В конце апреля Банк России опубликовал два новых положения, описывающих требования к операционной надёжности в целях обеспечения непрерывности банковских и финансовых услуг для кредитных организаций — 787-П от 12.01.2022 и для некредитных финансовых организаций — 779-П от 15.11.2021.
Под действие норм попали кредитные и небанковские кредитные организации, НПФ, страховые и брокерские компании, депозитарии, финмаркеты, биржи. Оба документа начинают действовать с 1 октября 2022 года.
Указанные положения тесно взаимосвязаны с 683-П и 757-П в части определения защищаемой информации и технологических участков технологических процессов и с 716-П — в части технологических процессов и требований к управлению риском.
Пока неисполнение указанных положений никаких страшных последствий для финансовых организаций не несёт, разве что в ходе надзора может быть выписано предупреждение. Однако, если проанализировать ряд последних законодательных инициатив ЦБ, то можно заметить, что рынок планомерно движется в сторону риск-ориентированного подхода.
Наиболее вероятен сценарий, при котором в перспективе двух-трёх лет для всех финансовых организаций будет введён риск-профиль, содержащий в себе оценки аудиторов и ЦБ, показатель доли несанкционированных переводов, жалоб клиентов и информацию о компании в СМИ. На его основе будут формироваться требования к размеру резервов, которые организация должна сформировать. Чем выше риск-аппетит, тем их объём будет больше. В этом случае невыполнение требований к операционной надёжности может послужить одной из причин для увеличения размера резервов.
Положения 787-П и 779-П вводят новое определение — критичная архитектура (не путать с критической информационной инфраструктурой в терминах 187-ФЗ «О безопасности критической информационной инфраструктуры»), элементы которой должны учитываться и контролироваться финансовой организацией.
И если для критической информационной инфраструктуры достаточно учитывать ПО, оборудование, линии связи и базы данных, то в рамках критичной архитектуры необходимо иметь детальное описание технологических процессов и технологических процессов входящих в них технологических участков. Формулировка получается запутанная, легче объяснить её на примере. В приложении к 787-П есть одиннадцатый технологический процесс — дистанционное банковское обслуживание. Одним из технологических участков этого процесса является учёт совершённых операций. Учёт операции, в свою очередь, тоже состоит из процессов, которые организация должна описать (в какие формы, заносится та или иная информация, куда дублируется, какие контроли проходит и т. д.).
Кроме этого, нужно контролировать людей, не только сотрудников, непосредственно обеспечивающих защиту информации, но и других участников этого процесса, в том числе подрядчиков. И если с уборщицей тётей Машей всё просто: достаточно не пускать её одну в серверную и не разрешать вносить туда ведро с водой, то контроль подрядчиков, имеющих логический доступ к инфраструктуре, часто выполняется формально. Ярким примером такого подхода является взаимодействие со сторонними разработчиками. Контроль кода и ограничение доступа, как правило, выполняют только крупные компании, в то время как в небольшом бизнесе разработчики зачастую получают постоянный, практически бесконтрольный доступ в рабочий контур. Что они там делают, проверяет в лучшем случае система DLP, которая есть только у небольшого процента организаций. Про поставщиков SMS/PUSH-сервисов обычно тоже не задумываются, несмотря на то что те имеют прямой доступ к информации, содержащейся в уведомлениях (информация об операциях, остатке на счёте, одноразовые пароли и т. п.) и контактным данным клиентов.
Схематично критичную архитектуру можно изобразить следующим образом (рисунок).
Рисунок. Схематичное изображение критичной архитектуры
Об участниках технологических процессов я уже упоминала выше — это вовлечённые в процесс иные кредитные и некредитные финансовые организации, а также поставщики услуг (провайдеры, хостеры, поставщики услуг технической поддержки, операторы услуг информационного обмена и т. п.).
В область действия положений 787-П и 779-П попадают только каналы связи, по которым осуществляется передача защищаемой информации (сведений, содержащихся в распоряжениях, персональных данных, информации, необходимой для авторизации клиентов и удостоверения их прав, ключевой информации, информации о совершённых операциях). К ним можно отнести каналы связи между сервисами организации и клиентами, кредитной организацией и банками-корреспондентами, Банком России (в рамках его платёжной системы), операторами платёжных систем, удостоверяющим центром, предоставляющим ключи для аутентификации. А вот канал связи, который используется организацией для направления сведений в ФОИВ (например, сведения о работниках в ПФР или сдачи отчётности в налоговую), под действие положений не попадает.
Отмечу, что для каждого технологического процесса требуется не только детальное описание, но и целый набор документов, часть из которых хоть и не заявлены в положениях, но явно вытекают из требований:
Таким образом, чтобы полноценно выполнять требования положений 787-П и 779-П, до 1 октября финансовым организациям необходимо:
Учитывая приближающийся сезон отпусков, необходимость вовлечения в эти задачи работников практически всех подразделений, а также непростую процедуру согласований в финансовых организациях, лучше не откладывать эти работы в долгий ящик.