Из Российского регулирования  в документ попала инструкция Банка России 242-П, но не попал стандарт СТО БС ИББР-1.0-2010, о чем я уже написал автору документа Кстати, 22 июня Банк России официально опубликовал информацию о вводе в действие новых версий документов комплекта БР ИББС.

Кстати,

Приказ, среди прочего, устанавливает целевые показатели восстановления для сайтов федеральных органов:

RTO – 4 часа

Суммарная длительность перерывов в работе официального сайта в информационно-телекоммуникационной сети Интернет (далее – сеть Интернет) не должна превышать 4 часов в месяц (за исключением перерывов, связанных с обстоятельствами непреодолимой силы). При необходимости проведения плановых технических работ, в ходе которых доступ пользователей информацией к информации, размещенной на официальном сайте, будет невозможен, уведомление об этом должно быть размещено на главной странице официального сайта не менее чем за сутки до начала работ.

RPO – 24 часа

В целях защиты информации, размещенной на официальном сайте, должно быть обеспечено:

[...]

в) ежедневное копирование всей размещенной на официальном сайте информации и электронных журналов учета операций на резервный материальный носитель, обеспечивающее возможность их восстановления.

Кроме того, определены некоторые требования к хранению резервных копий:

д) хранение резервных материальных носителей с ежедневными копиями всей размещенной на официальном сайте информации и электронных журналов учета операций – не менее одного года, с еженедельными копиями всей размещенной на официальном сайте информации – не менее двух лет, с ежемесячными копиями всей размещенной на официальном сайте информации – не менее трех лет.

К сожалению, ничего не было сказано про хранение резервных копий за пределами серверных помещений – это могло бы в перспективе помочь избежать пары неприятных историй (вспомним, например, историю с Комсомольской правдой)

Не знаю, предшествовал ли выбору этих целевых показателей BIA, но зато теперь федеральные власти смогут сэкономить на проведение анализа в каждом конкретном ведомстве, если, конечно, они не сочтут необходимым установить более жесткие показатели восстановления.

В тот же день аналогичный сертификат получила и PricewaterhouseCoopers LLP. Здесь примечательно то, что сертифицирован был 41 офис компании в Великобритании, и их перечень занял 6 из 7 страниц сертификата Органом по сертификации опять же выступил BSI, что, к моему удивлению, не было отражено в пресс-релизе компании.

Даже особенно нечего и добавить – молодцы коллеги, так держать.

В 15 выпуске издания «Платежные и расчетные системы» ЦБ опубликовал переводы сразу двух документов в области непрерывности бизнеса в финансовой сфере: «Руководящие принципы обеспечения непрерывности бизнеса» Базельского банковского комитета (Банк по международным расчетам), и «Рекомендации по наблюдению за непрерывностью деятельности для системно значимых платежных систем» Европейского Центробанка.

Первый документ, как известно, послужил основой при выпуске изменений к Инструкции 242-П, поэтому на нем я остановлюсь поподробнее. Второй тоже достаточно любопытно прочитать, среди прочих моментов он дает чуть более широкий взгляд на целевые показатели обеспечения непрерывности деятельности, ставя для ряда участников рынка по главу угла влияние от прерывания деятельности не на их собственный бизнес, а на платежную систему на уровне страны (точнее говоря, Еврозоны). Несмотря на то, что документ ориентирован на финансовые организации стран Еврозоны, прочитать стоит, тем более, что документ небольшой. Единственное, рекомендую читать в оригинале, т.к. перевод этого документа, в отличие от «Руководящих принципов…», сильно оставляет желать лучшего.

Теперь вернемся к «Руководящим принципам…»

Поскольку этот документ во многом лег в основу измений к 242-П, достаточно интересно посмотреть, что из семи принципов вошло в 242-П, и в каком виде. Итак, по порядку.

Принцип 1. Ответственность совета директоров и высшего руководства.
«Советы директоров и высшее руководство организаций несут коллективную ответственность за непрерывность бизнеса организации.»

Принцип безусловно разумный, и, среди прочего, пересекается с рекомендациями BS 25999. Однако, в 242-П по каким-то причинам эти рекомендации не вошли. Тем не менее, основываясь на своем опыте, я бы рекомендовал максимально стараться воплотить его в жизнь – система будет работать горадо эффективнее.

Принцип 2. Крупные операционные нарушения.
«Участники финансового сектора и финансовые органы при формировании подхода к управлению непрерывностью бизнеса должны учитывать риск крупного операционного нарушения. Финансовым органам также следует оценить их собственную реакцию на потенциальные крупные операционные нарушения, которые могут затруднить проведение операций участниками финансового сектора или финансовой системой, за работу которой они несут ответственность.»

Тезис о том, что планы ОНиВД должны предусматривать возможность масштабных ЧС в 242-П вошел, и даже был дополнен ссылками на Российские нормативные документы. А вот рекомендации по поводу альтернативных площадок остались за кадром.

Принцип 3. Цели восстановления
«Участники финансового сектора должны сформулировать для себя цели восстановления, учитывающие потенциальный риск, который они представляют для операций финансовой сферы. Предпочтительно, чтобы формулировки таких целей восстановления были согласованы с соответствующими финансовыми органами или разрабатывались ими.»

Если в «Принципах…» делается упор на возможной влияние на финансовую систему в целом, то 242-П больше сфокусировано на стандартных для анализа воздействия на бизнес аспектах, т.е. влияние на бизнес кредитной органиации, как таковой.

Принцип 4. Обмен информацией.
«Участники финансового сектора и финансовые органы должны включать в свои планы обеспечения непрерывности бизнеса процедуры для обмена информацией во время крупного операционного нарушения внутри организации и с соответствующими внешними сторонами.»

Принцип нашел свое отражение в 242-П (Пункт 7 Приложения 5), хотя и в более общей форме.

Принцип 5. Трансграничный обмен информацией.
«Процедуры обмена информацией для участников финансового сектора и финансовых органов на случай крупных операционных нарушений, затрагивающих несколько стран, должны предусматривать обмен информацией с финансовыми органами, действующими в пределах других юрисдикций.»

Пункт разумный, но учитывая не очень высокий уровень зрелости нашей банковской системы в области непрерывности бизнеса, а также не такой высокий уровень интеграции в мировую банковскую систему – пока не нашел своего отражения в 242-П.

Принцип 6. Проверки (тестирование).
«Участники финансового сектора и финансовые органы должны производить проверку своих планов
обеспечения непрерывности бизнеса, оценивать их эффективность и соответствующим образом совершенствовать управление непрерывностью бизнеса.»

 Здесь 242-П раскрывает вопрос даже более подробно. Единственное, пожалуй, что было исключено – это крупномасштабное тестирование с вовлечением множества кредитных организаций. Наверное, не самое сейчас подходящее время – не все могут выдержать…

Принцип 7. Контроль за управлением непрерывностью бизнеса со стороны финансовых органов
«Финансовые органы должны включать в практику своей работы осуществление контроля за управлением непрерывностью бизнеса для проведения оценки участников финансового сектора, находящихся в сфере их ответственности.»

Этот пункт относится скорее к деятельности самого ЦБ, и появление изменений к 242-П можно считать первым шагом на пути выполнения этого принципа.

Обобщая все вышесказанное, можно рискнуть сделать следующие выводы:

1. В некоторых аспектах «Руководящие принципы…» оказываются более подробными, чем 242-П, соответственно, и в этих вопросах ими можно и нужно пользоваться. Равно как и другими стандартами, такими как BS 25999, BS 25777.
2.  »Руководящие принципы…» дают некоторое представление, в какую сторону, скорее всего, будет развиваться регулирование со стороны ЦБ.

Приложение получилось простое, но удобное. На мой взгляд, кроме популяризации самого стандарта NFPA 1600, достаточно интересная идея, как в удобной форме донести до людей планы реагирования в чрезвычайных ситуациях.

Приложение можно бесплатно загрузить из iTunes App Store. Единственное ограничение - требует наличия версии 3.0.

Официальный пресс-релиз NFPA – здесь.

И вот сегодня в новостях прочитал, что NIST выпустил руководство по обеспечению безопасности при удаленной работе – Guide to Enterprise Telework and Remote Access Security (Special Publication 800-46 Revision 1).

Неплохой документ, имеет смысл прочитать, если проектируете решение для удаленного доступа. По крайней мере, можно ссылаться, что сделано в соответствии с авторитетными рекомендациями.

С одной стороны, это стандарт по информационной безопасности СТО БР ИББС-1.0-2008. Невзирая на рекомендательный характер документа, банковское сообщество относится к нему с достаточным уважением, ибо понятно – просто так Банк России чего-то рекомендовать не будет.

Второй документ, выдвигающий гораздо более серьезные требования – положение 242-П «Об организации внутреннего контроля в кредитных организациях и банковских группах». Требования по наличию планов обеспечения непрерывности бизнеса были в нем и раньше, но только с 2009 года в нем появилось подробное описание того, что, собственно, Банк России рассчитывает увидеть. В документе достаточно подробно расписаны требования практически ко всем этапам жизненного цикла СУНБ. Само постановление носит обязательный характер, а вот «Рекомендации по структуре и содержанию плана…», как это следует из их названия - рекомендательный. Появление новой редакции 242-П заставило банки гораздо серьезнее присмотреться к вопросам обеспечения непрерывности бизнеса.