Как 787-П (716-П) регулирует операционную надежность?
Положение 787-П пришло на смену Положению 716-П год назад, и если сначала вокруг него было много обсуждений, то сейчас все будто бы забыли о его существовании и требованиях, которые необходимо исполнять. Многие компании, как оказалось совсем недавно, по незнанию не соблюдают основных требований, прописанных в Положении, особенно в отношении операционной надежности, и это негативно влияет не только на их деятельность и безопасность, но, что самое страшное, на их клиентов.
Что такое операционная надежность и как она связана с Положением 787-П?
Операционная надежность — это способность организации продолжать работу даже при возникновении каких-либо проблем или непредвиденных ситуаций. Различные факторы могут оказывать внимание на работу, это могут быть какие-либо внутренние ситуации, которые требуют действий, либо внешние факторы, к примеру катаклизмы, которые могут повлиять на работу организации.
Гарантия бесперебойной работы особенно важна для тех компаний, которые производят какие-либо критически важные операции и действия, а также операционная надежность и ее совершенствование помогают не терять прибыль, чтобы не возникало время простоя и товары производились в непрерывном режиме, к примеру, даже если на производство начинает воздействовать какой-либо фактор.
Операционная надежность, таким образом, очень важна для финансовых организаций, от которых зачастую зависят сделки, чей-то бизнес, переводы средств и работа некоторых людей и учреждений, важно гарантировать клиентам не только сохранение их денежных средств, но и беспрепятственных доступ к ним и операциям с ними. Положение 787-П предписывает правила, которые повышают операционную надежность для организаций и делают их более стабильными.
Что такое управление операционной надежностью и из чего оно состоит в Положении 787-П?
Управление операционной надежностью — это построение системы так, чтобы все ее процессы могли работать максимально непрерывно, избегая сбоев из-за внешних или внутренних воздействий.
Важнейшей частью построения такой системы являются требования к составным частям процессов, как раз эти требования и выдвигает Положение 787-П, на которое можно ориентироваться при построении устойчивых к внешним воздействиям функций.
Чтобы контролировать и оценивать эффективность управления операционной надежностью необходимы единицы мер или единицы оценки, именно их и называют системой показателей и пороговых значений. В этой системе используются и описываются все те метрики, с помощью которых можно определить, к примеру, пороговые значения, которые установлены, и если порог будет превышен, то это будет ярким знаком о том, что что-то в системе не так, какая-то ее часть организована неверно и требует к себе особого внимания и пересмотра.
Какие документы ЦБ РФ регулируют операционную надежность?
Центральный Банк России регулирует операционную надежность с помощью двух положений, оба являются относительно новыми. Это:
- Положение №779-П: оно устанавливает требования по операционной надежности для НФО, то есть некредитных финансовых организаций, к ним относятся все те организации, которые выполняют оказание каких-либо финансовых услуг, операций с денежными средствами, но в эту категорию, конечно, не входят банки и банковские услуги соответственно.
- Положение №787-П: этот документ, рассматриваемый в данной статье, устанавливает обязательные требования к операционной надежности для кредитных организаций, осуществляющих банковскую деятельность.
Оба документа содержат в себе все, что было описано ранее: и метрики, и пороговые значения для оценки операционной надежности, и требования, которые организациям необходимо выполнить, в том числе в отдельным процессам и частям системы.
Основные изменения в Положении 787-П и его отличия от Положения 716-П
Многие знают о том, что ранее существовало Положение 716-П, именно оно дало регуляторам перечень тех требований, по которым они могли бы оценивать эффективность организаций в управлении рисками, это Положение подарило нам классификацию рисков и ввело базу данных с ними, однако оно устарело. Мир технологий развивается стремительно, а финансовые организации связаны с ним так тесно, что требования к их безопасности постоянно меняются, в итоге 01.10.2022 появилось Положение 787-П, которое сделало все требования своего предшественника жестче и внесло существенные корректировки.
Давайте подробнее рассмотрим эти изменения:
- Операционная надежность теперь имеет новые требования: Положение 787-П вводит новые требования к операционной надежности, организации должны соблюдать их с учетом требований к управлению операционными рисками, установленных Положением 716-П.
- Особенное выделение критически важных процессов: появились особые требования по организации критически важных процессов, они должны соответствовать системе управления операционным риском.
- Процессы должны быть непрерывны: теперь организациям необходимо уделить особое внимание тому, чтобы критически важные процессы протекали непрерывно, причем даже если возник какой-либо технический сбой или произошла кибератака.
- Время простоя, которое допустимо, и деградации, которая приемлема: организации должны обеспечить гарантию того, что все значения, указанные в Положении 787-П, не будут превышены, это относится к обоим показателям. Все значения можно найти в приложении к документу.
- Управление изменениями: Положение 787-П также вводит требования к управлению изменениями в элементах критичной архитектуры (напоминаем, что критичная архитектура это все те процессы, компьютерные системы и другие категории, из которых состоит работа организации, которые важны для ее работы, то есть те, которые делают работу организации возможной в принципе) и обязывает кредитные организации разрабатывать и обеспечивать выполнение требований к операционной надежности.
Что необходимо делать при возникновении инцидентов согласно Положению 787-П (обновленное Положение 716-П)?
Положение вводит требование к осуществлению управления критически важной архитектурой без воздействия на какие-либо операции, их безопасность или осуществимость в целом, контроль за уязвимостями и повышение безопасности не должны затрагивать ее работоспособность.
Когда возникают проблемы или инциденты, связанные с надежностью операций, кредитные организации должны:
- Зарегистрировать их (сделать запись о произошедшем).
- Принять меры по устранению проблем.
- Восстановить работоспособность процессов и информационной инфраструктуры.
- Анализировать, почему произошли проблемы.
- Сотрудничать с другими отделами внутри организации и, при необходимости, с регуляторами и другими компаниями для решения проблем. При этом вся ответственность за взаимодействие ложится на сами организации, то есть они должны быть уверены в том, что другие компании, с которыми они сотрудничают, не нанесут им вреда, так как сторонний урон все еще является внешним фактором и не избавляет от последствий.
Кредитные организации должны проводить тестирование, чтобы убедиться, что они готовы справиться с возможными проблемами и угрозами для надежности операций. Это включает в себя анализ сценариев и проверку готовности организации к справлению с потенциальными угрозами.
Обсудим?