Приложение 2. Мониторинг уровней значимых рисков. Положение Банка России от 27.10.2020 N 738-П "О порядке обеспечения бесперебойности функционирования платежной системы Банка России" (с изменениями и дополнениями)

ГАРАНТ:

Приложение 2 вступает в силу с 1 октября 2024 г.

Приложение 2
к Положению Банка России
от 27 октября 2020 г. N 738-П
"О порядке обеспечения
бесперебойности функционирования
платежной системы Банка России"

Мониторинг уровней значимых рисков

С изменениями и дополнениями от:

22 сентября 2022 г., 9 января 2024 г.

1. В рамках мониторинга уровней значимых рисков осуществляется:

расчет КИР, дополнительных КИР;

реагирование на нарушение порогового уровня КИР;

актуализация информации о причинах нарушения порогового уровня КИР и принятых мерах реагирования;

разработка дополнительных КИР;

отмена дополнительных КИР.

Информация об изменениях:

Пункт 2 изменен с 1 октября 2024 г. - Указание Банка России от 9 января 2024 г. N 6653-У

См. предыдущую редакцию

2. Для осуществления мониторинга уровней значимых рисков в ПС должны применяться в том числе следующие КИР (показатели БФПС):

индикатор продолжительности восстановления оказания УПИ (КИР 1);

индикатор непрерывности оказания УПИ (КИР 2);

индикатор соблюдения Регламента выполнения процедур (КИР 3);

индикатор доступности операционного центра (КИР 4);

индикатор изменения частоты инцидентов, произошедших в ПС (КИР 5);

индикатор эффективности противодействия информационным угрозам в ПС (КИР 6);

индикатор несанкционированных операций в СБП (КИР 7);

индикатор уровня соответствия защиты информации объектов информационной инфраструктуры Банка России, обеспечивающих функционирование ПС (КИР 8);

индикатор уровня соответствия защиты информации объектов информационной инфраструктуры ОПКЦ внешней платежной системы (КИР 9);

индикатор эффективности применяемых в ПС мер технологического контроля поступающих электронных сообщений (КИР 10);

индикатор качества управления уязвимостями в ПС (КИР 11).

Информация об изменениях:

Пункт 2.1 изменен с 1 октября 2024 г. - Указание Банка России от 9 января 2024 г. N 6653-У

См. предыдущую редакцию

2.1. КИР 1 должен рассчитываться по каждому из инцидентов, повлекших приостановление оказания УПИ, как период времени с момента возникновения инцидента, приведшего к приостановлению оказания УПИ в результате первого из возникших инцидентов, и до момента восстановления оказания всех УПИ.

Пороговый уровень КИР 1 равен двум часам.

В случае если значение КИР 1 превышает два часа, произошло нарушение порогового уровня КИР 1. КИР 1 рассчитывается в часах (минутах) (секундах).

При этом, если в течение дня произошло несколько пересекающихся между собой по времени инцидентов, то продолжительность восстановления оказания УПИ определяется как разница между моментом восстановления оказания УПИ и моментом выявления первого инцидента из них.

Информация об изменениях:

Пункт 2.2 изменен с 1 октября 2024 г. - Указание Банка России от 9 января 2024 г. N 6653-У

См. предыдущую редакцию

2.2. КИР 2 должен рассчитываться по каждому из инцидентов, повлекших приостановление оказания УПИ, как период времени между двумя последовательно произошедшими инцидентами с момента восстановления оказания УПИ, приостановленных в результате первого инцидента, и до момента возникновения события, приведшего к приостановлению оказания УПИ в результате следующего инцидента.

Пороговый уровень КИР 2 равен двадцати четырем часам.

В случае если значение КИР 2 менее двадцати четырех часов, произошло нарушение порогового уровня КИР 2. КИР 2 рассчитывается в часах (минутах) (секундах).

При этом, если произошло несколько пересекающихся между собой по времени инцидентов, то продолжительность непрерывности оказания УПИ определяется как разница между моментом выявления следующего инцидента и моментом устранения последствий последнего из пересекающихся инцидентов и.#

ГАРАНТ:

Пункт 2.3 вступает в силу с 1 октября 2026 г.

