Операционная надежность НФО по Положению 779-П. 10 популярных вопросов

Дорогие друзья! В ходе исполнения требований установленных Положением Банка России №779-П у некредитных финансовых организаций возникает ряд вопросов.

Эксперты нашей компании «Технологии. Автоматизация. Бизнес» (ТАБ) выбрали 10 самых популярных вопросов и дали на них максимально развернутые ответы.

1)В случае, если событие операционного риска не повлекло за собой убытки, оно не вносится в базу событий?

Если произошло событие операционного риска, и оно признано таковым, то оно уже должно быть в базе рисковых событий. Само признание события операционным риском определяется исходя из Вашей политики управления рисками. Можно или указать сумму потерь, например 20 тыс руб (это лимит по практике признаваемый Банком России), или можно убрать сумму и оставить только качественную оценку.

Таким образом, например, оставив только качественную часть, вы будете признавать событие операционным риском только если его длительность более 24 часов.

Саму запись в базу событий надо внести с ее параметрами, признали вы событие операционным риском или нет, так как ЦБ будет проверять классификацию данных.

2) Если при событии превышено допустимое время деградации или простоя или если событие произошло 5 раз в день, оно не вносится в базу событий?

Допустимое время деградации считается только по признанным событиям операционного риска, а они уже отражены у Вас в базе данных. Но дополнительно в базе отражается еще и расчет доли деградации. То есть, если это просто событие операционного риска, то часть полей будет пустым, а если вы признали событие операционного риска инцидентом операционной надежности, то уже должны быть заполнены соответствующие поля.

3) Что такое ключевые индикаторы риска?

Кратко – это целевой показатель уровня риска. Например, потери организации из-за сбоев оборудования не должны превышать 3 млн руб в год. Или простой оборудования должен быть не более 1% от общего рабочего времени.

Далее при достижении этихпоказателей, должно быть обязательно организовано мероприятие внутри компании, которое позволит исполнить заданные КИР. Например, оборудование чаще не работало, так как перегружено, и решено купить новый сервер, в этом случае мероприятие – покупка сервера,документы,подтверждающие его исполнение – накладная на приобретение.

4) Что такое критичный бизнес-процесс?

Критичный бизнес-процесс - это процесс, который руководство организации приняло как недопустимый к остановке. Например, процесс заказа сахара в офис или организация HR мероприятий приняли как некритичный и определили сроки его возможного простоя как 1 неделя.

Также ЦБ вменяет в 779-П набор обязательно критичных процессов, это процессы по урегулированию убытков, возврата премий и поддержания информационного сайта страховщика.Процессы, входящие в данные группы, нельзя признать не критичными.

5) Какие вы можете посоветовать мероприятия по минимизации операционного риска, связанного с операционной надежностью?

После идентификации объектов критичной архитектуры Вам сразу станет видно, где у Вас узкие места. Это могут быть роутеры Cisco, Windows, отсутствие порядка обработки событий и непонимание руководителей отделов, как работать с этим.

Поэтому мероприятия могут быть:

  • Импортозамещение критичного оборудования.
  • Формирование реестра бизнес-процессов организации.
  • Обучение руководителей системе управления рисками и принятию решений на базе СУР.
  • Настройка автоматизированного выявления рисков на базе мониторинга Zabbix.

Улучшение качества учета пользователей организации в службах каталогов (AD).

6) Какая периодичность контроля за соблюдением значений целевых показателей операционной надежности является стандартной в рамках 779-П? Какую Вы можете посоветовать?

Периодичность выполнения процедур внутреннего контроля не регулируется Банком России, то есть, Вы сами в праве решать какие интервалы применять. Основная причина их сокращения, например до квартала или месяца, это желание быть уверенным, что завтра придет проверка и у вас все работает должным образом. В основном это зависит от масштаба деятельности, если организация до 10 сотрудников - мы обычно рекомендуем раз в год, если до 100 - раз в квартал, остальным - раз в месяц. Но, конечно, данные интервалы могут корректироваться в зависимости от бизнес-модели организации.

7) Как мы можем защищать свои объекты от поставщиков услуг?

В данном случае, во-первых, необходимо идентифицировать поставщиков как элементы критичной архитектуры и внести их в соответствующий реестр.

Далее, необходимо определить, а где именно может быть информационная угроза. Предположим, у вас есть агент, который оформляетдоговора и они приходят к вам автоматизировано. В этом случае надо оценить возможность реализации угроз в этом блоке. Как минимум это возможность отправки технологического запроса не вашим агентом, а мошенником. Это может быть воздействие вирусов итп. Нужно оценить влияние информационных угроз (список на сайте ФСТЭК) на Ваши бизнес-процессы. Если та или иная угроза может повлиять на Ваши бизнес-процессы, то организовываете соответствующие мероприятия.

8) Можете ли вы объяснить порядок определения показателей, указанных в п. 1.3 положения 779-П? Как на практике определяется, например, допустимое время простоя и (или) деградации? Какое первоначальное значение показателей?

Наша компания регулярно проводит вебинары, на которых наши эксперты подробно разбирают порядок определения данных показателей. Посмотреть наши последние вебинары, можно в нашем телеграм-канале.

Мы рекомендуем ставить показатели: 1, 1440, 100000, в случае отсутствия филиальной сети и отсутствия агентской сети. Такие показатели позволят вам выполнять меньше работ в процессеуправления операционным риском.

9) Где можно посмотреть код типа инцидента операционной надежности, согласно перечню типов размещаемого Банком России в сети «Интернет»?

Коды типов инцидентов не опубликованы на момент выхода статьи, будут опубликованы на сайте ФинЦерта http://cbr.ru/information_security/fincert/

10) Как фиксировать выполнение процедур внутреннего контроля?

Фиксация результатов выполнения процедур внутреннего контроля осуществляется в порядках, зафиксированных в Политике управления рисками и внутреннего контроля.

Мы искренне надеемся, что информация была полезной для Вас и хотим обратить Ваше внимание, что в нашем программно-методологическом комплексе ТАБ: АСУР полностью автоматизированы все процедуры управления операционным риском, включая риск информационной безопасности, от регистрации инцидентов в базе событий до формирования периодической отчетности. Подробнее Вы можете узнать у наших специалистов.

Также приглашаем Вас в наш телеграм-канал, там мы публикуем новости, записи вебинаров и отвечаем на Ваши вопросы.

Спасибо за прочтение! С уважением к Вам и Вашему бизнесу!

0
Комментарии
-3 комментариев
Раскрывать всегда