовые организации, осуществляющие свою деятельность в иностранной юрисдикции, в случае противоречия национального законодательства требованиям настоящего Положения приводят в соответствие с требованиями национального законодательства показатели, указанные в настоящем приложении.

.

Приложение 2 к Положению «О требованиях к системе управления операционным риском в финансовой организации и банковской группе».

.

ПОДХОДЫ К РАСЧЕТУ ОБЪЕМА КАПИТАЛА, ВЫДЕЛЯЕМОГО ФИНАНСОВОЙ ОРГАНИЗАЦИЕЙ (ГОЛОВНОЙ ФИНАНСОВОЙ ОРГАНИЗАЦИЕЙ БАНКОВСКОЙ ГРУППЫ) НА ПОКРЫТИЕ ПОТЕРЬ ОТ РЕАЛИЗАЦИИ ОПЕРАЦИОННОГО РИСКА.

.

1. Финансовая организация (головная финансовая организация банковской группы) в целях соблюдения требований абзаца третьего подпункта 2.1.4 пункта 2.1 настоящего Положения выбирает один из следующих подходов к расчету объема капитала, выделяемого финансовой организацией (головной финансовой организацией банковской группы) на покрытие потерь от реализации событий операционного риска:

a)регуляторный подход, основанный на расчете размера операционного риска в соответствии с пунктом 2 Положения «О порядке расчета размера операционного риска» в случае, если финансовая организация применяет для целей расчета размера операционного риска Положение «О порядке расчета размера операционного риска», либо в соответствии с пунктом 1.2 Положения «О порядке расчета размера операционного риска («Базель III») и осуществления Государственным банком надзора за его соблюдением» в случае, если финансовая организация применяет для целей расчета размера операционного риска Положение «О порядке расчета размера операционного риска («Базель III») и осуществления Государственным банком надзора за его соблюдением», и прогнозных сценариев среднегодовых потерь от реализации событий операционного риска, изложенный в пункте 4 настоящего приложения (далее регуляторный подход);
b)продвинутый подход.

2. В случае если объем капитала, выделяемого на покрытие потерь от реализации событий операционного риска, по продвинутому подходу оказывается меньше, чем минимальный регуляторный капитал на покрытие операционного риска, определяемый в соответствии с пунктом 3 настоящего приложения, коллегиальный исполнительный орган финансовой организации (головной финансовой организации банковской группы) в составе материалов, направляемых в совет участников (наблюдательный совет) для утверждения стратегии управления рисками и капиталом, представляет заключение, содержащее обоснование того, что уровень операционного риска в финансовой организации (головной финансовой организации банковской группы) оценивается им ниже, чем требуется в соответствии с регуляторным подходом.

3. Финансовая организация (головная финансовая организация банковской группы), выбравшая в соответствии с пунктом 1 настоящего приложения регуляторный подход, определяет объем капитала, выделяемого финансовой организацией (головной финансовой организацией банковской группы) на покрытие потерь от реализации событий операционного риска, по формуле:

,

где:

объем капитала, выделяемого финансовой организацией (головной финансовой организацией банковской группы) на покрытие потерь от реализации событий операционного риска, включаемый в состав совокупного объема необходимого капитала, соответствующего показателю , определенному в соответствии с подпунктом 2.1.1 пункта 2.1 Инструкции «Об обязательных нормативах и надбавках к нормативам достаточности капитала банков с универсальным разрешением»;

минимальный регуляторный капитал на покрытие потерь от реализации событий операционного риска, включаемый в состав совокупного объема необходимого капитала, соответствующего показателю , и выделяемый на покрытие потерь от реализации событий операционного риска, необходимый для соблюдения минимально допустимого числового значения норматива достаточности капитала Н1.i, установленного для финансовой организации в соответствии с подпунктом 2.1.1 пункта 2.1 Инструкции «Об обязательных нормативах и надбавках к нормативам достаточности капитала банков с универсальным разрешением» и для головной финансовой организации банковской группы в соответствии с пунктом 2.1 Положения «О расчете величины собственных средств (капитала), обязательных нормативов и размеров (лимитов) открытых валютных позиций банковских групп», определяемый по формуле:

,

где:

ОР целевое (прогнозное) значение на планируемый период размера операционного риска, определяемого в соответствии с пунктом 2 Положения «О порядке расчета размера операционного риска» в случае, если финансовая организация применяет для целей расчета размера операционного риска Положение «О порядке расчета размера операционного риска», либо в соответствии с пунктом 1.2 Положения «О порядке расчета размера операционного риска («Базель III») и осуществления Государственным банком надзора за его соблюдением» в случае, если финансовая организация применяет для целей расчета размера операционного риска Положение «О порядке расчета размера операционного риска («Базель III») и осуществления Государственным банком надзора за его соблюдением»;

минимально допустимое числовое значение норматива достаточности капитала H1.i, определенное в пункте 2.2 Инструкции «Об обязательных нормативах и надбавках к нормативам достаточности капитала банков с универсальным разрешением»;

компонент объема капитала, выделяемого финансовой организацией (головной финансовой организацией банковской группы) на покрытие потерь от реализации событий операционного риска, соответствующего: К1 базовому капиталу банка, К2 основному капиталу банка, К0 величине собственных средств (капитала) банка, определенных в соответствии с методикой, установленной Положением «О методике определения собственных средств (капитала) финансовых организаций («Базель III»)», соответственно на покрытие прямых потерь (для и ), совокупных (прямых и косвенных) потерь (для ) от реализации событий риска информационной безопасности, которые определяются финансовой организацией (головной финансовой организацией банковской группы) с использованием анализа возможного превышения фактической величины чистых прямых потерь над контрольным значением контрольного показателя общей суммой чистых прямых годовых потерь от реализации событий риска информационной безопасности, установленного в соответствии с абзацем вторым подпункта 1.2.1 пункта 1 приложения 1 к настоящему Положению;

компонент объема капитала, выделяемого финансовой организацией (головной финансовой организацией банковской группы) на покрытие потерь от реализации событий операционного риска, соответствующего: К1 базовому капиталу банка, К2 основному капиталу банка, К0 величине собственных средств (капитала) банка, определенных в соответствии с методикой, предусмотренной Положением «О методике определения собственных средств (капитала) финансовых организаций («Базель III»)», соответственно на покрытие прямых потерь (для и ), совокупных (прямых и косвенных) потерь для () от реализации операционного риска, за вычетом потерь от реализации событий риска информационной безопасности, которые определяются финансовой организацией (головной финансовой организацией банковской группы) с использованием анализа возможного превышения фактической величины чистых прямых потерь над контрольным значением контрольного показателя общей суммой чистых прямых годовых потерь от реализации событий операционного риска за вычетом чистых прямых потерь от реализации событий риска информационной безопасности, установленного в соответствии с абзацем вторым подпункта 1.1.1 пункта 1 приложения 1 к настоящему Положению.

4. В случае если финансовая организация (головная финансовая организация банковской группы) применяет регуляторный подход к оценке объема капитала, выделяемого финансовой организацией (головной финансовой организацией банковской группы) на покрытие потерь от реализации событий операционного риска, и фактическая совокупная величина прямых годовых потерь от реализации событий операционного риска и событий риска информационной безопасности за каждый год не превышала минимальный регуляторный капитал, рассчитанный для данного года, на протяжении последних десяти лет, финансовая организация (головная финансовая организация банковской группы) приравнивает к нулю компонент объема капитала, выделяемого финансовой организацией (головной финансовой организацией банковской группы) на покрытие потерь от реализации событий риска информационной безопасности и (или) событий операционного риска, в соответствии с заключением службы управления рисками об отсутствии других факторов возможных потерь (например, об отсутствии изменений внутренних и внешних факторов операционной среды финансовой организации (головной финансовой организации банковской группы) с приложением результатов сценарного анализа и стресстестирования.

4.1. В случае если у финансовой организации (головной финансовой организации банковской группы) отсутствуют данные о потерях от реализации событий операционного риска и событий риска информационной безопасности за десять лет, финансовая организация (головная финансовая организация банковской группы) использует в целях расчета объема капитала, выделяемого финансовой организацией (головной финансовой организацией банковской группы) на покрытие потерь от реализации событий операционного риска, накопленные данные за имеющейся период, но не менее чем за три года (с последующим учетом накопленных данных о потерях до достижения периода десяти лет), для сравнения с минимальным регуляторным капиталом за каждый год в течение периода десяти лет.

При этом финансовая организация (головная финансовая организация банковской группы) ежегодно при формировании объема капитала, выделяемого финансовой организацией (головной финансовой организацией банковской группы) на покрытие потерь от реализации событий операционного риска, готовит заключение о достаточности имеющихся накопленных данных о потерях от реализации событий операционного риска и (или) событий риска информационной безопасности для установления нулевых значений компонентов объема капитала, выделяемого финансовой организацией (головной финансовой организацией банковской группы) на покрытие потерь от реализации событий операционного риска и (или) событий риска информационной безопасности.

