8 800 201-20-70Звонок бесплатный
Контакты it_law_security Поиск
RTM Group » Услуги » Информационная безопасность » 779-П и 787-П: Приведение в соответствие с требованиями и оценка для банков и НФО

779-П и 787-П: Приведение в соответствие с требованиями и оценка для банков и НФО

Мы предлагаем:

  • Обследование системы обеспечения операционной надежности;
  • Классификацию технологических процессов;
  • Приведение системы обеспечения операционной надежности в соответствие требованиям ЦБ РФ;
  • Встраивание в систему обеспечения операционной надежностей модулей рисков ИБ и IT.

Вы получаете:

  • Пакет организационно-распорядительных документов в соответствии с положениями;
  • Описание технологических процессов, задействованных в критичной архитектуре;
  • Повышение уровня операционной надёжности;
  • Отсутствие санкций со стороны регулятора.

Кратко о нашем опыте:

  • Работаем с IT и ИБ более 8 лет, понимаем актуальность рисков на основании проведенных судебных экспертиз и аудитов в области IT и ИБ.

Важно!

  • Выполнять требования Положения 787-П/779-П необходимо постоянно.
779-П и 787-П: Приведение в соответствие с требованиями и оценка для банков и НФО - услуги RTM Group
779-П и 787-П: Приведение в соответствие с требованиями и оценка для банков и НФО - от RTM Group
Организации требуется обеспечение соответствия 787-П или 779-П?
Получить консультацию

Эксперты по аудиту на соответствие требованиям 787-П и 779-П

Эксперт по аудиту на соответствие требованиям 787-П и 779-П Царев Евгений Олегович

Царев Евгений Олегович

Эксперт в сфере информационной безопасности

Опыт: Экспертная работа с 2011 года. Педагогический стаж с 2008 года

Профиль >>

Все эксперты
Эксперт по аудиту на соответствие требованиям 787-П и 779-П Чекудаев Кирилл Викторович

Чекудаев Кирилл Викторович

Эксперт по управлению рисками

Опыт: Стаж работы по экономическим направлениям с 2003 года. Педагогический стаж с 2007 года.

Профиль >>

Все эксперты
Эксперт по аудиту на соответствие требованиям 787-П и 779-П Гончаров Андрей Михайлович

Гончаров Андрей Михайлович

Юрист в области информационной безопасности

Опыт: Профессиональный опыт в области IT-права с 2015 года

Профиль >>

Все эксперты

Положения в области обеспечения операционной надёжности 779-П и 787-П

С 1 октября 2022 года в силу вступило положение 787-П, регламентирующее требования к операционной надёжности при осуществлении банковской деятельности. Само собой, каждая организация, попадающая под действие данного документа, обязана к установленному сроку полностью соответствовать всем предписаниям данного положения, чтобы избежать санкций регулятора и вообще продолжать вести свою деятельность.

Для некредитных финансовых организаций аналогичным образом действует положение 779-П.

  1. Положение Банка России от 15 ноября 2021 г. N 779-П “Об установлении обязательных для некредитных финансовых организаций требований к операционной надежности при осуществлении видов деятельности, предусмотренных частью первой статьи 76.1 Федерального закона от 10 июля 2002 года N 86-ФЗ “О Центральном банке Российской Федерации (Банке России)”, в целях обеспечения непрерывности оказания финансовых услуг (за исключением банковских услуг)” (далее – 779-П). Распространяется на некредитные финансовые организации при осуществлении услуг в сфере финансовых рынков.
  2. Положение Банка России от 12.01.2022 N 787-ПОб обязательных для кредитных организаций требованиях к операционной надежности при осуществлении банковской деятельности в целях обеспечения непрерывности оказания банковских услуг” (далее – 787-П). Данное положение вступило в силу уже с «01» октября 2022 года. Распространяется на кредитные организации при осуществлении банковской деятельности в целях обеспечения непрерывности оказания банковских услуг.

 

Вашей организации требуется приведение системы обеспечения операционной надёжности в соответствие 779-П или 787-П?

