Как 787-П (716-П) регулирует операционную надежность? — 1RRE

Положение 787-П пришло на смену Положению 716-П год назад, и если сначала вокруг него было много обсуждений, то сейчас все будто бы забыли о его существовании и требованиях, которые необходимо исполнять. Многие компании, как оказалось совсем недавно, по незнанию не соблюдают основных требований, прописанных в Положении, особенно в отношении операционной надежности, и это негативно влияет не только на их деятельность и безопасность, но, что самое страшное, на их клиентов.

Что такое операционная надежность и как она связана с Положением 787-П?

Операционная надежность — это способность организации продолжать работу даже при возникновении каких-либо проблем или непредвиденных ситуаций. Различные факторы могут оказывать внимание на работу, это могут быть какие-либо внутренние ситуации, которые требуют действий, либо внешние факторы, к примеру катаклизмы, которые могут повлиять на работу организации.

Гарантия бесперебойной работы особенно важна для тех компаний, которые производят какие-либо критически важные операции и действия, а также операционная надежность и ее совершенствование помогают не терять прибыль, чтобы не возникало время простоя и товары производились в непрерывном режиме, к примеру, даже если на производство начинает воздействовать какой-либо фактор.

Операционная надежность, таким образом, очень важна для финансовых организаций, от которых зачастую зависят сделки, чей-то бизнес, переводы средств и работа некоторых людей и учреждений, важно гарантировать клиентам не только сохранение их денежных средств, но и беспрепятственных доступ к ним и операциям с ними. Положение 787-П предписывает правила, которые повышают операционную надежность для организаций и делают их более стабильными.

Что такое управление операционной надежностью и из чего оно состоит в Положении 787-П?

Управление операционной надежностью — это построение системы так, чтобы все ее процессы могли работать максимально непрерывно, избегая сбоев из-за внешних или внутренних воздействий.

Важнейшей частью построения такой системы являются требования к составным частям процессов, как раз эти требования и выдвигает Положение 787-П, на которое можно ориентироваться при построении устойчивых к внешним воздействиям функций.

Чтобы контролировать и оценивать эффективность управления операционной надежностью необходимы единицы мер или единицы оценки, именно их и называют системой показателей и пороговых значений. В этой системе используются и описываются все те метрики, с помощью которых можно определить, к примеру, пороговые значения, которые установлены, и если порог будет превышен, то это будет ярким знаком о том, что что-то в системе не так, какая-то ее часть организована неверно и требует к себе особого внимания и пересмотра.

Какие документы ЦБ РФ регулируют операционную надежность?

Центральный Банк России регулирует операционную надежность с помощью двух положений, оба являются относительно новыми. Это:

• Положение №779-П: оно устанавливает требования по операционной надежности для НФО, то есть некредитных финансовых организаций, к ним относятся все те организации, которые выполняют оказание каких-либо финансовых услуг, операций с денежными средствами, но в эту категорию, конечно, не входят банки и банковские услуги соответственно.
• Положение №787-П: этот документ, рассматриваемый в данной статье, устанавливает обязательные требования к операционной надежности для кредитных организаций, осуществляющих банковскую деятельность.

Оба документа содержат в себе все, что было описано ранее: и метрики, и пороговые значения для оценки операционной надежности, и требования, которые организациям необходимо выполнить, в том числе в отдельным процессам и частям системы.

Основные изменения в Положении 787-П и его отличия от Положения 716-П

Многие знают о том, что ранее существовало Положение 716-П, именно оно дало регуляторам перечень тех требований, по которым они могли бы оценивать эффективность организаций в управлении рисками, это Положение подарило нам классификацию рисков и ввело базу данных с ними, однако оно устарело. Мир технологий развивается стремительно, а финансовые организации связаны с ним так тесно, что требования к их безопасности постоянно меняются, в итоге 01.10.2022 появилось Положение 787-П, которое сделало все требования своего предшественника жестче и внесло существенные корректировки.

Давайте подробнее рассмотрим эти изменения:

• Операционная надежность теперь имеет новые требования: Положение 787-П вводит новые требования к операционной надежности, организации должны соблюдать их с учетом требований к управлению операционными рисками, установленных Положением 716-П.
• Особенное выделение критически важных процессов: появились особые требования по организации критически важных процессов, они должны соответствовать системе управления операционным риском.
• Процессы должны быть непрерывны: теперь организациям необходимо уделить особое внимание тому, чтобы критически важные процессы протекали непрерывно, причем даже если возник какой-либо технический сбой или произошла кибератака.
• Время простоя, которое допустимо, и деградации, которая приемлема: организации должны обеспечить гарантию того, что все значения, указанные в Положении 787-П, не будут превышены, это относится к обоим показателям. Все значения можно найти в приложении к документу.
• Управление изменениями: Положение 787-П также вводит требования к управлению изменениями в элементах критичной архитектуры (напоминаем, что критичная архитектура это все те процессы, компьютерные системы и другие категории, из которых состоит работа организации, которые важны для ее работы, то есть те, которые делают работу организации возможной в принципе) и обязывает кредитные организации разрабатывать и обеспечивать выполнение требований к операционной надежности.

Что необходимо делать при возникновении инцидентов согласно Положению 787-П (обновленное Положение 716-П)?

Положение вводит требование к осуществлению управления критически важной архитектурой без воздействия на какие-либо операции, их безопасность или осуществимость в целом, контроль за уязвимостями и повышение безопасности не должны затрагивать ее работоспособность.

Когда возникают проблемы или инциденты, связанные с надежностью операций, кредитные организации должны:

• Зарегистрировать их (сделать запись о произошедшем).
• Принять меры по устранению проблем.
• Восстановить работоспособность процессов и информационной инфраструктуры.
• Анализировать, почему произошли проблемы.
• Сотрудничать с другими отделами внутри организации и, при необходимости, с регуляторами и другими компаниями для решения проблем. При этом вся ответственность за взаимодействие ложится на сами организации, то есть они должны быть уверены в том, что другие компании, с которыми они сотрудничают, не нанесут им вреда, так как сторонний урон все еще является внешним фактором и не избавляет от последствий.

Кредитные организации должны проводить тестирование, чтобы убедиться, что они готовы справиться с возможными проблемами и угрозами для надежности операций. Это включает в себя анализ сценариев и проверку готовности организации к справлению с потенциальными угрозами.