Вход
Купить систему ГАРАНТ
Получить демо-доступ
Узнать стоимость
Информационный банк
Подобрать комплект
Семинары
Методические рекомендации Банка России от 20 декабря 2023 г. N 18-МР "По описанию наименований объектов информационной инфраструктуры"
Методические рекомендации Банка России от 20 декабря 2023 г. N 18-МР
"По описанию наименований объектов информационной инфраструктуры"
Глава 1. Общие положения
1.1. Настоящие Методические рекомендации разработаны в целях обеспечения единства подходов к описанию наименований (при учете состава) объектов информационной инфраструктуры, задействованных при выполнении технологических процессов, в соответствии с абзацем четвертым подпункта 6.1 пункта 6 Положения Банка России от 12.01.2022 N 787-П "Об обязательных для кредитных организаций требованиях к операционной надежности при осуществлении банковской деятельности в целях обеспечения непрерывности оказания банковских услуг" для кредитных организаций и абзацем четвертым пункта 1.4 Положения Банка России от 15.11.2021 N 779-П "Об установлении обязательных для некредитных финансовых организаций требований к операционной надежности при осуществлении видов деятельности, предусмотренных частью первой статьи 76.1 Федерального закона от 10 июля 2002 года N 86-ФЗ "О Центральном банке Российской Федерации (Банке России)", в целях обеспечения непрерывности оказания финансовых услуг (за исключением банковских услуг)" для некредитных финансовых организаций.
Используемые в настоящих Методических рекомендациях понятия применяются в значениях, в которых они используются в Положении Банка России от 12.01.2022 N 787-П "Об обязательных для кредитных организаций требованиях к операционной надежности при осуществлении банковской деятельности в целях обеспечения непрерывности оказания банковских услуг" и Положении Банка России от 15.11.2021 N 779-П "Об установлении обязательных для некредитных финансовых организаций требований к операционной надежности при осуществлении видов деятельности, предусмотренных частью первой статьи 76.1 Федерального закона от 10 июля 2002 года N 86-ФЗ "О Центральном банке Российской Федерации (Банке России)", в целях обеспечения непрерывности оказания финансовых услуг (за исключением банковских услуг)".
1.2. Настоящие Методические рекомендации рекомендованы для применения кредитными организациями и некредитными финансовыми организациями при осуществлении банковской деятельности и деятельности в сфере финансовых рынков (далее - финансовые организации) в целях представления в Банк России информации об объектах информационной инфраструктуры в рамках информирования Банка России о выявленных инцидентах операционной надежности по запросу Банка России, а также при заполнении графы "Наименование объекта информационной инфраструктуры", группы аналитических признаков "Наименование объекта информатизации" и показателя "Информация об автоматизированных системах и приложениях" отчетности финансовых организаций, в том числе:
отчетности по форме 0420174 "Сведения о показателях операционной надежности страховой организации и применяемых ею информационных технологиях" 1;
отчетности по форме 0420265 "Сведения о показателях операционной надежности негосударственного пенсионного фонда и применяемых им информационных технологиях" 2;
отчетности по форме 0420432 "Сведения о показателях операционной надежности профессиональных участников рынка ценных бумаг, организаторов торговли, клиринговых организаций и применяемых ими информационных технологиях" 3;
отчета по форме 0420523 "Сведения о показателях операционной надежности управляющей компании и применяемых ею информационных технологиях" 4;
отчетности (отчета) по форме 0420721 "Сведения о показателях операционной надежности оператора инвестиционной платформы, оператора финансовой платформы, оператора информационной системы, в которой осуществляется выпуск цифровых финансовых активов, оператора обмена цифровых финансовых активов и применяемых ими информационных технологиях" 5;
отчетности по форме 0409072 "Сведения о показателях операционной надежности кредитной организации и применяемых ею информационных технологиях при осуществлении банковской деятельности и деятельности в сфере финансовых рынков" 6.
Глава 2. Рекомендации по описанию наименований объектов информационной инфраструктуры
2.1. При описании наименований (при учете состава) объектов информационной инфраструктуры рекомендуется учитывать объекты информационной инфраструктуры, относящиеся к критичной архитектуре, в том числе резервные объекты информационной инфраструктуры и объекты информационной инфраструктуры, задействованные в выполнении технологических процессов, которые реализуются поставщиками услуг в сфере информационных технологий (переданных на аутсорсинг и (или) выполняемых с применением внешних информационных систем, предоставляемых поставщиками услуг).
В случае если выполнение технологических процессов, обеспечивающих осуществление переводов денежных средств по поручению физических и юридических лиц, зависит от функционирования платежной системы Банка России, кредитным организациям рекомендуется представлять информацию об объектах информационной инфраструктуры, задействованных на участке платежной системы Банка России.
2.2. В формируемом финансовой организацией и представляемом в Банк России описании критичной архитектуры, в том числе объектов информационной инфраструктуры, относящихся к автоматизированной системе или отдельному компоненту этой системы (далее - ИТ-продукт), рекомендуется указывать следующие атрибуты:
|
N п/п |
Наименование атрибута |
Рекомендация по заполнению |
|
|
кредитными организациями и некредитными финансовыми организациями, обязанными соблюдать усиленный или стандартный уровень защиты информации в соответствии с подпунктом 3.1 пункта 3 Положения Банка России от 17.04.2019 N 683-П 7, подпунктом 1.4.2 или 1.4.3 пункта 1.4 Положения Банка России от 20.04.2021 N 757-П 8 |
некредитными финансовыми организациями, обязанными соблюдать минимальный уровень защиты информации в соответствии с подпунктом 1.4.4 пункта 1.4 Положения Банка России от 20.04.2021 N 757-П |
||
|
1 |
Технологический процесс |
Для заполнения |
Для заполнения |
|
2 |
Наименование автоматизированной системы |
Для заполнения |
Для заполнения |
|
3 |
Технологический участок |
Для заполнения |
Для заполнения |
|
4 |
Бизнес-функция |
Для заполнения |
Для заполнения |
|
5 |
Функциональное значение системы |
Для заполнения |
Для заполнения |
|
6 |
Разработчик автоматизированной системы |
Для заполнения |
Для заполнения |
|
7 |
Уровень критичности системы |
Для заполнения |
Для заполнения |
|
8 |
Перечень систем - источников данных |
Для заполнения |
Для заполнения |
|
9 |
Перечень систем - получателей данных |
Для заполнения |
Для заполнения |
|
10 |
Наименование ИТ-продукта |
Для заполнения |
Для заполнения |
|
11 |
Принадлежность |
Для заполнения |
Для заполнения |
|
12 |
Резервная инфраструктура |
Для заполнения |
Необязательный атрибут для заполнения |
|
13 |
Разработчик ИТ-продукта |
Для заполнения |
Для заполнения |
|
14 |
Модификация |
Для заполнения |
Необязательный атрибут для заполнения |
|
15 |
Класс оборудования |
Для заполнения |
Для заполнения |
|
16 |
Класс программного обеспечения |
Для заполнения |
Для заполнения |
|
17 |
Страна |
Для заполнения |
Необязательный атрибут для заполнения |
|
18 |
Наименование лицензии |
Для заполнения |
Необязательный атрибут для заполнения |
|
19 |
Тип лицензии |
Для заполнения |
Необязательный атрибут для заполнения |
|
20 |
Архитектура |
Для заполнения |
Необязательный атрибут для заполнения |
|
21 |
Количество |
Для заполнения |
Необязательный атрибут для заполнения |
|
22 |
Закупка |
Для заполнения |
Необязательный атрибут для заполнения |
|
23 |
Техническая поддержка |
Для заполнения |
Необязательный атрибут для заполнения |
|
24 |
Автономность |
Для заполнения |
Необязательный атрибут для заполнения |
|
25 |
Обновление |
Для заполнения |
Необязательный атрибут для заполнения |
|
26 |
Уязвимости |
Для заполнения |
Необязательный атрибут для заполнения |
|
27 |
Управление |
Для заполнения |
Необязательный атрибут для заполнения |
|
28 |
Наличие сертификата ФСТЭК России |
Для заполнения |
Необязательный атрибут для заполнения |
|
29 |
Номер сертификата ФСТЭК России |
Для заполнения |
Необязательный атрибут для заполнения |
|
30 |
Наличие сертификата ФСБ России |
Для заполнения |
Необязательный атрибут для заполнения |
|
31 |
Номер сертификата ФСБ России |
Для заполнения |
Необязательный атрибут для заполнения |
|
32 |
Номер в реестре Минцифры России |
Для заполнения |
Необязательный атрибут для заполнения |
|
33 |
Номер в реестре Минпромторга России |
Для заполнения |
Необязательный атрибут для заполнения |
|
34 |
Дата внесения в реестр Минцифры России |
Для заполнения |
Необязательный атрибут для заполнения |
2.3. Наименование объекта информационной инфраструктуры рекомендуется формировать перечислением атрибутов, указанных в пункте 2.2 настоящих Методических рекомендаций, разделенных символом "|" (вертикальная черта). Пример заполнения атрибутов указан в приложении 1 к настоящим Методическим рекомендациям.