4.2. Коллегиальный исполнительный орган финансовой организации (головной финансовой организации банковской группы) рассматривает заключение об отсутствии других факторов возможных потерь от реализации операционных рисков и утверждает его в рамках внутренних процедур планирования объема капитала, выделяемого финансовой организацией (головной финансовой организацией банковской группы) на покрытие потерь от реализации событий операционного риска.

4.3. В случае если у финансовой организации (головной финансовой организации банковской группы) отсутствуют данные о потерях от реализации событий операционного риска и (или) событий риска информационной безопасности за три года или накопленные данные не соответствуют требованиям главы 6 настоящего Положения, за исключением абзаца тридцать первого и сорок четвертого пункта 6.6 настоящего Положения, финансовая организация (головная финансовая организация банковской группы) не устанавливает нулевые значения компонентов и и при определении объема капитала, выделяемого финансовой организацией (головной финансовой организацией банковской группы) на покрытие потерь от реализации событий операционного риска, должна определять значение данных компонентов с учетом результатов качественной оценки уровня операционного риска, проведенной в соответствии с планом проведения качественной оценки, за последний календарный год.

4.4. Подразделение, ответственное за организацию управления операционным риском, подготавливает заключение об отсутствии других факторов возможных потерь от реализации операционного риска и направляет его на рассмотрение в службу управления рисками.

5. Финансовая организация (головная финансовая организация банковской группы), выбравшая в соответствии с пунктом 1 настоящего приложения продвинутый подход, определяет объем капитала, выделяемого финансовой организацией (головной финансовой организацией банковской группы) на покрытие потерь от реализации событий операционного риска, в составе капитала Кi в соответствии с методикой количественной оценки прямых потерь (для объема капитала, выделяемого финансовой организацией (головной финансовой организацией банковской группы) на покрытие потерь от реализации событий операционного риска, в составе базового и основного капиталов) и совокупных потерь (для объема капитала, выделяемого финансовой организацией (головной финансовой организацией банковской группы) на покрытие потерь от реализации событий операционного риска, в составе собственных средств) от реализации событий операционного риска (методика потерь), с заданной во внутренних документах доверительной вероятностью как сумму двух компонентов:

объема капитала, выделяемого финансовой организацией (головной финансовой организацией банковской группы) на покрытие потерь от реализации событий риска информационной безопасности;

объема капитала, выделяемого финансовой организацией (головной финансовой организацией банковской группы) на покрытие потерь от реализации операционного риска, за вычетом потерь от реализации риска информационной безопасности.

При этом для оценки объема капитала, выделяемого финансовой организацией (головной финансовой организацией банковской группы) на покрытие потерь от реализации событий операционного риска, в дополнение к потерям от реализации внутренних событий операционного риска финансовая организация (головная финансовая организация банковской группы) должна использовать внешнюю информацию о потерях других финансовых организаций с применением методов сценарного анализа в соответствии с пунктом 4.4 приложения 1 к Указанию «О требованиях к системе управления рисками и капиталом финансовой организации и банковской группы».

6. В случае если фактическая величина потерь от реализации событий операционного риска и (или) событий риска информационной безопасности по итогам года превысила выделенную на этот год величину объема капитала, выделяемого финансовой организацией (головной финансовой организацией банковской группы) на покрытие потерь от реализации событий операционного риска, данное превышение добавляется финансовой организацией (головной финансовой организацией банковской группы) в течение последующего года к оценке компонентов объема капитала, выделяемого финансовой организацией (головной финансовой организацией банковской группы) на покрытие потерь от реализации событий операционного риска, рассчитанной по потерям из базы событий.

7. Финансовая организация (головная финансовая организация банковской группы), учитывающая потери от реализации операционного риска и (или) риска информационной безопасности в запланированных расходах финансовой организации (головной финансовой организации банковской группы) того года, в котором были отражены потери, при определении сигнального значения прямых или совокупных потерь уменьшает компоненты объема капитала, выделяемого финансовой организацией (головной финансовой организацией банковской группы) на покрытие потерь от реализации событий операционного риска, на величину, не превышающую величину запланированных расходов от реализации операционного риска и (или) риска информационной безопасности.

8. Финансовая организация (головная финансовая организация банковской группы), применяющая механизмы и процедуры управления отдельными видами операционного риска, в составе объема капитала, выделяемого финансовой организацией (головной финансовой организацией банковской группы) на покрытие потерь от реализации событий операционного риска, выделяет дополнительные компоненты объема капитала, выделяемого финансовой организацией (головной финансовой организацией банковской группы) на покрытие потерь от реализации этих видов операционного риска.

.

Приложение 3 к Положению «О требованиях к системе управления операционным риском в финансовой организации и банковской группе».

.

РЕКОМЕНДУЕМЫЙ ПЕРЕЧЕНЬ ВОЗМОЖНЫХ МЕР, НАПРАВЛЕННЫХ НА УМЕНЬШЕНИЕ НЕГАТИВНОГО ВЛИЯНИЯ ОПЕРАЦИОННОГО РИСКА.

.

Финансовая организация (головная финансовая организация банковской группы) использует следующий рекомендуемый перечень возможных мер, направленных на уменьшение негативного влияния операционного риска, но не ограничивается им.

1. Регламентация, в том числе актуализация, процессов проведения операций (сделок) с соблюдением действующего законодательства.

2. Применение стандартизированных форм внутренних документов финансовой организации.

3. Стандартизация операций (сделок).

4. Применение стандартизированных форм договоров с клиентами (контрагентами).

5. Контроль (автоматизированный, ручной) за соблюдением внутренних документов финансовой организации.

6. Подбор и аттестация персонала.

7. Разработка системы мотивации персонала.

8. Проведение тренингов и обучение персонала проведению сделок (операций).

9. Процедура коллегиального принятия решений, например, по проведению крупных сделок (нестандартных сделок).

10. Особый контроль за проведением крупных сделок (нестандартных сделок).

11. Контроль сделок (операций).

12. Формирование отчетов по сделкам (операциям).

13. Тестирование процессов, информационных и технологических систем финансовой организации.

14. Автоматизация процессов (операций), алгоритмизация сделок (операций).

15. Проверка документов, в том числе первичных, по проводимым сделкам (операциям).

16. Разграничение функций, ответственности и полномочий персонала при проведении сделок (операций).

17. Использование двойного контроля при проведении сделок (операций).

18. Установление и контроль соблюдения лимитов при проведении сделок (операций).

19. Установление и разделение прав доступа к информации и информационным системам.

20. Резервирование информации в информационных системах.

21. Установление и разделение прав доступа к использованию материальных и нематериальных активов.

22. Организация физической безопасности объектов и материальных активов финансовой организации.

23. Противодействие неправомерному использованию инсайдерской информации.

24. Контроль качества данных в процессах, информационных системах.

25. Процедуры ограничения на ввод данных в информационных системах.

26. Автоматический контроль вводимых данных в информационных системах.

27. Контроль сроков и рассылка уведомлений участникам процессов.

28. Автоматический контроль маршрута согласований сделок (операций).

29. Мероприятия по повышению культуры управления рисками.

30. Система ключевых показателей деятельности, стимулирующая персонал эффективно управлять рисками.

31. Другие меры, направленные на уменьшение негативного влияния операционного риска.

.

Приложение 4 к Положению «О требованиях к системе управления операционным риском в финансовой организации и банковской группе».

.

ДЕТАЛИЗИРОВАННАЯ КЛАССИФИКАЦИЯ ТИПОВ СОБЫТИЙ ОПЕРАЦИОННОГО РИСКА.

.

Финансовая организация (головная финансовая организация банковской группы) в разрезе основной классификации типов событий операционного риска дополнительно классифицирует события операционного риска по следующим типам событий операционного риска:

1. Тип события операционного риска «преднамеренные действия персонала» включает:

1.1. неразрешенную деятельность, состоящую в преднамеренных действиях персонала, связанную с превышением работниками своих полномочий при проведении или одобрении сделки (осуществлении операций), закрепленных должностными инструкциями, внутренними документами или решениями единоличного, или коллегиального исполнительного органа финансовой организации, без цели присвоения, уничтожения, хищения имущества, материальных и (или) нематериальных активов, но в целях получения нематериальной выгоды;

1.2. преднамеренные действия персонала в отношении имущества, материальных и (или) нематериальных активов финансовой организации и средств клиентов с целью их присвоения, уничтожения, хищения в целях получения материальной выгоды, в том числе с использованием коммерческого подкупа (коррупции).

2. Тип события операционного риска «преднамеренные действия третьих лиц» включает:

2.1. преднамеренные действия третьих лиц в отношении имущества, материальных и (или) нематериальных активов финансовой организации и средств клиентов. К данному типу событий операционного риска не относятся события киберриска;

2.2. нарушение безопасности информационных систем, состоящее в преднамеренных действиях третьих лиц в отношении имущества, информации, данных, материальных и (или) нематериальных активов финансовой организации и средств клиентов. К данному типу событий операционного риска относятся все виды кибератак, совершенных третьими лицами с применением объектов информационной инфраструктуры по отношению к информации и данным, содержащимся во внутренних информационных системах финансовой организации (реализация событий киберриска).

