Приложение. Замечания, предложения и вопросы кредитных организаций - членов Ассоциации банков России по проекту положения Банка России "Об обязательных для кредитных организаций требованиях к операционной надежности при осуществлении банковской деятельности в целях обеспечения непрерывности оказания банковских услуг". Письмо Банка России от 06.10.2021 N 56-15/998 "О рассмотрении обращения"

Приложение

Замечания, предложения и вопросы
кредитных организаций - членов Ассоциации банков России по проекту положения Банка России "Об обязательных для кредитных организаций требованиях к операционной надежности при осуществлении банковской деятельности в целях обеспечения непрерывности оказания банковских услуг" (далее - Проект)

1. Может ли кредитная организация в целях выполнения требований Проекта использовать перечень критически важных процессов в соответствии с рекомендациями приложения 5 к Положению N 242-П ¹?

2. Что подразумевается под "другими системами" в абзаце 2 пункта 1 Проекта?

3. Для однозначного понимания терминологии кредитные организации просят дать определение понятия "технологический процесс", а также критерии отнесения того или иного процесса к технологическому.

4. Участники опроса просят уточнить, в соответствии с пунктом 2 Проекта кредитные организации должны обеспечить не превышение порогового уровня допустимого времени простоя технологических процессов, определяемых с учетом подпункта 4.1.1 пункта 4.1 Положения N 716-П ², и указанных в приложении к Проекту, как в случае наличия простоя в пределах порогового значения, так и в случае, если происходят сбои технологических процессов без времени простоя, приводящие к неоказанию или ненадлежащему оказанию банковских услуг?

5. Будет ли Банком России устанавливаться какой-то ориентир для определения допустимой доли деградации технологических процессов или ее определение отдается полностью на усмотрение кредитной организации? Участники опроса просят предоставить кредитным организациям возможность самостоятельно определить критерии деградации технологического процесса. Также для однозначного понимания требуется определение термина "деградация технологических процессов" или порядок его определения на уровне кредитной организации. Кредитные организации также просят уточнить относится ли простой технологических процессов к деградации технологических процессов в соответствии с пунктом 2 Проекта?

6. Участники опроса просят дать развернутое определение "порогового уровня допустимого времени простоя" и "ненадлежащего оказания банковских услуг" для требований пункта 2 Проекта.

7. Кредитные организации просят уточнить понятие "контрольные показатели уровня операционного риска", так как в текущей редакции непонятно в полной ли мере требования главы 5 Положения N 716-П распространяются на представленные в Проекте "целевые показатели операционной надежности"? Если да, то почему данные показатели отсутствуют в приложении 1 к Положению N 716-П?

8. Предлагается исключить в абзаце 2 пункта 3 Проекта слова в скобках "(в случае превышения допустимой доли деградации технологических процессов)", так как расчет значения контрольного показателя производится при наличии деградации (вне зависимости от доли деградации), и согласно определению деградации в пункте 2 Проекта, факт наличия деградации также не устанавливается в зависимости от ее доли. Кроме того, участники опроса предлагают для устранения различных толкований вынести в отдельное предложение возможность определения ожидаемого количества финансовых операций с помощью экспертного мнения с указанием случаев, когда экспертное мнение применяется вместо статистических данных.

9. В абзацах 3 и 4 пункта 3 Проекта в целях соответствия абзацу 2 пункта 3 Проекта предлагается привести указания в скобках к единообразию и изложить их в редакции "(в случае превышения допустимой доли деградации технологического процесса)".

10. В тексте Проекта термин инцидент операционной надежности, по мнению участников опроса, имеет обобщенное определение. По этой причине не совсем понятно, подходят ли под данное определение, например, случаи, связанные с неоказанием или ненадлежащим оказанием кредитной организацией услуг, по независящим от нее обстоятельствам, а также случаи, когда кредитная организация в соответствии с установленными правилами не оказывает банковские услуги (нерабочие дни, ночное время и т.п.)?

11. Может ли кредитная организация модифицировать (расширить) целевые показатели операционной надежности, указанные в Проекте, а также использовать иные целевые показатели операционной надежности в дополнение к указанным в Проекте с предоставлением необходимого обоснования в Банк России?

12. Каким образом должно быть определено время начала и окончания процесса в соответствии с абзацем 5 пункта 3 Проекта, если операционная надежность - это непрерывность функционирования критически важных процессов? Как в рамках определения показателя одного процесса возможно определить последовательность технологических процессов? Участники опроса просят также привести пример описания и определения указанного целевого показателя операционной надежности.