2.4. Перечень атрибутов для описания автоматизированной системы рекомендуется формировать следующим образом.
2.4.1. Атрибут "Технологический процесс".
Атрибут "Технологический процесс" формируется с использованием кодов, определенных в порядке составления и представления отчетности по формам, указанным в пункте 1.2 настоящих Методических рекомендаций.
В случае если для атрибута подходит несколько значений, то для каждого его значения формируется новое описание объекта информационной инфраструктуры.
2.4.2. Атрибут "Наименование автоматизированной системы".
В атрибуте "Наименование автоматизированной системы" указывается наименование системы, состоящей из программных, аппаратных или программно-аппаратных средств информационных технологий, которая применяется финансовой организацией в рамках указанного технологического процесса.
В случае если для атрибута подходит несколько значений, то для каждого его значения формируется новое описание объекта информационной инфраструктуры.
2.4.3. Атрибут "Технологический участок".
В атрибуте "Технологический участок" указывается технологический участок технологического процесса, в рамках которого применяется указанная автоматизированная система, с использованием следующих кодов:
|
Код |
Наименование технологического участка |
|
ИАА |
Идентификация, аутентификация и авторизация клиентов при совершении действий в целях осуществления банковских/финансовых операций или обработки, хранения и передачи защищаемой информации |
|
ФПП |
Формирование (подготовка), передача и прием электронных сообщений |
|
УП |
Удостоверение права клиентов распоряжаться денежными средствами, ценными бумагами или иным имуществом или совершать действия с защищаемой информацией |
|
ОУ |
Осуществление банковской/финансовой операции или действий в целях обработки, хранения и передачи защищаемой информации, учет результатов их осуществления |
|
ХИ |
Хранение/учет электронных сообщений, информации об осуществленных банковских/финансовых операциях или действиях с защищаемой информацией, результатов осуществления действий в целях обработки, хранения и передачи защищаемой информации |
|
СборБО_ЕБС |
Для единой биометрической системы (далее - ЕБС): сбор в головном офисе, филиалах или внутренних структурных подразделениях финансовых организаций, являющихся банками с универсальной лицензией или банками с базовой лицензией, указанными в пункте 5 6 статьи 7 Федерального закона от 07.08.2001 N 115-ФЗ "О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма" (далее - банки), с использованием стационарных средств вычислительной техники, банкоматов, планшетов и при передаче собранных биометрических персональных данных между головным офисом, филиалами или внутренними структурными подразделениями банков, а также между планшетами и информационной инфраструктурой внутренних структурных подразделений банков |
|
ПередачаБО_ЕБС |
Для ЕБС: взаимодействие банков с ЕБС в целях размещения или обновления биометрических персональных данных |
|
ИА_ЕБС |
Для ЕБС: идентификация или аутентификация клиента - физического лица |
|
Проверка_ЕБС |
Для ЕБС: проверка и передача информации о степени соответствия предоставленных биометрических персональных данных физического лица векторам ЕБС, содержащимся в ЕБС, при взаимодействии информационных систем финансовых организаций с ЕБС |
|
Взаимодействие_ЕБС |
Для ЕБС: взаимодействие информационных систем финансовых организаций с ЕБС при передаче собранных биометрических персональных данных между осуществлявшими обработку биометрических персональных данных информационными системами финансовых организаций и ЕБС |
|
ПередачаЕСИА_ЕБС |
Для ЕБС: предоставление финансовыми организациями в соответствии с частью 5 статьи 10 Федерального закона от 29.12.2022 N 572-ФЗ в Единую систему идентификации и аутентификации (далее - ЕСИА) сведений о физических лицах, содержащихся в информационных системах организаций финансового рынка, включая идентификаторы таких сведений, перед использованием ЕБС для аутентификации |
|
ОбработкаУА_КБС |
Для информационных систем финансовых организаций, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц, за исключением единой биометрической системы (далее - КБС): обработка биометрических персональных данных и информации о степени соответствия векторов ЕБС предоставленным биометрическим персональным данным физического лица в КБС (далее - информация о степени соответствия) с использованием мобильных (переносных) устройств вычислительной техники (в том числе планшетов и электронных терминалов), стационарных средств вычислительной техники и банкоматов, принадлежащих организациям финансового рынка, а также с использованием устройств физического лица, оконечных устройств информационных систем, обеспечивающих функционирование контрольно-пропускных пунктов, в целях аутентификации физического лица с использованием биометрических персональных данных |
|
Обработка_КБС |
Для КБС: обработка биометрических персональных данных, а также обработка, в том числе получение и хранение, информации о степени соответствия, векторов ЕБС в КБС в целях аутентификации физического лица, а также для рассмотрения обращений субъектов персональных данных, предполагающих неправомерную обработку их биометрических персональных данных при проведении аутентификации и (или) оспаривающих результаты проведения аутентификации |
|
ПередачаЕСИА_КБС |
Для КБС: предоставление финансовыми организациями в ЕСИА сведений о физических лицах, содержащихся в информационных системах финансовых организаций, включая идентификаторы таких сведений, перед использованием КБС для аутентификации физического лица |
В случае если для указанной автоматизированной системы подходит несколько технологических участков технологического процесса, то следует указать все подходящие коды через символ "-" (прочерк).
2.4.4. Атрибут "Бизнес-функция".
Рекомендуемый перечень бизнес-функций в зависимости от вида деятельности финансовой организации приведен в приложении 2 к настоящим Методическим рекомендациям (далее - Рекомендуемый перечень бизнес-функций).
Если для видов деятельности финансовой организации применима бизнес-функция, указанная в Рекомендуемом перечне бизнес-функций, то атрибут "Бизнес-функция" заполняется с использованием кодов, указанных в столбце "Код" Рекомендуемого перечня бизнес-функций.
В случае отсутствия бизнес-функции в Рекомендуемом перечне бизнес-функций финансовой организации следует указать код, соответствующий расшифровке кода "Иная бизнес-функция", и через символ "-" (прочерк) привести наименование бизнес-функции.
В случае если для указанной автоматизированной системы подходит несколько бизнес-функций, то следует указать все подходящие коды через символ "-" (прочерк).
2.4.5. Атрибут "Функциональное значение системы".
В атрибуте "Функциональное значение системы" указываются функциональное описание и особенности указанной автоматизированной системы. Описание производится в рамках указанной бизнес-функции.
2.4.6. Атрибут "Разработчик автоматизированной системы".
В атрибуте "Разработчик автоматизированной системы" указывается доменное имя сайта компании-разработчика указанной автоматизированной системы в соответствии с официальным сайтом компании-разработчика в информационно-телекоммуникационной сети "Интернет" (далее - сеть "Интернет") без указания домена первого уровня.
2.4.7. Атрибут "Уровень критичности системы".
В атрибуте "Уровень критичности системы" указывается роль указанной автоматизированной системы для финансовой организации с использованием следующих кодов:
|
Код |
Расшифровка кода |
|
Урв1 |
Mission Critical |
|
Урв2 |
Business Critical |
|
Урв3 |
Business Operational |
|
Урв4 |
Office Productivity |
Mission Critical - система, без которой в краткосрочном промежутке времени невозможно функционирование финансовой организации и простой которой приведет к штрафным санкциям со стороны клиентов.
Business Critical - система, простой которой в среднесрочном периоде повлечет за собой финансовые или имиджевые потери финансовой организации, однако в кратковременном промежутке финансовая организация может выполнять свои обязательства перед клиентами с незначительным снижением уровня сервиса.
Business Operational - система, долговременный простой которой создает значительные неудобства пользователям. Внутренние процессы финансовой организации, не направленные на обслуживание клиентов, могут быть заблокированы, при этом отсутствие сервиса в среднесрочном периоде не влечет финансовых либо имиджевых потерь.
Office Productivity - инструментарий эксплуатационных подразделений, простой которых в среднесрочном периоде не отразится на уровне сервиса прочих систем.
2.4.8. Атрибут "Перечень систем - источников данных".
В атрибуте "Перечень систем - источников данных" указывается система, которая является источником данных для указанной автоматизированной системы. При условии отсутствия систем - источников данных следует указать "Не применимо".
