vrr/doc
2
0
Fork 0
mirror of https://github.com/bpmbpm/doc.git synced 2026-04-30 12:30:52 +00:00
Code Issues Projects Releases Packages Wiki Activity Actions

Update ai_proc_850.md

Browse source
This commit is contained in:
Dmitry 2025-12-01 16:05:07 +03:00 committed by GitHub
parent e0e4c08971
commit 7b5a3fd041
No known key found for this signature in database
GPG key ID: B5690EEEBB952194
1 changed files with 45 additions and 1 deletions
Download patch file Download diff file Expand all files Collapse all files

46
IT/reliability_risk/risk/850P/ai_proc_850.md
View file

@ -88,4 +88,48 @@
- Конкретный перечень процессов может варьироваться в зависимости от специфики банка и его лицензии.
- Для более детального составления иерархии рекомендуется обратиться к полному тексту Положения №850-П и сопутствующим документам, а также проконсультироваться с экспертами в области регулирования банковской деятельности.
Если вам нужны дополнительные детали по конкретным процессам или аспектам операционной надёжности, уточните запрос.
### 2 Сгруппируй по группам
1. Подготовительные мероприятия, например, "становление пороговых значений допустимой доли деградации технологических процессов."
2. Тестирование
3. Обработка события Операционной надежности, например, получение из базы данных операционных рисков идентифицированного события Операционной надежности. А также отправка в Банка России сообщения в такой - то форме (укажи формат и регламент).
4. Пост-анализ события Операционной надежности
5. Разработка и тестирование плана восстановления после прерывания деятельности (если это действительно входит в 850-П)
На основе Положения Банка России №850-П можно выделить следующие группы процессов, связанных с операционной надёжностью:
### 1. Подготовительные мероприятия
- **Установление пороговых значений допустимой доли деградации технологических процессов**. Кредитные организации обязаны определить сигнальные и контрольные значения допустимой доли деградации технологических процессов, рассчитываемой как отношение количества операций, проведённых (или не проведённых) в период инцидента к плановому количеству операций в нормальном режиме. [```1```](https://www.dialognauka.ru/upload/iblock/672/k85dcy0jxxm3hzlx7i3nwploa7d2xvzu/Zasetskaya_K_2025_05_20-METROPOL_GOST-57580.4_2022.pdf)[```7```](https://rtmtech.ru/articles/polozhenie-850-p-trebovaniya-zb/)
- **Идентификация критичной архитектуры**. Включает технологические процессы, подразделения и работников, ответственных за них, а также объекты информационной инфраструктуры (автоматизированные системы, ПО, средства вычислительной техники и т. д.). [```2```](https://service.securitm.ru/docs/polozhenie-banka-rossii-850-p)
- **Разработка процедур управления изменениями**. Планирование и внедрение изменений в критичной архитектуре для обеспечения непрерывности услуг. [```3```](https://www.consultant.ru/document/cons_doc_LAW_503720/eeb5679e3c5ccae487c71b3bcf35b0463a558df9/)
- **Управление конфигурациями и уязвимостями**. Контроль настраиваемых параметров объектов информационной инфраструктуры и своевременное устранение уязвимостей. [```3```](https://www.consultant.ru/document/cons_doc_LAW_503720/eeb5679e3c5ccae487c71b3bcf35b0463a558df9/)[```9```](https://reglament.net/bank/r/2025_2/get_article.htm?id=8615)
### 2. Тестирование
- **Сценарный анализ и качественная оценка уровня операционного риска**. Кредитные организации должны проводить сценарный анализ в составе качественной оценки уровня операционного риска, учитывая возможные информационные угрозы и сбои объектов информационной инфраструктуры. [```6```](https://base.garant.ru/411912076/)
- **Тестирование готовности к противостоянию информационным угрозам**. Филиалы иностранных банков определяют периодичность и программу тестирования готовности противостоять реализации информационных угроз в отношении критичной архитектуры. [```6```](https://base.garant.ru/411912076/)