3. Тип события операционного риска «нарушение кадровой политики и безопасности труда» включает:

3.1. нарушение трудового законодательства, результатом которого стало наложение на финансовую организацию санкций за нарушение норм трудового законодательства (выплаты работникам или бывшим работникам в виде компенсаций за нарушение условий трудового договора и (или) в связи с санкциями, наложенными исполнительным государственным органом, уполномоченным на осуществление федерального государственного надзора за соблюдением трудового законодательства);

3.2. нарушение норм безопасности и охраны труда, в том числе действия (бездействие) должностных лиц, результатом которых стали выплаты компенсаций работникам или бывшим работникам финансовой организации за причинение ущерба здоровью и (или) административных штрафов исполнительным государственным органам;

3.3. нарушения гражданских прав работников финансовой организации и третьих лиц, связанные с дискриминацией (половая, расовая, национальная дискриминация, а также дискриминация по языку, происхождению, имущественному и должностному положению, месту жительства, отношению к убеждениям, принадлежности к общественным объединениям и возрастному признаку).

4. Тип события операционного риска «нарушение гражданских прав клиентов и контрагентов» включает:

4.1. нарушение гражданских прав клиентов, состоящее в действиях со стороны финансовой организации, которые привели к несанкционированному раскрытию конфиденциальной информации, нарушению функционирования системы информационного обмена и взаимодействия с клиентом, повлекших выплаты клиентам в связи с нарушением их интересов;

4.2. нарушение обычаев делового оборота и рыночных практик, состоящее в нарушении финансовой организацией законодательства и других государств, которые попадают под совершаемые операции, условий договоров на совершение операций, предоставление услуг, внутренних процедур финансовой организации взаимодействия с клиентами и контрагентами;

4.3. недостатки оказания услуг и проведения операций, состоящие в нарушении финансовой организацией интересов и гражданских прав клиентов вследствие установленных в финансовой организации правил и стандартов оказания услуг и проведения операций, рекламы финансовой организации, навязывания финансовой организацией сопутствующих услуг. К данному типу событий операционного риска не относятся события, связанные с несовершенством и недостатками внутренних процессов;

4.4. нарушение требований законодательства в области противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию насилия;

4.5. недостатки в работе с контрагентами, связанные с негативными событиями у третьих лиц (внешних подрядчиков, контрагентов, участников банковской группы), произошедшими по вине финансовой организации, результатом которых стали претензии контрагентов и выплата им компенсаций.

5. Тип события операционного риска «ущерб материальным активам», включает события, связанные с природными и прочими внешними факторами, повлекшими досрочное списание (полное или частичное выбытие) материальных активов финансовой организации:

a)природные факторы, включая стихийные бедствия;
b)техногенные факторы;
c)социальнополитические факторы;
d)медикобиологические факторы;
e)вандализм.

6. Тип события операционного риска «нарушение и сбои систем и оборудования» включает:

6.1. сбои в работе информационных систем и программного обеспечения, связанные с нарушением работоспособности технических средств и оборудования, объектов информационной инфраструктуры, программного обеспечения и других элементов информационных систем финансовой организации;

6.2. инфраструктурные сбои, состоящие в нарушении работы инфраструктуры (сбой систем кондиционирования, водоснабжения, электроснабжения), за исключением сбоев информационных систем и объектов информационной инфраструктуры, оказавших влияние на деятельность финансовой организации.

7. Тип события операционного риска «нарушение организации, исполнения и управления процессами финансовой организации» включает:

7.1. ошибки при подготовке, проведении и сопровождении операций, состоящие в нарушении внутренних процессов, стандартов, правил финансовой организации (например, к данному типу событий операционного риска относятся события операционного риска непреднамеренного характера, связанные с нарушением внутренних процедур проведения операций работниками финансовой организации (не связанные с преднамеренными действиями персонала), события операционного риска, связанные с несовершенством и недостатками внутренних процессов, системы внутреннего контроля, систем управления рисками, недостатками распределения функций и полномочий, ошибками корпоративного управления);

7.2. ошибки во внутренних процессах бухгалтерского и аналитического учета и отчетности, состоящие в нарушении правил и сроков соблюдения бухгалтерского учета и предоставления отчетности;

7.3. ошибки при подготовке договоров и осуществлении документационного обмена, состоящие в ошибках при работе с клиентской документацией, документообороте, информационном обмене финансовой организации с клиентами;

7.4. ошибки расчетнокассового обслуживания и управления счетами клиентов, состоящие в нарушении порядка работы со счетами клиентов, в том числе работы со средствами клиентов, находящимися в доверительном управлении;

7.5. недостатки работы с третьими лицами (внешними подрядчиками, контрагентами, участниками банковской группы), выбора третьих лиц (внешних подрядчиков, контрагентов, участников банковской группы). К данному типу событий операционного риска относятся события операционного риска, связанные с потерями финансовой организации, возникшими в результате работы третьих лиц (внешних подрядчиков, контрагентов, участников банковской группы), появлением зависимости процессов от третьих лиц (внешних подрядчиков, контрагентов, участников банковской группы);

7.6. ошибки финансовой организации, связанные с несоответствием внутренних документов финансовой организации законодательству, нормативным актам исполнительных государственных органов, Государственного банка;

7.7. нарушения правил внутреннего контроля и процедур, установленных в финансовой организации в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, финансированию насилия и финансированию распространения оружия массового уничтожения.

.

Приложение 5 к Положению «О требованиях к системе управления операционным риском в финансовой организации и банковской группе».

.

ПОДХОДЫ К ДОПОЛНИТЕЛЬНОЙ КЛАССИФИКАЦИИ РИСКА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ.

.

1. Финансовая организация (головная финансовая организация банковской группы) дополнительно классифицирует события риска информационной безопасности в разрезе типов событий нарушения защиты информации:

1.1. События риска информационной безопасности, связанные с нарушением требований к обеспечению защиты информации при осуществлении переводов денежных средств:

a)получение оператором по переводу денежных средств, обслуживающим плательщика, включая оператора электронных денежных средств, уведомлений в предусмотренной договором форме от клиентов физических, юридических лиц, индивидуальных предпринимателей или лиц, занимающихся частной практикой, о случаях переводов денежных средств без согласия клиента, в том числе об использовании электронных средств платежа без согласия клиента;
b)получение расчетным центром платежной системы уведомлений от участников платежной системы о списании денежных средств с их корреспондентских счетов без их согласия и (или) с использованием искаженной информации, содержащейся в распоряжениях платежных клиринговых центров или участников платежной системы;
c)выявление оператором по переводу денежных средств, обслуживающим плательщика, включая оператора электронных денежных средств, операций, соответствующих признакам осуществления перевода денежных средств без согласия клиента, установленным Государственным банком и размещаемым на официальном сайте Государственного банка в сети «Интернет»;
d)выявление оператором по переводу денежных средств, обслуживающим плательщика, включая оператора электронных денежных средств, операций по переводу денежных средств и операций по выдаче наличных денежных средств, совершенных в результате несанкционированного доступа к объектам информационной инфраструктуры оператора по переводу денежных средств, в том числе при уменьшении остатка электронных денежных средств, за исключением виртуальных платежных карт;
e)осуществление несанкционированного снятия в банкоматах денежных средств оператора по переводу денежных средств;
f)осуществление несанкционированного снятия в банкоматах денежных средств оператора электронных денежных средств;
g)выявление оператором по переводу денежных средств, включая оператора электронных денежных средств, и (или) оператором услуг платежной инфраструктуры компьютерных атак, последствия от реализации которых могут привести к случаям осуществления переводов денежных средств без согласия клиента;
h)другие события нарушения защиты информации, связанные с несоблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств.

1.2. События риска информационной безопасности, связанные с неоказанием или несвоевременным оказанием услуг по переводу денежных средств:

a)неоказание услуг оператора по переводу денежных средств, включая оператора по переводу электронных денежных средств, на период более двух часов в целом по всем субъектам Государства, в которых оператор по переводу денежных средств (оператор по переводу электронных денежных средств) осуществляет перевод денежных средств с использованием платежных карт, их реквизитов и (или) систем (средств) дистанционного банковского обслуживания;
b)неоказание услуг оператора по переводу денежных средств, включая оператора по переводу электронных денежных средств, на период более двух часов в целом по отдельным субъектам Государства, в которых оператор по переводу денежных средств (оператор по переводу электронных денежных средств) осуществляет перевод денежных средств с использованием платежных карт, их реквизитов и (или) систем (средств) дистанционного банковского обслуживания;
c)неоказание расчетным центром расчетных услуг на период более одного операционного дня;
d)невыполнение расчетным центром расчетов в течение операционного дня по принятым к исполнению распоряжениям платежного клирингового центра или участников платежной системы;
e)прерывание платежным клиринговым центром предоставления услуг платежного клиринга на период более одного операционного дня;
f)невыполнение платежным клиринговым центром в течение операционного дня платежного клиринга по принятым к исполнению распоряжениям участников платежной системы;
g)прерывание операционным центром предоставления операционных услуг на период более двух часов;
h)другие события риска информационной безопасности, связанные с неоказанием или несвоевременным оказанием услуг по переводу денежных средств.

