16 декабря 2010 года Совет Ассоциации Российских Банков утвердил стандарт Программа управления непрерывностью деятельности кредитных организаций банковской системы Российской Федерации. Спецификация.

Идея существования такого стандарта, наверное, правильная.

На сегодня это уже третий документ после 242-П и СТО БР ИББС-1.0-2010, претендующий на регулирование управления непрерывностью деятельности (или непрерывностью бизнеса, смотря какой из документов смотреть) в банковском мире. На мой взгляд, было бы логично, если бы этот стандарт учел существующие требования 242-П, СТО БР ИББС, плюс документы Базельского комитета и ЕЦБ, создав единый руководящий документ. Но не тут то было. Кроме 242-П, ничего из вышеперечисленного не попало в перечень «Связанные стандарты». Более того, область применения стандарта была ограничена только для «операционных рисков, связанных физической угрозой активам» (орфография сохранена), остальное осталось за кадром.

В результате получилось нечто немного странное. Стандарт построен в той же логике, что 25999, при этом местами расширен с учетом других стандартов (25777) и лучших практик. В этой части документ неплох (примерно настолько же, насколько неплох BS 25999), хотя идея делать нестандартные велосипеды на базе стандартных без особой на то нужды мне не очень нравится.

Несмотря на сохранявшуюся до последнего момента надежду, специфики предметной области я в стандарте не заметил, за исключением разве что раздела «Резерв денежных средств», и то весьма ограниченно.

Соответственно, на выходе получили универсальный документ, в котором к слову «организация»  добавлено «кредитная». Ни специфику отрасли, ни масштаб кредитной организации (а как следствие — ее влияние на платежную систему в целом) документ не учитывает. Стоило ли это года работы — не уверен.

По мелочам — несмотря на статус окончательного документа, в тексте присутствует изрядное количество орфографических ошибок. Кроме того, приложения местами получились забавные.  Со скромностью у авторов стандарта все отлично — уровни зрелости предлагается оценивать следующим образом:

  1. Начальный (хаотический, спонтанный) уровень – соответствие рекомендациям, изложенным в положении 242-П Банка России.
  2. Формализованный уровень – соответствие требованиям международного стандарта BS25999.
  3. Оптимизированный – соответствие данному стандарту.

И да сопутствует удача в момент ЧС тем, кто не забыл положить в «тревожный чемоданчик» флипчарт 🙂

Реклама

BCI опубликовал новую, 4 версию документа Business Continuity Management Legislations, Regulations and Standards. Документ содержит обзор принятых в различных странах мира законодательных актов, документов отраслевого регулирования, стандартов и рекомендаций, посвященных непрерывности бизнеса, или частично затрагивающих данный вопрос. Довольно познавательно.

Из Российского регулирования  в документ попала инструкция Банка России 242-П, но не попал стандарт СТО БС ИББР-1.0-2010, о чем я уже написал автору документа 🙂 Кстати, 22 июня Банк России официально опубликовал информацию о вводе в действие новых версий документов комплекта БР ИББС.

На российском рынке появился еще один интересный производитель решений в области обеспечения непрерывности ИТ-сервисов — компания Neverfail.
В двух словах — решение предназначено для резервирования критически важных приложений (именно приложений, а не серверов) на базе серверных технологий Microsoft. В качестве примера — VMware OEM’ит технологию Neverfail для защиты своего vCenter — так называемый VMware vCenter Server Heartbeat, о чем я уже писал некоторое время назад. Акцент на слове «приложения» я сделал сознательно, т.к. NeverFail «понимает» определенное количество приложений, и что им нужно для нормального функционирования. Это может быть как один сервер, так и несколько — например, решение по резервированию почтового сервера BlackBerry Enterprise Server включает в себя резервирование Exchange, Sharepoint, Antivirus, SQL Server. Как они увязаны между собой, в какой последовательности поднимать какие сервера — об этом всем заботится сам Neverfail.
Резервировать приложения можно в четырех режимах:
  • HA — локально (для защиты от сбоев оборудования)
  • DR — географически распределенный кластер  (для защиты от ЧС)
  • Cluster Protector — локальное резервирование делается средствами MS Cluster, а удаленное — средствами Neverfail
  • Tetriary — объединение HA и DR.
При работе через WAN используется проприетарный механизм дедупликации, за счет чего заметно сокращается требование к ширине канала.
Еще из приятных вещей — возможность строить любые комбинации из виртуальных и физических серверов — можно делать резервированиеP-P (physical-to-physical), P-V (physical-to-virtual), V-V (virtual-to-virtual). В режиме Tetriary комбинаций еще больше 🙂 Появляется возможность, например,  cэкономить на оборудовании для резервной площадки, при ее совместном использовании несколькими компаниями (в варианте physical-to-virtual).
На мой взгляд решение может быть интересно тем, кто:
  1. Имеет ИТ-инфраструктуру, построенную на серверных технологиях Microsoft (или хочет отдельно зарезервировать часть инфраструктуры, построенную на решениях Microsoft)
  2. Только начал строить HA/DR инфраструктуру, или существенно ее расширяет (например, оборудует удаленную площадку).
Например, банки среднего размера, озаботившиеся обеспечением соответствия требованиям положения 242-П. Если ядро банковской системы построено на технологиях Microsoft, то решение от Neverfail — быстрый и достаточно простой вариант.

