Вход
- Главная
- Проект Положения Банка России "Об обязательных для кредитных организаций, иностранных банков, осуществляющих деятельность на территории Российской Федерации через свои филиалы, требованиях к операционной надежности при осуществлении банковской деятельности в целях обеспечения непрерывности оказания банковских услуг" (по состоянию на 3 октября 2024 г.)
Проект Положения Банка России "Об обязательных для кредитных организаций, иностранных банков, осуществляющих деятельность на территории Российской Федерации через свои филиалы, требованиях к операционной надежности при осуществлении банковской деятельности в целях обеспечения непрерывности оказания банковских услуг" (по состоянию на 3 октября 2024 г.)
Настоящее Положение на основании статьи 57 5 Федерального закона от 10 июля 2002 года N 86-ФЗ "О Центральном банке Российской Федерации (Банке России)" 1 устанавливает обязательные для кредитных организаций, иностранных банков, осуществляющих деятельность на территории Российской Федерации через свои филиалы, требования к операционной надежности при осуществлении банковской деятельности в целях обеспечения непрерывности оказания банковских услуг.
1. Кредитные организации, за исключением центрального контрагента в значении, установленном пунктом 17 статьи 2 Федерального закона от 7 февраля 2011 года N 7-ФЗ "О клиринге, клиринговой деятельности и центральном контрагенте", и центрального депозитария в значении, установленном в статье 2 Федерального закона от 7 декабря 2011 года N 414-ФЗ "О центральном депозитарии" (далее - кредитные организации), иностранные банки, осуществляющие деятельность на территории Российской Федерации через свои филиалы (далее - филиалы иностранных банков), должны обеспечить операционную надежность при осуществлении банковской деятельности с использованием автоматизированных систем, программного обеспечения, средств вычислительной техники, телекоммуникационного оборудования (далее - объекты информационной инфраструктуры) путем обеспечения непрерывности выполнения технологических процессов, указанных в приложении 1 к настоящему Положению (далее - технологические процессы), с соблюдением порогового уровня допустимого времени простоя и (или) нарушения технологических процессов, приводящих к неоказанию или ненадлежащему оказанию банковских услуг (далее - пороговый уровень допустимого времени простоя и (или) деградации технологических процессов кредитных организаций, филиалов иностранных банков) при: возникновении отказов и (или) нарушений функционирования объектов информационной инфраструктуры и (или) несоответствии их функциональных возможностей и характеристик потребностям кредитных организаций, филиалов иностранных банков (далее - сбои объектов информационной инфраструктуры);
реализации киберриска, предусмотренного абзацем вторым пункта 7.2 Положения Банка России от 8 апреля 2020 года N 716-П "О требованиях к системе управления операционным риском в кредитной организации и банковской группе" 2 (далее - Положение Банка России N 716-П);
реализации риска преднамеренных действий со стороны работников филиалов иностранных банков и (или) третьих лиц с использованием программных и (или) программно-аппаратных средств, направленных на объекты информационной инфраструктуры филиала иностранного банка в целях нарушения и (или) прекращения их функционирования и (или) создания угрозы безопасности информации, подготавливаемой, обрабатываемой и хранимой такими объектами, а также в целях несанкционированного присвоения, хищения, изменения, удаления данных и иной информации (структуры данных, параметров и характеристик систем, программного кода) и нарушения режима доступа.
Кредитные организации должны выполнять установленные настоящим Положением требования к операционной надежности при осуществлении банковской деятельности в целях обеспечения непрерывности оказания банковских услуг (далее - требования к операционной надежности) с учетом требований к системе управления операционным риском, установленных Положением Банка России N 716-П.
2. Кредитные организации, филиалы иностранных банков в рамках обеспечения операционной надежности должны обеспечить непревышение предусмотренных приложением 1 к настоящему Положению значений порогового уровня допустимого времени простоя и (или) деградации технологических процессов кредитных организаций, филиалов иностранных банков.
Кредитные организации, признанные значимыми на рынке платежных услуг в соответствии с абзацем 6 пункта 2 Указания Банка России от 6 ноября 2014 года N 3439-У "О порядке признания Банком России кредитных организаций значимыми на рынке платежных услуг" 3 (далее - Указание Банка России N 3439-У), должны обеспечить непревышение предусмотренных приложением 1 к настоящему Положению значений порогового уровня допустимого времени простоя и (или) деградации технологических процессов кредитных организаций для кредитных организаций, признанных значимыми на рынке платежных услуг в соответствии Указанием Банка России N 3439-У, не позднее шести месяцев после того, как были признаны кредитными организациями, значимыми на рынке платежных услуг, в соответствии Указанием Банка России N 3439-У.
Кредитные организации, филиалы иностранных банков ежеквартально должны определять во внутренних документах для каждого технологического процесса планируемую продолжительность времени работы (функционирования) технологических процессов в течение следующего квартала.
При определении планируемой продолжительности времени работы (функционирования) технологических процессов в расчет не включаются периоды времени плановых технологических операций, связанных с приостановлением (частичным приостановлением) технологических процессов и проводимых в соответствии с внутренними документами кредитных организаций, филиалов иностранных банков.
3. Кредитные организации с учетом требований главы 5 Положения Банка России N 716-П должны установить во внутренних документах для каждого технологического процесса и соблюдать сигнальные и контрольные значения, предусмотренные пунктом 5.1 Положения Банка России N 716-П, для следующих контрольных показателей уровня операционного риска для целей обеспечения операционной надежности (далее - контрольные показатели операционной надежности):
допустимого отношения общего количества банковских операций и иных операций, осуществляемых в рамках технологического процесса, совершенных во время нарушений технологических процессов, приводящих к неоказанию или ненадлежащему оказанию банковских услуг (далее - деградация технологического процесса), в рамках события операционного риска или серии связанных событий операционного риска, вызванных информационными угрозами и (или) сбоями объектов информационной инфраструктуры, которые привели к неоказанию или ненадлежащему оказанию банковских услуг (далее - инцидент операционной надежности), к ожидаемому количеству банковских операций и иных операций, осуществляемых в рамках технологических процессов, за тот же период в случае непрерывного оказания банковских услуг, установленного кредитной организацией (далее - допустимая доля деградации технологического процесса);
допустимого времени простоя и (или) деградации технологических процессов кредитных организаций в рамках инцидента операционной надежности (в случае несоблюдения сигнального значения допустимой доли деградации технологического процесса);
допустимого суммарного времени простоя и (или) деградации технологического процесса кредитных организаций (в случае несоблюдения сигнального значения допустимой доли деградации технологического процесса) в течение очередного календарного года.
