{"id":14284,"url":"\/distributions\/14284\/click?bit=1&hash=82a231c769d1e10ea56c30ae286f090fbb4a445600cfa9e05037db7a74b1dda9","title":"\u041f\u043e\u043b\u0443\u0447\u0438\u0442\u044c \u0444\u0438\u043d\u0430\u043d\u0441\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u0435 \u043d\u0430 \u0442\u0430\u043d\u0446\u044b \u0441 \u0441\u043e\u0431\u0430\u043a\u0430\u043c\u0438","buttonText":"","imageUuid":""}
ТАБ

Как соответствовать требованиям Положения 787-П. Операционная надежность кредитных организаций

В этой статье мы разберем особенности Положения Банка России №787-П «Об обязательных для кредитных организаций требованиях к операционной надежности при осуществлении банковской деятельности в целях обеспечения непрерывности оказания банковских услуг», которое вступает в силу с 1 октября 2022.

В это статье мы рассмотрим:

1. Новые требования к операционной надежности кредитных организаций.

2. Требования, установленные Положением 787-П.

3. Как соответствовать требованиям Положения 787-П.

Новые требования к операционной надежности кредитных организаций.

Положение 787-П устанавливает новые требования к операционной надежности кредитных организация, которые направлены на обеспечение непрерывности оказания банковских услуг.

Для начала давайте разберемся с какими проблемами или трудностями могут столкнуться кредитные организации после вступления в силу Положения 787-П.

Как мы с Вами прекрасно знаем Положение 716-П установило регуляторные требования к системе управления операционным риском в кредитной организации и банковской группе:

  • к системе управления операционными рисками;

  • к рискам информационной безопасности и рискам информационных систем;

  • к классификации событий таких рисков и ведению соответствующей базы;
  • к контролю за полнотой учета прямых потерь в базе.

Так вот с 1 октября 2022 Положение 787-П ужесточает регуляторные требования к организации системы управления рисками, установленные Положением 716-П.

Ниже мы обозначим эти требования, их довольно много, мы постараемся выделить самые основные. Итак, с 1 октября кредитные организации должны:

  • выполнять установленные Положением 787-П требования к операционной надежности с учетом требований к системе управления операционным риском, установленных Положением 716-П;
  • соблюдать требования к операционной надежности при выполнении критически важных процессов в рамках системы управления операционным риском с использованием автоматизированных систем, программного обеспечения, средств вычислительной техники, телекоммуникационного оборудования (объекты информационной инфраструктуры);
  • обеспечить непрерывность выполнения критически важных процессов с соблюдением контрольных показателей уровня операционного риска, устанавливаемых кредитной организацией в соответствии с пунктом 3 Положения 787-П при сбоях объектов информационной инфраструктуры и (или) реализации киберриска (в соответствии с п.7.2 Положения 716-П);
  • обеспечить не превышение значения порогового уровня допустимого времени простоя и (или) деградации технологических процессов (указанных в приложении к Положению 787-П), приводящих к неоказанию или ненадлежащему оказанию банковских услуг.

Кредитные организации должны определить во внутренних документах (с учетом требований главы 5 Положения 716-П) для каждого технологического процесса и соблюдать значения целевых показателей операционной надежности:

  • допустимой доли деградации технологического процесса;
  • допустимого времени простоя и (или) деградации технологических процессов в рамках инцидента операционной надежности;
  • допустимого суммарного времени простоя и (или) деградации технологического процесса в течение очередного календарного года;
  • показателя соблюдения режима работы (функционирования) технологического процесса.

В случае превышения допустимой доли деградации технологических процессов кредитные организации должны обеспечить фиксацию:

  • фактического времени простоя и (или) деградации технологического процесса, исчисляемого по каждому инциденту операционной надежности (с момента нарушения до момента восстановления технологического процесса);
  • фактической доли деградации технологического процесса в рамках отдельного инцидента операционной надежности;
  • суммарного времени простоя и (или) деградации технологического процесса за последние двенадцать календарных месяцев;

Кредитные организации должны разработать во внутренних документах и обеспечивать выполнение требований к операционной надежности, которые включают в себя требования:

  • к порядку определения значений целевых показателей операционной надежности и обеспечению контроля за их соблюдением;

