Презентация Марии Акатьевой, директор департамента продуктов и услуг / руководителя направления систем менеджмента ИБ и НБ компании LETA, проведенная в рамках конференции «Грани ИБ Законодательство, процессы, технологии» 13-15 октября 2011 г. в «Атлас Парк-Отель»

1. Практика выполнения постановления 242П.
Обеспечение непрерывности деятельности
Банка на примере проекта.
Мария Акатьева – директор департамента
продуктов и услуг / руководитель направления
систем менеджмента ИБ и НБ ЗАО «Лета»
Август 2011 +7 (495) 921 1410 / www.leta.ru

2. СОДЕРЖАНИЕ
• Общие сведения о проекте
• Этапы выполнения проекта
• Выводы
+7 (495) 921 1410 / www.leta.ru 2

3. ЦЕЛИ ПРОЕКТА
Обеспечение бесперебойной работы критически важного
банковского процесса Банка, посредством разработки
системы обеспечения непрерывности деятельности.
Приведение системы обеспечения непрерывности
деятельности Банка в рамках выбранного критичного
процесса в соответствие с рекомендациями Приложения к
Указанию от 5 марта 2009 г. N 2194-У
+7 (495) 921 1410 / www.leta.ru 3

4. ОБЛАСТЬ РАБОТ
ПЛОЩАДКА
• Головной офис, Москва
КРИТИЧЕСКИ ВАЖНЫЙ БАНКОВСКИЙ ПРОЦЕСС
• Обеспечение приема и исполнения платежных
поручений от клиентов - юридических лиц
+7 (495) 921 1410 / www.leta.ru 4

5. ЗАДАЧИ ПРОЕКТА
• Оценка соответствия 2194-У
• Разработка организационной структуры в рамках НБ
• Разработка методик
• Оценка рисков, оценка влияния на бизнес
• ОРД, Планы ОНиВД
• Обучение, тестирование Планов
+7 (495) 921 1410 / www.leta.ru 5

6. ЭТАПЫ ПРОЕКТА
Этап 2.
Этап 1. Разработка Этап 3. Оценка
Обследование нормативной рисков, АР
базы
Этап 4.
Подготовка ОРД
и обучение
+7 (495) 921 1410 / www.leta.ru 6

7. ЭТАП 1. ВХОДЫ-ВЫХОДЫ ЭТАПА
1. План проведения
интервью 1. Отчет по
результатам
обследования
2. Изученная Этап 1.
документация Обследование
Цели этапа:
 Получение от Заказчика информации, необходимой для первичного
ознакомления с областью предстоящих работ;
 Интервьюирование – непосредственно на объекте Заказчика (сбор
недостающей информации);
 Документально зафиксировать результаты обследования и согласовать с
Заказчиком.
 Разработка ролевой структуры управления НБ
+7 (495) 921 1410 / www.leta.ru 7

8. РЕЗУЛЬТАТЫ ЭТАПА
• Разработка Карты требований 2194-У и 242-П
+7 (495) 921 1410 / www.leta.ru 8

9. РЕЗУЛЬТАТЫ ЭТАПА
• Отчет по результатам обследования
+7 (495) 921 1410 / www.leta.ru 9

10. ОПИСАНИЕ БИЗНЕС –ПРОЦЕССА
Описание процесса в выбранной нотации
• На данном этапе будет выполнено высокоуровневое
описание процесса в форматt, поддерживаемом Business
Studio
Статус РНП
изменен
(отбракован и
Формирование т.д.)
РНП для ЦБ РФ
(ОР7)
Шифрование Получение
Постановка платежа Расчет позиции, V V и отправка ответа РНП
на позицию ОПОО маршрутизация XOR
РНП в МЦИ из МЦИ подтвержден
(ОР3) платежей (ОР6)
Формирование (ОР9) (ОР10)
Проведение РНП для
Платежный Ввод
первичного V S.W.I.F.T. (ОР8)
документ информации в
контроля
принят IBSO (ОР2)
(ОР1) Принятие решения
относительно
Отправка внутреннего
платежа,
реестра платежей РЦ
формирование
(ОР5)
внутреннего реестра
платежей (ОР4)
+7 (495) 921 1410 / www.leta.ru 10

11. РОЛЕВАЯ СТРУКТУРА ПО НБ
+7 (495) 921 1410 / www.leta.ru 11

12. РОЛЕВАЯ СТРУКТУРА ПО НБ
Головной офис Обозначения:
-Члены групп реагирования
-Риск-менеджер
-Контролер(аудитор)
- Менеджер НБ
Филиал Филиал
Доп. офис Доп. офис Доп. офис Доп. офис Доп. офис
+7 (495) 921 1410 / www.leta.ru 12