Анализируя запросы, по которым читатели попадают на этот блог, я обратил внимание, что достаточно большой процент запросов посвящен поиску типовых планов ОНиВД для банков. Потребность вполне обоснованная — банковская сфера на сегодняшний день единственная в России, где присутствует четкое регулирование в области непрерывности деятельности (Положение Банка России №242-П). При этом, если крупные банки могут себе позволить выделенный персонал и привлечение внешних консультантов для выполнения этой работы, то в средних и малых банках функция ОНиВД как правило дается «в нагрузку» кому-то из уже существующих сотрудников.

Внутри своей компании мы уже обсуждали возможность сделать типовое решение для банков, которое позволит провести анализ воздействия на бизнес, оценку рисков и на основе собранной информации сформировать типовой план ОНиВД. В США такое решение достаточно успешно функционирует — система PlaNET, разработанная SunGard Availability Solutions на основе продуктов LDRPS и BIA Professional с ограниченной функциональностью. Основные ограничения, внесенные в продукт  —  это невозможность изменения шаблонов планов, опросных листов и т.п. Взамен этого заказчик получает встроенную в продукт методологию проведения анализа  воздействия на бизнес, оценки рисков и типовые планы, учитывающие специфику банковской деятельности.

Со своей стороны, мы (Алмитек) готовы сделать типовое решение по созданию планов ОНиВД на движке Continuity Management Solution, включающем в себя BIA Professional, Risk Assessment и LDRPS. Но для того, чтобы этот проект был успешен, нам необходимо две вещи:

  • Реальный интерес к продукту со стороны рынка, подтвержденный готовностью платить за такой сервис сумму порядка 30 тыс. рублей в месяц;
  • Несколько банков, которые согласятся выступить первыми пользователями решения, и примут участие в опытной эксплуатации продукта. Взамен эти банки получат более выгодные условия предоставления данного сервиса.

Если вы представляете банк, которому может быть интересно либо использовать готовый сервис, либо принять участие в его создании, я буду признателен за короткое письмо на адрес bcp@almitech.ru, в котором вы обозначите ваш интерес к решению.

С начала октября мы принимаем участие в бета-тестировании новой версии продукта для проведения анализа воздействия на бизнес — Business Impact Analysis Professional компании SunGard Availability Services. По нашей оценке, продукт уже достиг достаточного уровня стабильности работы, чтобы о нем было не стыдно рассказывать, и, предваряя примерно на месяц выход коммерческой версии, сегодня я расскажу об основных возможностях продукта.

Для тех читателей, которые не знакомы с функциональностью предыдущих версий, несколько слов о том, для чего предназначен BIA Professional. Продукт позволяет автоматизировать рутинную часть работы по проведению анализа воздействия на бизнес, а именно — подготовку анкет/опросных листов, рассылку их анкетируемым сотрудникам, сбор, консолидацию и последующий анализ информации. Что немаловажно, продукт позволяет обеспечить повторное использование информации — при регулярном обновлении результатов BIA, пользователям не надо заново отвечать на те же самые вопросы,  а достаточно только проглядеть сохраненные старые ответы, и, при необходимости, внести корректировки.

Перед тем, как начать описывать возможности продукта, я бы хотел сделать акцент на том, в каких случаях организации действительно нужен BIA Professional, чтобы получить адекватную отдачу от сделанных инвестиций. Давайте рассмотрим три критерия, каждый из которых может послужить достаточным аргументом для приобретения продукта.

  1. Масштаб организации. Если в процессе проведения анализа воздействия на бизнес вам приходится проводить анкетирование значительного числа сотрудников, то BIA Professional может оказаться существенным подспорьем. По моему опыту, собрать и консолидировать информацию даже из 50 анкет — это уже серьезный труд.
  2. Динамика организации. Если бизнес-процессы, внутренняя или внешняя среда организации подвержены частым изменениям, то скорее всего вам приходится обновлять результаты BIA 1-2 раза в год. Как следствие, этот процесс будет регулярно требовать отвлечения от основной деятельности большого числа руководителей среднего и высшего звена, и крайне важно минимизировать затраты их времени.
  3. Методология. Если вы хотите быть уверенным, что весь процесс BIA, начиная со сбора информации, и заканчивая подготовкой финальных отчетов, происходит в строгом соответстии с разработанной вами формальной методикой, средства автоматизации позволят вам добиться этого результата. Более того, вы можете предъявить этот факт при аудите вашей системы обеспечения непрерывности деятельности (будь то аудит Банка России по 242-П, или аудит на соответствие BS 25999).
Теперь давайте посмотрим, какие возможности предоставляет BIA Professional версии 10. Что появилось нового по сравнению с предыдущей версией? Во-первых,  продукт полностью интегрирован с LDRPS 10, а если быть точнее, то все продукты SunGard теперь становятся частью единой системы — Continuity Management Solution (CMS). Это больше, чем маркетинговый шаг — все компоненты CMS используют одну и ту же платформу, хранят свои данные в единой СУБД и используют общий механизм управления пользователями.

Основной экран системы теперь выглядит таким образом:

На сегодняшний день в CMS интегрировано 3 продукта — BIA, Risk Assessment и LDRPS. Оставшиеся Incident Manager и Notifind обладают механизмами интеграции, но пока функционируют на другой платформе.

Выбрав BIA Professional, мы «проваливаемся» в основное меню системы. То, что мы видим на экране системы, предназначено для администратора, интерфейс для конечного пользователя, анкетируемого сотрудника, значительно проще, до него мы дойдем чуть позже. Read the rest of this entry »

В августовском номере Аналитического банковского журнала вышла наша с Павлом Лепешкиным (Банк России, зав. сектором Департамента банковского регулирования и надзора) статья, посвященная Положению Банка России №242-П под названием Обеспечение непрерывности деятельности — Мифы и реальность.

Работая над статьей, мы старались максимально избежать пересказа текста Положеня 242-П, сфокусировавшись на практических рекомендациях по построению системы ОНиВД.

Кроме того, людям, имеющим опыт в управлении непрерывностью бизнеса (или ОНиВД в терминах 242-П), но не знакомых близко с Базельскими документами, возможно будет интересно обратить внимание на достаточно подробно изложенную Павлом трактовку понятий операционного риска.

View this document on Scribd

Банк России, который в этом году заметно вырвался вперед по отношению к остальным регуляторам, продолжает поддерживать статус лидера. На этот раз — в части информационной поддержки сообщества.

В 15 выпуске издания «Платежные и расчетные системы» ЦБ опубликовал переводы сразу двух документов в области непрерывности бизнеса в финансовой сфере: «Руководящие принципы обеспечения непрерывности бизнеса» Базельского банковского комитета (Банк по международным расчетам), и «Рекомендации по наблюдению за непрерывностью деятельности для системно значимых платежных систем» Европейского Центробанка.

Первый документ, как известно, послужил основой при выпуске изменений к Инструкции 242-П, поэтому на нем я остановлюсь поподробнее. Второй тоже достаточно любопытно прочитать, среди прочих моментов он дает чуть более широкий взгляд на целевые показатели обеспечения непрерывности деятельности, ставя для ряда участников рынка по главу угла влияние от прерывания деятельности не на их собственный бизнес, а на платежную систему на уровне страны (точнее говоря, Еврозоны). Несмотря на то, что документ ориентирован на финансовые организации стран Еврозоны, прочитать стоит, тем более, что документ небольшой. Единственное, рекомендую читать в оригинале, т.к. перевод этого документа, в отличие от «Руководящих принципов…», сильно оставляет желать лучшего.

