NoMoneyХочу оговориться сразу — я не нагнетаю. Это у меня профессия такая: надеяться на лучшее, но готовиться к худшему. И начинать имеет смысл не там, где легче лечить, а там, где риски выше. Поэтому небольшой цикл статей о подготовке к кризису я начну с разговора о банковской системе. Это, конечно, мое оценочное суждение, но ситуация в банковской системе у нас не совсем благоприятная.

Для начала — отношения банков и юрлиц (про «физиков» поговорим в следующий раз). По опыту общения с самыми разными организациями, процессы казначейства, проведения платежей и им сопутствующие традиционно выходят в топ наиболее критичных в подавляющем большинстве компаний. Проводя аналогию с человеческим организмом, деньги — это кровь, а банковская система, как сердце, заставляет их циркулировать между различными «органами». Поэтому все компании прикладывают определенные усилия к тому, чтобы гарантировать надежную работу всех систем, связанных с проведением платежей. Все прекрасно, пока… все хорошо с вашим банком.

А теперь выпейте рюмочку валерьянки и представьте себе (тьфу-тьфу), что у вашего банка утром отозвали лицензию. И неважно почему — вы никак не можете на это повлиять. Просто примите, как факт, что за последние полгода вероятность этого события выросла в разы, если не на порядок. За исключением, пожалуй, шорт-листа «государственных» банков.

Дальше — два варианта. Read the rest of this entry »

Реклама

BackupВ ближайшие дни должно вступить в силу постановление Банка России №397-П (как символично его созвучие с 379-П), определяющее порядок создания, ведения и хранения баз данных на электронных носителях. Положение содержит некоторое количество требований, относящихся к обеспечению сохранности данных. Давайте посмотрим на них повнимательнее. Read the rest of this entry »

Наряду с широко обсуждаемыми требованиями Банка России по информационной безопасности, предъявляемыми к участникам платежных систем, существует еще и Положение №379-П «О бесперебойности функционирования платежных систем и анализе рисков в платежных системах«.  Оно гораздо меньше на слуху,но тем не менее определяет достаточно много требований к обеспечению непрерывности деятельности субъектов платежных систем. К 1 января 2013 года во исполнение Положения №379-П должны появиться требования от операторов ПС для остальных субъектов ПС, но уже сейчас имеет смысл начинать готовиться к их появлению — инициировать проекты по непрерывности, проводить анализ рисков, анализ воздействия на бизнес — это позволит с большей вероятностью уложиться в сроки, объявленные операторами ПС (в первую очередь, Банком России).

Посмотрим внимательно, какие требования будут предъявляться к субъектам ПС.

В тексте будут активно использоваться сокращения:
БФПС — бесперебойность функционирования платежной системы;
ПС — платежная система.

Основные требования в 379-П предъявляются к операторам ПС — они должны к 1 января 2013 года:

  • обеспечить регламентацию порядка обеспечения БФПС;
  • организовать деятельность по реализации порядка обеспечения БФПС;
  • определить показатели БФПС и методики анализа рисков в ПС.

Сами субъекты ПС накроет уже второй волной, когда операторы ПС разработают все необходимые требования и регламенты. Read the rest of this entry »

BCI выпустил очередную обновленную (уже шестую) версию документа Business Continuity Management Legislations, Regulations and Standard, обобщающего стандарты и документы регуляторов, касающиеся непрерывности бизнеса, по всему миру.

Документ потихоньку растет. Россия отмечена уже целыми двумя документами из финансовой сферы, СТО БР ИББС 1.0-2010 и 242-П.

16 декабря 2010 года Совет Ассоциации Российских Банков утвердил стандарт Программа управления непрерывностью деятельности кредитных организаций банковской системы Российской Федерации. Спецификация.

Идея существования такого стандарта, наверное, правильная.

На сегодня это уже третий документ после 242-П и СТО БР ИББС-1.0-2010, претендующий на регулирование управления непрерывностью деятельности (или непрерывностью бизнеса, смотря какой из документов смотреть) в банковском мире. На мой взгляд, было бы логично, если бы этот стандарт учел существующие требования 242-П, СТО БР ИББС, плюс документы Базельского комитета и ЕЦБ, создав единый руководящий документ. Но не тут то было. Кроме 242-П, ничего из вышеперечисленного не попало в перечень «Связанные стандарты». Более того, область применения стандарта была ограничена только для «операционных рисков, связанных физической угрозой активам» (орфография сохранена), остальное осталось за кадром.