13. ПЛАН ПРИВЕДЕНИЯ В СООТВЕТСТВИЕ
• План приведения в
соответствие
 На основании «Оценки
соответствия 2194-У»
будет подготовлен план
по закрытию конкретных
требований путем
разработки
соответствующих
документов, проведению
соответствующих работ.
+7 (495) 921 1410 / www.leta.ru 13

14. СТРУКТУРА ДОКУМЕНТАЦИИ
+7 (495) 921 1410 / www.leta.ru 14

15. ЭТАП 2. ВХОДЫ-ВЫХОДЫ ЭТАПА
1. Лучшие практики 1. Методика оценки
Этап 2. рисков
2. Экспертное мнение Разработка 2. Методика анализа
нормативной воздействия на бизнес (АВБ)
базы
Цель Этапа:
 Разработка и согласование методики анализа
воздействия на бизнес (АВБ)
 Разработка и согласование Методики анализа
рисков (МАР)
+7 (495) 921 1410 / www.leta.ru 15

16. РЕЗУЛЬТАТЫ ЭТАПА 2 (1)
Состав методики Анализ воздействия на бизнес (АВБ):
Методика определения активностей, поддерживающих
бизнес-процесс;
Формат описания бизнес процесса (EPC, IDEF0), его
детализация, описание активностей;
Критерии влияния на бизнес нарушения нормального
хода процесса;
Шкала определения уровня ущерба;
Максимально допустимое время простоя
+7 (495) 921 1410 / www.leta.ru 16

17. ОПРЕДЕЛЕНИЕ НЕГАТИВНЫХ СЦЕНАРИЕВ
Номер сценария Содержание
СЦЕНАРИЙ 1 Информационное обслуживание критичных услуг Банка
прервано, ожидаемая продолжительность не превысит Х
часов.
СЦЕНАРИЙ 2 Информационное обслуживание критичных услуг Банка
прервано, ожидаемая продолжительность превысит Х
часов. Влияние на Филиалы катастрофично.
СЦЕНАРИЙ 3 Информационное обслуживание критичных услуг Банка
прервано его ожидаемая продолжительность не превысит
Х часов. Влияние на Филиалы катастрофично.
СЦЕНАРИЙ 4 Информационное обслуживание критичных услуг Банка
прервано, его ожидаемая продолжительность превысит Х
часов.
СЦЕНАРИЙ 5 Информационное обслуживание критичных услуг
филиала Банка прервано его ожидаемая
продолжительность не превысит Х часов.
СЦЕНАРИЙ 6 Информационное обслуживание критичных услуг
филиала Банка прервано его ожидаемая
продолжительность превысит Х часов.
+7 (495) 921 1410 / www.leta.ru 17

18. ОПРЕДЕЛЕНИЕ КРИТИЧНЫХ АКТИВОВ,
РЕСУРСОВ И ОПЕРАЦИЙ ПРОЦЕССА
• Сбор информации подпроцессы
Платежный
Платежный
документ
документ
•Ресурсы
(бум.)
БД IBS БД IBS
•Ответственные
«Банковский «Банковский
Банк-клиент
комплекс комплекс
IBSO» IBSO»
АРМ
Сервер
IBSO
ЛВС АРМ
Сервер
IBSO
Сервер
Банк- ЛВС •Информация
клиент
•Требования
Офис Офис
•Поставщики
Платеж одобрен XOR
ОР2.1 Ввод
информации в IBSO в
Информация
введена в
ОР2.2 Подгрузка в
IBSO электронного
Информация
введена в
•Договора и т.д.
ручном режиме IBSO платежа IBSO
ООЮЛ ООЮЛ
+7 (495) 921 1410 / www.leta.ru 18