1.3. События риска информационной безопасности, связанные с неоказанием или несвоевременным оказанием услуг:

a)неоказание услуг финансовой организацией на период более двух часов в целом по всем субъектам Государства, в которых финансовая организация предоставляет услуги;
b)неоказание услуг финансовой организацией на период более двух часов в целом по отдельным субъектам Государства, в которых финансовая организация предоставляет услуги;
c)другие события нарушения защиты информации, последствия или выявление которых могут привести к инциденту, связанному с неоказанием или несвоевременным оказанием услуг.

1.4. События риска информационной безопасности, связанные с нарушением требований к обеспечению защиты информации при осуществлении банковской деятельности, не связанные с переводами денежных средств:

a)получение уведомлений от клиентов физических лиц, включая физических лиц, занимающихся в установленном законодательством порядке частной практикой, и (или) юридических лиц о проведении банковской операции без их согласия;
b)выполнение банковских операций в результате несанкционированного доступа к объектам информационной инфраструктуры, данным и (или) информационным системам финансовой организации;
c)выявление финансовой организацией компьютерных атак, последствия от реализации которых могут привести к случаям и попыткам осуществления финансовой (банковской) операции без согласия клиента;
d)выявление фактов эксплуатации уязвимостей информационных систем, обусловленных ошибками и недостатками процессов обеспечения защиты информации финансовой организации;
e)другие события риска информационной безопасности, связанные с нарушением требований к обеспечению защиты информации при осуществлении банковской деятельности, не связанные с переводами денежных средств.

1.5. События риска информационной безопасности, связанные с обработкой (хранением, уничтожением) информации без использования объектов информационной инфраструктуры и приводящие к утечке, искажению или потере информации конфиденциального характера (включая персональные данные), информации ограниченного доступа и других типов информации финансовой организации, не подлежащей разглашению или опубликованию, другим нарушениям.

2. Финансовая организация дополнительно классифицирует события риска информационной безопасности по источникам риска информационной безопасности в разрезе категорий источников операционного риска, приведенных в пункте 3.3 настоящего Положения.

2.1. По категории источников операционного риска «недостатки процессов»:

a)недостатки процессов применения финансовой организацией технологий обработки информации при осуществлении банковской деятельности, связанной с осуществлением перевода денежных средств, применяемых в отношении технологии обработки защищаемой информации, в соответствии с требованиями пункта 5 Положения «Об установлении обязательных для финансовых организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента»;
b)недостатки процессов применения финансовой организацией прикладного программного обеспечения автоматизированных систем и приложений, соответствующих требованиям к обеспечению защиты информации, приведенным в пункте 4 Положения «Об установлении обязательных для финансовых организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента»;
c)недостатки процессов проведения мероприятий, направленных на повышение качества системы управления риском информационной безопасности и уменьшение негативного влияния риска информационной безопасности, в том числе процессов, реализующих уровни защиты информации в отношении объектов информационной инфраструктуры финансовой организации (головной финансовой организации банковской группы), установленные в соответствии с требованиями подпункта 3.1 пункта 3 Положения «Об установлении обязательных для финансовых организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента»;
d)недостатки других внутренних процессов, обеспечивающих функционирование системы обеспечения информационной безопасности финансовой организации.

2.2. По категории источников операционного риска «действия персонала и других связанных с финансовой организацией лиц» дополнительно выделяется реализация несанкционированного доступа внутреннего нарушителя (действия внутреннего нарушителя).

2.3. По категории источников операционного риска «сбои систем и оборудования» дополнительно выделяются сбои и отказы в работе прикладного программного обеспечения и приложений, а также объектов информационной инфраструктуры в результате реализации угроз безопасности информации.

2.4. По категории источников операционного риска «внешние причины» дополнительно выделяется реализация компьютерных атак или несанкционированного доступа лиц, не обладающих полномочиями доступа к объектам информационной инфраструктуры финансовой организации (действия внешнего нарушителя), в том числе с целью:

a)блокирования штатного режима функционирования банковских или технологических процессов финансовой организации;
b)хищения, искажения, удаления информации конфиденциального характера (включая персональные данные), информации ограниченного доступа и других типов информации финансовой организации, не подлежащей разглашению или опубликованию.

2.5. Более детализированные уровни классификации источников событий риска информационной безопасности определяются по видам процессов обеспечения мероприятий информационной безопасности в соответствии с подпунктом 2.1 настоящего пункта в зависимости от процессов финансовой организации, в которых они произошли.

2.6. В рамках дополнительной детализации классификации источников событий риска информационной безопасности финансовые организации подразделяют источники риска реализации угроз безопасности информации (информационных угроз) в разрезе направлений компьютерных атак, типов компьютерных атак и типов атакуемых объектов:

2.6.1. по направлениям компьютерных атак:

a)компьютерные атаки, направленные на объекты информационной инфраструктуры финансовой организации;
b)компьютерные атаки, направленные на клиента финансовой организации;

2.6.2. по типам компьютерных атак:

a)компьютерные атаки, связанные с изменением маршрутноадресной информации;
b)компьютерные атаки, связанные с использованием вредоносного программного обеспечения применительно к объектам информационной инфраструктуры финансовых организаций и их клиентов;
c)компьютерные атаки, возникшие в результате побуждения клиентов к осуществлению операций по переводу денежных средств путем обмана или злоупотребления доверием;
d)компьютерные атаки типа «отказ в обслуживании» применительно к объектам информационной инфраструктуры финансовой организации;
e)компьютерные атаки, связанные с реализацией несанкционированного доступа к банкоматам и платежным терминалам финансовых организаций;
f)компьютерные атаки, связанные с эксплуатацией уязвимостей объектов информационной инфраструктуры финансовых организаций и их клиентов;
g)компьютерные атаки, связанные со взломом, с компрометацией аутентификационных (учетных) данных;
h)компьютерные атаки, связанные с реализацией спамрассылки, осуществляемой в отношении финансовых организаций и их клиентов;
i)компьютерные атаки, связанные с взаимодействием объектов информационной инфраструктуры финансовых организаций с центрами управления вредоносным программным обеспечением;
j)компьютерные атаки, связанные с изменением (подменой) идентификатора мобильного абонента, номера идентификационного модуля абонента, а также с заменой идентификатора, мобильного оборудования;
k)компьютерные атаки, связанные с информацией, вводящей работников финансовых организаций и их клиентов, а также третьих лиц, взаимодействующих с ними, в заблуждение относительно принадлежности информации, распространяемой посредством сети «Интернет», вследствие сходства доменных имен, оформления или содержания с оригиналом;
l)компьютерные атаки, связанные с распространением информации, касающейся предложения и (или) предоставления на территории государства финансовых услуг лицами, не имеющими права их оказывать в соответствии с законодательством (размещение в сети «Интернет» запрещенного контента);
m)компьютерные атаки, связанные с размещением в сети «Интернет» информации, позволяющей осуществить неправомерный доступ к информационным системам финансовых организаций и их клиентов, используемым для выполнения банковских и (или) технологических процессов при оказании (получении) банковских услуг, в том числе путем неправомерного доступа к конфиденциальной информации клиентов (размещение в сети «Интернет» вредоносного ресурса);
n)компьютерные атаки, связанные с изменением контента;
o)компьютерные атаки, связанные со сканированием программных портов объектов информационной инфраструктуры финансовых организаций лицами, не обладающими соответствующими полномочиями;
p)другие компьютерные атаки, направленные на объекты информационной инфраструктуры финансовых организаций и их клиентов;

2.6.3. по типам атакуемых объектов:

2.6.3.1. на системном уровне информационной инфраструктуры:

a)аппаратное обеспечение;
b)сетевое оборудование;
c)сетевые приложения и сервисы;
d)серверные компоненты виртуализации, программные инфраструктурные сервисы;
e)операционные системы, системы управления базами данных, сервера приложений;

2.6.3.2. на уровне автоматизированных систем и приложений, используемых для выполнения банковских и (или) технологических процессов финансовой организации при оказании банковских услуг:

a)система дистанционного банковского обслуживания;
b)система обработки транзакций, осуществляемых с использованием платежных карт;
c)информационный ресурс сети «Интернет»;
d)автоматизированная банковская система;
e)система посттранзакционного обслуживания операций, осуществляемых с использованием платежных карт;
f)автоматизированная система, используемая персоналом финансовой организации;

2.6.3.3. на уровне автоматизированных систем и приложений, используемых клиентом финансовой организации при получении банковских услуг:

a)файловый сервер;
b)система дистанционного банковского обслуживания;
c)сервер электронной почты;
d)автоматизированная система, используемая клиентом.

2.6.3.4. другой тип системы.

2.7. В случае если в процессе анализа риска информационной безопасности финансовой организацией (головной финансовой организацией банковской группы) выявляются другие дополнительные источники события риска информационной безопасности, финансовая организация (головная финансовая организация банковской группы) определяет эти источники в базе событий.

