🫥Определение объема затрат на операционную надежность.

➡️ Пятый этап — анализ данных

Первый этап
Второй этап
Третий этап
Четвёртый этап

На данном этапе проводится анализ последствий негативных событий и ранжирование возможного ущерба. Можно изучить опыт российских и зарубежных компаний: посмотреть причины и размеры ущербов, которые понесли финансовые организации за последние несколько лет.

▶️Следующий шаг — расчет пороговых показателей (целевое временное восстановление, допустимое время простоя и пр.) и результаты обследования. Анализируем, как то или иное событие скажется на ущербе и к каким последствиям это приведет.

▶️После этого финансовой организации будет полезно ранжировать возможный для себя ущерб. И не только посчитать финансовый ущерб по критичности, но и понять, примерно какие суммы может потерять организация.

▶️Далее продукты ранжируются по пороговым показателям, а бизнес-процессы классифицируются по критичности. Вся полученная информация может быть оформлена в табличном виде либо в любом удобном фреймворке. #опернадежность

💬tg_AC

🫥Что стоит учесть при проведении отраслевого мониторинга?

Согласно постановлению Правительства РФ №127 мониторинг осуществляется регулярно путем запроса и оценки информации о сроках представления, актуальности и достоверности сведений о результатах присвоения объекту КИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий.

Проверяющие эксперты имеют право оценивать перечисленную выше информацию как удаленно, так и непосредственно явившись на ревизию в организацию субъекта.

Если к вам «постучались» с такой проверкой, то:

➡️ проверяйте достоверность факта отправки письма с уведомлением о проверке КИИ, обратившись по официальным контактам проверяющей организации;

➡️ заранее скоординируйте и организуйте режим работы персонала вашей организации, участвующего в проверке КИИ. Такие проверки, как правило, запланированы. Узнать о них можно на сайте ФСТЭК России, где публикуется информация о плановых проверках;

➡️ если у субъекта есть вышестоящая ведомственная организация, то и она должна быть в курсе мониторинга (и даже являться ее инициатором). Если же к вам пришли представители ФСТЭК России, то такие проверки должны сопровождаться предварительным уведомлением по почте или по телефону. Более того, у сотрудников ФСТЭК России должны быть при себе служебные удостоверения, подтверждающие причастность сотрудника к органу власти. #КИИ

Подробнее о проведении отраслевого мониторинга в КИИ — в статье нашего эксперта Алексея Филиппова.

💬tg_AC

🫥Определение объема затрат на операционную надежность.

➡️Заключительный этап — подведение итогов

Первый этап
Второй этап
Третий этап
Четвёртый этап
Пятый этап

В рамках последнего этапа разрабатываются меры по обеспечению непрерывности бизнеса и корректируется план обеспечения непрерывности и восстановления деятельности (ОНиВД) на основе полученных данных.

Также рекомендуем оформить аналитический отчет для руководства с указанием мер, последовательности их внедрения и их стоимости, а также посмотреть, какие из предложенных мер можно отнести к инвестиционной части, а какие списать как операционные расходы.


💛Подведем итог: при применении описанного аналитического подхода к определению затрат на опернаженость расходы могут начать восприниматься как инвестиции в развитие финансовой организации. Но для этого полезно провести большую и сложную работу, а также подняться на уровень бизнес-процессов всей организации, чтобы сделать ее качественно.

Описанный анализ — это лишь один из элементов системы управления операционной надежностью, его можно использовать для развития IT-инфраструктуры и обоснования выделения средств на ее модернизацию. Результаты такого анализа наглядно показывают топ-менеджменту финансовых организаций, как связаны требуемые операционные расходы с возможным ущербом или, наоборот, с увеличением доходов и прибыли. #опернадежность

💬tg_AC

💠Что делать при недостатке ресурсов для реализации проекта из-за пересечения с другими проектами?

Бывают ситуации, когда на запланированные ранее работы неожиданно накладывается крупный проект. Его источником может стать распоряжение руководства, регуляторика, крупный инцидент, случившийся на предприятии или в отрасли. В данном случае чаще всего организация начинает перераспределение ресурсов с ранее запланированных проектов.

Так как всегда есть вероятность столкнуться с таким риском на практике, стоит заранее предусмотреть меры по его минимизации.

