21 октября, воскресенье 18:46
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Порядок проверки планов действий на случай непредвиденных ситуацийV

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Порядок проверки планов действий на случай непредвиденных ситуацийV

    Здравствуйте, уважаемые!
    Как всегда, подниму глобальную тему. :-)
    Есть какие-нибудь соображения по этому вопросу? Ведь наличие этого документа существенно снижает многие риски. Но это при условии, что документ не простая отписка, а действительно действующий образец.
    Я думаю, что в 99% банков этого документа нет.
    Пробовали ли Вы поднимать это тему перед руководством?
    Как они отреагировали?
    Собираетесь ли Вы писать сей трактат в ближайшем будущем?
    И вообще, как вы себе этот документ представляете?
    Удача любит подготовленный разум...

  • #2
    Хэванс_До
    Добрый день, коллега!
    "Порядок действий руководителя и сотрудников группы автоматизации по восстановлению работоспособности АС в случае возникновения нештатных ситуаций" - это будет несколько в тему?
    Вкратце, это перечень действий в следующих нештатных ситуациях:
    - при наличии разрушений, повреждений на рабочих местах, нарушений в работе телекоммуникационных систем;
    - в случае принятия решения об эвакуации из здания;
    - в случае возникновения локального очага возгорания;
    - при повреждении баз данных;
    - в случае выхода из строя основного сервера
    Документ небольшой, не сильно подробный... но работоспособный - недавно сервер горел (6 дисков потом меняли), так за час подняли резервный. Вопрос, правда, насколько в этом помог наш документ...
    In God we trust, all others we audit

    Комментарий


    • #3
      Моё Вам почтение, уважаемый!
      То, про что Вы говорите - только часть вего плана! АйТи - важный элемент в банке, но восстановить деятельность всего банка можно только при условии взаимодействия всех служб и департаментов.
      В сущности, часть, касающаяся восстановлению АйТи основной своей целью ставит восстановление базы данных и коммуникаций. Однако, что стоят эти данные и связь без первичных документов, кредитных дел, информации бэк и фронт офисов и т.д. Я ведь говорю не о каком-то происшествии, а скажем о полном разрушении банка или филиала.
      Как Вы думаете?
      Удача любит подготовленный разум...

      Комментарий


      • #4
        доброе время суток всем...
        2 Хэванс_До
        Есть какие-нибудь соображения по этому вопросу? Ведь наличие этого документа существенно снижает многие риски. Но это при условии, что документ не простая отписка, а действительно действующий образец.
        действительно - глобальный вопрос. слишком много ключевых моментов н. учесть при составлении такого плана (док-та), затронуть много подразделений и направлений, увязать все это в единое целое.
        боюсь я, что документ этот есть (в той или иной степени) в каждом банке, но вот "реальный сухой остаток" от него -
        хотя (см. пост от Conformist) - не все так печально.

        Я думаю, что в 99% банков этого документа нет.
        см.выше - есть, но вот полнота охвата его...
        Пробовали ли Вы поднимать это тему перед руководством?
        это уже вопрос другого топика.
        skip>
        Собираетесь ли Вы писать сей трактат в ближайшем будущем?
        И вообще, как вы себе этот документ представляете?

        посмотрите, Вам должны помочь материалы на:
        http://www.bcp.ru/Standards.htm

        на сайте http://www.datafort.ru/download/drs_bank.pdf - примерная схема реализации DRP(lan) для банков.

        немного старовато, но все же:
        http://www.icsti.su/ist/Book/C_Drozz.htm

        на технику надейся, а "план"-чик приготовь (ключевые моменты):
        http://www.bizcom.ru/system/2003-03/01-04.html

        то же, но другими словами, включая наглядные материалы для рук-ва:
        http://www.ramax.ru/services/server/...ckup/article_3

        "оч.хор.пять" (с) препод. из МЭИ - такумент от ДжетИнфосистемсов:
        http://www.jetinfo.ru/2003/5/2003.5.pdf

        пока, вроде бы все...
        к сож. нет сейчас возможности обратиться к своим "архивам"
        br, sd.

        Комментарий


        • #5
          Fantom
          Здравствуйте!
          Ох и ничего себе сайтик www.bcp.ru чего только в сети не бывает!
          Вот это номер!!! Спасибо большое за ссылку.
          Сейчас всё почитаю.
          Удача любит подготовленный разум...

          Комментарий


          • #6
            Уважаемые форумяне!!!!

