Владимир Беляевский, «Инфосистемы Джет» — как финансовому сектору выдержать требования ЦБ по операционной надежности
В этом году одна из животрепещущих тем для финансового сектора — новые требования Центробанка по обеспечению непрерывности оказания услуг и операционной надежности (Положения №№ 787-П и 779-П[1]). По ним максимальное время отказа основных банковских сервисов, — операций со счетами, ДБО и онлайн-банкинга, — не должно превышать два часа. Аналогичные рамки введены и для некредитных финансовых организаций: страховых компаний, пенсионных фондов, брокеров и др. Оба положения вступили в силу уже 1 октября 2022 года. На вопросы TAdviser о том, как обеспечить новые стандарты доступности сервисов ответил Владимир Беляевский, заместитель директора центра ИТ-инфраструктурных решений компании «Инфосистемы Джет».
Беляевский
Новые требования довольно жестко очерчивают возможное время недоступности сервисов. Способны ли банки выдержать их по факту?
Владимир Беляевский: Далеко не все организации способны сделать это. Во-первых, по своему опыту мы видим, что у многих банков есть проблемы на уровне ИТ-инфраструктуры. Например, недостаточно хорошо организована отказоустойчивость или георезервирование критичных сервисов. Во-вторых, встречается дефицит экспертизы в области DR-решений или специалистов, которые могут включиться в поставарийное восстановление — нет детальных планов восстановления, сотрудники на местах очень долго фиксируют и исправляют сбои. В итоге мы получаем такую статистику: за первое полугодие этого года зафиксировано 52 сбоя финансовых сервисов. И это только крупные эпизоды с «именитыми» банками, которые попали в поле зрения медиа. По факту же их было куда больше.
Думаю, что первыми смогут отвечать требованиям по доступности сервисов 15-20 крупнейших банков — они обладают средствами и ресурсами. Но даже они не приблизятся к этому быстро. Как скоро банки и некредитные организации смогут прийти к целевому состоянию, зависит от исходного состояния их ИТ-инфраструктуры. Например, если у компании есть только один ЦОД и не налажено резервирование технологических процессов, то проекты развития в соответствии с новыми требованиями ЦБ займут минимум год. Если же большинство систем зарезервированы, есть запас производительности и налажены процессы восстановления, то подобные проекты можно реализовать за несколько месяцев.
Этого будет достаточно?
Владимир Беляевский: Новые требования касаются не только доступности сервисов. Они предписывают актуализировать и дополнить документы согласно новыми требованиям. Это обширные блоки документов по технической части, операционной надежности, непрерывности бизнеса, информационной безопасности. С помощью этих документов аудиторы ЦБ смогут убедиться, что ИТ и ИБ организации соответствует Положениям. На актуализацию этих документов тоже придется выделить людей и время.
С чего начинать движение в сторону исполнения требований регулятора?
Владимир Беляевский: Парадокс в том, что многие компании даже не знают, что они не выдержат новых требований ЦБ. Точнее, они уверены в обратном. И это главная проблема. Проводя ИТ-аудиты, мы сталкиваемся со множеством таких кейсов. Как правило, иллюзия рассеивается, когда происходит сбой. Приведу пример крупной страховой компании. Она серьезно вложилась в обеспечение доступности данных: было закуплено современное «железо», внедрена система резервного копирования. Но однажды сотрудник случайно испортил данные в базе, искаженная информация реплицировалась в резервный ЦОД. К такому компания оказалась не готова.
Кейс неприятный, потому что в итоге сбоя стала недоступна сore-система. Полтора дня было потрачено на восстановление из резервной копии, еще столько же — из первичных документов. Для компании, которая инвестировала огромные средства в мероприятия по доступности, три дня на восстановление — неприемлемый срок. Как Threat Intelligence помогает бизнесу бороться с таргетированными кибератаками 
Или еще одна, самая удивительная история. Компания внедрила систему резервного копирования, мониторинг показывал, что все работает исправно, но однажды выяснилось, что полгода система резервировала пустоту! Об этом узнали в момент попытки восстановления.
В 80% случаев при проведении ИТ-аудита мы выявляем проблемы с резервированием технологических процессов. Например, может быть обнаружено, что РЦОД есть, а резервирование налажено не для всех ИС, реальные сроки восстановления далеки от планируемых и потеря основного дата-центра станет фатальной. Такую ситуацию мы встретили за последний год в трех разных банках из ТОП-40.
