- Главная
- Положение Банка России от 27 октября 2020 г. N 738-П "О порядке обеспечения бесперебойности функционирования платежной системы Банка России" (с изменениями и дополнениями)
- Глава 4. Управление непрерывностью функционирования платежной системы Банка России
Глава 4. Управление непрерывностью функционирования платежной системы Банка России
Глава 4. Управление непрерывностью функционирования платежной системы Банка России
4.1. Управление непрерывностью функционирования ПС должно осуществляться посредством выявления сведений об инцидентах, регистрации инцидентов, оценки влияния на БФПС каждого инцидента, оценки влияния на БФПС всех инцидентов, а также применения ответных мер, в том числе сценариев плана ОНиВД, в отношении инцидентов.
Информация об изменениях:
Пункт 4.2 изменен с 1 октября 2024 г. - Указание Банка России от 9 января 2024 г. N 6653-У
4.2. Выявление сведений об инцидентах должно проводиться на основании информации о нарушении надлежащего оказания УПИ, полученной от работников ПУРиН, работников ПУРиН внешней платежной системы и работников структурных подразделений Банка России, а также сведений, направляемых ОПКЦ внешней платежной системы в Банк России в соответствии с пунктом 1.5 Положения Банка России от 17 августа 2023 года N 821-П "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств" (зарегистрировано Минюстом России 6 декабря 2023 года, регистрационный N 76286).
Работники ПУРиН, работники ПУРиН внешней платежной системы должны осуществлять контроль выполнения сроков процедур приема к исполнению, определения платежных клиринговых позиций и исполнения распоряжений участников ПС в соответствии с Регламентом выполнения процедур, приведенным в приложении 1 к настоящему Положению.
Информация об изменениях:
Пункт 4.3 изменен с 1 октября 2024 г. - Указание Банка России от 9 января 2024 г. N 6653-У
ГАРАНТ:
Пункт 4.3 вступает в силу с 1 октября 2024 г.
4.3. Регистрация инцидентов должна осуществляться посредством сбора и обработки следующих сведений о них:
время и дата возникновения инцидента (в случае невозможности установить время возникновения инцидента указывается время его выявления);
краткое описание инцидента (характеристика произошедшего инцидента и его негативных (неблагоприятных) последствий);
наименование одного или нескольких бизнес-процессов Банка России, в ходе которых произошел инцидент;
наименование одного или нескольких бизнес-процессов Банка России, на которые инцидент оказал влияние;
наличие (отсутствие) факта приостановления (прекращения) оказания УПИ в результате инцидента;
влияние инцидента на БФПС;
степень влияния инцидента на функционирование ПС в зависимости от количества неисполненных, и (или) несвоевременно исполненных, и (или) ошибочно исполненных распоряжений участников ПС и иных факторов;
время и дата восстановления оказания УПИ в случае приостановления их оказания;
мероприятия по устранению неблагоприятных последствий инцидента с указанием планируемой и фактической продолжительности проведения данных мероприятий;
дата и время восстановления надлежащего оказания УПИ;
негативные (неблагоприятные) последствия инцидента, в том числе:
сумма денежных средств, уплаченных Банком России и (или) взысканных с Банка России;
сумма денежных средств, уплаченных ОПКЦ внешней платежной системы и (или) взысканных с ОПКЦ внешней платежной системы;
количество неисполненных и (или) несвоевременно исполненных, и (или) ошибочно исполненных распоряжений участников ПС, на исполнение которых оказал влияние инцидент;
продолжительность приостановления оказания УПИ;
ПУРиН, ПУРиН внешней платежной системы, подразделения Банка России, обеспечивающие функционирование ПС, осуществляют хранение сведений об инцидентах в специализированной автоматизированной системе не менее 5 лет с даты получения указанных сведений.
Регистрация инцидентов защиты информации ОПКЦ внешней платежной системы должна дополнительно предусматривать фиксацию реализованных компьютерных атак, фактов (индикаторов) компрометации объектов информационной инфраструктуры ОПКЦ внешней платежной системы, а также проведенной претензионной работы с учетом мер, определенных подпунктом 7.4.2 пункта 7.4 раздела 7 национального стандарта Российской Федерации ГОСТ Р 57580.4-2022 "Безопасность финансовых (банковских) операций. Обеспечение операционной надежности. Базовый состав организационных и технических мер" (утвержден приказом Федерального агентства по техническому регулированию и метрологии от 22 декабря 2022 года N 1549-ст (М., ФГБУ "Институт стандартизации", 2023) и введен в действие 1 февраля 2023 года) (далее - ГОСТ Р 57580.4-2022) и подпунктом 8.3.2.4 пункта 8.3 раздела 8 национального стандарта Российской Федерации ГОСТ Р 57580.3-2022 "Безопасность финансовых (банковских) операций. Управление риском реализации информационных угроз и обеспечение операционной надежности. Общие положения" (утвержден приказом Федерального агентства по техническому регулированию и метрологии от 22 декабря 2022 года N 1548-ст (М., ФГБУ "РСТ", 2023) и введен в действие 1 февраля 2023 года) (далее - ГОСТ Р 57580.3-2022).