В случае если для атрибута подходит несколько систем - источников данных, то следует указать все подходящие системы через символ "-" (прочерк).
2.4.9. Атрибут "Перечень систем - получателей данных".
В атрибуте "Перечень систем - получателей данных" указывается система, которая является получателем данных из указанной автоматизированной системы. При условии отсутствия систем - получателей данных следует указать "Не применимо".
В случае если для атрибута подходит несколько систем - получателей данных, то следует указать все подходящие системы через символ "-" (прочерк).
2.5. Перечень атрибутов для описания ИТ-продукта в указанной автоматизированной системе рекомендуется формировать следующим образом:
|
N п/п |
Наименование атрибута |
Вид объекта информационной инфраструктуры |
|||
|
программное обеспечение |
свободное программное обеспечение (Open Source) |
оборудование |
программно-аппаратный комплекс |
||
|
1 |
Наименование ИТ-продукта |
Для заполнения |
Для заполнения |
Для заполнения |
Для заполнения |
|
2 |
Принадлежность |
Для заполнения |
Для заполнения |
Для заполнения |
Для заполнения |
|
3 |
Резервная инфраструктура |
Для заполнения |
Для заполнения |
Для заполнения |
Для заполнения |
|
4 |
Разработчик ИТ-продукта |
Для заполнения |
Для заполнения |
Для заполнения |
Для заполнения |
|
5 |
Модификация |
Для заполнения |
Для заполнения |
Для заполнения |
Для заполнения |
|
6 |
Класс оборудования |
Не применимо |
Не применимо |
Для заполнения |
Для заполнения |
|
7 |
Класс программного обеспечения |
Для заполнения |
Для заполнения |
Не применимо |
Для заполнения |
|
8 |
Страна |
Для заполнения |
Не применимо |
Для заполнения |
Для заполнения |
|
9 |
Наименование лицензии |
Не применимо |
Для заполнения |
Не применимо |
Не применимо |
|
10 |
Тип лицензии |
Не применимо |
Для заполнения |
Не применимо |
Не применимо |
|
11 |
Архитектура |
Для заполнения |
Для заполнения |
Для заполнения |
Для заполнения |
|
12 |
Количество |
Не применимо |
Не применимо |
Для заполнения |
Для заполнения |
|
13 |
Закупка |
Для заполнения |
Для заполнения |
Для заполнения |
Для заполнения |
|
14 |
Техническая поддержка |
Для заполнения |
Для заполнения |
Для заполнения |
Для заполнения |
|
15 |
Автономность |
Для заполнения |
Для заполнения |
Для заполнения |
Для заполнения |
|
16 |
Обновление |
Для заполнения |
Для заполнения |
Для заполнения |
Для заполнения |
|
17 |
Уязвимости |
Для заполнения |
Для заполнения |
Для заполнения |
Для заполнения |
|
18 |
Управление |
Для заполнения |
Для заполнения |
Для заполнения |
Для заполнения |
|
19 |
Наличие сертификата ФСТЭК России |
Не применимо |
Не применимо |
Не применимо |
Для заполнения |
|
20 |
Номер сертификата ФСТЭК России |
Не применимо |
Не применимо |
Не применимо |
Для заполнения |
|
21 |
Наличие сертификата ФСБ России |
Не применимо |
Не применимо |
Не применимо |
Для заполнения |
|
22 |
Номер сертификата ФСБ России |
Не применимо |
Не применимо |
Не применимо |
Для заполнения |
|
23 |
Номер в реестре Минцифры России |
Для заполнения |
Не применимо |
Не применимо |
Для заполнения |
|
24 |
Номер в реестре Минпромторга России |
Не применимо |
Не применимо |
Для заполнения |
Для заполнения |
|
25 |
Дата внесения в реестр Минцифры России |
Для заполнения |
Не применимо |
Не применимо |
Для заполнения |
2.5.1. Атрибут "Наименование ИТ-продукта".
В атрибуте "Наименование ИТ-продукта" указывается наименование ИТ-продукта, который используется в указанной автоматизированной системе. Значения для атрибута должны выбираться в соответствии со списком "Наименование ИТ-продукта", приведенным в приложении 3 к настоящим Методическим рекомендациям. В случае отсутствия ИТ-продукта в упомянутом списке наименование указывается финансовой организацией самостоятельно в соответствии с полным фирменным наименованием ИТ-продукта, созданного компанией-разработчиком.
В случае если для атрибута подходит несколько значений, то для каждого его значения формируется новое описание объекта информационной инфраструктуры.
2.5.2. Атрибут "Принадлежность".
В атрибуте "Принадлежность" указывается тип разработки с использованием следующих кодов:
|
Код |
Расшифровка кода |
|
Прин1 |
Готовое решение |
|
Прин2 |
Собственная разработка |
|
Прин3 |
Свободное программное обеспечение (Open Source) |
2.5.3. Атрибут "Резервная инфраструктура".
В атрибуте "Резервная инфраструктура" указывается, является ли резервным объект информационной инфраструктуры, указанный в атрибуте "Наименование ИТ-продукта". Атрибут следует заполнять с использованием следующих кодов:
|
Код |
Расшифровка кода |
|
Ри1 |
Да |
|
Ри2 |
Нет |
2.5.4. Атрибут "Разработчик ИТ-продукта".
В атрибуте "Разработчик ИТ-продукта" указывается доменное имя сайта компании-разработчика ИТ-продукта в сети "Интернет", указанного в атрибуте "Наименование ИТ-продукта", без указания домена первого уровня. Примеры для данного атрибута приведены в приложении 3 к настоящим Методическим рекомендациям.
2.5.5. Атрибут "Модификация".
В атрибуте "Модификация" указывается определенная версия программного обеспечения или свободного программного обеспечения (Open Source), указанного в атрибуте "Наименование ИТ-продукта". Для оборудования и программно-аппаратного комплекса указывается стандартный идентификатор промышленного изделия определенной конструкции или его составной части (part number ИТ-продукта). При условии отсутствия версии или part number ИТ-продукта у объекта информационной инфраструктуры следует указать "Не применимо".
2.5.6. Атрибут "Класс оборудования".
В атрибуте "Класс оборудования" указывается соответствующая категория объекта информационной инфраструктуры, указанного в атрибуте "Наименование ИТ-продукта", применимая к оборудованию и программно-аппаратному комплексу, которое используется в указанной автоматизированной системе. Атрибут включает в себя следующие типы объектов информационной инфраструктуры:
аппаратное обеспечение;
сетевое оборудование.
Атрибут "Класс оборудования" заполняется с использованием следующих кодов:
|
Код |
Расшифровка кода |
|
Клсо1 |
Серверное оборудование |
|
Клсо2 |
Система хранения данных |
|
Клсо3 |
Телекоммуникационное оборудование |
|
Клсо4 |
Комплекс защиты от несанкционированного доступа к информации |
|
Клсо5 |
Комплекс управления событиями информационной безопасности |
|
Клсо6 |
Комплекс межсетевых экранов |
|
Клсо7 |
Комплекс фильтрации негативного контента |
|
Клсо8 |
Комплекс антивирусной защиты |
|
Клсо9 |
Комплекс выявления целевых компьютерных атак |
|
Клсо10 |
Комплекс гарантированного уничтожения данных |
|
Клсо11 |
Комплекс обнаружения и предотвращения утечек информации |
|
Клсо12 |
Комплекс криптографической защиты информации и электронной подписи |
|
Клсо13 |
Комплекс защиты каналов передачи данных, в том числе криптографическими методами |
|
Клсо14 |
Комплекс управления доступом к информационным ресурсам |
|
Клсо15 |
Комплекс резервного копирования |
|
Клсо16 |
Комплекс обнаружения и (или) предотвращений вторжений (атак) |
|
Клсо17 |
Комплекс для безопасного хранения и переноса информации |
|
Клсо18 |
Комплекс для однонаправленной передачи информации |
|
Клсо19 |
Комплекс для обеспечения безопасной дистанционной работы |
|
Клсо20 |
Комплекс для обнаружения угроз и расследования инцидентов |
|
Клсо21 |
Комплекс ключевых носителей |
|
Клсо22 |
Комплекс администрирования и управления жизненным циклом ключевых носителей |
|
Клсо23 |
Комплекс средства автоматизации процессов информационной безопасности |
|
Клсо24 |
Комплекс квантовых криптографических систем выработки распределения ключа |
|
Клсо25 |
Комплекс для защиты программного обеспечения от нелегального копирования и использования |
|
Клсо26 |
Комплекс для обеспечения безопасной разработки программного обеспечения |
|
Клсо27 |
Комплекс для безопасного прямого сбора данных с промышленного контура предприятия с последующей предобработкой, конвертацией и передачей их в информационные системы |
|
Клсо28 |
Комплекс для защиты сервисов онлайн-платежей и дистанционного банковского обслуживания (в том числе HSM) |
|
Клсо99 |
Не применимо |
Для объекта информационной инфраструктуры, указанного в атрибуте "Наименование ИТ-продукта", который является программным обеспечением или свободным программным обеспечением (Open Source), следует указать код, соответствующий расшифровке кода "Не применимо".
