Создание подвижной системы управления перевозками, в том числе с использованием спутниковой связи, позволяет обеспечивать контроль за движением ценностей на любое расстояние в любой точке страны. Поэтому на данный вопрос безопасности Банк России также обращает очень серьезное внимание.
Одной из методологических основ совершенствования безопасности банковской системы является планирование бесперебойной деятельности КБ в случае потенциальной угрозы, которая трактуется как, выявление и защита критически важных бизнес-процессов и ресурсов, необходимых для поддержания деятельности организации на нужном уровне, а также разработка процедур, которые обеспечат выживание организации при нарушении её нормальной деятельности.
План обеспечения бесперебойной деятельности банка в случае бедствий (осуществления потенциальных и чрезвычайных угроз) не является только техническим планом — он главным образом предусматривает проведение организационных мероприятий. Поэтому в основу плана должны быть положены сведения о структуре и функциях организации, средствах, необходимых для поддержания её деятельности, величине ущерба от невозможности нормального функционирования, лицах, которые примут на себя управление в кризисной ситуации, и процедурах, которые они будут использовать. Для структуризации процесса разработки плана необходимо использовать соответствующую методологию, что обеспечит учёт всех факторов непрерывности.
Методология состоит из стадий и этапов, в совокупности составляющих жизненный цикл проекта по разработке плана обеспечения непрерывности деятельности банка.
Планирование деятельности банка базируется на следующих основных факторах:
качестве услуг;
эффективности работы;
возможности развития организации.
Во многом оно обеспечивается технологией, принятой в банке. Поэтому важно, чтобы при выявлении критических областей деятельности учитывалась их зависимость от технологических составляющих.
Ранее планы на случай непредвиденных обстоятельств учитывали только бедствия, связанные с компьютерной техникой. Это очень узкий подход. Для обеспечения бесперебойной деятельности необходимо учитывать все взаимосвязанные внешние и внутренние функции, в том числе ручные методы учета и обработки информации.
Наиболее важными факторами, обеспечивающими успех планирования, являются учёт всех мелочей и поэтапная разработка каждого небольшого элемента плана. Должно быть определено, на события какого масштаба рассчитан план. Если организация располагается в районе, где могут возникнуть региональные бедствия, план должен предусматривать возможность прекращения подачи электроэнергии, воды и других коммунальных услуг. В противном случае достаточно учитывать возможность бедствий лишь в масштабе здания и рассчитывать на помощь властей и городских структур.
Необходимо также установить "широту охвата" плана. Она зависит от многих факторов, в частности, от структуры банка, допустимых затрат, количества имеющихся зданий и т.п.
В основу методологии "Планирование бесперебойной деятельности" положен прагматический подход, предусматривающий поддержание критически важных процессов. Защита всех аспектов деятельности организации от пагубных последствий в случае бедствий либо нереальна, либо связана с чрезмерными затратами.
Целями проекта по составлению плана, обеспечивающего бесперебойность и восстановление деятельности банка в случае бедствий, являются:
Создание методики оценки бизнес-процессов, которая обеспечит разработку плана с помощью хорошо структурированной и всеобъемлющей методологии.
Разработка прагматичного, экономичного и работоспособного плана, который обеспечит бесперебойность критически важных процессов в случае серьёзного нарушения деятельности организации.
Минимизация последствий любого бедствия.
Эффективный план обеспечения бесперебойной деятельности является относительно недорогой формой страхования банка от последствий возможных бедствий, и затраты на него должны рассматриваться как составляющая необходимых издержек на поддержание нормальной деятельности.
Непременным условием быстрого и успешного восстановления деятельности банка после бедствия является предварительная разработка и регулярное обновление постоянно действующего плана обеспечения бесперебойной деятельности.
План включает следующие основные разделы:
1. Основные положения плана;
2. Оценка чрезвычайных ситуаций:
выявление уязвимых мест;
классификация возможных опасных событий и оценка вероятности их возникновения;
сценарии чрезвычайных ситуаций;
потенциальные источники отрицательных последствий каждой чрезвычайной ситуации и оценка величины ущерба;
набор критериев, на основании которых объявляется чрезвычайная ситуация.
