По вопросам, касающимся исполнения банком Указа Президента РФ от 01.05.2022г. № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации»

Мнение консультантов.

В соответствии с пунктом 1 статьи 69 Закона № 208-ФЗ руководство текущей деятельностью акционерного общества (далее по тексту – общество) осуществляется единоличным исполнительным органом общества (директором, генеральным директором) или единоличным исполнительным органом общества (директором, генеральным директором) и коллегиальным исполнительным органом общества (правлением, дирекцией). Исполнительные органы подотчетны совету директоров (наблюдательному совету) общества и общему собранию акционеров. Уставом общества, предусматривающим наличие одновременно единоличного и коллегиального исполнительных органов, должна быть определена компетенция коллегиального органа. В этом случае лицо, осуществляющее функции единоличного исполнительного органа общества (директора, генерального директора), осуществляет также функции председателя коллегиального исполнительного органа общества (правления, дирекции).

Пунктом 1 статьи 70 Закона № 208-ФЗ предусмотрено, что коллегиальный исполнительный орган общества (правление, дирекция) действует на основании устава общества и внутреннего документа общества, регулирующего деятельность коллегиального исполнительного органа общества (правления, дирекции).

В соответствии с пунктом 1 статьи 847 ГК РФ права лиц, осуществляющих от имени клиента распоряжения о перечислении и выдаче средств со счета, удостоверяются клиентом путем представления банку документов, предусмотренных законом, установленными в соответствии с ним банковскими правилами и договором банковского счета (пункт 1 статьи 847 ГК РФ).

Согласно статьей 11.1 Закона № 395-1:

-  органами управления кредитной организации наряду с общим собранием ее учредителей (участников) являются совет директоров (наблюдательный совет), единоличный исполнительный орган и коллегиальный исполнительный орган (часть 1);

- текущее руководство деятельностью кредитной организации осуществляется ее единоличным исполнительным органом и коллегиальным исполнительным органом (часть 2);

- кредитная организация в соответствии с порядком, установленным частями восьмой и десятой настоящей статьи, может возложить отдельные обязанности указанных в части восьмой настоящей статьи лиц, предусматривающие право распоряжения денежными средствами, находящимися на открытых в Банке России счетах кредитной организации, на лиц, занимающих должности, указанные в части девятой настоящей статьи, и иные должности в кредитной организации и соответствующих квалификационным требованиям и требованиям к деловой репутации, установленным пунктом 1 части первой статьи 16 настоящего Федерального закона (часть 7);

- лицо, осуществляющее функции руководителя кредитной организации, главного бухгалтера, заместителя главного бухгалтера кредитной организации, руководителя, главного бухгалтера филиала кредитной организации (за исключением небанковской кредитной организации, имеющей право на осуществление переводов денежных средств без открытия банковских счетов и связанных с ними иных банковских операций) и единоличного исполнительного органа и главного бухгалтера небанковской кредитной организации, имеющей право на осуществление переводов денежных средств без открытия банковских счетов и связанных с ними иных банковских операций, при согласовании кандидатур, назначении (избрании) на должности и в течение всего периода осуществления функций по указанным должностям, включая временное исполнение должностных обязанностей, должно соответствовать квалификационным требованиям и требованиям к деловой репутации, установленным пунктом 1 части первой статьи 16 настоящего Федерального закона (часть 8);

- лицо, осуществляющее функции заместителя единоличного исполнительного органа, члена коллегиального исполнительного органа, заместителя главного бухгалтера, руководителя или главного бухгалтера филиала, а также кандидаты на указанные должности небанковской кредитной организации, имеющей право на осуществление переводов денежных средств без открытия банковских счетов и связанных с ними иных банковских операций, при их назначении (избрании) на должности и в течение всего периода осуществления ими функций по указанным должностям (включая временное исполнение должностных обязанностей) должны соответствовать требованиям к деловой репутации, установленным пунктом 1 части первой статьи 16 настоящего Федерального закона (часть 9).