Сигнальное и контрольное значения допустимой доли деградации технологического процесса должны устанавливаться кредитной организацией на основании статистических данных за период не менее двенадцати календарных месяцев, предшествующих дате определения сигнального и контрольного значений контрольного показателя операционной надежности, за исключением случая, предусмотренного абзацем седьмым настоящего пункта, и (или) иных данных, обосновывающих установление указанных значений допустимой доли деградации технологического процесса (по выбору кредитных организаций).
В случае если технологический процесс функционирует менее двенадцати календарных месяцев, кредитные организации должны устанавливать сигнальное и контрольное значения допустимой доли деградации технологического процесса на основании статистических данных за период с даты начала его функционирования и (или) иных данных, обосновывающих установление указанных значений допустимой доли деградации технологического процесса (по выбору кредитных организаций).
При установлении сигнального и контрольного значений допустимой доли деградации технологического процесса кредитные организации должны установить сигнальное и контрольное значения не ниже значений, предусмотренных приложением 2 к настоящему Положению.
Контрольное значение контрольного показателя операционной надежности, указанного в абзаце третьем настоящего пункта, устанавливается кредитными организациями не выше значений, предусмотренных приложением 1 к настоящему Положению.
Кредитные организации, признанные значимыми на рынке платежных услуг в соответствии с абзацем шестым пункта 2 Указания Банка России N 3439-У, должны обеспечить установление и соблюдение предусмотренных приложением 2 к настоящему Положению сигнальных и контрольных значений допустимой доли деградации технологических процессов кредитных организаций для кредитных организаций, признанных значимыми на рынке платежных услуг в соответствии Указанием Банка России N 3439- У, не позднее шести месяцев после того, как были признаны кредитными организациями, значимыми на рынке платежных услуг, в соответствии Указанием Банка России N 3439-У.
4. В случаях несоблюдения в течение временного периода более пяти минут сигнального значения допустимой доли деградации технологических процессов кредитные организации должны обеспечить фиксацию:
фактического времени простоя и (или) деградации технологического процесса, исчисляемого по каждому инциденту операционной надежности (с момента нарушения технологического процесса, приводящего к неоказанию или ненадлежащему оказанию банковских услуг, в связи с возникновением события или серии связанных событий, вызванных информационными угрозами и (или) сбоями объектов информационной инфраструктуры, до момента восстановления технологического процесса);
фактической доли деградации технологического процесса в рамках отдельного инцидента операционной надежности;
суммарного времени простоя и (или) деградации технологического процесса за последние двенадцать календарных месяцев.
В случаях простоя технологических процессов филиалов иностранных банков в течение временного периода, превышающего значения порогового уровня допустимого времени простоя и (или) деградации технологических процессов, предусмотренных приложением 1 к настоящему Положению, филиалы иностранных банков должны обеспечить фиксацию фактического времени простоя технологического процесса (с момента нарушения технологического процесса, приводящего к неоказанию банковских услуг, в связи с возникновением события или серии связанных событий, вызванных информационными угрозами и (или) сбоями объектов информационной инфраструктуры, до момента восстановления технологического процесса).
При определении времени простоя и (или) деградации технологических процессов в расчет не включаются периоды времени плановых технологических операций, связанных с приостановлением (частичным приостановлением) технологических процессов и проводимых в соответствии с внутренними документами кредитных организаций, филиалов иностранных банков.
5. Кредитные организации должны не реже одного раза в год проводить анализ необходимости пересмотра значений контрольных показателей операционной надежности.
6. Кредитные организации с учетом требований к управлению риском информационной безопасности и риском информационных систем,
определенных главами 7 и 8 Положения Банка России N 716-П, филиалы иностранных банков должны разработать во внутренних документах и выполнять требования к операционной надежности, которые включают в себя:
требования к порядку определения значений контрольных показателей операционной надежности и обеспечению контроля за их соблюдением;
требования к идентификации состава элементов, указанных в подпункте 6.1 настоящего пункта;
требования к управлению изменениями элементов, указанных в подпункте 6.1 настоящего пункта;
требования к выявлению, регистрации инцидентов операционной надежности и реагированию на них, а также восстановлению выполнения технологических процессов и функционирования объектов информационной инфраструктуры после реализации указанных инцидентов;
требования к взаимодействию с третьими лицами (внешними подрядчиками, контрагентами, участниками банковской группы), оказывающими услуги в сфере информационных технологий, связанные с выполнением технологических процессов (далее - поставщики услуг в сфере информационных технологий);
требования к тестированию операционной надежности технологических процессов;
требования к принятию мер, направленных на нейтрализацию информационных угроз, обусловленных несанкционированным доступом к объектам информационной инфраструктуры работников кредитных организаций, филиалов иностранных банков или работников поставщиков услуг в сфере информационных технологий, обладающих полномочиями доступа к объектам информационной инфраструктуры (далее - внутренний нарушитель);
требования к обеспечению осведомленности кредитных организаций,
филиалов иностранных банков об актуальных информационных угрозах, которые могут привести к инцидентам операционной надежности.