2.3. КИР 3 должен рассчитываться ежемесячно как отношение количества распоряжений участников ПС (их клиентов), по которым в течение календарного месяца были оказаны УПИ без нарушения регламента выполнения процедур, указанного в приложении 1 к настоящему Положению, к общему количеству распоряжений участников ПС (их клиентов), по которым в течение календарного месяца были оказаны УПИ, по формуле:

КИР 3=(N/N ^общ)100%,

где:

N - количество распоряжений участников ПС (их клиентов), по которым были оказаны УПИ без нарушения временных интервалов, указанных в приложении 1 к настоящему Положению, в течение оцениваемого календарного месяца;

N ^оби - общее количество распоряжений участников ПС (их клиентов), по которым были оказаны УПИ, в течение оцениваемого календарного месяца.

КИР 3 для сервиса срочного перевода, сервиса несрочного перевода и СБП рассчитывается индивидуально.

Пороговый уровень КИР 3 для сервиса срочного перевода и сервиса несрочного перевода равен 99,73 процента.

Пороговый уровень КИР 3 для СБП равен 99,9 процента.

В случае если значение КИР 3 менее 99,73 процента, при предоставлении сервиса срочного перевода и (или) сервиса несрочного перевода произошло нарушение порогового уровня КИР 3.

В случае если значение КИР 3 менее 99,9 процента, при предоставлении СБП произошло нарушение порогового уровня КИР 3.

Информация об изменениях:

Пункт 2.4 изменен с 1 октября 2024 г. - Указание Банка России от 9 января 2024 г. N 6653-У

См. предыдущую редакцию

2.4. КИР 4 должен рассчитываться ежемесячно как среднее значение коэффициента доступности за оцениваемый календарный месяц по формуле:

,

где:

k={1...K} - k-ый рабочий день в отчетном месяце;

K - количество рабочих дней в отчетном месяце;

Kav _k - коэффициент доступности услуг операционного центра (ОПКЦ внешней платежной системы) в k-ый рабочий день, рассчитываемый по формуле:

,

где:

D _k - общая продолжительность всех приостановлений оказания операционных услуг для всех участников ПС операционным центром (ОПКЦ внешней платежной системы) в течение k-го рабочего дня, в минутах;

- общая продолжительность времени оказания операционных услуг в течение k-го рабочего дня, в минутах, в соответствии с графиком функционирования ПС, установленным нормативным актом Банка России в соответствии с частью 9 статьи 20 Федерального закона "О национальной платежной системе", в части оказания операционных услуг.

КИР 4 рассчитается отдельно для операционного центра, функции которого выполняет Банк России, и отдельно - для операционного центра, функции которого выполняет ОПКЦ внешней платежной системы.

Пороговый уровень КИР 4 для операционного центра, функции которого выполняет Банк России, равен 99,00 процента.

В случае значение КИР 4 для операционного центра, функции которого выполняет Банк России, менее 99,00 процента, произошло нарушение порогового уровня КИР 4.

Пороговый уровень КИР 4 для операционного центра, функции которого выполняет ОПКЦ внешней платежной системы, равен 99,99 процента.

В случае если значение КИР 4 для операционного центра, функции которого выполняет ОПКЦ внешней платежной системы, менее 99,99 процента, произошло нарушение порогового уровня КИР 4.

Информация об изменениях:

Пункт 2.5 изменен с 1 октября 2024 г. - Указание Банка России от 9 января 2024 г. N 6653-У

См. предыдущую редакцию

2.5. КИР 5 должен рассчитываться ежемесячно как темп прироста среднедневного количества инцидентов за оцениваемый календарный месяц по отношению к среднедневному количеству инцидентов за предыдущие 12 календарных месяцев, включая оцениваемый календарный месяц, по формуле:

,

где:

КИ _i - количество инцидентов в течение i-го рабочего дня ПС;

i = {1.. .М} - i-ый день в оцениваемом календарном месяце;

M - количество дней ПС в оцениваемом календарном месяце;

КИ _j - количество инцидентов в течение j-го рабочего дня ПС;

j={1...N} - j-ый рабочий день 12 предыдущих календарных месяцев, включая оцениваемый календарный месяц;

N - количество рабочих дней ПС за 12 предыдущих календарных месяцев, включая оцениваемый месяц.

КИР 5 должен рассчитываться в процентах с точностью до одного знака после запятой (с округлением по математическому методу). В случае если за предыдущие 12 календарных месяцев, включая оцениваемый месяц, инцидентов не было, значение показателя следует признавать равным нулю.

Пороговый уровень КИР 5 равен 115,0 процента.

В случае если значение КИР 5 более 115,0 процента, произошло нарушение порогового уровня КИР 5.

Информация об изменениях:

Пункт 2 дополнен подпунктом 2.6 с 1 октября 2024 г. - Указание Банка России от 9 января 2024 г. N 6653-У

2.6. КИР 6 должен рассчитываться в зависимости от размера активов участника ПС.

2.6.1. Для банка - участника ПС, размер активов которого составляет менее 500 миллиардов рублей на начало текущего отчетного года, КИР 6 должен рассчитываться ежегодно как количество событий списания денежных средств с банковских счетов участников ПС и клиентов Банка России без их согласия, за исключением случаев, предусмотренных законодательством Российской Федерации или комплексным договором банковского обслуживания.

В случае если значение КИР 6 более либо равно 2, произошло нарушение порогового уровня КИР 6.

2.6.2. Для банка - участника ПС, размер активов которого составляет 500 миллиардов рублей и более на начало текущего отчетного года, КИР 6 должен рассчитываться ежегодно как количество событий списания денежных средств с банковских счетов участников ПС и клиентов Банка России без их согласия, за исключением случаев, предусмотренных законодательством Российской Федерации или комплексным договором банковского обслуживания.

В случае если значение КИР 6 более либо равно 1, произошло нарушение порогового уровня КИР 6.

Информация об изменениях:

Пункт 2 дополнен подпунктом 2.7 с 1 октября 2024 г. - Указание Банка России от 9 января 2024 г. N 6653-У

2.7. КИР 7 должен рассчитываться ежеквартально как отношение суммы денежных средств, относительно которых участниками СБП получены уведомления от их клиентов о списании денежных средств с банковских счетов клиентов без их согласия за оцениваемый квартал, за исключением случаев, предусмотренных законодательством Российской Федерации, к общей сумме денежных средств, списанных с банковских счетов клиентов участников СБП посредством осуществления перевода денежных средств с использованием СБП.

В случае если значение КИР 7 более 0,005 процента, произошло нарушение порогового уровня КИР 7.

Информация об изменениях:

Пункт 2 дополнен подпунктом 2.8 с 1 октября 2024 г. - Указание Банка России от 9 января 2024 г. N 6653-У

2.8. КИР 8 должен рассчитываться не реже одного раза в два года на основе результатов оценки соответствия текущего уровня защиты информации объектов информационной инфраструктуры Банка России, обеспечивающих функционирование ПС, уровням, определенным пунктом 6.7 раздела 6 ГОСТ Р 57580.1-2017, согласно методике оценки соответствия защиты информации, определенной в разделе 6 ГОСТ Р 57580.2-2018.

В случае если числовая итоговая оценка соответствия защиты информации, рассчитываемая в соответствии с пунктом 7.10 раздела 7 ГОСТ Р 57580.2-2018, менее 0,85 процента, произошло нарушение порогового уровня КИР 8.

Информация об изменениях:

Пункт 2 дополнен подпунктом 2.9 с 1 октября 2024 г. - Указание Банка России от 9 января 2024 г. N 6653-У

2.9. КИР 9 должен рассчитываться не реже одного раза в два года на основе результатов оценки соответствия текущего уровня защиты информации ОПКЦ внешней платежной системы уровням, определенным пунктом 6.7 раздела 6 ГОСТ Р 57580.1-2017, согласно методике оценки соответствия защиты информации, определенной в разделе 6 ГОСТ Р 57580.2-2018.

В случае если уровень соответствия ниже уровня, установленного пунктом 20 Положения Банка России N 802-П, произошло нарушение порогового уровня КИР 9.

Информация об изменениях:

Пункт 2 дополнен подпунктом 2.10 с 1 октября 2024 г. - Указание Банка России от 9 января 2024 г. N 6653-У

2.10. КИР 10 должен рассчитываться как количество случаев успешного прохождения в ПС технологического контроля электронных сообщений, не подлежащих обработке, в результате инцидентов.

В случае если значение КИР 10 больше 0, произошло нарушение порогового уровня КИР 10.

Информация об изменениях:

Пункт 2 дополнен подпунктом 2.11 с 1 октября 2024 г. - Указание Банка России от 9 января 2024 г. N 6653-У

2.11. КИР 11 должен рассчитываться как количество повторно выявленных по результатам ежегодного тестирования на проникновение уязвимостей, имеющих высокий или критический уровень опасности уязвимости, предусмотренный подпунктом 5.2.18 пункта 5.2 раздела 5 национального стандарта Российской Федерации ГОСТ Р 56545-2015 "Защита информации. Уязвимости информационных систем. Правила описания уязвимостей" (утвержден приказом Федерального агентства по техническому регулированию и метрологии от 19 августа 2015 года N 1180-ст (М., ФГУП "Стандартинформ", 2015) и введен в действие 1 апреля 2016 года).

В случае если значение КИР 11 больше 0, произошло нарушение порогового уровня КИР 11.

Информация об изменениях:

Пункт 3 изменен с 1 октября 2024 г. - Указание Банка России от 9 января 2024 г. N 6653-У

См. предыдущую редакцию

3. В случае достижения (выполнения) расчетным значением КИР, расчетным значением дополнительного КИР (далее при совместном упоминании в целях настоящего пункта - КИР) порогового уровня КИР (далее - нарушение порогового уровня КИР):

работники ПУРиН (работники ПУРиН внешней платежной системы) должны применить меры реагирования при нарушении порогового уровня КИР;

риск-координаторы ПУРиН, работники подразделений которых применяют меры реагирования при нарушении порогового уровня КИР, в части сервиса срочного перевода и сервиса несрочного перевода должны не позднее пятого рабочего дня, следующего за датой выявления нарушения порогового уровня КИР, после согласования руководителями ПУРиН и руководителями подразделений Банка России, в состав которых входят ПУРиН, зарегистрировать информацию о причинах нарушения порогового уровня КИР и принятых мерах реагирования в соответствии с приложением 9 к настоящему Положению;

риск-координаторы ПУРиН внешней платежной системы, работники которого применяют меры реагирования при нарушении порогового уровня КИР, должны не позднее пятого рабочего дня, следующего за датой выявления нарушения порогового уровня КИР, зарегистрировать и направить риск-координатору СБП внешней платежной системы информацию о причинах нарушения порогового уровня КИР и принятых мерах реагирования в соответствии с приложением 9 к настоящему Положению. Риск-координатор СБП внешней платежной системы должен не позднее третьего рабочего дня, следующего за датой получения информации от риск-координаторов ПУРиН внешней платежной системы, направить соответствующую информацию риск-координаторам бизнес-процесса.

4. При появлении уточненной информации о причинах нарушения порогового уровня КИР и о принятых мерах реагирования, о составе принятых мер реагирования риск-координаторы ПУРиН, осуществляющие мониторинг уровней значимых рисков согласно параметрам КИР, после согласования с руководителями ПУРиН и при необходимости с руководителями соответствующих структурных подразделений подразделений Банка России должны актуализировать соответствующую информацию не позднее пятого рабочего дня, следующего за датой появления уточненной информации.

Риск-координаторы ПУРиН внешней платежной системы подразделений, которые применяют меры реагирования при нарушении порогового уровня КИР, должны не позднее третьего рабочего дня, следующего за датой появления в структурном подразделении ОПКЦ внешней платежной системы уточненной информации о причинах нарушения порогового уровня КИР и принятых мерах реагирования, актуализировать соответствующую информацию и направить ее риск-координатору СБП, который не позднее третьего рабочего дня после дня получения уточненной информации от риск-координаторов ПУРиН внешней платежной системы направляет ее риск-координаторам бизнес-процесса.

5. Разработка дополнительных КИР должна осуществляться следующим образом.

5.1. Риск-координаторы ПУРиН (риск-координаторы ПУРиН внешней платежной системы) разрабатывают дополнительные КИР в части компетенции ПУРиН (ПУРиН внешней платежной системы), осуществляя следующие мероприятия.

5.1.1. Риск-координаторы ПУРиН на основании принятого руководителем ПУРиН решения (риск-координаторы ПУРиН внешней платежной системы на основании принятого решения риск-координатором СБП внешней платежной системы) должны разрабатывать дополнительные КИР и определять их параметры в соответствии с приложением 8 к настоящему Положению.

5.1.2. Риск-координаторы ПУРиН (риск-координаторы ПУРиН внешней платежной системы) передают параметры разработанных дополнительных КИР на согласование риск-координаторам бизнес-процесса, которые для сервиса срочного перевода и сервиса несрочного перевода предварительно согласовываются с руководителями ПУРиН и руководителями подразделений Банка России, а для СБП предварительно должны согласовываться с риск-координатором СБП внешней платежной системы.

Согласование параметров дополнительных КИР должно осуществляться риск-координаторами бизнес-процесса в течение пяти рабочих дней с даты поступления указанных параметров дополнительных КИР от риск-координаторов ПУРиН, риск-координаторов ПУРиН внешней платежной системы.

5.2. Риск-координаторы бизнес-процесса должны осуществлять оценку применимости разработанных дополнительных КИР для целей мониторинга существенных изменений уровней остаточных рисков, присущих бизнес-процессу, с привлечением риск-координаторов ПУРиН (риск-координаторов ПУРиН внешней платежной системы).

5.3. При положительном результате оценки применимости дополнительных КИР риск-координаторы бизнес-процесса должны направлять параметры дополнительных КИР на верификацию работникам УРСУР.

Работники УРСУР не позднее пятого рабочего дня, следующего за датой получения параметров КИР от риск-координаторов бизнес-процесса, должны согласовать параметры дополнительных КИР или направить по ним замечания риск-координаторам бизнес-процесса.

Повторные верификации осуществляются не позднее второго рабочего дня, следующего за датой получения от риск-координаторов бизнес-процесса уточненных параметров дополнительных КИР.

5.4. Риск-координаторы бизнес-процесса не позднее второго рабочего дня, следующего за датой получения замечаний от работников УРСУР, должны вносить уточнения в параметры дополнительных КИР и провести повторную оценку применимости дополнительных КИР, осуществляемую в соответствии с подпунктом 5.2 настоящего пункта, за исключением случаев, когда для уточнения параметров дополнительных КИР требуются более длительные сроки, в том числе при необходимости проведения дополнительных согласований параметров дополнительных КИР с заинтересованными подразделениями Банка России и (или) структурными подразделениями ОПКЦ внешней платежной системы.

При положительном результате верификации риск-координаторы бизнес-процесса не позднее двух рабочих дней с даты завершения УРСУР верификации параметров дополнительных КИР должны направить владельцу бизнес-процесса предложение о параметрах дополнительных КИР.

5.5. Владелец бизнес-процесса не позднее пятого рабочего дня с даты представления предложения о параметрах дополнительных КИР должен направлять на согласование указанное предложение курирующему руководителю Банка России или вернуть его риск-координаторам бизнес-процесса с указанием замечаний (причин несогласия с указанным предложением).

5.6. Риск-координаторы бизнес-процесса не позднее второго рабочего дня, следующего за датой получения замечаний от курирующего руководителя Банка России (владельца бизнес-процесса), должны внести уточнения в параметры дополнительных КИР с последующим проведением повторной оценки применимости дополнительных КИР, осуществляемой в соответствии с подпунктом 5.2 настоящего пункта, за исключением случаев, когда для уточнения параметров дополнительных КИР требуются более длительные сроки, в том числе при необходимости проведения дополнительных согласований параметров дополнительных КИР с заинтересованными подразделениями Банка России и (или) структурными подразделениями ОПКЦ внешней платежной системы.

Информация об изменениях:

Пункт 5.7 изменен с 30 сентября 2022 г. - Указание Банка России от 22 сентября 2022 г. N 6254-У

См. предыдущую редакцию

5.7. Владелец бизнес-процесса обеспечивает рассмотрение дополнительных КИР на заседании Комитета и не позднее пятого рабочего дня, следующего за датой их одобрения Комитетом, должен обеспечивать доведение до ПУРиН, осуществляющих мониторинг уровней значимых рисков согласно параметрам дополнительных КИР, ОПКЦ внешней платежной системы информации о параметрах дополнительных КИР.

5.8. Хранение информации о КИР и их параметрах должно осуществляться с использованием специализированного программного обеспечения.

6. Отмена дополнительных КИР должна осуществляться с учетом следующего.

При согласовании курирующим руководителем Банка России отмены дополнительного КИР владелец бизнес-процесса должен обеспечивать доведение до подразделений Банка России и (или) ОПКЦ внешней платежной системы соответствующей информации не позднее пятого рабочего дня, следующего за датой согласования.

Открыть документ в системе ГАРАНТ

Открыть в бесплатной Интернет-версии Открыть в Интернет-версии (только для пользователей системы ГАРАНТ)