Открыть меню

Риск информационных систем

Создано 28 мая 2026 г. Обновлено 28 мая 2026 г. 3 мин чтения
#banking#risk-management#operational-risk#regulation#cbr
Гайд 12 входящих 4 исходящих

Риск информационных систем по 716-П и 850-П: чем отличается от риска ИБ, как управлять, связь с операционной надёжностью технологических процессов и аутсорсингом ИС.

Актуальность проверена: 2026-05-28

Кратко

Риск информационных систем - один из видов операционного риска в 716-П. Он связан с недостатками, отказами, сбоями и ограничениями информационных систем, влияющими на процессы банка. С 850-П его нужно рассматривать вместе с операционной надежностью технологических процессов. Риск ИС отличается от риска ИБ: ИС фокусируется на работоспособности и надежности систем, ИБ - на угрозах безопасности информации.

Нормативная база

  • Положение Банка России № 716-П от 08.04.2020.
  • Положение Банка России № 850-П от 13.01.2025.
  • Ответы Банка России по 716-П о риске ИС и ИБ.

Суть требования

Банк должен управлять риском ИС в рамках СУОР: выявлять критичные системы, оценивать сбои, фиксировать события, контролировать показатели, разрабатывать планы восстановления и учитывать аутсорсинг ИС.

Практическое значение для банка

  • ИТ отвечает за архитектуру, мониторинг, доступность и восстановление.
  • СУР определяет методологическую связь с операционным риском.
  • ИБ проверяет, нет ли у события признаков риска ИБ.
  • Владельцы процессов оценивают бизнес-эффект сбоя.
  • Закупки и договорной блок учитывают ИТ-аутсорсинг и SLA.

Типовые ситуации

  • Сбой АБС или процессинговой системы.
  • Некорректный релиз привел к ошибкам операций.
  • Недоступность хранилища данных влияет на отчетность.
  • Ошибка интеграции вызывает дублирование операций.
  • Подрядчик сопровождения нарушает восстановление сервиса.

Что должен сделать банк

  • Определить критичные ИС и их связь с процессами.
  • Установить показатели доступности и деградации.
  • Настроить передачу значимых сбоев в базу событий.
  • Разделять риск ИС и риск ИБ по фактам события.
  • Тестировать планы восстановления.
  • Контролировать ИТ-аутсорсинг.

Риски неправильного применения

Частая ошибка - считать риск ИС чисто технической проблемой ИТ. Для СУОР важны клиентский эффект, потери, нарушение процесса, повторяемость и качество контроля. Без этой связки ИТ знает о сбое, но банк не видит риск.

Связанные заметки

Вопросы для самопроверки

  1. Какие ИС критичны для банковских услуг?
  2. Как ИТ-инцидент попадает в базу событий?
  3. Есть ли признаки угрозы ИБ?
  4. Как оценивается клиентский эффект?
  5. Какие подрядчики участвуют в поддержке ИС?

Источники

Живой сад

Этот текст можно улучшать вместе

Нашёл опечатку?

Выдели фрагмент в заметке и нажми «Сообщить» — откроется короткая форма с контекстом.

Хочешь обсудить?

Ниже можно оставить комментарий через Telegram, когда заметка связана с публикацией канала.

Telegram-комментарии

Добавь `telegramPostId` в публичную заметку, чтобы здесь появился виджет обсуждения.

Эта заметка ведёт к

Заметка
Операционная надежность банка
Заметка
Инциденты операционной надежности
Заметка
Риск информационной безопасности
Заметка
События ИБ и операционный риск

Ссылаются на эту заметку

Заметка
Инциденты операционной надежности
Заметка
Индекс - законодательство по банковским рискам
Заметка
Карта серии - регулирование рисков для банков
Заметка
Критичные процессы и непрерывность деятельности
Заметка
Операционная надежность банка
Заметка
Операционные риски в банкоматах и УС
Заметка
Проектный риск
Заметка
Риск аутсорсинга
Заметка
Риск информационной безопасности
Заметка
События ИБ и операционный риск
Заметка
Виды операционного риска
Заметка
Взаимодействие ИБ и службы управления рисками

Источник: публичный слой Obsidian Vault.