            Срочно требуется ваша помощь. В положении 242-П сказано:
            "3.7. Кредитная организация должна иметь разработанные планы действий на случай непредвиденных обстоятельств с использованием дублирующих (резервных) автоматизированных систем и (или) устройств, включая восстановление критических для деятельности кредитной организации систем, поддерживаемых внешним поставщиком (провайдером) услуг. Внутренними документами должен быть определен порядок проверки этих планов в части их выполнимости в случаях возникновения непредвиденных обстоятельств, а также перечень непредвиденных обстоятельств, в отношении которых разрабатываются планы действий."

            У кого имеется порядок проверки этих планов??? Кто может сказать хоть что нибудь на эту тему. Я у всех кого кого знаю уже спросил никто ничего толкового сказать не может...

            Заранее спасибо за совет....

            Комментарий


            • #7
              m1245 ,

              если у вас есть сам план, то какие проблемы?
              Берем и указываем в "Порядке проверки" плана, чтО необходимо для БЕСпрепятственного и оперативного восстановления систем после нештатной ситуации (если в плане это не описано) и главное как и как часто нужно проверять исполнимость плана действий.

              Например, если в плане сказано, что есть некая дублирующая система (запасной сервер БД, запасные винты, бензиновый электрогенератор и т.д.), то в "порядке проверки" нужно написать, что, мол, раз в полгода или год необходимо проверять ее наличие, работоспособность и т.д.
              И так по всем пунктам.

              К сведению: у нас месяц назад проверка ЦБ была. В Акте целый раздел был посвящен 242-П - внутреннему контролю. Написали нам, в частности, такое вот замечание, что и основной сервер и дублирующий находятся в одном помещении, мол, при наводнении или пожаре всей системе каЮк!

              Комментарий


              • #8
                Доброе утро коллеги!
                Может кто-то из Вас разрабатывал "Порядок осуществления мониторинга системы ВК"? Документ требует проверка по допуску в систему страхования. Будьте добры поделитесь умными мыслями.
                kaz@strc.ru

                Комментарий


                • #9
                  вот всеь вопрос как раз в том и есть как проверять план. Например как проверить исполнимость плана при нападении на сеть банка хакеров??? или при наводнении??? или например как проверить исполнимость плана при программном сбое программного обеспечения или операционной системы??? ведь программный сбой иммитировать очень сложно....

                  Комментарий


                  • #10
                    У нас в плане написано что нужно для беспрепятственного и оперативного восстановления работоспособности банка, но вот как на практике проверить исполнимость плана??? тоесть как СВК может проконтролировать что план будет выполнен и работоспособность будет восстановлена??? Я лично вижу только один способ это сделать.... это искусственно смоделировать нештатную ситуацию и потом устранитьь её по плану.. или я не прав???

                    Комментарий


                    • #11
                      m1245
                      Все зависит от конкретных положений, прописанных в плане.
                      Поясню на конкретной ситуации - я в "плане действий по устранению нештатных ситуаций" прописал среди прочих и такой пункт: "Порядок восстановления работоспособности АС Банка при выходе из строя сети электропитания..." (короче, чего делать, если обрубили электричество в разгар опердня).
                      Далее последовательно описываю ход решения этой проблемы:
                      1. Погасить сервера, и все машины...
                      2. Достать из склада бензиновый электрогенератор, бензин, масло и т.д. и вытащить все на улицу.
                      3. Протянуть кабели от него к основным машинам, модемам, серверу ...
                      4. Завести ....
                      ....
                      х. Ответственнные лица:...

                      Так вот, в "порядке проверки плана" я "порекомендовал" СВК описать порядок проверки этого пункта следующим образом:
                      "....по такому то пункту плана проверку необходимо проводить не реже одного раза в квартал и при этом осуществлять контроль в сл. послед-сти:
                      1)Наличие источников бесп. питания у каждого критичного к внезапному выключению компьютера.
                      2)Их исправность.
                      3)Наличие, исправность Генератора, бензина и т.д.
                      4)Тестовый запуск ....
                      5)Проверить ответственных лиц на предмет знания порядка действий при наступлениии данной нешт. систуации.
                      ...
                      х)Проверить беспрепятственность выполнения всех действий, описанных в плане. Например наличие у ответственных лиц ключей от склада и др.
                      ...
                      Проверку проводить совместно с таким то под управлением рук-ля СВК.
                      По окончанию всей проверки должен быть составлен АКТ, подписанный теми то и теми то."

                      То есть, вот, примерно так.

                      В моем понимании в плане должны быть прописаны возможные нешт. ситуации и пути их разрешения - здесь и было моделирование ситуаций.
                      А суть "Порядка.." в проверке отсутствия помех на путях разрешения нешт. ситуаций.
                      Если проверка СВК установит, что у меня генератор сломанный или его ... вообще нет, значит план восстановления не сработает.