  • к идентификации состава элементов критичной архитектуры;
  • к управлению изменениями элементов критичной архитектуры;
  • к выявлению, регистрации инцидентов операционной надежности и реагированию на них, а также восстановлению выполнения технологических процессов и функционирования объектов информационной инфраструктуры после реализации указанных инцидентов;
  • порядку реагирования на выявленные события риска информационной безопасности и восстановлению деятельности кредитной организации в случае реализации таких событий;

  • к взаимодействию с поставщиками услуг в сфере информационных технологий при передаче поставщикам услуг в сфере информационных технологий выполнения отдельных функций кредитной организации и (или) использовании внешних информационных систем;

    к аутсорсингу обслуживания и функционирования информационных систем;
  • к тестированию операционной надежности технологических процессов;
  • к нейтрализации информационных угроз со стороны несанкционированного доступа работников кредитной организации или работников поставщиков услуг в сфере информационных технологий, обладающих полномочиями доступа к объектам информационной инфраструктуры;
  • к обеспечению осведомленности кредитной организации об актуальных информационных угрозах, которые могут привести к инцидентам операционной надежности.

Требования, установленные Положением 787-П

Мы перечислили ряд требований к операционной надежности кредитных организаций, которые устанавливает Положение 787-П. Теперь давайте немного подробнее рассмотрим, что в себя включают некоторые из них.

В отношении критичной архитектуры определены требования к идентификации состава элементов и к управлению изменениями элементов.

Сначала поймем, что такое критичная архитектура. Критичная архитектура – это совокупность бизнес-процессов, ИТ-систем и других компонентов в работе организации, имеющих приоритетное значение в области операционной надёжности, обеспечения непрерывности и стабильности деятельности.

Итак, Положение 787-П обязывает кредитные организации обеспечивать организацию учета и контроля следующих элементов состава критической архитектуры:

  • технологических процессов, реализуемых непосредственно кредитной организацией;
  • подразделений (работников) кредитной организации, ответственных за разработку технологических процессов, поддержание их выполнения, реализацию технологических процессов;
  • объектов информационной инфраструктуры кредитной организации, задействованных при выполнении каждого технологического процесса;
  • технологических участков технологических процессов;
  • технологических процессов, технологических участков технологических процессов, реализуемых поставщиками услуг в сфере информационных технологий;
  • работников кредитных организаций или иных лиц, осуществляющих физический и (или) логический доступ, или программных сервисов, осуществляющих логический доступ к объектам информационной инфраструктуры (субъектов доступа), задействованных при выполнении каждого технологического процесса;
  • взаимосвязей и взаимозависимостей кредитной организации с иными кредитными организациями, некредитными финансовыми организациями, поставщиками услуг в сфере информационных технологий в рамках выполнения технологических процессов;
  • каналов передачи защищаемой информации, обрабатываемой и передаваемой в рамках технологических процессов участниками технологического процесса.

В целях организации учета и контроля состава технологических процессов, технологических участков технологических процессов, реализуемых поставщиками услуг в сфере информационных технологий, кредитные организации должны обеспечивать ведение отдельного реестра в соответствии с внутренними документами.

В отношении управления изменениями критичной архитектуры кредитные организации должны обеспечить выполнение следующих требований:

  • управление уязвимостями в критичной архитектуре, из-за которых могут реализоваться информационные угрозы и которые могут повлечь превышение значений целевых показателей операционной надежности;
  • планирование и внедрение изменений в критичной архитектуре, направленных на обеспечение недопустимости неоказания или ненадлежащего оказания банковских услуг;
  • управление конфигурациями (настраиваемыми параметрами) объектов информационной инфраструктуры;
  • управление уязвимостями и обновлениями (исправлениями) объектов информационной инфраструктуры.

С критичной архитектурой разобрались. Идем дальше.

Положение 787-П определяет, что при выявлении, регистрации инцидентов операционной надежности и реагированию на них, а также восстановлению выполнения технологических процессов и функционирования объектов информационной инфраструктуры после реализации таких инцидентов, кредитные организации должны обеспечивать выполнение следующих требований:

  • выявление и регистрация инцидентов операционной надежности;
  • реагирование на инциденты операционной надежности в отношении критичной архитектуры;
  • восстановление функционирования технологических процессов и объектов информационной инфраструктуры после реализации инцидентов операционной надежности;
  • проведение анализа причин и последствий реализации инцидентов операционной надежности;
  • организация взаимодействия между подразделениями кредитной организации, а также между кредитной организацией и Банком России, иными участниками технологического процесса в рамках реагирования на инциденты операционной надежности и восстановления выполнения технологических процессов и функционирования объектов информационной инфраструктуры после реализации инцидентов операционной надежности.

