: Создается впечатление, что проект Положения ради рисков ИБ и ИТ и написан. Во всяком случае по тексту проекта документа в нескольких местах специально указывается: “операционный риск, включая риск ИБ и риск ИС”.
Документ солидный - из категории 90+ и это не возраст, а количество страниц в Положении. Далее по тексту мои комментарии будут выделяться так: (Прим. …).
В проекте Положения Банк России устанавливает требования к системе управления операционным риском в кредитной организации и банковской группе(Прим. далее для краткости - просто “КО”), включая требования к системам управления риском информационной безопасности и риском информационных систем, а также ведению аналитической базы данных о событиях операционного риска и потерях, понесенных вследствие реализации этого риска.
Бегло пробежимся по тексту проекта Положения Банка России, специально выделяя требования Положения по ИБ- и ИТ-рискам.
За что сразу цеплятся глаз “бумажного безопасника”? Например, за то, что с 4-ой главы Положения начинает мелькать термин “цифровая инфраструктура”, хотя и в законе №187-ФЗ “О безопасности критической информационной инфраструктуры”, и в ГОСТ Р 57580.1-2017 используется устоявшийся термин “информационная инфраструктура”. Кто-то из рисковиков-разработчиков проекта поддался магии “цифровой экономики”. Но вот в Приложении 2 к Положению всё же встречаем традиционный термин “информационная инфраструктура”, хотя в п.1.3 Приложения 2 опять упоминается “цифровая инфраструктура”.
Комментариев нет:
Отправить комментарий