Критичная не равно критическая. О новых требованиях Банка России к операционной надёжности

BIS Journal №3(46)/2022

5 августа, 2022

Критичная не равно критическая. О новых требованиях Банка России к операционной надёжности

В конце апреля Банк России опубликовал два новых положения, описывающих требования к операционной надёжности в целях обеспечения непрерывности банковских и финансовых услуг для кредитных организаций — 787-П от 12.01.2022 и для некредитных финансовых организаций — 779-П от 15.11.2021.

Под действие норм попали кредитные и небанковские кредитные организации, НПФ, страховые и брокерские компании, депозитарии, финмаркеты, биржи. Оба документа начинают действовать с 1 октября 2022 года.

 

В СТОРОНУ РИСК-ОРИЕНТИРОВАННОГО ПОДХОДА

Указанные положения тесно взаимосвязаны с 683-П и 757-П в части определения защищаемой информации и технологических участков технологических процессов и с 716-П — в части технологических процессов и требований к управлению риском.

Пока неисполнение указанных положений никаких страшных последствий для финансовых организаций не несёт, разве что в ходе надзора может быть выписано предупреждение. Однако, если проанализировать ряд последних законодательных инициатив ЦБ, то можно заметить, что рынок планомерно движется в сторону риск-ориентированного подхода.

Наиболее вероятен сценарий, при котором в перспективе двух-трёх лет для всех финансовых организаций будет введён риск-профиль, содержащий в себе оценки аудиторов и ЦБ, показатель доли несанкционированных переводов, жалоб клиентов и информацию о компании в СМИ. На его основе будут формироваться требования к размеру резервов, которые организация должна сформировать. Чем выше риск-аппетит, тем их объём будет больше. В этом случае невыполнение требований к операционной надёжности может послужить одной из причин для увеличения размера резервов.

 

НОВОЕ ОПРЕДЕЛЕНИЕ — КРИТИЧНАЯ АРХИТЕКТУРА

Положения 787-П и 779-П вводят новое определение — критичная архитектура (не путать с критической информационной инфраструктурой в терминах 187-ФЗ «О безопасности критической информационной инфраструктуры»), элементы которой должны учитываться и контролироваться финансовой организацией.

И если для критической информационной инфраструктуры достаточно учитывать ПО, оборудование, линии связи и базы данных, то в рамках критичной архитектуры необходимо иметь детальное описание технологических процессов и технологических процессов входящих в них технологических участков. Формулировка получается запутанная, легче объяснить её на примере. В приложении к 787-П есть одиннадцатый технологический процесс — дистанционное банковское обслуживание. Одним из технологических участков этого процесса является учёт совершённых операций. Учёт операции, в свою очередь, тоже состоит из процессов, которые организация должна описать (в какие формы, заносится та или иная информация, куда дублируется, какие контроли проходит и т. д.).

Кроме этого, нужно контролировать людей, не только сотрудников, непосредственно обеспечивающих защиту информации, но и других участников этого процесса, в том числе подрядчиков. И если с уборщицей тётей Машей всё просто: достаточно не пускать её одну в серверную и не разрешать вносить туда ведро с водой, то контроль подрядчиков, имеющих логический доступ к инфраструктуре, часто выполняется формально. Ярким примером такого подхода является взаимодействие со сторонними разработчиками. Контроль кода и ограничение доступа, как правило, выполняют только крупные компании, в то время как в небольшом бизнесе разработчики зачастую получают постоянный, практически бесконтрольный доступ в рабочий контур. Что они там делают, проверяет в лучшем случае система DLP, которая есть только у небольшого процента организаций. Про поставщиков SMS/PUSH-сервисов обычно тоже не задумываются, несмотря на то что те имеют прямой доступ к информации, содержащейся в уведомлениях (информация об операциях, остатке на счёте, одноразовые пароли и т. п.) и контактным данным клиентов.

Схематично критичную архитектуру можно изобразить следующим образом (рисунок).

Рисунок. Схематичное изображение критичной архитектуры

 

Состав объектов информационной инфраструктуры определён в национальном стандарте ГОСТ Р 57580.1-2017 и включает:

  • аппаратное обеспечение;
  • сетевое оборудование;
  • сетевые приложения и сервисы;
  • серверные компоненты виртуализации, программные инфраструктурные сервисы;
  • операционные системы, СУБД, серверы приложений;
  • АС и приложения, реализующие технологический процесс.