На основании части 1 статьи 11.1-2 Закона № 395-1 кредитная организация обязана соблюдать установленные Банком России требования к системам управления рисками и капиталом, внутреннего контроля, включая требования к деятельности руководителя службы внутреннего контроля и руководителя службы внутреннего аудита кредитной организации, в банковских группах.

Согласно пункту 4.1 Указания № 3624-У под операционным риском понимается риск возникновения прямых и непрямых потерь в результате несовершенства или ошибочных внутренних процессов кредитной организации, действий персонала и иных лиц, сбоев и недостатков информационных, технологических и иных систем, а также в результате реализации внешних событий. Правовой риск, риск информационной безопасности (включая киберриск) и риск информационных систем являются частью операционного риска.

В соответствии с пунктом 1.4 Положения № 716-П риск информационной безопасности - риск реализации угроз безопасности информации, которые обусловлены недостатками процессов обеспечения информационной безопасности, в том числе проведения технологических и других мероприятий, недостатками прикладного программного обеспечения автоматизированных систем и приложений, а также несоответствием указанных процессов деятельности кредитной организации.

Положением № 716-П установлены требования к организации управления операционным риском, в том числе, риском информационной безопасности.

Риск информационной безопасности включает в себя (пункт 7.2 Положения № 716-П):

риск преднамеренных действий со стороны работников кредитной организации и (или) третьих лиц с использованием программных и (или) программно-аппаратных средств, направленных на объекты информационной инфраструктуры кредитной организации (головной кредитной организации банковской группы) в целях нарушения и (или) прекращения их функционирования и (или) создания угрозы безопасности информации, подготавливаемой, обрабатываемой и хранимой такими объектами, а также в целях несанкционированного присвоения, хищения, изменения, удаления данных и иной информации (структуры данных, параметров и характеристик систем, программного кода) и нарушения режима доступа (далее - киберриск);

другие виды риска информационной безопасности, связанные с обработкой (хранением, уничтожением) информации без использования объектов информационной инфраструктуры.

Согласно пункту 7.7 Положения № 716-П  кредитная организация  в целях управления риском информационной безопасности определяет во внутренних документах порядок функционирования системы информационной безопасности и обеспечивает его выполнение, в том числе, распределение функций и ответственности коллегиального исполнительного органа и работников кредитной организации, в том числе исключающее конфликт интересов^[1] в рамках организационной структуры обеспечения информационной безопасности, а также предполагающее определение должностного лица (лица, его замещающего), ответственного за функционирование системы обеспечения информационной безопасности (с прямым подчинением лицу, осуществляющему функции единоличного исполнительного органа кредитной организации и не участвующего в совершении операций, сделок, организации бухгалтерского и управленческого учета, обеспечении функционирования информационных систем.

На основании пункта 7.9 Положения № 716-П кредитная организация с учетом требований, указанных в главе 9 настоящего Положения, определяет выполнение службой информационной безопасности или отдельным структурным подразделением, ответственным за обеспечение информационной безопасности, следующих функций.

ü в целях обеспечения информационной безопасности (подпункт 7.9.1):

- разработка политики информационной безопасности;

- контроль осуществления работниками кредитной организации мероприятий в области обеспечения информационной безопасности и защиты информации и выполнения других задач, возложенных на них внутренними документами кредитной организации;

- осуществление планирования и контроля процессов обеспечения информационной безопасности в рамках комплекса мероприятий, направленных на повышение эффективности управления риском информационной безопасности и уменьшение негативного влияния риска информационной безопасности;

- разработка предложений по совершенствованию процессов обеспечения информационной безопасности, в том числе в рамках комплекса мероприятий, направленных на повышение эффективности управления риском информационной безопасности и уменьшение негативного влияния риска информационной безопасности;

- составление отчетов по обеспечению информационной безопасности и направление их должностному лицу, ответственному за обеспечение информационной безопасности;

- осуществление других функций, связанных с обеспечением информационной безопасности, предусмотренных внутренними документами кредитной организации (головной кредитной организации банковской группы);

ü в целях управления риском информационной безопасности (подпункт 7.9.2):

- соблюдение процедур управления операционным риском, установленных в подпунктах 2.1.1, 2.1.2 и 2.1.7 пункта 2.1 настоящего Положения, в части идентификации, сбора и регистрации информации о событиях риска информационной безопасности и потерях в базе событий, мониторинга риска информационной безопасности, в том числе на основе информации, предоставляемой центрами компетенций, ответственными за сбор информации о событиях операционного риска;

- ведение базы событий риска информационной безопасности;

- участие в реализации процессов в рамках комплекса мероприятий, направленных на повышение эффективности управления риском информационной безопасности и уменьшение негативного влияния риска информационной безопасности;

- составление отчетов по событиям риска информационной безопасности и направление их в службу управления рисками и должностному лицу, ответственному за обеспечение информационной безопасности;

- осуществление мониторинга сигнальных и контрольных значений контрольных показателей уровня риска информационной безопасности, определенных в соответствии с подпунктом 1.2 пункта 1 приложения 1 к настоящему Положению;

- участие в разработке внутренних документов в области управления риском информационной безопасности;

- информирование работников кредитной организации по вопросам, связанным с управлением риском информационной безопасности;

- осуществление других функций, связанных с управлением риском информационной безопасности, предусмотренных внутренними документами кредитной организации.

В Письме Банка России от 17.05.2022г. № 716-P-2022/71 разъяснено, в каких ситуациях может возникнуть конфликт интересов в рамках организационной структуры обеспечения информационной безопасности:

- в ситуации, когда подразделение банка является как специализированным подразделением, так и центром компетенций, «под конфликтом интересов в данном случае понимается наделение одного работника кредитной организации как обязанностями, связанными с выполнением процедур управления операционным риском, указанными в подпунктах 2.1.2, 2.1.6 и 2.1.7 пункта 2.1 Положения N 716-П, в части управления отдельным видом операционного риска, так и бизнес-функциями по осуществлению операций и сделок в рамках своих бизнес-процессов. Например, в случае если управление правовым риском кредитной организации в соответствии с внутренними документами кредитной организации относится к компетенции Юридической службы, работник данного подразделения, в чью зону ответственности относится выполнение вышеуказанных процедур управления операционным риском, не может быть назначен ответственным за проведение правовой экспертизы договоров, заключаемых кредитной организацией с клиентами или другими третьими сторонами» (по вопросу 1);

- «В случае если кредитной организацией принято решение о выполнении процедур управления операционным риском, указанных в подпунктах 2.1.2, 2.1.6 и 2.1.7 пункта 2.1 Положения N 716-П, в части риска информационной безопасности, Службой информационной безопасности (или отдельным структурным подразделением, ответственным за обеспечение информационной безопасности), данное подразделение следует считать специализированным подразделением по управлению риском информационной безопасности. В то же время Служба информационной безопасности в соответствии с пунктом 7.9 Положения N 716-П выполняет функции по обеспечению информационной безопасности, поэтому в целях исключения возникновения конфликта интересов работники Службы информационной безопасности, выполняющие функции по управлению риском информационной безопасности, не должны быть ответственными за выполнение технических функций по обеспечению информационной безопасности и контролю за соблюдением требований к обеспечению информационной безопасности в кредитной организации» (по вопросу 2).

В соответствии с пунктом 1.3 Положения № 716-П:

- специализированные подразделения кредитной организации - подразделения, которые в рамках функциональных обязанностей выполняют процедуры управления операционным риском, указанные в подпунктах 2.1.2, 2.1.6 и 2.1.7 пункта 2.1 настоящего Положения (сбор и регистрация информации о внутренних событиях операционного риска и потерях от его реализации; выбор и применение способа реагирования на операционный риск; мониторинг операционного риска) в части отдельных видов операционного риска, определенных в пункте 1.4 настоящего Положения^[2];

- к центрам компетенций в рамках системы управления операционным риском относятся подразделения кредитной организации, осуществляющие в рамках системы управления операционным риском идентификацию операционного риска, сбор информации и информирование о выявленном операционном риске как подразделения, ответственного за организацию управления операционным риском, так и подразделения, в котором выявлен операционный риск (в соответствии с внутренними документами кредитной организации в случае, если операционный риск выявлен в деятельности другого подразделения кредитной организации, оценку выявленных операционных рисков (в пределах своей компетенции), разработку и проведение мероприятий, направленных на уменьшение негативного влияния операционного риска, а также мониторинг уровня операционного риска в своих процессах.

