Внедрение основных метрик по операционной надежности. Практический эффект

Обеспечение и поддержание надежного и безотказного функционирования технологических и бизнес-процессов является одной из важнейших задач финансовых организаций в условиях стремительно растущего количества информационных угроз и рисков.
Понятие «операционной надежности» несет в себе непосредственное воплощение представленной задачи через совокупность различных векторов, например:

• Анализ и предотвращение уязвимостей в критичной архитектуре
• Реализацию организационных и технических мер, направленных на обеспечение кибербезопасности
• управление рисками

В современных реалиях это область, требующая повышенного внимания руководства финансовых организаций.

Операционная надежность (далее – ОН) – это способность Организации обеспечить непрерывную работу критически важных процессов путем выполнения целевых показателей. Данное понятие имеет прямое отношение к управлению операционными рисками.

Внедрение основных метрик по ОН – работа на перспективу, которая поможет противостоять рискам информационной безопасности и информационных систем и, конечно же, придаст уверенности в достижении поставленных целей и увеличении экономических показателей деятельности.

Фактические показатели операционной надежности должны соответствовать плановым значениям. Достичь этого можно через реализацию эффективных подходов в соответствии с требованиями Банка России.

Нормативные документы

Основными нормативными документами, регулирующими деятельность по обеспечению операционной надежности, являются Положение Банка России 787-П (для кредитных организаций (далее – КО)) и Положение Банка России 779-П (для некредитных финансовых организаций (далее – НФО)).

Они устанавливают обязательные требования к операционной надежности при осуществлении банковской деятельности в целях обеспечения непрерывности оказания банковских услуг (для НФО – в финансовые услуги).

Также КО и НФО необходимо обеспечить соответствие стандарту ГОСТ Р 57580 – 2022 части 3 и 4.

1. Третья определяет требования к составу и содержанию мер по управлению риском реализации информационных угроз для уровней защиты, которые применяются финансовыми организациями в рамках планирования, реализации, контроля и совершенствования системы управления риском.
2. В четвертой части содержатся требования к составу и содержанию мер обеспечения операционной надежности для тех уровней защиты, которые применяют финансовые организации при определении базового состава таких мер.

Формальный и практический подходы обеспечения операционной надежности

Общими целями операционной надежности являются:

• Обеспечение непрерывности технологических процессов
• Защищенность информационной инфраструктуры
• Соблюдение требований 778-П/779-П
• Установление и выполнение целевых показателей
• Оптимизация технологических и бизнес-процессов
• Взаимодействие элементов информационной инфраструктуры

Экспертным путем были определены два подхода для целесообразного и эффективного внедрения требований к операционной надежности финансовыми организациями – формальный и практический.

Отправной точкой является реализация формального подхода, включающего в себя десять этапов, выделенных в соответствии с вышеизложенными целями операционной надежности:

• Определение и описание состава процедур
• Планирование применения организационных и технических мер
• Определение перечня и порядка организационного взаимодействия подразделений
• Выделение ресурсного обеспечения (кадрового, технического, финансового) для выполнения требований к операционной надежности
• Моделирование информационных угроз в отношении критичной архитектуры
• Определение технологических участков технологических процессов и ответственности за их функционирование
• Принятие порядка утверждения и условий пересмотра процедур
• Регистрация данных, превышающих целевые значения, причин возникновения инцидента и способа реагирования на него
• Информирование Центрального Банка РФ о выявленных событиях инцидента операционной надежности
• Определение порядка осуществления контроля соблюдения требований к операционной надежности в рамках системы внутреннего контроля
• Обеспечение реализации требований к операционной надежности на стадиях создания, ввода в эксплуатацию, эксплуатации, модернизации, вывода из эксплуатации объектов информационной инфраструктуры

Вот важные этапы для выполнения указанных всего перечисленного:

• Установление жестких требований по обеспечению операционной надежности, в т.ч. для поставщиков услуг в области информационных систем
• Поиск потенциальных угроз операционной надежности
• Обучение персонала и борьба с внутренними нарушителями
• Установление целевых показателей ниже нормативных
• Постоянное тестирование (контроль) системы операционной надежности

Исполнения только лишь формального подхода недостаточно для соответствия установленным требованиям Банка России. Следует уделить повышенное внимание также практическому подходу для предотвращения замечаний со стороны регулятора.

При комплексной реализации представленных подходов можно быть уверенным в бесперебойном и надежном функционировании технологических процессов, которые позволят непрерывно оказывать услуги без снижения экономических результатов деятельности и минимизировать потенциальные угрозы.

Что необходимо сделать для внедрения основных метрик операционной надежности?

