Не так чтобы активно и публично, но в законодательство "О банках и банковской деятельности" вносятся свои коррективы. Одним из последних событий, стало появление на сайте Правительства России его поправок к законопроекту "О внесении изменений в федеральные законы "О банках и банковской деятельности" и "О Центральном банке Российской Федерации (Банке России)". Они достаточно объемны, но к нашей тематике относятся следующие изменения:
К рискам, методику управления которых сделает обязательной Банк России, относится и операционный риск, который определяется как риск убытка в результате неадекватных или ошибочных внутренних процессов, действий сотрудников и систем или внешних событий. Сюда попадают и риски ИТ и ИБ.
У Банка России уже были документы по управлению этими рисками (346-П, 70-Т, 76-Т, 96-Т), но нельзя сказать, что банки активно занимались оценкой операционных рисков. Если же предполагаемый законопроект примут, то у ЦБ появится гораздо больше рычагов давления на подведомственные организации. При этом банки находятся пока в чуть лучшем положении, т.к. те же небанковские кредитные организации (как участники НПС) уже обязаны жить по правилам Банка России. Это вытекает из ст.62.1 закона "О Центральном Банке" и Указания от 25.06.2012 №2840-У "О требованиях к управлению операционным риском небанковскими кредитными организациями, имеющими право на осуществление переводов денежных средств без открытия банковских счетов и связанных с ними иных банковских операций". Согласно последнему документу отсутствие или несовершенство системы защиты - это один из операционных рисков.
Нельзя сказать, что планируемые изменения касаются только ИБ. Но теперь внимание к управлению рисками ИБ будет чуть выше (если законопроект примут), а у служб ИБ появится чуть больше перспектив по донесению до руководства своей организации важности тематики ИБ - все-таки резервирование до 15% капитала на покрытие рисков - это большой удар по финансовым показателям кредитной организации. Да и возможности наказания у ЦБ по новому законопроекту расширяются.
- Кредитная организация, банковская группа и банковский холдинг обязаны будут ежеквартально публиковать информацию о принимаемых рисках, процедурах их оценки, управления рисками.
- На Совет директоров кредитной организации возлагается обязанность по применению банковских методик управления рисками и моделей количественной оценки рисков, включая оценку активов.
- Кредитная организация (головная кредитная организация банковской группы) обязана соблюдать установленные Банком России требования к системам управления рисками и капиталом, внутреннего контроля кредитных организаций, в банковских группах (это новая статья 111-2).
- Кредитная организация обязана создавать резервы на покрытие различных рисков.
- Наконец-то фиксируется правило, что кредитная организация имеет право передавать банковскую тайну зарубеж, в свою головную контору, но "при условии обеспечения последними уровня защиты (соблюдения конфиденциальности) предоставляемой информации не меньшего, чем уровень защиты (соблюдения конфиденциальности) предоставляемой информации, предусмотренный законодательством Российской Федерации".
- Уточняются случаи передачи Банком России банковской тайны иностранным центральным банкам или органам надзора.
- Полномочия на установление требований к системе управления рисками и оценку ее качества возлагаются на Банк России. Он же "устанавливает требования к банковским методикам управления рисками и моделям количественной оценки рисков, в том числе к качеству используемых в этих моделях данных, применяемым кредитными организациями, в банковских группах для целей оценки активов, расчёта норматива достаточности собственных средств (капитала) и иных обязательных нормативов".
К рискам, методику управления которых сделает обязательной Банк России, относится и операционный риск, который определяется как риск убытка в результате неадекватных или ошибочных внутренних процессов, действий сотрудников и систем или внешних событий. Сюда попадают и риски ИТ и ИБ.
У Банка России уже были документы по управлению этими рисками (346-П, 70-Т, 76-Т, 96-Т), но нельзя сказать, что банки активно занимались оценкой операционных рисков. Если же предполагаемый законопроект примут, то у ЦБ появится гораздо больше рычагов давления на подведомственные организации. При этом банки находятся пока в чуть лучшем положении, т.к. те же небанковские кредитные организации (как участники НПС) уже обязаны жить по правилам Банка России. Это вытекает из ст.62.1 закона "О Центральном Банке" и Указания от 25.06.2012 №2840-У "О требованиях к управлению операционным риском небанковскими кредитными организациями, имеющими право на осуществление переводов денежных средств без открытия банковских счетов и связанных с ними иных банковских операций". Согласно последнему документу отсутствие или несовершенство системы защиты - это один из операционных рисков.
Нельзя сказать, что планируемые изменения касаются только ИБ. Но теперь внимание к управлению рисками ИБ будет чуть выше (если законопроект примут), а у служб ИБ появится чуть больше перспектив по донесению до руководства своей организации важности тематики ИБ - все-таки резервирование до 15% капитала на покрытие рисков - это большой удар по финансовым показателям кредитной организации. Да и возможности наказания у ЦБ по новому законопроекту расширяются.