                      Рассмотрим ситуацию с хакерами.
                      Конечно, если вы в плане описали только гипотетическую ситуацию о возможном нападении хакеров с террористами , то смысл, а главное возможность, проверять это - по-моему отсутствует.
                      А вот напИшите в самом плане как вы планируете отражать эти атаки и/или устранять их последствия, тогда будет чтО написать в "Порядке проверки...". Здесь можно сослаться на "Политику безопасности", "Положении о сети", "Порядок доступа...", "Регламент работы с сетью Интернет" и др.

                      Что касается форс-мажора - наводнения, пожара, войны, и т.д.
                      Тут, конечно, немного сложнее, потому как описать в плане порядок восстановления программных систем в случае, например, наводнения, довольно проблематично.
                      На мой взгляд, для разрешения таких ситуаций, нужно проектировать территориально разспределенную систему хранения критичных данных (хотя, скажем, в моем случае это не представляется возможным).

                      Комментарий


                      • #12
                        Спасибо за совет.... уже пишу..

                        Комментарий


                        • #13
                          хочу спросить если делаются в российских банках план по беспрерывной работе при бедствиях и кто его составляет?

                          Комментарий


                          • #14
                            Конечно. За это отвечают финансовое и операционное управления. Такой план не только существует, его каждый год тестируют, и все сотрудники знают, что делать, например, при пожаре, неработающей системе или другом форс-мажоре.


                            Сообщение от Engy
                            хочу спросить если делаются в российских банках план по беспрерывной работе при бедствиях и кто его составляет?

                            Комментарий


                            • #15
                              ответ ясен, но на самом деле тестируется ли план - просто знаю что на такие шаги начальство не очень хочет тратить деньги! как вы их уговариваете?

                              Комментарий


                              • #16
                                Сообщение от masha0504
                                Конечно. За это отвечают финансовое и операционное управления. Такой план не только существует, его каждый год тестируют, и все сотрудники знают, что делать, например, при пожаре, неработающей системе или другом форс-мажоре.
                                А что значит - отвечают ? За что отвечают в частности ? за составление, исполнение, проверку ? или что еще ? такой ведь план по идее должен включать в себя блоки по автоматизации, безопасности и др.вопросам, затрагивающим практически все подразделения ?

                                Комментарий


                                • #17
                                  Разумеется, план тестируется, при этом именно собственники банков заинтересованы в том, чтобы работа банка продолжалась даже в случае форс-мажора. В нашем случае руководство инициировало, так что это - не просто чья-то прихоть, а необходимость, к тому же прописанная законодательно (а также - мировая практика).

                                  Сообщение от Engy
                                  ответ ясен, но на самом деле тестируется ли план - просто знаю что на такие шаги начальство не очень хочет тратить деньги! как вы их уговариваете?

                                  Комментарий


                                  • #18
                                    Департаменты автоматизации и безопасности подчиняются начальнику Операционного Управления. Так чо названные мной финансовое и операционное управление отвечают за составление обсуждаемого плана. Несут ответственность. Не сомневаюсь, в других банках структура иная.

                                    Сообщение от xmad
                                    А что значит - отвечают ? За что отвечают в частности ? за составление, исполнение, проверку ? или что еще ? такой ведь план по идее должен включать в себя блоки по автоматизации, безопасности и др.вопросам, затрагивающим практически все подразделения ?

                                    Комментарий


                                    • #19
                                      masha0504, а мне интересно, как Вы тестируете указанный план. В нем же должно быть предусмотрено все, включая полную потерю работоспособности основного и stand-by серверов, отключение электроэнергии, телефонов, интра-нета и т.п., причем и в случае выходного дня, когда специалистов автоматизации нет. У нас в плане расписано по минутам, что делается в таких случаях, но пробовать проверить такое... Никто не рискнет.
                                      PS. Причем, что самое интересно, во всех критичных случаях которые были, никто про указанный план даже и не вспомнил. И я думаю, что не только у нас такая ситуация. Поэтому мое мнение, что эти планы "работа для ревизора".
                                      With best personal regards.

                                      Комментарий


                                      • #20
                                        про "работу для ревизора" согласен. в тоже время эти планы ведь часто покупаются у своих аудиторов - как у вас с этим - сами делали аль кто-то помогал поминутно расставлять все детали? и еще пусть откликнется тот у кого есть отдельный фонд на тестирования этого дела!!!

