8.1. Кредитная организация (головная кредитная организация банковской группы) определяет во внутренних документах порядок управления риском информационных систем, включающий мероприятия и процедуры по обеспечению требований к непрерывности и качеству функционирования информационных систем и обеспечению качества данных в информационных системах.
8.2. В целях управления риском информационных систем кредитная организация (головная кредитная организация банковской группы) во внутренних документах определяет политику информационных систем как взаимосвязанной совокупности технических и программных средств, других объектов информационной инфраструктуры, содержащейся в базах данных информации и обеспечивающих ее обработку технологий в рамках реализации мероприятий поддержки и обеспечения непрерывности функционирования процессов кредитной организации (головной кредитной организации банковской группы) и обеспечивает ее соблюдение.
8.3. В политике информационных систем кредитная организация (головная кредитная организация банковской группы) в целях управления риском информационных систем определяет:
функции и полномочия подразделения (подразделений), ответственного (ответственных) за обеспечение функционирования информационных систем и их компонентов (далее - подразделение (подразделения), ответственное (ответственные) за обеспечение функционирования информационных систем), по исполнению политики информационных систем и требований настоящей главы;
должностное лицо (лицо, его замещающее), ответственное за обеспечение функционирования информационных систем кредитной организации (головной кредитной организации банковской группы) и координацию деятельности подразделения (подразделений), ответственного (ответственных) за обеспечение функционирования информационных систем (далее - должностное лицо, ответственное за информационные системы), не участвующее в совершении операций, сделок, организации бухгалтерского и управленческого учета, обеспечении функционирования системы обеспечения информационной безопасности, с прямым подчинением лицу, осуществляющему функции единоличного исполнительного органа кредитной организации (головной кредитной организации банковской группы);
(Абзац в редакции, введенной в действие с 1 октября 2022 года указанием Банка России от 25 марта 2022 года N 6103-У. - См. предыдущую редакцию)
абзац утратил силу с 1 октября 2022 года - указание Банка России от 25 марта 2022 года N 6103-У - см. предыдущую редакцию;
требования к информационным системам, в том числе требования по обеспечению непрерывности и качества функционирования информационных систем;
порядок информационного взаимодействия в рамках реализации политики информационных систем;
порядок и периодичность формирования отчетов должностного лица, ответственного за информационные системы, и подразделения (подразделений), ответственного (ответственных) за обеспечение функционирования информационных систем, направляемых на рассмотрение коллегиальному исполнительному органу кредитной организации (головной кредитной организации банковской группы).
Политика информационных систем утверждается коллегиальным исполнительным органом кредитной организации (головной кредитной организации банковской группы).
Коллегиальный исполнительный орган кредитной организации (головной кредитной организации банковской группы) несет ответственность за соблюдение требований политики информационных систем.
8.4. Должностное лицо, ответственное за информационные системы, проводит не реже одного раза в год анализ необходимости пересмотра требований политики информационных систем в зависимости от осуществляемых операций и (или) действующих процессов, изменяющихся внешних факторов и стратегических планов развития кредитной организации (головной кредитной организации банковской группы), результатов процедур управления операционным риском, результатов оценки эффективности функционирования системы управления операционным риском, проведенной уполномоченным подразделением, и направляет результаты анализа на рассмотрение коллегиальному исполнительному органу кредитной организации (головной кредитной организации банковской группы) для принятия решения о необходимости внесения изменений в политику информационных систем и внутренние документы.
Кредитная организация (головная кредитная организация банковской группы) определяет во внутренних документах порядок и правила проведения анализа и пересмотра политики информационных систем.
8.5. Кредитная организация (головная кредитная организация банковской группы) описывает во внутренних документах архитектуру информационных систем и состав ее элементов, в том числе с учетом оценки влияния на них третьих лиц (внешних подрядчиков, контрагентов, участников банковской группы):
информационных систем кредитной организации (головной кредитной организации банковской группы) с соотнесением их элементов с процессами в соответствии с подпунктом 4.1.1 пункта 4.1 настоящего Положения, выполнение которых они обеспечивают;
структуры информационного обмена между элементами информационных систем, используемых при обеспечении процессов кредитной организации (головной кредитной организации банковской группы);
информационных систем третьих лиц (внешних подрядчиков, контрагентов, участников банковской группы) и их элементов, обеспечивающих процессы кредитной организации (головной кредитной организации банковской группы), и структуры информационного обмена между их элементами и элементами других информационных систем кредитной организации (головной кредитной организации банковской группы). Кредитная организация (головная кредитная организация банковской группы) в случае отсутствия информации об информационных системах третьих лиц (внешних подрядчиков, контрагентов, участников банковской группы) документирует причины и учитывает отсутствие указанной информации при оценке уровня риска информационных систем, в том числе в соответствии с абзацами седьмым и восьмым подпункта 8.7.2 пункта 8.7 настоящего Положения;
подразделений и работников подразделений кредитной организации (головной кредитной организации банковской группы) и (или) третьих лиц (внешних подрядчиков, контрагентов, участников банковской группы), являющихся пользователями и (или) обеспечивающих функционирование информационных систем.
(Пункт в редакции, введенной в действие с 1 октября 2022 года указанием Банка России от 25 марта 2022 года N 6103-У. - См. предыдущую редакцию)
8.6. Кредитная организация (головная кредитная организация банковской группы) обеспечивает проведение подразделениями кредитной организации (головной кредитной организации банковской группы) мероприятий, направленных на выявление, оценку, разработку форм (способов) контроля, и мероприятий, направленных на повышение качества системы управления риском информационных систем и снижение уровня риска информационных систем и сопряженных с ним рисков информационной безопасности, влияющих на информационные системы (в том числе рисков уничтожения (искажения, безвозвратного удаления) носителей и (или) хранилищ информации и данных, хранящихся в информационных системах).
8.7. Кредитная организация (головная кредитная организация банковской группы) в целях управления риском информационных систем разрабатывает во внутренних документах и соблюдает требования к информационным системам с учетом их влияния на обеспечение бесперебойной работы процессов и операционную устойчивость кредитной организации (головной кредитной организации банковской группы).
(Абзац в редакции, введенной в действие с 1 октября 2022 года указанием Банка России от 25 марта 2022 года N 6103-У. - См. предыдущую редакцию)
8.7.1. Требования к структуре информационных систем, включая требования к:
составу основных функций, компонентов, подсистем информационных систем и их иерархической структуры в соответствии с заданными кредитной организацией (головной кредитной организацией банковской группы) функциональными требованиями и техническими заданиями;
средствам и способам обмена информации между подсистемами информационных систем в случае распределенной архитектуры, в том числе с элементами, размещенными у третьих лиц (внешних подрядчиков, контрагентов, участников банковской группы);
(Абзац в редакции, введенной в действие с 1 октября 2022 года указанием Банка России от 25 марта 2022 года N 6103-У. - См. предыдущую редакцию)
архитектуре взаимодействия со смежными информационными системами, в том числе третьих лиц (внешних подрядчиков, контрагентов, участников банковской группы).