• порядок эскалации и определения шкалы срочности, которая должна быть применена к инцидентам данной категории;

• последовательность действий при реагировании на инцидент, данные об основных участниках процесса реагирования на инциденты и их обязанности;

• процесс анализа последствий инцидента;

• действия по ограничению распространения инцидента, устранению последствий;

• порядок актуализации инцидентов, по которым не все меры выполнены или возможно изменение существенных обстоятельств.

6.1.1.4. Все инциденты подлежат учету. При этом значимые инциденты[28] подлежат детальному учету, т. е. должны фиксироваться обстоятельства инцидента, принятые меры, их результаты, возможные изменения, прежде всего возможные поступления или отчисления, а также планируемые действия и сроки, предложения по вводу процедур недопущения повторений инцидента, по наказанию виновных и т. д. (писок полей приведен в Приложении 4).

6.1.2. Три основных этапа работы с инцидентами.

Работа с инцидентами делится на три этапа:

Этап 1. Обнаружение инцидента и реагирование на него (осуществляет эксперт по инцидентам);

Этап 2. Отчет об обработке инцидента (осуществляет эксперт по инцидентам);

Этап 3. Проверка качества обработки инцидента (осуществляют риск-координатор и риск-менеджер).

Схема 4. Три основных этапа работы с инцидентами

6.1.3. Этап 1. Обнаружение инцидента и реагирование на него.

Вне зависимости от количества субъектов, участвующих в обнаружении инцидента и реагировании на него, в целом за эти действия отвечает одно лицо – соответствующий эксперт по инцидентам.

6.1.3.1. Обнаружение признаков инцидента и регистрация сообщения.

6.1.3.1.1. При обнаружении признаков инцидента[29] незамедлительно осуществляются следующиепервичные действия:

• действия по сохранению жизни и здоровья сотрудников и клиентов и первичные действий по минимизации ущерба от инцидента (при наличии такой обязанности);

• регистрация сообщения об инциденте (по процедуре, установленной для этого вида инцидентов).

6.1.3.1.2. Обнаружить признаки и зарегистрировать сообщение может любой сотрудник банка (регистратор) или непосредственно эксперт по инцидентам. Сотрудник имеет право не регистрировать сообщение об инциденте, когда точно знает, что такая регистрация уже осуществлена другим сотрудником и впоследствии это может быть документально подтверждено.

В тех случаях, когда инцидент произошел, но не был зарегистрирован, привлечению к дисциплинарной ответственности за неисполнение функции регистрации подлежат руководитель подразделения, в котором произошел инцидент. Также в обязательном порядке производится разбирательство, должным ли образом риск-координатор и эксперт по инцидентам организовали процедуры идентификации и регистрации инцидентов (так, чтобы сотрудники банка, которые вероятнее всего могут обнаружить инцидент, знали о признаках таких инцидентов, знали, как регистрировать сообщения об инцидентах (с ними проводилось обучение), и были заинтересованы это делать). Если этого не было сделано, риск-координатор и эксперт по инцидентам также привлекаются к дисциплинарной ответственности.

6.1.3.1.3. Сообщения об инциденте должно поступать на рассмотрение соответствующего эксперта по инцидентам не более 5 минут после факта регистрации.

6.1.3.2. Реагирование на инцидент.

6.1.3.2.1. После осуществления первичных действий и получения сообщения об инциденте эксперт по инцидентам осуществляет следующие действия:

• направляет регистратору инцидента уведомление: «Сообщение об инциденте (название инцидента) принято в работу (Ф.И.О. эксперта по инцидентам)»;

• организует дальнейшую локализацию инцидента, устранение его последствий, при необходимости координируя деятельность других лиц, участвующих в работе с инцидентом;

• формирует отчет о работе с инцидентом (не позже 4 часов после регистрации сообщения об инциденте).

6.1.4. Этап 2. Отчет об обработке инцидента.

Эксперт по инцидентам составляет отчет о работе с инцидентом.

В случае если инцидент полностью исчерпан (все меры исполнены, изменений не прогнозируется), то регистратору инцидента направляется уведомление: «Закончена работа с инцидентом (название инцидента) Ф.И.О. эксперта по инцидентам. Подтвердите факт того, что инцидент полностью исчерпан».