13. В течение какого срока должны быть определены целевые показатели операционной надежности для новых технологических процессов? В соответствии пунктом 3 Проекта определение показателей должно осуществляться с учетом статистических данных за период с даты начала его функционирования. При этом отсутствует информация о том, какой минимальный период функционирования должен использоваться для новых технологических процессов? Какова примерная формула расчета целевых показателей?

14. Каким образом в соответствии с абзацами 7-11 пункта 3 Проекта следует отображать фактическую долю деградации технологического процесса и суммарного времени простоя и (или) деградации технологического процесса за последние двенадцать календарных месяцев? По каждому событию указывать два типа качественных потерь? Или эти значения указывать в фактических величинах справочно дополнительными полями и отдельно выбирать тип качественных потерь "Приостановка деятельности в результате неблагоприятного события"?

15. Кредитные организации просят уточнить, учитываются ли в расчете времени простоя в абзаце 11 пункта 3 Проекта периоды времени, превышающие установленное плановое время работ (например, если планировалось провести работы за 2 часа, а потребовалось 3 часа)?

16. Участники опроса просят отдельно определить понятие "доля деградации технологического процесса" и методику ее расчета.

17. Кредитные организации просят пояснить как рассчитываются сигнальные и контрольные значения целевых показателей операционной надежности в соответствии с пунктом 4 Проекта, а также описать процесс проведения и фиксации результатов анализа необходимости пересмотра значений целевых показателей операционной надежности. Являются ли сигнальные и контрольные значения целевых показателей операционной надежности частью системы лимитов, предусмотренных пунктом 4.14 Указания N 3624-У ³?

18. Требования к операционной надежности содержатся в главе 5 Положения N 716-П и в пункте 3 Проекта или кредитной организации необходимо разработать какие-нибудь дополнительные требования?

19. Участники опроса просят дать определение "критичной архитектуры" либо закрепить порядок ее определения на уровне кредитной организации, указав общие критерии отнесения к классу объектов.

20. Предлагается в пункте 5.2 Проекта установить обстоятельства возникновения уязвимостей в критичной архитектуре кредитной организации, а также полноценно описать жизненный цикл управления уязвимостями кредитных организаций и цикл проверки наличия данных уязвимостей в критичной архитектуре кредитной организации.

21. Участники опроса просят в пункте 5.3 Проекта установить методику обнаружения компьютерных атак и фактов воздействия вредоносного кода на программно-аппаратные средства, а также дать ссылки на нормативные акты Банка России, которые устанавливают требования и методику обнаружения компьютерных атак и фактов воздействия вредоносного кода.

22. Кредитные организации просят дополнить пункт 5.4 Проекта конкретными требованиями и необходимыми механизмами защиты от информационных угроз при привлечении поставщиков, а также требованиями к каналам передачи информации, обрабатываемой и передаваемой в рамках технологических процессов при взаимодействии с сотрудниками поставщиков услуг.

23. Необходимо ли информировать об инцидентах в случаях сбоя у внешних поставщиков, в том числе у банков-контрагентов?

24. Участники опроса просят определить в пункте 5.5 Проекта перечень процедур, подлежащих испытаниям в рамках тестирования операционной надежности.

25. Какие требования подразумеваются в пункте 6 Проекта: ограничение доступа при администрировании критической архитектуры или требование к защите удаленного доступа? Кредитные организации просят дополнить пункт 6 Проекта конкретными требованиями и необходимыми механизмами защиты от угроз в отношении возникновения зависимости обеспечения операционной надежности от ключевых специалистов. Правильно ли понимание, что абзац 2 пункта 6 Проекта относится исключительно к нейтрализации угроз в отношении возникновения зависимости от ключевых специалистов? По каким признакам/показателям можно оценить возможность реализации информационных угроз при условии дистанционной работы работников кредитной организации? Участники опроса также сообщают о заинтересованности в разработке методических рекомендаций Банком России в части исполнения требований пункта 6 Проекта.

26. На основании каких критериев предъявляются дополнительные требования к реагированию на угрозы проведения целевых компьютерных атак для банков, размер активов которых составляет 500 миллиардов рублей и более? При этом аналогичных требований к небанковским кредитным организациям, размер активов которых составляет 500 миллиардов рублей и более, не предъявляется. Информация о критериях применения такого подхода позволит повысить транспарентность регулирования, снизит регуляторный риск, а также предоставит возможность банкам проводить подготовку соответствующих мероприятий.

27. Является ли указанное в пункте 7 Проекта проведение "целевых компьютерных атак по требованию Банка России" одним из видов проверок на готовность кредитных организаций обеспечить операционную надежность?

28. Каковы критерии и условия проведения моделирования сценариев компьютерных атак и моделирования информационных угроз? Каковы требования к документированию данного процесса? В соответствии с каким нормативным актом проводится моделирование угроз? Что подразумевается под установлением уровня опасности проведения целевых компьютерных атак? Что понимается под внеплановой оценкой защищенности критичной архитектуры, каким образом данная активность должна отличаться от плановой?

29. В абзаце 5 пункта 7 Проекта, возможно, имеется в виду пункт 7.7 Положения N 716-П, так как указанный там пункт 7.5 Положения N 716-П не регулирует обмен информацией между кредитной организацией и Банком России.

30. В тексте Проекта не определены критерии доступности, недоступности и деградации технологических процессов, указана лишь отсылка к требованиям Положения N 716-П, предлагающим банкам разработать такие требования самостоятельно. Предлагается предоставить кредитным организациям возможность самостоятельно определить критерии деградации технологического процесса, либо дать эти критерии в тексте Проекта в явном виде, либо указать, что используются критерии и требования, разработанные банками в рамках исполнения требований Положения N 716-П.

31. Необходимо ли вносить информацию, указанную в пункте 8 Проекта, в состав внутренних документов по управлению операционным риском (в частности, в Политику управления операционным риском) для кредитных организаций с размером активов менее 500 млрд. рублей?

32. Что имеется в виду в абзаце 4 пункта 8 Проекта: стандартный контроль требований Проекта всеми ответственными сотрудниками или контроль со стороны Службы внутреннего контроля кредитной организации?

33. Участники опроса просят дополнить абзац 4 пункта 9 Проекта стадией ввода в эксплуатацию программно-аппаратных средств.

34. Кредитные организации предлагают исключить абзац 6 пункта 9 Проекта или расширить понятие "особенности регистрации событий операционного риска, являющихся инцидентами операционной надежности". В соответствии с пунктом 6.2 Положения N 716-П порядок ведения базы событий, включая требования к форме и содержанию вводимой информации, должен быть установлен во внутренних документах. Кроме того, в абзаце 7 пункта 9 Проекта указано, что кредитная организация регистрирует инциденты операционной надежности с учетом требований к ведению базы событий, установленных главой 6 Положения N 716-П. В этой связи не до конца понятен смысл наличия дополнительного абзаца в Проекте, не расширяющего требования к регистрации событий.

35. Какова дополнительная классификация типов инцидентов операционной надежности, перечень которых размещен на сайте Банка России в соответствии с абзацем 8 пункта 9 Проекта? Размещен ли этот перечень на сайте? Если нет, то каковы планируемые сроки его размещения? Для исключения неверного толкования предлагается дать ссылки на конкретные пункты и документ, где содержится перечень типов инцидентов. Необходимо ли будет переклассифицировать ранее зарегистрированные события в случае изменения перечня (с целью обеспечения сопоставимости данных)? Кроме того, размещение классификатора событий операционного риска и его обновление позволит обеспечить своевременное внесение изменений в банковские автоматизированные системы только с одновременным механизмом оперативного уведомления кредитных организаций об обновлениях. Также, по мнению ряда кредитных организаций, в силу динамичности перечня целесообразно предусмотреть возможность указания во внутренних документах банков ссылки на перечень Банка России, а не полное его дублирование.

36. Что имеется в виду в пункте 9 Проекта под:

a. данными, используемыми для фиксации превышения (отклонения от) значений установленных целевых показателей операционной надежности;

b. данными, позволяющими выявить причину превышения (отклонения от) значений установленных целевых показателей операционной надежности?

37. Кредитные организации предлагают рассмотреть возможность внесения информации, указанной в абзацах 10-11 пункта 9 Проекта в поле "Детализированное описание события", а информации, указанной в абзаце 12 пункта 9 Проекта - в поле "Меры, направленные на уменьшение негативного влияния ОР".

38. Обязательны ли к применению нормы абзаца 13 пункта 9 Проекта для кредитных организаций с размером активов менее 500 млрд. рублей?

39. Участники опроса просят указать ссылку на ресурс в сети "Интернет" с перечнем типов инцидентов операционной надежности, а также сроки предоставления информации об инцидентах (предлагается - на следующий день после выявления инцидента) в соответствии с абзацем 2 пункта 10 Проекта.

40. Аналогично кредитные организации просят установить срок, в течение которого необходимо информировать Банк России о разработанных мероприятиях после устранения инцидента (предлагается - в течение одной недели после выявления инцидента) в соответствии с абзацем 3 пункта 10 Проекта.

41. Где именно (по какой ссылке) будет размещен исчерпывающий перечень требований в соответствии с абзацем 4 пункта 10 Проекта?

42. Какие требования Проекта должны предъявляться к системам на стадиях создания и снятия с эксплуатации программно-аппаратных средств?

43. Участники опроса просят более детально уточнить формат предоставления сведений в Банк России об инцидентах операционной надежности и планируемых мероприятиях, способы (через Личный кабинет, посредством обязательной отчетности через ПТК ПСД или другим способом) и периодичность предоставления информации. Требуется ли предоставление сведений при отсутствии инцидентов? Отсутствие данной информации может приводить к непреднамеренному нарушению требований со стороны кредитных организаций и, соответственно, к необоснованному применению санкций за подобные нарушения со стороны Банка России.

44. Участники опроса обращают внимание на возможность различных толкований технологических процессов в Приложении к Проекту. В этой связи целесообразно снабдить их более расширенными пояснениями, исключающими разночтения.

45. В Приложении к Проекту технологические процессы разделяются по юридическим и физическим лицам. Куда следует классифицировать индивидуальных предпринимателей, товарищества и т.п.?

46. В приложении к Проекту зафиксированы сжатые сроки допустимого времени простоя и деградации технологических процессов. Имеются в виду рабочие или календарные часы? Каковы санкции в случае их невыполнения? Каков процесс согласования более длительных сроков неоказания услуг в случае обстоятельств непреодолимой силы, а также в отдельных обоснованных случаях? Как информация о возникновении сбоев будет использоваться Банком России в дальнейшем?

47. Кредитные организации просят уточнить относится ли пороговый уровень допустимого времени простоя и (или) деградации технологических процессов к разовым ситуациям или речь идет о суммарных за некоторый период? Каковы требования или рекомендации к разовым и суммарным за период инцидентам?

48. Каким образом определялось пороговое число простоя в Приложении к Проекту? Почему для совершения операций на бирже это число увеличивается до 24 часов, при том, что большинство сервисов имеют SLA в 2 часа? Аналогичный вопрос про сервис биометрии (0,5 часа).

49. Каковы требования к процессам, которые не должны исполняться в определенное время? Например, если биржа не работает в субботу, то проблемы, связанные с отображением информации по портфелям, влекут за собой необходимость отчета по ним? Кредитные организации полагают, что для технологического процесса, обеспечивающего выполнение операций на финансовых рынках, представляется логичным считать время простоя с учетом дней работы биржи и ее расчетных центров (не включая во время простоя стандартное нерабочее время).

50. По мнению некоторых участников опроса, целесообразно дополнительно проработать сроки по допустимому времени простоя технологических процессов NN 2, 3, 5 и 7 для юридических лиц, так как они могут иметь повышенный пороговый уровень допустимого времени простоя по отношению к пороговым уровням по технологическому времени простоя функционала, связанного с услугами физическим лицам, установленному на уровне 2-х часов. Критичность недоступности данного функционала для юридических лиц в нерабочее время (ночь, выходные, праздники) имеет меньшую значимость, чем остановка соответствующего функционала для физических лиц. В этой связи кажется логичным расширить пороговый уровень допустимого времени простоя по операциям для юридических лиц до 6 часов, что могло бы учесть возможность проведения работ с данными каналами в нерабочее и ночное время.

51. По мнению некоторых кредитных организаций, установка порогового уровня допустимого времени простоя для технологического процесса, обеспечивающего размещение и обновление биометрических персональных данных в единой биометрической системе для банков, размер активов которого составляет 500 миллиардов рублей и более в размере 0,5 часов является заниженной. Поскольку процесс размещения и обновления биометрических персональных данных в единой биометрической системе затрагивает необходимость взаимодействия внутрибанковских систем с внешними ресурсами, заниженный срок недоступности данного функционала кажется неоправданным. В этой связи представляется правильным для технологического процесса, обеспечивающего размещение и обновление биометрических персональных данных в единой биометрической системе для всех кредитных организаций, сделать единый порог допустимого времени простоя в размер