Банк России, перед тем как предлагать ограничить двумя часами время простоя онлайн-сервисов кредитных организаций, должен был предварительно провести опрос реальности выполнения своих требований и ориентировочных затрат, которые должны нести кредитные организации для обеспечения соответствующей доступности. Об этом заявил «Известиям» Роберт Сабирянов, сооснователь и технический директор банка для бизнеса «Бланк», комментируя соответствующий проект положения регулятора во вторник, 24 августа.
По его словам, анализ доступности услуг является одним из составных процессов любой IT-компании или департамента.
Он считает, что по результатам такого опроса ЦБ стоило бы оценить затраты, которые должны нести кредитные организации для обеспечения нужной доступности.
«Информацию о простоях банков за последний год легко нагуглить и увидеть, что деградация сервисов суммарно составляет более двух часов, — такие показатели даже у крупных банков», — сказал Сабирянов.
Он рассказал, что обычно в IT уровень доступности услуг рассчитывается через показатель Uptime (время непрерывной работы вычислительной системы или ее части) c определенным уровнем SLA (соглашение об уровне сервиса), выраженным в процентах.
ЦБ же определяет большинство пороговых уровней сервисов в два часа. При этом регулятор, по его словам, указывает, что банки должны определить во внутренних документах для каждого техпроцесса «допустимое суммарное время простоя и (или) деградации технологического процесса (в случае отклонения от допустимой доли деградации технологического процесса)» в течение последних 12 календарных месяцев.
Специалист отметил, что, используя калькулятор Uptime, можно вычислить, что банки должны обеспечить для большинства своих услуг SLA доступность и отсутствие деградации не менее 99,98%, что является довольно высоким показателем даже для крупных кредитных организаций с большими ресурсами по поддержке IT-инфраструктуры.
«Скорее всего, это означает, что не только конечная услуга должна иметь Uptime 99,98%, но и все критические составные части процесса должны обеспечивать значительно большие уровни SLA», — заключил он.
При этом Александр Нижельский, CEO компании-разработчика цифровых продуктов LeanConsult, сооснователь сервиса F2B, заявил «Известиям», что банки, которые уже выстроили серьезную работу с IT-подразделениями по организации бизнес-процессов внутри финансовой организации, кредитных конвейеров, в частности с системой мониторинга управления и отработки инцидентов, смогут выполнить требование ЦБ.
Он подчеркнул, что финансовые организации, которые уже создали необходимую инфраструктуру в этом направлении или активно ее внедряют, смогут, по его словам, «поставить жесткие временные рамки на указанные в документе технологические процессы».
Банкам, которые такую подготовительную работу не проводили и не настроили процесс управления инцидентами, соответствовать требованиям будет сложнее, но при желании и они смогут, указал специалист.
Он считает, что соответствующие IT-решения можно разработать и встроить в IT-инфраструктуру банка.
В целом банки со связанной в единую экосистему IT-инфраструктурой по управлению бизнес-процессами (BPM) и управлению инцидентами имеют больше шансов на исполнение требования регулятора.
Алексей Крашенинников, архитектор платформ безопасности в банке для предпринимателей и предприятий «Точка», также считает, что неудобства в связи с планируемым нововведением могут возникнуть только у менее диджитал-подкованных участников рынка.
Новое положение, по его словам, означает, что финансовые организации не смогут останавливать работу интернет-банков или автоматизированной банковской системы более чем на два часа, чтобы, например, провести обновление. Для крупных, развитых с точки зрения IT банков проблем из-за ограничения времени простоя, скорее всего, не будет: механизмы уже отлажены, и в тайминг вполне реально уложиться.
Он подчеркнул, что в случае длительных простоев банки и так обязаны уведомлять ЦБ, что описано в его стандартах. В новых документах регулятора скорее описана ответственность банков за вероятные пробелы в структуре систем безопасности: допущение DDoS-атак, незащищенность процессов с подрядчиками-поставщиками инфоуслуг.
«Банкам просто еще раз напомнили, как важно уметь противостоять атакам, демонстрировать отказоустойчивость и обеспечивать работоспособность», — заключил Крашенинников.
Проект положения об ограничении допустимого времени простоя онлайн-сервисов банков ЦБ опубликовал на своем сайте ранее во вторник. Документ может вступить в силу с 1 октября 2022 года.