В соответствии с Положением ЦБ РФ 787-П требования по обеспечению операционной надежности (ОН), вступившим в силу с 1 января 2023 года, наряду с банками обязаны теперь соблюдать и некредитные финансовые организации, поясняет Александр Моисеев, ведущий консультант по ИБ AKTIV.CONSULTING (Компания «Актив»).
Регуляторное нововведение действует в отношении целого ряда организаций, среди них: специализированные депозитарии инвестиционных фондов, паевых инвестиционных фондов и негосударственных пенсионных фондов; брокеры, дилеры, управляющие, депозитарии и регистраторы; управляющие компании инвестиционных фондов, паевых инвестиционных фондов и негосударственных пенсионных фондов; форекс-дилеры; операторы финансовой платформы; операторы информационных систем, в которых осуществляется выпуск цифровых финансовых активов; операторы обмена цифровых финансовых активов; страховые организации; общества взаимного страхования; страховые брокеры; страховые агенты.
«Если говорить предельно кратко, то от этих организаций потребуется внедрить в свою деятельность ряд специфических процессов, таких как установление целевых показателей ОН; идентификация элементов критичной архитектуры; управления изменениями критичной архитектуры; выявления, регистрация, реагирование, а также восстановление после инцидентов ОН и иных процессов», — объясняет эксперт.
Также им нужно будет обеспечить соблюдение порогового уровня допустимого времени простоя и (или) деградации технологических процессов, нормативно установленных в приложении к 779-П и выраженных в часах, добавляет он.
Александр Моисеев отмечает, что процессы ОН в финансовых организациях обеспечивает широкий круг специалистов как основных структурных, так и обеспечивающих (в т. ч. ИТ и ИБ) подразделений.
По мнению эксперта, в обеспечении ОН активное участие должен принимать и менеджмент, т. к. многие рассматриваемые аспекты связаны с финансированием, планированием и политикой организации по целому ряду вопросов.
Среди таких вопросов, например, диверсификация поставщиков услуг и сервис-провайдеров, принятие решений о целесообразности использования ИТ-продуктов и сервисов, если их сопровождение (техническая поддержка и выпуск обновлений) прекращено поставщиками. Также без участия менеджмента невозможно утверждение программ импортозамещения, управление санкционными рисками при закупке ИТ-технологий и оборудования, закупка достаточного объема ЗИП (запасные части, инструменты и принадлежности – прим. ред.) к аппаратным средствами другое, объясняет Александр Моисеев.