2.5.7. Атрибут "Класс программного обеспечения".
В атрибуте "Класс программного обеспечения" указывается соответствующая категория объекта информационной инфраструктуры, указанного в атрибуте "Наименование ИТ-продукта", применимая к свободному программному обеспечению (Open Source), программному обеспечению и программному обеспечению в составе программно-аппаратного комплекса, которые используются в указанной автоматизированной системе. Атрибут включает в себя следующие типы объектов информационной инфраструктуры:
сетевые приложения и сервисы;
серверные компоненты виртуализации, программные инфраструктурные сервисы;
операционные системы, системы управления базами данных, сервера приложений.
Атрибут "Класс программного обеспечения" заполняется с использованием следующих кодов:
|
Код |
Расшифровка кода |
|
Клс1 |
Операционные системы |
|
Клс2 |
Системы виртуализации и контейнеризации |
|
Клс3 |
Средства управления базами данных |
|
Клс4 |
Средства управления процессами организации |
|
Клс5 |
Средства разработки программного обеспечения |
|
Клс6 |
Средства обеспечения информационной безопасности |
|
Клс7 |
Средства анализа данных |
|
Клс8 |
Офисные приложения |
|
Клс9 |
Управление ИТ-инфраструктурой |
|
Клс10 |
Информационные системы для решения специфических отраслевых задач |
|
Клс99 |
Не применимо |
Для объекта информационной инфраструктуры, указанного в атрибуте "Наименование ИТ-продукта", который является оборудованием, следует указать код, соответствующий расшифровке кода "Не применимо".
2.5.8. Атрибут "Страна".
В атрибуте "Страна" для компании-разработчика объекта информационной инфраструктуры, указанной в атрибуте "Разработчик ИТ-продукта", следует указать цифровой код страны в соответствии с Общероссийским классификатором стран мира, утвержденным постановлением Госстандарта России от 14.12.2001 N 529-ст.
Для объекта информационной инфраструктуры, указанного в атрибуте "Наименование ИТ-продукта", который является свободным программным обеспечением (Open Source), следует указать "Не применимо".
2.5.9. Атрибут "Наименование лицензии".
В атрибуте "Наименование лицензии" для объекта информационной инфраструктуры, указанного в атрибуте "Наименование ИТ-продукта", являющегося свободным программным обеспечением (Open Source), указывается специализированная лицензия. Примеры для заполнения данного атрибута приведены в приложении 4 к настоящим Методическим рекомендациям.
Для объекта информационной инфраструктуры, указанного в атрибуте "Наименование ИТ-продукта", который не является свободным программным обеспечением (Open Source), следует указать "Не применимо".
2.5.10. Атрибут "Тип лицензии".
В атрибуте "Тип лицензии" для объекта информационной инфраструктуры, являющегося свободным программным обеспечением (Open Source), указывается тип его лицензии. Примеры для заполнения данного атрибута приведены в приложении 5 к настоящим Методическим рекомендациям.
Атрибут "Тип лицензии" заполняется с использованием следующих кодов:
|
Код |
Расшифровка кода |
|
Лиц1 |
Permissive (разрешительные) |
|
Лиц2 |
Weak Copyleft (условный копилефт) |
|
Лиц3 |
Copyleft (копилефт) |
|
Лиц9 |
Не применимо |
Для объекта информационной инфраструктуры, указанного в атрибуте "Наименование ИТ-продукта", который не является свободным программным обеспечением (Open Source), следует указать код, соответствующий расшифровке кода "Не применимо".
2.5.11. Атрибут "Архитектура".
В атрибуте "Архитектура" указывается архитектура с определенным набором инструкций, на которой функционирует объект информационной инфраструктуры, указанный в атрибуте "Наименование ИТ-продукта", с использованием следующих кодов:
|
Код |
Расшифровка кода |
|
Арх1 |
Монолитная архитектура |
|
Арх2.1 |
Двухзвенная архитектура (клиент) |
|
Арх2.2 |
Двухзвенная архитектура (сервер) |
|
Арх3.1 |
Трехзвенная архитектура (клиент) |
|
Арх3.2 |
Трехзвенная архитектура (сервер СУБД) |
|
Арх3.3 |
Трехзвенная архитектура (сервер приложений) |
|
Арх4 |
Микросервисная архитектура |
Монолитная архитектура предполагает размещение всех необходимых компонентов для программного приложения или технологии на одном сервере.
Двухзвенная архитектура предполагает размещение прикладных программ на сервере приложений, а на рабочих станциях - программ клиентов, которые предоставляют для пользователей интерфейс для работы с приложениями.
Трехзвенная архитектура предполагает наличие в архитектурной модели программного комплекса трех типов компонентов: клиентских приложений, серверов приложений и серверов баз данных.
Микросервисная архитектура - сервис-ориентированная архитектура, направленная на взаимодействие связанных и легко изменяемых компонентов, являющихся отдельными сервисами.
В случае если объект информационной инфраструктуры (ИТ-продукт), находящийся в указанной автоматизированной системе, функционирует на одном уровне архитектуры и разных типах компонентов данной архитектуры, то следует указать все подходящие коды через символ "-" (прочерк).
2.5.12. Атрибут "Количество".
В атрибуте "Количество" указывается количество аппаратных и программно-аппаратных средств информационных технологий, указанных в атрибуте "Наименование ИТ-продукта" и задействованных финансовой организацией в указанной автоматизированной системе, с учетом запасов (например, 100-50, где 100 - количество активно применяемых объектов информационной инфраструктуры, 50 - количество запасов для объекта информационной инфраструктуры).
Для объекта информационной инфраструктуры, указанного в атрибуте "Наименование ИТ-продукта", который является программным обеспечением или свободным программным обеспечением (Open Source), следует указать "Не применимо".
2.5.13. Атрибут "Закупка".
В атрибуте "Закупка" указывается возможность закупки объекта информационной инфраструктуры, указанного в атрибуте "Наименование ИТ-продукта", с использованием следующих кодов:
|
Код |
Расшифровка кода |
|
Закуп1 |
Да, посредством официального канала |
|
Закуп2 |
Да, посредством параллельного импорта |
|
Закуп3 |
Не требуется, собственная разработка |
|
Закуп4 |
Не требуется, свободное программное обеспечение |
|
Закуп5 |
Нет возможности |
2.5.14. Атрибут "Техническая поддержка".
В атрибуте "Техническая поддержка" должна указываться возможность осуществления технической поддержки объекта информационной инфраструктуры, указанного в атрибуте "Наименование ИТ-продукта", с использованием следующих кодов:
|
Код |
Расшифровка кода |
|
Поддерж1 |
Да, осуществляется официальным разработчиком |
|
Поддерж2 |
Да, осуществляется сторонней организацией |
|
Поддерж3 |
Да, осуществляется самой финансовой организацией |
|
Поддерж4 |
Нет |
2.5.15. Атрибут "Автономность".
В атрибуте "Автономность" должна указываться возможность работы без подключения к сети "Интернет" с сохранением функционала объекта информационной инфраструктуры, указанного в атрибуте "Наименование ИТ-продукта", с использованием следующих кодов:
|
Код |
Расшифровка кода |
|
Авт1 |
Да |
|
Авт2 |
Нет |
2.5.16. Атрибут "Обновление".
В атрибуте "Обновление" указывается возможность обновления объекта информационной инфраструктуры, указанного в атрибуте "Наименование ИТ-продукта", с использованием следующих кодов:
|
Код |
Расшифровка кода |
|
Обнв1 |
Да, официальный канал |
|
Обнв2 |
Да, посредством параллельного импорта |
|
Обнв3 |
Да, собственная командная разработка |
|
Обнв4 |
Нет |
2.5.17. Атрибут "Уязвимости".
В атрибуте "Уязвимости" указывается возможность устранения известных (описанных) уязвимостей объекта информационной инфраструктуры, указанного в атрибуте "Наименование ИТ-продукта", с использованием следующих кодов:
|
Код |
Расшифровка кода |
|
Уязв1 |
Да |
|
Уязв2 |
Нет |
2.5.18. Атрибут "Управление".