Эксперты компании RTM Group – профессионалы с опытом от 10 лет. Для нашего клиента будет проведён анализ всех технологических процессов, найдены возможные недочёты,  также будет оказана помощь в приведении системы обеспечения операционной надёжности в соответствие с требованиями регулятора, указанных в данных положениях.

Эксперты RTM Group готовы предложить:

  1. Полный анализ системы обеспечения операционной надежности;
  2. Классификацию технологических процессов;
  3. Приведение системы обеспечения операционной надежности в соответствие требованиям ЦБ РФ;
  4. Встраивание в систему обеспечения операционной надежностей модулей рисков ИБ и IT.

Данная услуга подходит, если:

  • В любых случаях, если организация попадает под требования Положений 787-П или 779 ЦБ РФ.

Что получает заказчик:

  • Пакет организационно-распорядительных документов в соответствии с положениями;
  • Описание технологических процессов, задействованных в критичной архитектуре;
  • Повышение уровня операционной надёжности;
  • Отсутствие санкций со стороны регулятора.

    Нужна консультация?
    Задать вопрос

    При работе с обеспечением операционной надежности в рамках Положений 787-П/779-П следует учесть относительно новые термины: «операционная надежность», «технологический процесс», «объекты информационной инфраструктуры».

    Операционной надёжностью называют возможность отдельного технологического процесса (далее – технологический процесс) или организации в целом непрерывно выполнять свою работу в условиях сбоев и иного негативного влияния (внешнего или внутреннего). Иными словами, операционная надёжность – способность сохранять рабочие функции несмотря на какие-либо препятствия.

    Обеспечение надёжной и непрерывной работы — неотъемлемая часть любого предприятия, ведь от этого напрямую зависит возможность осуществления критически важных бизнес-процессов. Поэтому операционная надёжность реализуется в каждой финансовой организации, новые положения только расширят перечень требований к обработке и защите данных, а также добавят меры к управлению операционной надёжностью

    Технологические процессы – процессы, обеспечивающие выполнение критически важных операций и задействованные в оказании банковских/финансовых услуг. Перечень технологических процессов представлен в приложениях к 787-П/779-П.

    Объекты информационной инфраструктуры – автоматизированные системы, программное обеспечение, средства вычислительной техники, телекоммуникационное оборудование, задействованные в обеспечении технологических процессов.

    Обеспечение операционной надёжности 787 и 779

    Обеспечение операционной надежности в общем виде: схематично

     

    Целевые показатели операционной надежности

    Целевые показатели операционной надежности определяются на основании статистических данных за период не менее двенадцати календарных месяцев, предшествующих дате определения значения целевого показателя операционной надежности.

    Целевой показатель

    		 Определение
    Допустимая доля деградации технологического процесса Общее количество операций в период инцидентов/ общее количество операций непрерывного функционирования
    Допустимое время простоя и (или) деградации технологических процессов кредитных организаций в рамках инцидента операционной надежности Срок, не превышающий установленного Приложениями значения в диапазоне от 2 до 24 часов
    Допустимое суммарное время простоя и (или) деградации технологического процесса кредитной организации Общее допустимое время простоя в случае превышения допустимой доли деградации технологического процесса в течение очередного календарного года
    Показатель соблюдения режима работы (функционирования) технологического процесса

    Время начала, время окончания, продолжительности и последовательности процедур в рамках технологического процесса

    Если технологический процесс функционирует менее 12 месяцев, то показатели определяются на основании статистических данных за период с даты начала его функционирования и (или) иных данных, обосновывающих их определение.

    Фиксация превышения допустимой доли деградации технологических процессов

    1. Фактическое время простоя и (или) деградации технологического процесса, исчисляемого по каждому инциденту операционной надежности;
    2. Фактическая доля деградации технологического процесса в рамках отдельного инцидента операционной надежности;
    3. Суммарное время простоя и (или) деградации технологического процесса за последние двенадцать календарных месяцев.

