1. Настоящая Политика непрерывности деятельности (далее – Политика) АО «Национальная платежная корпорация Национального Банка Республики Казахстан» (далее – НПК) разработана для определения общих подходов к процессам планирования и организации непрерывности деятельности, направленных на достижение бесперебойного осуществления НПК возложенных на него функций и задач, а также минимизацию влияния инцидентов и чрезвычайных ситуаций (далее – ЧС) на основную деятельность с целью ее скорейшего восстановления.
2. Политика разработана в соответствии c действующим законодательством Республики Казахстан, Политикой обеспечения непрерывности деятельности Национального Банка Республики Казахстан, Требованиями к безопасности и беспрерывности работы информационных систем банков и организаций, осуществляющих отдельные виды банковских операций, и Международным стандартом ISO 22301 .
3. Обеспечение непрерывности деятельности критичных бизнес-процессов по обеспечению функционирования платежных систем Национального Банка Республики Казахстан, участником которых является НПК, осуществляется в соответствии с Политикой обеспечения непрерывности деятельности Национального Банка Республики Казахстан.
4. Руководство НПК осознает важность и осуществляет управление непрерывностью деятельности, обеспечивая необходимые условия развития, совершенствования мер и средств, обеспечивающих непрерывность деятельности в контексте угроз возникновения аварийных и чрезвычайных ситуаций.
5. Непрерывность деятельности бизнес-процессов достигается путем обеспечения постоянной готовности ресурсов/подресурсов и резервных ресурсов/подресурсов. Активация ресурсов/подресурсов на площадках восстановления должна происходить максимально автоматически, без привлечения дополнительных человеческих ресурсов или времени. Заинтересованные подразделения НПК обеспечивают реализацию этих задач.
6. Политика пересматривается по мере необходимости, но не реже одного раза в три года. Политика является общедоступным документом.
Глава 2. Основные понятия, используемые в Политике
7. В Политике используются следующие основные понятия:
1) непрерывность деятельности – бесперебойное функционирование информационных систем НПК;
2) обеспечение непрерывности деятельности – стратегические и тактические действия подразделений НПК, направленные на обеспечение бесперебойного функционирования информационных сиcтем НПК в случае возникновения инцидентов и ЧС. Обеспечение непрерывности деятельности включает в себя управление восстановлением и продолжением деятельности в случае нарушения нормального функционирования информационных систем;
3) планы аварийного восстановления (далее – Планы) – регламентированный набор процедур и необходимой информации, который разработан, консолидирован, тестируется с определенной периодичностью и поддерживается в постоянной готовности для использования в случае наступления инцидентов и ЧС;
4) инцидент – одно или несколько событий, которые привели либо могут привести к компрометации или нарушению функционирования бизнес-процессов НПК;
5) чрезвычайная ситуация – ситуация природного, техногенного либо социального характера при реализации которой утрачивается возможность осуществления функционирования бизнес-процессов НПК в обычном (повседневном) режиме работы.
Глава 3. Процесс работы НПК, обеспечивающий непрерывность деятельности
8. Деятельность НПК подвержена негативному влиянию внутренних и внешних рисков, реализация которых может нарушить непрерывность ее осуществления.
9. К бизнес-процессам и системам, имеющими наивысший приоритет восстановления относятся критичные бизнес-процессы Национального Банка Республики Казахстан по обеспечению функционирования платежных систем, а также связанные с ними ресурсы и подресурсы. Другие бизнес-процессы и информационные системы НПК восстанавливаются во вторую очередь.
10. Организация непрерывности деятельности НПК заключается в обеспечении бесперебойного функционирования информационных систем.
11. Обеспечение непрерывности деятельности осуществляется посредством:
1) обеспечения мер по организации бесперебойного функционирования и поддержании в актуальном состоянии ресурсов/подресурсов на площадках восстановления;
2) обучения сотрудников и реализации мер по переводу систем на резервные площадки восстановления без привлечения дополнительных человеческих ресурсов или времени;
3) разработки и поддержания в актуальном состоянии Планов;
4) тестирования, анализа и улучшения Планов, а также готовности ответственных сторон к реализации инцидентов и ЧС.
12. Для обеспечения непрерывности деятельности и восстановления функционирования, НПК имеет резервные центры обработки данных (далее – ЦОД), которые обеспечивают потребности при обеспечении функционирования информационных систем в случае наступления инцидентов и ЧС. Место расположения, техническое оснащение, варианты обслуживания и использования резервного ЦОД определяются руководством НПК исходя из объективно имеющихся потребностей и возможностей.
13. На случай реализации инцидентов и ЧС, нарушающих непрерывное функционирование информационных систем НПК, разрабатываются Планы.
14. Планы являются основными документами, регламентирующими действия ответственных работников НПК в случае возникновения инцидентов и ЧС.
15. Группы восстановления формируются из числа опытных работников, которые могут обеспечить функционирование бизнес-процесса на период ЧС.
16. Члены групп восстановления принимают на себя обязательства по обеспечению своей доступности и реагированию в любое время суток и несут ответственность за ненадлежащее выполнение обязанностей в соответствии с Планами.
17. Планы подлежат пересмотру не реже одного раза в год, а также при изменении конфигурации, состава групп восстановления, списка организаций, услуги которых могут понадобиться, добавлении или удалении программных и технических средств и других случаях, влияющих на восстановление функционирования информационных систем КЦМР.
18. Пересмотр Планов имеет целью проверку достаточности мер, определенных данными Планами, реальным условиям применения информационных систем и существующим требованиям.
19. Тестирование и практическое обучение, в ходе которых частично или полностью отрабатываются действия в соответствии с Планами, производятся не реже одного раза в полугодие по типу запланированного и другого, согласованного с заинтересованными подразделениями и сторонними организациями, объявленного способа тестирования Планов.
20. Планы включают в себя перечень необходимых мероприятий, позволяющих восстановить нормальное функционирование информационных систем КЦМР при возникновении ЧС. Время восстановления информационных систем не должно превышать время, указанное в Планах.
21. Планы содержат следующие положения:
1) порядок пересмотра, способы и сценарии тестирования;
2) общие сведения (краткие сведения о структуре и функциях НПК, подлежащих восстановлению, площадки восстановления, жизненно важные записи);
3) участников процесса восстановления (центр управления восстановлением, группы восстановления);
4) действия в случае ЧС (уведомление руководства, оценка масштабов аварии, эвакуационная команда, введение в действие Планов, вызов руководителей и членов групп восстановления, организация транспорта, порядок уведомления ответственных и заинтересованных подразделений Национального Банка Республики Казахстан, занятие площадок восстановления, планирование и организация работ по восстановлению, порядок организации связи, взаимодействие со сторонними организациями по восстановлению, связи с общественностью);
5) порядок действий групп восстановления и сроки восстановления (этапы восстановления, сроки восстановления, задачи и функции групп восстановления);
6) порядок восстановления нарушенных информационных систем после ликвидации последствий ЧС, критерии, позволяющие принять решение о завершении работы в нестандартном режиме, и порядок принятия такого решения, а также порядок возврата в штатный режим функционирования.
22. НПК использует различные подходы и мероприятия по обеспечению и поддержанию непрерывности деятельности такие как:
1) повышение осведомленности работников в области непрерывности деятельности;
2) обеспечение резервным ЦОД-ом при недоступности основного ЦОД;
3) использование надежного оборудования с возможным дублированием, как самого оборудования, так и его компонентов;
4) использование передовых технологий повышения отказоустойчивости и надежности;
5) использование методов и процедур для обеспечения защиты и возможности восстановления информации, имеющей критическое значение для функционирования информационных систем;
6) хранение резервных копий жизненно-важных записей, необходимых для осуществления непрерывного функционирования информационных систем.
НПК на постоянной основе осуществляет анализ влияния негативных воздействий на свою производственную деятельность, основываясь на постоянном процессе оценки рисков, оценке вероятности реализации инцидента, ущерба и воздействия на деятельность НПК.
Глава 4. Ответственность и контроль
23. Руководство НПК осуществляет общий контроль и несет ответственность за реализацию основных положений Политики, в т.ч. за обеспечение условий и ресурсов для достижения целей Политики.
24. Ответственность за непрерывность в повседневной деятельности возлагается на начальников структурных подразделений, которые несут персональную ответственность в пределах своих полномочий, за реализацию Политики, а также за непрерывный контроль выполнения установленных в НПК требований и мероприятий.
25. Все ответственные за обеспечение непрерывности деятельности работники НПК несут персональную ответственность за нарушение и/или невыполнение установленных требований и мероприятий по обеспечению непрерывности деятельности, и сообщают обо всех выявленных нарушениях и инцидентах в управление безопасности.
26. Должностные инструкции работников НПК, участвующих в мероприятиях по непрерывности деятельности, содержат требования по их обеспечению.
«Утвержденная Политика непрерывности деятельности АО «НПК НБ РК»»