На сайт Синтегс
Портал

Рассматриваем вопросы заполнения формы 0420523

09.12.2022
Вопрос 1. Для оценки показателей операционной надежности, используются понятие «допустимая доля деградации технологического процесса» пункт 4 раздела 2. Что является допустимой долей деградации?
В соответствии с абзацем 2 пункта 1.3 Положения No 779-П допустимая доля деградации технологического процесса – это допустимое отношение общего количества финансовых операций, совершенных во время деградации технологического процесса в рамках события операционного риска или серии связанных событий операционного риска, вызванных информационными угрозами, которые привели к неоказанию или ненадлежащему оказанию финансовых услуг, к ожидаемому количеству финансовых операций за тот же период в случае непрерывного оказания финансовых услуг.

Вопрос 2. Перечень технологических участков: должны ли они быть
включены в описание процессов (являться их частью), или это отдельная история
для мониторинга?
При оказании финансовых услуг в рамках технологических процессов, предусмотренных пунктом 2 Порядка и сроков составления отчета по форме 0420523, устанавливаемых в приложении 1 к Указанию №6292-У, управляющей компанией осуществляется обработка защищаемой информации при совершении ряда действий:
  • при идентификации, аутентификации и авторизации своих клиентов в целях осуществления финансовых операций;
  • при формировании (подготовке), передаче и приеме электронных
  • сообщений;
  • при удостоверении права клиентов распоряжаться денежными
  • средствами, ценными бумагами или иным имуществом
  • при осуществлении финансовой операции, учете результатов её
  • осуществления (при наличии учета);
  • при хранении электронных сообщений и информации об
  • осуществленных финансовых операциях.
При совершении указанных действий используются объекты информационной инфраструктуры, представление сведений о которых необходимо будет осуществлять в отчете по форме 0420523 с указанием технологических участков и технологических процессов.

Вопрос 3. В Положении №779-П сказано про обеспечение непрерывности услуг в условиях реализации информационных угроз. Значит ли это, что речь идет только о злонамеренных воздействиях? Является ли инцидентом условная поломка оборудования в результате скачка напряжения, в рамках которого необходимо учитывать простои и отчитываться?
В соответствии с абзацем 2 пункта 1.3 Положения № 779-П событие операционного риска, связанное с нарушением операционной надежности, – событие операционного риска, вызванное информационными угрозами. Под информационными угрозами понимаются угрозы безопасности информации. В связи с этим для управляющей компании сбои объектов информационной инфраструктуры не следует классифицировать как инцидент операционной надежности.

Вопрос 4. В пункте 1.4 Положения № 779-П сказано, что необходим учет подразделений (работников), при этом в отчете об этом речь не идет. Уточните, где необходимо учитывать эту информацию? Прочие элементы из этого пункта вызывают тот же вопрос.
Учет подразделений (работников) управляющей компании, ответственных за разработку технологических процессов, а также учет работников управляющей компании или иных лиц, осуществляющих физический и (или) логический доступ, или программных сервисов, осуществляющих логический доступ к объектам информационной инфраструктуры управляющей компании, задействованных при выполнении каждого технологического процесса, проводится управляющей компанией самостоятельно. В отчете по форме 0420523 данная информация не представляется. Информация об остальных элементах критичной архитектуры, указанных в пункте 1.4 Положения № 779-П, передается в рамках отчета по форме 0420523.

Подробнее о заполнении формы мы рассказывали на нашем вебинаре

Ещё по теме


Материалы 1 - 3 из 59
Начало | Пред. | 1 2 3 4 5 | След. | Конец