                                        Комментарий


                                        • #21
                                          У нас в плане расписано по минутам, что делается в таких случаях

                                          Скажите пожалуйста, есть ли в вашем плане пункты освещающие вопросы защиты и сохранения документов (в том числе и бумажных) Вашего банка, которые необходимы для функционирования во время и после чрезвычайной ситуации или которые будут необходимы для защиты юридических и финансовых прав банка. Или Ваш план разработан только для ЧП в ИТ-системах?
                                          Информация для размышления: Информационный бюллетень, выпущенный Лондонской торговой палатой в 2003 году, приводит следующие статистические данные:
                                          90% компаний, потерявших данные в следствии катастроф, вынуждены закрыться в течении 2-х лет;
                                          80% компаний, не имевших приличного плана восстаносления деятельности, закрываются в течении 12 месяцев после пожара и наводнения.

                                          Комментарий


                                          • #22
                                            таша, Engy, так получилось, что в нашем банке исторически все делается самостоятельно. Изначально речь шла про план по восстановлению ИТ, я про него и говорил (но есть и другие планы). По защите и хранению есть несколько другие документы.
                                            Что касается юридических и финансовых прав ... Как бы полегче?.. Кто будет посягать на права большей частью государственной кредитной организации?

                                            Информация для размышления: Информационный бюллетень, выпущенный Лондонской торговой палатой в 2003 году, приводит следующие статистические данные:
                                            90% компаний, потерявших данные в следствии катастроф, вынуждены закрыться в течении 2-х лет;
                                            80% компаний, не имевших приличного плана восстаносления деятельности, закрываются в течении 12 месяцев после пожара и наводнения.
                                            И в конце реклама фирм, которые предлагают такие планы.
                                            With best personal regards.

                                            Комментарий


                                            • #23
                                              таша, такой вопрос - а в своем плане вы про заменяемость персонала тоже написали или нет, и какие вопросы затронули по поводу персонала?

                                              Комментарий


                                              • #24
                                                Needful Что касается юридических и финансовых прав ... Как бы полегче?.. Кто будет посягать на права большей частью государственной кредитной организации?

                                                Посягать не будут. Просто несколько должников Вашего банка просто забудут, что взяли у Вас крупные кредиты, а другие, не менее забывчивые, напрочь забудут, что Ваш банк уже давно вернул ему деньги по депозитному договору. Разбираться придется в суде. А без документов это сложновато будет.

                                                И в конце реклама фирм, которые предлагают такие планы.

                                                Рекламировать можно сколько угодно. Но действенность плана зависит, прежде всего от того, как он учитывает особенности Вашей организации. Поэтому лучше разрабатывать самим.

                                                Комментарий


                                                • #25
                                                  Engy такой вопрос - а в своем плане вы про заменяемость персонала тоже написали или нет, и какие вопросы затронули по поводу персонала?

                                                  Вопросы работы организации в случае ЧП включают в себя и вопросы о работе с персоналом. Американцы, например, к своему немалому удивлению, после событий 11 сентября, обнаружили, что именно персонал является самым слабым звеном в планах действий на члучай ЧП. Многие фирмы, не смотря на 100% потерю бумажных документов, не потеряли ни байта информации и смогли очень оперативно возобновить работу при одном условии: если они смогли сохранить большую часть своего персонала.

                                                  План составляется для того, чтобы оперативно решать вопросы минимизации ущерба и восстановления деятельности после ЧП. Вы спрашиваете про заменяемость. Это тоже важно, но прежде всего, необходимо просто иметь возможность в любой момент связаться с любым сотрудником и клиентом. А для этого потребуется список домашних адресов и телефонов всех сотрудников. причем он должен храниться в бумажном виде и постоянно обновляться. Потому что во вреся крупного ЧП первое, что отключается - это электричество.
                                                  Кроме этого, неплохо было бы иметь под рукой "аварийные команды", которые в случае объявления ЧП работали по заранее намеченным планам и отвечали за различные этапы восстановительных работ. Одни могут отвечать за эвакуацию персонала, другие за включание в оперативную работу резервного центра, третьи за поиск нового офисного помещения, а четвертые - за обеспечение этого помещения столами и стульями и т.д.

                                                  Информация к размышлению: одна из ведущих мировых финансовых компаний Merril Lynch в результате терактов 11 сентября потеряла свою штаб-квартиру (находилась в одной из башен) и еще несколько зданий где работало около 9 000 человек. У них заранее были созданы не только планы, но и "аварийные группы", которые 11 сентября сразу же приступили к действиям. В компании погибло 2 человека и 2 считаются пропавшими без вести. К 17 сентября 8 000 сотрудников компании уже вернулись к работе.

                                                  Я привожу этот пример, так как предпочитаю учиться на ошибках других, а не своих собственных.

                                                  Комментарий


                                                  • #26
                                                    Ребята, есть ли у кого-нибудь перечень непредвиденных обстоятельств и порядок проверки планов чрезвычайных ситуаций?

                                                    Комментарий


                                                    • #27
                                                      Сообщение от Олли
                                                      Ребята, есть ли у кого-нибудь перечень непредвиденных обстоятельств и порядок проверки планов чрезвычайных ситуаций?

                                                      Перечень может быть огромным от сбоя в компе на 5 минут до глобальных катастроф и форс мажоров.

                                                      Планы могут быть как общими так и по конкретному случаю (если есть время заморачиваться) а проверка может проходить в русле необходимого контроля за функционированием системы, проверка пожарных планов, запасных генераторов, запасных еще чего-нить- всегда есть чем запастись

                                                      Комментарий


                                                      • #28
                                                        можно пригласить внешних хакеров, так собственно некоторые банки и делают, а мы их обслуживаем. Недовольных было мало...

                                                        План можно, если очень страшно, проверять в выходные, но что же это за план тогда такой??? Фиговый план это.

                                                        Видел в одном ООЧЕНЬ крупном Банке план страниц на 200-300. Вот это - План. Главное в нем не запутаться. И понять кто отвечает за его актуальность.

                                                        Комментарий


                                                        • #29
                                                          БКБН родил рекомендации по BCP
                                                          Интересные кейсы приведены.

                                                          High-level principles for business continuityAugust 2006
                                                          Summary

                                                          ...
                                                          This paper outlines seven high-level principles that build upon traditional concepts of effective business continuity management in the following ways:

                                                          Principle 1 emphasises that the requirement for sound business continuity management applies to all financial authorities and financial industry participants and that the ultimate responsibility for business continuity management – not unlike the management of other risks – rests with an organisation's board of directors and senior management.
                                                          Principle 2 advises organisations that they should explicitly consider and plan for major operational disruptions. While this concept may be new for many organisations, it is considered important in light of the increasing frequency of such events.
                                                          Principle 3 states that financial industry participants should develop recovery objectives that reflect the risk they represent to the operation of the financial system. Financial industry participants that provide critical services to, or otherwise present significant risk to the operation of, the financial system should target higher standards in their business continuity management than other participants. This concept may be new for some financial industry participants. Because the steps necessary to improve the resilience of the financial system may be more costly than the steps such participants would choose to undertake on their own, financial authorities are encouraged to participate, as appropriate, in identifying recovery objectives that are proportionate to the risk posed by a given participant in order to achieve a reasonably consistent level of resilience.
                                                          Principle 4 stresses the critical importance of business continuity plans addressing the full range of internal and external communication issues an organisation may encounter in the event of a major operational disruption. The principle specifically recognises that clear, regular communication during a major operational disruption is necessary to manage a crisis and maintain public confidence.
                                                          Principle 5 highlights the special case of cross-border communications during a major operational disruption. Given the deepening interdependencies of financial systems across national boundaries, this principle advises financial industry participants and financial authorities to adopt communication protocols that address situations where cross border communication may be necessary.
                                                          Principle 6 emphasises the need to ensure that business continuity plans are effective and to identify necessary modifications through periodic testing.
                                                          Finally, to ensure that financial industry participants are in fact implementing appropriate approaches to business continuity management that reflect the recovery objectives adopted in accordance with Principles 1 and 3, Principle 7 calls upon financial authorities to incorporate business continuity management reviews into their frameworks for assessing financial industry participants.

                                                          The case studies of recent instances of major operational disruption that are set out in annexes to the paper highlight lessons learned from these disruptions and explicitly link each lesson to the relevant principle. A bibliography of the publications considered in the development of the principles is also provided in an annex.
                                                          DenM, CIA

                                                          Модератор форумов

                                                          Комментарий


                                                          • #30
                                                            "3.7. Кредитная организация должна иметь разработанные планы действий на случай непредвиденных обстоятельств с использованием дублирующих (резервных) автоматизированных систем и (или) устройств, включая восстановление критических для деятельности кредитной организации систем, поддерживаемых внешним поставщиком (провайдером) услуг. Внутренними документами должен быть определен порядок проверки этих планов в части их выполнимости в случаях возникновения непредвиденных обстоятельств, а также перечень непредвиденных обстоятельств, в отношении которых разрабатываются планы действий."

                                                            Коллеги, скиньте плиз "Порядок проверки планов..." на urbank@mail.ru
                                                            Не так страшен закон, как его толкуют

                                                            Комментарий

                                                            Пользователи, просматривающие эту тему

                                                            Свернуть

                                                            Присутствует 1. Участников: 0, гостей: 1.

                                                            Обработка...
                                                            X