Что такое операционная надежность финансовых организаций
(1).jpg)
Об актуальных изменениях в КС узнаете, став участником программы, разработанной совместно с АО «Сбербанк-АСТ». Слушателям, успешно освоившим программу выдаются удостоверения установленного образца.
Программа разработана совместно с АО «Сбербанк-АСТ». Слушателям, успешно освоившим программу, выдаются удостоверения установленного образца.
Обзор документа
Указание Банка России от 23 декабря 2020 г. № 5673-У “О требованиях к операционной надежности при совершении финансовых сделок с использованием финансовой платформы” (документ не вступил в силу)
Настоящее Указание на основании части 1 статьи 12 Федерального закона от 20 июля 2020 года N 211-ФЗ «О совершении финансовых сделок с использованием финансовой платформы» (Собрание законодательства Российской Федерации, 2020, N 30, ст. 4737) устанавливает требования к операционной надежности при совершении финансовых сделок с использованием финансовой платформы.
Операторы финансовой платформы, не указанные в абзаце первом настоящего пункта, должны обеспечить пороговый уровень допустимого времени простоя и (или) деградации технологических процессов не более четырех часов подряд.
3. Операторы финансовой платформы должны определить во внутренних документах значения целевых показателей операционной надежности:
допустимого времени простоя и (или) деградации технологических процессов с учетом порогового уровня, установленного в пункте 2 настоящего Указания;
суммарного времени простоя и (или) деградации технологических процессов в течение календарного месяца;
показателя соблюдения режима работы (функционирования) финансовой платформы (времени начала, времени окончания, продолжительности и последовательности процедур, выполняемых на финансовой платформе с целью обеспечения возможности совершения финансовых сделок).
В случаях превышения допустимого времени простоя и (или) деградации технологических процессов, а также отклонения от допустимой доли деградации технологических процессов операторы финансовой платформы должны обеспечить фиксацию:
фактического времени простоя и (или) деградации технологических процессов, исчисляемого по каждому инциденту операционной надежности;
фактической доли деградации технологических процессов в рамках отдельного инцидента операционной надежности.
При определении времени простоя и (или) деградации технологических процессов в расчет не включаются периоды времени проведения плановых технологических операций, связанных с приостановлением (частичным приостановлением) технологических процессов.
4. Определение целевых показателей операционной надежности и обеспечение контроля за их соблюдением реализуется оператором финансовой платформы в рамках системы управления рисками.
Оператор финансовой платформы должен не реже одного раза в год проводить анализ необходимости пересмотра значений целевых показателей операционной надежности.
5. Требования к операционной надежности при совершении финансовых сделок с использованием финансовой платформы включают в себя:
требования к определению целевых показателей и обеспечению контроля за их соблюдением;
требования к операционной надежности в отношении управления изменениями критичной архитектуры;
требования к операционной надежности в отношении выявления, регистрации, реагирования на инциденты операционной надежности и восстановление выполнения технологических процессов и функционирования программно-аппаратных средств после реализации таких инцидентов;
требования к операционной надежности в отношении тестирования операционной надежности технологических процессов;
требования к операционной надежности в отношении обеспечения осведомленности об актуальных информационных угрозах;
5.1. Операторы финансовой платформы в отношении идентификации критичной архитектуры должны обеспечивать организацию учета и мониторинга следующих элементов критичной архитектуры:
технологических процессов, реализуемых непосредственно оператором финансовой платформы;
технологических процессов, реализуемых поставщиками услуг;
технологических участков (этапов) технологических процессов;
программно-аппаратных средств оператора финансовой платформы, задействованных при выполнении каждого технологического процесса;
программно-аппаратных средств поставщиков услуг, задействованных при выполнении технологических процессов;
каналов передачи информации, обрабатываемой и передаваемой в рамках технологических процессов участниками технологического процесса при взаимодействии с работниками оператора финансовой платформы.
5.2. Операторы финансовой платформы должны обеспечивать выполнение следующих требований к операционной надежности в отношении управления изменениями критичной архитектуры:
предотвращение возникновения уязвимостей в критичной архитектуре, с использованием которых могут реализоваться информационные угрозы, и которые могут повлечь превышение (отклонение от) значений целевых показателей операционной надежности;
планирование и внедрение изменений в критичной архитектуре, направленных на обеспечение бесперебойного функционирования программно-аппаратных средств;
управление конфигурациями программно-аппаратных средств;
управление уязвимостями и обновлениями (исправлениями) программно-аппаратных средств.
5.3. Операторы финансовой платформы должны обеспечивать выполнение следующих требований к операционной надежности в отношении выявления, регистрации, реагирования на инциденты операционной надежности и восстановление выполнения технологических процессов и функционирования программно-аппаратных средств после реализации таких инцидентов:
выявление и регистрацию инцидентов операционной надежности, в том числе обнаружение компьютерных атак и фактов воздействия вредоносного кода на программно-аппаратные средства;
реагирование на инциденты операционной надежности в отношении критичной архитектуры;
восстановление функционирования технологических процессов и программно-аппаратных средств после реализации инцидентов операционной надежности;
проведение анализа причин и последствий реализации инцидентов операционной надежности;
организацию взаимодействия между подразделениями оператора финансовой платформы, а также между оператором финансовой платформы и Банком России, иными участниками технологического процесса в рамках реагирования на инциденты операционной надежности и восстановления выполнения технологических процессов и функционирования программно-аппаратных средств после реализации инцидентов операционной надежности.
5.4. Операторы финансовой платформы должны обеспечивать выполнение следующих требований к операционной надежности в отношении взаимодействия с поставщиками услуг:
управление риском реализации информационных угроз при привлечении поставщиков услуг, в том числе защиту программно-аппаратных средств от возможной реализации информационных угроз, включая компьютерные атаки, со стороны поставщиков услуг;
управление риском технологической зависимости функционирования программно-аппаратных средств оператора финансовой платформы от поставщиков услуг;
предотвращение возможной реализации информационных угроз при сопровождении и техническом обслуживании программно-аппаратных средств оператора финансовой платформы поставщиками услуг.
5.5. Операторы финансовой платформы в отношении тестирования операционной надежности технологических процессов должны принимать организационные и технические меры, направленные на разработку сценарного анализа и проведение с использованием сценарного анализа тестирования готовности оператора финансовой платформы противостоять реализации информационных угроз в отношении критичной архитектуры.
5.6. Операторы финансовой платформы в отношении управления риском внутреннего нарушителя должны принимать организационные и технические меры в отношении субъектов доступа, являющихся работниками финансовой организации и работниками поставщиков услуг, привлекаемых в рамках выполнения технологических процессов, направленные на управление риском реализации информационных угроз, обусловленным возможностью несанкционированного использования предоставленных указанным субъектам доступа полномочий.
5.7. Операторы финансовой платформы должны обеспечивать выполнение следующих требований к операционной надежности в отношении обеспечения осведомленности об актуальных информационных угрозах:
организацию взаимодействия оператора финансовой платформы и иных участников технологического процесса при обмене информацией об актуальных сценариях реализации информационных угроз;
использование информации об актуальных сценариях реализации информационных угроз для цели обеспечения бесперебойного функционирования программно-аппаратных средств.
6. Оператор финансовой платформы должен обеспечить управление риском возникновения зависимости обеспечения операционной надежности от субъектов доступа, обладающих уникальными знаниями, опытом и компетенцией, а также защиту критичной архитектуры от возможной реализации информационных угроз при организации дистанционной работы работников.
7. Оператор финансовой платформы устанавливает в документах, определяющих правила управления рисками, связанными с деятельностью оператора финансовой платформы, описание процедур, направленных на реализацию требований к операционной надежности, установленных настоящим Указанием, включая:
определение и описание состава процедур, направленных на выполнение требований к операционной надежности;
определение организационной структуры оператора финансовой платформы, задействованной в выполнении требований к операционной надежности, в том числе обеспечивающее установление функций подразделений оператора финансовой платформы (в том числе в части принятия решений с учетом исключения конфликта интересов) и контроль за выполнением требований к операционной надежности в рамках порядка организации и осуществления оператором финансовой платформы внутреннего контроля;
выделение ресурсного обеспечения для выполнения требований к операционной надежности;
порядок утверждения и условия пересмотра процедур, направленных на выполнение требований к операционной надежности.