ОПКЦ внешней платежной системы устанавливает во внутренних документах состав сведений для регистрации инцидентов защиты информации с учетом сведений об инцидентах защиты информации, направляемых ОПКЦ внешней платежной системы в Банк России.
Информация об изменениях:
Пункт 4.4 изменен с 1 октября 2026 г. - Указание Банка России от 9 января 2024 г. N 6653-У
ГАРАНТ:
Пункт 4.4 вступает в силу с 1 октября 2026 г.
4.4. Оценка влияния на БФПС каждого инцидента должна проводиться в течение двадцати четырех часов с момента его возникновения (выявления), а также в течение двадцати четырех часов после устранения инцидента (восстановления надлежащего оказания УПИ).
4.4.1. Инцидент должен признаваться непосредственно не влияющим на БФПС (влияющим опосредованно), в случае если не нарушен пороговый уровень индикатора продолжительности восстановления оказания УПИ (далее - КИР 1), индикатора непрерывности оказания УПИ (далее - КИР 2).
4.4.2. Инцидент должен признаваться влияющим на БФПС, в случае если вследствие данного инцидента реализовано хотя бы одно из следующих условий:
нарушен Регламент выполнения процедур, представленный в приложении 1, при одновременном нарушении порогового уровня КИР 2;
нарушен пороговый уровень КИР 1;
превышена установленная продолжительность восстановления надлежащего оказания УПИ, определенная в пункте 1.2 настоящего Положения.
4.4.3. В случае выявления дополнительных обстоятельств в отношении инцидента, оценка влияния которого на БФПС уже завершена, должна быть проведена повторная оценка влияния произошедшего инцидента на БФПС с учетом вновь выявленных обстоятельств с последующей актуализацией сведений, указанных в пункте 4.3 настоящего Положения.
ГАРАНТ:
Пункт 4.5 вступает в силу с 1 октября 2026 г.
4.5. Оценка влияния на БФПС всех инцидентов должна проводиться на ежемесячной основе не позднее пяти рабочих дней после дня окончания отчетного календарного месяца.
4.5.1. Инциденты, произошедшие в отчетном месяце, должны признаваться непосредственно не влияющими на БФПС (влияющими опосредованно), если расчетное значение индикатора соблюдения Регламента выполнения процедур (далее - КИР 3), и (или) индикатора доступности операционного центра (далее - КИР 4), и (или) индикатора изменения частоты инцидентов, произошедших в ПС (далее - КИР 5), нарушает пороговый уровень за отчетный месяц, за исключением случая, когда расчетные значения КИР 3, КИР 4, КИР 5 за этот период одновременно нарушают пороговые уровни.
4.5.2. Инциденты, произошедшие в отчетном месяце, должны признаваться влияющими на БФПС, если расчетные значения КИР 3, КИР 4, КИР 5 за этот период одновременно нарушают пороговые уровни.
4.5.3. В случае выявления инцидентов или дополнительных обстоятельств в отношении инцидентов, произошедших в ПС в течение календарного месяца, за который уже проведена оценка их влияния на БФПС, должна быть инициирована повторная оценка влияния произошедших инцидентов на БФПС с учетом вновь выявленных обстоятельств с последующей актуализацией сведений, указанных в пункте 4.3 настоящего Положения.
Информация об изменениях:
Пункт 4.6 изменен с 1 октября 2024 г. - Указание Банка России от 9 января 2024 г. N 6653-У
4.6. Применение ответных мер, в том числе сценариев плана ОНиВД, в отношении инцидентов должно осуществляться для:
локализации и предотвращения развития негативных (неблагоприятных) последствий реализации значимого риска, в отношении которых ответные меры необходимо применять незамедлительно;
восстановления оказания УПИ в случае их приостановления;
восстановления надлежащего оказания УПИ.
Применение ответных мер в отношении инцидентов защиты информации ОПКЦ внешней платежной системы должно осуществляться с учетом мер, определенных подпунктами 7.4.3 и 7.4.4 пункта 7.4 раздела 7 ГОСТ Р 57580.4-2022.
Оценка влияния на БФПС инцидентов защиты информации ОПКЦ внешней платежной системы должна включать в себя проведение анализа причин и последствий реализации инцидентов защиты информации.
Открыть документ в системе ГАРАНТ