779-П и 787-П: Приведение в соответствие с требованиями и оценка для банков и НФО

Мы предлагаем:

  • Обследование системы обеспечения операционной надежности;
  • Классификацию технологических процессов;
  • Приведение системы обеспечения операционной надежности в соответствие требованиям ЦБ РФ;
  • Встраивание в систему обеспечения операционной надежностей модулей рисков ИБ и IT.

Вы получаете:

  • Пакет организационно-распорядительных документов в соответствии с положениями;
  • Описание технологических процессов, задействованных в критичной архитектуре;
  • Повышение уровня операционной надёжности;
  • Отсутствие санкций со стороны регулятора.

Кратко о нашем опыте:

  • Работаем с IT и ИБ более 8 лет, понимаем актуальность рисков на основании проведенных судебных экспертиз и аудитов в области IT и ИБ.

Важно!

  • Выполнять требования Положения 787-П/779-П необходимо постоянно.
779-П и 787-П: Приведение в соответствие с требованиями и оценка для банков и НФО - услуги RTM Group
779-П и 787-П: Приведение в соответствие с требованиями и оценка для банков и НФО - от RTM Group
Организации требуется обеспечение соответствия 787-П или 779-П?

Эксперты по аудиту на соответствие требованиям 787-П и 779-П

Эксперт по аудиту на соответствие требованиям 787-П и 779-П Царев Евгений Олегович

Царев Евгений Олегович

Эксперт в сфере информационной безопасности

Опыт: Экспертная работа с 2011 года. Педагогический стаж с 2008 года

Профиль >>

Все эксперты
Эксперт по аудиту на соответствие требованиям 787-П и 779-П Чекудаев Кирилл Викторович

Чекудаев Кирилл Викторович

Эксперт по управлению рисками

Опыт: Стаж работы по экономическим направлениям с 2003 года. Педагогический стаж с 2007 года.

Профиль >>

Все эксперты
Эксперт по аудиту на соответствие требованиям 787-П и 779-П Гончаров Андрей Михайлович

Гончаров Андрей Михайлович

Юрист в области информационной безопасности

Опыт: Профессиональный опыт в области IT-права с 2015 года

Профиль >>

Все эксперты

Положения в области обеспечения операционной надёжности 779-П и 787-П

С 1 октября 2022 года в силу вступило положение 787-П, регламентирующее требования к операционной надёжности при осуществлении банковской деятельности. Само собой, каждая организация, попадающая под действие данного документа, обязана к установленному сроку полностью соответствовать всем предписаниям данного положения, чтобы избежать санкций регулятора и вообще продолжать вести свою деятельность.

Для некредитных финансовых организаций аналогичным образом действует положение 779-П.

  1. Положение Банка России от 15 ноября 2021 г. N 779-П «Об установлении обязательных для некредитных финансовых организаций требований к операционной надежности при осуществлении видов деятельности, предусмотренных частью первой статьи 76.1 Федерального закона от 10 июля 2002 года N 86-ФЗ «О Центральном банке Российской Федерации (Банке России)», в целях обеспечения непрерывности оказания финансовых услуг (за исключением банковских услуг)» (далее — 779-П). Распространяется на некредитные финансовые организации при осуществлении услуг в сфере финансовых рынков.
  2. Положение Банка России от 12.01.2022 N 787-П «Об обязательных для кредитных организаций требованиях к операционной надежности при осуществлении банковской деятельности в целях обеспечения непрерывности оказания банковских услуг» (далее – 787-П). Данное положение вступило в силу уже с «01» октября 2022 года. Распространяется на кредитные организации при осуществлении банковской деятельности в целях обеспечения непрерывности оказания банковских услуг.

 

Вашей организации требуется приведение системы обеспечения операционной надёжности в соответствие 779-П или 787-П?

Эксперты компании RTM Group – профессионалы с опытом от 10 лет. Для нашего клиента будет проведён анализ всех технологических процессов, найдены возможные недочёты,  также будет оказана помощь в приведении системы обеспечения операционной надёжности в соответствие с требованиями регулятора, указанных в данных положениях.

