2.5. Оценка эффективности управления риском информационной безопасности в кредитной организации

В целях оценки эффективности управления риском информационной безопасности в кредитной организации рекомендуется учитывать следующее:

- обеспечение выполнения порядка функционирования системы информационной безопасности, определенного внутренними документами кредитной организации, с учетом требований пунктов 7.6 - 7.7 Положения N 716-П;

- распределение функций и ответственности совета директоров (наблюдательного совета), коллегиального исполнительного органа и работников кредитной организации в рамках организационной структуры обеспечения информационной безопасности, в том числе исключающее конфликт интересов;

- выполнение службой информационной безопасности функций, определенных во внутренних документах кредитной организации, с учетом требований пункта 7.9 Положения N 716-П;

- формирование службой информационной безопасности специализированных отчетов по рискам информационной безопасности в соответствии с пунктом 7.10 Положения N 716-П, а также соблюдение порядка и сроков предоставления данных отчетов на рассмотрение;

- соблюдение требований ведения базы событий риска информационной безопасности требованиям пункта 6.9 положения N 716-П (в случае ведения в кредитной организации базы событий риска информационной безопасности раздельно с базой событий операционного риска);

- соблюдение требований к порядку предоставления данных о прямых потерях от реализации событий риска информационной безопасности для регистрации в базе событий операционного риска в соответствии с пунктом 6.10 Положения N 716-П (в случае ведения в кредитной организации базы событий риска информационной безопасности раздельно с базой событий операционного риска).