    К критичной архитектуре относят:

    Критическая архитектура 787П и 779П

    Требования к субъектам регулирования

    Кредитные/финансовые организации в рамках обеспечения операционной надежности должны выполнять следующие требования в отношении управления изменениями критичной архитектуры:

    • Управление уязвимостями в критичной архитектуре, с использованием которых могут реализоваться информационные угрозы и которые могут повлечь отклонение от значений целевых показателей операционной надежности;
    • Планирование и внедрение изменений в критичной архитектуре, направленных на обеспечение непрерывного оказания банковских/финансовых услуг;
    • Управление конфигурациями объектов информационной инфраструктуры;
    • Управление уязвимостями и обновлениями (исправлениями) объектов информационной инфраструктуры.

    Финансовые организации должны обеспечивать выполнение следующих требований к выявлению, регистрации инцидентов операционной надежности и реагированию на них, а также восстановлению выполнения технологических процессов и функционирования объектов информационной инфраструктуры после реализации таких инцидентов:

    • Выявление и регистрация инцидентов операционной надежности;
    • Реагирование на инциденты операционной надежности в отношении критичной архитектуры;
    • Восстановление функционирования технологических процессов и объектов информационной инфраструктуры после реализации инцидентов операционной надежности;
    • Проведение анализа причин и последствий реализации инцидентов операционной надежности;
    • Организация взаимодействия между подразделениями организации, а также между организацией и Банком России, иными участниками технологического процесса в рамках реагирования на инциденты операционной надежности и восстановления выполнения технологических процессов и функционирования объектов информационной инфраструктуры после реализации инцидентов операционной надежности.

    Особое место отдается вопросам организации взаимоотношений с поставщиков услуг в сфере информационных технологий, через нейтрализацию и управление рисками информационных угроз, обусловленных:

    • Привлечением поставщиков услуг, в том числе защиту своих объектов ИИ от возможной реализации информационных угроз со стороны поставщиков услуг;
    • Технологической зависимостью функционирования объектов информационной инфраструктуры от поставщиков услуг в сфере информационных технологий.

    Организации должны принимать организационные и технические меры по управлению операционной надёжностью:

    • Сценарный анализ;
    • Тестирование;
    • Организационные и технические меры в отношении субъектов доступа (внутренних нарушителей);
    • Обмен и использование информации об актуальных сценариях реализации информационных угроз;
    • Обеспечение защиты дистанционной работы сотрудников;
    • Выполнение требований, направленные на противодействие целевым компьютерным атакам (для субъектов критической информационно инфраструктурой);

    Требования к операционной надежности, которые необходимо отразить во внутренних документах, включают:

    • Требования к порядку определения значений целевых показателей операционной надежности и обеспечению контроля за их соблюдением;
    • Требования к идентификации состава элементов;
    • Требования к управлению изменениями элементов;
    • Требования к выявлению, регистрации инцидентов операционной надежности и реагированию на них, а также восстановлению выполнения технологических процессов и функционирования объектов информационной инфраструктуры после реализации указанных инцидентов;
    • Требования к взаимодействию с третьими лицами (внешними подрядчиками, контрагентами, участниками банковской группы), оказывающими услуги в сфере информационных технологий, связанные с выполнением технологических процессов;
    • Требования к тестированию операционной надежности технологических процессов;
    • Требования к нейтрализации информационных угроз со стороны несанкционированного доступа внутреннего нарушителя к объектам информационной инфраструктуры;
    • Требования к обеспечению осведомленности кредитной организации об актуальных информационных угрозах, которые могут привести к инцидентам операционной надежности.

    Что должно быть отражено в документах:

    • Определение и описание состава процедур;
    • Определение перечня и порядка организационного взаимодействия подразделений (организационная структура);
    • Определение порядка осуществления контроля за соблюдением требований к операционной надежности в рамках системы внутреннего контроля (для НФО установление функций контроля подразделениям);
    • Выделение ресурсного обеспечения для выполнения требований к операционной надежности;
    • Порядок утверждения и условия пересмотра процедур.

    Также финансовые организации должны производить регистрацию событий в области операционной надежности:

    • Данных, используемых для фиксации превышения установленных значений целевых показателей операционной надежности;
    • Данных, позволяющих выявить причину превышения установленных значений целевых показателей операционной надежности;
    • Результата реагирования на инцидент операционной надежности (о принятых мерах и проведенных мероприятиях по реагированию на выявленный кредитной организацией или Банком России инцидент операционной надежности);
    • Кредитные организации фиксируют в базе событий операционных рисков!

    В Положениях прописана необходимость информирования Банка России:

    • О выявленных событиях операционного риска, связанных с нарушением операционной надежности, а также о принятых мерах и проведенных мероприятиях по реагированию на указанные события операционного риска, связанные с нарушением (инцидент) операционной надежности, организацией или Банком России;
    • О планируемых публичных мероприятиях, в отношении событий операционного риска, связанных с нарушением операционной надежности.

    Организации в целях выполнения требований 787-П/779-П должны:

    1. Моделировать информационные угрозы в отношении критичной архитектуры;
    2. Планировать применение организационных и технических мер, направленных на реализацию требований к операционной надежности;
    3. Обеспечивать реализацию требований к операционной надежности на стадиях создания, ввода в эксплуатацию, эксплуатации, модернизации, вывода из эксплуатации объектов информационной инфраструктуры;
    4. Обеспечивать контроль соблюдения требований к операционной надежности (НФО в отношении элементов критической инфраструктуры).

    Таким образом, Положения 787-П/779-П требует от кредитных и некредитных финансовых организаций проработанного организационного, в первую очередь методологического, подхода к обеспечению операционной надежности. Разработка методологии и построение технологических процессов в соответствии с Положениями требуют организационных и технических ресурсов.

    Ваши преимущества с RTM Group

    • Профиль деятельности RTM Group – проведение аудитов, экспертиз и предоставление юридических услуг в сфере ИТ и кибербезопасности;
    • Специалисты со стажем от 10 лет в области ИС, ИБ и управления рисками;
    • Мы обладаем лицензиями:
      • Лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации
      • Лицензия ФСТЭК России на деятельность по разработке и производству средств защиты конфиденциальной информации
      • Лицензия ФСБ России на работу со средствами криптозащиты

    Лицензии RTM Group

    Заказать услуги по обеспечению соответствия 787-П/779-П

    Для уточнения стоимости и сроков звоните или пишите нам:

    Тел: 8 800 201-20-70 (Звонок по России бесплатный)
    email: info@rtmtech.ru

     




    Оглавление:

    Положения в области обеспечения операционной надёжности 779-П и 787-П Целевые показатели операционной надежности Требования к субъектам регулирования Ваши преимущества с RTM Group Заказать аудит Стоимость


    Видео по аудиту на соответствие требованиям 787-П и 779-П

    Почему RTM Group

    RTM Group экспертная организация №1 по версии Федерального каталога экспертных организаций

    В списке SWIFT Directory of CSP assessment providers

    В реестре надежных партнеров торгово-промышленной палаты Российской Федерации

    Полноправный член «Ассоциации пользователей стандартов по информационной безопасности» (АБИСС)

    Входим в рейтинг «Pravo.ru-300» в отрасли Цифровая экономика

    Сайт RTM Group входит в тройку лучших юридических сайтов России

    В составе ТК №122

    Цены на услуги по аудиту на соответствие требованиям 787-П и 779-П

    Обратите внимание!
    Компания работает с юридическими лицами, ИП и бюджетными организациями по безналичному расчету.
    Работа с физическими лицами временно не осуществляется.

    Наименование услуги Стоимость

    Консультация

    Бесплатно

    Оценка соответствия по 779-П

    Срок – от 4 недель

    Подробное описание
     

    от 300 000 руб.

    Оценка соответствия по 787-П

    Срок – от 4 недель

    Подробное описание
     

    от 300 000 руб.

    Работаем с юридическими лицами, ИП и бюджетными организациями по безналичному расчету.
    Работа с физическими лицами временно не осуществляется.

    Наши преимущества

    2800+ аудитов и экспертиз

    Эксперты обладают одновременно опытом ИТ-аудитов и судебных компьютерных экспертиз

    821-П, 683-П, 757-П, 802-П, Пентест, ОУД4 и пр.