Оператор финансовой платформы обеспечивает планирование и реализацию требований к операционной надежности начиная с разработки и планирования внедрения технологических процессов.
8. В целях реализации требований к операционной надежности оператор финансовой платформы:
моделирует информационные угрозы в отношении критичной архитектуры;
планирует применение организационных и технических мер, направленных на реализацию требований к операционной надежности, на основе результатов оценки риска реализации информационных угроз в рамках системы управления рисками;
обеспечивает реализацию требований к операционной надежности на стадиях создания, эксплуатации (использования по назначению, технического обслуживания и ремонта), модернизации, снятия с эксплуатации программно-аппаратных средств;
обеспечивает контроль соблюдения требований к операционной надежности в отношении элементов критичной архитектуры.
Операторы финансовой платформы должны устанавливать во внутренних документах порядок регистрации инцидентов операционной надежности. По каждому инциденту операционной надежности операторы финансовой платформы должны обеспечивать регистрацию:
данных, используемых для фиксации превышения (отклонения от) значений установленных целевых показателей операционной надежности;
данных, позволяющих выявить причину превышения (отклонения от) значений установленных целевых показателей операционной надежности;
результата реагирования на инцидент операционной надежности.
9. Операторы финансовой платформы должны информировать Банк России:
о планируемых мероприятиях, включая выпуск пресс-релизов и проведение пресс-конференций, размещение информации на официальных сайтах в сети «Интернет», в отношении инцидентов операционной надежности не позднее одного рабочего дня до дня проведения мероприятия.
Операторы финансовой платформы должны предоставлять в Банк России указанные сведения с использованием технической инфраструктуры (автоматизированной системы) Банка России. В случае возникновения технической невозможности взаимодействия операторов финансовой платформы с Банком России с использованием технической инфраструктуры (автоматизированной системы) Банка России операторы финансовой платформы должны предоставлять в Банк России сведения с использованием резервного способа взаимодействия. Информация о технической инфраструктуре (автоматизированной системе) Банка России, резервном способе взаимодействия, форме и сроках направления сведений размещается на официальном сайте Банка России в сети «Интернет».
10. Настоящее Указание подлежит официальному опубликованию и в соответствии с решением Совета директоров Банка России (протокол заседания Совета директоров Банка России от 18 декабря 2020 года N ПСД-30) вступает в силу с 1 октября 2021 года.
| Председатель Центрального банка Российской Федерации | Э.С. Набиуллина |
Зарегистрировано в Минюсте РФ 3 февраля 2021 г.
Обзор документа
Банк России определил требования к операционной надежности при совершении финансовых сделок с использованием финансовой платформы.
Указание вступает в силу с 1 октября 2021 г.
Что такое операционная надежность финансовых организаций
Об актуальных изменениях в КС узнаете, став участником программы, разработанной совместно с АО «Сбербанк-АСТ». Слушателям, успешно освоившим программу выдаются удостоверения установленного образца.
Программа разработана совместно с АО «Сбербанк-АСТ». Слушателям, успешно освоившим программу, выдаются удостоверения установленного образца.
Обзор документа
Проект Положения Банка России “Об установлении требований к операционной надежности при совершении финансовых сделок с использованием финансовой платформы” (по состоянию на 23.11.2020)
3. Операторы финансовой платформы должны определить следующие целевые показатели операционной надежности:
допустимое время простоя и (или) деградации технологических процессов с учетом порогового уровня, установленного в пункте 2 настоящего Положения;
режим работы (функционирования) финансовой платформы (например, 24/7/365).
Операторы финансовой платформы должны обеспечивать контроль за значениями следующих фактических показателей операционной надежности:
фактическое время простоя и (или) деградации технологических процессов в рамках отдельного инцидента, связанного с реализацией информационных угроз, свыше допустимого времени простоя и (или) деградации технологических процессов;
фактическое количество случаев превышения допустимого времени простоя и (или) деградации технологических процессов;
фактическую долю деградации технологических процессов в рамках отдельного инцидента, связанного с реализацией информационных угроз;
фактический режим работы (функционирования) финансовой платформы.
4. Определение целевых показателей и обеспечение контроля за значениями фактических показателей операционной надежности реализуется оператором финансовой платформы в рамках системы управления рисками.
Оператор финансовой платформы должен проводить регулярный (не реже одного раза в год) анализ необходимости пересмотра показателей операционной надежности.
управление изменениями критичной архитектуры;
управление конфигурациями и уязвимостями объектов информационной инфраструктуры, входящих в состав критичной архитектуры;
выявление, регистрация, реагирование на инциденты, связанные с реализацией информационных угроз, и восстановление выполнения технологических процессов и функционирования объектов информационной инфраструктуры после их реализации;
тестирование операционной надежности технологических процессов;
обеспечение осведомленности об актуальных информационных угрозах.
5.1. Операторы финансовой платформы в рамках идентификации критичной архитектуры должны обеспечивать организацию учета и контроля состава элементов критичной архитектуры.
В состав критичной архитектуры должны включаться следующие элементы:
технологические процессы, реализуемые непосредственно оператором финансовой платформы;
технологические процессы, реализуемые поставщиками услуг;
технологические участки (этапы) технологических процессов;
объекты информационной инфраструктуры оператора финансовой платформы, задействованные при выполнении каждого технологического процесса;
объекты информационной инфраструктуры поставщиков услуг, задействованные при выполнении технологических процессов;
потоки защищаемой информации, обрабатываемой в рамках технологических процессов как работниками оператора финансовой платформы, так причастными сторонами при взаимодействии с работниками оператора финансовой платформы.
5.2. Операторы финансовой платформы в рамках управления изменениями критичной архитектуры должны обеспечивать принятие организационных и технических мер, направленных на:
предотвращение возникновения уязвимостей в критичной архитектуре для реализации информационных угроз и нарушения показателей операционной надежности;
планирование и применение изменений в критичной архитектуре, направленных на обеспечение бесперебойного функционирования объектов информационной инфраструктуры.
5.3. Операторы финансовой платформы в рамках управления конфигурациями и уязвимостями объектов информационной инфраструктуры, входящих в состав критичной архитектуры, должны обеспечивать принятие организационных и технических мер, направленных на:
управление конфигурациями объектов информационной инфраструктуры, входящих в критичную архитектуру;
управление уязвимостями и обновлениями (исправлениями) объектов информационной инфраструктуры, входящих в критичную архитектуру
5.4. Операторы финансовой платформы в рамках выявления, регистрации, реагирования на инциденты, связанные с реализацией информационных угроз, и восстановления выполнения технологических процессов и функционирования объектов информационной инфраструктуры после их реализации должны обеспечивать принятие организационных и технических мер, направленных на:
выявление и регистрацию инцидентов, связанных с реализацией информационных угроз, в том числе обнаружение компьютерных атак и фактов компрометации объектов информационной инфраструктуры, входящих в критичную архитектуру;
организацию, координацию и выполнение действий в рамках реагирования на инциденты, связанные с реализацией информационных угроз в отношении критичной архитектуры;
организацию, координацию и выполнение действий в рамках восстановления выполнения технологических процессов и функционирования объектов информационной инфраструктуры после реализации инцидентов, связанных с реализацией информационных угроз в отношении критичной архитектуры;
организацию и проведение анализа причин и последствий реализации инцидентов, связанных с реализацией информационных угроз в отношении критичной архитектуры;
организацию взаимодействия между подразделениями оператора финансовой платформы, а также оператора финансовой платформы с причастными сторонами, Банком России в рамках реагирования на инциденты, связанные с реализацией информационных угроз, и восстановления выполнения технологических процессов и функционирования объектов информационной инфраструктуры после их реализации.
5.5. Операторы финансовой платформы в рамках взаимодействия с поставщиками услуг должны обеспечивать принятие организационных и технических мер, направленных на:
защиту объектов информационной инфраструктуры, входящих в критичную архитектуру, от возможной реализации информационных угроз, в том числе компьютерных атак, со стороны поставщиков услуг;
управление риском реализации информационных угроз при привлечении поставщиков услуг;
управление риском технологической зависимости функционирования объектов информационной инфраструктуры от поставщиков услуг;
организацию сопровождение и техническое обслуживание объектов информационной инфраструктуры.
5.6. Операторы финансовой платформы в рамках тестирования операционной надежности технологических процессов должны обеспечивать принятие организационных и технических мер, направленных на сценарный анализ и тестирование готовности оператора финансовой платформы противостоять реализации информационных угроз в отношении критичной архитектуры.
5.7. Операторы финансовой платформы в рамках управления риском внутреннего нарушителя должны обеспечивать принятие организационных и технических мер в отношении субъектов доступа, входящих в состав критичной архитектуры, являющихся работниками финансовой организации и работниками поставщиков услуг, привлекаемых в рамках выполнения и технологических процессов. Принимаемые организационные и технические меры должны обеспечить управление риском реализации информационных угроз, обусловленного возможностью неправомерного использования предоставленных субъектам доступа полномочий.
5.8. Операторы финансовой платформы в рамках обеспечения осведомленности об актуальных информационных угрозах должны обеспечивать принятие организационных и технических мер, направленных на:
организацию и выполнение деятельности по получению от Банка России и направлению в Банк России информации об актуальных сценариях реализации информационных угроз с использованием технической инфраструктуры (автоматизированной системы) Банка России;
использование информации об актуальных сценариях реализации информационных угроз для цели обеспечения бесперебойного функционирования объектов информационной инфраструктуры, входящих в состав критичной архитектуры.
6. Оператор финансовой платформы в дополнение к выполнению указанных в пункте 5 требований к операционной надежности в рамках процессов операционной надежности должен обеспечить управление риском возникновения зависимости обеспечения операционной надежности от субъектов доступа, обладающих уникальными знаниями, опытом и компетенцией, а также защиту критичной архитектуры от возможной реализации информационных угроз при организации удаленной работы сотрудников.
7. Оператор финансовой платформы в рамках реализуемой им системы управления рисками определяет в документах, регламентирующих процедуры управления рисками, описание состава деятельности по организации применения процессов операционной надежности, включая:
определение и описание состава процессов операционной надежности, а также целевого уровня зрелости (меры оценки полноты, адекватности и эффективности выполнения процессов операционной надежности) таких процессов;
определение организационных и технических мер, применяемых в рамках процессов операционной надежности, а также области применения таких процессов в отношении критичной архитектуры;
определение организационной структуры оператора финансовой платформы, задействованной в реализации процессов операционной надежности, в том числе обеспечивающей контроль за реализацией процессов операционной надежности со стороны исполнительного органа оператора финансовой платформы;
выделение ресурсного обеспечения для реализации процессов операционной надежности;
порядок утверждения и условия пересмотра состава деятельности по организации применения процессов операционной надежности.
Оператор финансовой платформы обеспечивает планирование и реализацию процессов операционной надежности начиная с этапа разработки и планирования внедрения технологических процессов.
Оператор финансовой платформы обеспечивает установление функций подразделений-владельцев и подразделений-участников, ролей и обязанностей среди лиц (в том числе в части принятия решений с учетом исключения конфликта интересов), в компетенцию которых входит реализация процессов операционной надежности, с учетом утвержденного состава деятельности по организации применения.
Для цели реализации процессов операционной надежности оператор финансовой платформы обеспечивает функционирование постоянно действующего комитета (группы) для реализации механизма взаимодействия и координации подразделений-владельцев и подразделений-участников, а также причастных сторон.
8. Для цели реализации требований к процессам операционной надежности оператор финансовой платформы:
моделирует информационные угрозы в отношении критичной архитектуры;
планирует применение организационных и технических мер, направленных на реализацию требований к процессам операционной надежности, в том числе на основе результатов оценки риска реализации информационных угроз в рамках системы управления рисками;
обеспечивает реализацию, контроль и совершенствование применения организационных и технических мер, направленных на реализацию требований к процессам операционной надежности;
обеспечивает применение процессов операционной надежности на этапах жизненного цикла объектов информационной инфраструктуры;
обеспечивает соответствие полноты и качества процессов операционной надежности целевому уровню зрелости, установленному в рамках состава деятельности по организации применения процессов операционной надежности;
определяет и обеспечивает контроль требований к обеспечению операционной надежности в рамках взаимодействия с причастными сторонами.
Операторы финансовой платформы устанавливают во внутренних документах порядок регистрации инцидентов операционной надежности. Сведения об инцидентах операционной надежности направляются в службу управления рисками в целях включения их в базу событий операционного риска в порядке, установленном внутренними документами оператора финансовой платформы.
