Операционная надёжность. Новые положения ЦБ РФ №779-П и №787-П

Не так давно кредитные организации столкнулись с новыми требованиями к управлению операционным риском, часть которых составляли требования к противодействию риску информационной безопасности и риску информационных систем. Теперь каждой финансовой организации предстоит реализовать меры к надёжному функционированию рабочих процессов в условиях сбоев и возможных нештатных ситуаций, что отчасти схоже с требованиями 7 и 8 глав Положения Банка России от 8 апреля 2020 г. N 716-П «О требованиях к системе управления операционным риском в кредитной организации и банковской группе» (далее – 716-П).

В этой статье мы рассмотрим понятие операционной надёжности и его значение для финансовых организаций, изучим новые положения Центрального Банка и отметим их критичные моменты.

Что такое операционная надёжность

Операционной надёжностью называют возможность отдельного технологического процесса (далее – процесс) или организации в целом непрерывно выполнять свою работу в условиях сбоев и иного негативного влияния (внешнего или внутреннего). Иными словами, это способность сохранять рабочие функции несмотря на какие-либо препятствия.

Обеспечение надёжной и непрерывной работы — чрезвычайно важный аспект для любого предприятия, ведь от этого напрямую зависит количество произведённого товара, реализованных услуг и, в конце концов, полученной прибыли. Поэтому операционная надёжность в той или иной мере реализуется в каждой финансовой организации, новые положения только расширят перечень требований к обработке и защите данных, а также добавят меры к управлению операционной надёжностью.

Управление операционной надёжностью

Первой частью системы управления операционной надёжностью можно назвать сумму требований, предъявляемых к составным частям процессов на всех этапах их существования, которые должны способствовать непрерывной работе данных процессов.

Второй частью системы управления операционной надёжности можно назвать систему специальных показателей и их пороговых значений.

Один из важнейших элементов управления это контроль и получение обратной связи от предмета воздействия. В деле управления операционной надёжностью для этой цели применяется ряд показателей, значения которых должны изменяться в случае неэффективного противодействия задержкам процесса. В ходе контроля сравнивается фактическое значение специальных показателей и заранее определённое пороговое значение такого показателя, превышение которого говорит о неэффективности применяемых мер и необходимости пересмотра существующей системы управления операционной надёжностью.

Новые положения Центрального Банка содержат требования к обеим частям данной модели управления. Новыми документами в области управления операционной надежности являются:

• Положение Банка России от 15 ноября 2021 г. N 779-П “Об установлении обязательных для некредитных финансовых организаций требований к операционной надежности при осуществлении видов деятельности, предусмотренных частью первой статьи 76.1 Федерального закона от 10 июля 2002 года N 86-ФЗ “О Центральном банке Российской Федерации (Банке России)”, в целях обеспечения непрерывности оказания финансовых услуг (за исключением банковских услуг)” (далее – 779-П).
• Положение Банка России от 12 января 2022 г. N 787-П “Об обязательных для кредитных организаций требованиях к операционной надежности при осуществлении банковской деятельности в целях обеспечения непрерывности оказания банковских услуг” (далее – 787-П).

Обзор новых положений ЦБ РФ

Положения имеют разную область действия (779-П предъявляет требования для некредитных финансовых организаций (далее – НФО), 787-П — для кредитных), но содержат большое количество аналогичных требований.

Рассмотрим фрагменты, которые обязательны к выполнению для всех финансовых организаций, после отметим существенные различия.

Общие требования

Для всех финансовых организаций обязательно создание системы специальных показателей операционной надёжности. В них входят:

1. Отношение числа рабочих операций во время сбоя (инцидента) к ожидаемому числу операций за тот же период;
2. Допустимое время простоя процесса в рамках одного инцидента;
3. Допустимое время простоя процесса за 12 месяцев;
4. Показатель соблюдения режима работы (своевременное начало и окончание, запланированная продолжительность и верная последовательность процедур в рамках процесса).

В рамках системы целевых показателей необходимо обеспечить:

1. Определение в организационно-распорядительных документах (далее – ОРД) значений контрольных показателей для каждого процесса (установление значений показателя простоя процесса и разработка перечня самих процессов производится в соответствии с приложениями положений);
2. Фиксацию фактических значений показателей, в том числе фактического времени простоя процесса, в случае превышения порога времени простоя;
3. Регламентирование порядка установления и обновления целевых значений показателей, контроля за соблюдением показателей и др.

Другой характерной частью в обоих положениях является требование к идентификации и учёту так называемой критичной архитектуры – подразделений, лиц, объектов информатизации и поставщиков услуг, задействованных в работе процессов и самих процессах (исчерпывающий перечень элементов, составляющих критичную архитектуру приведён в положениях). Для внесения изменений и управления критичной архитектурой положения предъявляют отдельные требования.

В положениях также содержится большое количество отдельных требований, направленных на повышение надёжности (например требование противостоять угрозам зависимости от поставщиков услуг или зависимости организации от сотрудников с уникальными компетенциями, требования к информированию Банка России об инцидентах операционной надёжности).

Положение ЦБ РФ №787-П

Для набора требований 787-П характерна обширная интеграция с требованиями 716-П. Предполагается, что система управления операционной надёжностью должна стать частью системы управления операционным риском.

Так, например, инциденты операционной надёжности необходимо регистрировать с учётом требований главы 6 Положения № 716-П, то есть так же, как и все инциденты операционного риска.

В 787-П отражены требования к операционной надежности. В частности в п.6 Положения № 787-П представлены требования к операционной надежности, включающие требования к целевым значениям, идентификации и управления элементами, выявлению и регистрации инцидентов, восстановления выполнения технологических процессов и функционирования объектов информационной инфраструктуры, взаимодействие с третьими лицами, тестированию операционной надежности, сценарного анализа и другие.

Положение ЦБ РФ №779-П

Так как Центральный Банк не предъявляет требований по управлению риском для НФО, то и требования к операционной надёжности могут быть реализованы в виде отдельной системы. Нераспространение требований 716-П на меры для НФО серьёзно упрощает реализацию системы управления операционной надёжностью.

Также стоит отметить отдельную главу, содержащую небольшое количество специфических требований для операторов информационных систем, обеспечивающих выпуск и обмен цифровых финансовых активов, в том числе на основе распределённого реестра (защита среды исполнения сделок, защита узлов распределённого реестра, применение надёжных алгоритмов для защиты от различий в базах данных распределённого реестра, а также защиту информационной системы от сетевых атак).

Итоги

Реализация надёжного выполнения основных процессов не является новой задачей для финансовых организаций. Тем не менее, меры к обеспечению операционной надёжности, предъявляемые новыми положениями Центрального Банка, требуют серьёзных корректировок внутренней документации и (вероятно) выделения новых технических и кадровых ресурсов. Требования положений вступают в силу с 1 октября 2022 года, а значит необходимо разумно распорядиться временем, оставшимся на реализацию необходимых мер.