Таким образом, на основании пункта 7.7 Положения № 716-П организационная структура отдельного подразделения Банка, ответственного за обеспечение информационной безопасности и управлении риском информационной безопасности (служба информационной безопасности),  должна быть сформирована таким образом, чтобы исключить возникновение конфликта интересов с учетом подходов, приведенных в Письме Банка России от 17.05.2022г. № 716-P-2022/71. Иными словами, на возникновение конфликта интересов может влиять распределение полномочий между сотрудниками службы информационной безопасности в случае, если такая служба по своему функционалу будет являться и специализированным подразделением Банка, и центром компетенций.

Полагаем, что:

- наделение руководителя службы информационной безопасности правом подписи платежных документов, само по себе не приводит к возникновению конфликта интересов. Вместе с тем, на наш взгляд, наличие у руководителя службы информационной безопасности такого права может быть квалифицировано регулятором как нарушение требования о  неучастии его в совершении операций, сделок, организации бухгалтерского и управленческого учета;

- не будет являться нарушением требований Положения № 716-П подчинение руководителю службы информационной безопасности иных подразделений Банка при условии, что такие подразделения не участвуют в совершении операций, сделок, организации бухгалтерского и управленческого учета, обеспечении функционирования информационных систем.

Следует отметить, что в настоящее время в доступных нам источниках информации отсутствуют какие-либо разъяснения Банка России о том, что подразумевается под участием лица в операциях и сделках.

В целях повышения устойчивости и безопасности функционирования информационных ресурсов Российской Федерации вступил в силу Указ № 250, в соответствии с пунктом 1 которого руководителям юридических лиц, являющихся субъектами критической информационной инфраструктуры Российской Федерации необходимо, в том числе:

- возложить на заместителя руководителя организации полномочия по обеспечению информационной безопасности организации, в том числе по обнаружению, предупреждению и ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты (подпункт «а»);

-  создать в организации структурное подразделение, осуществляющее функции по обеспечению информационной безопасности организации, в том числе по обнаружению, предупреждению и ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты, либо возложить данные функции на существующее структурное подразделение (подпункт «б»).

Во исполнение пункта 3 Указа № 250 Постановлением № 1272 утверждены типовое положение о заместителе руководителя органа (организации), ответственного за обеспечение информационной безопасности органа (организации) (далее по тексту – Положение о руководителе службы) и типовое положение о структурном подразделении органа (организации), обеспечивающем информационную безопасность органа (организации) (далее по тексту – Положение о службе).

Согласно Положению о службе:

- подразделение подчинено заместителю руководителя органа (организации), ответственному за обеспечение информационной безопасности в органе (организации), либо иным лицам из состава руководства органа (организации) при условии осуществления курирования со стороны руководителя органа (организации) (пункт 3);

- подразделение выполняет следующие функции (пункт 7):

а) разработка, координация, управление и контроль за реализацией плана (программы) работ по обеспечению информационной безопасности в органе (организации) и подведомственных органах (организациях);

б) разработка предложений по совершенствованию организационно-распорядительных документов по обеспечению информационной безопасности в органе (организации) и представление их руководителю органа (организации);

в) выявление и проведение анализа угроз безопасности информации в отношении органа (организации), уязвимостей информационных систем, программного обеспечения программно-аппаратных средств и принятие мер по их устранению;

г) обеспечение в соответствии с требованиями по информационной безопасности, в том числе с целью исключения (невозможности реализации) негативных последствий, разработки и реализации организационных мер и применения средств обеспечения информационной безопасности;

