Исполнение Указа № 250 в банках: конфликт интересов и назначение вице-президента по ИБ

С введением Указа Президента РФ от 01.05.2022 № 250 банки столкнулись с необходимостью реорганизации структур управления информационной безопасностью (ИБ). Назначение вице-президента, ответственного за ИБ, и создание специализированного подразделения должны соответствовать не только требованиям Указа, но и нормам Положения Банка России № 716-П. Разберем ключевые аспекты исполнения этих требований, фокусом на конфликте интересов и практических решениях для кредитных организаций.

Требования Указа № 250 и Положения № 716-П: точки пересечения

Указ № 250 обязывает банки как субъекты критической информационной инфраструктуры:

• Назначить заместителя руководителя (вице-президента), ответственного за ИБ, включая функции по противодействию кибератакам.
• Создать структурное подразделение по ИБ или расширить полномочия существующего.

Параллельно Положение Банка России № 716-П устанавливает:

• Требование к назначению должностного лица, ответственного за систему ИБ, с прямым подчинением единоличному исполнительному органу (ЕИО).
• Запрет на участие этого лица в операциях, сделках, бухучете или управлении ИТ-системами (п. 7.7).
• Обязательность исключения конфликта интересов в организационной структуре.

Вице-президент, назначенный по Указу № 250, автоматически не признается соответствующим должностным лицом по Положению № 716-П. Его статус должен быть закреплен внутренними документами банка с четким определением функций, исключающих пересечение с запрещенными видами деятельности.

Конфликт интересов: право подписи и функциональная изоляция

Вопрос о конфликте интересов возникает, когда вице-президент по ИБ имеет право подписи финансовых документов. Согласно Письму Банка России № 716-P-2022/71, конфликт возникает при совмещении функций управления рисками и бизнес-процессами. Например:

• Подписание платежных поручений или договоров = участие в операциях/сделках.
• Управление ИТ-инфраструктурой = обеспечение функционирования информационных систем.

Решение: Ограничить право подписи вице-президента доверенностью или внутренним регламентом. Допустимо подписание документов, связанных исключительно с ИБ:

• Акты внедрения средств защиты информации.
• Отчеты о киберинцидентах в Национальный координационный центр.
• Внутренние политики ИБ.

Важно: Регулятор не дает четкого определения «участия в операциях», поэтому банкам следует минимизировать такие полномочия для вице-президента по ИБ.

Подчинение подразделений: что разрешено

Вице-президенту по ИБ может подчиняться Департамент информационной безопасности (ДИБ). Допустимо ли подчинение других отделов? Да, при условиях:

• Подразделение не участвует в операциях/сделках (например, отдел аналитики угроз).
• Функции подразделения не создают конфликта интересов (согласно Письму № 716-P-2022/71).

Запрещено: Подчинение отделов, связанных с бухгалтерией, кассовыми операциями или ИТ-разработкой. Пример безопасной структуры:

Требования к квалификации и функциям руководителя службы ИБ

Постановление Правительства № 1272 устанавливает жесткие критерии для вице-президента по ИБ:

• Высшее образование по направлению «Информационная безопасность» или профессиональная переподготовка по этому профилю.
• Членство в коллегиальных органах банка (например, правлении).
• Подчинение непосредственно ЕИО или его заместителю.

Функции службы ИБ должны включать все пункты Типового положения № 1272, особенно:

• Реагирование на киберинциденты.
• Исполнение предписаний ФСБ и ФСТЭК.
• Обучение сотрудников вопросам ИБ.

Если созданная ранее служба ИБ не охватывает эти задачи, банку необходимо скорректировать ее положение.

Практические шаги для банков

1. Назначьте вице-президента по ИБ приказом с указанием соответствия требованиям № 1272 (образование, функции).
2. Издайте доверенность, ограничивающую право подписи только документами по ИБ.
3. Адаптируйте положение о службе ИБ, включив функции из п. 7 Типового положения № 1272.
4. Исключите двойную подчиненность в ДИБ: сотрудники, управляющие рисками ИБ, не должны контролировать техническую защиту.
5. Проведите аудит подразделений на предмет запрещенного функционала перед их подчинением вице-президенту по ИБ.

Отсутствие официальных разъяснений Банка России по «участию в операциях» требует превентивного подхода: чем уже полномочия вице-президента по ИБ, тем ниже риски санкций.

Бухтека: мнение эксперта:

«Указ № 250 и Положение № 716-П создают рамки, где ключевая задача банка — функциональная сегрегация. Вице-президент по ИБ не должен пересекаться с финансовыми потоками или ИТ-эксплуатацией. Ограничьте его подпись доверенностью, сведите бухгалтерские контакты к нулю, а подчиняемые подразделения проверьте на "чистоту" функций. Помните: конфликт интересов регулятор видит не в формальных статусах, а в реальных полномочиях. Документируйте каждое решение — это ваш главный аргумент при проверке».