Что нового в положении 787-П?

Иллюстрация / Фото: из отрытых источников

В связи с введением в действие положения 787-П кредитные учреждения в настоящее время сталкиваются с новым набором потенциальных трудностей. Чтобы полностью осознать требования и новые правила, важно сначала ознакомиться с Положением 716-П, которое заложило основу для управления операционными рисками в кредитных учреждениях и банковских группах.

В чем заключался смысл прошлого положения 716-П?

Положение 716-П, которое предшествует последним опубликованным требованиям, сыграло важную роль в установлении строгих мер регулирования, связанных с:

• Системой управления операционными рисками: эта система формирует основу способности кредитной организации справляться с непредвиденными вызовами. Положение 716-П предписывает кредитным учреждениям создать надежную систему управления операционными рисками для эффективного выявления, оценки и снижения операционных рисков.
• Рисками информационной безопасности: положение 716-П обязывает кредитные учреждения устранять риски, связанные с информационной безопасностью и стабильностью их информационных систем.
• Классификацией рисковых событий: для эффективного управления рисками важно точно классифицировать их. Положение 716-П предусматривает, что кредитные учреждения тщательно классифицируют рисковые события, создавая большую базу данных, которая отражает спектр потенциальных проблем.
• Учетом убытков: ключевым компонентом управления рисками является способность эффективно учитывать прямые убытки. Кредитные учреждения обязаны внедрять средства контроля для обеспечения полноты и точности учета убытков в своих базах данных.

В то время как Положение 716-П заложило основу для управления операционными рисками, Положение 787-П опирается на эту основу, вводя новый набор требований. Они направлены на дальнейшее повышение операционной надежности кредитных учреждений, гарантируя бесперебойное предоставление важных банковских услуг.

Что привнесло Положение 787-П?

Вступивший в силу 1 октября 2022 года регламент 787-П ужесточает нормативные требования, касающиеся операционной надежности кредитных организаций. Положение охватывает различные аспекты организационной практики, практики обеспечения безопасности и практики управления рисками. Давайте проанализируем основные требования, изложенные в этом регламенте.

1. Определение критической архитектуры

Критическая архитектура охватывает основные элементы, процессы и ИТ-системы, которые имеют важное значение для операционной надежности организации, обеспечивая непрерывность и стабильность бизнеса.

2. Подотчетность

Кредитные учреждения обязаны вести точный учет компонентов, составляющих критически важную архитектуру. Это включает в себя технологические процессы, соответствующие отделы, компоненты информационной инфраструктуры, технологические секции и даже поставщиков услуг в области информационных технологий.

3. Управление изменениями в критически важной архитектуре

Регламент предусматривает, что кредитные учреждения должны систематически управлять изменениями в своей критически важной архитектуре, чтобы предотвращать сбои, которые могут поставить под угрозу предоставление банковских услуг.

4. Обработка уязвимостей

Учреждения должны активно устранять уязвимости в своей критической архитектуре, чтобы предотвращать потенциальные угрозы безопасности. Кроме того, управление конфигурациями объектов информационной инфраструктуры имеет важное значение для поддержания стабильности.

5. Реагирование на инциденты и восстановление

В случае инцидентов, связанных с эксплуатационной надежностью, кредитные организации должны придерживаться структурированного подхода, включающего идентификацию инцидентов, регистрацию, анализ и эффективное реагирование. Оперативное восстановление технологических процессов и объектов информационной инфраструктуры имеет первостепенное значение.

6. Сотрудничество с поставщиками услуг

Кредитным учреждениям следует разработать протоколы сотрудничества с поставщиками услуг в области информационных технологий для нейтрализации информационных угроз и зависимостей, которые могут повлиять на надежность работы.

7. Проверка эксплуатационной надежности

Чтобы оценить свою готовность к борьбе с информационными угрозами, учреждения должны проводить сценарный анализ и тесты на надежность своей работы. Это включает в себя оценку способности противостоять потенциальным угрозам.

8. Устранение внутренних угроз

Кредитным учреждениям необходимо разработать меры по смягчению информационных угроз, исходящих от внутреннего персонала, имеющего доступ к критически важной инфраструктуре. Несанкционированный доступ должен быть устранен.

9. Быть в курсе

Учреждения обязаны создавать каналы связи для обмена информацией о современных информационных угрозах с другими участниками технологического процесса, способствуя повышению осведомленности о передовых методах атак.

Это общие требования, которые появились в Положении, и чтобы оставаться в курсе ситуации в вашей организации вам необходимо своевременно проводить аудиты соответствия Положению 787-П. Это не только поможет вашей организации соблюдать законы, но и даст вам дополнительную возможность оценить, достаточно ли вы делаете для своего информационной безопасности или есть риски, которые неоправданно подвергают вас и ваших клиентов угрозам.

Дмитрий Вовчок / nomid
Главред AOinform