Эксперты RTM Group готовы предложить:

  1. Полный анализ системы обеспечения операционной надежности;
  2. Классификацию технологических процессов;
  3. Приведение системы обеспечения операционной надежности в соответствие требованиям ЦБ РФ;
  4. Встраивание в систему обеспечения операционной надежностей модулей рисков ИБ и IT.

Данная услуга подходит, если:

  • В любых случаях, если организация попадает под требования Положений 787-П или 779 ЦБ РФ.

Что получает заказчик:

  • Пакет организационно-распорядительных документов в соответствии с положениями;
  • Описание технологических процессов, задействованных в критичной архитектуре;
  • Повышение уровня операционной надёжности;
  • Отсутствие санкций со стороны регулятора.

    Нужна консультация?

    При работе с обеспечением операционной надежности в рамках Положений 787-П/779-П следует учесть относительно новые термины: «операционная надежность», «технологический процесс», «объекты информационной инфраструктуры».

    Операционной надёжностью называют возможность отдельного технологического процесса (далее – технологический процесс) или организации в целом непрерывно выполнять свою работу в условиях сбоев и иного негативного влияния (внешнего или внутреннего). Иными словами, операционная надёжность – способность сохранять рабочие функции несмотря на какие-либо препятствия.

    Обеспечение надёжной и непрерывной работы — неотъемлемая часть любого предприятия, ведь от этого напрямую зависит возможность осуществления критически важных бизнес-процессов. Поэтому операционная надёжность реализуется в каждой финансовой организации, новые положения только расширят перечень требований к обработке и защите данных, а также добавят меры к управлению операционной надёжностью

    Технологические процессы – процессы, обеспечивающие выполнение критически важных операций и задействованные в оказании банковских/финансовых услуг. Перечень технологических процессов представлен в приложениях к 787-П/779-П.

    Объекты информационной инфраструктуры – автоматизированные системы, программное обеспечение, средства вычислительной техники, телекоммуникационное оборудование, задействованные в обеспечении технологических процессов.

    Обеспечение операционной надёжности 787 и 779

    Обеспечение операционной надежности в общем виде: схематично

     

    Целевые показатели операционной надежности

    Целевые показатели операционной надежности определяются на основании статистических данных за период не менее двенадцати календарных месяцев, предшествующих дате определения значения целевого показателя операционной надежности.

    Целевой показатель

    Определение
    Допустимая доля деградации технологического процесса Общее количество операций в период инцидентов/ общее количество операций непрерывного функционирования
    Допустимое время простоя и (или) деградации технологических процессов кредитных организаций в рамках инцидента операционной надежности Срок, не превышающий установленного Приложениями значения в диапазоне от 2 до 24 часов
    Допустимое суммарное время простоя и (или) деградации технологического процесса кредитной организации Общее допустимое время простоя в случае превышения допустимой доли деградации технологического процесса в течение очередного календарного года
    Показатель соблюдения режима работы (функционирования) технологического процесса

    Время начала, время окончания, продолжительности и последовательности процедур в рамках технологического процесса

    Если технологический процесс функционирует менее 12 месяцев, то показатели определяются на основании статистических данных за период с даты начала его функционирования и (или) иных данных, обосновывающих их определение.

    Фиксация превышения допустимой доли деградации технологических процессов

    1. Фактическое время простоя и (или) деградации технологического процесса, исчисляемого по каждому инциденту операционной надежности;
    2. Фактическая доля деградации технологического процесса в рамках отдельного инцидента операционной надежности;
    3. Суммарное время простоя и (или) деградации технологического процесса за последние двенадцать календарных месяцев.

    К критичной архитектуре относят:

    Критическая архитектура 787П и 779П

    Требования к субъектам регулирования

    Кредитные/финансовые организации в рамках обеспечения операционной надежности должны выполнять следующие требования в отношении управления изменениями критичной архитектуры:

    • Управление уязвимостями в критичной архитектуре, с использованием которых могут реализоваться информационные угрозы и которые могут повлечь отклонение от значений целевых показателей операционной надежности;
    • Планирование и внедрение изменений в критичной архитектуре, направленных на обеспечение непрерывного оказания банковских/финансовых услуг;
    • Управление конфигурациями объектов информационной инфраструктуры;
    • Управление уязвимостями и обновлениями (исправлениями) объектов информационной инфраструктуры.

