Таким образом, например, оставив только качественную часть, вы будете признавать событие операционным риском только если его длительность более 24 часов.
Саму запись в базу событий надо внести с ее параметрами, признали вы событие операционным риском или нет, так как ЦБ будет проверять классификацию данных.
3) Что такое ключевые индикаторы риска?
Кратко – это целевой показатель уровня риска. Например, потери организации из-за сбоев оборудования не должны превышать 3 млн руб в год. Или простой оборудования должен быть не более 1% от общего рабочего времени.
Далее при достижении этих показателей, должно быть обязательно организовано мероприятие внутри компании, которое позволит исполнить заданные КИР. Например, оборудование чаще не работало, так как перегружено, и решено купить новый сервер, в этом случае мероприятие – покупка сервера, документы, подтверждающие его исполнение – накладная на приобретение.
4) Что такое критичный бизнес-процесс?
Критичный бизнес-процесс - это процесс, который руководство организации приняло как недопустимый к остановке. Например, процесс заказа сахара в офис или организация HR мероприятий приняли как некритичный и определили сроки его возможного простоя как 1 неделя.
Также ЦБ вменяет в 779-П набор обязательно критичных процессов, это процессы по урегулированию убытков, возврата премий и поддержания информационного сайта страховщика.Процессы, входящие в данные группы, нельзя признать не критичными.
5) Какие вы можете посоветовать мероприятия по минимизации операционного риска, связанного с операционной надежностью?
После идентификации объектов критичной архитектуры Вам сразу станет видно, где у Вас узкие места. Это могут быть роутеры Cisco, Windows, отсутствие порядка обработки событий и непонимание руководителей отделов, как работать с этим.
- Импортозамещение критичного оборудования.
- Формирование реестра бизнес-процессов организации.
- Обучение руководителей системе управления рисками и принятию решений на базе СУР.
- Настройка автоматизированного выявления рисков на базе мониторинга Zabbix.
6) Какая периодичность контроля за соблюдением значений целевых показателей операционной надежности является стандартной в рамках 779-П? Какую Вы можете посоветовать?
Периодичность выполнения процедур внутреннего контроля не регулируется Банком России, то есть, Вы сами в праве решать какие интервалы применять. Основная причина их сокращения, например до квартала или месяца, это желание быть уверенным, что завтра придет проверка и у вас все работает должным образом. В основном это зависит от масштаба деятельности, если организация до 10 сотрудников - мы обычно рекомендуем раз в год, если до 100 - раз в квартал, остальным - раз в месяц. Но, конечно, данные интервалы могут корректироваться в зависимости от бизнес-модели организации.
7) Как мы можем защищать свои объекты от поставщиков услуг?
В данном случае, во-первых, необходимо идентифицировать поставщиков как элементы критичной архитектуры и внести их в соответствующий реестр.
Далее, необходимо определить, а где именно может быть информационная угроза. Предположим, у вас есть агент, который оформляетдоговора и они приходят к вам автоматизировано. В этом случае надо оценить возможность реализации угроз в этом блоке. Как минимум это возможность отправки технологического запроса не вашим агентом, а мошенником. Это может быть воздействие вирусов итп. Нужно оценить влияние информационных угроз (список на сайте ФСТЭК) на Ваши бизнес-процессы. Если та или иная угроза может повлиять на Ваши бизнес-процессы, то организовываете соответствующие мероприятия.
8) Можете ли вы объяснить порядок определения показателей, указанных в п. 1.3 положения 779-П? Как на практике определяется, например, допустимое время простоя и (или) деградации? Какое первоначальное значение показателей?
Наша компания регулярно проводит вебинары, на которых наши эксперты подробно разбирают порядок определения данных показателей. Посмотреть наши последние вебинары, можно в нашем телеграм-канале.
Мы рекомендуем ставить показатели: 1, 1440, 100000, в случае отсутствия филиальной сети и отсутствия агентской сети. Такие показатели позволят вам выполнять меньше работ в процессеуправления операционным риском.
9) Где можно посмотреть код типа инцидента операционной надежности, согласно перечню типов размещаемого Банком России в сети «Интернет»?
Коды типов инцидентов не опубликованы на момент выхода статьи, будут опубликованы на сайте ФинЦерта http://cbr.ru/information_security/fincert/
10) Как фиксировать выполнение процедур внутреннего контроля?
Фиксация результатов выполнения процедур внутреннего контроля осуществляется в порядках, зафиксированных в Политике управления рисками и внутреннего контроля.
Мы искренне надеемся, что информация была полезной для Вас и хотим обратить Ваше внимание, что в нашем программных продуктах полностью автоматизированы все процедуры управления операционным риском, включая риск информационной безопасности, от регистрации инцидентов в базе событий до формирования периодической отчетности. Подробнее Вы можете узнать у наших специалистов.
Спасибо за прочтение! С уважением к Вам и Вашему бизнесу!
