Новости

Что нужно сделать финансовой организации для выполнения требований к операционной надежности?

С 1 октября 2022 года вступили в силу положения ЦБ РФ по управлению операционной надежностью финансовых организаций, а именно – Положение 787-П для кредитных организаций и Положение 779-П для некредитных финансовых организаций, однако до сих пор продолжаются обсуждения порядка их внедрения и выполнения в организациях.

Мы подготовили гайд по мероприятиям, которые нужно провести финансовым организациям для соответствия требованиям ЦБ РФ к операционной надежности.

Что такое управление операционной надежностью?

Под управлением операционной надежностью мы понимаем комплекс мероприятий, направленных на обеспечение стабильности и надежности работы финансовых систем и продуктов. Целью управления операционной надежностью в финансовом секторе является минимизация рисков и финансовых потерь, обеспечение безопасности данных клиентов, а также повышение качества обслуживания и удовлетворенности клиентов.

Управление операционной надежностью представляет собой непрерывный процесс, включающий планирование, реализацию требований, контроль выполнения и совершенствование при необходимости.

Этап планирования

На этапе планирования необходимо регламентировать все процедуры по управлению операционной надежностью, определить ответственных лиц и подразделения – участники процедур.

В первую очередь, необходимо определить, обязательно ли для организации выполнение требований ЦБ РФ к операционной надежности. Ранее мы уже опубликовали чек-лист с критериями обязательности выполнения. Не все финансовые организации должны выполнять требования Положений 787-П или 779-П. Если финансовая организация относится НФО, но не включена в перечень НФО в пункте 1.2 779-П и Положением Банка России от 20 апреля 2021 года N 757-П не утверждена ее обязанность соблюдать определенный уровень защиты информации (усиленный, стандартный или минимальный уровень), требования Положения 779-П на нее не распространяются.

Также необходимо определить область действия Положений 787-П или 779-П для конкретной организации, т.е. технологические процессы. Финансовой организации, не являющейся кредитной, определить эти процессы довольно просто: достаточно обратиться к Положению 779-П, в приложении к которому указан перечень технологических процессов, останется лишь выбрать из них применимые. Банкам немного сложнее: они должны обратиться не только к приложению, находящемуся в составе Положения 787-П, но и включить в перечень процессов те, которые ими признаны критически важными согласно Положению Банка России N 716-П и оценке процессов, проводимой самой организацией в рамках системы управления операционным риском. При этом, если кредитная организация осуществляет смежную финансовую деятельность (например, брокерскую), она должна руководствоваться также требованиями Положения 779-П в части соответствующих технологических процессов.

Для каждого технологического процесса нужно определить подразделение-владельца. Если в рамках технологического процесса выполняется несколько бизнес-процессов и процедур, можно определить ответственное подразделение для каждого бизнес-процесса (процедуры), но при этом выделить владельца технологического процесса в целом.

Далее необходимо определить, регламентировать и утвердить политику управления операционной надежностью организации. Политика должна включать, как минимум:

  • описание процессов и процедур управления операционной надежностью;

  • ответственное за управление операционной надежности подразделение;

  • ответственное за контроль обеспечения операционной надежности подразделение и порядок такого контроля;

  • ответственные за управление операционным риском и риском операционной надежности подразделения;

  • подразделения – участники процессов обеспечения операционной надежности и порядок их взаимодействия с ответственным и контролирующим подразделением;

  • объекты защиты в рамках управления операционной надежностью;

  • порядок управления операционными рисками и рисками (инцидентами) операционной надежности;

  • порядок совершенствования процессов и процедур управления операционной надежностью;

  • требования к поставщикам услуг, порядок их выбора;

  • требования к кадровому обеспечению;

  • методику расчета целевых показателей операционной надежности, в том числе их фактического значения;

  • пороговые значения целевых показателей операционной надежности;

  • порядок мониторинга и пересмотра значений показателей операционной надежности.