19. КРИТЕРИИ ОЦЕНКИ ВОЗДЕЙСТВИЯ НА
БИЗНЕС
+7 (495) 921 1410 / www.leta.ru 19

20. ОПРЕДЕЛЕНИЕ ВРЕМЕНИ
ВОССТАНОВЛЕНИЯ
+7 (495) 921 1410 / www.leta.ru 20

21. КЛАССЫ ВОССТАНОВЛЕНИЯ БИЗНЕС –
ПРОЦЕССОВ И СИСТЕМ
+7 (495) 921 1410 / www.leta.ru 21

22. РЕЗУЛЬТАТЫ ЭТАПА 2 (2)
Состав Методики оценки рисков:
Ресурсы, которые использует БП
Ресурсы и активности исходя из АВБ
Имеющиеся уязвимости
Уязвимости активов
Угрозы направленные на
Угрозы активы
Возможный ущерб при
Ущерб реализации угрозы
Ранг риска Уровень или ранг риска (мера)
Приемлемый уровень риска,
Порядок обработки рисков защитные меры
+7 (495) 921 1410 / www.leta.ru 22

23. УГРОЗЫ ПРЕРЫВАНИЯ БИЗНЕС-ПРОЦЕССА
+7 (495) 921 1410 / www.leta.ru 23

24. РИСКИ ПРЕРЫВАНИЯ БИЗНЕС-ПРОЦЕССА
+7 (495) 921 1410 / www.leta.ru 24

25. РЕЗУЛЬТАТЫ ЭТАПА 3 (2)
Состав Плана обработки рисков:
Меры по снижению рисков
График выполнения работ с
ответственными исполнителями
Риск + Защитная мера = Допустимый уровень риска
+7 (495) 921 1410 / www.leta.ru 25

26. СТРАТЕГИЯ ПО НБ
Максимально- Время восстановления Время восстановления
допустимое Ниже стоимость решения,
время простоя но выше риск несоответствия
Стоимость решения
требованиям непрерывности
Стоимость потерь
Существующие
меры НБ
RTO1 RTO2 RTO3 MTPoD
Время восстановления
+7 (495) 921 1410 / www.leta.ru 26

27. СТРАТЕГИЯ ПО НБ
Стратегия обеспечения непрерывности бизнеса
 Надлежащие меры по снижению вероятности
наступления инцидентов
 Способ восстановления
 Способ поддержания работоспособности бизнес –
процессов на минимально приемлемом уровне
 Ресурсы для возобновления критичного БП
• Кадры
• Помещения
• Технологии Стратегия
• Информация непрерывности
• Заинтересованные стороны и т.д.
+7 (495) 921 1410 / www.leta.ru 27

28. СПОСОБЫ ОБЕСПЕЧЕНИЯ НБ
+7 (495) 921 1410 / www.leta.ru 28

29. ЭТАП 4. ВХОДЫ-ВЫХОДЫ
1. Имеющаяся 1. Положение по обеспечению
документация по НБ* НБ
Этап 4.
Подготовка 2. Набор планов ОНиВД*
2. Методики АР, АВБ ОРД и
3. Программа обучения
обучение
Цель Этапа:
 Разработать адаптированный пакет ОРД с учетом уже
разработанной документации, а также с учетом
требований 2194-У, лучших практик (BS 25999-1/2)
 Провести обучение сотрудников (процессы,
документация)
*НБ – непрерывность бизнеса, ОНиВД – обеспечение непрерывности и восстановления деятельности, АР –
анализ рисков, АВБ – анализ воздействия на бизнес, ОРД – организационно –распорядительные документы
+7 (495) 921 1410 / www.leta.ru 29

30. ЭТАП 4. ДЕЯТЕЛЬНОСТЬ В РАМКАХ ЭТАПА
Выполняемые работы:
 Рассмотреть и согласовать структуру и состав пакета ОРД
 Разработать пакет ОРД в составе:
 «Положение по обеспечению непрерывности
деятельности»
 «План ОНиВД» в рамках критичного БП
 Программа обучения, презентация, учебные материалы
+7 (495) 921 1410 / www.leta.ru 30

31. ПОЛОЖЕНИЕ ПО ОБЕСПЕЧЕНИЮ НБ
• Цель – задание
структуры
системы
обеспечения
НБ,
предъявление
требований.
+7 (495) 921 1410 / www.leta.ru 31

32. СТРУКТУРА ПЛАНОВ ОНИВД
Практика: Cоответствие:
План ОНиВД
•BS 25999 Золотого уровня •2194-У
•Стандарт АРБ
•BCI
•DRII
План ОНиВД План ОНиВД План ОНиВД
Серебряного Серебряного Серебряного
уровня уровня уровня
Аварийные Аварийные Аварийные
процедуры, процедуры, процедуры,
инструкции, инструкции, инструкции,
Планы Планы Планы
восстановления восстановления восстановления
АИС АИС АИС
+7 (495) 921 1410 / www.leta.ru 32