3. Деятельность банка в чрезвычайной ситуации:
первоначальное реагирование на чрезвычайную ситуацию (оценка опасного события, объявление чрезвычайной ситуации, оповещение необходимого круга лиц, ввод в действие чрезвычайного плана);
мероприятия, обеспечивающие бесперебойность деятельности банка в чрезвычайной ситуации и восстановление ее нормального функционирования.
4. Поддержание готовности к возникновению чрезвычайной ситуации:
контроль правильности и корректировка содержания плана;
составление списка адресов и процедуры рассылки плана;
разработка программы повышения квалификации и ознакомления персонала с действиями, необходимыми для восстановления деятельности банка после бедствия;
подготовка к опасным событиям, обеспечение безопасности и предотвращение бедствий;
регулярное проведение частичных и комплексных проверок (типа пожарных учений) готовности банка к действиям в чрезвычайной ситуации и способности восстановить нормальную деятельность;
регулярное создание резервных копий данных, документации, бланков входных и выходных документов и основного программного обеспечения, их хранение в безопасном месте.
5. Информационное обеспечение:
приоритетные функции, выполняемые банком;
списки внутренних и внешних ресурсов — технических средств, программного обеспечения, средств связи, документов, офисного оборудования и персонала;
учётная информация о техническом, программном и другом обеспечении, необходимом для восстановления деятельности банка в случае чрезвычайной ситуации;
список лиц, которых необходимо оповестить о чрезвычайной ситуации с указанием адресов и телефонов;
вспомогательная информация — планы и схемы, маршруты перевозок, адреса и т.п.;
описание детальных пошаговых процедур, обеспечивающих чёткое выполнение всех предусмотренных мер;
функции и обязанности сотрудников в случае возникновения непредвиденных обстоятельств;
сроки восстановления деятельности в зависимости от типа возникшей чрезвычайной ситуации;
смета расходов, источники финансирования.
6. Техническое обеспечение:
создание и поддержание базы технических средств, обеспечивающей бесперебойную деятельность банка в чрезвычайной ситуации;
создание и поддержание в надлежащем состоянии резервных помещений.
7. Организационное обеспечение, состав и функции следующих групп, обеспечивающих бесперебойную деятельность в случае бедствия:
группы оценки чрезвычайной ситуации;
группы управления в кризисной ситуации;
группы для работ в чрезвычайной ситуации;
группы восстановления;
группы обеспечения работы в резервном производственном помещении;
группы административной поддержки.
Совершенствование информационной безопасности организации банковских систем следует проводить с учетом рекомендаций в области стандартизации процедур безопасности, установленных Банком России. В этом случае должны быть сформированы следующие требования:
назначения и распределения ролей и обеспечения доверия к персоналу;
обеспечения информационной безопасности на стадиях жизненного цикла автоматизированной банковской системы;
защиты от несанкционированного доступа и нерегламентированных действий в рамках предоставленных полномочий, управления доступом и регистрацией всех действий в автоматизированной банковской системе, в телекоммуникационном оборудовании, автоматических телефонных станциях и т.д.;
антивирусной защиты;
использования ресурсов Интернета;
использования средств криптографической защиты информации;
защиты банковских платежных и информационных технологических процессов.
Для обеспечения информационной безопасности и контроля за качеством ее обеспечения в КБ должны быть определены роли, связанные с деятельностью по ее обеспечению. Руководство банка должно осуществлять координацию своевременности и качества выполнения ролей, связанных с обеспечением информационной безопасности.
При принятии руководством банка решений об использовании сети Интернет, при формировании документов, регламентирующих порядок использования сети Интернет, а также иных документов, связанных с обеспечением информационной безопасности при использовании сети Интернет, необходимо учитывать следующие положения:
сеть Интернет не имеет единого органа управления (за исключением службы управления пространством имен и адресов) и не является юридическим лицом, с которым можно было бы заключить договор (соглашение). Провайдеры (посредники) сети Интернет могут обеспечить только те услуги, которые реализуются непосредственно ими;