Политика может представлять собой как один документ, так и несколько документов разных уровней.

Также необходимо определить состав и порядок мер по защите информации в рамках управления операционной надежностью и порядок управления технологическими процессами, а именно:

  • порядок учета и контроля состава оборудования, информационных систем и программного обеспечения;

  • порядок предоставления и контроля доступа пользователей (работников организации и контрагентов);

  • порядок управления изменениями технологических процессов;

  • порядок управления конфигурациями и изменениями критичной архитектуры;

  • порядок управления уязвимостями;

  • порядок обеспечения непрерывности и восстановления деятельности;

  • план обновления критичной архитектуры.

Этап реализации

На этапе реализации необходимо выполнять все регламентированные ранее процедуры и меры по управлению операционной надежностью и обеспечению защиты информации. Все технологические процессы, входящие в область действия Положения 779-П (или Положения 787-П) нужно подробно изучить и описать, а также учесть все составляющие технологического процесса (критичную архитектуру).

По опыту проводимых работ, удобнее всего составить реестр технологических процессов, включающий подробную информацию по каждому технологическому процессу:

  • значения целевых показателей операционной надежности;

  • бизнес-процессы и процедуры, составляющие технологический процесс, время их начала, время окончания, продолжительность и последовательность;

  • владельцы и участники;

  • поставщики услуг и связанные контрагенты;

  • программные и технические средства, каналы передачи данных;

  • технологические участки, установленные в Положении № 683-П или Положении № 757-П.

Для используемых программных и технических средств необходимо определить, относятся ли они к значимым объектам критической информационной инфраструктуры согласно Федеральному закону № 187-ФЗ. Следует отдельно учитывать поставщиков информационных услуг, которые обеспечивают функционирование отдельных технологических участков или технологических процессов в целом (например, владельцы автоматизированных систем, размещаемых в облаке и используемых финансовой организацией), и контрагентов, при участии которых осуществляются технологические процессы - взаимозависимости (например, биржи, Центральный Банк РФ).

Будет полезным при составлении реестра не ограничиваться только требованиями Положений 779-П / 787-П, но и включить в него информацию, которая будет использоваться при заполнении форм отчетности, направляемых в Банк России (на данный момент это формы 0420174, 0420265, 0420432, 0420523, 0420721 для некредитных финансовых организаций и планируемая форма 0409072 для банков), а также для создания наиболее полной картины функционирования технологических процессов:

  • код технологического процесса;

  • коды технологических участков технологического процесса;

  • характеристики объектов информационной инфраструктуры, используемых для реализации технологического процесса (наименование информационных систем; имя, IP-адрес и сведения о размещении серверов, рабочих станций, сетевого оборудования);

  • информация о применяемых облачных решениях, включая поставщиков услуг, коды функциональности, категории облачных решений и технологических участков).

Также рекомендуем не только перечислить процедуры в рамках технологических процессов, но и дать им описание, указать используемые информационные системы и задействованные подразделения, составить схемы и карты технологических процессов и процедур, определить информационные потоки технологических процессов в разрезе составляющих их процедур.

В рамках реализации требований к обеспечению операционной надежности необходимо:

1. вовремя осуществлять выявление и обработку инцидентов операционной надежности;

2. производить расчет фактических значений целевых показателей в рамках каждого события риска операционной надежности;

3. обеспечить использование отказоустойчивых решений, резервирование и резервное копирование информационных систем и программного обеспечения;

4. провести классификацию и категорирование информационных систем и программного обеспечения, определить их критичность и требования к функционированию;

5. реализовать управление доступом к информационным системам и техническим средствам;

6. обеспечить управление конфигурациями, изменениями и обновлениями критичной архитектуры с участием службы информационной безопасности (и аналогичных подразделений), ответственных за управление рисками, владельцев технологических процессов;

7. оперативно осуществлять выявление и устранение уязвимостей, в том числе путем обновления программного обеспечения;

8. обеспечить устранение последствий реализовавшихся инцидентов операционной надежности (восстановление деятельности) и проведение мероприятий по недопущению их повторения;

9. периодически проводить повышение осведомленности работников по вопросам обеспечения операционной надежности и защиты информации.