Операторы финансовой платформы должны обеспечивать регистрацию инцидентов операционной надежности.
По каждому инциденту операционной надежности операторы финансовой платформы должны обеспечивать регистрацию:
даты, времени, длительности нарушения бесперебойного функционирования объектов информационной инфраструктуры;
данных, позволяющих выявить причину нарушения бесперебойного функционирования объектов информационной инфраструктуры;
результата реагирования на инцидент операционной надежности.
10. Операторы финансовой платформы должны информировать Банк России:
о выявленных самостоятельно или Банком России инцидентах операционной надежности, включенных в перечень типов инцидентов, а также о принятых мерах и проведенных мероприятиях по реагированию на выявленный оператором финансовой платформы или Банком России инцидент операционной надежности;
о планируемых мероприятиях, включая выпуск пресс-релизов и проведение пресс-конференций, размещение информации на официальных сайтах в сети «Интернет», в отношении инцидентов операционной надежности не позднее одного рабочего дня до дня проведения мероприятия.
Операторы финансовой платформы должны предоставлять в Банк России сведения с использованием технической инфраструктуры (автоматизированной системы) Банка России. В случае возникновения технической невозможности взаимодействия операторов финансовой платформы с Банком России с использованием технической инфраструктуры (автоматизированной системы) Банка России операторы финансовой платформы должны предоставлять в Банк России сведения с использованием резервного способа взаимодействия. Информация о технической инфраструктуре (автоматизированной системе) Банка России, резервном способе взаимодействия, форме и сроках направления сведений размещается на официальном сайте Банка России в сети «Интернет».
11. Настоящее Положение в соответствии с решением Совета директоров Банка России (протокол заседания Совета директоров Банка России от ______ 2020 года N __) вступает в силу по истечении 360 дней после дня его официального опубликования.
| Председатель Центрального банка Российской Федерации |
Банк России разработал проект Положения для установления требований к операционной надежности при совершении финансовых сделок с использованием финансовой платформы.
Проект разработан на основе имеющего международного опыта. Так, ведущие международные организации, определяющие стандарты в области финансовой деятельности, такие как Комитет по платежам и рыночным инфраструктурам, Международная организация комиссий по ценным бумагам, Базельский комитет по банковскому надзору Банка международных расчетов и др., сформировали пакет международных документов, направленных на обеспечение операционной надежности (киберустойчивости) финансовых организаций. В проекте содержатся положения, аналогичные следующим документам указанных международных организаций: Guidance on cyber resilience for financial market infrastructures, Committee on Payments and Market Infrastructures, Board of the International Organization of Securities Commissions; BIS Working Papers No 840. Operational and cyber risks in the financial sector, Bank for International Settlements; Operational Resilience Principles: Consultative document, Note from the Operational Resilience Group, Basel Committee on Banking Supervision, Bank for International Settlements.
Проект Положения устанавливает:
требования по определению и обеспечению контроля значений показателей операционной надежности (допустимого времени простоя и (или) деградации технологических процессов, допустимого времени простоя и (или) деградации в рамках отдельного инцидента, доли деградации в рамках отдельного инцидента, установленного режима осуществления финансовых сделок с использованием финансовой платформы и др.);
требования в рамках процессов обеспечения операционной надежности (идентификация критичной архитектуры, управление изменениями, управление конфигурациями и уязвимостями, выявление, регистрация, реагирование на инциденты, связанные с реализацией информационных угроз, и восстановление после их реализации, взаимодействие с поставщиками услуг, планирование непрерывности деятельности и тестирование операционной надежности технологических процессов, управление риском внутреннего нарушителя, обеспечение ситуационной осведомленности об актуальных информационных угрозах);
требования к описанию деятельности в целях реализации процессов обеспечения операционной надежности;
требования к информированию Банка России о выявленных инцидентах операционной надежности.
Обзор документа
Банк России планирует установить требования к операционной надежности финансовых сделок с использованием финансовой платформы. Они будут применяться операторами для обеспечения бесперебойного функционирования объектов информационной инфраструктуры в случаях возникновения нестандартных ситуаций.