Об участниках технологических процессов я уже упоминала выше — это вовлечённые в процесс иные кредитные и некредитные финансовые организации, а также поставщики услуг (провайдеры, хостеры, поставщики услуг технической поддержки, операторы услуг информационного обмена и т. п.).

В область действия положений 787-П и 779-П попадают только каналы связи, по которым осуществляется передача защищаемой информации (сведений, содержащихся в распоряжениях, персональных данных, информации, необходимой для авторизации клиентов и удостоверения их прав, ключевой информации, информации о совершённых операциях). К ним можно отнести каналы связи между сервисами организации и клиентами, кредитной организацией и банками-корреспондентами, Банком России (в рамках его платёжной системы), операторами платёжных систем, удостоверяющим центром, предоставляющим ключи для аутентификации. А вот канал связи, который используется организацией для направления сведений в ФОИВ (например, сведения о работниках в ПФР или сдачи отчётности в налоговую), под действие положений не попадает.

 

Технологических участков для каждого процесса всего пять:

  • идентификация и аутентификация клиентов;
  • подготовка, приём и передача электронных сообщений;
  • удостоверение права клиентов распоряжаться денежными средствами либо активами;
  • осуществление операции и её учёт;
  • хранение электронных сообщений и информации об осуществлённых операциях.

 

НАБОР ДОКУМЕНТОВ

Отмечу, что для каждого технологического процесса требуется не только детальное описание, но и целый набор документов, часть из которых хоть и не заявлены в положениях, но явно вытекают из требований:

  • документ, определяющий целевые показатели операционной надёжности;
  • документ, определяющий методику фиксации, контроля и анализа показателей деградации технологических процессов;
  • порядок учёта и контроля критичной архитектуры;
  • порядок управления критичной архитектурой на всех стадиях жизненного цикла;
  • политика управления рисками информационной безопасности и информационных систем, в том числе при взаимодействии с поставщиками услуг;
  • методика сценарного анализа в части возможной реализации информационных угроз;
  • документы, описывающие организационные и технические меры в отношении работников и подрядчиков, связанные с возможностью злоупотребления предоставленными полномочиями доступа;
  • правила взаимодействия с участниками технологических процессов в части актуализации информации об информационных угрозах;
  • документы, содержащие описание мер, направленных на реализацию требований к операционной надёжности;
  • модель угроз в отношении критичной архитектуры.

 

ДО 1 ОКТЯБРЯ

Таким образом, чтобы полноценно выполнять требования положений 787-П и 779-П, до 1 октября финансовым организациям необходимо:

  • провести инвентаризацию и актуализацию технологических процессов, возможно, скорректировать существующие процедуры учёта и контроля активов;
  • разработать/актуализировать большой объём внутренних нормативных документов, часть требований к которым являются новыми даже для кредитных организаций, которые уже привели свою деятельность в соответствие положению 716-П;
  • назначить ответственных лиц для организации процесса управления риском операционной надёжности, с учётом возможного конфликта интересов;
  • выстроить процессы в соответствии с принятыми документами.

Учитывая приближающийся сезон отпусков, необходимость вовлечения в эти задачи работников практически всех подразделений, а также непростую процедуру согласований в финансовых организациях, лучше не откладывать эти работы в долгий ящик.

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

28.03.2024
Аитов: Ограничения Samsung Pay на использование карт «Мир» можно обойти
28.03.2024
Киберпреступления — 35% всех преступлений в России
27.03.2024
Samsung Pay перестанет дружить с «мировыми» картами
27.03.2024
Канадский университет восстанавливает работу после ИБ-инцидента
27.03.2024
Crypto Summit 2024. Трейдинг, майнинг и перспективы развития рынка ЦФА
27.03.2024
РКН начал работу по контролю за «симками» иностранцев
26.03.2024
Регулятор порекомендовал банкам и МФО списать долги погибших в теракте
26.03.2024
Хакеры не оставляют Канаду в покое
26.03.2024
Binance снова ищет покупателя на свои российские активы
26.03.2024
Безумцы или сознательные соучастники. Кто потворствует кредитным мошенникам

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных