Как соответствовать требованиям Положения 787-П. Операционная надежность кредитных организаций
В этой статье мы разберем особенности Положения Банка России №787-П «Об обязательных для кредитных организаций требованиях к операционной надежности при осуществлении банковской деятельности в целях обеспечения непрерывности оказания банковских услуг», которое вступает в силу с 1 октября 2022.
В это статье мы рассмотрим:
1. Новые требования к операционной надежности кредитных организаций.
2. Требования, установленные Положением 787-П.
3. Как соответствовать требованиям Положения 787-П.
Новые требования к операционной надежности кредитных организаций.
Положение 787-П устанавливает новые требования к операционной надежности кредитных организация, которые направлены на обеспечение непрерывности оказания банковских услуг.
Для начала давайте разберемся с какими проблемами или трудностями могут столкнуться кредитные организации после вступления в силу Положения 787-П.
Как мы с Вами прекрасно знаем Положение 716-П установило регуляторные требования к системе управления операционным риском в кредитной организации и банковской группе:
- к системе управления операционными рисками;
к рискам информационной безопасности и рискам информационных систем;
- к классификации событий таких рисков и ведению соответствующей базы;
- к контролю за полнотой учета прямых потерь в базе.
Так вот с 1 октября 2022 Положение 787-П ужесточает регуляторные требования к организации системы управления рисками, установленные Положением 716-П.
Ниже мы обозначим эти требования, их довольно много, мы постараемся выделить самые основные. Итак, с 1 октября кредитные организации должны:
- выполнять установленные Положением 787-П требования к операционной надежности с учетом требований к системе управления операционным риском, установленных Положением 716-П;
- соблюдать требования к операционной надежности при выполнении критически важных процессов в рамках системы управления операционным риском с использованием автоматизированных систем, программного обеспечения, средств вычислительной техники, телекоммуникационного оборудования (объекты информационной инфраструктуры);
- обеспечить непрерывность выполнения критически важных процессов с соблюдением контрольных показателей уровня операционного риска, устанавливаемых кредитной организацией в соответствии с пунктом 3 Положения 787-П при сбоях объектов информационной инфраструктуры и (или) реализации киберриска (в соответствии с п.7.2 Положения 716-П);
- обеспечить не превышение значения порогового уровня допустимого времени простоя и (или) деградации технологических процессов (указанных в приложении к Положению 787-П), приводящих к неоказанию или ненадлежащему оказанию банковских услуг.
Кредитные организации должны определить во внутренних документах (с учетом требований главы 5 Положения 716-П) для каждого технологического процесса и соблюдать значения целевых показателей операционной надежности:
- допустимой доли деградации технологического процесса;
- допустимого времени простоя и (или) деградации технологических процессов в рамках инцидента операционной надежности;
- допустимого суммарного времени простоя и (или) деградации технологического процесса в течение очередного календарного года;
- показателя соблюдения режима работы (функционирования) технологического процесса.
В случае превышения допустимой доли деградации технологических процессов кредитные организации должны обеспечить фиксацию:
- фактического времени простоя и (или) деградации технологического процесса, исчисляемого по каждому инциденту операционной надежности (с момента нарушения до момента восстановления технологического процесса);
- фактической доли деградации технологического процесса в рамках отдельного инцидента операционной надежности;
- суммарного времени простоя и (или) деградации технологического процесса за последние двенадцать календарных месяцев;
Кредитные организации должны разработать во внутренних документах и обеспечивать выполнение требований к операционной надежности, которые включают в себя требования:
к порядку определения значений целевых показателей операционной надежности и обеспечению контроля за их соблюдением;
- к идентификации состава элементов критичной архитектуры;
- к управлению изменениями элементов критичной архитектуры;
- к выявлению, регистрации инцидентов операционной надежности и реагированию на них, а также восстановлению выполнения технологических процессов и функционирования объектов информационной инфраструктуры после реализации указанных инцидентов;
- порядку реагирования на выявленные события риска информационной безопасности и восстановлению деятельности кредитной организации в случае реализации таких событий;
к взаимодействию с поставщиками услуг в сфере информационных технологий при передаче поставщикам услуг в сфере информационных технологий выполнения отдельных функций кредитной организации и (или) использовании внешних информационных систем;
к аутсорсингу обслуживания и функционирования информационных систем;- к тестированию операционной надежности технологических процессов;
- к нейтрализации информационных угроз со стороны несанкционированного доступа работников кредитной организации или работников поставщиков услуг в сфере информационных технологий, обладающих полномочиями доступа к объектам информационной инфраструктуры;
- к обеспечению осведомленности кредитной организации об актуальных информационных угрозах, которые могут привести к инцидентам операционной надежности.