    Финансовые организации должны обеспечивать выполнение следующих требований к выявлению, регистрации инцидентов операционной надежности и реагированию на них, а также восстановлению выполнения технологических процессов и функционирования объектов информационной инфраструктуры после реализации таких инцидентов:

    • Выявление и регистрация инцидентов операционной надежности;
    • Реагирование на инциденты операционной надежности в отношении критичной архитектуры;
    • Восстановление функционирования технологических процессов и объектов информационной инфраструктуры после реализации инцидентов операционной надежности;
    • Проведение анализа причин и последствий реализации инцидентов операционной надежности;
    • Организация взаимодействия между подразделениями организации, а также между организацией и Банком России, иными участниками технологического процесса в рамках реагирования на инциденты операционной надежности и восстановления выполнения технологических процессов и функционирования объектов информационной инфраструктуры после реализации инцидентов операционной надежности.

    Особое место отдается вопросам организации взаимоотношений с поставщиков услуг в сфере информационных технологий, через нейтрализацию и управление рисками информационных угроз, обусловленных:

    • Привлечением поставщиков услуг, в том числе защиту своих объектов ИИ от возможной реализации информационных угроз со стороны поставщиков услуг;
    • Технологической зависимостью функционирования объектов информационной инфраструктуры от поставщиков услуг в сфере информационных технологий.

    Организации должны принимать организационные и технические меры по управлению операционной надёжностью:

    • Сценарный анализ;
    • Тестирование;
    • Организационные и технические меры в отношении субъектов доступа (внутренних нарушителей);
    • Обмен и использование информации об актуальных сценариях реализации информационных угроз;
    • Обеспечение защиты дистанционной работы сотрудников;
    • Выполнение требований, направленные на противодействие целевым компьютерным атакам (для субъектов критической информационно инфраструктурой);

    Требования к операционной надежности, которые необходимо отразить во внутренних документах, включают:

    • Требования к порядку определения значений целевых показателей операционной надежности и обеспечению контроля за их соблюдением;
    • Требования к идентификации состава элементов;
    • Требования к управлению изменениями элементов;
    • Требования к выявлению, регистрации инцидентов операционной надежности и реагированию на них, а также восстановлению выполнения технологических процессов и функционирования объектов информационной инфраструктуры после реализации указанных инцидентов;
    • Требования к взаимодействию с третьими лицами (внешними подрядчиками, контрагентами, участниками банковской группы), оказывающими услуги в сфере информационных технологий, связанные с выполнением технологических процессов;
    • Требования к тестированию операционной надежности технологических процессов;
    • Требования к нейтрализации информационных угроз со стороны несанкционированного доступа внутреннего нарушителя к объектам информационной инфраструктуры;
    • Требования к обеспечению осведомленности кредитной организации об актуальных информационных угрозах, которые могут привести к инцидентам операционной надежности.

    Что должно быть отражено в документах:

    • Определение и описание состава процедур;
    • Определение перечня и порядка организационного взаимодействия подразделений (организационная структура);
    • Определение порядка осуществления контроля за соблюдением требований к операционной надежности в рамках системы внутреннего контроля (для НФО установление функций контроля подразделениям);
    • Выделение ресурсного обеспечения для выполнения требований к операционной надежности;
    • Порядок утверждения и условия пересмотра процедур.

    Также финансовые организации должны производить регистрацию событий в области операционной надежности:

    • Данных, используемых для фиксации превышения установленных значений целевых показателей операционной надежности;
    • Данных, позволяющих выявить причину превышения установленных значений целевых показателей операционной надежности;
    • Результата реагирования на инцидент операционной надежности (о принятых мерах и проведенных мероприятиях по реагированию на выявленный кредитной организацией или Банком России инцидент операционной надежности);
    • Кредитные организации фиксируют в базе событий операционных рисков!

