Шрифт:
Интервал:
Закладка:
6.1.1.3. По однотипным инцидентам[26] или инцидентам с уровнем значимости высокий и выше[27], риск-координаторы, которые отвечают за обработку этих инцидентов, разрабатывают и внедряют планы (методики) реагирования и локализации, включающие в себя как минимум следующие пункты:
• виды инцидентов, подлежащих обработке, их признаки;
• порядок регистрации сообщений об инцидентах этого вида (в том числе виды категории сотрудников банка, которые с наибольшей вероятностью могут обнаружить признаки инцидента; места, где могут быть обнаружены признаки инцидентов (виды информационных систем, ситуаций, иных источников));
• классификацию критичности инцидентов этого вида;
• мотивацию сотрудников банка к регистрации сообщений об инцидентах;
• порядок эскалации и определения шкалы срочности, которая должна быть применена к инцидентам данной категории;
• последовательность действий при реагировании на инцидент, данные об основных участниках процесса реагирования на инциденты и их обязанности;
• процесс анализа последствий инцидента;
• действия по ограничению распространения инцидента, устранению последствий;
• порядок актуализации инцидентов, по которым не все меры выполнены или возможно изменение существенных обстоятельств.
6.1.1.4. Все инциденты подлежат учету. При этом значимые инциденты[28] подлежат детальному учету, т. е. должны фиксироваться обстоятельства инцидента, принятые меры, их результаты, возможные изменения, прежде всего возможные поступления или отчисления, а также планируемые действия и сроки, предложения по вводу процедур недопущения повторений инцидента, по наказанию виновных и т. д. (писок полей приведен в Приложении 4).
6.1.2. Три основных этапа работы с инцидентами.
Работа с инцидентами делится на три этапа:
Этап 1. Обнаружение инцидента и реагирование на него (осуществляет эксперт по инцидентам);
Этап 2. Отчет об обработке инцидента (осуществляет эксперт по инцидентам);
Этап 3. Проверка качества обработки инцидента (осуществляют риск-координатор и риск-менеджер).
Схема 4. Три основных этапа работы с инцидентами
6.1.3. Этап 1. Обнаружение инцидента и реагирование на него.
Вне зависимости от количества субъектов, участвующих в обнаружении инцидента и реагировании на него, в целом за эти действия отвечает одно лицо – соответствующий эксперт по инцидентам.
6.1.3.1. Обнаружение признаков инцидента и регистрация сообщения.
6.1.3.1.1. При обнаружении признаков инцидента[29] незамедлительно осуществляются следующиепервичные действия:
• действия по сохранению жизни и здоровья сотрудников и клиентов и первичные действий по минимизации ущерба от инцидента (при наличии такой обязанности);
• регистрация сообщения об инциденте (по процедуре, установленной для этого вида инцидентов).
6.1.3.1.2. Обнаружить признаки и зарегистрировать сообщение может любой сотрудник банка (регистратор) или непосредственно эксперт по инцидентам. Сотрудник имеет право не регистрировать сообщение об инциденте, когда точно знает, что такая регистрация уже осуществлена другим сотрудником и впоследствии это может быть документально подтверждено.
В тех случаях, когда инцидент произошел, но не был зарегистрирован, привлечению к дисциплинарной ответственности за неисполнение функции регистрации подлежат руководитель подразделения, в котором произошел инцидент. Также в обязательном порядке производится разбирательство, должным ли образом риск-координатор и эксперт по инцидентам организовали процедуры идентификации и регистрации инцидентов (так, чтобы сотрудники банка, которые вероятнее всего могут обнаружить инцидент, знали о признаках таких инцидентов, знали, как регистрировать сообщения об инцидентах (с ними проводилось обучение), и были заинтересованы это делать). Если этого не было сделано, риск-координатор и эксперт по инцидентам также привлекаются к дисциплинарной ответственности.
6.1.3.1.3. Сообщения об инциденте должно поступать на рассмотрение соответствующего эксперта по инцидентам не более 5 минут после факта регистрации.
6.1.3.2. Реагирование на инцидент.
6.1.3.2.1. После осуществления первичных действий и получения сообщения об инциденте эксперт по инцидентам осуществляет следующие действия:
• направляет регистратору инцидента уведомление: «Сообщение об инциденте (название инцидента) принято в работу (Ф.И.О. эксперта по инцидентам)»;
• организует дальнейшую локализацию инцидента, устранение его последствий, при необходимости координируя деятельность других лиц, участвующих в работе с инцидентом;
• формирует отчет о работе с инцидентом (не позже 4 часов после регистрации сообщения об инциденте).
6.1.4. Этап 2. Отчет об обработке инцидента.
Эксперт по инцидентам составляет отчет о работе с инцидентом.
В случае если инцидент полностью исчерпан (все меры исполнены, изменений не прогнозируется), то регистратору инцидента направляется уведомление: «Закончена работа с инцидентом (название инцидента) Ф.И.О. эксперта по инцидентам. Подтвердите факт того, что инцидент полностью исчерпан».
В случае если инцидент имеет статус «Не закончен» (по инциденту предполагаются дополнительные меры или прогнозируются изменения), то регистратору инцидента направляется сообщение: «Закончена первичная работа с инцидентом (название инцидента) Ф.И.О. эксперта по инцидентам, об окончании работ будет сообщено дополнительно».
Если инцидент является значимым[30], то эксперт по инцидентам в своем отчете фиксирует детали инцидента согласно полям Приложения 4 и отправляет его на согласование риск-координаторуне позже чем через 4 часапосле регистрации сообщения об инциденте.