Возможные варианты действий:

⏩поддерживать ресурсный план в актуальном состоянии;
⏩закладывать 5-10% запас ресурсов в план;
⏩высчитывать коэффициент неопределенности и оставлять резерв на непредвиденные ситуации;
⏩рассмотреть возможность передачи части задач на аутсорсинг (для экономии времени рекомендуем держать в актуальном состоянии список подрядчиков);
⏩в крайних случаях согласовать переработки для сотрудников;
⏩пожертвовать некоторыми задачами в менее приоритетных проектах. #практика_РП


Расскажите в комментариях, приходилось ли сталкиваться с подобным риском? Как вы действовали?

💬tg_AC

✅Как реализовать требования по операционной надежности в некредитных финансовых организациях?

Традиционно регуляторные требования Банка России разделяются на требования для кредитных и некредитных финансовых организаций (НФО). Системы требований Положений 683-П и 757-П по защите информации очень схожи и учитывают особенности каждого вида деятельности.

➡️Текущая система требований по управлению операционным риском и операционной надежностью выстроена с существенными различиями. Положение 716-П распространяется только на кредитные организации и головные подразделения банковских групп. Положение 787-П охватывает также кредитные организации и системно опирается на требования Положения 716-П.

Для некредитных же финансовых организаций требования по управлению операционным риском в данный момент не предъявляются. При этом Положение 779-П определяет требования по операционной надежности без отсылки к какой-либо конкретной системе требований по управлению операционным риском, которую можно было бы расширить для выполнения 779-П.

⁉️В связи с этим у некредитных финансовых организаций возникает много вопросов о том, как сформировать систему управления событиями операционной надежности. С одной стороны, НФО предоставляется определенная свобода выбора, а с другой — у организаций могут быть опасения по поводу правильности выбранного пути с учетом дальнейших перспектив развития регуляторики.

В данном случае организации могут проектировать и внедрять свои собственные уникальные системы управления операционной надежностью либо брать за основу уже известные мировые или российские практики.

💡Мы рекомендуем опираться на требования к системе управления операционным риском Положения 716-П, принимать во внимание ГОСТ 57580.3 и адаптировать эти два документа к масштабам и особенностям конкретной организации. Это позволит в дальнейшем с меньшими затратами гармонизировать сформированные системы с ожидаемыми нововведениями в требованиях регулятора.

💬tg_AC

🫥Каждая десятая из опрошенных компаний в России ещё не приступала к реализации требований №187-ФЗ. Такие данные следуют из исследования «О готовности субъектов КИИ к исполнению законодательства (№187-ФЗ)».

Исследование проводилось среди 108 представителей 97 российских компаний из ключевых сегментов экономики с выручкой 5 млрд рублей.

Основные моменты отчета:

▶️90% компаний приступили к реализации требований №187-ФЗ;

▶️более половины организаций считают, что обозначенные в указах № 166 и № 250 временные рамки достаточны для того, чтобы реализовать все требования;

▶️21% опрошенных компаний признаются, что не успеют выполнить необходимые меры в срок. Основным препятствием они называют трудности в замене иностранных продуктов на отечественные, что связано как с высокой стоимостью, так и с нехваткой оборудования;

▶️почти треть компаний одним из барьеров реализации требований №187-ФЗ называют проблему подбора и закупки отечественного аппаратного и программного обеспечения, в частности замену инфраструктурного оборудования;

▶️43% компаний самостоятельно занимаются обследованием инфраструктуры и категорированием объектов КИИ, не прибегая к услугам аутсорсинговых компаний. По мнению респондентов, сторонним специалистам часто не хватает отраслевой компетенции и понимания специфики того, как работает инфраструктура заказчика.

Подробнее ознакомиться с отчетом можно по ссылке.


❗️Эксперт AKTIV.CОNSULTING Алексей Филиппов отмечает, что, к сожалению, сегодня двигателем обеспечения безопасности объектов КИИ часто являются требования регулятора, а не желание организаций защищать свои активы от таргетированных атак. Также ограниченный выбор ПО, средств и систем ИБ на российском рынке является дополнительным барьером для выполнения указов президента №166 и №250.

Пока субъекты не начнут зрело, а не ради галочки, подходить к вопросам безопасности своих ЗО КИИ, инциденты будут происходить и дальше. Регулятор, в свою очередь, не дремлет, и скоро многие организации могут ждать проверки.

