Методические рекомендации от 20.12.2023 №18-МР

Описание наименований объектов информационной инфраструктуры по методическим рекомендациям Банка России № 18-МР

В рамках информирования Банка России об инцидентах операционной надежности кредитные и некредитные финансовые организации представляют информацию об объектах информационной инфраструктуры, задействованных при выполнении технологических процессов.

20 декабря 2023 года Банк России выпустил Методические рекомендации №18-МР, касающиеся данного вопроса, которые позволят минимизировать риск допущения ошибки при заполнении форм отчетности по Положениям №787-П и №779-П.

Описание критичной архитектуры содержит в себе учет состава объектов информационной инфраструктуры, в том числе реализуемых поставщиками услуг.

При этом стоит отметить, что детализация описания объектов информационной инфраструктуры в соответствии с 18-МР достаточно высока.

Банк России представил единую классификацию объектов, которая ранее вызывала споры в ИТ-подразделении банков и финансовых организаций, определяющих критичную архитектуру самостоятельно на основании своего опыта и компетенций.

В соответствии с требованиями Положений 787-П и 779-П и соответствующих форм отчетности основным элементом является технологический процесс и задействованные объекты информационной инфраструктуры.

Если технологический процесс, обеспечивающий осуществление переводов денежных средств по поручению физ. и юр. лиц, находится в зависимости от функционирования платежной системы Банка России, то кредитным организациям рекомендуется учитывать информацию об объектах информационной инфраструктуры, задействованных на участке платежной системы Банка России.

Что Банк России желает видеть в отчетности в разрезе объектов информационной инфраструктуры?

1. Во-первых, необходимо указать код технологического процесса, перечень которых определен в порядке составления и представления отчетности.
2. Далее следует наименование автоматизированной системы, которая применяется организацией в рамках указанного ранее технологического процесса.
3. После чего необходимо указать информацию о технологическом участке технологического процесса, в части которого применяется автоматизированная система (коды представлены в Методических рекомендациях №18-МР).
4. В зависимости от вида деятельности организации с использованием кодов указывается бизнес-функция, рекомендуемый перечень которых приведен в Приложении 2 к Методическим рекомендациям №18-МР, и соответствующее функциональное описание автоматизированной системы, а также доменное имя сайта компании-разработчика
5. Следующий атрибут отчетности содержит информацию об уровне критичности системы, которая указывается также с использованием кода (Урв1 – Mission Critical, Урв2 – Business Critical, Урв3 – Business Operational, Урв4 – Office Productivity).

Разделы «Перечень систем – источников данных» и «Перечень систем – получателей данных» содержат наименование систем, используемых в потоках данных.

Описание ИТ-продукта в автоматизированной системе включает в себя:

• Наименование ИТ-продукта
• Принадлежность (Готовое решение, Собственная разработка, Свободное программное обеспечение)
• Резервная инфраструктура (является ли резервным объектом)
• Разработчик ИТ-продукта (доменное имя сайта компании-разработчика в сети «Интернет» без указания домена первого уровня)
• Модификация ПО
• Класс оборудования (аппаратное обеспечение, сетевое оборудование)
• Класс программного обеспечения (сетевые приложения и сервисы; серверные компоненты виртуализации, программные инфраструктурные сервисы; операционные системы, системы управления базами данных, сервера приложений.)
• Страна разработчика
• Наименование лицензии (указывается только для свободного ПО)
• Тип лицензии
• Архитектура
• Количество применяемых средств ИТ, в т.ч. резерв
• Закупка (определяется вид закупки, в т.ч. параллельный импорт)
• Техническая поддержка (возможность технической поддержки объекта информационной инфраструктуры)
• Автономность (возможность работы без подключения к сети «Интернет» с сохранением функционала)
• Обновление (возможности обновления)
• Уязвимости (возможность устранения уязвимостей объекта информационной инфраструктуры)
• Управление (наличие канала удаленного управления объектом информационных технологий)
• Наличие сертификата ФСТЭК России и его номер
• Наличие сертификата ФСБ России и его номер
• Номер в реестре Минцифры России
• Номер и дата внесения в реестре Минпромторга России

Итог проделанной работы должен выглядеть следующим образом (Приложение 1 к Методическим рекомендациям №18-МР):

ТпрКО8|Lekton Classic|ОУ|БфКО22|Фронт-офисная система учета с использованием пластиковых карт|lekton|Урв1|АС1|АС2|Windows 10|Прин1| Ри2|microsoft|21H2|Клсо99|Клс1|840|Не применимо|Лиц9|Арх3.1|Не применимо|Закуп5|Поддерж4|Авт1|Обнв4|Уязв1|Упр1|ФСТЭК9|Не применимо|ФСБ9|Не применимо|Отсутствует|Не применимо|Отсутствует

Процесс заполнения форм отчетности по Положениям №787-П и №779-П и, как следствие, детализация критичной архитектуры, достаточно трудоемкий и кропотливый процесс для ИТ-подразделений.

В целом Методические рекомендации Банка России во многом облегчают понимание этого процесса. Поэтому при заполнении форм отчетности рекомендуем обращать свое внимание на данный документ в целях предотвращения возникающих вопросов.