3. В рамках дополнительной детализации классификации событий риска информационной безопасности в разрезе направлений деятельности, в том числе в разрезе составляющих их процессов, финансовая организация (головная финансовая организация банковской группы) осуществляет следующую детализацию классификации:

3.1. По способам формирования и передачи распоряжений на осуществление транзакций, позволяющим совершить банковскую операцию при:

a)использовании технологии дистанционного обслуживания, при которой обмен информацией между финансовой организацией и ее клиентом осуществляется с применением коротких текстовых сообщений с определенного в договоре банковского счета номера телефона;
b)использовании технологии дистанционного обслуживания, при которой обмен информацией между финансовой организацией и ее клиентом осуществляется с применением программного обеспечения, разрабатываемого для использования в операционных системах мобильных устройств;
c)использовании технологии дистанционного обслуживания, при которой обмен информацией между финансовой организацией и ее клиентом осуществляется с применением интернетбраузера без установки дополнительного программного обеспечения;
d)использовании технологии дистанционного обслуживания, при которой обмен информацией между финансовой организацией и ее клиентом осуществляется с персонального компьютера с применением дополнительного программного обеспечения, предоставляемого финансовой организацией;
e)использовании банкомата;
f)использовании банкомата с возможностью приема наличных денежных средств;
g)использовании автоматического устройства, конструкция которого предусматривает прием банкнот Государственного банка от клиентов и выдачу принятых банкнот Государственного банка клиентам без их обработки в финансовой организации, соответствующего требованиям, установленным Положением «О порядке ведения кассовых операций и правилах хранения, перевозки и инкассации банкнот и монеты Государственного банка в финансовых организациях на территории государства»;
h)использовании электронного программнотехнического устройства для приема к оплате платежных карт;
i)использовании платежного терминала;
j)осуществлении переводов с использованием платежных карт без непосредственного использования платежных карт;
k)другом способе формирования и передачи распоряжений на осуществление транзакций, позволяющем совершить банковскую операцию.

3.2. По технологическим участкам, определенным в пункте 5.2 Положения «Об установлении обязательных для финансовых организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента».

4. Финансовая организация (головная финансовая организация банковской группы) использует следующие дополнительные (специфические) виды прямых и непрямых потерь от реализации риска информационной безопасности для классификации событий риска информационной безопасности в дополнение к установленным в пункте 3.11 настоящего Положения.

4.1. По категории «прямые потери» события риска информационной безопасности дополнительно классифицируются финансовой организацией (головной финансовой организацией банковской группы) следующие виды потерь:

a)потери денежных средств или других активов финансовой организации (головной финансовой организации банковской группы) в результате реализации событий риска информационной безопасности, указанных в пункте 1 настоящего приложения;
b)выплаты компенсаций клиентам и контрагентам в результате реализации риска информационной безопасности, указанных в пункте 1 настоящего приложения;
c)уплата штрафов по предписаниям исполнительных государственных органов, Государственного банка и (или) администраторов платежных систем за реализацию риска информационной безопасности.

4.2. По категории «косвенные потери» финансовой организацией (головной финансовой организацией банковской группы) устанавливаются следующие виды потерь:

a)расчетные потери изза приостановления и (или) прекращения функционирования объектов информационной инфраструктуры или потери ее работоспособности в результате реализации риска информационной безопасности;
b)рост затрат рабочего времени обслуживающего персонала на устранение последствий от реализации риска информационной безопасности;
c)рост стоимости договоров технического обслуживания объектов информационной инфраструктуры и (или) антивирусной защиты в результате реализации риска информационной безопасности.

4.3. По категории «качественные потери» финансовой организацией (головной финансовой организацией банковской группы) устанавливаются следующие виды потерь:

a)приостановление и (или) прекращение банковских процессов;
b)потеря работоспособности объектов информационной инфраструктуры;
c)нарушение целостности (искажение) или потеря данных;
d)возникновение уязвимостей в объектах информационной инфраструктуры, программном обеспечении и приложениях, банковских процессах;
e)другие потери качества объектов информационной инфраструктуры финансовой организации.

.

Приложение 6 к Положению «О требованиях к системе управления операционным риском в финансовой организации и банковской группе»

.

«БЕЗОПАСНОСТЬ ФИНАНСОВЫХ (БАНКОВСКИХ) ОПЕРАЦИЙ. «ЗАЩИТА ИНФОРМАЦИИ ФИНАНСОВЫХ ОРГАНИЗАЦИЙ. БАЗОВЫЙ СОСТАВ ОРГАНИЗАЦИОННЫХ ТЕХНИЧЕСКИХ МЕР».

.

Раздел 1. Процесс 1 «Обеспечение защиты информации при управлении доступом».

1.2. Подпроцесс «Управление учетными записями и правами субъектов логического доступа».

1.2.1. Применяемые финансовой организацией меры по управлению учетными записями и правами субъектов логического доступа должны обеспечивать:

a)организацию и контроль использования учетных записей субъектов логического доступа;
b)организацию и контроль предоставления (отзыва) и блокирования логического доступа;
c)регистрацию событий защиты информации, связанных с операциями с учетными записями и гражданскими правами логического доступа, и контроль использования предоставленных гражданских прав логического доступа.

При реализации подпроцесса «Управление учетными записями и правами субъектов логического доступа» рекомендуется использовать аазовый состав мер по организации и контролю использования учетных записей субъектов логического доступа применительно к уровням защиты информации приведен в таблице 1.

 

Таблица 1 Базовый состав мер по организации и контролю использования учетных записей субъектов логического доступа.

 

 

 

 

 

Условное обозначение и номер меры

Содержание мер системы защиты информации

Уровень защиты информации

 

 

3

2

1

УЗП.1

Осуществление логического доступа пользователями и эксплуатационным персоналом под уникальными и персонифицированными учетными записями.

Т

Т

Т

УЗП.2

Контроль соответствия фактического состава разблокированных учетных записей фактическому составу легальных субъектов логического доступа.

О

О

Т

УЗП.3

Контроль отсутствия незаблокированных учетных записей:

уволенных работников;

работников, отсутствующих на рабочем месте более 90 календарных дней;

работников внешних (подрядных) организаций, прекративших свою деятельность в организации.

О

О

Т

УЗП.4

Контроль отсутствия незаблокированных учетных записей неопределенного целевого назначения.

О

О

О

 

1.2.2. Базовый состав мер по организации, контролю предоставления (отзыва) и блокированию логического доступа применительно к уровням защиты информации приведен в таблице 2.

 

Таблица 2 Базовый состав мер по организации, контролю предоставления (отзыва) и блокированию логического доступа.

 

 

 

 

 

Условное обозначение и номер меры

Содержание мер системы защиты информации

Уровень защиты информации

 

 

3

2

1

УЗП.5

Документарное определение правил предоставления (отзыва) и блокирования логического доступа.

Н

О

О

УЗП.6

Назначение для всех ресурсов доступа распорядителя логического доступа (владельца ресурса доступа).

О

О

О

УЗП.7

Предоставление прав логического доступа по решению распорядителя логического доступа (владельца ресурса доступа).

О

О

О

УЗП.8

Хранение эталонной информации о предоставленных правах логического доступа и обеспечение целостности указанной информации.

О

Т

Т

УЗП.9

Контроль соответствия фактических прав логического доступа эталонной информации о предоставленных правах логического доступа.

О

Т

Т

УЗП.10

Исключение возможного бесконтрольного самостоятельного расширения пользователями предоставленных им прав логического доступа.

Т

Т

Т

УЗП.11

Исключение возможного бесконтрольного изменения пользователями параметров настроек средств и систем защиты информации, параметров настроек АС, связанных с защитой информации.

Т

Т

Т

УЗП.12

Контроль необходимости отзыва прав субъектов логического доступа при изменении их должностных обязанностей.

О

О

О

УЗП.13

Контроль прекращения предоставления логического доступа и блокирование учетных записей при истечении периода (срока) предоставления логического доступа.

О

Т

Т

УЗП.14

Установление фактов неиспользования субъектами логического доступа предоставленных им прав на осуществление логического доступа на протяжении периода времени, превышающего 90 дней.

О

Т

Н

УЗП.15

Установление фактов неиспользования субъектами логического доступа предоставленных им прав на осуществление логического доступа на протяжении периода времени, превышающего 45 дней.

Н

Н

Т

УЗП.16

Реализация контроля со стороны распорядителя логического доступа целесообразности дальнейшего предоставления прав логического доступа, не использованных субъектами на протяжении периода времени, указанного в мерах УЗП.14, УЗП.15 настоящей таблицы.

О

О

О

УЗП.17

Реализация возможности определения состава предоставленных прав логического доступа для конкретного ресурса доступа.

О

Т

Т

УЗП.18

Реализация возможности определения состава предоставленных прав логического доступа для конкретного субъекта логического доступа.

О

Т

Т

УЗП.19

Определение состава ролей, связанных с выполнением операции (транзакции) в АС, имеющих финансовые последствия для финансовой организации, клиентов и контрагентов, и ролей, связанных с контролем выполнения указанных операций (транзакций), запрет выполнения указанных ролей одним субъектом логического доступа.