• Советуем внимательно ознакомиться с Положениями и стандартами регулятора, приведенными в разделе «Нормативные документы»
• Определить критическую информационную инфраструктуру и технологические процессы
• Как можно раньше приступить к внедрению всех описанных требований к обеспечению операционной надежности путем комплекса, включающего формальный и практический подходы, описанные в разделе «Формальный и практический подходы обеспечения операционной надежности»
• Осуществлять регулярный мониторинг целевых показателей операционной надежности каждого технологического процесса
• Установить «жесткие» плановые показатели операционной надежности
• Уделять повышенное внимание моделированию информационных угроз в целях своевременного реагирования и снижения потерь от их реализации
• Проводить тестирование (контроль) системы операционной надежности
• Привлекать независимых экспертов для проведения аудита на соответствие требованиям Банка России

Ключевые показатели операционной надежности

В Положениях Банка России 787-П/779-П одним из основных требований к финансовым организациям является установление целевых показателей операционной надежности (аналогичны ключевым индикаторам риска), которые определяются для каждого технологического процесса.

Перечень этих показателей включает в себя:

• Допустимую долю деградации технологического процесса (рассчитывается как отношение общего количества операций в период инцидента операционной надежности к общему количеству операций, выполняемому в условиях непрерывного функционирования)
• Допустимое время простоя и (или) деградации технологических процессов в рамках инцидента операционной надежности (устанавливаются значения, не превышающие значения, определенные в Приложениях Положений 787-П и 779-П)
• Допустимое суммарное время простоя и (или) деградации технологического процесса (общее допустимое время простоя в течение очередного календарного года)
• Показатель соблюдения режима работы (функционирования) технологического процесса (времени начала, времени окончания, продолжительности и последовательности процедур в рамках технологического процесса)

Перечисленные показатели и порядок их определения должны быть обязательно установлены в организационно-распорядительной документации финансовой организации.

Как правило, данные пункты содержит Политика обеспечения операционной надежности. Также необходимо осуществлять их регулярный мониторинг и незамедлительно реагировать при превышении установленных значений.

Применение практического подхода

Для наглядности и наиболее полного раскрытия сущности применения практического подхода рассмотрим его применение на примерах.

Пример №1

Для анализа возьмем этап «Обучение персонала и борьба с внутренними нарушителями». К каким результатам приведет реализация данной меры?

• Повысит готовность персонала реагировать на внешние угрозы
• Позволит не допустить внутренние угрозы
• Снизит время реагирования на инциденты
• Сократит время действия инцидента
• Сократит количество невыполненных операций в период инцидентов
• Снизит доли деградации технологических процессов
• Снизит потери в оборотных средствах, операционной прибыли, а также репутационные риски

Результаты количественных показателей в сравнении с реализацией только формального подхода внедрения операционной надежности представлены в Таблице 1.

Пример №2

Рассмотрим, что повлечет за собой «Определение технологических участков процессов и ответственности за их функционирование»:

• Позволит определить «узкие места» в технологических процессах
• Повысит эффективность и надежность технологических процессов
• Снизит время деградации технологического процесса
• Позволит осуществить бизнес-процессы с допустимым уровнем простоя
• Снизит допустимое время деградации
• Снизит репутационные риски
• Снизит уровень потенциальных потерь из-за деградации процесса
• Сократит потери выручки в случае простоя или деградации бизнес-процесса

Для наглядности отразим результаты после реализации рассмотренной меры в Таблице 2.

Пример №3

«Установление жестких требований по обеспечению операционной надежности поставщиков услуг в области информационных систем» позволит:

• Обязать поставщиков услуг в области информационных систем разработать политику и план обеспечения операционной надежности
• Обеспечить операционную надежность и реагирование на инциденты поставщиками
• Снизить время реагирования на инциденты операционной надежности у поставщиков услуг
• Обеспечить надежность предоставляемых поставщиками услуг
• Снизить зависимость информационных систем Банка/НФО от инцидентов, возникающих у поставщиков услуг
• Снизить суммарное время простоя деградации технологического процесса
• Снизить потери оборотных средств и прибыли (результаты представлены на Рисунке 1).

Выводы и экспертные рекомендации

В заключение стоит отметить, что обеспечение операционной надежности – ключевая задача для финансовых организаций. Важно организовать четкую и слаженную работу, направленную на реализацию мер в данной области.

Результатом обеспечения операционной надежности по формальному подходу является возможность  установить процессы в соответствии с требованиями регулятора. Но подход к обеспечению операционной надежности, направленный на получение практического эффекта, позволит снизить потери объема оборотных средств и, соответственно, прибыли финансовой организации, за счет снижения времени простоя технологических процессов. И чем выше требования и эффективность реализации системы обеспечения операционной надежности, тем меньше потери.

Банк России, выступая регулятором финансового рынка, выдвигает требования для КО и НФО, соответствие которым является обязательным. Наши экспертные рекомендации позволят быстро и эффективно обеспечить данное соответствие.