View
723
Download
3
Category
Preview:
Citation preview
Практика выполнения постановления 242П.
Обеспечение непрерывности деятельности Банка на примере проекта.
+7 (495) 921 1410 / www.leta.ruАвгуст 2011
Мария Акатьева – директор департамента продуктов и услуг / руководитель направления систем менеджмента ИБ и НБ ЗАО «Лета»
2
СОДЕРЖАНИЕ
• Общие сведения о проекте • Этапы выполнения проекта • Выводы
+7 (495) 921 1410 / www.leta.ru
3
ЦЕЛИ ПРОЕКТА
+7 (495) 921 1410 / www.leta.ru
Обеспечение бесперебойной работы критически важного банковского процесса Банка, посредством разработки системы обеспечения непрерывности деятельности.
Приведение системы обеспечения непрерывности деятельности Банка в рамках выбранного критичного процесса в соответствие с рекомендациями Приложения к Указанию от 5 марта 2009 г. N 2194-У
4
ОБЛАСТЬ РАБОТ
+7 (495) 921 1410 / www.leta.ru
• Головной офис, Москва
ПЛОЩАДКА
КРИТИЧЕСКИ ВАЖНЫЙ БАНКОВСКИЙ ПРОЦЕСС
• Обеспечение приема и исполнения платежных поручений от клиентов - юридических лиц
5
ЗАДАЧИ ПРОЕКТА
+7 (495) 921 1410 / www.leta.ru
• Оценка соответствия 2194-У
• Разработка методик
• Оценка рисков, оценка влияния на бизнес
• ОРД, Планы ОНиВД
• Обучение, тестирование Планов
• Разработка организационной структуры в рамках НБ
6
ЭТАПЫ ПРОЕКТА
+7 (495) 921 1410 / www.leta.ru
Этап 1. Обследование
Этап 2. Разработка
нормативной базы
Этап 3. Оценка рисков, АР
Этап 4. Подготовка ОРД
и обучение
7
ЭТАП 1. ВХОДЫ-ВЫХОДЫ ЭТАПА
+7 (495) 921 1410 / www.leta.ru
Этап 1. Обследование
1. План проведения интервью
2. Изученная документация
1. Отчет по результатам обследования
Цели этапа: Получение от Заказчика информации, необходимой для первичного ознакомления
с областью предстоящих работ;
Интервьюирование – непосредственно на объекте Заказчика (сбор недостающей информации);
Документально зафиксировать результаты обследования и согласовать с Заказчиком.
Разработка ролевой структуры управления НБ
8
РЕЗУЛЬТАТЫ ЭТАПА
+7 (495) 921 1410 / www.leta.ru
• Разработка Карты требований 2194-У и 242-П
9
РЕЗУЛЬТАТЫ ЭТАПА
• Отчет по результатам обследования
+7 (495) 921 1410 / www.leta.ru
10
ОПИСАНИЕ БИЗНЕС –ПРОЦЕССА
Описание процесса в выбранной нотации
• На данном этапе будет выполнено высокоуровневое описание процесса в форматt, поддерживаемом Business Studio
+7 (495) 921 1410 / www.leta.ru
Проведение первичного контроля
(ОР1)
Ввод информации в
IBSO (ОР2)
Постановка платежа на позицию ОПОО
(ОР3)
V
Расчет позиции, маршрутизация платежей (ОР6)
Формирование РНП для ЦБ РФ
(ОР7)
V
Формирование РНП для
S.W.I.F.T. (ОР8)
Шифрование и отправка РНП в МЦИ
(ОР9)
V
XOR
Платежный документ
принятПринятие решения
относительно платежа,
формирование внутреннего реестра
платежей (ОР4)
Отправка внутреннего реестра платежей
(ОР5)РЦ
Получение ответаиз МЦИ (ОР10)
Статус РНП изменен
(отбракован и т.д.)
РНП подтвержден
11
РОЛЕВАЯ СТРУКТУРА ПО НБ
+7 (495) 921 1410 / www.leta.ru
12+7 (495) 921 1410 / www.leta.ru
Филиал Филиал
Головной офис
Доп. офис Доп. офис Доп. офис Доп. офис Доп. офис
- Члены групп реагирования
- Риск-менеджер
- Контролер(аудитор)
- Менеджер НБ
Обозначения:
РОЛЕВАЯ СТРУКТУРА ПО НБ
13
ПЛАН ПРИВЕДЕНИЯ В СООТВЕТСТВИЕ
• План приведения в соответствие На основании «Оценки
соответствия 2194-У» будет подготовлен план по закрытию конкретных требований путем разработки соответствующих документов, проведению соответствующих работ.
