Что такое операционная надежность финансовых организаций
Что такое операционная надежность финансовых организаций
(1).jpg "Что такое операционная надежность финансовых организаций. Смотреть фото Что такое операционная надежность финансовых организаций. Смотреть картинку Что такое операционная надежность финансовых организаций. Картинка про Что такое операционная надежность финансовых организаций. Фото Что такое операционная надежность финансовых организаций")
Об актуальных изменениях в КС узнаете, став участником программы, разработанной совместно с АО «Сбербанк-АСТ». Слушателям, успешно освоившим программу выдаются удостоверения установленного образца.
Программа разработана совместно с АО «Сбербанк-АСТ». Слушателям, успешно освоившим программу, выдаются удостоверения установленного образца.
Обзор документа
Указание Банка России от 23 декабря 2020 г. № 5673-У “О требованиях к операционной надежности при совершении финансовых сделок с использованием финансовой платформы” (документ не вступил в силу)
Настоящее Указание на основании части 1 статьи 12 Федерального закона от 20 июля 2020 года N 211-ФЗ «О совершении финансовых сделок с использованием финансовой платформы» (Собрание законодательства Российской Федерации, 2020, N 30, ст. 4737) устанавливает требования к операционной надежности при совершении финансовых сделок с использованием финансовой платформы.
Операторы финансовой платформы, не указанные в абзаце первом настоящего пункта, должны обеспечить пороговый уровень допустимого времени простоя и (или) деградации технологических процессов не более четырех часов подряд.
3. Операторы финансовой платформы должны определить во внутренних документах значения целевых показателей операционной надежности:
допустимого времени простоя и (или) деградации технологических процессов с учетом порогового уровня, установленного в пункте 2 настоящего Указания;
суммарного времени простоя и (или) деградации технологических процессов в течение календарного месяца;
показателя соблюдения режима работы (функционирования) финансовой платформы (времени начала, времени окончания, продолжительности и последовательности процедур, выполняемых на финансовой платформе с целью обеспечения возможности совершения финансовых сделок).
В случаях превышения допустимого времени простоя и (или) деградации технологических процессов, а также отклонения от допустимой доли деградации технологических процессов операторы финансовой платформы должны обеспечить фиксацию:
фактического времени простоя и (или) деградации технологических процессов, исчисляемого по каждому инциденту операционной надежности;
фактической доли деградации технологических процессов в рамках отдельного инцидента операционной надежности.
При определении времени простоя и (или) деградации технологических процессов в расчет не включаются периоды времени проведения плановых технологических операций, связанных с приостановлением (частичным приостановлением) технологических процессов.
4. Определение целевых показателей операционной надежности и обеспечение контроля за их соблюдением реализуется оператором финансовой платформы в рамках системы управления рисками.
Оператор финансовой платформы должен не реже одного раза в год проводить анализ необходимости пересмотра значений целевых показателей операционной надежности.
5. Требования к операционной надежности при совершении финансовых сделок с использованием финансовой платформы включают в себя:
требования к определению целевых показателей и обеспечению контроля за их соблюдением;
требования к операционной надежности в отношении управления изменениями критичной архитектуры;
требования к операционной надежности в отношении выявления, регистрации, реагирования на инциденты операционной надежности и восстановление выполнения технологических процессов и функционирования программно-аппаратных средств после реализации таких инцидентов;
требования к операционной надежности в отношении тестирования операционной надежности технологических процессов;
требования к операционной надежности в отношении обеспечения осведомленности об актуальных информационных угрозах;
5.1. Операторы финансовой платформы в отношении идентификации критичной архитектуры должны обеспечивать организацию учета и мониторинга следующих элементов критичной архитектуры:
технологических процессов, реализуемых непосредственно оператором финансовой платформы;
технологических процессов, реализуемых поставщиками услуг;
технологических участков (этапов) технологических процессов;
программно-аппаратных средств оператора финансовой платформы, задействованных при выполнении каждого технологического процесса;
программно-аппаратных средств поставщиков услуг, задействованных при выполнении технологических процессов;
каналов передачи информации, обрабатываемой и передаваемой в рамках технологических процессов участниками технологического процесса при взаимодействии с работниками оператора финансовой платформы.