д) обнаружение, предупреждение и ликвидация последствий компьютерных атак и реагирование на компьютерные инциденты;

е) представление в Национальный координационный центр по компьютерным инцидентам информации о выявленных компьютерных инцидентах;

ж) исполнение указаний, данных Федеральной службой безопасности Российской Федерации и ее территориальными органами, Федеральной службой по техническому и экспортному контролю по результатам мониторинга защищенности информационных ресурсов, принадлежащих органу (организации) либо используемых органом (организацией), доступ к которым обеспечивается посредством использования информационно-телекоммуникационной сети «Интернет»;

з) проведение анализа и контроля за состоянием защищенности систем и сетей и разработка предложений по модернизации (трансформации) основных процессов органа (организации) в целях обеспечения информационной безопасности в органе (организации);

и) подготовка отчетов о состоянии работ по обеспечению информационной безопасности в органе (организации);

к) организация развития навыков безопасного поведения в органе (организации), в том числе проведение занятий с руководящим составом и специалистами органа (организации) по вопросам обеспечения информационной безопасности;

л) выполнение иных функций, исходя из поставленных руководством органа (организации) целей и задач в рамках обеспечения информационной безопасности в органе (организации), подведомственных органах (организациях).

Согласно Положению о руководителе службы:

- ответственное лицо определяется руководителем органа (организации) (пункт 2);

- ответственное лицо осуществляет свою деятельность на основе должностных инструкций работников организаций всех форм собственности с учетом особенностей деятельности органа (организации) (далее - работники органа (организации)) и подчиняется непосредственно руководителю органа (организации) либо должностному лицу, его замещающему (пункт 3);

- ответственное лицо входит в состав коллегиальных органов органа (организации) (пункт 4);

- ответственное лицо должно иметь высшее образование (не ниже уровня специалитета, магистратуры) по направлению обеспечения информационной безопасности. Если ответственное лицо имеет высшее образование по другому направлению подготовки (специальности), он должен пройти обучение по программе профессиональной переподготовки по направлению «Информационная безопасность» (пункт 6);

- для ответственного лица требуются наличие знаний, умений и профессиональных компетенций, перечисленных в пункте 7 Положения;

- трудовые (должностные) обязанности ответственного лица перечислены в пунктах 9 – 21 Положения.

Таким образом, полагаем, что:

- служба информационной безопасности, созданная в Банке в соответствии с Положением № 716-П, может быть признана ответственным подразделением, созданным в соответствии с Указом № 250, при условии, если функционал службы включает в себя все перечисленные в пункте 7 Положения о службе функции;

- руководитель службы информационной безопасности, созданной в соответствии с Положением № 716-П, может являться ответственным лицом в соответствии с Указом № 250, если его уровень образования соответствует требованиям пункта 6, а служебные обязанности включают в себя все обязанности,  перечисленные в пунктах 9- 21 Положения о руководителе службы.

Документы и литература.

1.                  ГК РФ – Гражданский кодекс Российской Федерации (ч.I) от 30.11.1994г. № 51-ФЗ,  (ч.II) от 26.01.1996г. № 14-ФЗ, (ч. III) от 26.11.2001г. № 146-ФЗ, (ч. IV) от 18.12.2006г. № 230-ФЗ;

2.                  Закон № 395-1 – Федеральный закон Российской Федерации от 02.12.1990г. № 395-1 «О банках и банковской деятельности»;

3.                  Указ № 250 - Указ Президента РФ от 01.05.2022г. №  250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации»;

4.                  Постановление № 1272 - Постановление Правительства РФ от 15.07.2022г. №  1272 «Об утверждении типового положения о заместителе руководителя органа (организации), ответственном за обеспечение информационной безопасности в органе (организации), и типового положения о структурном подразделении в органе (организации), обеспечивающем информационную безопасность органа (организации)»

5.                  Положение № 716-П  - Положение Банка России от 08.04.2020г. № 716-П «О требованиях к системе управления операционным риском в кредитной организации и банковской группе».

Ответы на самые интересные вопросы на нашем телеграм-канале knk_banki