    Специализируемся на всех вариантах аудитов ИБ финансовых организаций по требованиям Центрального банка

    Каждый 5-й российский банк - наш клиент

    Мы работаем с банками по направлениям аудитов ИБ, экспертизам, а также оказываем юридическую поддержку

    Наш ключевой профиль

    Работы по направлению ИТ и кибербезопасности

    Широкая география работы и присутствия

    Работа на территории России, Беларуси и Казахстана

    3 лицензии

    ФСТЭК России и ФСБ России

    Услуги для вас

    Услуга 683‑П: Приведение в соответствие и оценка для банка

    683‑П: Приведение в соответствие и оценка для банка

    - Суть 683-П
    - Какая информация должна защищаться?
    - На кого распространяются требования 683-П?
    - Важные требования 683-П для банков
    - Оценка по ГОСТ 57580.2 для банков
    - Когда 683-П вступает в силу?
    - Дополнительные услуги по 683-П
    Услуга 716-П: Управление операционными рисками кредитных организаций

    716-П: Управление операционными рисками кредитных организаций

    — Требования по выделению капитала на покрытие рисков
    — Структура положения 716-П
    — Процедуры управления операционным риском
    — Виды операционных рисков
    — Дополнительные элементы системы управления рисками
    — Ведение базы событий операционного риска
    — Управление рисками ИТ и ИБ
    — Управления операционным риском для различных типов организаций
    Услуга 802-П (747-П): Приведение в соответствие и оценка соответствия

    802-П (747-П): Приведение в соответствие и оценка соответствия

    — На кого распространяются требования
    — Какая информация должна защищаться
    — Важные требования
    — Оценка по ГОСТ 57580.2 для банков
    — Когда 747-П вступает в силу?
    — Когда 802-П вступает в силу?
    — Дополнительные услуги
    Услуга Аудит информационной безопасности банка

    Аудит информационной безопасности банка

    Что это такое?
    Цели проведения
    Виды
    Что входит?
    Этапы
    Выгодное предложение
    Услуга Аудит ИБ в рамках отдельных бизнес-процессов

    Аудит ИБ в рамках отдельных бизнес-процессов

    — Для чего нужен аудит ИБ
    — Как проходит аудит
    — Этапы проведения аудита
    — Результат аудита
    Услуга Аудит инфраструктуры на соответствие требованиям информационной безопасности

    Аудит инфраструктуры на соответствие требованиям информационной безопасности

    — Для чего нужен аудит
    — Как проходит аудит
    — Этапы проведения аудита
    — Результат аудита

    Продукты и решения для вас

    Офисный пакет

    Офисный пакет

    Офисные пакеты — это программное обеспечение, предназначенное для выполнения офисных задач и облегчения работы в офисной среде. Они включают в себя набор различных программ, которые позволяют создавать, редактировать и обмениваться различными типами документов, такими как текстовые файлы, электронные таблицы, презентации и другие.
    ПК (АРМ)

    ПК (АРМ)

    ПК (АРМ) предназначен для оснащения рабочих мест сотрудников. Может быть исполнен в различных форм-факторах: моноблок, Compact, Desktop, Tower.
    Сервер

    Сервер

    Сервер — это устройство, которое хранит данные и даёт доступ к ним большому числу клиентов.
    Системы защиты информации

    Системы защиты информации

    Системы защиты информации — это специальные комплексы программного и аппаратного обеспечения, разработанные для обеспечения безопасности информации от несанкционированного доступа, использования, изменения или уничтожения. Они играют важную роль в защите конфиденциальности, целостности и доступности информации, а также в предотвращении угроз и атак на информационные системы.
    СХД

    СХД

    Система хранения данных (СХД) — специализированная инфраструктура для централизованного хранения и управления информацией в компьютерных сетях.
    DLP

    DLP

    DLP (Data Loss Prevention) — это система или набор технологий и политик, разработанных для предотвращения утраты, утечки или несанкционированного распространения конфиденциальных данных. Она используется для защиты информации, которая может быть ценной, конфиденциальной или чувствительной для организации.
    SIEM

    SIEM

    SIEM (Security Information and Event Management) — это комплексная система, объединяющая функции сбора, анализа и управления информацией о безопасности в компьютерных сетях и информационных системах.

