Практика выполнения постановления 242П. Обеспечение непрерывности деятельности Банка на примере проекта. +7 (495) / Август 2011 Мария Акатьева – директор департамента продуктов и услуг / руководитель направления систем менеджмента ИБ и НБ ЗАО «Лета»
2 СОДЕРЖАНИЕ Общие сведения о проекте Этапы выполнения проекта Выводы +7 (495) /
3 ЦЕЛИ ПРОЕКТА +7 (495) / Обеспечение бесперебойной работы критически важного банковского процесса Банка, посредством разработки системы обеспечения непрерывности деятельности. Приведение системы обеспечения непрерывности деятельности Банка в рамках выбранного критичного процесса в соответствие с рекомендациями Приложения к Указанию от 5 марта 2009 г. N 2194-У
4 ОБЛАСТЬ РАБОТ +7 (495) / Головной офис, Москва ПЛОЩАДКА КРИТИЧЕСКИ ВАЖНЫЙ БАНКОВСКИЙ ПРОЦЕСС Обеспечение приема и исполнения платежных поручений от клиентов - юридических лиц
5 ЗАДАЧИ ПРОЕКТА +7 (495) / Оценка соответствия 2194-У Разработка методик Оценка рисков, оценка влияния на бизнес ОРД, Планы ОНиВД Обучение, тестирование Планов Разработка организационной структуры в рамках НБ
6 ЭТАПЫ ПРОЕКТА +7 (495) / Этап 1. Обследование Этап 2. Разработка нормативной базы Этап 3. Оценка рисков, АР Этап 4. Подготовка ОРД и обучение
7 ЭТАП 1. ВХОДЫ-ВЫХОДЫ ЭТАПА +7 (495) / Этап 1. Обследование 1. План проведения интервью 2. Изученная документация 1. Отчет по результатам обследования Цели этапа: Получение от Заказчика информации, необходимой для первичного ознакомления с областью предстоящих работ; Интервьюирование – непосредственно на объекте Заказчика (сбор недостающей информации); Документально зафиксировать результаты обследования и согласовать с Заказчиком. Разработка ролевой структуры управления НБ
8 РЕЗУЛЬТАТЫ ЭТАПА +7 (495) / Разработка Карты требований 2194-У и 242-П
9 РЕЗУЛЬТАТЫ ЭТАПА Отчет по результатам обследования +7 (495) /
10 ОПИСАНИЕ БИЗНЕС –ПРОЦЕССА Описание процесса в выбранной нотации На данном этапе будет выполнено высокоуровневое описание процесса в формате, поддерживаемом Business Studio +7 (495) /
11 РОЛЕВАЯ СТРУКТУРА ПО НБ +7 (495) /
12 +7 (495) / Филиал Головной офис Доп. офис -Члены групп реагирования -Риск-менеджер -Контролер(аудитор) - Менеджер НБ Обозначения: РОЛЕВАЯ СТРУКТУРА ПО НБ
13 ПЛАН ПРИВЕДЕНИЯ В СООТВЕТСТВИЕ План приведения в соответствие На основании «Оценки соответствия 2194-У» будет подготовлен план по закрытию конкретных требований путем разработки соответствующих документов, проведению соответствующих работ. +7 (495) /
14 СТРУКТУРА ДОКУМЕНТАЦИИ +7 (495) /
15 ЭТАП 2. ВХОДЫ-ВЫХОДЫ ЭТАПА +7 (495) / Этап 2. Разработка нормативной базы 1. Лучшие практики 2. Экспертное мнение 1. Методика оценки рисков 2. Методика анализа воздействия на бизнес (АВБ) Цель Этапа: Разработка и согласование методики анализа воздействия на бизнес (АВБ) Разработка и согласование Методики анализа рисков (МАР)
16 РЕЗУЛЬТАТЫ ЭТАПА 2 (1) +7 (495) / Состав методики Анализ воздействия на бизнес (АВБ): Методика определения активностей, поддерживающих бизнес-процесс; Формат описания бизнес процесса (EPC, IDEF0), его детализация, описание активностей; Критерии влияния на бизнес нарушения нормального хода процесса; Шкала определения уровня ущерба; Максимально допустимое время простоя
17 ОПРЕДЕЛЕНИЕ НЕГАТИВНЫХ СЦЕНАРИЕВ +7 (495) / Номер сценарияСодержание СЦЕНАРИЙ 1Информационное обслуживание критичных услуг Банка прервано, ожидаемая продолжительность не превысит Х часов. СЦЕНАРИЙ 2Информационное обслуживание критичных услуг Банка прервано, ожидаемая продолжительность превысит Х часов. Влияние на Филиалы катастрофично. СЦЕНАРИЙ 3Информационное обслуживание критичных услуг Банка прервано его ожидаемая продолжительность не превысит Х часов. Влияние на Филиалы катастрофично. СЦЕНАРИЙ 4Информационное обслуживание критичных услуг Банка прервано, его ожидаемая продолжительность превысит Х часов. СЦЕНАРИЙ 5Информационное обслуживание критичных услуг филиала Банка прервано его ожидаемая продолжительность не превысит Х часов. СЦЕНАРИЙ 6Информационное обслуживание критичных услуг филиала Банка прервано его ожидаемая продолжительность превысит Х часов.
18 ОПРЕДЕЛЕНИЕ КРИТИЧНЫХ АКТИВОВ, РЕСУРСОВ И ОПЕРАЦИЙ ПРОЦЕССА +7 (495) / Сбор информации подпроцессы Ресурсы Ответственные Информация Требования Поставщики Договора и т.д.
19 КРИТЕРИИ ОЦЕНКИ ВОЗДЕЙСТВИЯ НА БИЗНЕС +7 (495) /
20 +7 (495) / ОПРЕДЕЛЕНИЕ ВРЕМЕНИ ВОССТАНОВЛЕНИЯ
21 +7 (495) / КЛАССЫ ВОССТАНОВЛЕНИЯ БИЗНЕС – ПРОЦЕССОВ И СИСТЕМ
22 РЕЗУЛЬТАТЫ ЭТАПА 2 (2) +7 (495) / Состав Методики оценки рисков: Ресурсы Уязвимости Угрозы Ущерб Ранг риска Порядок обработки рисков Ресурсы, которые использует БП и активности исходя из АВБ Имеющиеся уязвимости активов Угрозы направленные на активы Возможный ущерб при реализации угрозы Уровень или ранг риска (мера) Приемлемый уровень риска, защитные меры
23 +7 (495) / УГРОЗЫ ПРЕРЫВАНИЯ БИЗНЕС-ПРОЦЕССА
24 +7 (495) / РИСКИ ПРЕРЫВАНИЯ БИЗНЕС-ПРОЦЕССА
25 РЕЗУЛЬТАТЫ ЭТАПА 3 (2) +7 (495) / Состав Плана обработки рисков: Меры по снижению рисков График выполнения работ с ответственными исполнителями Риск + Защитная мера = Допустимый уровень риска
26 СТРАТЕГИЯ ПО НБ +7 (495) / Максимально- допустимое время простоя Время восстановления
27 СТРАТЕГИЯ ПО НБ +7 (495) / Стратегия обеспечения непрерывности бизнеса Надлежащие меры по снижению вероятности наступления инцидентов Способ восстановления Способ поддержания работоспособности бизнес – процессов на минимально приемлемом уровне Ресурсы для возобновления критичного БП Кадры Помещения Технологии Информация Заинтересованные стороны и т.д. Стратегия непрерывности
28 +7 (495) / СПОСОБЫ ОБЕСПЕЧЕНИЯ НБ
29 ЭТАП 4. ВХОДЫ-ВЫХОДЫ +7 (495) / Этап 4. Подготовка ОРД и обучение 1. Имеющаяся документация по НБ* 2. Методики АР, АВБ 1. Положение по обеспечению НБ 2. Набор планов ОНиВД* Цель Этапа: Разработать адаптированный пакет ОРД с учетом уже разработанной документации, а также с учетом требований 2194-У, лучших практик (BS /2) Провести обучение сотрудников (процессы, документация) 3. Программа обучения *НБ – непрерывность бизнеса, ОНиВД – обеспечение непрерывности и восстановления деятельности, АР – анализ рисков, АВБ – анализ воздействия на бизнес, ОРД – организационно –распорядительные документы
30 ЭТАП 4. ДЕЯТЕЛЬНОСТЬ В РАМКАХ ЭТАПА +7 (495) / Выполняемые работы: Рассмотреть и согласовать структуру и состав пакета ОРД Разработать пакет ОРД в составе: «Положение по обеспечению непрерывности деятельности» «План ОНиВД» в рамках критичного БП Программа обучения, презентация, учебные материалы
31 ПОЛОЖЕНИЕ ПО ОБЕСПЕЧЕНИЮ НБ +7 (495) / Цель – задание структуры системы обеспечения НБ, предъявление требований.
32 СТРУКТУРА ПЛАНОВ ОНИВД +7 (495) / Практика: BS Стандарт АРБ BCI DRII Cоответствие: 2194-У
33 ПЛАН ОНИВД. ЗОЛОТОЙ УРОВЕНЬ +7 (495) /
34 +7 (495) / ПЛАН ОНИВД. ЗОЛОТОЙ УРОВЕНЬ Ссылки на Частные Планы / Модули
35 ПЛАН ОНИВД: ЗОЛОТОЙ УРОВЕНЬ +7 (495) /
36 ИНСТРУКЦИИ СОТРУДНИКАМ: БРОНЗОВЫЙ УРОВЕНЬ +7 (495) /
37 ПРОГРАММА ТЕСТИРОВАНИЯ ПЛАНОВ +7 (495) /
38 Сценарий настольного тестирования: Сценарий: В в понедельник произошло отключение электропитания в Здание офиса Подача электроэнергии возобновлена в Допустимое время простоя 3 часа +7 (495) / СЦЕНАРИЙ НАСТОЛЬНОГО ТЕСТИРОВАНИЯ
39 Шаблон оформление отчета по результатам тестирования +7 (495) / ОТЧЕТ ПО РЕЗУЛЬТАТА ТЕСТИРОВАНИЯ
40 ВЫВОДЫ Внедрение системы управления непрерывностью бизнеса должно проводиться с использованием практик международных стандартов в области НБ Для обеспечения успешного внедрения необходимо разрабатывать структуру Планов ОНиВД с четкой зоной ответственности +7 (495) /
41 ВЫВОДЫ Необходимо разрабатывать детальные инструкции действий персонала в случае ЧС При разработке Планов ОНИВД необходимо учитывать требования и возможные риски ИБ в процессе развития ЧС +7 (495) /
42 КОНТАКТНАЯ ИНФОРМАЦИЯ LETA IT-company , Россия, Москва, ул. 8-я Текстильщиков, д.11, стр. 2 Тел./факс: +7 (495) Единая служба сервисной поддержки: + 7 (495) © 2010 LETA IT-company. All rights reserved. This presentation is for informational purposes only. LETA IT-company makes no warranties, express or implied, in this summary. Спасибо!