Приведение в соответствие требованиям

779-П, 787-П, ГОСТ Р 57580.4-2022, 7-МР

С 2022-го года Центральный Банк России требует от кредитных и некредитных организаций обеспечивать операционную надежность – или отказоустойчивость. Эти требования несколько различаются для кредитных и некредитных организаций:

  • В Положении № 779-П для некредитных финансовых организаций указан перечень процессов и предельное допустимое время недоступности или деградации сервисов;
  • По Положению №787-П для кредитных организаций, организации должны самостоятельно определить допустимые пороги недоступности или деградации для критичных сервисов, тех же, что используются в Положении  № 716-П.

Кроме того, при реализации этих положений Банк России рекомендует руководствоваться требованиями Стандарта ГОСТ Р 57580.4-2022. Этот стандарт подробно описывает отдельные меры обеспечения операционной надежности.

В Методических рекомендациях Банка России МР-7 от от 20 декабря 2023 года указано, на рекомендации которого уровня ГОСТ Р 57580.4 каждая организация должна ориентироваться, а также устанавливает сроки реализации (см. блок “Важно знать”).

КАК СТРОИТСЯ ПРОЕКТ

Для обработки рисков операционной надежности, банк или кредитная организация должна:

1

Определить перечень критических, основных и поддерживающих процессов (аналогично процессу, описанному для положения 716-П);

2

Определить перечень ИТ-систем, обеспечивающих работу этих процессов на каждом технологическом участке;

3

Определить целевые и актуальные параметры операционной надежности;

4

Определить метрики контроля функционирования и уровня надежности для каждого технологического участка каждого критичного процесса;

5

Описать требования к надежности, включая требования к подрядчикам, задействованным в различных технологических участках или критичных процессах;

6

Мониторить уровень надежности, и реагировать на инциденты, связанные с деградацией или остановкой предоставления услуг.

Полный текст Положений ЦБ РФ 779-П и 787-П

Важно знать

В Методических рекомендациях Банка России 7-МР от от 20 декабря 2023 года указано, на рекомендации которого уровня ГОСТ Р 57580.4 каждая организация должна ориентироваться, а также устанавливает сроки реализации:

  • Кредитные организации с универсальной лицензией и размером активов более 500 миллионов рублей должны реализовать усиленный уровень ГОСТ Р 57580.3 и ГОСТ Р 57580.4 до 31 декабря 2025 года;
  • Кредитные организации с универсальной лицензией и размером активов менее 500 миллионов рублей, с базовой лицензией, небанковские кредитные организации,  должны реализовать стандартный уровень ГОСТ Р 57580.3 и ГОСТ Р 57580.4 до 31 декабря 2026 года;
  • Некредитные организации, подпадающие под требования стандартного уровня защиты информации, должны реализовать стандартный уровень ГОСТ Р 57580.3 и ГОСТ Р 57580.4 до 31 декабря 2026 года;
  • Некредитные организации, подпадающие под требования минимального уровня защиты информации, должны реализовать минимальный уровень ГОСТ Р 57580.3 и ГОСТ Р 57580.4 до 31 декабря 2027 года.

Существенной разницей между Положениями 779-П и 787-П является то, что для некредитных финансовых организаций в положении установлен перечень критичных процессов – и именно для них необходимо обеспечить управление надежностью.

В случае же с кредитными организациями – каждой организации необходимо самостоятельно определять перечень критичных процессов. Кстати, это тот же перечень, который требуется для построения системы управления операционным риском (в соответствии с положением 716-П).

Анкета для бюджетной оценки (779-П)

вы можете существенно упростить запрос КП, если заполните анкету

СТАНДАРТНЫЙ ХОД ПРОЕКТА И РЕЗУЛЬТАТЫ

  • Этап 1

    20-60 раб. дней

    Анализ существующих документов СУОР, либо бизнес-процессов организации
    (только для 787-П)

    • Строим перечень критичных бизнес-процессов
    • Строим перечень технологических участков каждого критичного бизнес-процесса
    • Оцениваем существующий уровень операционной устойчивости
  • Этап 2

    20-25 раб. дней

    Оценка текущего состояния процессов управления операционной надежностью

    • Строим перечень информационных систем, поддерживающих функционирование технологических процессов и участков
    • Рассчитываем комплексный показатель целевого времени восстановления (ЦВВ)
  • Этап 3

    20-35 раб. дней

    Расчет целевых и актуальных показателей операционной надежности

    • Создаем метрики системы управления операционной надежности
    • Разрабатываем целевые и пороговые значения контрольных частных показателей метрик операционной надежности для задействованных информационных систем
    • Рассчитываем статистические значения контрольных частных показателей метрик операционной надежности для задействованных информационных систем
    • Разрабатываем целевые требования по надежности для задействованных подрядчиков
    • Разрабатываем рекомендации по улучшению операционной надежности
    • Создаем требуемые документы, регламентирующие работу системы управления операционной надежностью
    • Разрабатываем план выполнения требований ГОСТ Р 57580.4