В связи с введением в действие положения 787-П кредитные учреждения в настоящее время сталкиваются с новым набором потенциальных трудностей. Чтобы полностью осознать требования и новые правила, важно сначала ознакомиться с Положением 716-П, которое заложило основу для управления операционными рисками в кредитных учреждениях и банковских группах.
Положение 716-П, которое предшествует последним опубликованным требованиям, сыграло важную роль в установлении строгих мер регулирования, связанных с:
В то время как Положение 716-П заложило основу для управления операционными рисками, Положение 787-П опирается на эту основу, вводя новый набор требований. Они направлены на дальнейшее повышение операционной надежности кредитных учреждений, гарантируя бесперебойное предоставление важных банковских услуг.
Вступивший в силу 1 октября 2022 года регламент 787-П ужесточает нормативные требования, касающиеся операционной надежности кредитных организаций. Положение охватывает различные аспекты организационной практики, практики обеспечения безопасности и практики управления рисками. Давайте проанализируем основные требования, изложенные в этом регламенте.
Критическая архитектура охватывает основные элементы, процессы и ИТ-системы, которые имеют важное значение для операционной надежности организации, обеспечивая непрерывность и стабильность бизнеса.
Кредитные учреждения обязаны вести точный учет компонентов, составляющих критически важную архитектуру. Это включает в себя технологические процессы, соответствующие отделы, компоненты информационной инфраструктуры, технологические секции и даже поставщиков услуг в области информационных технологий.
Регламент предусматривает, что кредитные учреждения должны систематически управлять изменениями в своей критически важной архитектуре, чтобы предотвращать сбои, которые могут поставить под угрозу предоставление банковских услуг.
Учреждения должны активно устранять уязвимости в своей критической архитектуре, чтобы предотвращать потенциальные угрозы безопасности. Кроме того, управление конфигурациями объектов информационной инфраструктуры имеет важное значение для поддержания стабильности.
В случае инцидентов, связанных с эксплуатационной надежностью, кредитные организации должны придерживаться структурированного подхода, включающего идентификацию инцидентов, регистрацию, анализ и эффективное реагирование. Оперативное восстановление технологических процессов и объектов информационной инфраструктуры имеет первостепенное значение.
Кредитным учреждениям следует разработать протоколы сотрудничества с поставщиками услуг в области информационных технологий для нейтрализации информационных угроз и зависимостей, которые могут повлиять на надежность работы.
Чтобы оценить свою готовность к борьбе с информационными угрозами, учреждения должны проводить сценарный анализ и тесты на надежность своей работы. Это включает в себя оценку способности противостоять потенциальным угрозам.
Кредитным учреждениям необходимо разработать меры по смягчению информационных угроз, исходящих от внутреннего персонала, имеющего доступ к критически важной инфраструктуре. Несанкционированный доступ должен быть устранен.
Учреждения обязаны создавать каналы связи для обмена информацией о современных информационных угрозах с другими участниками технологического процесса, способствуя повышению осведомленности о передовых методах атак.
Это общие требования, которые появились в Положении, и чтобы оставаться в курсе ситуации в вашей организации вам необходимо своевременно проводить аудиты соответствия Положению 787-П. Это не только поможет вашей организации соблюдать законы, но и даст вам дополнительную возможность оценить, достаточно ли вы делаете для своего информационной безопасности или есть риски, которые неоправданно подвергают вас и ваших клиентов угрозам.