    В Положениях прописана необходимость информирования Банка России:

    • О выявленных событиях операционного риска, связанных с нарушением операционной надежности, а также о принятых мерах и проведенных мероприятиях по реагированию на указанные события операционного риска, связанные с нарушением (инцидент) операционной надежности, организацией или Банком России;
    • О планируемых публичных мероприятиях, в отношении событий операционного риска, связанных с нарушением операционной надежности.

    Организации в целях выполнения требований 787-П/779-П должны:

    1. Моделировать информационные угрозы в отношении критичной архитектуры;
    2. Планировать применение организационных и технических мер, направленных на реализацию требований к операционной надежности;
    3. Обеспечивать реализацию требований к операционной надежности на стадиях создания, ввода в эксплуатацию, эксплуатации, модернизации, вывода из эксплуатации объектов информационной инфраструктуры;
    4. Обеспечивать контроль соблюдения требований к операционной надежности (НФО в отношении элементов критической инфраструктуры).

    Таким образом, Положения 787-П/779-П требует от кредитных и некредитных финансовых организаций проработанного организационного, в первую очередь методологического, подхода к обеспечению операционной надежности. Разработка методологии и построение технологических процессов в соответствии с Положениями требуют организационных и технических ресурсов.

    Ваши преимущества с RTM Group

    • Профиль деятельности RTM Group – проведение аудитов, экспертиз и предоставление юридических услуг в сфере ИТ и кибербезопасности;
    • Специалисты со стажем от 10 лет в области ИС, ИБ и управления рисками;
    • Мы обладаем лицензиями:
      • Лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации
      • Лицензия ФСТЭК России на деятельность по разработке и производству средств защиты конфиденциальной информации
      • Лицензия ФСБ России на работу со средствами криптозащиты

    Лицензии RTM Group

    Заказать услуги по обеспечению соответствия 787-П/779-П

    Для уточнения стоимости и сроков звоните или пишите нам:

    Тел: 8 800 201-20-70 (Звонок по России бесплатный)
    email: info@rtmtech.ru

     






    Видео по аудиту на соответствие требованиям 787-П и 779-П

    Почему RTM Group

    RTM Group экспертная организация №1 по версии Федерального каталога экспертных организаций

    В списке SWIFT Directory of CSP assessment providers

    В реестре надежных партнеров торгово-промышленной палаты Российской Федерации

    Полноправный член «Ассоциации пользователей стандартов по информационной безопасности» (АБИСС)

    Входим в рейтинг «Pravo.ru-300» в отрасли Цифровая экономика

    Сайт RTM Group входит в тройку лучших юридических сайтов России

    В составе ТК №122

    Цены на услуги по аудиту на соответствие требованиям 787-П и 779-П

    Обратите внимание!
    Компания работает с юридическими лицами, ИП и бюджетными организациями по безналичному расчету.
    Работа с физическими лицами временно не осуществляется.

    Наименование услуги Стоимость

    Консультация

    Бесплатно

    Оценка соответствия по 779-П

    Срок – от 4 недель

    Подробное описание
     

    от 300 000 руб.

    Оценка соответствия по 787-П

    Срок – от 4 недель

    Подробное описание
     

    от 300 000 руб.

    Работаем с юридическими лицами, ИП и бюджетными организациями по безналичному расчету.
    Работа с физическими лицами временно не осуществляется.

    Наши преимущества

    2800+ аудитов и экспертиз

    Эксперты обладают одновременно опытом ИТ-аудитов и судебных компьютерных экспертиз

    821-П, 683-П, 757-П, 802-П, Пентест, ОУД4 и пр.

    Специализируемся на всех вариантах аудитов ИБ финансовых организаций по требованиям Центрального банка

    Каждый 5-й российский банк - наш клиент

    Мы работаем с банками по направлениям аудитов ИБ, экспертизам, а также оказываем юридическую поддержку

    Наш ключевой профиль

    Работы по направлению ИТ и кибербезопасности

    Широкая география работы и присутствия

    Работа на территории России, Беларуси и Казахстана

    3 лицензии

    ФСТЭК России и ФСБ России

    Услуги для вас

    Продукты и решения для вас

    Нам доверяют

    Полезные статьи

    FAQ: Часто задаваемые вопросы