💬tg_AC

📣Новостной дайджест прошедшей недели

🗣Искусственный интеллект и кибербезопасность будут основными трендами цифровизации в России до 2030 года
По словам главы Минцифры, переход на цифровые платформы станет отдельным вызовом в условиях цифровой трансформации.

🗣В России выявлено 600 нарушений информбезопасности на объектах критической инфраструктуры
Такие данные приводит ФСТЭК России по итогам проверки 900 субъектов КИИ в 2023 году.

🗣Минздрав заверил, что цифровые профили пациентов надежно защищены от утечек
Замминистра здравоохранения заявил, что медицинские информационные системы в РФ относятся к объектам КИИ как на федеральном, так и на региональном уровне.

🗣Хакеры сообщили о взломе Росгосстраха и краже 400 ГБ данных
Украденные данные содержат около 730 000 клиентских профилей, а также 360 000 различных документов, в числе которых сканированные копии паспортов.

🗣Платформу «Гостех» предложили назначить оператором информационных систем, содержащих отдельные виды охраняемых законом тайн
Исключения могут составить только гостайны.

🗣В МИДе сообщили о ежедневных кибератаках на органы власти и СМИ России
Замминистра иностранных дел отметил, что предстоит на постоянной основе совершенствовать принимаемые в этих целях меры.

🗣Минцифры повысило целевые значения по внедрению российского общесистемного софта
В 2023 году доля его использования должна составить 54%, а не 23%, как планировали раньше.

💬tg_AC

​​📣 Порядок сертификации процессов РБПО СрЗИ

Для общественного обсуждения представлен проект приказа ФСТЭК России «Об утверждении Порядка сертификации процессов безопасной разработки программного обеспечения средств защиты информации».

📑ФСТЭК России представила для общественного обсуждения проект приказа «Об утверждении Порядка сертификации процессов безопасной разработки программного обеспечения средств защиты информации».

Согласно тексту документа, сертификация процессов БРПО СЗИ станет добровольной. Разработчики и производители сертифицированных СЗИ смогут действовать самостоятельно (без привлечения испытательной лаборатории) и проводить испытания, обусловленные внесением изменений в ПО СЗИ.

Данная инициатива позволит сократить нагрузку на испытательные лаборатории, уменьшит как сроки проведения испытаний, так и затраты разработчиков и производителей сертифицированных СЗИ, что в итоге снизит себестоимость СЗИ, применяемых в ГИС и на объектах КИИ.


Основные моменты документа:

▶️сертификацию будет проводить аккредитованный ФСТЭК России орган по сертификации;

▶️орган по сертификации получает от заявителя «Руководство по безопасной разработке программного обеспечения» и разрабатывает на его основе программу и методику проведения сертификации;

▶️программа и методика должны содержать описание процессов БРПО, внедренных изготовителем, сроки и порядок проведения сертификации, методы сертификации, требования к документации по БРПО изготовителя.


Сертификация включает:

• оценку соответствия «Руководства по БРПО» и иной документации по разработке;

• проверку наличия у заявителя средств, предназначенных для проведения композиционного анализа (№1) программного обеспечения, статического (№2) и динамического анализа (№3) исходного кода ПО;

• проверку реализации изготовителем процессов, приведенных в «Руководстве по БРПО»;

• проверку реализации изготовителем процедур поддержки ПО;

• проверку знаний и навыков специалистов заявителя.


Подробнее ознакомиться с текстом документа можно по ссылке.

Предложения и замечания по проекту принимаются до 17 ноября 2023 года по адресу: otd24@fstec.ru

💬tg_AC

✅На днях Банк России опубликовал новые методические рекомендации, которые направлены на организацию взаимодействия регулятора, поднадзорных организаций и силовых ведомств при обеспечении безопасности КИИ:

• МР-14 — по выполнению кредитными и некредитными финансовыми организациями мероприятий по обеспечению безопасности КИИ в части информирования о компьютерных инцидентах, результатах мероприятий по реагированию на них и принятии мер по ликвидации последствий компьютерных атак.

• МР-15 — по взаимодействию кредитных организаций и участников ПС с МВД России и ФСБ России в целях принятия процессуальных решений при проведении компьютерных атак в отношении объектов КИИ.