5.2. Операторы финансовой платформы должны обеспечивать выполнение следующих требований к операционной надежности в отношении управления изменениями критичной архитектуры:
предотвращение возникновения уязвимостей в критичной архитектуре, с использованием которых могут реализоваться информационные угрозы, и которые могут повлечь превышение (отклонение от) значений целевых показателей операционной надежности;
планирование и внедрение изменений в критичной архитектуре, направленных на обеспечение бесперебойного функционирования программно-аппаратных средств;
управление конфигурациями программно-аппаратных средств;
управление уязвимостями и обновлениями (исправлениями) программно-аппаратных средств.
5.3. Операторы финансовой платформы должны обеспечивать выполнение следующих требований к операционной надежности в отношении выявления, регистрации, реагирования на инциденты операционной надежности и восстановление выполнения технологических процессов и функционирования программно-аппаратных средств после реализации таких инцидентов:
выявление и регистрацию инцидентов операционной надежности, в том числе обнаружение компьютерных атак и фактов воздействия вредоносного кода на программно-аппаратные средства;
реагирование на инциденты операционной надежности в отношении критичной архитектуры;
восстановление функционирования технологических процессов и программно-аппаратных средств после реализации инцидентов операционной надежности;
проведение анализа причин и последствий реализации инцидентов операционной надежности;
организацию взаимодействия между подразделениями оператора финансовой платформы, а также между оператором финансовой платформы и Банком России, иными участниками технологического процесса в рамках реагирования на инциденты операционной надежности и восстановления выполнения технологических процессов и функционирования программно-аппаратных средств после реализации инцидентов операционной надежности.
5.4. Операторы финансовой платформы должны обеспечивать выполнение следующих требований к операционной надежности в отношении взаимодействия с поставщиками услуг:
управление риском реализации информационных угроз при привлечении поставщиков услуг, в том числе защиту программно-аппаратных средств от возможной реализации информационных угроз, включая компьютерные атаки, со стороны поставщиков услуг;
управление риском технологической зависимости функционирования программно-аппаратных средств оператора финансовой платформы от поставщиков услуг;
предотвращение возможной реализации информационных угроз при сопровождении и техническом обслуживании программно-аппаратных средств оператора финансовой платформы поставщиками услуг.
5.5. Операторы финансовой платформы в отношении тестирования операционной надежности технологических процессов должны принимать организационные и технические меры, направленные на разработку сценарного анализа и проведение с использованием сценарного анализа тестирования готовности оператора финансовой платформы противостоять реализации информационных угроз в отношении критичной архитектуры.
5.6. Операторы финансовой платформы в отношении управления риском внутреннего нарушителя должны принимать организационные и технические меры в отношении субъектов доступа, являющихся работниками финансовой организации и работниками поставщиков услуг, привлекаемых в рамках выполнения технологических процессов, направленные на управление риском реализации информационных угроз, обусловленным возможностью несанкционированного использования предоставленных указанным субъектам доступа полномочий.
5.7. Операторы финансовой платформы должны обеспечивать выполнение следующих требований к операционной надежности в отношении обеспечения осведомленности об актуальных информационных угрозах:
организацию взаимодействия оператора финансовой платформы и иных участников технологического процесса при обмене информацией об актуальных сценариях реализации информационных угроз;
использование информации об актуальных сценариях реализации информационных угроз для цели обеспечения бесперебойного функционирования программно-аппаратных средств.
6. Оператор финансовой платформы должен обеспечить управление риском возникновения зависимости обеспечения операционной надежности от субъектов доступа, обладающих уникальными знаниями, опытом и компетенцией, а также защиту критичной архитектуры от возможной реализации информационных угроз при организации дистанционной работы работников.
7. Оператор финансовой платформы устанавливает в документах, определяющих правила управления рисками, связанными с деятельностью оператора финансовой платформы, описание процедур, направленных на реализацию требований к операционной надежности, установленных настоящим Указанием, включая:
определение и описание состава процедур, направленных на выполнение требований к операционной надежности;
определение организационной структуры оператора финансовой платформы, задействованной в выполнении требований к операционной надежности, в том числе обеспечивающее установление функций подразделений оператора финансовой платформы (в том числе в части принятия решений с учетом исключения конфликта интересов) и контроль за выполнением требований к операционной надежности в рамках порядка организации и осуществления оператором финансовой платформы внутреннего контроля;
выделение ресурсного обеспечения для выполнения требований к операционной надежности;
порядок утверждения и условия пересмотра процедур, направленных на выполнение требований к операционной надежности.
Оператор финансовой платформы обеспечивает планирование и реализацию требований к операционной надежности начиная с разработки и планирования внедрения технологических процессов.
8. В целях реализации требований к операционной надежности оператор финансовой платформы:
моделирует информационные угрозы в отношении критичной архитектуры;
планирует применение организационных и технических мер, направленных на реализацию требований к операционной надежности, на основе результатов оценки риска реализации информационных угроз в рамках системы управления рисками;
обеспечивает реализацию требований к операционной надежности на стадиях создания, эксплуатации (использования по назначению, технического обслуживания и ремонта), модернизации, снятия с эксплуатации программно-аппаратных средств;
обеспечивает контроль соблюдения требований к операционной надежности в отношении элементов критичной архитектуры.
Операторы финансовой платформы должны устанавливать во внутренних документах порядок регистрации инцидентов операционной надежности. По каждому инциденту операционной надежности операторы финансовой платформы должны обеспечивать регистрацию:
данных, используемых для фиксации превышения (отклонения от) значений установленных целевых показателей операционной надежности;
данных, позволяющих выявить причину превышения (отклонения от) значений установленных целевых показателей операционной надежности;
результата реагирования на инцидент операционной надежности.
9. Операторы финансовой платформы должны информировать Банк России:
о планируемых мероприятиях, включая выпуск пресс-релизов и проведение пресс-конференций, размещение информации на официальных сайтах в сети «Интернет», в отношении инцидентов операционной надежности не позднее одного рабочего дня до дня проведения мероприятия.
Операторы финансовой платформы должны предоставлять в Банк России указанные сведения с использованием технической инфраструктуры (автоматизированной системы) Банка России. В случае возникновения технической невозможности взаимодействия операторов финансовой платформы с Банком России с использованием технической инфраструктуры (автоматизированной системы) Банка России операторы финансовой платформы должны предоставлять в Банк России сведения с использованием резервного способа взаимодействия. Информация о технической инфраструктуре (автоматизированной системе) Банка России, резервном способе взаимодействия, форме и сроках направления сведений размещается на официальном сайте Банка России в сети «Интернет».
10. Настоящее Указание подлежит официальному опубликованию и в соответствии с решением Совета директоров Банка России (протокол заседания Совета директоров Банка России от 18 декабря 2020 года N ПСД-30) вступает в силу с 1 октября 2021 года.
| Председатель Центрального банка Российской Федерации | Э.С. Набиуллина |
Зарегистрировано в Минюсте РФ 3 февраля 2021 г.
Обзор документа
Банк России определил требования к операционной надежности при совершении финансовых сделок с использованием финансовой платформы.
Указание вступает в силу с 1 октября 2021 г.
Что такое операционная надежность финансовых организаций
Об актуальных изменениях в КС узнаете, став участником программы, разработанной совместно с АО «Сбербанк-АСТ». Слушателям, успешно освоившим программу выдаются удостоверения установленного образца.
Программа разработана совместно с АО «Сбербанк-АСТ». Слушателям, успешно освоившим программу, выдаются удостоверения установленного образца.
Обзор документа
Проект Положения Банка России “Об установлении требований к операционной надежности при совершении финансовых сделок с использованием финансовой платформы” (по состоянию на 23.11.2020)
3. Операторы финансовой платформы должны определить следующие целевые показатели операционной надежности:
допустимое время простоя и (или) деградации технологических процессов с учетом порогового уровня, установленного в пункте 2 настоящего Положения;
режим работы (функционирования) финансовой платформы (например, 24/7/365).
Операторы финансовой платформы должны обеспечивать контроль за значениями следующих фактических показателей операционной надежности:
фактическое время простоя и (или) деградации технологических процессов в рамках отдельного инцидента, связанного с реализацией информационных угроз, свыше допустимого времени простоя и (или) деградации технологических процессов;
фактическое количество случаев превышения допустимого времени простоя и (или) деградации технологических процессов;
фактическую долю деградации технологических процессов в рамках отдельного инцидента, связанного с реализацией информационных угроз;
фактический режим работы (функционирования) финансовой платформы.
