Операционная надежность НФО по Положению 779-П. 10 популярных вопросов

Дорогие друзья! В ходе исполнения требований установленных Положением Банка России №779-П у некредитных финансовых организаций возникает ряд вопросов.

Эксперты нашей компании «Технологии. Автоматизация. Бизнес» (ТАБ) выбрали 10 самых популярных вопросов и дали на них максимально развернутые ответы.

Если произошло событие операционного риска, и оно признано таковым, то оно уже должно быть в базе рисковых событий. Само признание события операционным риском определяется исходя из Вашей политики управления рисками. Можно или указать сумму потерь, например 20 тыс руб (это лимит по практике признаваемый Банком России), или можно убрать сумму и оставить только качественную оценку.

Таким образом, например, оставив только качественную часть, вы будете признавать событие операционным риском только если его длительность более 24 часов.

Саму запись в базу событий надо внести с ее параметрами, признали вы событие операционным риском или нет, так как ЦБ будет проверять классификацию данных.

Допустимое время деградации считается только по признанным событиям операционного риска, а они уже отражены у Вас в базе данных. Но дополнительно в базе отражается еще и расчет доли деградации. То есть, если это просто событие операционного риска, то часть полей будет пустым, а если вы признали событие операционного риска инцидентом операционной надежности, то уже должны быть заполнены соответствующие поля.

Кратко – это целевой показатель уровня риска. Например, потери организации из-за сбоев оборудования не должны превышать 3 млн руб в год. Или простой оборудования должен быть не более 1% от общего рабочего времени.

Далее при достижении этихпоказателей, должно быть обязательно организовано мероприятие внутри компании, которое позволит исполнить заданные КИР. Например, оборудование чаще не работало, так как перегружено, и решено купить новый сервер, в этом случае мероприятие – покупка сервера,документы,подтверждающие его исполнение – накладная на приобретение.

Критичный бизнес-процесс - это процесс, который руководство организации приняло как недопустимый к остановке. Например, процесс заказа сахара в офис или организация HR мероприятий приняли как некритичный и определили сроки его возможного простоя как 1 неделя.

Также ЦБ вменяет в 779-П набор обязательно критичных процессов, это процессы по урегулированию убытков, возврата премий и поддержания информационного сайта страховщика.Процессы, входящие в данные группы, нельзя признать не критичными.

После идентификации объектов критичной архитектуры Вам сразу станет видно, где у Вас узкие места. Это могут быть роутеры Cisco, Windows, отсутствие порядка обработки событий и непонимание руководителей отделов, как работать с этим.

Поэтому мероприятия могут быть:

Улучшение качества учета пользователей организации в службах каталогов (AD).

Периодичность выполнения процедур внутреннего контроля не регулируется Банком России, то есть, Вы сами в праве решать какие интервалы применять. Основная причина их сокращения, например до квартала или месяца, это желание быть уверенным, что завтра придет проверка и у вас все работает должным образом. В основном это зависит от масштаба деятельности, если организация до 10 сотрудников - мы обычно рекомендуем раз в год, если до 100 - раз в квартал, остальным - раз в месяц. Но, конечно, данные интервалы могут корректироваться в зависимости от бизнес-модели организации.

В данном случае, во-первых, необходимо идентифицировать поставщиков как элементы критичной архитектуры и внести их в соответствующий реестр.

Далее, необходимо определить, а где именно может быть информационная угроза. Предположим, у вас есть агент, который оформляетдоговора и они приходят к вам автоматизировано. В этом случае надо оценить возможность реализации угроз в этом блоке. Как минимум это возможность отправки технологического запроса не вашим агентом, а мошенником. Это может быть воздействие вирусов итп. Нужно оценить влияние информационных угроз (список на сайте ФСТЭК) на Ваши бизнес-процессы. Если та или иная угроза может повлиять на Ваши бизнес-процессы, то организовываете соответствующие мероприятия.

Наша компания регулярно проводит вебинары, на которых наши эксперты подробно разбирают порядок определения данных показателей. Посмотреть наши последние вебинары, можно в нашем телеграм-канале.

Мы рекомендуем ставить показатели: 1, 1440, 100000, в случае отсутствия филиальной сети и отсутствия агентской сети. Такие показатели позволят вам выполнять меньше работ в процессеуправления операционным риском.

Коды типов инцидентов не опубликованы на момент выхода статьи, будут опубликованы на сайте ФинЦерта http://cbr.ru/information_security/fincert/

Фиксация результатов выполнения процедур внутреннего контроля осуществляется в порядках, зафиксированных в Политике управления рисками и внутреннего контроля.

Мы искренне надеемся, что информация была полезной для Вас и хотим обратить Ваше внимание, что в нашем программно-методологическом комплексе ТАБ: АСУР полностью автоматизированы все процедуры управления операционным риском, включая риск информационной безопасности, от регистрации инцидентов в базе событий до формирования периодической отчетности. Подробнее Вы можете узнать у наших специалистов.

Также приглашаем Вас в наш телеграм-канал, там мы публикуем новости, записи вебинаров и отвечаем на Ваши вопросы.

Спасибо за прочтение! С уважением к Вам и Вашему бизнесу!