ЦБ описал порядок оценки и управления рисками на платформе цифрового рубля
Установленные критерии и сроки проверок соответствуют принятым практикам, считают эксперты
Наталья Заруцкая, Мария Арялина
Банк России описал порядок управления рисками платформы цифрового рубля – ввел обязательную оценку значимых рисков и их ключевых индикаторов, а также мер реагирования. Проект соответствующего положения регулятор опубликовал 17 июля на своем сайте, а 18 июля – на портале нормативных актов для обсуждения и прохождения независимой антикоррупционной экспертизы.
В документе поясняется, что ненадлежащим функционированием платформы является событие, в результате которого нарушена доступность платформы, своевременность проведения операций с цифровым рублем или же приостановлена работа площадки. Речь идет о ситуации, когда на срок от четырех минут и более невозможно совершить один или несколько видов операций с цифровыми рублями.
Для обеспечения бесперебойной работы системы ЦБ создаст специальную организационную структуру, которая будет управлять рисками и следить за выполнением всех требований по безопасности. Также документ предполагает, что регулятор обеспечит возможность прямого взаимодействия между ним и участниками и пользователями платформы.
Организационная структура платформы цифрового рубля будет состоять из трех уровней. На самом верхнем, первом уровне будет находиться первый заместитель председателя Банка России, курирующий вопросы организации и функционирования национальной платежной системы, – сейчас это Ольга Скоробогатова. Помимо нее к этому уровню также будут относиться структурные подразделения ЦБ, непосредственно обеспечивающие бизнес-процессы платформы, управляющие рисками и непрерывностью функционирования площадки, а также различные IT-подразделения, департаменты по информационной безопасности и др.
Второй уровень будет представлен структурным подразделением центрального аппарата Банка России, ответственным за общую координацию деятельности и методологическую поддержку по вопросам управления операционными рисками ЦБ. На третьем уровне будет служба главного аудитора Банка России, которая будет проводить независимую оценку системы управления рисками платформы.
Для оценки уровней значимых рисков ЦБ разработал шесть ключевых индикаторов рисков (КИР): продолжительность восстановления функционирования платформы (КИР 1), непрерывность функционирования (КИР 2), соблюдение регламента обеспечения доступности платформы и совершения операций с цифровыми рублями (КИР 3), доступность платформы (КИР 4), эффективность применяемых мер технологического контроля поступающих электронных сообщений (КИР 5), качество управления уязвимостями (КИР 6).
По каждому из критериев ЦБ установил свое пороговое значение. При его превышении ответственные подразделения в течение пяти дней должны будут направлять риск-координаторам площадки информацию о причинах инцидента и принятых мерах реагирования. Например, максимальный порог для восстановления работы платформы – один час, а ее доступность должна быть не ниже 99,99%.
Также ЦБ вводит обязательное проведение плановых и внеплановых проверок рисков. Плановая должна проводиться не реже одного раза в три года с учетом сведений о событиях, которые произошли после последней проверки и привели к остановке работы, говорится в документе. Внеплановая оценка рисков – полная или частичная – проводится по решению ЦБ. В зависимости от ситуаций внеплановые могут длиться от четырех до шести месяцев.
Предложенный ЦБ порядок управления рисками платформы цифрового рубля соответствует принятым практикам управления рисками финансовых организаций, таких как кредитные и страховые компании, операторы автоматизированных информационных систем страхования, говорит эксперт дирекции разработки и внедрения ПО компании «Инфосистемы Джет» Андрей Павлов. К тому же такой подход позволяет выявлять, оценивать, агрегировать наиболее значимые риски в целях обеспечения надежности платформы, уверен он.
Указанные сроки плановых и внеплановых проверок в целом соответствуют существующим практикам и не выглядят неадекватно большими, продолжает Павлов. Он считает, что ЦБ понимает дополнительную нагрузку на бизнес в части проведения проверок, поэтому определил компромиссный срок в отсутствие изменений бизнес-процессов и случаев прекращения функционирования платформы. Вместе с тем, добавляет он, наличие внеплановых проверок при наступлении критических событий позволяет обеспечить достаточный уровень контроля. С ним согласен руководитель департамента расследований T.Hunter, эксперт рынка НТИ SafeNet Игорь Бедеров: такой подход позволяет регулярно проверять и оценивать текущую ситуацию, выявлять потенциальные уязвимости и принимать меры по их устранению.
Предложенные ЦБ КИР и сроки их оценки позволяют обеспечить необходимый уровень управления рисками для финансовых организаций, отмечает другой эксперт дирекции разработки и внедрения ПО компании «Инфосистемы Джет» Петр Починко. По его словам, каждый из индикаторов носит интегральный характер и отвечает за различные направления, характеризующие качество и эффективность работы платформы в настоящий момент и в будущем. Возможно, в этот перечень следует включить еще критерии, характеризующие технологическое совершенство платформы, а также ее запас прочности в условиях роста нагрузки (числа выполняемых на платформе операций), предлагает Починко.
В список индикаторов можно добавить мониторинг учетных записей пользователей, эффективность механизмов шифрования данных, соблюдение регуляторных требований, анализ угроз и уязвимостей приложений, а также предупреждение и мониторинг кибератак, добавляет Бедеров. При этом важно регулярно обновлять и дорабатывать индикаторы в соответствии с изменяющейся средой и бизнес-процессами на платформе, заключает он.
https://www.vedomosti.ru/finance/articles/2024/07/19/1050941-tsb-opisal-poryadok-otsenki-i-upravleniya-riskami-na-platforme-tsifrovogo-rublya