Требования, установленные Положением 787-П
Мы перечислили ряд требований к операционной надежности кредитных организаций, которые устанавливает Положение 787-П. Теперь давайте немного подробнее рассмотрим, что в себя включают некоторые из них.
В отношении критичной архитектуры определены требования к идентификации состава элементов и к управлению изменениями элементов.
Сначала поймем, что такое критичная архитектура. Критичная архитектура – это совокупность бизнес-процессов, ИТ-систем и других компонентов в работе организации, имеющих приоритетное значение в области операционной надёжности, обеспечения непрерывности и стабильности деятельности.
Итак, Положение 787-П обязывает кредитные организации обеспечивать организацию учета и контроля следующих элементов состава критической архитектуры:
- технологических процессов, реализуемых непосредственно кредитной организацией;
- подразделений (работников) кредитной организации, ответственных за разработку технологических процессов, поддержание их выполнения, реализацию технологических процессов;
- объектов информационной инфраструктуры кредитной организации, задействованных при выполнении каждого технологического процесса;
- технологических участков технологических процессов;
- технологических процессов, технологических участков технологических процессов, реализуемых поставщиками услуг в сфере информационных технологий;
- работников кредитных организаций или иных лиц, осуществляющих физический и (или) логический доступ, или программных сервисов, осуществляющих логический доступ к объектам информационной инфраструктуры (субъектов доступа), задействованных при выполнении каждого технологического процесса;
- взаимосвязей и взаимозависимостей кредитной организации с иными кредитными организациями, некредитными финансовыми организациями, поставщиками услуг в сфере информационных технологий в рамках выполнения технологических процессов;
- каналов передачи защищаемой информации, обрабатываемой и передаваемой в рамках технологических процессов участниками технологического процесса.
В целях организации учета и контроля состава технологических процессов, технологических участков технологических процессов, реализуемых поставщиками услуг в сфере информационных технологий, кредитные организации должны обеспечивать ведение отдельного реестра в соответствии с внутренними документами.
В отношении управления изменениями критичной архитектуры кредитные организации должны обеспечить выполнение следующих требований:
- управление уязвимостями в критичной архитектуре, из-за которых могут реализоваться информационные угрозы и которые могут повлечь превышение значений целевых показателей операционной надежности;
- планирование и внедрение изменений в критичной архитектуре, направленных на обеспечение недопустимости неоказания или ненадлежащего оказания банковских услуг;
- управление конфигурациями (настраиваемыми параметрами) объектов информационной инфраструктуры;
- управление уязвимостями и обновлениями (исправлениями) объектов информационной инфраструктуры.
С критичной архитектурой разобрались. Идем дальше.
Положение 787-П определяет, что при выявлении, регистрации инцидентов операционной надежности и реагированию на них, а также восстановлению выполнения технологических процессов и функционирования объектов информационной инфраструктуры после реализации таких инцидентов, кредитные организации должны обеспечивать выполнение следующих требований:
- выявление и регистрация инцидентов операционной надежности;
- реагирование на инциденты операционной надежности в отношении критичной архитектуры;
- восстановление функционирования технологических процессов и объектов информационной инфраструктуры после реализации инцидентов операционной надежности;
- проведение анализа причин и последствий реализации инцидентов операционной надежности;
- организация взаимодействия между подразделениями кредитной организации, а также между кредитной организацией и Банком России, иными участниками технологического процесса в рамках реагирования на инциденты операционной надежности и восстановления выполнения технологических процессов и функционирования объектов информационной инфраструктуры после реализации инцидентов операционной надежности.
