Приведение в соответствие требованиям

779-П и 787-П ЦБ РФ

С 2022-го года Центральный Банк России продолжает внедрять риск-ориентированный подход при управлении информационной безопасностью. В составе нового пакета положений в том числе опубликованы требования к обеспечению операционной надежности (отказоустойчивости). Эти требования несколько различаются для кредитных и некредитных организаций. В любом случае, финансовая организация должна обеспечить высокий уровень отказоустойчивости для своих критичных процессов на каждом технологическом участке. В том числе – управлять надежностью подрядчиков и провайдеров технологических услуг. Разница заключается в следующем:

  • В Положении № 779-П для некредитных финансовых организаций указан перечень процессов и предельное допустимое время недоступности или деградации сервисов;
  • По Положению №787-П для кредитных организаций, организации должны самостоятельно определить допустимые пороги недоступности или деградации для критичных сервисов, тех же, что используются в Положении  № 716-П.

КАК СТРОИТСЯ ПРОЕКТ

Для обработки рисков операционной надежности, банк или кредитная организация должна:

1

Определить перечень критических, основных и поддерживающих процессов (аналогично процессу, описанному для положения 716-П);

2

Определить перечень ИТ-систем, обеспечивающих работу этих процессов на каждом технологическом участке;

3

Определить целевые и актуальные параметры операционной надежности;

4

Определить метрики контроля функционирования и уровня надежности для каждого технологического участка каждого критичного процесса;

5

Описать требования к надежности, включая требования к подрядчикам, задействованным в различных технологических участках или критичных процессах;

6

Мониторить уровень надежности, и реагировать на инциденты, связанные с деградацией или остановкой предоставления услуг.

Важно знать

Существенной разницей между Положениями 779-П и 787-П является то, что для некредитных финансовых организаций в положении установлен перечень критичных процессов – и именно для них необходимо обеспечить управление надежностью.

В случае же с кредитными организациями – каждой организации необходимо самостоятельно определять перечень критичных процессов. Кстати, это тот же перечень, который требуется для построения системы управления операционным риском (в соответствии с положением 716-П).

Анкета для бюджетной оценки (779-П)

вы можете существенно упростить запрос КП, если заполните анкету

Скачать опросный лист (.docx)

СТАНДАРТНЫЙ ХОД ПРОЕКТА И РЕЗУЛЬТАТЫ

  • Этап 1

    20-60 раб. дней

    Анализ существующих документов СУОР, либо бизнес-процессов организации
    (только для 787-П)

    • Строим перечень критичных бизнес-процессов
    • Строим перечень технологических участков каждого критичного бизнес-процесса

  • Этап 2

    20-25 раб. дней

    Оценка текущего состояния процессов управления операционной надежностью

    • Строим перечень информационных систем поддерживающих функционирование технологических процессов и участков
    • Рассчитываем комплексную оценку ЦВВ

  • Этап 3

    20-25 раб. дней

    Расчет целевых и актуальных показателей операционной надежности

    • Создаем метрики системы управления операционной надежности
    • Разрабатываем целевые и пороговые значения контрольных частных показателей метрик операционной надежности для задействованных информационных систем
    • Рассчитываем статистические значения контрольных частных показателей метрик операционной надежности для задействованных информационных систем
    • Разрабатываем целевые требования по надежности для задействованных подрядчиков
    • Разрабатываем рекомендации по улучшению операционной надежности
    • Создаем требуемые документы, регламентирующие работу системы управления операционной надежностью
Почему

нам доверяют:

15+ лет

опытная команда

200+ проектов

ежегодно

45+ стран

география проектов

ОСТАЛИСЬ ВОПРОСЫ?

    О КОМПАНИИ

    ООО “Кард Сек” | Москва, 2-я Хуторская ул., 38А, стр. 9
    Тел: +7 495 120 26 28 | Email: signal@cardsec.ru