В атрибуте "Управление" указывается наличие известного финансовой организации канала удаленного управления объектом информационной инфраструктуры, указанным в атрибуте "Наименование ИТ-продукта", с использованием следующих кодов:
|
Код |
Расшифровка кода |
|
Упр1 |
Имеется канал удаленного управления. Финансовая организация не имеет возможности шифровать канал |
|
Упр2 |
Имеется канал удаленного управления. Финансовая организация имеет возможность шифровать канал и осуществлять его мониторинг |
|
Упр3 |
Отсутствует канал удаленного управления |
2.5.19. Атрибут "Наличие сертификата ФСТЭК России".
В атрибуте "Наличие сертификата ФСТЭК России" указывается наличие сертификата ФСТЭК России, включенного в Государственный реестр сертифицированных средств защиты информации ФСТЭК России и размещенного на официальном сайте ФСТЭК России в сети "Интернет", у объекта информационной инфраструктуры, указанного в атрибуте "Наименование ИТ-продукта", с использованием следующих кодов:
|
Код |
Расшифровка кода |
|
ФСТЭК1 |
Да |
|
ФСТЭК2 |
Нет |
|
ФСТЭК9 |
Не применимо |
Для объекта информационной инфраструктуры, указанного в атрибуте "Наименование ИТ-продукта", который не является программно-аппаратным комплексом, следует указать код, соответствующий расшифровке кода "Не применимо".
2.5.20. Атрибут "Номер сертификата ФСТЭК России".
В атрибуте "Номер сертификата ФСТЭК России" указывается номер сертификата ФСТЭК России, включенного в Государственный реестр сертифицированных средств защиты информации ФСТЭК России и размещенного на официальном сайте ФСТЭК в сети "Интернет", у объекта информационной инфраструктуры, указанного в атрибуте "Наименование ИТ-продукта". При условии отсутствия сертификата ФСТЭК России следует указать "Отсутствует".
Для объекта информационной инфраструктуры, указанного в атрибуте "Наименование ИТ-продукта", который не является программно-аппаратным комплексом, следует указать "Не применимо".
2.5.21. Атрибут "Наличие сертификата ФСБ России".
В атрибуте "Наличие сертификата ФСБ России" указывается о наличии сертификата ФСБ России, включенного в перечень средств защиты информации, сертифицированных ФСБ России, и размещенного на официальном сайте ФСБ России в сети "Интернет", у объекта информационной инфраструктуры, указанного в атрибуте "Наименование ИТ-продукта", с использованием следующих кодов:
|
Код |
Расшифровка кода |
|
ФСБ1 |
Да |
|
ФСБ2 |
Нет |
|
ФСБ9 |
Не применимо |
Для объекта информационной инфраструктуры, указанного в атрибуте "Наименование ИТ-продукта", который не является программно-аппаратным комплексом, следует указать код, соответствующий расшифровке кода "Не применимо".
2.5.22. Атрибут "Номер сертификата ФСБ России".
В атрибуте "Номер сертификата ФСБ России" указывается номер сертификата ФСБ России, включенного в перечень средств защиты информации, сертифицированных ФСБ России, и размещенного на официальном сайте ФСБ России в сети "Интернет", у объекта информационной инфраструктуры, указанного в атрибуте "Наименование ИТ-продукта". При условии отсутствия сертификата ФСБ России у программно-аппаратного комплекса следует указать "Отсутствует".
Для объекта информационной инфраструктуры, указанного в атрибуте "Наименование ИТ-продукта", который не является программно-аппаратным комплексом, следует указать "Не применимо".
2.5.23. Атрибут "Номер в реестре Минцифры России".
В атрибуте "Номер в реестре Минцифры России" указывается регистрационный номер программного обеспечения или программно-аппаратного комплекса в Едином реестре российских программ для электронных вычислительных машин и баз данных или Едином реестре программ для электронных вычислительных машин и баз данных из государств - членов Евразийского экономического союза, за исключением Российской Федерации, правила формирования и ведения которых утверждены постановлением Правительства Российской Федерации от 16.11.2015 N 1236 "Об установлении запрета на допуск программного обеспечения, происходящего из иностранных государств, для целей осуществления закупок для обеспечения государственных и муниципальных нужд" (далее - реестр Минцифры России). В случае если объект информационной инфраструктуры, указанный в атрибуте "Наименование ИТ-продукта", не внесен в реестр Минцифры России, то в данном атрибуте следует указать "Отсутствует".
Для объекта информационной инфраструктуры, указанного в атрибуте "Наименование ИТ-продукта", который является свободным программным обеспечением (Open Source) или оборудованием, следует указать "Не применимо".
2.5.24. Атрибут "Номер в реестре Минпромторга России".
В атрибуте "Номер в реестре Минпромторга России" указывается реестровый номер оборудования или программно-аппаратного комплекса в Едином реестре российской радиоэлектронной продукции, правила формирования и ведения которого утверждены постановлением Правительства Российской Федерации от 10.07.2019 N 878 "О мерах стимулирования производства радиоэлектронной продукции на территории Российской Федерации при осуществлении закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд, о внесении изменений в постановление Правительства Российской Федерации от 16 сентября 2016 г. N 925 и признании утратившими силу некоторых актов Правительства Российской Федерации", или Реестре российской промышленной продукции, или Реестре евразийской промышленной продукции, порядок формирования и ведения которых утверждены приказом Минпромторга России от 29.05.2020 N 1755 "Об утверждении порядка выдачи Министерством промышленности и торговли Российской Федерации разрешения на закупку происходящего из иностранного государства промышленного товара, положения об отраслевых экспертных советах при Министерстве промышленности и торговли Российской Федерации, порядка формирования и ведения реестра российской промышленной продукции, включая порядок предоставления выписки из него и ее форму, порядка формирования и ведения реестра евразийской промышленной продукции, включая порядок предоставления выписки из него и ее форму". В случае если объект информационной инфраструктуры, указанный в атрибуте "Наименование ИТ-продукта", не внесен в реестр, то в данном атрибуте следует указать "Отсутствует".
Для объекта информационной инфраструктуры, указанного в атрибуте "Наименование ИТ-продукта", который является программным обеспечением или свободным программным обеспечением (Open Source), следует указать "Не применимо".
2.5.25. Атрибут "Дата внесения в реестр Минцифры России".
В атрибуте "Дата внесения в реестр Минцифры России" указывается дата решения о включении сведений о программном обеспечении или программно-аппаратном комплексе в реестр Минцифры России. В случае если объект информационной инфраструктуры, указанный в атрибуте "Наименование ИТ-продукта", не внесен в реестр Минцифры России, то в данном атрибуте следует указать "Отсутствует".
Для объекта информационной инфраструктуры, указанного в атрибуте "Наименование ИТ-продукта", который является свободным программным обеспечением (Open Source) или оборудованием, следует указать "Не применимо".
Глава 3. Заключительные положения
3.1. Настоящие Методические рекомендации подлежат опубликованию в "Вестнике Банка России" и размещению на официальном сайте Банка России в сети "Интернет".
|
Заместитель Председателя |
Г.А. Зубарев |
------------------------------
1 Установлена Указанием Банка России от 14.11.2022 N 6315-У "О формах, сроках и порядке составления и представления в Банк России отчетности страховщиков".
2 Установлена Указанием Банка России от 27.09.2022 N 6269-У "О формах, сроках и порядке составления и представления в Банк России отчетности, в том числе требованиях к отчетности по обязательному пенсионному страхованию, негосударственных пенсионных фондов".
3 Установлена Указанием Банка России от 30.09.2022 N 6282-У "Об объеме, формах, сроках и порядке составления и представления в Банк России отчетности профессиональных участников рынка ценных бумаг, организаторов торговли и клиринговых организаций, а также другой информации".
4 Установлена Указанием Банка России от 05.10.2022 N 6292-У "Об объеме, формах, порядке и сроках составления и представления в Банк России отчетов акционерными инвестиционными фондами, управляющими компаниями инвестиционных фондов, паевых инвестиционных фондов и негосударственных пенсионных фондов".
5 Установлена Указанием Банка России от 21.09.2022 N 6243-У "О порядке и сроках составления и представления в Банк России отчетов операторов инвестиционных платформ, отчетности операторов финансовых платформ, операторов информационных систем, в которых осуществляется выпуск цифровых финансовых активов, и операторов обмена цифровых финансовых активов, форме отчетов операторов инвестиционных платформ и составе включаемых в них сведений, составе и формах отчетности операторов финансовых платформ".