4. Определение целевых показателей и обеспечение контроля за значениями фактических показателей операционной надежности реализуется оператором финансовой платформы в рамках системы управления рисками.
Оператор финансовой платформы должен проводить регулярный (не реже одного раза в год) анализ необходимости пересмотра показателей операционной надежности.
управление изменениями критичной архитектуры;
управление конфигурациями и уязвимостями объектов информационной инфраструктуры, входящих в состав критичной архитектуры;
выявление, регистрация, реагирование на инциденты, связанные с реализацией информационных угроз, и восстановление выполнения технологических процессов и функционирования объектов информационной инфраструктуры после их реализации;
тестирование операционной надежности технологических процессов;
обеспечение осведомленности об актуальных информационных угрозах.
5.1. Операторы финансовой платформы в рамках идентификации критичной архитектуры должны обеспечивать организацию учета и контроля состава элементов критичной архитектуры.
В состав критичной архитектуры должны включаться следующие элементы:
технологические процессы, реализуемые непосредственно оператором финансовой платформы;
технологические процессы, реализуемые поставщиками услуг;
технологические участки (этапы) технологических процессов;
объекты информационной инфраструктуры оператора финансовой платформы, задействованные при выполнении каждого технологического процесса;
объекты информационной инфраструктуры поставщиков услуг, задействованные при выполнении технологических процессов;
потоки защищаемой информации, обрабатываемой в рамках технологических процессов как работниками оператора финансовой платформы, так причастными сторонами при взаимодействии с работниками оператора финансовой платформы.
5.2. Операторы финансовой платформы в рамках управления изменениями критичной архитектуры должны обеспечивать принятие организационных и технических мер, направленных на:
предотвращение возникновения уязвимостей в критичной архитектуре для реализации информационных угроз и нарушения показателей операционной надежности;
планирование и применение изменений в критичной архитектуре, направленных на обеспечение бесперебойного функционирования объектов информационной инфраструктуры.
5.3. Операторы финансовой платформы в рамках управления конфигурациями и уязвимостями объектов информационной инфраструктуры, входящих в состав критичной архитектуры, должны обеспечивать принятие организационных и технических мер, направленных на:
управление конфигурациями объектов информационной инфраструктуры, входящих в критичную архитектуру;
управление уязвимостями и обновлениями (исправлениями) объектов информационной инфраструктуры, входящих в критичную архитектуру
5.4. Операторы финансовой платформы в рамках выявления, регистрации, реагирования на инциденты, связанные с реализацией информационных угроз, и восстановления выполнения технологических процессов и функционирования объектов информационной инфраструктуры после их реализации должны обеспечивать принятие организационных и технических мер, направленных на:
выявление и регистрацию инцидентов, связанных с реализацией информационных угроз, в том числе обнаружение компьютерных атак и фактов компрометации объектов информационной инфраструктуры, входящих в критичную архитектуру;
организацию, координацию и выполнение действий в рамках реагирования на инциденты, связанные с реализацией информационных угроз в отношении критичной архитектуры;
организацию, координацию и выполнение действий в рамках восстановления выполнения технологических процессов и функционирования объектов информационной инфраструктуры после реализации инцидентов, связанных с реализацией информационных угроз в отношении критичной архитектуры;
организацию и проведение анализа причин и последствий реализации инцидентов, связанных с реализацией информационных угроз в отношении критичной архитектуры;
организацию взаимодействия между подразделениями оператора финансовой платформы, а также оператора финансовой платформы с причастными сторонами, Банком России в рамках реагирования на инциденты, связанные с реализацией информационных угроз, и восстановления выполнения технологических процессов и функционирования объектов информационной инфраструктуры после их реализации.
5.5. Операторы финансовой платформы в рамках взаимодействия с поставщиками услуг должны обеспечивать принятие организационных и технических мер, направленных на:
защиту объектов информационной инфраструктуры, входящих в критичную архитектуру, от возможной реализации информационных угроз, в том числе компьютерных атак, со стороны поставщиков услуг;
управление риском реализации информационных угроз при привлечении поставщиков услуг;
управление риском технологической зависимости функционирования объектов информационной инфраструктуры от поставщиков услуг;
организацию сопровождение и техническое обслуживание объектов информационной инфраструктуры.