В рамках взаимодействия с поставщиками услуг в сфере информационных технологий кредитные организации должны обеспечить:

  • нейтрализацию информационных угроз, связанных с привлечением поставщиков услуг в сфере информационных технологий, в том числе защита объектов информационной инфраструктуры от возможной реализации информационных угроз со стороны поставщиков услуг в сфере информационных технологий;
  • нейтрализацию информационных угроз, обусловленных технологической зависимостью функционирования объектов информационной инфраструктуры кредитной организации от поставщиков услуг в сфере информационных технологий.

В части тестирования операционной надежности технологических процессов кредитные организации должны принимать организационные и технические меры, направленные на проведение сценарного анализа (в части возможной реализации информационных угроз в отношении критичной архитектуры, а также возникновения сбоев объектов информационной инфраструктуры), и проводить с использованием результатов сценарного анализа тестирование готовности кредитной организации противостоять реализации информационных угроз в отношении критичной архитектуры.

В рамках нейтрализации информационных угроз со стороны внутреннего нарушителя разрабатывать и предпринимать организационные и технические меры в отношении субъектов доступа, привлекаемых в рамках выполнения технологических процессов, направленные на исключение возможности несанкционированного использования предоставленных указанным субъектам доступа полномочий.

Положение 787-П обязывает кредитные организации выполнять следующие требования к обеспечению осведомленности об информационных угрозах:

  • организация взаимодействия кредитной организации и иных участников технологического процесса при обмене информацией об актуальных сценариях реализации информационных угроз;
  • использование информации об актуальных сценариях реализации информационных угроз в целях обеспечения непрерывного оказания банковских услуг.

Как соответствовать требованиям Положения 787-П

С учетом того, что Положение 787-П ужесточает уже имеющиеся требования к операционной надежности кредитных организаций, то уже с 1 октября 2022 многие из этих организаций могут столкнуться с проблемой соответствия этим самым требованиям.

Кредитным организациям необходимо снова доработать методологию, внести изменения во внутренние документы и регламенты, а также доработать уже существующую систему управления рисками.

Однако наша компания заранее все предусмотрела и подготовилась к вступлению в силу Положения 787-П. При разработке нашего программно-методологического комплекса ТАБ:АСУР мы учли требования Положения 787-П, чтобы кредитные организации, на момент вступления в силу Положения 787-П, уже соответствовали всем его требованиям.

Наша компания много лет занимается разработкой и внедрением программных модулей на базе 1С. Для нас автоматизация технологических процессов стала одним из важнейших направлений в разработках и тому есть объяснения.

Автоматизация технологических процессов, в том числе и в сфере управления рисками, значительно облегчает эти процессы, а также исключает ошибки, причиной которых является человеческий фактор.

ПМК «ТАБ:АСУР» решает сразу несколько проблем, с которым столкнулись кредитные организации при приведении своей деятельности в соответствие с требованиями Положения №787-П, а именно:

  1. Регуляторные требования. Соответствие требованиям Банка России к системе управления операционным риском (Положения 716-П, 744-П) и операционной надежности кредитной организации (Положение 787-П).
  2. Готовая методология. Комплект внутренних документов кредитной организации по управлению операционным риском с учетом требований Банка России к операционной надежности (полный или выборочно).
  3. Оперативный контроль. Онлайн мониторинг целевых значений контрольных показателей уровня операционного риска (КПУР), а также целевых показателей операционной надежности кредитной организации.
  4. Автоматизация. Автоматизация всех процедур управления операционным риском, включая риск информационной безопасности, от регистрации инцидентов в базе событий до формирования периодической отчетности.

Вы можете связаться с нашими специалистами, которые предоставят Вам демо-доступ к ПМК «ТАБ:АСУР», проконсультируют Вас по всем интересующим вопросам и предоставят запись вебинара, на котором наши эксперты разбирают все тонкости Положения №787-П.

Если эта статья была вам интересна, то подпишитесь на наш телеграмм-канал и наши социальные сети, там мы публикуем много полезной информации, а также приглашения на бесплатные вебинары по темам, которые могут быть Вам интересны.

Благодарим Вас за прочтение, надеемся информация была для вас полезной.

С уважением к Вам и Вашему бизнесу!

35 показов
3.5K открытий
0
Комментарии
Написать комментарий...
-3 комментариев
Раскрывать всегда