Приложение. Замечания, предложения и вопросы кредитных организаций - членов Ассоциации банков России по проекту положения Банка России "Об обязательных для кредитных организаций требованиях к операционной надежности при осуществлении банковской деятельности в целях обеспечения непрерывности оказания банковских услуг". Письмо Банка России от 06.10.2021 N 56-15/998 "О рассмотрении обращения"

Приложение

Замечания, предложения и вопросы
кредитных организаций - членов Ассоциации банков России по проекту положения Банка России "Об обязательных для кредитных организаций требованиях к операционной надежности при осуществлении банковской деятельности в целях обеспечения непрерывности оказания банковских услуг" (далее - Проект)

1. Может ли кредитная организация в целях выполнения требований Проекта использовать перечень критически важных процессов в соответствии с рекомендациями приложения 5 к Положению N 242-П ¹?

2. Что подразумевается под "другими системами" в абзаце 2 пункта 1 Проекта?

3. Для однозначного понимания терминологии кредитные организации просят дать определение понятия "технологический процесс", а также критерии отнесения того или иного процесса к технологическому.

4. Участники опроса просят уточнить, в соответствии с пунктом 2 Проекта кредитные организации должны обеспечить не превышение порогового уровня допустимого времени простоя технологических процессов, определяемых с учетом подпункта 4.1.1 пункта 4.1 Положения N 716-П ², и указанных в приложении к Проекту, как в случае наличия простоя в пределах порогового значения, так и в случае, если происходят сбои технологических процессов без времени простоя, приводящие к неоказанию или ненадлежащему оказанию банковских услуг?

5. Будет ли Банком России устанавливаться какой-то ориентир для определения допустимой доли деградации технологических процессов или ее определение отдается полностью на усмотрение кредитной организации? Участники опроса просят предоставить кредитным организациям возможность самостоятельно определить критерии деградации технологического процесса. Также для однозначного понимания требуется определение термина "деградация технологических процессов" или порядок его определения на уровне кредитной организации. Кредитные организации также просят уточнить относится ли простой технологических процессов к деградации технологических процессов в соответствии с пунктом 2 Проекта?

6. Участники опроса просят дать развернутое определение "порогового уровня допустимого времени простоя" и "ненадлежащего оказания банковских услуг" для требований пункта 2 Проекта.

7. Кредитные организации просят уточнить понятие "контрольные показатели уровня операционного риска", так как в текущей редакции непонятно в полной ли мере требования главы 5 Положения N 716-П распространяются на представленные в Проекте "целевые показатели операционной надежности"? Если да, то почему данные показатели отсутствуют в приложении 1 к Положению N 716-П?

8. Предлагается исключить в абзаце 2 пункта 3 Проекта слова в скобках "(в случае превышения допустимой доли деградации технологических процессов)", так как расчет значения контрольного показателя производится при наличии деградации (вне зависимости от доли деградации), и согласно определению деградации в пункте 2 Проекта, факт наличия деградации также не устанавливается в зависимости от ее доли. Кроме того, участники опроса предлагают для устранения различных толкований вынести в отдельное предложение возможность определения ожидаемого количества финансовых операций с помощью экспертного мнения с указанием случаев, когда экспертное мнение применяется вместо статистических данных.

9. В абзацах 3 и 4 пункта 3 Проекта в целях соответствия абзацу 2 пункта 3 Проекта предлагается привести указания в скобках к единообразию и изложить их в редакции "(в случае превышения допустимой доли деградации технологического процесса)".

10. В тексте Проекта термин инцидент операционной надежности, по мнению участников опроса, имеет обобщенное определение. По этой причине не совсем понятно, подходят ли под данное определение, например, случаи, связанные с неоказанием или ненадлежащим оказанием кредитной организацией услуг, по независящим от нее обстоятельствам, а также случаи, когда кредитная организация в соответствии с установленными правилами не оказывает банковские услуги (нерабочие дни, ночное время и т.п.)?

11. Может ли кредитная организация модифицировать (расширить) целевые показатели операционной надежности, указанные в Проекте, а также использовать иные целевые показатели операционной надежности в дополнение к указанным в Проекте с предоставлением необходимого обоснования в Банк России?

