Владимир Беляевский, «Инфосистемы Джет» — как финансовому сектору выдержать требования ЦБ по операционной надежности
В этом году одна из животрепещущих тем для финансового сектора — новые требования Центробанка по обеспечению непрерывности оказания услуг и операционной надежности (Положения №№ 787-П и 779-П[1]). По ним максимальное время отказа основных банковских сервисов, — операций со счетами, ДБО и онлайн-банкинга, — не должно превышать два часа. Аналогичные рамки введены и для некредитных финансовых организаций: страховых компаний, пенсионных фондов, брокеров и др. Оба положения вступили в силу уже 1 октября 2022 года. На вопросы TAdviser о том, как обеспечить новые стандарты доступности сервисов ответил Владимир Беляевский, заместитель директора центра ИТ-инфраструктурных решений компании «Инфосистемы Джет».
Новые требования довольно жестко очерчивают возможное время недоступности сервисов. Способны ли банки выдержать их по факту?
Владимир Беляевский: Далеко не все организации способны сделать это. Во-первых, по своему опыту мы видим, что у многих банков есть проблемы на уровне ИТ-инфраструктуры. Например, недостаточно хорошо организована отказоустойчивость или георезервирование критичных сервисов. Во-вторых, встречается дефицит экспертизы в области DR-решений или специалистов, которые могут включиться в поставарийное восстановление — нет детальных планов восстановления, сотрудники на местах очень долго фиксируют и исправляют сбои. В итоге мы получаем такую статистику: за первое полугодие этого года зафиксировано 52 сбоя финансовых сервисов. И это только крупные эпизоды с «именитыми» банками, которые попали в поле зрения медиа. По факту же их было куда больше.
Думаю, что первыми смогут отвечать требованиям по доступности сервисов 15-20 крупнейших банков — они обладают средствами и ресурсами. Но даже они не приблизятся к этому быстро. Как скоро банки и некредитные организации смогут прийти к целевому состоянию, зависит от исходного состояния их ИТ-инфраструктуры. Например, если у компании есть только один ЦОД и не налажено резервирование технологических процессов, то проекты развития в соответствии с новыми требованиями ЦБ займут минимум год. Если же большинство систем зарезервированы, есть запас производительности и налажены процессы восстановления, то подобные проекты можно реализовать за несколько месяцев.
Этого будет достаточно?
Владимир Беляевский: Новые требования касаются не только доступности сервисов. Они предписывают актуализировать и дополнить документы согласно новыми требованиям. Это обширные блоки документов по технической части, операционной надежности, непрерывности бизнеса, информационной безопасности. С помощью этих документов аудиторы ЦБ смогут убедиться, что ИТ и ИБ организации соответствует Положениям. На актуализацию этих документов тоже придется выделить людей и время.
С чего начинать движение в сторону исполнения требований регулятора?
Владимир Беляевский: Парадокс в том, что многие компании даже не знают, что они не выдержат новых требований ЦБ. Точнее, они уверены в обратном. И это главная проблема. Проводя ИТ-аудиты, мы сталкиваемся со множеством таких кейсов. Как правило, иллюзия рассеивается, когда происходит сбой. Приведу пример крупной страховой компании. Она серьезно вложилась в обеспечение доступности данных: было закуплено современное «железо», внедрена система резервного копирования. Но однажды сотрудник случайно испортил данные в базе, искаженная информация реплицировалась в резервный ЦОД. К такому компания оказалась не готова.
Кейс неприятный, потому что в итоге сбоя стала недоступна сore-система. Полтора дня было потрачено на восстановление из резервной копии, еще столько же — из первичных документов. Для компании, которая инвестировала огромные средства в мероприятия по доступности, три дня на восстановление — неприемлемый срок. Метавселенная ВДНХ
Или еще одна, самая удивительная история. Компания внедрила систему резервного копирования, мониторинг показывал, что все работает исправно, но однажды выяснилось, что полгода система резервировала пустоту! Об этом узнали в момент попытки восстановления.
В 80% случаев при проведении ИТ-аудита мы выявляем проблемы с резервированием технологических процессов. Например, может быть обнаружено, что РЦОД есть, а резервирование налажено не для всех ИС, реальные сроки восстановления далеки от планируемых и потеря основного дата-центра станет фатальной. Такую ситуацию мы встретили за последний год в трех разных банках из ТОП-40.