Почему даже технологически продвинутые банки не готовы к новым требованиям по доступности сервисов?
Владимир Беляевский: Крупные банки много лет вкладывались в обеспечение непрерывности бизнеса, но и их объем хранимой ими информации рос экспоненциально. Чтобы восстановить колоссальные массивы данных за два часа, должен быть задействован целый комплекс средств. Стандартной репликации и системы резервного копирования недостаточно. Необходимы средства непрерывного резервирования, Stand-in системы, умное кэширование данных, нужно менять логику работы приложений при отказах (graceful degradation), использовать автопереключение сервисов с мониторингом (circuit-breaker), средства мгновенного восстановление и другие. Кроме того, финансовым организациям стоит сфокусироваться на проработке DR-планов и проведении штатных учений по их реализации.
Что нужно предпринять финансовой организации, чтобы обеспечить управление рисками и операционную надежность в новых условиях?
Владимир Беляевский: Мы бы рекомендовали действовать в три шага. Первый этап — это быстрые и «недорогие» меры. Нужен непредвзятый взгляд на ИТ-инфраструктуру, способный обозначить проблемы. Итогом должна стать матрица рисков различных направлений. Из нее понятны потенциальные проблемы и время восстановления при той или иной аварии. В своей практике, например, мы предоставляем стоимость каждой инициативы и степень рисков, после чего заказчик решает какие риски надо закрывать срочно, а какие могут подождать.
Параллельно с этим стоит разобраться с требуемой Положением документацией и методологией. Как минимум, нужно составить реестр договоров с поставщиками ИТ-услуг. Мы знаем, что ЦБ его уже запрашивает.
Второй этап потребует больше времени и финансирования. Это непосредственно реализация проектов для повышения надежности и доступности сервисов в рамках основного ЦОД. Необходимо убедиться, что есть кластеризация, налажено и работает резервное копирование, имеется мониторинг, существуют актуальные планы восстановления. Если каких-то из перечисленных блоков нет, то будет полезно их внедрить. Ну и в рамках этого же шага стоит посмотреть на команду, убедиться, что компетенции внутри нее по возможности дублированы и уход сотрудника в отпуск не приведет к катастрофе, если потребуется восстановление.
И, наконец, третий этап ориентирован на крупные компании. Он про воплощение полноценной DR-стратегии и инфраструктуры на несколько ЦОД, модернизацию приложений. Понятно, что этот шаг может потребовать масштабного обновления ИТ и ИБ-инфраструктуры, существенной доработки приложений. Небольшие компании для оптимизации бюджета могут использовать публичные облака или ограничиться только самыми важными системами.
Мы подготовили краткий чек-лист для проверки того, насколько организация близка к исполнению требований ЦБ.
Что делать, если не хватает собственных компетенций?
Владимир Беляевский: Болевая точка многих компаний — сопровождение построенной инфраструктуры. Для этого нужно много специалистов, а это люди, которые время от времени болеют, уходят в отпуск, увольняются. А доступность нужна 24/7. Поэтому сопровождение, как правило, передают внешнему исполнителю с нужным SLA. Например, наша компания уже много лет сотрудничает с «Банком Русский Стандарт». Фактические SLA мы обеспечиваем даже выше, чем того требует Банк России сейчас. Этого удалось достичь за счет комплексного подхода.
Так что обязательства по доступности сервисов банков и некредитных организаций вполне выполнимы. Нужно лишь подобрать для этого правильные средства.
Примечания
- ↑ Положение Банка России от 12 января 2022 г. № 787-П «Об обязательных для кредитных организаций требованиях к операционной надежности при осуществлении банковской деятельности в целях обеспечения непрерывности оказания банковских услуг» и Положение Банка России от 15.11.2021 г. № 779-П «Об установлении обязательных для некредитных финансовых организаций требований к операционной надежности при осуществлении видов деятельности, предусмотренных частью первой статьи 76 Федерального закона от 10 июля 2002 года № 86-ФЗ "О Центральном банке Российской Федерации (Банке России)", в целях обеспечения непрерывности оказания финансовых услуг (за исключением банковских услуг)». Оба положения являются продолжением вышедшего в 2020 году Положения Банка России № 716-П от 08.04.2020 «О требованиях к системе управления операционным риском в кредитной организации и банковской группе».
