СОИБ. Обеспечение непрерывности бизнеса и восстановления деятельности (Часть 1)



Одна из актуальных тем, озвученных на недавней IV Межбанковской конференции - обеспечение непрерывности бизнеса и восстановления деятельности.

1.                  Необходимость обеспечения непрерывности бизнеса понятна любому руководителю организации. Но обязательно обратите внимание на внешние требования по обеспечению непрерывности:
·         161-ФЗ О национальной платежной системе:
“Статья 12. Оператор электронных денежных средств и требования к его деятельности
6. Оператор электронных денежных средств обязан обеспечить бесперебойность осуществления перевода электронных денежных средств в соответствии с требованиями, установленными нормативными актами Банка России.
4. Оператор электронных денежных средств обязан уведомить Банк России в установленном им порядке о начале деятельности по осуществлению перевода электронных денежных средств не позднее 10 рабочих дней со дня первого увеличения остатка электронных денежных средств. В уведомлении должны быть указаны:
4) порядок обеспечения бесперебойности осуществления перевода электронных денежных средств;
Статья 24. Требования к значимой платежной системе
1. Банк России устанавливает следующие требования к системно значимой платежной системе:
4) обеспечение гарантированного уровня бесперебойности оказания операционных услуг;
Статья 28. Система управления рисками в платежной системе
3. Система управления рисками должна предусматривать следующие мероприятия:
4) определение показателей бесперебойности функционирования платежной системы в соответствии с требованиями нормативных актов Банка России;
5) определение порядка обеспечения бесперебойности функционирования платежной системы в соответствии с требованиями нормативных актов Банка России;
Статья 33. Порядок проведения инспекционных проверок поднадзорных организаций
2. При нарушении бесперебойности функционирования значимой платежной системы Банк России проводит внеплановые инспекционные проверки.
Статья 34. Действия и меры принуждения, применяемые Банком России в случае нарушения поднадзорной организацией требований настоящего Федерального закона или принятых в соответствии с ним нормативных актов Банка России
2. В случаях, если нарушения требований настоящего Федерального закона или принятых в соответствии с ним нормативных актов Банка России поднадзорной организацией влияют на бесперебойность функционирования платежной системы либо на услуги, оказываемые участникам платежной системы и их клиентам, Банк России применяет одну из следующих мер принуждения:
1) направляет предписание об устранении нарушения с указанием срока для его устранения;
2) ограничивает (приостанавливает) предписанием оказание операционных услуг, в том числе при привлечении операционного центра, находящегося за пределами Российской Федерации, и (или) услуг платежного клиринга.”
·         Указание ЦБФР 2695-У О требованиях к обеспечению бесперебойности осуществления перевода электронных денежных средств
“3. Оператор электронных денежных средств обязан принимать следующие меры, направленные на обеспечение бесперебойности осуществления перевода электронных денежных средств:
    осуществлять меры, направленные на недопущение нарушений функционирования операционных и технологических средств, устройств, информационных систем, обеспечивающих учет информации об остатках электронных денежных средств и их перевод, а в случае возникновения указанных нарушений осуществлять меры по их устранению;
    проводить анализ причин нарушений функционирования операционных и технологических средств, устройств, информационных систем, выработку и реализацию мер по их устранению;
    обеспечивать сохранение функциональных возможностей операционных и технологических средств, устройств, информационных систем при сбоях в их работе (далее - отказоустойчивость), осуществлять их тестирование в целях выявления недостатков функционирования, а в случае выявления указанных недостатков принимать меры по их устранению.
    4. Для организации деятельности, связанной с обеспечением бесперебойности осуществления перевода электронных денежных средств, оператор по переводу электронных денежных средств утверждает, внутренние документы в соответствии с пунктом 4 части 5 статьи 12 Федерального закона N 161-ФЗ (далее - внутренние документы).
Внутренние документы должны содержать:
