Откройте актуальную версию документа прямо сейчас
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
Купить систему ГАРАНТ
Получить демо-доступ
Узнать стоимость
Информационный банк
Подобрать комплект
Семинары
- Главная
- Регламент Европейского Парламента и Совета Европейского Союза 2022/2554 от 14 декабря 2022 г. о цифровой операционной устойчивости финансового сектора, а также об изменении Регламентов (EC) 1060/2009, (ЕС) 648/2012, (ЕС) 600/2014, (ЕС) 909/2014 и (ЕС) 2016/1011
- Глава II. Управление ICT-рисками
- Раздел II
- Статья 12. Принципы и процедуры резервного копирования, процедуры и методы возобновления деятельности и восстановления
Статья 12. Принципы и процедуры резервного копирования, процедуры и методы возобновления деятельности и восстановления
Статья 12
Принципы и процедуры резервного копирования, процедуры и методы возобновления деятельности и восстановления
1. В целях обеспечения восстановления систем ICT и данных с минимальным временем простоя, минимальными сбоями и потерями финансовые организации в рамках своей системы управления ICT-рисками должны разработать и документально обосновать:
(a) принципы и процедуры резервного копирования, определяющие объем данных, подлежащих резервному копированию, и минимальную частоту резервного копирования, исходя из критичности информации или уровня конфиденциальности данных;
(b) процедуры и методы возобновления деятельности и восстановления.
2. Финансовые организации должны создать системы резервного копирования, которые могут быть активированы в соответствии с принципами и процедурами резервного копирования, а также процедурами и методами возобновления деятельности и восстановления. Активация систем резервного копирования не должна ставить под угрозу безопасность сетевых и информационных систем или доступность, подлинность, целостность или конфиденциальность данных. Периодически необходимо проводить испытания процедур резервного копирования, а также процедур и методов возобновления деятельности и восстановления.
3. При восстановлении резервных данных с использованием собственных систем финансовые организации должны использовать системы ICT, которые физически и логически отделены от исходной системы ICT. Системы ICT должны быть надежно защищены от любого несанкционированного доступа или от повреждения ICT и обеспечивать возможность своевременного возобновления оказания услуг с использованием данных и резервных копий системы при необходимости.
Планы по восстановлению центральных контрагентов должны предусматривать восстановление всех транзакций на момент сбоя, чтобы центральный контрагент мог продолжать работу с уверенностью и завершить расчеты на запланированную дату.
Поставщики услуг по предоставлению отчетности должны дополнительно поддерживать в наличии надлежащие ресурсы и иметь средства резервного копирования и восстановления, чтобы предлагать и оказывать свои услуги в любой момент.
4. Финансовые организации, за исключением микропредприятий, должны поддерживать резервные мощности ICT, оснащенные ресурсами, возможностями и функциями, достаточными для обеспечения потребностей бизнеса. Микропредприятия должны оценивать необходимость поддержания таких резервных мощностей ICT на основе своего профиля рисков.
5. Центральные депозитарии ценных бумаг должны иметь не менее одной дополнительной площадки для обработки данных, оснащенной достаточным количеством ресурсов, мощностей, функций и персонала, чтобы обеспечить потребности бизнеса.
Дополнительная площадка для обработки данных:
(a) должна быть расположена на географическом удалении от первичной площадки для обработки данных, чтобы гарантировать, что она имеет отдельный профиль риска и что на нее не влияет событие, которое затронуло первичную площадку для обработки данных;
(b) должна быть способна обеспечивать непрерывное осуществление критических или важных функций таким же образом, как и первичная площадка для обработки данных, или предоставлять уровень услуг, необходимый для того, чтобы финансовая организация могла выполнять свои критические операции в рамках целей по восстановлению;
(c) должна предусматривать возможность немедленного доступа со стороны сотрудников финансовой организации для обеспечения непрерывного осуществления критических или важных функций в недоступности первичной площадки для обработки данных.
6. При определении целевого времени и целевых точек восстановления для каждой функции финансовые организации должны учитывать, является ли эта функция критической или важной, а также потенциальное общее влияние на эффективность рынка. Такие целевые показатели времени должны гарантировать, что в экстремальных сценариях будут соблюдены согласованные уровни оказания услуг.
7. При восстановлении после инцидента, связанного с ICT, финансовые организации должны проводить необходимые проверки, в том числе множественный контроль и сверки данных, чтобы обеспечить сохранение наивысшего уровня целостности данных. Эти проверки также должны проводиться при реконструировании данных, полученных от внешних заинтересованных сторон, чтобы гарантировать согласованность всех данных между системами.