33. ПЛАН ОНИВД. ЗОЛОТОЙ УРОВЕНЬ
+7 (495) 921 1410 / www.leta.ru 33

34. ПЛАН ОНИВД. ЗОЛОТОЙ УРОВЕНЬ
Ссылки на
Частные
Планы /
Модули
+7 (495) 921 1410 / www.leta.ru 34

35. ПЛАН ОНИВД: ЗОЛОТОЙ УРОВЕНЬ
+7 (495) 921 1410 / www.leta.ru 35

36. ИНСТРУКЦИИ СОТРУДНИКАМ: БРОНЗОВЫЙ
УРОВЕНЬ
+7 (495) 921 1410 / www.leta.ru 36

37. ПРОГРАММА ТЕСТИРОВАНИЯ ПЛАНОВ
+7 (495) 921 1410 / www.leta.ru 37

38. СЦЕНАРИЙ НАСТОЛЬНОГО ТЕСТИРОВАНИЯ
Аварийное отключение
электричества в здании
Начало
ЗАО «Лета» целиком в
•
12.00 в понедельник
Сценарий настольного Переключение источников
T: 1 мин
12.01
тестирования:
бесперебойного питания на
работу от аккумуляторных
батарей, передача SMS
Менеджеру ИС
Сценарий: T: 1 мин
12.02 Информирование
Менеджера по НБ
Менеджер ИС
 В 12.00 в понедельник T: 1 мин
12.10
V
T: 2 мин
Уточнение причин и 12.03
произошло отключение Менеджер ИС времени отключения в
МОСЭнерго
Рассылка сотрудникам подразделения
ОД предупредительно письма с просьбой
сохранить информацию по проектам на
мобильные ноутбуки и корпоративные
флешки в экстренном режиме в течении
Менеджер НБ
15 мин. (текст заранее согласован)
электропитания в T: 2 мин
МосЭнерго подтвердили
отключение
электричества до 18.00 T: 2 мин
12.05
Информирование
Здание офиса
12.11
сотрудников АХО о
Менеджер НБ
необходимости прояснить
Информирование ситуацию
Менеджер ИС Менеджера по НБ по
телефону
 Подача электроэнергии
T: 2 мин
12.12
Сообщение Генеральному
Менеджер НБ директору о переходе в
нештатной режим работы Руководители
возобновлена в 18.00
проектов T: 5 мин
12.20
T: 1 мин
12.25
T: 2 мин
12.14
Информирование руководителей
Автоматическое
 Допустимое время
проектов о рассылке информационного
отключение серверов по
Менеджер НБ письма всем Клиентам, с которыми Рассылка письма
достижению 20% заряда
ведутся работы о нештатной ситуации
батареи
(текст письма заранее заготовлен)
простоя 3 часа
T: 30 мин
13.05
Переход на работу из дома по
ключевым проектам по инструкции:
Консультанты передача писем через внешние сети
проектов только в зашифрованном виде с
использование сильных паролей в
соответствии с парольной политикой
T: 1,5 час
14.35
Конец Начало работы из дома
+7 (495) 921 1410 / www.leta.ru 38

39. ОТЧЕТ ПО РЕЗУЛЬТАТА ТЕСТИРОВАНИЯ
• Шаблон оформление
отчета по
результатам
тестирования
+7 (495) 921 1410 / www.leta.ru 39

40. ВЫВОДЫ
• Внедрение системы управления
непрерывностью бизнеса должно
проводиться с использованием практик
международных стандартов в области
НБ
• Для обеспечения успешного внедрения
необходимо разрабатывать структуру
Планов ОНиВД с четкой зоной
ответственности
+7 (495) 921 1410 / www.leta.ru 40

41. ВЫВОДЫ
• Необходимо разрабатывать детальные
инструкции действий персонала в случае
ЧС
• При разработке Планов ОНИВД
необходимо учитывать требования и
возможные риски ИБ в процессе
развития ЧС
+7 (495) 921 1410 / www.leta.ru 41

42. КОНТАКТНАЯ ИНФОРМАЦИЯ
Спасибо!
LETA IT-company
109129, Россия, Москва, ул. 8-я Текстильщиков, д.11, стр. 2
Тел./факс: +7 (495) 921-1410
Единая служба сервисной поддержки: + 7 (495) 921-1410
www.leta.ru
© 2010 LETA IT-company. All rights reserved.
This presentation is for informational purposes only. LETA IT-company makes no warranties, express or implied, in this summary.
42