Этап контроля

На этапе контроля необходимо определить степень полноты регламентации процедур и мер по управлению операционной надежностью и обеспечению защиты информации, а также соответствия их выполнения нормативным документам. Для управления операционной надежностью рекомендуем проводить следующие контрольные мероприятия:

  • контроль состава объектов критичной архитектуры и полноты их учета;

  • контроль состава пользователей и их прав доступа, своевременной блокировки доступа уволенных работников и изменения прав при изменении должностных обязанностей;

  • контроль изменений технологических процессов и критичной архитектуры, соответствия проведенных работ требованиям по безопасности;

  • тестирование планов обеспечения непрерывности и восстановления деятельности, проведение сценарного анализа;

  • мониторинг уровня контрольных показателей операционной надежности;

  • контрольные мероприятия и оценка эффективности системы управления операционной надежностью;

  • контроль обеспечения непрерывности технологических процессов поставщиками услуг;

  • внутренняя и внешняя отчетность, как по итогам реагирования на инциденты и проведения контрольных мероприятий, так и ежеквартальное направление отчетных форм в Банк России;

  • проверка знаний работников и порядка исполнения ими требований к обеспечению операционной надежности и защите информации.

В зависимости от типа мероприятия и решения руководства, контроль может осуществляться как в рамках самооценки, так и силами внешней специально привлеченной организации.

Чтобы определить степень соответствия системы обеспечения операционной надежности требованиям Банка России, рекомендуем провести экспресс-оценку выполнения требований Положений 779-П / 787-П в рамках самооценки или с привлечением сторонней организации:

  • определить положение, которое распространяется на организацию в зависимости от типа организации и направлений ее деятельности;

  • выписать все требования, применимые к организации;

  • проверить, выполняется ли каждое требование получившегося чек-листа в вашей организации;

  • отметить требования, которые не полностью выполняются либо не выполняются;

  • составить план работ по устранению выявленных несоответствий.

И приступать к этапу совершенствования системы обеспечения операционной надежности.

Не лишним будет пройти аналогичную проверку по пунктам стандарта ГОСТ Р 57580.4-2022. Конечно, для него еще не выпущена методика оценки, но уже можно провести хотя бы верхнеуровневую оценку выполнения его мер и начать готовиться к обязательному исполнению этих мер в финансовых организациях.

Этап совершенствования

На этапе совершенствования необходимо определить, требуется ли внесение изменений в существующую систему обеспечения операционной надежности. Для этого проводится периодический пересмотр процессов и процедур управления операционной надежностью, а также обеспечения защиты информации для ее обеспечения.

Принятие решения о необходимости совершенствования системы обеспечения операционной надежности осуществляется по итогам:

  • реализовывавшихся инцидентов информационной безопасности, информационных систем и операционной надежности;

  • проведенных контролей и оценок;

  • выявления новых угроз безопасности;

  • результатов оценки рисков;

  • изменения технологических процессов, состава критичной архитектуры;

  • изменения требований нормативных документов, как внешних, так и внутренних.

В рамках совершенствования системы обеспечения операционной надежности также производится пересмотр целевых значений ее контрольных показателей. Если принято решение о необходимости изменений, лучшим способом зафиксировать и контролировать их будет составление плана работ по совершенствованию, с указанием мероприятий, ответственных работников и сроков исполнения.

Таким образом, цикл замыкается, и работы переходят обратно в категорию планирования, нужно отразить все необходимые изменения во внутренних документах и так далее.
Автор: Юлия Задубровская, руководитель отдела безопасности финсектора, Infosecurity
2023-08-10 11:00 Законодательство Популярные статьи Блог