6 Установлена Указанием Банка России от 10.04.2023 N 6406-У "О формах, сроках, порядке составления и представления отчетности кредитных организаций (банковских групп) в Центральный банк Российской Федерации, а также о перечне информации о деятельности кредитных организаций (банковских групп)" (вступает в силу 01.01.2024).
7 Положение Банка России от 17.04.2019 N 683-П "Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента".
8 Положение Банка России от 20.04.2021 N 757-П "Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций".
------------------------------
Приложение 1
к Методическим рекомендациям
по описанию наименований объектов
информационной инфраструктуры
Пример заполнения для кредитной организации или некредитной финансовой организации, которые обязаны соблюдать усиленный или стандартный уровень защиты информации в соответствии с подпунктом 3.1 пункта 3 Положения Банка России от 17.04.2019 N 683-П, подпунктом 1.4.2 или 1.4.3 пункта 1.4 Положения Банка России от 20.04.2021 N 757-П
ТпрКО8|Lеkton Classic|ОУ|БфКО22|Фронт-офисная система учета с использованием пластиковых карт|lekton|Урв1|АС1|АС2|Windows 10|Прин1|Ри2|microsoft|21H2|Клсо99|Клс1|840|Не применимо|Лиц9|Арх3.1|Не применимо|Закуп5|Поддерж4|Авт1|Обнв4|Уязв1|Упр1|ФСТЭК9|Не применимо|ФСБ9|Не применимо|Отсутствует|Не применимо|Отсутствует
Приложение 2
к Методическим рекомендациям
по описанию наименований объектов
информационной инфраструктуры
Рекомендуемый перечень бизнес-функций
|
Код |
Бизнес-функция |
|
Кредитные организации | |
|
БфКО1 |
Интернет-банкинг ФЛ |
|
БфКО2 |
Мобильный банкинг ФЛ |
|
БфКО3 |
Кредитование ФЛ (фронт-офис) |
|
БфКО4 |
Конвертация валют для ФЛ |
|
БфКО5 |
Банковские карты для ФЛ |
|
БфКО6 |
Обслуживание заемщиков, вкладчиков и держателей ПК (ФЛ) |
|
БфКО7 |
CRM (фронт-офис) |
|
БфКО8 |
Инвестпродукты для ФЛ |
|
БфКО9 |
Расчетно-кассовое обслуживание ФЛ |
|
БфКО10 |
KYC |
|
БфКО11 |
Сопровождение сделок ФЛ |
|
БфКО12 |
Кредитный конвейер (ФЛ) |
|
БфКО13 |
Взаимодействие с БКИ (ФЛ) |
|
БфКО14 |
Управление лимитами (ФЛ) |
|
БфКО15 |
CRM (мидл-офис) |
|
БфКО16 |
AML/FATCA/CRS (ФЛ) |
|
БфКО17 |
Кредитный скоринг (ФЛ) |
|
БфКО18 |
Расчет ПДН ФЛ (мидл-офис) |
|
БфКО19 |
Кредитование ФЛ (бэк-офис) |
|
БфКО20 |
Расчет ПДН ФЛ (бэк-офис) |
|
БфКО21 |
Операции заемщиков, вкладчиков и держателей ПК (ФЛ) |
|
БфКО22 |
Платежи и переводы ФЛ |
|
БфКО23 |
Расчеты (ФЛ) |
|
БфКО24 |
Расчетный центр (ФЛ) |
|
БфКО25 |
Интернет-банкинг ЮЛ |
|
БфКО26 |
Мобильный банкинг ЮЛ |
|
БфКО27 |
Мобильный офис клиента (ЮЛ) |
|
БфКО28 |
Кредитование ЮЛ (фронт-офис) |
|
БфКО29 |
Клиентская конверсия |
|
БфКО30 |
Конвертация валют для ЮЛ |
|
БфКО31 |
Банковские карты для ЮЛ |
|
БфКО32 |
Лизинг |
|
БфКО33 |
Обслуживание заемщиков, вкладчиков и держателей ПК (ЮЛ) |
|
БфКО34 |
Расчетно-кассовое обслуживание ЮЛ |
|
БфКО35 |
Клиент-банк |
|
БфКО36 |
Эквайринг |
|
БфКО37 |
Аккредитивы |
|
БфКО38 |
Факторинг |
|
БфКО39 |
Сопровождение сделок ЮЛ |
|
БфКО40 |
Кредитный конвейер (ЮЛ) |
|
БфКО41 |
AML/CRS (ЮЛ) |
|
БфКО42 |
Взаимодействие с БКИ (ЮЛ) |
|
БфКО43 |
Кредитный скоринг (ЮЛ) |
|
БфКО44 |
Управление лимитами (ЮЛ) |
|
БфКО45 |
Расчет ПДН ЮЛ (мидл-офис) |
|
БфКО46 |
Кредитование ЮЛ (бэк-офис) |
|
БфКО47 |
Платежи и переводы ЮЛ |
|
БфКО48 |
Расчет ПДН ЮЛ (бэк-офис) |
|
БфКО49 |
Расчеты (ЮЛ) |
|
БфКО50 |
Операции заемщиков, вкладчиков и держателей ПК (ЮЛ) |
|
БфКО51 |
Расчетный центр (ЮЛ) |
|
БфКО52 |
Инвест-банкинг |
|
БфКО53 |
Монитор платежной позиции (инвест-банкинг) |
|
БфКО54 |
Обеспечение инвест-банкинга |
|
БфКО55 |
Управление лимитами (инвест-банкинг) |
|
БфКО56 |
Конвертация валют (инвест-банкинг) |
|
БфКО57 |
Финансовые активы и обязательства |
|
БфКО58 |
Кадры |
|
БфКО59 |
Управление рисками и комплаенс |
|
БфКО60 |
Корпоративное управление |
|
БфКО61 |
Информационная безопасность |
|
БфКО62 |
IT-инфраструктура |
|
БфКО63 |
Управленческая отчетность |
|
БфКО64 |
Отчетность МСФО |
|
БфКО65 |
Обязательная отчетность ЦБ |
|
БфКО66 |
Аналитическая отчетность |
|
БфКО67 |
Бухгалтерский учет |
|
БфКО68 |
Налоговый учет |
|
БфКО69 |
Административно-хозяйственная деятельность |
|
Негосударственные пенсионные фонды | |
|
БфНПФ1 |
Негосударственное пенсионное обеспечение (НПО) (фронт-офис) |
|
БфНПФ2 |
Обязательное пенсионное страхование (ОПС) (фронт-офис) |
|
БфНПФ3 |
Личный интернет-кабинет и сайт (фронт-офис) |
|
БфНПФ4 |
CRM (фронт-офис) |
|
БфНПФ5 |
Негосударственное пенсионное обеспечение (НПО) (мидл-офис) |
|
БфНПФ6 |
Обязательное пенсионное страхование (ОПС) (мидл-офис) |
|
БфНПФ7 |
Личный интернет-кабинет и сайт (мидл-офис) |
|
БфНПФ8 |
CRM (мидл-офис) |
|
БфНПФ9 |
Назначение и выплата выкупных сумм правопреемникам (наследникам) по договорам ОПС |
|
БфНПФ10 |
Расчет и выплата (перевод в другой НПФ) выкупной суммы или расторжение договора НПО и определение суммы НДФЛ |
|
БфНПФ11 |
Учет движения средств пенсионных резервов |
|
БфНПФ12 |
Назначение и выплата пенсионных накоплений застрахованным лицам по договорам ОПС |
|
БфНПФ13 |
Работа с обращениями и контроль качества предоставляемого сервиса клиентам |
|
БфНПФ14 |
Назначение и выплата негосударственной пенсии по договорам НПО |
|
БфНПФ15 |
Закрытие договора с одновременным определением размера средства ПН, подлежащих переводу / Распоряжения о закрытии договора |
|
БфНПФ16 |
Негосударственное пенсионное обеспечение (НПО) (административное управление) |
|
БфНПФ17 |
Назначение и выплата негосударственной пенсии по договорам НПО |
|
БфНПФ18 |
Назначение и выплата выкупных сумм вкладчикам (ЮЛ) по договорам НПО |
|
БфНПФ19 |
Сопровождение договоров с партнерами |
|
БфНПФ20 |
Информационное сопровождение операций по постпродажному обслуживанию |
|
БфНПФ21 |
Расчет и выплата (перевод в другой НПФ) выкупной суммы при расторжении договора НПО и определение суммы НДФЛ |
|
БфНПФ22 |
Доверительное управление пенсионными накоплениями (ПН) и пенсионными резервами (ПР) |
|
БфНПФ23 |
Лицевые счета |
|
БфНПФ24 |
Система электронного документооборота |
|
БфНПФ25 |
Платежные документы |
|
БфНПФ26 |
Передача средств пенсионных резервов управляющей организации |
|
БфНПФ27 |
Размещение средств пенсионных резервов |
|
БфНПФ28 |
Движение денежных средств по расчетным брокерским и депозитным счетам Фонда |
|
БфНПФ29 |
Отчет о результатах деятельности Фонда (ежедневный) |
|
БфНПФ30 |
Вывод средств пенсионных резервов и собственных средств Фонда из доверительного управления |
|
БфНПФ31 |
Доверительное управление ПР |
|
БфНПФ32 |
Самостоятельное размещение ПР |
|
БфНПФ33 |
Аутентификация и идентификация клиентов |
|
БфНПФ34 |
Формирование финансовых реестров для передачи средства ПН в НПФ (СФР) и реестра документов для формирования платежных поручений |
|
БфНПФ35 |
Закрытие договора с одновременным определением размера средства ПН, подлежащих переводу |
|
БфНПФ36 |
Получение и загрузка Уведомления о внесении изменений в ЕРЗЛ |
|
БфНПФ37 |
Передача реестра документов для формирования платежных поручений в отдел бухгалтерии |
|
БфНПФ38 |
Передача созданных финансовых реестров в другие НПФ и СФР |
|
БфНПФ39 |
Персонифицированный учет средств пенсионных накоплений (ПН) |
|
БфНПФ40 |
Надзорная отчетность |
|
БфНПФ41 |
Операционная отчетность |
|
БфНПФ42 |
Расчет и начисление на пенсионные счета дохода от размещения средств пенсионных резервов |
|
БфНПФ43 |
Расчет прогноза пенсионных выплат |
|
БфНПФ44 |
Финансы и обязательная отчетность |
|
БфНПФ45 |
Бухгалтерский учет |
|
БфНПФ46 |
Налоговый учет |
|
БфНПФ47 |
Административно-хозяйственная деятельность |
|
БфНПФ48 |
IT/Платформа |
|
БфНПФ49 |
Проведение актуарного оценивания |
|
БфНПФ50 |
Управление собственными средствами |
|
БфНПФ51 |
Аутентификация и идентификация клиентов |
|
БфНПФ52 |
Управление стратегией инвестирования пенсионных активов и взаимодействие с ДУ |
|
БфНПФ53 |
Информационная безопасность |
|
БфНПФ54 |
Управление рисками и комплаенс |
|
БфНПФ55 |
Кадры |
|
БфНПФ56 |
Управление ПОД/ФТ и ФРОМ |
|
БфНПФ57 |
Внутренний контроль |
|
БфНПФ58 |
Управление процессами |
|
БфНПФ59 |
Документооборот |
|
БфНПФ60 |
Управленческая отчетность |
|
БфНПФ61 |
Обязательная отчетность ЦБ |
|
БфНПФ62 |
Аналитическая отчетность |
|
БфНПФ63 |
IT-инфраструктура |
|
Страховые организации | |
|
БфСК1 |
Агентский канал |
|
БфСК2 |
Офисный канал |
|
БфСК3 |
Цифровой канал |
|
БфСК4 |
Партнерский канал |
|
БфСК5 |
Заключение договоров страхования |
|
БфСК6 |
Сопровождение договоров страхования (фронт-офис) |
|
БфСК7 |
CRM |
|
БфСК8 |
Котировка |
|
БфСК9 |
Андеррайтинг |
|
БфСК10 |
Сопровождение договоров страхования (мидл-офис) |
|
БфСК11 |
Маркетинг |
|
БфСК12 |
Взаимодействие с партнерами (ЛПУ, ассистансы, СТОА, сервисные провайдеры) |
|
БфСК13 |
Разработка новых продуктов, услуг |
|
БфСК14 |
Перестрахование и сострахование |
|
БфСК15 |
Управление проблемными активами и судебными процессами |
|
БфСК16 |
Урегулирование убытков |
|
БфСК17 |
Управление БСО |
|
БфСК18 |
Учет договоров страхования |
|
БфСК19 |
Управление взаимоотношениями с агентами/партнерами (агентские договоры, расчет и выплата комиссий) |
|
БфСК20 |
Планирование и контроль продаж |
|
БфСК21 |
Управление имуществом и АХД |
|
БфСК22 |
Управленческая отчетность |
|
БфСК23 |
Аналитическая отчетность |
|
БфСК24 |
Отчетность МСФО |
|
БфСК25 |
Надзорная отчетность |
|
БфСК26 |
Бухгалтерский учет |
|
БфСК27 |
Налоговый учет |
|
БфСК28 |
Учет ПКД (первичной документации) / Архив |
|
БфСК29 |
Планирование и контроль исполнения бюджетов |
|
БфСК30 |
Казначейство |
|
БфСК31 |
Документооборот |
|
БфСК32 |
Управление инвестициями |
|
БфСК33 |
Информационная безопасность |
|
БфСК34 |
IT-инфраструктура |
|
БфСК35 |
Кадры |
|
БфСК36 |
Управление рисками и комплаенс |
|
БфСК37 |
Обязательная отчетность ЦБ |
|
БфСК38 |
Административно-хозяйственная деятельность |
|
Некредитные финансовые организации, осуществляющие деятельность организатора торговли, центрального депозитария, клиринговую деятельность и деятельность по осуществлению функций центрального контрагента | |
|
БфИФР1 |
Предоставление Участниками клиринга ценных бумаг/денежных средств, необходимых для исполнения обязательств, возникших из Договоров c наступившими Датами исполнения (каналы) |
|
БфИФР2 |
Дистанционное клиринговое обслуживание |
|
БфИФР3 |
Направление поручения на зачисление, перевод, списание ценных бумаг, являющегося клиринговым обеспечением ИКО (каналы) |
|
БфИФР4 |
Направление поручения на возврат денежных средств, являющегося клиринговым обеспечением ИКО (каналы) |
|
БфИФР5 |
Прием и обработка зачислений/выводов денежных средств в Гарантийный фонд (ККО) (каналы) |
|
БфИФР6 |
Зачисление, перевод денежных средств, являющихся клиринговым обеспечением ИКО (каналы) |
|
БфИФР7 |
Определение обязательств |
|
БфИФР8 |
Регистрация клиентов |
|
БфИФР9 |
Направление поручения на зачисление, перевод, списание ценных бумаг, являющегося клиринговым обеспечением ИКО (фронт-офис) |
|
БфИФР10 |
Депозитарная деятельность, включая деятельность центрального депозитария (фронт-офис) |
|
БфИФР11 |
Направление поручения на возврат денежных средств, являющегося клиринговым обеспечением ИКО (фронт-офис) |
|
БфИФР12 |
Прием и обработка зачислений/выводов денежных средств в Гарантийный фонд (ККО) (фронт-офис) |
|
БфИФР13 |
Зачисление, перевод денежных средств, являющихся клиринговым обеспечением ИКО (фронт-офис) |
|
БфИФР14 |
Депозитарная деятельность, включая деятельность центрального депозитария (мидл-офис) |
|
БфИФР15 |
Направление поручения на зачисление, перевод, списание ценных бумаг, являющегося клиринговым обеспечением ИКО (мидл-офис) |
|
БфИФР16 |
Направление поручения на возврат денежных средств, являющегося клиринговым обеспечением ИКО (мидл-офис) |
|
БфИФР17 |
Прием и обработка зачислений/выводов денежных средств в Гарантийный фонд (ККО) (мидл-офис) |
|
БфИФР18 |
Зачисление, перевод денежных средств, являющихся клиринговым обеспечением ИКО (мидл-офис) |
|
БфИФР19 |
Формирование клирингового пула по договорам, заключаемым с участием и без участия Центрального контрагента |
|
БфИФР20 |
Предоставление Участниками клиринга ценных бумаг/денежных средств, необходимых для исполнения обязательств, возникших из Договоров c наступившими Датами исполнения (бэк-офис) |
|
БфИФР21 |
Определение итоговых нетто-обязательств и нетто-требований по обязательствам, возникшим из Договоров c наступившими Датами исполнения |
|
БфИФР22 |
Определение итоговых нетто-обязательств и нетто-требований по денежным средствам |
|
БфИФР23 |
Учет сделок ЦК и исполнение обязательств |
|
БфИФР24 |
Направление поручения на зачисление, перевод, списание ценных бумаг, являющегося клиринговым обеспечением ИКО (бэк-офис) |
|
БфИФР25 |
Главная книга |
|
БфИФР26 |
Направление поручения на возврат денежных средств, являющегося клиринговым обеспечением ИКО (бэк-офис) |
|
БфИФР27 |
Проведение расчетов по итоговым нетто-обязательствам и нетто-требованиям, определенным по обязательствам, возникшим из Договоров c наступившими Датами исполнения по всем сформированным клиринговым пулам |
|
БфИФР28 |
Ведение реестра внебиржевых договоров (бэк-офис) |
|
БфИФР29 |
Прием и обработка зачислений/выводов денежных средств в Гарантийный фонд (ККО) (бэк-офис) |
|
БфИФР30 |
Зачисление, перевод денежных средств, являющихся клиринговым обеспечением ИКО (бэк-офис) |
|
БфИФР31 |
Организация торгов (аналитика и отчетность) |
|
БфИФР32 |
Определение подлежащих исполнению обязательств |
|
БфИФР33 |
Совершение действий, направленных на исполнение подлежащих исполнению обязательств |
|
БфИФР34 |
Раскрытие информации |
|
БфИФР35 |
Направление поручения на возврат имущества, являющегося клиринговым обеспечением |
|
БфИФР36 |
Организация торгов (экономика и финансы) |
|
БфИФР37 |
Ведение реестра участников торгов и их клиентов |
|
БфИФР38 |
Ведение реестра заявок |
|
БфИФР39 |
Ведение реестра заключенных на организованных торгах договоров |
|
БфИФР40 |
Ведение реестра внебиржевых договоров (экономика и финансы) |
|
БфИФР41 |
Информационная безопасность |
|
БфИФР42 |
Документооборот |
|
БфИФР43 |
Финансовые активы и обязательства |
|
БфИФР44 |
Управление рисками и комплаенс |
|
БфИФР45 |
Кадры |
|
БфИФР46 |
IT-инфраструктура |
|
БфИФР47 |
Управленческая отчетность |
|
БфИФР48 |
Обязательная отчетность ЦБ |
|
БфИФР49 |
Аналитическая отчетность |
|
БфИФР50 |
Бухгалтерский учет |
|
БфИФР51 |
Налоговый учет |
|
БфИФР52 |
Административно-хозяйственная деятельность |
|
Иная бизнес-функция | |
|
БфФО99 |
Иная бизнес-функция |
Список используемых сокращений:
ФЛ - физическое лицо
ЮЛ - юридическое лицо
ПК - пластиковая карта
CRM - управление взаимоотношениями с клиентами
KYC - знай своего клиента
ЦБ - Центральный банк Российской Федерации
AML - противодействие отмыванию денег
FATCA - закон о налогообложении иностранных счетов
CRS - единый стандарт отчетности
БКИ - бюро кредитных историй
ПДН - показатель долговой нагрузки
МСФО - международные стандарты финансовой отчетности
НПО - негосударственное пенсионное обеспечение
ОПС - обязательное пенсионное страхование
ПН - пенсионные накопления
ПР - пенсионные резервы
НПФ - негосударственный пенсионный фонд
СФР - Социальный фонд России
ЕРЗЛ - единый регистр застрахованных лиц
ДУ - доверительный управляющий
ПОД/ФТ и ФРОМ - предупреждение легализации (отмывания) доходов, полученных преступным путем, финансирования терроризма и финансирования распространения оружия массового уничтожения
ЛПУ - лечебно-профилактические учреждения
СТОА - станция технического обслуживания автомобилей
БСО - бланк строгой отчетности
АХД - анализ хозяйственной деятельности
ПКД - процентный купонный доход/пенсионный капитал
ИКО - индивидуальное клиринговое обеспечение
ККО - коллективное клиринговое обеспечение
ЦК - центральный контрагент
Приложение 3
к Методическим рекомендациям
по описанию наименований объектов
информационной инфраструктуры
Примеры компаний разработчиков и их ИТ-продуктов
|
Наименование (доменное имя) разработчика ИТ-продукта |
Наименование ИТ-продукта |
|
apache |
Tomcat |
|
avaya |
Elite Multichannel |
|
canonical |
Ubuntu |
|
cisco |
ASR1001-X |
|
cisco |
C93180YC-FX |
|
dell |
PowerEdge R630 |
|
dell |
XC6320-6 |
|
elastic |
ElasticSearch |
|
hpe |
ProLiant DL 380e |
|
hpe |
HP-UX |
|
hitachi |
HNAS 4080 |
|
hitachi |
VSP G700 |
|
jetbrains |
DataGrip |
|
microsoft |
Windows 10 |
|
microsoft |
Windows Server 2019 |
|
microsoft |
SQL Server 2016 |
|
centos |
Centos |
|
oracle |
Database |
|
paloaltonetworks |
PA-5220 |
|
redhat |
Red Hat Enterprise Linux |
|
vmware |
ESXi |
|
1c |
1С: Предприятие |
|
cryptopro |
CSP |
Приложение 4
к Методическим рекомендациям
по описанию наименований объектов
информационной инфраструктуры
Примеры лицензий свободного программного обеспечения (Open Source)
|
Наименование свободного программного обеспечения |
Наименование лицензии |
|
Ansible |
GPLv3 |
|
Cassandra |
Apache License 2.0 |
|
ActiveMQ |
Apache License 2.0 |
|
Tomcat |
Apache License 2.0 |
|
Hadoop |
Apache License 2.0 |
|
Zookeper |
Apache License 2.0 |
|
Spark |
Apache License 2.0 |
|
CentOS |
GPLv2 |
|
Kubernetes |
Apache License 2.0 |
|
Prometheus |
Apache License 2.0 |
|
Docker |
Apache License 2.0 |
|
ElasticSearch |
Server Side Public License |
|
Kibana |
Apache License 2.0 |
|
Enterprise Data Hub |
Apache License 2.0 |
|
LogStash |
Apache License 2.0 |
|
Gitlab |
MIT License |
|
AngularJS |
MIT License |
|
Grafana |
AGPLv3 |
|
Greenplum Database |
Apache License 2.0 |
|
Istio |
Apache License 2.0 |
|
RabbitMQ |
Mozilla Public License |
|
Jenkins |
MIT License |
|
MongoDB |
Server Side Public License |
|
MariaDB |
GPLv2 |
|
MySQL |
GPLv2 |
|
ClickHouse |
Apache License 2.0 |
|
Zabbix |
GPLv2 |
|
PostgreSQL |
PostgreSQL License |
|
FreeBSD |
2-clouse BSD |
Приложение 5
к Методическим рекомендациям
по описанию наименований объектов
информационной инфраструктуры
Примеры лицензий свободного программного обеспечения (Open Source) и типов этих лицензий
|
Наименование лицензии |
Тип лицензии |
Код |
|
2-clouse BSD |
Permissive (разрешительные) |
Лиц1 |
|
3-clouse BSD |
Permissive (разрешительные) |
Лиц1 |
|
MIT License |
Permissive (разрешительные) |
Лиц1 |
|
Apache License 2.0 |
Permissive (разрешительные) |
Лиц1 |
|
ISC license |
Permissive (разрешительные) |
Лиц1 |
|
LGPLv3 |
Weak Copyleft (условный копилефт) |
Лиц2 |
|
LGPLv2.1 |
Weak Copyleft (условный копилефт) |
Лиц2 |
|
Mozilla Public License 1.1 |
Weak Copyleft (условный копилефт) |
Лиц2 |
|
SUN Public Licensee 1.0 |
Weak Copyleft (условный копилефт) |
Лиц2 |
|
GPLv2 |
Copyleft (копилефт) |
Лиц3 |
|
GPLv3 |
Copyleft (копилефт) |
Лиц3 |
|
AGPLv3 |
Copyleft (копилефт) |
Лиц3 |
|
Eclipse Public License |
Copyleft (копилефт) |
Лиц3 |
|
IBM Public License |
Copyleft (копилефт) |
Лиц3 |
|
Server Side Public License |
Copyleft (копилефт) |
Лиц3 |
|
Open Software License |
Copyleft (копилефт) |
Лиц3 |
Вы можете открыть актуальную версию документа прямо сейчас.
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Банк России разработал рекомендации по описанию наименований объектов информационной инфраструктуры. Это необходимо для представления сведений о выявленных инцидентах операционной надежности, а также для заполнения в отчетности графы "Наименование объекта информационной инфраструктуры", группы аналитических признаков "Наименование объекта информатизации" и показателя "Информация об автоматизированных системах и приложениях". Помимо прочего, дана расшифровка указываемых атрибутов.
Методические рекомендации Банка России от 20 декабря 2023 г. N 18-МР "По описанию наименований объектов информационной инфраструктуры"
Опубликование:
сайт Банка России (cbr.ru) 22 декабря 2023 г.
Вестник Банка России, 29 декабря 2023 г. N 78