6.1. Кредитные организации, филиалы иностранных банков должны обеспечивать организацию учета и контроля состава следующих элементов (далее при совместном упоминании - критичная архитектура):
технологических процессов, реализуемых непосредственно кредитными организациями, филиалами иностранных банков;
подразделений (работников) кредитных организаций, филиалов иностранных банков, ответственных за разработку технологических процессов, поддержание их выполнения, реализацию технологических процессов (далее - подразделения кредитных организаций, филиалов иностранных банков);
объектов информационной инфраструктуры кредитных организаций, филиалов иностранных банков, задействованных при выполнении каждого технологического процесса;
технологических участков, предусмотренных нормативным актом Банка России, принятым на основании статьи 57 4 Федерального закона от 10 июля 2002 года N 86-ФЗ "О Центральном банке Российской Федерации (Банке России)", в рамках технологических процессов (далее - технологические участки технологических процессов), реализуемых непосредственно кредитными организациями, филиалами иностранных банков;
технологических процессов, технологических участков
технологических процессов, реализуемых поставщиками услуг в сфере информационных технологий;
работников кредитных организаций, филиалов иностранных банков или иных лиц, осуществляющих физический и (или) логический доступ, или программных сервисов, осуществляющих логический доступ к объектам информационной инфраструктуры (далее - субъекты доступа), задействованных при выполнении каждого технологического процесса;
взаимосвязей и взаимозависимостей кредитных организаций, филиалов иностранных банков с иными кредитными организациями, филиалами иностранных банков, некредитными финансовыми организациями, поставщиками услуг в сфере информационных технологий в рамках выполнения технологических процессов (далее при совместном упоминании - участники технологического процесса);
каналов передачи защищаемой информации, перечень которой установлен нормативным актом Банка России, принятым на основании статьи 57 4 Федерального закона от 10 июля 2002 года N 86-ФЗ "О Центральном банке Российской Федерации (Банке России)", обрабатываемой и передаваемой в рамках технологических процессов участниками технологического процесса.
В целях организации учета и контроля состава технологических процессов, технологических участков технологических процессов, реализуемых поставщиками услуг в сфере информационных технологий, кредитные организации, филиалы иностранных банков должны вести отдельный реестр в соответствии с внутренними документами.
Кредитные организации в отношении элементов, указанных в подпункте 6.1 настоящего пункта, являющихся значимыми объектами критической информационной инфраструктуры в соответствии с пунктом 3 статьи 2 Федерального закона N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации" 4 (далее - Федеральный закон N 187-ФЗ), должны выполнять требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры, установленные в соответствии с пунктом 4 части 3 статьи 6 Федерального закона N 187-ФЗ 5.
6.2. Кредитные организации, филиалы иностранных банков должны обеспечивать выполнение следующих требований к управлению изменениями критичной архитектуры:
организацию и выполнение процедур управления изменениями в критичной архитектуре, включая планирование и внедрение изменений в критичной архитектуре, направленных на обеспечение недопустимости неоказания или ненадлежащего оказания банковских услуг;
управление конфигурациями (настраиваемыми параметрами) объектов информационной инфраструктуры;
управление уязвимостями и обновлениями (исправлениями) объектов информационной инфраструктуры.
6.3. Кредитные организации, филиалы иностранных банков должны обеспечивать выполнение следующих требований к выявлению, регистрации инцидентов операционной надежности и реагированию на них, а также восстановлению выполнения технологических процессов и функционирования объектов информационной инфраструктуры после реализации таких инцидентов:
выявление и регистрация инцидентов операционной надежности;
реагирование на инциденты операционной надежности в отношении критичной архитектуры;
восстановление функционирования технологических процессов и объектов информационной инфраструктуры после реализации инцидентов операционной надежности;
проведение анализа причин и последствий реализации инцидентов операционной надежности;
организация взаимодействия между подразделениями кредитных организаций, филиалов иностранных банков, а также между кредитными организациями, филиалами иностранных банков и Банком России, иными участниками технологического процесса в рамках реагирования на инциденты операционной надежности и восстановления выполнения технологических процессов и функционирования объектов информационной инфраструктуры после реализации инцидентов операционной надежности.
6.4. Кредитные организации, филиалы иностранных банков должны обеспечивать выполнение следующих требований к взаимодействию с поставщиками услуг в сфере информационных технологий:
принятие мер, направленных на нейтрализацию информационных угроз, связанных с привлечением поставщиков услуг в сфере информационных технологий, в том числе защита объектов информационной инфраструктуры от возможной реализации информационных угроз со стороны поставщиков услуг в сфере информационных технологий;
принятие мер, направленных на нейтрализацию информационных угроз, обусловленных технологической зависимостью функционирования объектов информационной инфраструктуры кредитных организаций, филиалов иностранных банков от поставщиков услуг в сфере информационных технологий.
6.5. Кредитные организации с учетом требований подпункта 2.1.5 пункта 2.1 Положения Банка России N 716-П, филиалы иностранных банков в части тестирования операционной надежности технологических процессов должны принимать организационные и технические меры, направленные на проведение сценарного анализа (в части возможной реализации информационных угроз в отношении критичной архитектуры, а также возникновения сбоев объектов информационной инфраструктуры), и проводить с использованием результатов сценарного анализа тестирование готовности кредитной организации, филиала иностранного банка противостоять реализации информационных угроз в отношении критичной архитектуры.
6.6. Кредитные организации, филиалы иностранных банков в части принятия мер, направленных на нейтрализацию угроз со стороны внутреннего нарушителя, разрабатывают и принимают организационные и технические меры в отношении субъектов доступа, привлекаемых в рамках выполнения технологических процессов, направленные на исключение возможности несанкционированного использования предоставленных указанным субъектам доступа полномочий.
6.7. Кредитные организации, филиалы иностранных банков должны обеспечивать выполнение следующих требований к обеспечению осведомленности об информационных угрозах:
организация взаимодействия кредитных организаций, филиалов иностранных банков и иных участников технологического процесса при обмене информацией об актуальных сценариях реализации информационных угроз;
использование информации об актуальных сценариях реализации информационных угроз в целях обеспечения непрерывного оказания банковских услуг.
7. Кредитные организации, филиалы иностранных банков должны обеспечить принятие мер, направленных на нейтрализацию угроз, в отношении зависимости обеспечения операционной надежности от работников кредитных организаций, филиалов иностранных банков, обладающих уникальными знаниями, опытом и компетенцией в области разработки технологических процессов, поддержания их выполнения, реализации технологических процессов, которые отсутствуют у иных работников указанной кредитной организации, филиала иностранного банка.
Кредитные организации, филиалы иностранных банков должны обеспечить защиту критичной архитектуры от возможной реализации информационных угроз в условиях дистанционной (удаленной) работы работников кредитных организаций, филиалов иностранных банков.
8. Кредитные организации, размер активов которых составляет 500 миллиардов рублей и более на начало текущего отчетного года в соответствии со значением статьи "Всего активов", определяемым в соответствии с Разработочной таблицей для составления бухгалтерского баланса (публикуемой формы) пункта 3 Порядка составления и представления отчетности по форме 0409806 "Бухгалтерский баланс (публикуемая форма)", установленного приложением 1 к Указанию Банка России от 10 апреля 2023 года N 6406-У "О формах, сроках, порядке составления и представления отчетности кредитных организаций (банковских групп) в Центральный банк Российской Федерации, а также о перечне информации о деятельности кредитных организаций (банковских групп)" 6, и которые являются субъектами критической информационной инфраструктуры в соответствии с пунктом 8 статьи 2 Федерального закона N 187-ФЗ, должны выполнять требования, направленные на противодействие целевым компьютерным атакам в зависимости от уровня опасности, установленные федеральным органом исполнительной власти, уполномоченным в сфере обеспечения безопасности критической информационной инфраструктуры Российской Федерации.
9. Кредитные организации в целях обеспечения непрерывности оказания банковских услуг должны использовать прошедшие в Банке России с положительным результатом проверку возможности адаптации оборудования для обработки наличных денег без привлечения иностранных физических или юридических лиц, а также без передачи данных за пределы Российской Федерации (обладающих адаптационным суверенитетом и используемых кредитной организацией) счетно-сортировальные машины и автоматические устройства, конструкция которых предусматривает прием банкнот Банка России от клиентов для совершения операций с наличными деньгами (далее - счетно-сортировальные машины и автоматические устройства), информация о которых размещается на официальном сайте Банка России в информационно-телекоммуникационной сети "Интернет" в соответствии с абзацем третьим пункта 2.9 Положения Банка России от 29 января 2018 года N 630-П "О порядке ведения кассовых операций и правилах хранения, перевозки и инкассации банкнот и монеты Банка России в кредитных организациях на территории Российской Федерации" 7.
Доля используемых кредитными организациями счетносортировальных машин и автоматических устройств должна быть не ниже значений, предусмотренных приложением 3 к настоящему Положению.
10. Кредитные организации с учетом подпунктов 4.1.2 - 4.1.4 пункта 4.1 Положения Банка России N 716-П, филиалы иностранных банков должны установить во внутренних документах описание процедур, направленных на реализацию требований к операционной надежности, включая:
определение и описание состава процедур, направленных на выполнение требований к операционной надежности;
определение перечня и порядка организационного взаимодействия подразделений кредитных организаций, филиалов иностранных банков, участвующих в соблюдении требований к операционной надежности, с учетом исключения конфликта интересов;
определение порядка осуществления контроля за соблюдением требований к операционной надежности в рамках системы внутреннего контроля;
выделение ресурсного обеспечения для выполнения требований к операционной надежности;
порядок утверждения и условия пересмотра процедур, направленных на выполнение требований к операционной надежности.
Кредитные организации должны обеспечить реализацию требований к операционной надежности, начиная с внедрения технологических процессов.
11. Кредитные организации с учетом глав 2 и 7 Положения Банка России N 716-П, филиалы иностранных банков в рамках обеспечения операционной надежности должны:
планировать применение организационных и технических мер, направленных на реализацию требований к операционной надежности;
обеспечивать реализацию требований к операционной надежности на стадиях создания, ввода в эксплуатацию, эксплуатации (использования по назначению, технического обслуживания и ремонта), модернизации, вывода из эксплуатации объектов информационной инфраструктуры;
обеспечивать контроль соблюдения требований к операционной надежности.
Кредитные организации должны включать в порядок ведения базы событий, предусмотренный пунктом 6.2 Положения Банка России N 716-П, регистрацию инцидентов операционной надежности.
Кредитные организации должны регистрировать инциденты операционной надежности с учетом требований к ведению базы событий, предусмотренных главой 6 Положения Банка России N 716-П.
Кредитные организации при определении в соответствии с пунктом 3.7 Положения Банка России N 716-П дополнительных типов событий операционного риска должны предусматривать во внутренних документах классификацию типов инцидентов операционной надежности с использованием перечня типов инцидентов операционной надежности, размещаемого Банком России на официальном сайте Банка России в информационно-телекоммуникационной сети "Интернет" (далее - сеть "Интернет").
По каждому инциденту операционной надежности кредитные организации в дополнение к информации, указанной в пункте 6.6 Положения Банка России N 716-П, должны обеспечить регистрацию следующей информации:
данных, позволяющих выявить причину несоблюдения установленных сигнальных и контрольных значений контрольных показателей операционной надежности;
информации о принятых мерах и проведенных мероприятиях по реагированию на выявленный кредитными организациями или Банком России инцидент операционной надежности;
информации о результате восстановления технологического процесса.
Кредитные организации должны устанавливать во внутренних документах критерии шкалы качественных оценок и методику определения оценок для качественных потерь от реализации инцидентов операционной надежности в соответствии с подпунктом 3.13.2 пункта 3.13 Положения Банка России N 716-П, в случае если указанные потери не определяются в денежном выражении.
Филиалы иностранных банков должны установить во внутренних документах порядок фиксации случаев простоя технологических процессов филиалов иностранных банков в течение временного периода, превышающего значения порогового уровня допустимого времени простоя и (или) деградации технологических процессов, предусмотренных приложением 1 к настоящему Положению, предусматривающий регистрацию следующей информации:
информации о принятых мерах и проведенных мероприятиях по реагированию на выявленный филиалами иностранных банков или Банком России инцидент операционной надежности;
информации о результате восстановления технологического процесса.
12. Кредитные организации, филиалы иностранных банков в рамках обеспечения операционной надежности должны информировать Банк России:
о выявленных инцидентах операционной надежности (в случае превышения сигнального значения допустимой доли деградации технологических процессов) кредитных организаций, а также о принятых мерах и проведенных мероприятиях по реагированию на выявленный кредитными организациями или Банком России инцидент операционной надежности;
о выявленных случаях простоя технологических процессов филиалов иностранных банков в течение временного периода, превышающего значения порогового уровня допустимого времени простоя и (или) деградации технологических процессов, предусмотренных приложением 1 к настоящему Положению, а также принятых мерах и проведенных мероприятиях по реагированию на выявленный филиалами иностранных банков или Банком России указанный в настоящем абзаце случай простоя технологического процесса;
о планируемых мероприятиях по раскрытию информации, включая выпуск пресс-релизов и проведение пресс-конференций, размещение информации на своих официальных сайтах в сети "Интернет", в отношении указанных в абзаце втором, третьем настоящего пункта инцидентов операционной надежности и случаев простоя технологических процессов до проведения указанных мероприятий.
Кредитные организации, филиалы иностранных банков должны представлять в Банк России указанные в абзацах втором - четвертом настоящего пункта сведения с использованием технической инфраструктуры (автоматизированной системы) Банка России или резервного способа взаимодействия (при технической невозможности использования технической инфраструктуры (автоматизированной системы) Банка России), информация о которых размещается на официальном сайте Банка России в сети "Интернет".
13. Настоящее Положение в соответствии с решением Совета директоров Банка России (протокол заседания Совета директоров Банка России от ________ 202_ года N ПСД-______) вступает в силу по истечении 10 дней после дня его официального опубликования, за исключением положений, для которых настоящим пунктом установлены иные сроки вступления их в силу.
Абзац седьмой пункта 3 настоящего Положения вступает в силу с 1 октября 2025 года.
14. Со дня вступления в силу настоящего Положения признать утратившими силу:
Положение Банка России от 12 января 2022 года N 787-П "Об обязательных для кредитных организаций требованиях к операционной надежности при осуществлении банковской деятельности в целях обеспечения непрерывности оказания банковских услуг" 8;
Подпункт 1.25 пункта 1 Указания Банка России от 6 октября 2023 года N 6569-У "О внесении изменений в отдельные нормативные акты Банка России по вопросам регулирования деятельности кредитных организаций (банковских групп)" 9 10.
|
Председатель |
Э.С. Набиуллина |
Приложение 1
к Положению Банка России от 202_ года N ___-П
"Об обязательных для кредитных организаций,
иностранных банков, осуществляющих деятельность
на территории Российской Федерации
через свои филиалы, требованиях к
операционной надежности при осуществлении
банковской деятельности в целях обеспечения
непрерывности оказания банковских услуг"
Пороговый уровень допустимого времени простоя и (или) деградации технологических процессов кредитных организаций, иностранных банков, осуществляющих деятельность на территории Российской Федерации через свои филиалы
|
N п/п |
Наименование технологического процесса |
Пороговый уровень допустимого времени простоя и (или) деградации технологических процессов (в часах) |
||||
|
для банка, размер активов которого составляет 500 миллиардов рублей и более |
для банка с универсальной лицензией, размер активов которого составляет менее 500 миллиардов рублей |
для банка с базовой лицензией |
для небанковской кредитной организации |
для филиала иностранного банка |
||
|
1 |
2 |
3 |
4 |
5 |
6 |
7 |
|
1 |
Технологический процесс, обеспечивающий привлечение денежных средств физических лиц во вклады |
2 |
4 |
6 |
X |
X |
|
2 |
Технологический процесс, обеспечивающий привлечение денежных средств юридических лиц во вклады |
2 |
4 |
6 |
6 |
X |
|
3 |
Технологический процесс, обеспечивающий размещение привлеченных во вклады денежных средств физических и (или) юридических лиц от своего имени и за свой счет |
2 |
4 |
6 |
6 |
X |
|
4 |
Технологический процесс, обеспечивающий осуществление переводов денежных средств по поручению физических лиц по их банковским счетам |
2 |
4 |
6 |
X |
X |
|
2 - для кредитных организаций, признанных значимыми на рынке платежных услуг в соответствии с Указанием Банка России от 6 ноября 2014 года N 3439-У "О порядке признания Банком России кредитных организаций значимыми на рынке платежных услуг" 10 (далее - Указание Банка России N 3439-У) |
2 - для кредитных организаций, признанных значимыми на рынке платежных услуг в соответствии с Указанием Банка России N 3439-У |
|||||
|
|
|
2 |
4 |
6 |
6 |
4 |
|
|
Технологический процесс, обеспечивающий осуществление переводов денежных средств по поручению юридических лиц, в том числе банков- корреспондентов, по их банковским счетам, за исключением переводов по распоряжениям участников платежной системы |
|
2 - для кредитных организаций, признанных значимыми на рынке платежных услуг в соответствии с Указанием Банка России N 3439-У |
2 - для кредитных организаций, признанных значимыми на рынке платежных услуг в соответствии с Указанием Банка России N 3439-У |
2 - для кредитных организаций, признанных значимыми на рынке платежных услуг в соответствии с Указанием Банка России N 3439-У |
|
|
5 |
