15 сентября 2022 года ссостоялось расширенное заседание Комитета ПАРТАД по внутреннему контролю, внутреннему аудиту и управлению рисками по обсуждению проблем и особенностей исполнения требований Банка России к обеспечению защиты информации и операционной надежности НФО (положений 757-П и 779-П). В заседании приняли участие представители учетных институтов фондового рынка, ПАРТАД и СРО НФА.
Заседание открыл председатель Совета директоров ПАРТАД П.Лансков, по мнению которого обсуждения на различных площадках требований положений 757-П и 779-П, включая предоставленные по запросу СРО НФА разъяснения Банка России, тем не менее, оставили у профучастников ряд вопросов, влияющих на оперативность и корректность выполнения новых регуляторных норм. Вследствие чего есть необходимость в подготовке консолидированной позиции по трактовке данных нормактов, включая стыковку терминологии, методологии положений 757-П и 779-П, в сочетании с ГОСТ Р 57580.1-2017, и уже действующих внутренних документов профучастников, разработанных во исполнение требований регулятора об управлении рисками профучастника (4501-У и 5683-У).
В ходе состоявшегося обсуждения, участники заседания пришли к выводу, что корректное и эффективное внедрение норм положений 757-п и 779-п возможно только при плотном взаимодействии ИТ-подразделения и служб управления рисками и внутреннего контроля учетного института (на 1 и 2 “линиях защиты”). При этом, хотя регламентация подходов, принципов, инструментария и процедур управления операционным риском (в т.ч. риском информационной безопасности) — это зона ответственности риск-менеджера, но основным владельцем риска информационных угроз является ИТ-подразделения учетного института, которое должно выполнять и контрольные функции в отношении применения технических сред защиты информационной безопасности на 1-й «линии защиты».
По мнению председателя Комитета А. Баранова интеграцию требований к установлению и расчету целевых показателей операционной надежности целесообразно базировать на той методологии, которые профучастники уже заложили во внутренние документы, касающиеся управления операционным риском. Следовательно, регламентацию выполнения требований к операционной надежности также целесообразно во многих случаях включать в уже существующие документы системы управления рисками организации.
Участники заседания также сошлись во мнении, что те моменты управления риском информационных угроз и информационной безопасностью, которые не отражены либо недостаточно четко прописаны в нормативных актах, целесообразно сформулировать во внутренних стандартах СРО или профессиональной ассоциации.
По итогам заседания Комитета было решено организовать проведение практического семинара по подготовке оптимальных решений организационных и технических проблема управления риском информационных угроз/информационной безопасностью.
Пресс-служба