    перечень возможных причин нарушения функционирования операционных и технологических средств, устройств, информационных систем, влекущих прекращение осуществления перевода электронных денежных средств или его ненадлежащее осуществление, и сроки их устранения;
    план действий в случае нарушения функционирования операционных и технологических средств, устройств, информационных систем, направленный на восстановление их функционирования, в том числе путем применения резервных операционных и технологических средств, устройств, информационных систем, а также сроки проведения мероприятий в рамках применяемого плана;
    перечень и периодичность проведения регламентных работ по обеспечению отказоустойчивости;
    порядок резервного копирования информации об осуществленном переводе электронных денежных средств, об остатках электронных денежных средств, а также хранения такой информации, в том числе сроки ее хранения;
    порядок контроля за обеспечением бесперебойности осуществления перевода электронных денежных средств.
    Внутренние документы могут включать иные положения, направленные на обеспечение бесперебойности осуществления перевода электронных денежных средств.
    6. Оператор по переводу электронных денежных средств разрабатывает и утверждает внутренние документы, предусмотренные настоящим Указанием, в течение одного месяца со дня вступления в силу настоящего Указания.”
·         Положение ЦБ РФ 242-П Об организации внутреннего контроля в кредитных  организациях и банковских группах:
“3.5. Контроль за управлением информационными потоками (получением и передачей информации) и обеспечением информационной безопасности.
3.5.3. Общий контроль автоматизированных информационных систем предусматривает контроль компьютерных систем (контроль за главным компьютером, системой клиент-сервер и рабочими местами конечных пользователей и т.д.), проводимый с целью обеспечения бесперебойной и непрерывной работы.
Общий контроль состоит из осуществляемых кредитной организацией процедур резервирования (копирования) данных и процедур восстановления функций автоматизированных информационных систем, осуществления поддержки в течение времени использования автоматизированных информационных систем, включая определение правил приобретения, разработки и обслуживания (сопровождения) программного обеспечения, порядка осуществления контроля за безопасностью физического доступа.
3.7. Кредитная организация должна иметь разработанные планы действий на случай непредвиденных обстоятельств с использованием дублирующих (резервных) автоматизированных систем и (или) устройств, включая восстановление критических для деятельности кредитной организации систем, поддерживаемых внешним поставщиком (провайдером) услуг. Внутренними документами должен быть определен порядок проверки этих планов в части их выполнимости в случаях возникновения непредвиденных обстоятельств, а также перечень непредвиденных обстоятельств, в отношении которых разрабатываются планы действий.
4.4. Служба внутреннего контроля осуществляет следующие функции:
4.4.3. Проверка надежности функционирования системы внутреннего контроля за использованием автоматизированных информационных систем, включая контроль целостности баз данных и их защиты от несанкционированного доступа и (или) использования, наличие планов действий на случай непредвиденных обстоятельств;“
·         149-ФЗ Об информации, информационных технологиях и о защите информации:
“Статья 8. Право на доступ к информации
5. Государственные органы и органы местного самоуправления обязаны обеспечивать доступ, в том числе с использованием информационно-телекоммуникационных сетей, в том числе сети "Интернет", к информации о своей деятельности на русском языке и государственном языке соответствующей республики в составе Российской Федерации в соответствии с федеральными законами, законами субъектов Российской Федерации и нормативными правовыми актами органов местного самоуправления. Лицо, желающее получить доступ к такой информации, не обязано обосновывать необходимость ее получения.
7. В случае, если в результате неправомерного отказа в доступе к информации, несвоевременного ее предоставления, предоставления заведомо недостоверной или не соответствующей содержанию запроса информации были причинены убытки, такие убытки подлежат возмещению в соответствии с гражданским законодательством.”
Статья 16. Защита информации
4. Обладатель информации, оператор информационной системы в случаях, установленных законодательством Российской Федерации, обязаны обеспечить:
5) возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней;”