+7 (495) 921 1410 / www.leta.ru
14
СТРУКТУРА ДОКУМЕНТАЦИИ
+7 (495) 921 1410 / www.leta.ru
15
ЭТАП 2. ВХОДЫ-ВЫХОДЫ ЭТАПА
+7 (495) 921 1410 / www.leta.ru
Этап 2. Разработка
нормативной базы
1. Лучшие практики
2. Экспертное мнение
1. Методика оценки рисков
2. Методика анализа воздействия на бизнес (АВБ)
Цель Этапа: Разработка и согласование методики анализа
воздействия на бизнес (АВБ)
Разработка и согласование Методики анализа рисков (МАР)
16
РЕЗУЛЬТАТЫ ЭТАПА 2 (1)
+7 (495) 921 1410 / www.leta.ru
Состав методики Анализ воздействия на бизнес (АВБ):
Методика определения активностей, поддерживающих бизнес-процесс;
Формат описания бизнес процесса (EPC, IDEF0), его детализация, описание активностей;
Критерии влияния на бизнес нарушения нормального хода процесса;
Шкала определения уровня ущерба;
Максимально допустимое время простоя
17
ОПРЕДЕЛЕНИЕ НЕГАТИВНЫХ СЦЕНАРИЕВ
+7 (495) 921 1410 / www.leta.ru
Номер сценария Содержание
СЦЕНАРИЙ 1 Информационное обслуживание критичных услуг Банка прервано, ожидаемая продолжительность не превысит Х часов.
СЦЕНАРИЙ 2 Информационное обслуживание критичных услуг Банка прервано, ожидаемая продолжительность превысит Х часов. Влияние на Филиалы катастрофично.
СЦЕНАРИЙ 3 Информационное обслуживание критичных услуг Банка прервано его ожидаемая продолжительность не превысит Х часов. Влияние на Филиалы катастрофично.
СЦЕНАРИЙ 4 Информационное обслуживание критичных услуг Банка прервано, его ожидаемая продолжительность превысит Х часов.
СЦЕНАРИЙ 5 Информационное обслуживание критичных услуг филиала Банка прервано его ожидаемая продолжительность не превысит Х часов.
СЦЕНАРИЙ 6 Информационное обслуживание критичных услуг филиала Банка прервано его ожидаемая продолжительность превысит Х часов.
18
ОПРЕДЕЛЕНИЕ КРИТИЧНЫХ АКТИВОВ, РЕСУРСОВ И ОПЕРАЦИЙ ПРОЦЕССА
+7 (495) 921 1410 / www.leta.ru
• Сбор информации подпроцессы
ОР2.1 Ввод информации в IBSO в
ручном режимеПлатеж одобрен
Сервер IBSO
ООЮЛ
Офис
БД IBS «Банковский
комплекс IBSO»
ЛВСАРМ
XORОР2.2 Подгрузка в IBSO электронного
платежа
Сервер IBSO
ООЮЛ
Офис
БД IBS «Банковский
комплекс IBSO»
ЛВСАРМ
Информация введена в
IBSO
Информация введена в
IBSO
Платежный документ
(бум.)
Платежный документ
Банк-клиент
Сервер Банк-
клиент
• Ресурсы
• Ответственные
• Информация
• Требования
• Поставщики
• Договора и т.д.
19
КРИТЕРИИ ОЦЕНКИ ВОЗДЕЙСТВИЯ НА БИЗНЕС
+7 (495) 921 1410 / www.leta.ru
20+7 (495) 921 1410 / www.leta.ru
ОПРЕДЕЛЕНИЕ ВРЕМЕНИ ВОССТАНОВЛЕНИЯ
21+7 (495) 921 1410 / www.leta.ru
КЛАССЫ ВОССТАНОВЛЕНИЯ БИЗНЕС – ПРОЦЕССОВ И СИСТЕМ
22
РЕЗУЛЬТАТЫ ЭТАПА 2 (2)
+7 (495) 921 1410 / www.leta.ru
Состав Методики оценки рисков:
Ресурсы
Уязвимости
Угрозы
Ущерб
Ранг риска
Порядок обработки рисков
Ресурсы, которые использует БП и активности исходя из АВБ
Имеющиеся уязвимости активов
Угрозы направленные на активы
Возможный ущерб при реализации угрозы
Уровень или ранг риска (мера)
Приемлемый уровень риска, защитные меры
23+7 (495) 921 1410 / www.leta.ru
УГРОЗЫ ПРЕРЫВАНИЯ БИЗНЕС-ПРОЦЕССА
24+7 (495) 921 1410 / www.leta.ru
РИСКИ ПРЕРЫВАНИЯ БИЗНЕС-ПРОЦЕССА
25
РЕЗУЛЬТАТЫ ЭТАПА 3 (2)
+7 (495) 921 1410 / www.leta.ru
Состав Плана обработки рисков:
Меры по снижению рисков
График выполнения работ с ответственными исполнителями
Риск + Защитная мера = Допустимый уровень риска
26
СТРАТЕГИЯ ПО НБ
+7 (495) 921 1410 / www.leta.ru
Максимально-допустимое
время простоя
Время восстановления Время восстановления
Сто
им
ост
ь п
оте
рь
Время восстановления
Сто
им
ост
ь р
ешен
ия
MTPoDRTO1 RTO2 RTO3
Ниже стоимость решения,но выше риск несоответствиятребованиям непрерывности
Существующиемеры НБ
27
СТРАТЕГИЯ ПО НБ
+7 (495) 921 1410 / www.leta.ru
Стратегия обеспечения непрерывности бизнеса
Надлежащие меры по снижению вероятности наступления инцидентов
Способ восстановления Способ поддержания работоспособности бизнес –
процессов на минимально приемлемом уровне Ресурсы для возобновления критичного БП
• Кадры• Помещения • Технологии• Информация • Заинтересованные стороны и т.д.
Стратегия непрерывности
28+7 (495) 921 1410 / www.leta.ru
СПОСОБЫ ОБЕСПЕЧЕНИЯ НБ
29
ЭТАП 4. ВХОДЫ-ВЫХОДЫ
+7 (495) 921 1410 / www.leta.ru
Этап 4. Подготовка
ОРД и обучение
1. Имеющаяся документация по НБ*
2. Методики АР, АВБ
1. Положение по обеспечению НБ
2. Набор планов ОНиВД*
Цель Этапа: Разработать адаптированный пакет ОРД с учетом уже
разработанной документации, а также с учетом требований 2194-У, лучших практик (BS 25999-1/2)
Провести обучение сотрудников (процессы, документация)
3. Программа обучения
*НБ – непрерывность бизнеса, ОНиВД – обеспечение непрерывности и восстановления деятельности, АР – анализ рисков, АВБ – анализ воздействия на бизнес, ОРД – организационно –распорядительные документы
30
ЭТАП 4. ДЕЯТЕЛЬНОСТЬ В РАМКАХ ЭТАПА
+7 (495) 921 1410 / www.leta.ru
Выполняемые работы: Рассмотреть и согласовать структуру и состав пакета ОРД Разработать пакет ОРД в составе:
«Положение по обеспечению непрерывности деятельности»
«План ОНиВД» в рамках критичного БП Программа обучения, презентация, учебные материалы
31
ПОЛОЖЕНИЕ ПО ОБЕСПЕЧЕНИЮ НБ
+7 (495) 921 1410 / www.leta.ru
• Цель – задание структуры системы обеспечения НБ, предъявление требований.
32
СТРУКТУРА ПЛАНОВ ОНИВД
+7 (495) 921 1410 / www.leta.ru
План ОНиВД Золотого уровня
План ОНиВД Серебряного
уровня
План ОНиВД Серебряного
уровня
План ОНиВД Серебряного
уровня
Аварийные процедуры, инструкции, Планы восстановления АИС
Аварийные процедуры, инструкции, Планы восстановления АИС
Аварийные процедуры, инструкции, Планы восстановления АИС
Практика:
• BS 25999• Стандарт АРБ• BCI • DRII
Cоответствие:
• 2194-У
33
ПЛАН ОНИВД. ЗОЛОТОЙ УРОВЕНЬ
+7 (495) 921 1410 / www.leta.ru
34+7 (495) 921 1410 / www.leta.ru
ПЛАН ОНИВД. ЗОЛОТОЙ УРОВЕНЬ
Ссылки на Частные Планы / Модули
35
ПЛАН ОНИВД: ЗОЛОТОЙ УРОВЕНЬ
+7 (495) 921 1410 / www.leta.ru
36
ИНСТРУКЦИИ СОТРУДНИКАМ: БРОНЗОВЫЙ УРОВЕНЬ
+7 (495) 921 1410 / www.leta.ru
37
ПРОГРАММА ТЕСТИРОВАНИЯ ПЛАНОВ
+7 (495) 921 1410 / www.leta.ru
38
• Сценарий настольного тестирования:
Сценарий: В 12.00 в понедельник
произошло отключение электропитания в Здание офиса
Подача электроэнергии возобновлена в 18.00
Допустимое время простоя 3 часа
+7 (495) 921 1410 / www.leta.ru
Аварийное отключение электричества в здании ЗАО «Лета» целиком в
12.00 в понедельник
Переключение источников бесперебойного питания на работу от аккумуляторных
батарей, передача SMS Менеджеру ИС
Информирование Менеджера по НБ
Менеджер ИС
T: 1 мин12.01
T: 1 мин12.02
Уточнение причин и времени отключения в
МОСЭнерго
V
Менеджер ИС
T: 1 мин12.10
Рассылка сотрудникам подразделения ОД предупредительно письма с просьбой сохранить информацию по проектам на мобильные ноутбуки и корпоративные
флешки в экстренном режиме в течении 15 мин. (текст заранее согласован)
Менеджер НБ
T: 2 мин12.03
МосЭнерго подтвердили отключение
электричества до 18.00
Информирование сотрудников АХО о
необходимости прояснить ситуацию
Менеджер НБ
T: 2 мин12.05
Информирование Менеджера по НБ по
телефону Менеджер ИС
T: 2 мин12.11
Начало
Сообщение Генеральному директору о переходе в
нештатной режим работыМенеджер НБ
T: 2 мин12.12
Информирование руководителей проектов о рассылке информационного
письма всем Клиентам, с которыми ведутся работы о нештатной ситуации
(текст письма заранее заготовлен)
Менеджер НБ
T: 2 мин12.14
Рассылка письма
Переход на работу из дома по ключевым проектам по инструкции:
передача писем через внешние сети только в зашифрованном виде с
использование сильных паролей в соответствии с парольной политикой
Автоматическое отключение серверов по достижению 20% заряда
батареи
Руководители проектов
Консультанты проектов
T: 5 мин12.20
T: 1 мин12.25
T: 30 мин13.05
Начало работы из дома
T: 1,5 час14.35
Конец
СЦЕНАРИЙ НАСТОЛЬНОГО ТЕСТИРОВАНИЯ
39
• Шаблон оформление отчета по результатам тестирования
+7 (495) 921 1410 / www.leta.ru
ОТЧЕТ ПО РЕЗУЛЬТАТА ТЕСТИРОВАНИЯ
40
ВЫВОДЫ
• Внедрение системы управления непрерывностью бизнеса должно проводиться с использованием практик международных стандартов в области НБ
• Для обеспечения успешного внедрения необходимо разрабатывать структуру Планов ОНиВД с четкой зоной ответственности
+7 (495) 921 1410 / www.leta.ru
41
ВЫВОДЫ
• Необходимо разрабатывать детальные инструкции действий персонала в случае ЧС
• При разработке Планов ОНИВД необходимо учитывать требования и возможные риски ИБ в процессе развития ЧС
+7 (495) 921 1410 / www.leta.ru
42
КОНТАКТНАЯ ИНФОРМАЦИЯ
LETA IT-company109129, Россия, Москва, ул. 8-я Текстильщиков, д.11, стр. 2 Тел./факс: +7 (495) 921-1410Единая служба сервисной поддержки: + 7 (495) 921-1410 www.leta.ru
© 2010 LETA IT-company. All rights reserved.This presentation is for informational purposes only. LETA IT-company makes no warranties, express or implied, in this summary.
Спасибо!
Recommended