5.6. Операторы финансовой платформы в рамках тестирования операционной надежности технологических процессов должны обеспечивать принятие организационных и технических мер, направленных на сценарный анализ и тестирование готовности оператора финансовой платформы противостоять реализации информационных угроз в отношении критичной архитектуры.
5.7. Операторы финансовой платформы в рамках управления риском внутреннего нарушителя должны обеспечивать принятие организационных и технических мер в отношении субъектов доступа, входящих в состав критичной архитектуры, являющихся работниками финансовой организации и работниками поставщиков услуг, привлекаемых в рамках выполнения и технологических процессов. Принимаемые организационные и технические меры должны обеспечить управление риском реализации информационных угроз, обусловленного возможностью неправомерного использования предоставленных субъектам доступа полномочий.
5.8. Операторы финансовой платформы в рамках обеспечения осведомленности об актуальных информационных угрозах должны обеспечивать принятие организационных и технических мер, направленных на:
организацию и выполнение деятельности по получению от Банка России и направлению в Банк России информации об актуальных сценариях реализации информационных угроз с использованием технической инфраструктуры (автоматизированной системы) Банка России;
использование информации об актуальных сценариях реализации информационных угроз для цели обеспечения бесперебойного функционирования объектов информационной инфраструктуры, входящих в состав критичной архитектуры.
6. Оператор финансовой платформы в дополнение к выполнению указанных в пункте 5 требований к операционной надежности в рамках процессов операционной надежности должен обеспечить управление риском возникновения зависимости обеспечения операционной надежности от субъектов доступа, обладающих уникальными знаниями, опытом и компетенцией, а также защиту критичной архитектуры от возможной реализации информационных угроз при организации удаленной работы сотрудников.
7. Оператор финансовой платформы в рамках реализуемой им системы управления рисками определяет в документах, регламентирующих процедуры управления рисками, описание состава деятельности по организации применения процессов операционной надежности, включая:
определение и описание состава процессов операционной надежности, а также целевого уровня зрелости (меры оценки полноты, адекватности и эффективности выполнения процессов операционной надежности) таких процессов;
определение организационных и технических мер, применяемых в рамках процессов операционной надежности, а также области применения таких процессов в отношении критичной архитектуры;
определение организационной структуры оператора финансовой платформы, задействованной в реализации процессов операционной надежности, в том числе обеспечивающей контроль за реализацией процессов операционной надежности со стороны исполнительного органа оператора финансовой платформы;
выделение ресурсного обеспечения для реализации процессов операционной надежности;
порядок утверждения и условия пересмотра состава деятельности по организации применения процессов операционной надежности.
Оператор финансовой платформы обеспечивает планирование и реализацию процессов операционной надежности начиная с этапа разработки и планирования внедрения технологических процессов.
Оператор финансовой платформы обеспечивает установление функций подразделений-владельцев и подразделений-участников, ролей и обязанностей среди лиц (в том числе в части принятия решений с учетом исключения конфликта интересов), в компетенцию которых входит реализация процессов операционной надежности, с учетом утвержденного состава деятельности по организации применения.
Для цели реализации процессов операционной надежности оператор финансовой платформы обеспечивает функционирование постоянно действующего комитета (группы) для реализации механизма взаимодействия и координации подразделений-владельцев и подразделений-участников, а также причастных сторон.
8. Для цели реализации требований к процессам операционной надежности оператор финансовой платформы:
моделирует информационные угрозы в отношении критичной архитектуры;
планирует применение организационных и технических мер, направленных на реализацию требований к процессам операционной надежности, в том числе на основе результатов оценки риска реализации информационных угроз в рамках системы управления рисками;
обеспечивает реализацию, контроль и совершенствование применения организационных и технических мер, направленных на реализацию требований к процессам операционной надежности;
обеспечивает применение процессов операционной надежности на этапах жизненного цикла объектов информационной инфраструктуры;
обеспечивает соответствие полноты и качества процессов операционной надежности целевому уровню зрелости, установленному в рамках состава деятельности по организации применения процессов операционной надежности;
определяет и обеспечивает контроль требований к обеспечению операционной надежности в рамках взаимодействия с причастными сторонами.