В результате получилось нечто немного странное. Стандарт построен в той же логике, что 25999, при этом местами расширен с учетом других стандартов (25777) и лучших практик. В этой части документ неплох (примерно настолько же, насколько неплох BS 25999), хотя идея делать нестандартные велосипеды на базе стандартных без особой на то нужды мне не очень нравится.

Несмотря на сохранявшуюся до последнего момента надежду, специфики предметной области я в стандарте не заметил, за исключением разве что раздела «Резерв денежных средств», и то весьма ограниченно.

Соответственно, на выходе получили универсальный документ, в котором к слову «организация»  добавлено «кредитная». Ни специфику отрасли, ни масштаб кредитной организации (а как следствие — ее влияние на платежную систему в целом) документ не учитывает. Стоило ли это года работы — не уверен.

По мелочам — несмотря на статус окончательного документа, в тексте присутствует изрядное количество орфографических ошибок. Кроме того, приложения местами получились забавные.  Со скромностью у авторов стандарта все отлично — уровни зрелости предлагается оценивать следующим образом:

  1. Начальный (хаотический, спонтанный) уровень – соответствие рекомендациям, изложенным в положении 242-П Банка России.
  2. Формализованный уровень – соответствие требованиям международного стандарта BS25999.
  3. Оптимизированный – соответствие данному стандарту.

И да сопутствует удача в момент ЧС тем, кто не забыл положить в «тревожный чемоданчик» флипчарт 🙂

BCI опубликовал новую, 4 версию документа Business Continuity Management Legislations, Regulations and Standards. Документ содержит обзор принятых в различных странах мира законодательных актов, документов отраслевого регулирования, стандартов и рекомендаций, посвященных непрерывности бизнеса, или частично затрагивающих данный вопрос. Довольно познавательно.

Из Российского регулирования  в документ попала инструкция Банка России 242-П, но не попал стандарт СТО БС ИББР-1.0-2010, о чем я уже написал автору документа 🙂 Кстати, 22 июня Банк России официально опубликовал информацию о вводе в действие новых версий документов комплекта БР ИББС.

Анализируя запросы, по которым читатели попадают на этот блог, я обратил внимание, что достаточно большой процент запросов посвящен поиску типовых планов ОНиВД для банков. Потребность вполне обоснованная — банковская сфера на сегодняшний день единственная в России, где присутствует четкое регулирование в области непрерывности деятельности (Положение Банка России №242-П). При этом, если крупные банки могут себе позволить выделенный персонал и привлечение внешних консультантов для выполнения этой работы, то в средних и малых банках функция ОНиВД как правило дается «в нагрузку» кому-то из уже существующих сотрудников.

Внутри своей компании мы уже обсуждали возможность сделать типовое решение для банков, которое позволит провести анализ воздействия на бизнес, оценку рисков и на основе собранной информации сформировать типовой план ОНиВД. В США такое решение достаточно успешно функционирует — система PlaNET, разработанная SunGard Availability Solutions на основе продуктов LDRPS и BIA Professional с ограниченной функциональностью. Основные ограничения, внесенные в продукт  —  это невозможность изменения шаблонов планов, опросных листов и т.п. Взамен этого заказчик получает встроенную в продукт методологию проведения анализа  воздействия на бизнес, оценки рисков и типовые планы, учитывающие специфику банковской деятельности.

Со своей стороны, мы (Алмитек) готовы сделать типовое решение по созданию планов ОНиВД на движке Continuity Management Solution, включающем в себя BIA Professional, Risk Assessment и LDRPS. Но для того, чтобы этот проект был успешен, нам необходимо две вещи:

  • Реальный интерес к продукту со стороны рынка, подтвержденный готовностью платить за такой сервис сумму порядка 30 тыс. рублей в месяц;
  • Несколько банков, которые согласятся выступить первыми пользователями решения, и примут участие в опытной эксплуатации продукта. Взамен эти банки получат более выгодные условия предоставления данного сервиса.

Если вы представляете банк, которому может быть интересно либо использовать готовый сервис, либо принять участие в его создании, я буду признателен за короткое письмо на адрес bcp@almitech.ru, в котором вы обозначите ваш интерес к решению.

%d такие блоггеры, как: