Приведение системы управления рисками (СУР) в соответствие требованиям Положения Банка России № 716-П «О требованиях к системе управления операционным риском в кредитной организации и банковской группе»

• анализ существующих СУР информационной безопасности и информационных систем;
• приведение СУР информационной безопасности в соответствие требованиям главы 7 Положения № 716-П;
• приведение СУР информационных систем в соответствие требованиям главы 8 Положения № 716-П;
• разработка ОРД по качеству данных в информационных системах;
• проведение независимой оценки качества данных;
• встраивание рисков информационной безопасности и информационных систем в систему управления операционными рисками.

Приведение в соответствие с требованиями Положений Банка России № 850-П «Об обязательных для кредитных организаций, иностранных банков, осуществляющих деятельность на территории Российской Федерации через свои филиалы, требованиях к операционной надежности при осуществлении банковской деятельности в целях обеспечения непрерывности оказания банковских услуг» и № 779-П «Об установлении обязательных для некредитных финансовых организаций требований к операционной надежности при осуществлении видов деятельности, предусмотренных частью первой статьи 76.1 Федерального закона от 10 июля 2002 года N 86-ФЗ "О Центральном банке Российской Федерации (Банке России)", в целях обеспечения непрерывности оказания финансовых услуг (за исключением банковских услуг)»

• обследование системы обеспечения операционной надежности;
• приведение системы обеспечения операционной надежности в соответствие требованиям Банка России;
• классификация технологических процессов;
• учёт и классификация элементов критичной архитектуры, взаимосвязей и взаимозависимости бизнес- и технологических процессов, их структура;
• определение целевых показателей операционной надежности;
• наименование объектов информационной инфраструктуры согласно Методическим рекомендациям Банка России № 18-МР;
• подготовка процессов выявления, регистрации инцидентов операционной надёжности и реагирования на них, тестирования операционной надежности технологических процессов;
• разработка рекомендаций по повышению уровня операционной надёжности.

Внедрение ГОСТ Р 57580.3-2022 «Безопасность финансовых (банковских) операций. Управление риском реализации информационных угроз и обеспечение операционной надежности. Общие положения»

• проверка процессов системы управления рисками (СУР), в т.ч. системы организации и управления информационных угроз и операционной надежностью;
• планирование СУР - определение политики управления рисками, выявление и идентификация риска, организация ресурсного (кадрового и финансового) обеспечения;
• реализация СУР, основанные на выборе, разработке и применению мероприятий по реагированию на угрозы, а также организация защиты от информационных угроз;
• контроль СУР через проведение профессиональной и самооценки, сценарного анализа, тестирования, отчетности и мониторинга;
• совершенствование СУР, осуществляемое через обеспечение контрольных показателей уровня риска (КПУР);
• классификация событий риска информационных угроз и событий операционной надежности;
• проверка операционной надежности бизнес- и технологических процессов, сценарный анализ возможных угроз.

Внедрение ГОСТ Р 57580.4-2022 «Безопасность финансовых (банковских) операций. Обеспечение операционной надежности. Базовый состав организационных и технических мер»

• учёт, управление и классификация элементов критичной архитектуры, взаимосвязей и взаимозависимости бизнес- и технологических процессов, их структура;
• контроль модификаций в критичной архитектуре, таких как управление уязвимостями, внедрение изменений, управление конфигурациями и обновлениями при оказании финансовых услуг;
• структура реагирования на инциденты и восстановления нарушенных процессов, а также выявление инцидентов и их анализ;
• коммуникация с поставщиками услуг, определение безопасности процедур обеспечения цепи поставок;
• проверка операционной надежности бизнес- и технологических процессов, сценарный анализ возможных угроз;
• защита объектов критичной архитектуры от вероятных угроз, возникающих в среде дистанционной работы;
• управление рисками внутренних нарушителей, чья деятельность может привести к возникновению информационной угрозы.

Обеспечение безопасности критической информационной инфраструктуры (КИИ) согласно требованиям Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»

• формирование перечня критических процессов субъекта КИИ;
• составление перечня объектов КИИ;
• анализ угроз безопасности;
• категорирование объектов КИИ согласно Постановлению Правительства РФ от 08.02.2018 № 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений»;
• присвоение категории значимости;
• подготовка сведений о категорировании для отправки во ФСТЭК.