Основные моменты новых документов:

▶️ МР-14 разрешает использовать инфраструктуру АСОИ ФинЦЕРТ для информирования ФСБ России о выявляемых компьютерных атаках и компьютерных инцидентах на объектах КИИ финансовых организаций.

▶️ МР-15, в свою очередь, обязывает информировать не только Банк России (по форме СТО БР БФБО-1.5-2023), но ещё и НКЦКИ (по форме приказа ФСБ России №282 от 19.06.2019), в том числе при возникновении инцидентов, связанных с утечкой персональных данных.
Кроме того, кредитные организации по результатам реагирования на инциденты, вследствие которых возникли прямые и (или) непрямые потери, должны определять суммы потерь в разрезе видов потерь согласно пункту 3.11 716-П.


🖇Ознакомиться подробнее с новыми методическими рекомендациями ЦБ РФ:
Методические рекомендации МР-14
Методические рекомендации МР-15

💬tg_AC

📃Какие документы подготовить для отраслевого мониторинга?

При мониторинге в организации могут проверять не только кто и как осуществлял категорирование (наполнение сведений), решения комиссии (и ее наличие, естественно) и т.д., но и актуальность состава технических средств, наличие описанных в сведениях средств защиты информации, реализации и регламентации организационных и технических мер.


Давайте разберем наиболее частые аспекты и документы, проверяемые при мониторинге:

➡️Приказ (распоряжение) о создании комиссии по категорированию, а также документы (регламенты/положения) о ее функциях/деятельности. Рекомендуем субъекту КИИ периодически актуализировать состав комиссии, избавляясь от «мертвых душ», добавляя в комиссию новых сотрудников организации и сверяя состав с предложенным в постановлении №127-П.

Совет: действия и решения комиссии фиксировать документально в протоколах заседаний комиссии, актах категорирования, решений комиссии и других формах.


➡️Наличие перечня бизнес-процессов организации и списка критических процессов.
Даже если субъект не хочет отдельно оформлять перечни бизнес- и критических процессов, полезно оформить решения (протоколы) комиссии, в которых эти процессы будут перечислены или иметь ссылку на внутренний документ (например, Устав организации), содержащий нужные сведения. Непредоставление перечня процессов чревато тем, что проверяющие могут начать искать любые ИС, АСУ, ИТКС, не связанные с непосредственной деятельностью субъекта, и включать их в перечень ОКИИ (раздувание перечня). #КИИ

Продолжение следует…

💬tg_AC

🗣Эксперты зафиксировали самую длительную DDoS-атаку в текущем году, которая продолжалась почти трое суток (71 час 58 минут).

Атака была проведена в августе в сегменте транспорта и логистики (аэропорты). По словам аналитиков, это была мультивекторная DDoS (UDP+SYN+TCP) с признаками коммерческой (заказной) атаки.

❗️Больше всего DDoS в III квартале 2023 года пришлось на финансовые институты (42% атак), сферу электронной коммерции (29,8%), а также ИТ и телеком (6%).

💬tg_AC

🫥Увольнение или болезнь сотрудников может оказать существенное влияние на проектную деятельность. Как минимизировать риск?

На старте проекта формируется команда, в которую могут войти эксперты, обладающие специфическими компетенциями в своей предметной области. В ходе реализации проекта такие специалисты будут трудно заменимы, а их отсутствие может сказаться на сроках и результате.

Чаще всего ответственным за данный риск назначается непосредственный руководитель сотрудника или высшее звено руководящего уровня, в подчинении которого находятся все участники команды. Именно он будет решать возникшую проблему и реализовывать меры, предусмотренные в реестре рисков на стадии инициации проекта.


Варианты минимизации описанного риска:

▶️определить замену каждому участнику команды;

▶️вести постоянную работу по сокращению зависимости проекта от конкретных сотрудников (т.н. «BUS-фактор»);

▶️осуществлять подбор и развитие компетенций новых сотрудников, разрабатывать программы онбординга в проект;

▶️постоянно контролировать количество ресурсов;

▶️рассмотреть возможность передачи части задач на аутсорсинг (для экономии времени рекомендуем держать в актуальном состоянии список подрядчиков). #практика_РП


⬇️Поделитесь в комментариях, сталкивались ли вы с данным риском, и как он повлиял на проект? Как действовали, и какие мероприятия помогли выйти из положения?

💬tg_AC