- **Тестирование плана восстановления после прерывания деятельности**. План должен включать условия активации, действия после инцидента, процедуры восстановления и тестирования, а также обучение работников. [```11```](https://service.securitm.ru/docs/polozhenie-banka-rossii-850-p/p-2)
### 3. Обработка события операционной надёжности
- **Выявление и регистрация инцидентов**. Кредитные организации обязаны регистрировать инциденты операционной надёжности, приведшие к прямым или непрямым потерям, в базе событий согласно Положению №716-П. [```2```](https://service.securitm.ru/docs/polozhenie-banka-rossii-850-p)[```3```](https://www.consultant.ru/document/cons_doc_LAW_503720/eeb5679e3c5ccae487c71b3bcf35b0463a558df9/)
- **Реагирование на инциденты**. Меры по устранению нарушений в работе критичной архитектуры, включая взаимодействие между подразделениями и с Банком России. [```2```](https://service.securitm.ru/docs/polozhenie-banka-rossii-850-p)[```3```](https://www.consultant.ru/document/cons_doc_LAW_503720/eeb5679e3c5ccae487c71b3bcf35b0463a558df9/)
- **Информирование Банка России**. Филиалы иностранных банков должны информировать Банк России о случаях простоя технологических процессов, превышающих пороговое время, а также о принятых мерах и планируемых мероприятиях по раскрытию информации (пресс-релизы, пресс-конференции). [```3```](https://www.consultant.ru/document/cons_doc_LAW_503720/eeb5679e3c5ccae487c71b3bcf35b0463a558df9/)
Формат информирования: сведения представляются через техническую инфраструктуру (автоматизированную систему) Банка России или резервный способ взаимодействия, информация о котором размещена на официальном сайте Банка России. [```3```](https://www.consultant.ru/document/cons_doc_LAW_503720/eeb5679e3c5ccae487c71b3bcf35b0463a558df9/)
### 4. Пост-анализ события операционной надёжности
- **Анализ причин и последствий инцидентов**. Исследование факторов, приведших к нарушению операционной надёжности, и оценка последствий. [```3```](https://www.consultant.ru/document/cons_doc_LAW_503720/eeb5679e3c5ccae487c71b3bcf35b0463a558df9/)
- **Корректировка мер обеспечения операционной надёжности**. На основе анализа вносятся изменения в процессы и процедуры для предотвращения повторения инцидентов. [```1```](https://www.dialognauka.ru/upload/iblock/672/k85dcy0jxxm3hzlx7i3nwploa7d2xvzu/Zasetskaya_K_2025_05_20-METROPOL_GOST-57580.4_2022.pdf)
### 5. Разработка и тестирование плана восстановления после прерывания деятельности
- **Разработка плана обеспечения непрерывности бизнеса и его восстановления**. План должен содержать инструкции, порядок действий работников, процедуры восстановления, обучения и повышения осведомлённости. [```11```](https://service.securitm.ru/docs/polozhenie-banka-rossii-850-p/p-2)
- **Тестирование плана**. Периодическое тестирование плана с учётом модели угроз и результатов оценки рисков. При необходимости проводится корректировка плана на основе результатов тестирования. [```11```](https://service.securitm.ru/docs/polozhenie-banka-rossii-850-p/p-2)
**Примечание**: Положение №850-П акцентирует внимание на непрерывности оказания банковских услуг и требует от кредитных организаций и филиалов иностранных банков комплексного подхода к обеспечению операционной надёжности, включая превентивные меры, мониторинг, реагирование на инциденты и пост-анализ. [```6```](https://base.garant.ru/411912076/)[```10```](https://rtmtech.ru/services/779p-787p/)
Для более детального понимания требований рекомендуется обратиться к полному тексту Положения Банка России №850-П и сопутствующим документам, таким как ГОСТ Р 57580.3 и 57580.4, а также к Положению №716-П.
Источники:
- 850-П [klerk](https://www.klerk.ru/doc/645893/) ; [sudact.ru](https://sudact.ru/law/polozhenie-banka-rossii-ot-13012025-n-850-p/)
- https://www.dialognauka.ru/upload/iblock/672/k85dcy0jxxm3hzlx7i3nwploa7d2xvzu/Zasetskaya_K_2025_05_20-METROPOL_GOST-57580.4_2022.pdf
- https://service.securitm.ru/docs/polozhenie-banka-rossii-850-p
- https://rtmtech.ru/articles/polozhenie-850-p-trebovaniya-zb/