В рамках взаимодействия с поставщиками услуг в сфере информационных технологий кредитные организации должны обеспечить:
- нейтрализацию информационных угроз, связанных с привлечением поставщиков услуг в сфере информационных технологий, в том числе защита объектов информационной инфраструктуры от возможной реализации информационных угроз со стороны поставщиков услуг в сфере информационных технологий;
- нейтрализацию информационных угроз, обусловленных технологической зависимостью функционирования объектов информационной инфраструктуры кредитной организации от поставщиков услуг в сфере информационных технологий.
В части тестирования операционной надежности технологических процессов кредитные организации должны принимать организационные и технические меры, направленные на проведение сценарного анализа (в части возможной реализации информационных угроз в отношении критичной архитектуры, а также возникновения сбоев объектов информационной инфраструктуры), и проводить с использованием результатов сценарного анализа тестирование готовности кредитной организации противостоять реализации информационных угроз в отношении критичной архитектуры.
В рамках нейтрализации информационных угроз со стороны внутреннего нарушителя разрабатывать и предпринимать организационные и технические меры в отношении субъектов доступа, привлекаемых в рамках выполнения технологических процессов, направленные на исключение возможности несанкционированного использования предоставленных указанным субъектам доступа полномочий.
Положение 787-П обязывает кредитные организации выполнять следующие требования к обеспечению осведомленности об информационных угрозах:
- организация взаимодействия кредитной организации и иных участников технологического процесса при обмене информацией об актуальных сценариях реализации информационных угроз;
- использование информации об актуальных сценариях реализации информационных угроз в целях обеспечения непрерывного оказания банковских услуг.
Как соответствовать требованиям Положения 787-П
С учетом того, что Положение 787-П ужесточает уже имеющиеся требования к операционной надежности кредитных организаций, то уже с 1 октября 2022 многие из этих организаций могут столкнуться с проблемой соответствия этим самым требованиям.
Кредитным организациям необходимо снова доработать методологию, внести изменения во внутренние документы и регламенты, а также доработать уже существующую систему управления рисками.
Однако наша компания заранее все предусмотрела и подготовилась к вступлению в силу Положения 787-П. При разработке нашего программно-методологического комплекса ТАБ:АСУР мы учли требования Положения 787-П, чтобы кредитные организации, на момент вступления в силу Положения 787-П, уже соответствовали всем его требованиям.
Наша компания много лет занимается разработкой и внедрением программных модулей на базе 1С. Для нас автоматизация технологических процессов стала одним из важнейших направлений в разработках и тому есть объяснения.
Автоматизация технологических процессов, в том числе и в сфере управления рисками, значительно облегчает эти процессы, а также исключает ошибки, причиной которых является человеческий фактор.
ПМК «ТАБ:АСУР» решает сразу несколько проблем, с которым столкнулись кредитные организации при приведении своей деятельности в соответствие с требованиями Положения №787-П, а именно:
- Регуляторные требования. Соответствие требованиям Банка России к системе управления операционным риском (Положения 716-П, 744-П) и операционной надежности кредитной организации (Положение 787-П).
- Готовая методология. Комплект внутренних документов кредитной организации по управлению операционным риском с учетом требований Банка России к операционной надежности (полный или выборочно).
- Оперативный контроль. Онлайн мониторинг целевых значений контрольных показателей уровня операционного риска (КПУР), а также целевых показателей операционной надежности кредитной организации.
- Автоматизация. Автоматизация всех процедур управления операционным риском, включая риск информационной безопасности, от регистрации инцидентов в базе событий до формирования периодической отчетности.
Вы можете связаться с нашими специалистами, которые предоставят Вам демо-доступ к ПМК «ТАБ:АСУР», проконсультируют Вас по всем интересующим вопросам и предоставят запись вебинара, на котором наши эксперты разбирают все тонкости Положения №787-П.
Если эта статья была вам интересна, то подпишитесь на наш телеграмм-канал и наши социальные сети, там мы публикуем много полезной информации, а также приглашения на бесплатные вебинары по темам, которые могут быть Вам интересны.
Благодарим Вас за прочтение, надеемся информация была для вас полезной.
С уважением к Вам и Вашему бизнесу!