Операторы финансовой платформы устанавливают во внутренних документах порядок регистрации инцидентов операционной надежности. Сведения об инцидентах операционной надежности направляются в службу управления рисками в целях включения их в базу событий операционного риска в порядке, установленном внутренними документами оператора финансовой платформы.
Операторы финансовой платформы должны обеспечивать регистрацию инцидентов операционной надежности.
По каждому инциденту операционной надежности операторы финансовой платформы должны обеспечивать регистрацию:
даты, времени, длительности нарушения бесперебойного функционирования объектов информационной инфраструктуры;
данных, позволяющих выявить причину нарушения бесперебойного функционирования объектов информационной инфраструктуры;
результата реагирования на инцидент операционной надежности.
10. Операторы финансовой платформы должны информировать Банк России:
о выявленных самостоятельно или Банком России инцидентах операционной надежности, включенных в перечень типов инцидентов, а также о принятых мерах и проведенных мероприятиях по реагированию на выявленный оператором финансовой платформы или Банком России инцидент операционной надежности;
о планируемых мероприятиях, включая выпуск пресс-релизов и проведение пресс-конференций, размещение информации на официальных сайтах в сети «Интернет», в отношении инцидентов операционной надежности не позднее одного рабочего дня до дня проведения мероприятия.
Операторы финансовой платформы должны предоставлять в Банк России сведения с использованием технической инфраструктуры (автоматизированной системы) Банка России. В случае возникновения технической невозможности взаимодействия операторов финансовой платформы с Банком России с использованием технической инфраструктуры (автоматизированной системы) Банка России операторы финансовой платформы должны предоставлять в Банк России сведения с использованием резервного способа взаимодействия. Информация о технической инфраструктуре (автоматизированной системе) Банка России, резервном способе взаимодействия, форме и сроках направления сведений размещается на официальном сайте Банка России в сети «Интернет».
11. Настоящее Положение в соответствии с решением Совета директоров Банка России (протокол заседания Совета директоров Банка России от ______ 2020 года N __) вступает в силу по истечении 360 дней после дня его официального опубликования.
| Председатель Центрального банка Российской Федерации |
Банк России разработал проект Положения для установления требований к операционной надежности при совершении финансовых сделок с использованием финансовой платформы.
Проект разработан на основе имеющего международного опыта. Так, ведущие международные организации, определяющие стандарты в области финансовой деятельности, такие как Комитет по платежам и рыночным инфраструктурам, Международная организация комиссий по ценным бумагам, Базельский комитет по банковскому надзору Банка международных расчетов и др., сформировали пакет международных документов, направленных на обеспечение операционной надежности (киберустойчивости) финансовых организаций. В проекте содержатся положения, аналогичные следующим документам указанных международных организаций: Guidance on cyber resilience for financial market infrastructures, Committee on Payments and Market Infrastructures, Board of the International Organization of Securities Commissions; BIS Working Papers No 840. Operational and cyber risks in the financial sector, Bank for International Settlements; Operational Resilience Principles: Consultative document, Note from the Operational Resilience Group, Basel Committee on Banking Supervision, Bank for International Settlements.
Проект Положения устанавливает:
требования по определению и обеспечению контроля значений показателей операционной надежности (допустимого времени простоя и (или) деградации технологических процессов, допустимого времени простоя и (или) деградации в рамках отдельного инцидента, доли деградации в рамках отдельного инцидента, установленного режима осуществления финансовых сделок с использованием финансовой платформы и др.);
требования в рамках процессов обеспечения операционной надежности (идентификация критичной архитектуры, управление изменениями, управление конфигурациями и уязвимостями, выявление, регистрация, реагирование на инциденты, связанные с реализацией информационных угроз, и восстановление после их реализации, взаимодействие с поставщиками услуг, планирование непрерывности деятельности и тестирование операционной надежности технологических процессов, управление риском внутреннего нарушителя, обеспечение ситуационной осведомленности об актуальных информационных угрозах);
требования к описанию деятельности в целях реализации процессов обеспечения операционной надежности;
требования к информированию Банка России о выявленных инцидентах операционной надежности.
Обзор документа
Банк России планирует установить требования к операционной надежности финансовых сделок с использованием финансовой платформы. Они будут применяться операторами для обеспечения бесперебойного функционирования объектов информационной инфраструктуры в случаях возникновения нестандартных ситуаций.