(для переводов денежных средств по распоряжениям участников платежной системы - в соответствии с Положением Банка России от 3 октября 2017 года N 607-П "О требованиях к порядку обеспечения бесперебойности функционирования платежной системы, показателям бесперебойности функционирования платежной системы и методикам анализа рисков в платежной системе, включая профили рисков" 11) |
|
|
|
|
|
|
6 |
Технологический процесс, обеспечивающий открытие и ведение банковских счетов физических лиц |
2 |
2 |
2 |
X |
X |
|
7 |
Технологический процесс, обеспечивающий открытие и ведение банковских счетов юридических лиц |
2 |
2 |
2 |
2 |
2 |
|
8 |
Технологический процесс, обеспечивающий осуществление переводов денежных средств без открытия банковских счетов, в том числе электронных денежных средств (за исключением почтовых переводов) |
2 |
4 |
6 |
6 |
4 |
|
2 - для кредитных организаций, признанных значимыми на рынке платежных услуг в соответствии с Указанием Банка России N 3439-У |
2 - для кредитных организаций, признанных значимыми на рынке платежных услуг в соответствии с Указанием Банка России N 3439-У |
2 - для кредитных организаций, признанных значимыми на рынке платежных услуг в соответствии с Указанием Банка России N 3439-У |
||||
|
9 |
Технологический процесс, обеспечивающий выполнение операций на финансовых рынках |
24 |
24 |
24 |
X |
X |
|
10 |
Технологический процесс, обеспечивающий выполнение кассовых операций |
2 |
2 |
2 |
X |
2 |
|
11 |
Технологический процесс, обеспечивающий работу онлайн-сервисов дистанционного обслуживания и доступа к осуществлению операций |
2 |
2 |
2 |
X |
2 |
|
12 |
Технологический процесс, обеспечивающий размещение и обновление биометрических персональных данных в единой биометрической системе |
2 |
2 |
2 |
X |
X |
|
13 |
Технологический процесс, обеспечивающий идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, в том числе с применением информационных технологий без их личного присутствия |
2 |
2 |
2 |
X |
X |
Приложение 2
к Положению Банка России от 202_ года N ___-П
"Об обязательных для кредитных организаций,
иностранных банков, осуществляющих деятельность
на территории Российской Федерации
через свои филиалы, требованиях к
операционной надежности при осуществлении
банковской деятельности в целях обеспечения
непрерывности оказания банковских услуг"
Сигнальные и контрольные значения допустимой доли деградации технологических процессов кредитных организаций
|
N п/п |
Наименование технологического процесса |
Для банка, размер активов которого составляет 500 миллиардов рублей и более |
Для банка с универсальной лицензией, размер активов которого составляет менее 500 миллиардов рублей |
Для банка с базовой лицензией |
Для небанковской кредитной организации |
||||
|
сигнальное значение (в долях) |
контрольное значение (в долях) |
сигнальное значение (в долях) |
контрольное значение (в долях) |
сигнальное значение (в долях) |
контрольное значение (в долях) |
сигнальное значение (в долях) |
контрольное значение (в долях) |
||
|
1 |
2 |
3 |
4 |
5 |
6 |
7 |
8 |
9 |
10 |
|
1 |
Технологический процесс, обеспечивающий привлечение денежных средств физических лиц во вклады |
0,90 |
0,80 |
0,87 |
0,75 |
0,85 |
0,70 |
Х |
Х |
|
2 |
Технологический процесс, обеспечивающий привлечение денежных средств юридических лиц во вклады |
0,90 |
0,80 |
0,87 |
0,75 |
0,85 |
0,70 |
0,75 |
0,50 |
|
3 |
Технологический процесс, обеспечивающий размещение привлеченных во вклады денежных средств физических и (или) юридических лиц от своего имени и за свой счет |
0,90 |
0,80 |
0,87 |
0,75 |
0,85 |
0,70 |
0,75 |
0,50 |
|
4 |
Технологический процесс, обеспечивающий осуществление переводов денежных средств по поручению физических лиц по их банковским счетам |
0,90 |
0,80 |
0,87 0,90 - для кредитных организаций, признанных значимыми на рынке платежных услуг в соответствии с Указанием Банка России от 6 ноября 2014 года N 3439-У "О порядке признания Банком России кредитных организаций значимыми на рынке платежных 12 услуг" 12 (далее - Указание Банка России N 3439- У) |
0,75 0,80 - для кредитных организаций, признанных значимыми на рынке платежных услуг в соответствии с Указанием Банка России N 3439-У |
0,85 0,90 - для кредитных организаций, признанных значимыми на рынке платежных услуг в соответствии с Указанием Банка России N 3439-У |
0,70 0,80 - для кредитных организаций, признанных значимыми на рынке платежных услуг в соответствии с Указанием Банка России N 3439-У |
Х |
Х |
|
5 |
Технологический процесс, обеспечивающий осуществление переводов денежных средств по поручению юридических лиц, в том числе банков- корреспондентов, по их банковским счетам, за исключением переводов по распоряжениям участников платежной системы |
0,90 |
0,80 |
0,87 |
0,75 |
0,85 |
0,70 |
0,75 |
0,50 |
|
0,90 - для кредитных организаций, признанных значимыми на рынке платежных услуг в соответствии с Указанием Банка России N 3439-У |
0,80 - для кредитных организаций, признанных значимыми на рынке платежных услуг в соответствии с Указанием Банка России N 3439-У |
0,90 - для кредитных организаций, признанных значимыми на рынке платежных услуг в соответствии с Указанием Банка России N 3439-У |
0,80 - для кредитных организаций, признанных значимыми на рынке платежных услуг в соответствии с Указанием Банка России N 3439-У |
0,90 - для кредитных организаций, признанных значимыми на рынке платежных услуг в соответствии с Указанием Банка России N 3439-У |
0,80 - для кредитных организаций, признанных значимыми на рынке платежных услуг в соответствии с Указанием Банка России N 3439-У |
||||
|
6 |
Технологический процесс, обеспечивающий открытие и ведение банковских счетов физических лиц |
0,92 |
0,85 |
0,90 |
0,80 |
0,87 |
0,75 |
Х |
Х |
|
7 |
Технологический процесс, обеспечивающий открытие и ведение банковских счетов юридических лиц |
0,92 |
0,85 |
0,90 |
0,80 |
0,87 |
0,75 |
0,75 |
0,50 |
|
8 |
Технологический процесс, обеспечивающий осуществление переводов денежных средств без открытия банковских счетов, в том числе электронных денежных средств (за исключением почтовых переводов) |
0,90 |
0,80 |
0,87 |
0,75 |
0,85 |
0,70 |
0,75 |
0,50 |
|
0,90 - для кредитных организаций, признанных значимыми на рынке платежных услуг в соответствии с Указанием Банка России N 3439-У |
0,80 - для кредитных организаций, признанных значимыми на рынке платежных услуг в соответствии с Указанием Банка России N 3439-У |
0,90 - для кредитных организаций, признанных значимыми на рынке платежных услуг в соответствии с Указанием Банка России N 3439-У |
0,80 - для кредитных организаций, признанных значимыми на рынке платежных услуг в соответствии с Указанием Банка России N 3439-У |
0,90 - для кредитных организаций, признанных значимыми на рынке платежных услуг в соответствии с Указанием Банка России N 3439-У |
0,80 - для кредитных организаций, признанных значимыми на рынке платежных услуг в соответствии с Указанием Банка России N 3439-У |
||||
|
9 |
Технологический процесс, обеспечивающий выполнение операций на финансовых рынках |
0,90 |
0,80 |
0,90 |
0,80 |
0,90 |
0,80 |
Х |
Х |
|
10 |
Технологический процесс, обеспечивающий выполнение кассовых операций |
0,92 |
0,85 |
0,90 |
0,80 |
0,87 |
0,75 |
Х |
Х |
|
11 |
Технологический процесс, обеспечивающий работу онлайн- сервисов дистанционного обслуживания и доступа к осуществлению операций |
0,92 |
0,85 |
0,90 |
0,80 |
0,87 |
0,75 |
Х |
Х |
|
12 |
Технологический процесс, обеспечивающий размещение и обновление биометрических персональных данных в единой биометрической системе |
0,92 |
0,85 |
0,90 |
0,80 |
0,87 |
0,75 |
Х |
Х |
|
13 |
Технологический процесс, обеспечивающий идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц |
0,92 |
0,85 |
0,90 |
0,80 |
0,87 |
0,75 |
Х |
Х |
Приложение 3
к Положению Банка России от 202_ года N ___-П
"Об обязательных для кредитных организаций,
иностранных банков, осуществляющих деятельность
на территории Российской Федерации
через свои филиалы, требованиях к
операционной надежности при осуществлении
банковской деятельности в целях обеспечения
непрерывности оказания банковских услуг"
Доля прошедших в Банке России с положительным результатом проверку возможности адаптации оборудования для обработки наличных денег без привлечения иностранных физических или юридических лиц, а также без передачи данных за пределы Российской Федерации и используемых кредитной организацией счетно-сортировальных машин и автоматических устройств, конструкция которых предусматривает прием банкнот Банка России от клиентов для совершения операций с наличными деньгами, информация о которых размещается на официальном сайте Банка России в информационнотелекоммуникационной сети "Интернет" в соответствии с абзацем третьим пункта 2.9 Положения Банка России от 29.01.2018 N 630-П "О порядке ведения кассовых операций и правилах хранения, перевозки и инкассации банкнот и монеты Банка России в кредитных организациях на территории Российской Федерации" 13
|
N п/п |
Тип оборудования |
Доля оборудования |
|||
|
до 31 декабря 2025 года |
до 31 декабря 2026 года |
до 31 декабря 2027 года |
до 31 декабря 2028 года |
||
|
1 |
2 |
3 |
4 |
5 |
6 |
|
1 |
Счетно-сортировальные машины |
не менее 10% |
не менее 20% |
не менее 40% |
не менее 60% |
|
2 |
Автоматические устройства, конструкция которых |
не менее 10% |
не менее 20% |
не менее 40% |
не менее 60% |
|
|
предусматривает прием банкнот Банка России от клиентов для совершения операций с наличными деньгами |
|
|
|
|
------------------------------
1 Собрание законодательства Российской Федерации, 2002, N 28, ст. 2790; 2021, N 1, ст. 53.
2 Зарегистрировано Минюстом России 3 июня 2020 года, регистрационный N 58577, с изменениями, внесенными Указанием Банка России от 25 марта 2022 года N 6103-У (зарегистрировано Минюстом России 30 августа 2022 года, регистрационный N 69846).
3 Зарегистрировано Минюстом России 3 декабря 2014 года, регистрационный N 35075, с изменениями, внесенными Указаниями Банка России от 27 октября 2016 года N 4170-У (зарегистрировано Минюстом России 16 ноября 2016 года, регистрационный N 44349), от 2 ноября 2017 года N 4597-У (зарегистрировано Минюстом России 27 ноября 2017 года, регистрационный N 49019).
4 Собрание законодательства Российской Федерации, 2017, N 31, ст. 4736.
5 Собрание законодательства Российской Федерации, 2017, N 31, ст. 4736.
6 Зарегистрировано Минюстом России 16 августа 2023 года, регистрационный N 74823, с изменениями, внесенными Указанием Банка России от 12 марта 2024 года N 6688-У (зарегистрировано Минюстом России 29 мая 2024 года, регистрационный N 78345).
7 Зарегистрировано Минюстом России 18 июня 2018 года, регистрационный N 51359, с изменениями, внесенными Указаниями Банка России от 07 мая 2020 года N 5454-У (зарегистрировано Минюстом России 10 июня 2020 года, регистрационный N 58625), от 22 сентября 2021 года N 5897-У (зарегистрировано Минюстом России 22 сентября 2021 года, регистрационный N 65094), от 31 мая 2022 года N 6147-У (зарегистрировано Минюстом России 22 августа 2022 года, регистрационный N 69734), от 15 ноября 2023 года N 6607-У (зарегистрировано Минюстом России 9 февраля 2024 года, регистрационный N 77207).
ГАРАНТ:
По-видимому, в тексте предыдущего абзаца допущена опечатка. Вместо слов "от 22 сентября 2021 года N 5897-У" следует читать "от 19 августа 2021 года N 5897-У"
8 Зарегистрировано Минюстом России 8 апреля 2022 года, регистрационный N 68140, с изменениями, внесенными Указанием Банка России от 6 октября 2023 года N 6569-У (зарегистрировано Минюстом России 25 декабря 2023 года, регистрационный N 76594).