Почему даже технологически продвинутые банки не готовы к новым требованиям по доступности сервисов?
Владимир Беляевский: Крупные банки много лет вкладывались в обеспечение непрерывности бизнеса, но и их объем хранимой ими информации рос экспоненциально. Чтобы восстановить колоссальные массивы данных за два часа, должен быть задействован целый комплекс средств. Стандартной репликации и системы резервного копирования недостаточно. Необходимы средства непрерывного резервирования, Stand-in системы, умное кэширование данных, нужно менять логику работы приложений при отказах (graceful degradation), использовать автопереключение сервисов с мониторингом (circuit-breaker), средства мгновенного восстановление и другие. Кроме того, финансовым организациям стоит сфокусироваться на проработке DR-планов и проведении штатных учений по их реализации.
Что нужно предпринять финансовой организации, чтобы обеспечить управление рисками и операционную надежность в новых условиях?
Владимир Беляевский: Мы бы рекомендовали действовать в три шага. Первый этап — это быстрые и «недорогие» меры. Нужен непредвзятый взгляд на ИТ-инфраструктуру, способный обозначить проблемы. Итогом должна стать матрица рисков различных направлений. Из нее понятны потенциальные проблемы и время восстановления при той или иной аварии. В своей практике, например, мы предоставляем стоимость каждой инициативы и степень рисков, после чего заказчик решает какие риски надо закрывать срочно, а какие могут подождать.
Параллельно с этим стоит разобраться с требуемой Положением документацией и методологией. Как минимум, нужно составить реестр договоров с поставщиками ИТ-услуг. Мы знаем, что ЦБ его уже запрашивает.
Второй этап потребует больше времени и финансирования. Это непосредственно реализация проектов для повышения надежности и доступности сервисов в рамках основного ЦОД. Необходимо убедиться, что есть кластеризация, налажено и работает резервное копирование, имеется мониторинг, существуют актуальные планы восстановления. Если каких-то из перечисленных блоков нет, то будет полезно их внедрить. Ну и в рамках этого же шага стоит посмотреть на команду, убедиться, что компетенции внутри нее по возможности дублированы и уход сотрудника в отпуск не приведет к катастрофе, если потребуется восстановление.
И, наконец, третий этап ориентирован на крупные компании. Он про воплощение полноценной DR-стратегии и инфраструктуры на несколько ЦОД, модернизацию приложений. Понятно, что этот шаг может потребовать масштабного обновления ИТ и ИБ-инфраструктуры, существенной доработки приложений. Небольшие компании для оптимизации бюджета могут использовать публичные облака или ограничиться только самыми важными системами.
Мы подготовили краткий чек-лист для проверки того, насколько организация близка к исполнению требований ЦБ.
Что делать, если не хватает собственных компетенций?
Владимир Беляевский: Болевая точка многих компаний — сопровождение построенной инфраструктуры. Для этого нужно много специалистов, а это люди, которые время от времени болеют, уходят в отпуск, увольняются. А доступность нужна 24/7. Поэтому сопровождение, как правило, передают внешнему исполнителю с нужным SLA. Например, наша компания уже много лет сотрудничает с «Банком Русский Стандарт». Фактические SLA мы обеспечиваем даже выше, чем того требует Банк России сейчас. Этого удалось достичь за счет комплексного подхода.
Так что обязательства по доступности сервисов банков и некредитных организаций вполне выполнимы. Нужно лишь подобрать для этого правильные средства.
Примечания
- ↑ Положение Банка России от 12 января 2022 г. № 787-П «Об обязательных для кредитных организаций требованиях к операционной надежности при осуществлении банковской деятельности в целях обеспечения непрерывности оказания банковских услуг» и Положение Банка России от 15.11.2021 г. № 779-П «Об установлении обязательных для некредитных финансовых организаций требований к операционной надежности при осуществлении видов деятельности, предусмотренных частью первой статьи 76 Федерального закона от 10 июля 2002 года № 86-ФЗ "О Центральном банке Российской Федерации (Банке России)", в целях обеспечения непрерывности оказания финансовых услуг (за исключением банковских услуг)». Оба положения являются продолжением вышедшего в 2020 году Положения Банка России № 716-П от 08.04.2020 «О требованиях к системе управления операционным риском в кредитной организации и банковской группе».