“III. Требования к информационной безопасности СЭД ФОИВ, в том числе при обработке служебной информации ограниченного распространения
31. Для обеспечения безопасности электронных документов СЭД ФОИВ должна предусматривать возможность регулярного резервного копирования электронных документов (электронных образов документов), метаданных, восстановления электронных документов (электронных образов документов), метаданных из резервных копий. Регулярное автоматизированное резервное копирование и восстановление могут быть реализованы либо в самой СЭД ФОИВ за счет интеграции со средствами, используемой в СЭД ФОИВ, системы управления базами данных, либо с иным программным приложением.
32. Для обеспечения резервного копирования и восстановления СЭД ФОИВ должна соответствовать следующим функциональным требованиям:
иметь автоматизированные процедуры резервного копирования и восстановления, позволяющие проводить регулярное полное или выборочное резервное копирование разделов (подразделов) классификационной схемы, электронных документов (электронных образов документов), метаданных, параметров администрирования и контрольной информации, а также, при необходимости, их восстановление;“
·         ПП 424 Об особенностях подключения федеральных государственных систем к информационно-телекоммуникационным сетям:
“а) операторы федеральных государственных информационных систем, созданных или используемых в целях реализации полномочий федеральных органов исполнительной власти … (далее – информационные системы общего пользования), при подключении информационных систем общего пользования к информационно-телекоммуникационным сетям, доступ к которым не ограничен определенным кругом лиц, обязаны обеспечить:
восстановление информации, измененной или уничтоженной вследствие несанкционированного доступа к ней, в течение не более 8 часов;”
·         Приказ Минкомсвязи N 104 Об утверждении Требований по обеспечению целостности, устойчивости функционирования и безопасности информационных систем общего пользования:
“2. Организационно-техническое обеспечение устойчивого и безопасного функционирования информационных систем общего пользования представляет собой совокупность мероприятий, направленных на поддержание:
2) устойчивости функционирования информационной системы общего пользования как ее способности сохранять свою целостность при отказе части компонентов системы, а также в условиях внутренних и внешних деструктивных информационных воздействий и возвращаться в исходное состояние;
4. Устойчивость функционирования информационной системы общего пользования обеспечивается:
1) разработкой мер при проектировании информационной системы общего пользования, направленных на выполнение требований к показателям надежности этой информационной системы общего пользования;
2) соблюдением условий эксплуатации, установленных в технической и эксплуатационной документации соответствующих технических и программных средств информационной системы общего пользования;
3) выполнением требований к информационной системе общего пользования в части технического обслуживания ее технических и программных средств;
4) выполнением требований к управлению информационной системой общего пользования в части контроля функционирования и анализа технических неисправностей в информационной системе общего пользования.”
·         Приказ ФСБ/ФСТЭК 416/489:
“11. В информационных системах общего пользования должны быть обеспечены:
поддержание целостности и доступности информации;
предупреждение возможных неблагоприятных последствий нарушения порядка доступа к информации;
возможность оперативного восстановления информации, модифицированной или уничтоженной вследствие неправомерных действий;”
·         Общие требования по обеспечению безопасности информации в КСИИ:
“Требования по обеспечению действий в непредвиденных ситуациях предъявляются:
-          к плану действий в непредвиденных ситуациях;
-          к обучению действиям в непредвиденных ситуациях;
-          по проверке плана действий в непредвиденных ситуациях;
-          по обновлению плана действий в непредвиденных ситуациях;
-          к местам резервного хранения носителей информации;
-          к резервным местам обработки информации;
-          к резервированию телекоммуникационных сервисов (услуг);
-          к резервному копированию информации;
-          по восстановлению ИУС.”
·         ПП 781 Положение об обеспечении безопасности персональных данных:
“11. При обработке персональных данных в информационной системе должно быть обеспечено:
г) возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;”
Таким образом, при обеспечении непрерывности бизнеса и восстановления деятельности в части информационных систем обязательные требования надо учитывать:
·         Банкам;
·         Государственным органам и органам местного самоуправления;
·         КСИИ
·         Операторам персональных данных.

2.                  Если вы уже осознали необходимость обеспечения непрерывности то вам пригодятся  рекомендации и стандарты в РФ по обеспечению непрерывности, которые можно использовать при внедрении мероприятий:
·         СТО БР ИББС–1.0.      8.11. Требования к организации обеспечения непрерывности бизнеса и его восстановления после прерываний
·         ГОСТ Р ИСО/МЭК 27002.    14 Менеджмент непрерывности бизнеса.

Стандарт АРБ является наиболее свежим и подробный.  Именно ему был посвящен курс, проведенный 22-23 февраля компанией Микротест. “Стандарт АРБ. Обеспечение непрерывности бизнеса и восстановлениядеятельности для Банков в соответствии с требованиями ЦБ РФ”.  Автор курса: Алексей Бореалис, руководитель группы разработчиков стандарта АРБ.

Немного подробностей про курс напишу в следующей заметке.

Комментарии

Популярные сообщения из этого блога

СКЗИ. НПА. Некоторые вопросы применения криптографии

Модель угроз безопасности клиента финансовой организации

КИИ. Категорирование объектов, часть 3