О

Т

Т

УЗП.20

Реализация правил управления правами логического доступа, обеспечивающих запрет совмещения одним субъектом логического доступа ролей, предусмотренных мерой УЗП.19 настоящей таблицы.

О

Т

Т

УЗП.21

Реализация правил управления правами логического доступа, обеспечивающих запрет совмещения одним субъектом логического доступа следующих функций:

эксплуатация и (или) контроль эксплуатации ресурса доступа, в том числе АС, одновременно с использованием по назначению ресурса доступа в рамках реализации бизнеспроцесса финансовой организации;

создание и (или) модернизация ресурса доступа, в том числе АС, одновременно с использованием по назначению ресурса доступа в рамках реализации бизнеспроцесса финансовой организации;

эксплуатация средств и систем защиты информации одновременно с контролем эксплуатации средств и систем защиты информации;

управление учетными записями субъектов логического доступа одновременно с управлением правами субъектов логического доступа.

Н

О

Т

 

1.2.3. Базовый состав мер по регистрации событий защиты информации и контролю использования предоставленных гражданских прав логического доступа применительно к уровням защиты информации приведен в таблице 3.

Таблица 3 Базовый состав мер по регистрации событий защиты информации и контролю использования предоставленных гражданских прав логического доступа.

.

 

 

 

 

Условное обозначение и номер меры

Содержание мер системы защиты информации

Уровень защиты информации

 

 

3

2

1

УЗП.22

Регистрация событий защиты информации, связанных с действиями, и контроль действий эксплуатационного персонала, обладающего привилегированными правами логического доступа, позволяющими осуществить деструктивное воздействие, приводящие к нарушению выполнения бизнеспроцессов или технологических процессов финансовой организации.

Н

Т

Т

УЗП.23

Регистрация событий защиты информации, связанных с действиями, и контроль действий эксплуатационного персонала и пользователей, обладающих правами логического доступа, в том числе в АС, позволяющими осуществить операции (транзакции), приводящие к финансовым последствиям для финансовой организации, клиентов и контрагентов.

Т

Т

Т

УЗП.24

Регистрация событий защиты информации, связанных с действиями, и контроль действий эксплуатационного персонала, обладающего правами по управлению логическим доступом.

Т

Т

Т

УЗП.25

Регистрация событий защиты информации, связанных с действиями по управлению учетными записями и правами субъектов логического доступа.

Т

Т

Т

УЗП.26

Регистрация событий защиты информации, связанных с действиями, и контроль действий эксплуатационного персонала, обладающего правами по управлению техническими мерами, реализующими многофакторную аутентификацию.

Н

Т

Т

УЗП.27

Регистрация событий защиты информации, связанных с действиями, и контроль действий эксплуатационного персонала, обладающего правами по изменению параметров настроек средств и систем защиты информации, параметров настроек АС, связанных с защитой информации.

Н

Т

Т

УЗП.28

Регистрация событий защиты информации, связанных с действиями, и контроль действий эксплуатационного персонала, обладающего правами по управлению криптографическими ключами.

Т

Т

Т

УЗП.29

Закрепление АРМ пользователей и эксплуатационного персонала за конкретными субъектами логического доступа.

Н

Н

О

 

1.3. Подпроцесс «Идентификация, аутентификация, авторизация (разграничение доступа) при осуществлении логического доступа».

1.3.1. Применяемые финансовой организацией меры по идентификации, аутентификация, авторизации (разграничению доступа) при осуществлении логического доступа должны обеспечивать:

a)идентификацию и аутентификацию субъектов логического доступа;
b)организацию управления и организацию защиты идентификационных и аутентификационных данных;
c)авторизацию (разграничение доступа) при осуществлении логического доступа;
d)регистрацию событий защиты информации, связанных с идентификацией, аутентификацией и авторизацией при осуществлении логического доступа.

При реализации подпроцесса «Идентификация, аутентификация, авторизация (разграничение доступа) при осуществлении логического доступа» рекомендуется использовать базовый состав мер по идентификации и аутентификации субъектов логического доступа применительно к уровням защиты информации приведен в таблице 4.

Таблица 4 Базовый состав мер по идентификации и аутентификации субъектов логического доступа.

 

 

 

 

 

Условное обозначение и номер меры

Содержание мер системы защиты информации

Уровень защиты информации

.

.

3

2

1

РД.1

Идентификация и однофакторная аутентификация пользователей.

Т

Т

Н

РД.2

Идентификация и многофакторная аутентификация пользователей.

Н

Н

Т

РД.3

Идентификация и однофакторная аутентификация эксплуатационного персонала.

Т

Н

Н

РД.4

Идентификация и многофакторная аутентификация эксплуатационного персонала.

Н

Т

Т

РД.5

Аутентификация программных сервисов, осуществляющих логический доступ с использованием технических учетных записей.

Т

Т

Т

РД.6

Аутентификация АРМ эксплуатационного персонала, используемых для осуществления логического доступа.

Н

Т

Т

РД.7

Аутентификация АРМ пользователей, используемых для осуществления логического доступа.

Н

Н

Т

РД.8

Сокрытие (не отображение) паролей при их вводе субъектами доступа.

Т

Т

Т

РД.9

Запрет использования учетных записей субъектов логического доступа с незаданными аутентификационными данными или заданными по умолчанию разработчиком ресурса доступа, в том числе разработчиком АС.

О

О

О

РД.10

Запрет на использование групповых, общих и стандартных учетных записей и паролей, а также прочих подобных методов идентификации и аутентификации, не позволяющих определить конкретного субъекта доступа.

О

О

О

РД.11

Временная блокировка учетной записи пользователей после выполнения ряда неуспешных последовательных попыток аутентификации на период времени не менее 30 мин.

Т

Т

Т

РД.12

Запрет множественной аутентификации субъектов логического доступа с использованием одной учетной записи путем открытия параллельных сессий логического доступа с использованием разных АРМ, в том числе виртуальных.

Н

Т

Т

РД.13

Обеспечение возможности выполнения субъектом логического доступа работниками финансовой организации процедуры принудительного прерывания сессии логического доступа и (или) приостановки осуществления логического доступа (с прекращением отображения на мониторе АРМ информации, доступ к которой получен в рамках сессии осуществления логического доступа).

Т

Т

Т

РД.14

Автоматическое прерывание сессии логического доступа (приостановка осуществления логического доступа) по истечении установленного времени бездействия (неактивности) субъекта логического доступа, не превышающего 15 мин, с прекращением отображения на мониторе АРМ информации, доступ к которой получен в рамках сессии осуществления логического доступа.

Т

Т

Т

РД.15

Выполнение процедуры повторной аутентификации для продолжения осуществления логического доступа после его принудительного или автоматического прерывания (приостановки осуществления логического доступа), предусмотренного мерами РД.13 и РД.14 настоящей таблицы.

Т

Т

Т

РД.16

Использование на АРМ субъектов логического доступа встроенных механизмов контроля изменения базовой конфигурации оборудования (пароль на изменение параметров конфигурации системы, хранящихся в энергонезависимой памяти).

Т

Т

Т

 

1.3.2. Базовый состав мер по организации управления и организации защиты идентификационных и аутентификационных данных применительно к уровням защиты информации приведен в таблице 5.

Таблица 5 Базовый состав мер по организации управления и организации защиты идентификационных и аутентификационных данных.

.

Условное обозначение и номер меры

Содержание мер системы защиты информации

Уровень защиты информации

 

 

3

2

1

РД.17

Запрет на использование технологии аутентификации с сохранением аутентификационных данных в открытом виде в СВТ.

Т

Т

Т

РД.18

Запрет на передачу аутентификационных данных в открытом виде по каналам и линиям связи и их передачу кудалибо, кроме средств или систем аутентификации.

Т

Т

Т

РД.19

Смена паролей пользователей не реже одного раза в год.

Т

Т

Т

РД.20

Смена паролей эксплуатационного персонала не реже одного раза в квартал.

Т

Т

Т

РД.21

Использование пользователями паролей длиной не менее восьми символов.

Т

Т

Т

РД.22

Использование эксплуатационным персоналом паролей длиной не менее шестнадцати символов.

Т

Т

Т

РД.23

Использование при формировании паролей субъектов логического доступа символов, включающих буквы (в верхнем и нижнем регистрах) и цифры.

Т

Т

Т

РД.24

Запрет использования в качестве паролей субъектов логического доступа легко вычисляемых сочетаний букв и цифр (например, имена, фамилии, наименования, общепринятые сокращения).

Н

О

О

РД.25

Обеспечение возможности самостоятельной смены субъектами логического доступа своих паролей.

Т

Т

Т

РД.26

Хранение копий аутентификационных данных эксплуатационного персонала на выделенных МНИ или на бумажных носителях.

О

О

О

РД.27

Реализация защиты копий аутентификационных данных эксплуатационного персонала от НСД при их хранении на МНИ или бумажных носителях.

О

О

О

РД.28

Регистрация персонификации, выдачи (передачи) и уничтожения персональных технических устройств аутентификации, реализующих многофакторную аутентификацию.

О

О

О

РД.29

Смена аутентификационных данных в случае их компрометации.

О

О

О

 

1.3.3. Базовый состав мер по авторизации (разграничению доступа) при осуществлении логического доступа применительно к уровням защиты информации приведен в таблице 6.

Таблица 6 Базовый состав мер по авторизации (разграничению доступа) при осуществлении логического доступа.

.

Условное обозначение и номер меры

Содержание мер системы защиты информации

Уровень защиты информации

 

 

3

2

1

РД.30

Авторизация логического доступа к ресурсам доступа, в том числе АС.

Т

Т

Т

РД.31

Реализация необходимых методов (дискреционный, мандатный, ролевой или иной метод) при разграничении логического доступа к ресурсам доступа.

Т

Т

Т

РД.32

Реализация ролевого метода (с определением для каждой роли прав доступа) при разграничении логического доступа в АС.

Н

Н

Т

РД.33

Реализация необходимых типов (чтение, запись, выполнение или иной тип) и правил разграничения логического доступа к ресурсам доступа, в том числе АС.

Т

Т

Т

РД.34

Запрет реализации пользователями бизнеспроцессов и технологических процессов финансовой организации с использованием учетных записей эксплуатационного персонала, в том числе в АС.

О

Т

Т

РД.35

Запрет выполнения пользователями бизнеспроцессов с использованием привилегированных прав логического доступа, в том числе работы пользователей с правами локального администратора АРМ.

Т

Т

Т

РД.36

Оповещение субъекта логического доступа после успешной авторизации о дате и времени его предыдущей авторизации в АС.

Н

Н

Т

РД.37

Контроль состава разрешенных действий в АС до выполнения идентификации и аутентификации.

Н

Т

Т

РД.38

Размещение устройств вывода (отображения) информации, исключающее ее несанкционированный просмотр.

О

О

О

 

1.3.4. Базовый состав мер по регистрации событий защиты информации, связанных с идентификацией, аутентификацией и авторизацией (разграничением доступа) при осуществлении логического доступа, применительно к уровням защиты информации приведен в таблице 7.

Таблица 7 Базовый состав мер по регистрации событий защиты информации, связанных с идентификацией, аутентификацией и авторизацией (разграничением доступа) при осуществлении логического доступа.

.

Условное обозначение и номер меры

Содержание мер системы защиты информации

Уровень защиты информации

 

.

3

2

1

РД.39

Регистрация выполнения субъектами логического доступа ряда неуспешных последовательных попыток аутентификации.

Н

Т

Т

РД.40

Регистрация осуществления субъектами логического доступа идентификации и аутентификации.

Т

Т

Т

РД.41

Регистрация авторизации, завершения и (или) прерывания (приостановки) осуществления эксплуатационным персоналом и пользователями логического доступа, в том числе в АС.

Т

Т

Т

РД.42

Регистрация запуска программных сервисов, осуществляющих логический доступ.

Н

Т

Т

РД.43

Регистрация изменений аутентификационных данных, используемых для осуществления логического доступа.

Н

Т

Т

РД.44

Регистрация действий пользователей и эксплуатационного персонала, предусмотренных в случае компрометации их аутентификационных данных.

Н

О

О

 

1.4. Подпроцесс «Защита информации при осуществлении физического доступа».

1.4.1. Применяемые финансовой организацией меры по защите информации при осуществлении физического доступа должны обеспечивать:

a)организацию и контроль физического доступа в помещения, в которых расположены объекты доступа (далее помещения);
b)организацию и контроль физического доступа к объектам доступа, расположенным в публичных (общедоступных) местах (далее общедоступные объекты доступа);
c)регистрацию событий, связанных с физическим доступом.

1.4.2. Базовый состав мер по организации и контролю физического доступа в помещения применительно к уровням защиты информации приведен в таблице 8.

Таблица 8 Базовый состав мер по организации и контролю физического доступа в помещения.

.

Условное обозначение и номер меры

Содержание мер системы защиты информации

Уровень защиты информации

 

 

 

3

2

1

ФД.1

Документарное определение правил предоставления физического доступа.

Н

О

О

ФД.2

Контроль перечня лиц, которым предоставлено право самостоятельного физического доступа в помещения.

О

О

Т

ФД.3

Контроль самостоятельного физического доступа в помещения для лиц, не являющихся работниками финансовой организации.

Н

О

Т

ФД.4

Контроль самостоятельного физического доступа в помещения для технического (вспомогательного) персонала.

Н

О

Т

ФД.5

Осуществление физического доступа лицами, которым не предоставлено право самостоятельного доступа в помещения, только под контролем работников финансовой организации, которым предоставлено такое право.

Н

О

О

ФД.6

Назначение для всех помещений распорядителя физического доступа.

О

О

О

ФД.7

Предоставление права самостоятельного физического доступа в помещения по решению распорядителя физического доступа.

О

О

О

ФД.8

Оборудование входных дверей помещения механическими замками, обеспечивающими надежное закрытие помещений в нерабочее время.

О

О

О

ФД.9

Оборудование помещений средствами (системами) контроля и управления доступом.

Н

Н

Т

ФД.10

Оборудование помещений средствами видеонаблюдения

Н

Н

Т

ФД.11

Оборудование помещений средствами охранной и пожарной сигнализации.

Н

Н

Т

ФД.12

Расположение серверного и сетевого оборудования в запираемых серверных стоечных шкафах.

Н

О

О

ФД.13

Контроль доступа к серверному и сетевому оборудованию, расположенному в запираемых серверных стоечных шкафах.

Н

О

О

ФД.14

Хранение архивов информации средств (систем) контроля и управления доступом не менее трех лет.

Н

Н

Т

ФД.15

Хранение архивов информации средств видеонаблюдения не менее 14 дней*.

Н

Т

Н

ФД.16

Хранение архивов информации средств видеонаблюдения не менее 90 дней.

Н

Н

Т

     * В случае применения средств видеонаблюдения.

 

1.4.3. Базовый состав мер по организации и контролю физического доступа к общедоступным объектам доступа применительно к уровням защиты информации приведен в таблице 9.

Таблица 9 Базовый состав мер по организации и контролю физического доступа к общедоступным объектам доступа.

 

 

 

 

 

Условное обозначение и номер меры

Содержание мер системы защиты информации

Уровень защиты информации

 

 

3

2

1

ФД.17

Регистрация доступа к общедоступным объектам доступа с использованием средств видеонаблюдения.

Н

Т

Т

ФД.18

Хранение архивов информации средств видеонаблюдения, регистрирующих доступ к общедоступным объектам доступа, не менее 14 дней.

Н

Т

Т

ФД.19

Контроль состояния общедоступных объектов доступа с целью выявлений несанкционированных изменений в их аппаратном обеспечении и (или) ПО.

О

О

О

ФД.20

Приведение общедоступных объектов доступа, для которых были выявлены несанкционированные изменения в их аппаратном обеспечении и (или) ПО (до устранения указанных несанкционированных изменений), в состояние, при котором невозможно их использование для осуществления операции (транзакции), приводящей к финансовым последствиям для финансовой организации, клиентов и контрагентов.

О

О

О

 

1.4.4. Базовый состав мер по регистрации событий, связанных с физическим доступом, применительно к уровням защиты информации приведен в таблице 10.

Таблица 10 Базовый состав мер по регистрации событий, связанных с физическим доступом.

 

 

 

 

 

Условное обозначение и номер меры

Содержание мер системы защиты информации

Уровень защиты информации

 

 

3

2

1

ФД.21

Регистрация событий защиты информации, связанных с входом (выходом) в помещения (из помещений), в которых расположены объекты доступа.

Н

Н

Т

 

1.5. Подпроцесс «Идентификация и учет ресурсов и объектов доступа».

1.5.1. Применяемые финансовой организацией меры по идентификации и учету ресурсов и объектов доступа должны обеспечивать:

a)организацию учета и контроль состава ресурсов и объектов доступа;
b)регистрацию событий защиты информации, связанных с операциями по изменению состава ресурсов и объектов доступа.

При реализации подпроцесса «Идентификация и учет ресурсов и объектов доступа» рекомендуется использовать базовый состав мер по организации учета и контроля состава ресурсов и объектов доступа применительно к уровням защиты информации приведен в таблице 11.

Таблица 11 Базовый состав мер по организации учета и контроля состава ресурсов и объектов доступа.

.

Условное обозначение и номер меры

Содержание мер системы защиты информации

Уровень защиты информации

 

 

3

2

1

ИУ.1

Учет созданных, используемых и (или) эксплуатируемых ресурсов доступа.

О

Т

Т

ИУ.2

Учет используемых и (или) эксплуатируемых объектов доступа.

О

О

Т

ИУ.3

Учет эксплуатируемых общедоступных объектов доступа (в том числе банкоматов, платежных терминалов).

О

О

Т

ИУ.4

Контроль фактического состава созданных, используемых и (или) эксплуатируемых ресурсов доступа (баз данных, сетевых файловых ресурсов, виртуальных машин) и их корректного размещения в сегментах вычислительных сетей финансовой организации.