9 Зарегистрировано Минюстом России 25 декабря 2023 года, регистрационный N 76594, с изменениями, внесенными Указанием Банка России 8 мая 2024 года (зарегистрировано Минюстом России 10 июня 2024 года, регистрационный N 78516).
10 Зарегистрировано Минюстом России 3 декабря 2014 года, регистрационный N 35075, с изменениями, внесенными Указаниями Банка России от 27 октября 2016 года N 4170-У (зарегистрировано Минюстом России 16 ноября 2016 года, регистрационный N 44349), от 2 ноября 2017 года N 4597-У (зарегистрировано Минюстом России 27 ноября 2017 года, регистрационный N 49019).
11 Зарегистрировано Минюстом России 22 декабря 2017 года, регистрационный N 49386.
12 Зарегистрировано Минюстом России 3 декабря 2014 года, регистрационный N 35075, с изменениями, внесенными Указаниями Банка России от 27 октября 2016 года N 4170-У (зарегистрировано Минюстом России 16 ноября 2016 года, регистрационный N 44349), от 2 ноября 2017 года N 4597-У (зарегистрировано Минюстом России 27 ноября 2017 года, регистрационный N 49019).
13 Зарегистрировано Минюстом России 18 июня 2018 года, регистрационный N 51359, с изменениями, внесенными Указаниями Банка России от 7 мая 2020 года N 5454-У (зарегистрировано Минюстом России 10 июня 2020 года, регистрационный N 58625), от 22 сентября 2021 года N 5897-У (зарегистрировано Минюстом России 22 сентября 2021 года, регистрационный N 65094), от 31 мая 2022 года N 6147-У (зарегистрировано Минюстом России 22 августа 2022 года, регистрационный N 69734), от 15 ноября 2023 года N 6607-У (зарегистрировано Минюстом России 9 февраля 2024 года, регистрационный N 77207).
ГАРАНТ:
По-видимому, в тексте предыдущего абзаца допущена опечатка. Вместо слов "от 22 сентября 2021 года N 5897-У" следует читать "от 19 августа 2021 года N 5897-У"
------------------------------
Пояснительная записка
к проекту положения Банка России "Об обязательных для кредитных организаций, иностранных банков, осуществляющих деятельность на территории Российской Федерации через свои филиалы, требованиях к операционной надежности при осуществлении банковской деятельности в целях обеспечения непрерывности оказания банковских услуг"
Банк России разработал проект положения Банка России "Об обязательных для кредитных организаций, иностранных банков, осуществляющих деятельность на территории Российской Федерации через свои филиалы, требованиях к операционной надежности при осуществлении банковской деятельности в целях обеспечения непрерывности оказания банковских услуг" (далее - проект), который издается взамен Положения Банка России от 12 января 2022 года N 787-П "Об обязательных для кредитных организаций требованиях к операционной надежности при осуществлении банковской деятельности в целях обеспечения непрерывности оказания банковских услуг" (далее - Положение N 787-П). Разработка обусловлена вступлением в силу Федерального закона от 8 августа 2024 года N 275-ФЗ "О внесении изменений в Федеральный закон "О банках и банковской деятельности" и отдельные законодательные акты Российской Федерации", которым внесены изменения в статью 57 5 Федерального закона от 10 июля 2002 года N 86-ФЗ "О Центральном банке Российской Федерации (Банке России)" (далее - Федеральный закон N 86-ФЗ).
Изменения в статью 57 5 Федерального закона N 86-ФЗ связаны с расширением субъектного состава в части установления Банком России для иностранных банков, осуществляющих деятельность на территории Российской Федерации через свои филиалы (далее - филиалы иностранных банков), требований к операционной надежности при осуществлении банковской деятельности в целях обеспечения непрерывности оказания банковских услуг.
Проект будет распространяться на кредитные организации, филиалы иностранных банков.
В проекте сохранены подходы к регулированию, установленные Положением N 787-П. Вместе с тем проектом вносятся изменения, связанные с уточнением отдельных требований, и ряд новых положений, включающих: установление сигнальных и контрольных значений допустимой доли деградации технологических процессов кредитных организаций;
установление доли по использованию кредитными организациями прошедших в Банке России с положительным результатом проверку возможности адаптации оборудования для обработки денежной наличности без привлечения иностранных физических или юридических лиц, а также без передачи данных за пределы Российской Федерации счетно-сортировальных машин и программно-технических средств, конструкция которых предусматривает прием банкнот Банка России от клиентов для совершения операций с денежной наличностью.
Проект подлежит официальному опубликованию и вступает в силу по истечении 10 дней после дня его официального опубликования, за исключением положений, для которых установлены иные сроки вступления в силу.
Экспертные заключения по проекту принимаются до 17 октября 2024 года по следующим адресам электронной почты: nikitinavl@cbr.ru erokhingi@cbr.ru.
Департамент информационной безопасности Банка России является структурным подразделением Банка России, ответственным за проведение оценки регулирующего воздействия.
Откройте актуальную версию документа прямо сейчас
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Банк России разработал новые требования к операционной надежности при ведении банковской деятельности в целях обеспечения непрерывности оказания банковских услуг.
Они будут касаться не только на кредитных организаций, но и на филиалов иностранных банков в России. Планируется установить:
- сигнальные и контрольные значения допустимой доли деградации технологических процессов кредитных организаций;
- долю по использованию кредитными организациями прошедших в Банке России с положительным результатом проверку возможности адаптации оборудования для обработки денежной наличности без привлечения иностранных физических или юридических лиц, а также без передачи данных за пределы РФ счетно-сортировальных машин и программно-технических средств, конструкция которых предусматривает прием банкнот Банка России от клиентов для совершения операций с денежной наличностью.
Проект Положения Банка России "Об обязательных для кредитных организаций, иностранных банков, осуществляющих деятельность на территории Российской Федерации через свои филиалы, требованиях к операционной надежности при осуществлении банковской деятельности в целях обеспечения непрерывности оказания банковских услуг" (по состоянию на 3 октября 2024 г.)
Опубликование:
-