    Межсетевые экраны

    Межсетевые экраны

    Межсетевые экраны — это сетевые устройства или программные приложения, предназначенные для обеспечения безопасности компьютерных сетей. Они служат первой линией защиты, контролируя и фильтруя трафик, проходящий через сетевые соединения.
    Управление уязвимостями

    Управление уязвимостями

    Программы для управления уязвимостями — это инструменты и системы, разработанные для обнаружения, анализа, отслеживания и устранения уязвимостей в компьютерных системах и сетях.

    Антивирусы

    Антивирусы

    Антивирусы — это специальные программы, разработанные для обнаружения, блокирования и удаления вредоносного программного обеспечения (вирусов, троянских программ, червей и других вредоносных объектов) с компьютеров и других устройств.
    Цифровая криминалистика

    Цифровая криминалистика
    Операционные системы

    Операционные системы

    Операционная система (ОС) — это программное обеспечение, которое управляет и контролирует работу компьютера или другого устройства.

    Информационная безопасность

    Информационная безопасность

    Нам доверяют

    Полезные статьи

    Статья Операционная надёжность. Новые положения ЦБ РФ №779-П и №787-П

    Операционная надёжность. Новые положения ЦБ РФ №779-П и №787-П

    В этой статье мы рассмотрим понятие операционной надёжности и его значение для финансовых организаций, изучим новые положения Центрального Банка и отметим их критичные моменты.
    Статья Обзор проекта Положения «О требованиях к управлению операционным риском и порядку проведения операционного аудита организаторов торговли, клиринговых организаций, центральных контрагентов, центрального депозитария и репозитариев»

    Обзор проекта Положения «О требованиях к управлению операционным риском и порядку проведения операционного аудита организаторов торговли, клиринговых организаций, центральных контрагентов, центрального депозитария и репозитариев»

    Рассмотрение структуры проекта Положения ЦБ РФ о требованиях к управлению операционным риском и порядку проведения операционного аудита для финансовых организаций обеспечивающих финансовые и торговые рынки.
    Статья Соблюдение требований Центрального Банка: важные сроки и план действий для НФО

    Соблюдение требований Центрального Банка: важные сроки и план действий для НФО

    Рассматриваются документы от ЦБ, требованиям которых необходимо соответствовать НФО в 2023 году, а именно: 779-П, 757-П, 802-П, 719-П.
    Статья Обзор Положения Банка России 814-П

    Обзор Положения Банка России 814-П

    Одним из компонентов системы управления операционными рисками является его оценка, которая может осуществляться двумя методами – количественным и качественным. Со стороны регулятора есть определенные требования, касающиеся расчета размера операционного риска путем количественного метода. Они отражены в Положениях 814-П и 744-П.
    Статья Моделирование угроз на предприятии

    Моделирование угроз на предприятии

    Особенности процессов моделирования угроз и расчета рисков, их взаимосвязи и рекомендации к их составлению для тех, на кого распространяются требования к моделированию угроз (операторы ПДн, субъекты КИИ и т.д.) и оценка рисков (кредитные и некредитные финансовые организации).
    Статья Форма отчетности для банков по операционной надежности

    Форма отчетности для банков по операционной надежности

    Начиная с 1 января 2024 года, кредитные организации обязаны использовать новые формы отчетности и следовать установленному Банком России порядку их составления и представления.
    Статья Построение системы защиты информации в финансовой организации от А до Я (Описание жизненного цикла системы защиты)

    Построение системы защиты информации в финансовой организации от А до Я (Описание жизненного цикла системы защиты)

    Для функционирования в штатном режиме, финансовым организациям необходимо реализовать правильную систему защиты информации (далее — система ЗИ). Контроль за исполнением необходимых требований осуществляют регуляторы в лице Банка России (далее — БР), ФСБ, ФСТЭК, Роскомнадзора и Минцифры. Они предоставляют компаниям необходимую нормативную базу, позволяющую правильно выстроить систему ЗИ в компании.
    Статья Методические рекомендации от 20.12.2023 №18-МР

    Методические рекомендации от 20.12.2023 №18-МР

    Методические рекомендации ЦБ РФ №18-МР по описанию наименований объектов информационной инфраструктуры.

    FAQ: Часто задаваемые вопросы