О

Т

Т

ИУ.5

Контроль выполнения операций по созданию, удалению и резервному копированию ресурсов доступа (баз данных, сетевых файловых ресурсов, виртуальных машин).

Н

Т

Т

ИУ.6

Контроль фактического состава эксплуатируемых объектов доступа и их корректного размещения в сегментах вычислительных сетей финансовой организации.

Н

О

Т

 

1.5.2. Базовый состав мер по регистрации событий защиты информации, связанных с операциями по изменению состава ресурсов и объектов доступа, применительно к уровням защиты информации приведен в таблице 12.

Таблица 12 Базовый состав мер по регистрации событий защиты информации, связанных с операциями по изменению состава ресурсов и объектов доступа.

 

 

 

 

 

Условное обозначение и номер меры

Содержание мер системы защиты информации

Уровень защиты информации

 

 

3

2

1

ИУ.7

Регистрация событий защиты информации, связанных с созданием, копированием, в том числе резервным, и (или) удалением ресурсов доступа (баз данных, сетевых файловых ресурсов, виртуальных машин).

Н

Т

Т

ИУ.8

Регистрация событий защиты информации, связанных с подключением (регистрацией) объектов доступа в вычислительных сетях финансовой организации.

Н

Н

Т

.

Раздел 2. Процесс 5 «Предотвращение утечек информации».

.

2.1. Применяемые финансовой организацией меры по предотвращению утечек информации должны обеспечивать:

a)блокирование неразрешенных к использованию и контроль разрешенных к использованию потенциальных каналов утечки информации;
b)контроль (анализ) информации, передаваемой по разрешенным к использованию потенциальным каналам утечки информации;
c)организацию защиты машинных носителей информации (МНИ);
d)регистрацию событий защиты информации, связанных с реализацией защиты по предотвращению утечки информации.

Примечание Рекомендации, обеспечивающие снижение рисков утечки информации путем мониторинга и контроля информационных потоков, приведены в базовый состав мер по блокированию неразрешенных к использованию и контролю разрешенных к использованию потенциальных каналов утечки информации применительно к уровням защиты информации приведен в таблице 1.

 

Таблица 1 Базовый состав мер по блокированию неразрешенных к использованию и контролю разрешенных к использованию потенциальных каналов утечки информации.

 

 

 

 

 

Условное обозначение и номер меры

Содержание мер системы защиты информации

Уровень защиты информации

 

 

3

2

1

ПУИ.1

Блокирование неразрешенной и контроль (анализ) разрешенной передачи информации конфиденциального характера на внешние адреса электронной почты.

Н

Т

Т

ПУИ.2

Блокирование неразрешенной и контроль (анализ) разрешенной передачи информации конфиденциального характера в сеть Интернет с использованием информационной инфраструктуры финансовой организации.

Н

Т

Т

ПУИ.3

Блокирование неразрешенной и контроль (анализ) разрешенной печати информации конфиденциального характера.

Н

Т

Т

ПУИ.4

Блокирование неразрешенного и контроль (анализ) разрешенного копирования информации конфиденциального характера на переносные (отчуждаемые) носители информации.

Н

Т

Т

 

2.2. Базовый состав мер по контролю (анализу) информации, передаваемой по разрешенным к использованию потенциальным каналам утечки информации, применительно к уровням защиты информации приведен в таблице 2.

 

Таблица 2 Базовый состав мер по контролю (анализу) информации, передаваемой по разрешенным к использованию потенциальным каналам утечки информации

 

 

 

 

 

Условное обозначение и номер меры

Содержание мер системы защиты информации

Уровень защиты информации

 

 

3

2

1

ПУИ.5

Контентный анализ передаваемой информации по протоколам исходящего почтового обмена.

Н

Т

Т

ПУИ.6

Ведение единого архива электронных сообщений с архивным доступом на срок не менее 6 мес и оперативным доступом на срок не менее 1 мес.

Н

Т

Н

ПУИ.7

Ведение единого архива электронных сообщений с архивным доступом на срок не менее одного года и оперативным доступом на срок не менее 3 мес.

Н

Н

Т

ПУИ.8

Ограничение на перечень протоколов сетевого взаимодействия, используемых для осуществления передачи сообщений электронной почты.

Н

Т

Т

ПУИ.9

Ограничение на перечень форматов файлов данных, разрешенных к передаче в качестве вложений в сообщения электронной почты.

Н

Т

Т

ПУИ.10

Ограничение на размеры файлов данных, передаваемых в качестве вложений в сообщения электронной почты

Н

Т

Т

ПУИ.11

Контентный анализ информации, передаваемой в сеть Интернет с использованием информационной инфраструктуры финансовой организации.

Н

Т

Т

ПУИ.12

Классификация ресурсов сети Интернет с целью блокировки доступа к сайтам или типам сайтов, запрещенных к использованию в соответствии с установленными правилами.

Н

Т

Т

ПУИ.13

Ограничение на перечень протоколов сетевого взаимодействия и сетевых портов, используемых при осуществлении взаимодействия с сетью Интернет.

Н

Т

Т

ПУИ.14

Запрет хранения и обработки информации конфиденциального характера на объектах доступа, размещенных в вычислительных сетях финансовой организации, подключенных к сети Интернет.

Н

О

О

ПУИ.15

Контентный анализ информации, выводимой на печать.

Н

Т

Т

ПУИ.16

Использование многофункциональных устройств печати с возможностью получения результатов выполнения задания на печать по паролю и (или) персональной карточке доступа.

Н

Н

Т

ПУИ.17

Контентный анализ информации, копируемой на переносные (отчуждаемые) носители информации.

Н

Т

Т

ПУИ.18

Блокирование неразрешенных к использованию портов вводавывода информации СВТ.

Н

Т

Т

ПУИ.19

Блокирование возможности использования незарегистрированных (неразрешенных к использованию) переносных (отчуждаемых) носителей информации в информационной инфраструктуре финансовой организации.

Н

Т

Т

 

2.4. Базовый состав мер по организации защиты машинных носителей информации применительно к уровням защиты информации приведен в таблице 3. 

Таблица 3 Базовый состав мер по организации защиты машинных носителей информации.

.

Условное обозначение и номер меры

Содержание мер системы защиты информации

Уровень защиты информации

 

 

3

2

1

ПУИ.20

Учет и контроль использования МНИ, предназначенных для хранения информации конфиденциального характера.

О

О

О

ПУИ.21

Документарное определение порядка использования и доступа к МНИ, предназначенным для хранения информации конфиденциального характера.

О

О

О

ПУИ.22

Маркирование учтенных МНИ.

О

О

О

ПУИ.23

Стирание информации конфиденциального характера с МНИ средствами, обеспечивающими полную перезапись данных, при осуществлении вывода МНИ из эксплуатации или вывода из эксплуатации СВТ, в состав которых входят указанные МНИ, а также при необходимости их передачи в сторонние организации.

Т

Н

Н

ПУИ.24

Стирание информации конфиденциального характера с МНИ средствами гарантированного стирания или способом (средством), обеспечивающим невозможность их восстановления, при осуществлении вывода МНИ из эксплуатации или вывода из эксплуатации СВТ, в состав которых входят указанные МНИ, а также при необходимости их передачи в сторонние организации.

Н

Т

Т

ПУИ.25

Стирание информации конфиденциального характера с МНИ средствами, обеспечивающими полную перезапись данных, при передаче (перезакреплении) МНИ между работниками и (или) структурными подразделениями финансовой организации.

Т

Н

Н

ПУИ.26

Стирание информации конфиденциального характера с МНИ средствами гарантированного стирания или способом (средством), обеспечивающим невозможность их восстановления, при передаче (перезакреплении) МНИ между работниками и (или) структурными подразделениями финансовой организации.

Н

Т

Т

ПУИ.27

Шифрование информации конфиденциального характера при ее хранении на МНИ, выносимых за пределы финансовой организации.

Н

Н

Т

 

2.5. Базовый состав мер по регистрации событий защиты информации, связанных с реализацией защиты по предотвращению утечки информации, применительно к уровням защиты информации приведен в таблице 4.

Таблица 4 Базовый состав мер по регистрации событий защиты информации, связанных с реализацией защиты по предотвращению утечки информации.

 

 

 

 

 

Условное обозначение и номер меры

Содержание мер системы защиты информации

Уровень защиты информации

 

 

 

3

2

1

ПУИ.28

Регистрация использования разблокированных портов вводавывода информации СВТ.

Н

Т

Т

ПУИ.29

Регистрация операций, связанных с осуществлением доступа работниками финансовой организации к ресурсам сети Интернет.

Н

Т

Т

ПУИ.30

Регистрация фактов вывода информации на печать.

Н

Т

Т

ПУИ.31

Регистрация результатов выполнения контентного анализа информации, предусмотренного мерами ПУИ.5, ПУИ.11, ПУИ.15, ПУИ.17 таблицы 2.

Н

Т

Т

ПУИ.32

Регистрация действий по учету и снятию с учета МНИ, предназначенных для хранения информации конфиденциального характера.

О

О

О

ПУИ.33

Регистрация фактов стирания информации с МНИ.

О

О

О

.