12. Каким образом должно быть определено время начала и окончания процесса в соответствии с абзацем 5 пункта 3 Проекта, если операционная надежность - это непрерывность функционирования критически важных процессов? Как в рамках определения показателя одного процесса возможно определить последовательность технологических процессов? Участники опроса просят также привести пример описания и определения указанного целевого показателя операционной надежности.

13. В течение какого срока должны быть определены целевые показатели операционной надежности для новых технологических процессов? В соответствии пунктом 3 Проекта определение показателей должно осуществляться с учетом статистических данных за период с даты начала его функционирования. При этом отсутствует информация о том, какой минимальный период функционирования должен использоваться для новых технологических процессов? Какова примерная формула расчета целевых показателей?

14. Каким образом в соответствии с абзацами 7-11 пункта 3 Проекта следует отображать фактическую долю деградации технологического процесса и суммарного времени простоя и (или) деградации технологического процесса за последние двенадцать календарных месяцев? По каждому событию указывать два типа качественных потерь? Или эти значения указывать в фактических величинах справочно дополнительными полями и отдельно выбирать тип качественных потерь "Приостановка деятельности в результате неблагоприятного события"?

15. Кредитные организации просят уточнить, учитываются ли в расчете времени простоя в абзаце 11 пункта 3 Проекта периоды времени, превышающие установленное плановое время работ (например, если планировалось провести работы за 2 часа, а потребовалось 3 часа)?

16. Участники опроса просят отдельно определить понятие "доля деградации технологического процесса" и методику ее расчета.

17. Кредитные организации просят пояснить как рассчитываются сигнальные и контрольные значения целевых показателей операционной надежности в соответствии с пунктом 4 Проекта, а также описать процесс проведения и фиксации результатов анализа необходимости пересмотра значений целевых показателей операционной надежности. Являются ли сигнальные и контрольные значения целевых показателей операционной надежности частью системы лимитов, предусмотренных пунктом 4.14 Указания N 3624-У ³?

18. Требования к операционной надежности содержатся в главе 5 Положения N 716-П и в пункте 3 Проекта или кредитной организации необходимо разработать какие-нибудь дополнительные требования?

19. Участники опроса просят дать определение "критичной архитектуры" либо закрепить порядок ее определения на уровне кредитной организации, указав общие критерии отнесения к классу объектов.

20. Предлагается в пункте 5.2 Проекта установить обстоятельства возникновения уязвимостей в критичной архитектуре кредитной организации, а также полноценно описать жизненный цикл управления уязвимостями кредитных организаций и цикл проверки наличия данных уязвимостей в критичной архитектуре кредитной организации.

21. Участники опроса просят в пункте 5.3 Проекта установить методику обнаружения компьютерных атак и фактов воздействия вредоносного кода на программно-аппаратные средства, а также дать ссылки на нормативные акты Банка России, которые устанавливают требования и методику обнаружения компьютерных атак и фактов воздействия вредоносного кода.

22. Кредитные организации просят дополнить пункт 5.4 Проекта конкретными требованиями и необходимыми механизмами защиты от информационных угроз при привлечении поставщиков, а также требованиями к каналам передачи информации, обрабатываемой и передаваемой в рамках технологических процессов при взаимодействии с сотрудниками поставщиков услуг.

23. Необходимо ли информировать об инцидентах в случаях сбоя у внешних поставщиков, в том числе у банков-контрагентов?

24. Участники опроса просят определить в пункте 5.5 Проекта перечень процедур, подлежащих испытаниям в рамках тестирования операционной надежности.

25. Какие требования подразумеваются в пункте 6 Проекта: ограничение доступа при администрировании критической архитектуры или требование к защите удаленного доступа? Кредитные организации просят дополнить пункт 6 Проекта конкретными требованиями и необходимыми механизмами защиты от угроз в отношении возникновения зависимости обеспечения операционной надежности от ключевых специалистов. Правильно ли понимание, что абзац 2 пункта 6 Проекта относится исключительно к нейтрализации угроз в отношении возникновения зависимости от ключевых специалистов? По каким признакам/показателям можно оценить возможность реализации информационных угроз при условии дистанционной работы работников кредитной организации? Участники опроса также сообщают о заинтересованности в разработке методических рекомендаций Банком России в части исполнения требований пункта 6 Проекта.

26. На основании каких критериев предъявляются дополнительные требования к реагированию на угрозы проведения целевых компьютерных атак для банков, размер активов которых составляет 500 миллиардов рублей и более? При этом аналогичных требований к небанковским кредитным организациям, размер активов которых составляет 500 миллиардов рублей и более, не предъявляется. Информация о критериях применения такого подхода позволит повысить транспарентность регулирования, снизит регуляторный риск, а также предоставит возможность банкам проводить подготовку соответствующих мероприятий.

27. Является ли указанное в пункте 7 Проекта проведение "целевых компьютерных атак по требованию Банка России" одним из видов проверок на готовность кредитных организаций обеспечить операционную надежность?

28. Каковы критерии и условия проведения моделирования сценариев компьютерных атак и моделирования информационных угроз? Каковы требования к документированию данного процесса? В соответствии с каким нормативным актом проводится моделирование угроз? Что подразумевается под установлением уровня опасности проведения целевых компьютерных атак? Что понимается под внеплановой оценкой защищенности критичной архитектуры, каким образом данная активность должна отличаться от плановой?

29. В абзаце 5 пункта 7 Проекта, возможно, имеется в виду пункт 7.7 Положения N 716-П, так как указанный там пункт 7.5 Положения N 716-П не регулирует обмен информацией между кредитной организацией и Банком России.

30. В тексте Проекта не определены критерии доступности, недоступности и деградации технологических процессов, указана лишь отсылка к требованиям Положения N 716-П, предлагающим банкам разработать такие требования самостоятельно. Предлагается предоставить кредитным организациям возможность самостоятельно определить критерии деградации технологического процесса, либо дать эти критерии в тексте Проекта в явном виде, либо указать, что используются критерии и требования, разработанные банками в рамках исполнения требований Положения N 716-П.

31. Необходимо ли вносить информацию, указанную в пункте 8 Проекта, в состав внутренних документов по управлению операционным риском (в частности, в Политику управления операционным риском) для кредитных организаций с размером активов менее 500 млрд. рублей?

32. Что имеется в виду в абзаце 4 пункта 8 Проекта: стандартный контроль требований Проекта всеми ответственными сотрудниками или контроль со стороны Службы внутреннего контроля кредитной организации?

33. Участники опроса просят дополнить абзац 4 пункта 9 Проекта стадией ввода в эксплуатацию программно-аппаратных средств.

34. Кредитные организации предлагают исключить абзац 6 пункта 9 Проекта или расширить понятие "особенности регистрации событий операционного риска, являющихся инцидентами операционной надежности". В соответствии с пунктом 6.2 Положения N 716-П порядок ведения базы событий, включая требования к форме и содержанию вводимой информации, должен быть установлен во внутренних документах. Кроме того, в абзаце 7 пункта 9 Проекта указано, что кредитная организация регистрирует инциденты операционной надежности с учетом требований к ведению базы событий, установленных главой 6 Положения N 716-П. В этой связи не до конца понятен смысл наличия дополнительного абзаца в Проекте, не расширяющего требования к регистрации событий.

35. Какова дополнительная классификация типов инцидентов операционной надежности, перечень которых размещен на сайте Банка России в соответствии с абзацем 8 пункта 9 Проекта? Размещен ли этот перечень на сайте? Если нет, то каковы планируемые сроки его размещения? Для исключения неверного толкования предлагается дать ссылки на конкретные пункты и документ, где содержится перечень типов инцидентов. Необходимо ли будет переклассифицировать ранее зарегистрированные события в случае изменения перечня (с целью обеспечения сопоставимости данных)? Кроме того, размещение классификатора событий операционного риска и его обновление позволит обеспечить своевременное внесение изменений в банковские автоматизированные системы только с одновременным механизмом оперативного уведомления кредитных организаций об обновлениях. Также, по мнению ряда кредитных организаций, в силу динамичности перечня целесообразно предусмотреть возможность указания во внутренних документах банков ссылки на перечень Банка России, а не полное его дублирование.

36. Что имеется в виду в пункте 9 Проекта под:

a. данными, используемыми для фиксации превышения (отклонения от) значений установленных целевых показателей операционной надежности;

b. данными, позволяющими выявить причину превышения (отклонения от) значений установленных целевых показателей операционной надежности?

37. Кредитные организации предлагают рассмотреть возможность внесения информации, указанной в абзацах 10-11 пункта 9 Проекта в поле "Детализированное описание события", а информации, указанной в абзаце 12 пункта 9 Проекта - в поле "Меры, направленные на уменьшение негативного влияния ОР".

38. Обязательны ли к применению нормы абзаца 13 пункта 9 Проекта для кредитных организаций с размером активов менее 500 млрд. рублей?

39. Участники опроса просят указать ссылку на ресурс в сети "Интернет" с перечнем типов инцидентов операционной надежности, а также сроки предоставления информации об инцидентах (предлагается - на следующий день после выявления инцидента) в соответствии с абзацем 2 пункта 10 Проекта.

40. Аналогично кредитные организации просят установить срок, в течение которого необходимо информировать Банк России о разработанных мероприятиях после устранения инцидента (предлагается - в течение одной недели после выявления инцидента) в соответствии с абзацем 3 пункта 10 Проекта.

41. Где именно (по какой ссылке) будет размещен исчерпывающий перечень требований в соответствии с абзацем 4 пункта 10 Проекта?

42. Какие требования Проекта должны предъявляться к системам на стадиях создания и снятия с эксплуатации программно-аппаратных средств?

43. Участники опроса просят более детально уточнить формат предоставления сведений в Банк России об инцидентах операционной надежности и планируемых мероприятиях, способы (через Личный кабинет, посредством обязательной отчетности через ПТК ПСД или другим способом) и периодичность предоставления информации. Требуется ли предоставление сведений при отсутствии инцидентов? Отсутствие данной информации может приводить к непреднамеренному нарушению требований со стороны кредитных организаций и, соответственно, к необоснованному применению санкций за подобные нарушения со стороны Банка России.

44. Участники опроса обращают внимание на возможность различных толкований технологических процессов в Приложении к Проекту. В этой связи целесообразно снабдить их более расширенными пояснениями, исключающими разночтения.

45. В Приложении к Проекту технологические процессы разделяются по юридическим и физическим лицам. Куда следует классифицировать индивидуальных предпринимателей, товарищества и т.п.?

46. В приложении к Проекту зафиксированы сжатые сроки допустимого времени простоя и деградации технологических процессов. Имеются в виду рабочие или календарные часы? Каковы санкции в случае их невыполнения? Каков процесс согласования более длительных сроков неоказания услуг в случае обстоятельств непреодолимой силы, а также в отдельных обоснованных случаях? Как информация о возникновении сбоев будет использоваться Банком России в дальнейшем?

47. Кредитные организации просят уточнить относится ли пороговый уровень допустимого времени простоя и (или) деградации технологических процессов к разовым ситуациям или речь идет о суммарных за некоторый период? Каковы требования или рекомендации к разовым и суммарным за период инцидентам?

48. Каким образом определялось пороговое число простоя в Приложении к Проекту? Почему для совершения операций на бирже это число увеличивается до 24 часов, при том, что большинство сервисов имеют SLA в 2 часа? Аналогичный вопрос про сервис биометрии (0,5 часа).

49. Каковы требования к процессам, которые не должны исполняться в определенное время? Например, если биржа не работает в субботу, то проблемы, связанные с отображением информации по портфелям, влекут за собой необходимость отчета по ним? Кредитные организации полагают, что для технологического процесса, обеспечивающего выполнение операций на финансовых рынках, представляется логичным считать время простоя с учетом дней работы биржи и ее расчетных центров (не включая во время простоя стандартное нерабочее время).

50. По мнению некоторых участников опроса, целесообразно дополнительно проработать сроки по допустимому времени простоя технологических процессов NN 2, 3, 5 и 7 для юридических лиц, так как они могут иметь повышенный пороговый уровень допустимого времени простоя по отношению к пороговым уровням по технологическому времени простоя функционала, связанного с услугами физическим лицам, установленному на уровне 2-х часов. Критичность недоступности данного функционала для юридических лиц в нерабочее время (ночь, выходные, праздники) имеет меньшую значимость, чем остановка соответствующего функционала для физических лиц. В этой связи кажется логичным расширить пороговый уровень допустимого времени простоя по операциям для юридических лиц до 6 часов, что могло бы учесть возможность проведения работ с данными каналами в нерабочее и ночное время.

51. По мнению некоторых кредитных организаций, установка порогового уровня допустимого времени простоя для технологического процесса, обеспечивающего размещение и обновление биометрических персональных данных в единой биометрической системе для банков, размер активов которого составляет 500 миллиардов рублей и более в размере 0,5 часов является заниженной. Поскольку процесс размещения и обновления биометрических персональных данных в единой биометрической системе затрагивает необходимость взаимодействия внутрибанковских систем с внешними ресурсами, заниженный срок недоступности данного функционала кажется неоправданным. В этой связи представляется правильным для технологического процесса, обеспечивающего размещение и обновление биометрических персональных данных в единой биометрической системе для всех кредитных организаций, сделать единый порог допустимого времени простоя в размере 2-х часов и вывести из-под действия данной нормы случаи, когда простой данного процесса формируется за счет недоступности внешнего поставщика услуги.

52. Кредитные организации предлагают дополнить приложение к Проекту указанием, что "для технологических процессов с несколькими участниками пороговый уровень допустимого времени простоя и (или) деградации технологических процессов измеряется и учитывается только в зоне ответственности банка", так как часть технологических процессов выполняются несколькими участниками (например, процессы 12 и 13 - совместно с оператором ЕСИА), и в случае наличия инцидентов на стороне других участников также может возникать простой или деградация технологических процессов. Участники опроса также предлагают провести категоризацию по типам отказов и масштабам инцидентов и предложить разные пороговые значения для разных ситуаций, так как выполнение требований в случае локальных катастроф, отказов ЦОД, отказов, при которых была по каким-либо причинам повреждена логическая целостность данных, сложно технически и потребует существенных дополнительных затрат на реализацию.

53. Кредитные организации предлагают уточнить редакцию 12 технологического процесса из приложения к Проекту: "Технологический процесс, обеспечивающий сбор, размещение и обновление биометрических персональных данных в единой биометрической системе".

54. Предлагается из формулировки 13 технологического процесса из Приложения к Проекту исключить слова "физических лиц, в том числе с применением информационных технологий без их личного присутствия", так как персональные данные относятся только к физическим лицам, а механизм обработки однозначно предполагает применение информационных технологий. При этом предлагается дополнить редакцию с учетом того, что обработка происходит без присутствия лица, сдавшего биометрию.

55. Некоторые кредитные организации предлагают добавить технологический процесс 14 в Приложение к Проекту: "Технологический процесс, функционирование которого обеспечивают значимые объекты критической информационной инфраструктуры".

56. Есть ли требования к процедуре определения процентов успешных операций?

57. В соответствии с рекомендациями "Principles for financial market infrastructures", на которые ссылаются документы, приведенные в пояснительной записке к Проекту, финансовые организации должны самостоятельно определять операции, являющиеся для них критичными, на основании профиля деятельности, оценки потенциальных финансовых потерь и выявленных угроз для бизнеса. Кроме того, ряд международных организаций рекомендуют финансовым организациям самостоятельно определять не только критичность бизнес-процессов, но и допустимое время восстановления на основе BIA-анализа и риск-ориентированного подхода. ⁴ С учетом изложенного предлагается предоставить кредитным организациям возможность самостоятельно формировать перечень технологических процессов по аналогии и в соответствии с главой 3 Положения N 716-П, а также пересмотреть обязательность обеспечения кредитными организациями непревышения порогового уровня допустимого времени простоя всех технологических процессов, указанных в приложении к Проекту. Взамен этого предлагается обязать кредитные организации проводить ВIА-анализ, определять возможные угрозы для функционирования бизнеса, потенциальные финансовые потери, риск-аппетит и толерантность к рискам. По итогам анализа и оценки рисков определять приемлемое для кредитной организации время восстановления технологических процессов, а также необходимые меры для обеспечения операционной надежности на необходимом уровне с учетом затрат, требуемых для снижения идентифицированных рисков.

58. В настоящее время ни Проект, ни Положение N 716-П, ни Положение N 242-П не устанавливают специальные меры, которые могут применяться к кредитным организациям за нарушение требований к операционной надежности. Соответственно, к кредитным организациям за нарушение требований Проекта могут применяться меры, предусмотренные статьей 74 Закона N 86-ФЗ ⁵. По мнению ряда участников опроса, необходимо вывести распространение ответственности банков за нарушение порогового уровня допустимого времени простоя технологических процессов из-под действия указанной статьи, одновременно сохранив требования к информированию Банка России о выявленных инцидентах операционной надежности. Дополнительно уточнить нормативное регулирование и меры ответственности за регулярные, повторяющиеся и (или) системные нарушения соответствующих требований целесообразно будет после формирования Банком России массива данных об операционной надежности финансовых организаций.

59. Кредитные организации предлагают указать, что требования Проекта не распространяются на режим чрезвычайной ситуации (ЧС). ЧС целесообразно трактовать как обстановку на определенной территории, сложившуюся в результате аварии, опасного природного явления, катастрофы, стихийного или иного бедствия, включая пандемию и массовое вирусное заражение вредоносным программным обеспечением, которая приводит к прерыванию выполнения функций банка на одной или нескольких площадках, при этом их восстановление в приемлемые сроки невозможно.

60. Учитывая необходимость существенной доработки существующей документации, кредитные организации просят рассмотреть возможность переноса сроков вступления Проекта в силу на 1 год до 01.10.2023.

61. Требования Проекта относятся только к ИТ-инцидентам (сбоям информационных систем) или к любым инцидентам операционных рисков, влияющим на операционную доступность процессов?

62. Участники опроса просят дополнить текст Проекта указанием на то, что требования указанного Проекта не распространяются на небанковские кредитные организации, осуществляющие деятельность центрального контрагента и центрального депозитария. В противном случае на таких специфических субъектов будут распространяться требования Проекта и проекта Положения Банка России "Об установлении обязательных для некредитных финансовых организаций требований к операционной надежности при осуществлении деятельности в сфере финансовых рынков в целях обеспечения непрерывности оказания финансовых услуг (за исключением банковских услуг)".

63. Если требованиями главы 9 Положения N 716-П для кредитных организаций с размером активов менее 500 млрд рублей предусмотрено отсутствие необходимости фиксирования в базе событий инцидентов с качественными потерями, то и фиксация инцидентов операционной надежности в базе событий операционного риска не будет являться обязательной для банков с указанным размером активов?

64. Кредитные организации просят более полно учесть в Проекте особенности осуществления банковской деятельности крупными кредитными организациями и банками с базовой лицензией в целях применения подходов пропорционального регулирования к вопросу обеспечения операционной надежности.

65. Участники опроса предлагают указать в тексте Проекта более четкую адресацию в части подразделений кредитной организации, выполняющих те или иные требования (задачи).

66. Кредитные организации заинтересованы в периодической публикации Банком России в открытом доступе обзоров практики выявления инцидентов операционной ненадежности и способах их преодоления. Такая практическая информация будет полезна для использования в деятельности по управлению операционным риском.

------------------------------

¹Положение Банка России от 16.12.2003 N 242-П "Об организации внутреннего контроля в кредитных организациях и банковских группах".

²Положение Банка России от 08.04.2020 N 716-П "О требованиях к системе управления опепанионным риском в кредитной организации и банковской группе".

³Указание Банка России от 15.04.2015 N 3624-У "О требованиях к системе управления рисками и капиталом кредитной организации и банковской группы".

⁴ Например, "FFIEC Information Technology Examination Handbook, The Federal Financial Institutions Examination Council", "Sound Practices to Strengthen Operational Resilience, Boards of Governors of the Federal Reserve System", "REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on digital operational resilience for the financial sector>, " OPINION OF THE EUROPEAN CENTRAL BANK on a proposal for a regulation of the European Parliament and of the Council on digital operational resilience for the financial sector>.

⁵Федеральный закон от 10.07.2002 N 86-ФЗ "О Центральном банке Российской Федерации (Банке России)".