3.1. RegTech- и SupTech-проекты

В ходе мероприятий по развитию RegTech- и SupTech-проектов планируется реализовать следующее:

- Совершенствование системы внешнего аудита информационной безопасности. Обеспечение качества оценки соответствия защиты информации в организациях кредитно-финансовой сферы определено в составе инициативы в рамках Основных направлений развития технологий SupTech и RegTech на период 2021 - 2023 годов.

При разработке концепции совершенствования системы внешнего аудита информационной безопасности планируется проработать вопрос создания дополнительных правовых механизмов повышения качества оценки соответствия защиты информации в организациях кредитно-финансовой сферы и роста качества услуг проверяющих организаций. Данные механизмы будут использованы при формировании требований к обеспечению достоверности результатов внешнего аудита посредством привлечения к нему проверяющих организаций, имеющих подтверждение соответствия их деятельности национальным стандартам, идентичным международным.

Систему внешнего аудита планируется реализовать в отношении:

-- аудита по вопросам защиты информации и операционной надежности;

-- аудита поставщиков облачных сервисов;

-- аудита безопасности приложений.

- Внедрение системы мониторинга и анализа операционных рисков кредитных организаций. Планируется реализовать комплекс мероприятий по мониторингу и анализу рисков информационной безопасности в составе операционных рисков в соответствии с Положением Банка России от 08.04.2020 N 716-П "О требованиях к системе управления операционным риском в кредитной организации и банковской группе".

Важным направлением станет качественный переход к системному использованию методов продвинутой аналитики для анализа операционных рисков кредитных организаций с учетом данных, формируемых в рамках мероприятий:

-- по результатам анализа инцидентов информационной безопасности и операционной надежности;

-- по расчету риск-профиля организаций кредитно-финансовой сферы и финансовых объединений;

-- по надзору, в том числе в форме киберучений;

-- по анализу данных, получаемых в рамках форм отчетности по тематике управления операционным риском и обеспечения операционной надежности.

Банк России планирует интегрировать результаты мониторинга и анализа операционных рисков кредитных организаций в оценку экономического положения, планов восстановления финансовой устойчивости, а также качества внутренних процедур оценки достаточности капитала (ВПОДК) кредитных организаций в части:

-- риска информационной безопасности;

-- риска информационной безопасности, связанного с возможным совершением операций без согласия клиентов;

-- риска информационной безопасности, связанного с возможным нарушением операционной надежности.

Дополнительно будут проработаны вопросы разработки, тестирования и последующей корректировки методики оценки возможностей поднадзорных организаций кредитно-финансовой сферы выявлять инциденты информационной безопасности и операционной надежности, реагировать на них и восстанавливаться в случае их реализации, а также методики оценки организации системы управления рисками информационной безопасности и операционной надежности.

- Создание правовых условий для аутсорсинга информационных технологий и использования облачных услуг финансовыми организациями (подробнее - см. подраздел 3.4).