Теперь вернемся к «Руководящим принципам…»

Поскольку этот документ во многом лег в основу измений к 242-П, достаточно интересно посмотреть, что из семи принципов вошло в 242-П, и в каком виде. Итак, по порядку.

Принцип 1. Ответственность совета директоров и высшего руководства.
«Советы директоров и высшее руководство организаций несут коллективную ответственность за непрерывность бизнеса организации.»

Принцип безусловно разумный, и, среди прочего, пересекается с рекомендациями BS 25999. Однако, в 242-П по каким-то причинам эти рекомендации не вошли. Тем не менее, основываясь на своем опыте, я бы рекомендовал максимально стараться воплотить его в жизнь — система будет работать горадо эффективнее.

Принцип 2. Крупные операционные нарушения.
«Участники финансового сектора и финансовые органы при формировании подхода к управлению непрерывностью бизнеса должны учитывать риск крупного операционного нарушения. Финансовым органам также следует оценить их собственную реакцию на потенциальные крупные операционные нарушения, которые могут затруднить проведение операций участниками финансового сектора или финансовой системой, за работу которой они несут ответственность.»

Тезис о том, что планы ОНиВД должны предусматривать возможность масштабных ЧС в 242-П вошел, и даже был дополнен ссылками на Российские нормативные документы. А вот рекомендации по поводу альтернативных площадок остались за кадром.

Принцип 3. Цели восстановления
«Участники финансового сектора должны сформулировать для себя цели восстановления, учитывающие потенциальный риск, который они представляют для операций финансовой сферы. Предпочтительно, чтобы формулировки таких целей восстановления были согласованы с соответствующими финансовыми органами или разрабатывались ими.»

Если в «Принципах…» делается упор на возможной влияние на финансовую систему в целом, то 242-П больше сфокусировано на стандартных для анализа воздействия на бизнес аспектах, т.е. влияние на бизнес кредитной органиации, как таковой.

Принцип 4. Обмен информацией.
«Участники финансового сектора и финансовые органы должны включать в свои планы обеспечения непрерывности бизнеса процедуры для обмена информацией во время крупного операционного нарушения внутри организации и с соответствующими внешними сторонами.»

Принцип нашел свое отражение в 242-П (Пункт 7 Приложения 5), хотя и в более общей форме.

Принцип 5. Трансграничный обмен информацией.
«Процедуры обмена информацией для участников финансового сектора и финансовых органов на случай крупных операционных нарушений, затрагивающих несколько стран, должны предусматривать обмен информацией с финансовыми органами, действующими в пределах других юрисдикций.»

Пункт разумный, но учитывая не очень высокий уровень зрелости нашей банковской системы в области непрерывности бизнеса, а также не такой высокий уровень интеграции в мировую банковскую систему — пока не нашел своего отражения в 242-П.

Принцип 6. Проверки (тестирование).
«Участники финансового сектора и финансовые органы должны производить проверку своих планов
обеспечения непрерывности бизнеса, оценивать их эффективность и соответствующим образом совершенствовать управление непрерывностью бизнеса.»

 Здесь 242-П раскрывает вопрос даже более подробно. Единственное, пожалуй, что было исключено — это крупномасштабное тестирование с вовлечением множества кредитных организаций. Наверное, не самое сейчас подходящее время — не все могут выдержать…

Принцип 7. Контроль за управлением непрерывностью бизнеса со стороны финансовых органов
«Финансовые органы должны включать в практику своей работы осуществление контроля за управлением непрерывностью бизнеса для проведения оценки участников финансового сектора, находящихся в сфере их ответственности.»

Этот пункт относится скорее к деятельности самого ЦБ, и появление изменений к 242-П можно считать первым шагом на пути выполнения этого принципа.

Обобщая все вышесказанное, можно рискнуть сделать следующие выводы:

  1. В некоторых аспектах «Руководящие принципы…» оказываются более подробными, чем 242-П, соответственно, и в этих вопросах ими можно и нужно пользоваться. Равно как и другими стандартами, такими как BS 25999, BS 25777.
  2.  «Руководящие принципы…» дают некоторое представление, в какую сторону, скорее всего, будет развиваться регулирование со стороны ЦБ.
%d такие блоггеры, как: