Что такое операционная надежность
Центробанк собрался ограничить время простоя банковских приложений и сервисов
23 августа 2021 года Центробанк опубликовал проект положения об операционной надежности при осуществлении банковской деятельности в целях обеспечения непрерывности оказания банковских услуг. В рамках этого документа регулятор предлагает ограничить время простоя банковских приложений и сервисов, в том числе мобильных и онлайн, до двух часов. Нововведение коснется все крупные банки РФ с базовой и универсальной лицензией.
В рамках положения ЦБ не только собирается устанавливает требования к операционной надежности банков для обеспечения непрерывного оказания ими финансовых услуг, но и будет получать отчеты от финансовых учреждений в случае недоступности их сервисов из-за аварий или других факторов. Причем банки должны информировать об этом ЦБ заранее — до выпуска ими пресс-релизов или сообщений в соцсетях для пользователей.
Также ЦБ в документе указал, что не реже раза в год кредитным организациям нужно будет анализировать их текущие значения показателей операционной надежности и предоставлять по ним отчеты и предложения по улучшению услуг.
Регулятор под операционной надежностью понимает способность финансовой организации обеспечить непрерывное выполнение своих критически важных процессов в случае отказа, сбоя систем или прерывания работы оборудования, а также в случае в случае «компьютерных атак и фактов воздействия вредоносного кода на программно-аппаратные средства».
ИБ-подразделения банков с активами более 500 млрд рублей должны будут регулярно проводить меры противодействия целевым компьютерным атакам, моделировать их сценарии, устраивать плановые тренировки, оперативно взаимодействовать с ЦБ и реагировать на все инциденты, касающиеся операционной надежности в отношении критичной архитектуры финансовой организации.
Проект положения ЦБ сейчас находится на на стадии публичного обсуждения. Регулятор собирается начать его использовать с 1 октября 2022 года.
Что такое операционная надежность
(1).jpg "Что такое операционная надежность. Смотреть фото Что такое операционная надежность. Смотреть картинку Что такое операционная надежность. Картинка про Что такое операционная надежность. Фото Что такое операционная надежность")
Об актуальных изменениях в КС узнаете, став участником программы, разработанной совместно с АО «Сбербанк-АСТ». Слушателям, успешно освоившим программу выдаются удостоверения установленного образца.
Программа разработана совместно с АО «Сбербанк-АСТ». Слушателям, успешно освоившим программу, выдаются удостоверения установленного образца.
Обзор документа
Проект Положения Банка России “Об установлении обязательных для некредитных финансовых организаций требований к операционной надежности при осуществлении деятельности в сфере финансовых рынков в целях обеспечения непрерывности оказания финансовых услуг (за исключением банковских услуг)” (по состоянию на 15.06.2021)
Настоящее Положение на основании статьи 76.4-2 Федерального закона от 10 июля 2002 года N 86-ФЗ «О Центральном банке Российской Федерации (Банке России)» (Собрание законодательства Российской Федерации, 2002, N 28, ст. 2790; 2021, N 1, ст. 53), части 15 статьи 5, части 11 статьи 10 Федерального закона от 31 июля 2020 года N 259-ФЗ «О цифровых финансовых активах, цифровой валюте и о внесении изменений в отдельные законодательные акты Российской Федерации» (Собрание законодательства Российской Федерации, 2020, N 31, ст. 5018) устанавливает обязательные для некредитных финансовых организаций требования к операционной надежности при осуществлении видов деятельности, предусмотренных частью первой статьи 76.1 Федерального закона от 10 июля 2002 года N 86-ФЗ «О Центральном банке Российской Федерации (Банке России)», в целях обеспечения непрерывности оказания финансовых услуг (за исключением банковских услуг), а также требования к операционной надежности к оператору информационной системы, в которой осуществляется выпуск цифровых финансовых активов, к деятельности операторов обмена цифровых финансовых активов.
Глава 1. Обязательные для некредитных финансовых организаций требования к операционной надежности при осуществлении видов деятельности, предусмотренных частью первой статьи 76.1 Федерального закона от 10 июля 2002 года N 86-ФЗ «О Центральном банке Российской Федерации (Банке России)», в целях обеспечения непрерывности оказания финансовых услуг (за исключением банковских услуг)
Некредитные финансовые организации, не указанные в приложении к настоящему Положению, самостоятельно устанавливают и обеспечивают пороговый уровень допустимого времени простоя и (или) деградации технологических процессов, не указанных в приложении к настоящему Положению, и иные показатели операционной надежности.
1.3. Некредитные финансовые организации должны определить во внутренних документах для каждого технологического процесса значения следующих целевых показателей операционной надежности:
допустимого времени простоя и (или) деградации технологического процесса в рамках инцидента операционной надежности (в случае отклонения от допустимой доли деградации технологического процесса) не выше порогового уровня, установленного в приложении к настоящему Положению;
допустимого суммарного времени простоя и (или) деградации технологического процесса (в случае отклонения от допустимой доли деградации технологического процесса) в течение последних двенадцати календарных месяцев к первому числу календарного месяца;
установленный режим работы (функционирования) технологического процесса.
В случаях превышения допустимого времени простоя и (или) деградации технологических процессов, а также отклонения от допустимой доли деградации технологических процессов некредитные финансовые организации должны обеспечить во внутренних документах фиксацию:
фактического времени простоя и (или) деградации технологического процесса, исчисляемого по каждому инциденту операционной надежности;
фактической доли деградации технологического процесса в рамках отдельного инцидента операционной надежности;
суммарного времени простоя и (или) деградации технологического процесса за последние двенадцать календарных месяцев.
При определении времени простоя и (или) деградации технологических процессов в расчет не включаются периоды времени проведения плановых технологических операций, связанных с приостановлением (частичным приостановлением) технологических процессов.
1.4. Некредитные финансовые организации должны определить значения целевых показателей операционной надежности и обеспечить контроль за их соблюдением. В случае, если законодательством Российской Федерации установлена обязательность наличия у некредитной финансовой организации системы управления рисками, то такая некредитная финансовая организация должна выполнить требования настоящего абзаца в рамках системы управления рисками.
Некредитная финансовая организация должна не реже одного раза в год проводить анализ необходимости пересмотра значений целевых показателей операционной надежности.
1.5. Некредитные финансовые организации должны выполнять требования к операционной надежности при осуществлении деятельности в сфере финансовых рынков, которые включают в себя:
требования к определению значений целевых показателей операционной надежности и обеспечению контроля за их соблюдением;
требования в отношении управления изменениями критичной архитектуры;
требования в отношении выявления, регистрации инцидентов операционной надежности и реагирования на них, а также восстановления выполнения технологических процессов и функционирования программно-аппаратных средств после реализации указанных инцидентов;
требования в отношении тестирования операционной надежности технологических процессов;
требования в отношении обеспечения осведомленности некредитной финансовой организации об актуальных информационных угрозах;
иные требования в соответствии с пунктами 1.7?1.11 настоящего Положения.
1.6. Некредитные финансовые организации в отношении идентификации критичной архитектуры должны обеспечивать организацию учета и мониторинга следующих элементов критичной архитектуры:
технологических процессов, реализуемых непосредственно некредитной финансовой организацией;
технологических процессов, реализуемых поставщиками услуг;
технологических участков (этапов) технологических процессов;
программно-аппаратных средств некредитной финансовой организации, задействованных при выполнении каждого технологического процесса;
программно-аппаратных средств поставщиков услуг, задействованных при выполнении технологических процессов;
каналов передачи информации, обрабатываемой и передаваемой в рамках технологических процессов участниками технологического процесса при взаимодействии с работниками некредитной финансовой организации.
1.6.1. Некредитные финансовые организации должны обеспечивать выполнение следующих требований в отношении управления изменениями критичной архитектуры:
предотвращение возникновения уязвимостей в критичной архитектуре, с использованием которых могут реализоваться информационные угрозы, и которые могут повлечь превышение (отклонение от) значений целевых показателей операционной надежности;
планирование и внедрение изменений в критичной архитектуре, направленных на обеспечение недопустимости неоказания или ненадлежащего оказания финансовых услуг;
управление конфигурациями программно-аппаратных средств;
управление уязвимостями и обновлениями (исправлениями) программно-аппаратных средств.
1.6.2. Некредитные финансовые организации должны обеспечивать выполнение следующих требований в отношении выявления, регистрации инцидентов операционной надежности и реагирования на них, а также восстановления выполнения технологических процессов и функционирования программно-аппаратных средств после реализации таких инцидентов:
выявление и регистрацию инцидентов операционной надежности, в том числе обнаружение компьютерных атак и фактов воздействия вредоносного кода на программно-аппаратные средства;
реагирование на инциденты операционной надежности в отношении критичной архитектуры;
восстановление функционирования технологических процессов и программно-аппаратных средств после реализации инцидентов операционной надежности;
проведение анализа причин и последствий реализации инцидентов операционной надежности;
организацию взаимодействия между подразделениями некредитной финансовой организации, а также между некредитной финансовой организацией и Банком России, иными участниками технологического процесса в рамках реагирования на инциденты операционной надежности и восстановления выполнения технологических процессов и функционирования программно-аппаратных средств после реализации инцидентов операционной надежности.
1.6.3. Некредитные финансовые организации должны обеспечивать выполнение следующих требований в отношении взаимодействия с поставщиками услуг:
управление риском реализации информационных угроз при привлечении поставщиков услуг, в том числе защиту программно-аппаратных средств от возможной реализации информационных угроз, включая компьютерные атаки, со стороны поставщиков услуг;
управление риском технологической зависимости функционирования программно-аппаратных средств некредитной финансовой организации от поставщиков услуг;
предотвращение возможной реализации информационных угроз при сопровождении и техническом обслуживании программно-аппаратных средств некредитной финансовой организации поставщиками услуг.
1.6.4. Некредитные финансовые организации в отношении тестирования операционной надежности технологических процессов должны принимать организационные и технические меры, направленные на разработку сценарного анализа и проведение с использованием сценарного анализа тестирования готовности некредитной финансовой организации противостоять реализации информационных угроз в отношении критичной архитектуры.
1.6.5. Некредитные финансовые организации в отношении управления риском несанкционированного доступа внутреннего нарушителя к программно-аппаратным средствам должны принимать организационные и технические меры в отношении субъектов доступа, являющихся работниками некредитной финансовой организации и работниками поставщиков услуг, привлекаемых в рамках выполнения технологических процессов, направленные на управление риском реализации информационных угроз, обусловленным возможностью несанкционированного использования предоставленных указанным субъектам доступа полномочий.
1.6.6. Некредитные финансовые организации должны обеспечивать выполнение следующих требований в отношении обеспечения осведомленности об актуальных информационных угрозах:
организацию взаимодействия некредитной финансовой организации и иных участников технологического процесса при обмене информацией об актуальных сценариях реализации информационных угроз;
использование информации об актуальных сценариях реализации информационных угроз для цели обеспечения непрерывного оказания финансовых услуг.
1.8. Некредитные финансовые организации, являющиеся системно значимыми инфраструктурными организациями финансового рынка, указанными в постановлении Правительства Российской Федерации от 8 февраля 2018 года N 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений» (Собрание законодательства Российской Федерации, 2018, N 8, ст. 1204), по требованию Банка России должны обеспечить:
реализацию мер противодействия целевым компьютерным атакам;
моделирование сценариев компьютерных атак, проведение плановых тренировок (учений) по проверке готовности к действиям при установлении уровня опасности проведения целевых компьютерных атак;
внеплановую оценку защищенности критичной архитектуры и устранение выявленных недостатков;
оперативное взаимодействие подразделений некредитных финансовых организаций, указанных в абзаце первом настоящего пункта, функционирующих в оперативном режиме работы, с Банком России.
1.9. Некредитная финансовая организация должна установить во внутренних документах описание мер, направленных на реализацию требований к операционной надежности, установленных настоящим Положением, включая:
определение и описание состава процедур, направленных на выполнение требований к операционной надежности;
определение организационной структуры некредитной финансовой организации, задействованной в выполнении требований к операционной надежности, в том числе обеспечивающее установление функций подразделений некредитной финансовой организации (в том числе в части принятия решений, связанных с выполнением требований к операционной надежности, с учетом исключения конфликта интересов) и контроль за выполнением требований к операционной надежности в рамках порядка организации и осуществления некредитной финансовой организацией внутреннего контроля (в случае наличия);
выделение ресурсного обеспечения для выполнения требований к операционной надежности;
порядок утверждения и условия пересмотра процедур, направленных на выполнение требований к операционной надежности.
Некредитная финансовая организация должна обеспечить реализацию требований к операционной надежности начиная с разработки и планирования внедрения технологических процессов.
1.10. В целях реализации требований к операционной надежности некредитная финансовая организация должна:
моделировать информационные угрозы в отношении критичной архитектуры;
планировать применение организационных и технических мер, направленных на реализацию требований к операционной надежности, на основе результатов оценки риска реализации информационных угроз в рамках системы управления рисками;
обеспечивать реализацию требований к операционной надежности на стадиях создания, эксплуатации (использования по назначению, технического обслуживания и ремонта), модернизации, снятия с эксплуатации программно-аппаратных средств;
обеспечивать контроль соблюдения требований к операционной надежности в отношении элементов критичной архитектуры.
Некредитные финансовые организации должны устанавливать во внутренних документах порядок регистрации инцидентов операционной надежности. По каждому инциденту операционной надежности некредитные финансовые организации должны обеспечивать регистрацию:
данных, используемых для фиксации превышения (отклонения от) значений установленных целевых показателей операционной надежности;
данных, позволяющих выявить причину превышения (отклонения от) значений установленных целевых показателей операционной надежности;
результата реагирования на инцидент операционной надежности (о принятых мерах и проведенных мероприятиях по реагированию на выявленный некредитной финансовой организацией или Банком России инцидент операционной надежности).
1.11. Некредитные финансовые организации должны информировать Банк России:
о планируемых мероприятиях, включая выпуск пресс-релизов и проведение пресс-конференций, размещение информации на официальных сайтах в сети «Интернет», в отношении инцидентов операционной надежности не позднее одного рабочего дня до дня проведения мероприятия.
Некредитные финансовые организации должны предоставлять в Банк России указанные во втором и третьем абзацах настоящего пункта сведения с использованием технической инфраструктуры (автоматизированной системы) Банка России. В случае возникновения технической невозможности взаимодействия некредитной финансовой организации с Банком России с использованием технической инфраструктуры (автоматизированной системы) Банка России некредитные финансовые организации должны предоставлять в Банк России сведения с использованием резервного способа взаимодействия. Информация о технической инфраструктуре (автоматизированной системе) Банка России, резервном способе взаимодействия, форме и сроках направления сведений размещается на официальном сайте Банка России в сети «Интернет».
Глава 2. Требования к операционной надежности к оператору информационной системы, в которой осуществляется
выпуск цифровых финансовых активов, к деятельности операторов обмена цифровых финансовых активов
применение механизмов, реализующих обработку информационных угроз, связанных с недоступностью функций компонентов информационной системы, в которой осуществляется выпуск цифровых финансовых активов, а также недоступностью функций удостоверяющего центра и (или) функций иных централизованных информационных систем, взаимодействующих с информационной системой, в которой осуществляется выпуск цифровых финансовых активов.
анализ и применение отказоустойчивых алгоритмов, обеспечивающих тождественность информации во всех базах данных, составляющих распределенный реестр, включая предотвращение включения (подмены) блоков данных с целью защиты от деструктивного воздействия на информационную систему на основе распределенного реестра, временную синхронизацию проводимых операций с целью присвоения действительной и согласованной временной метки;
применение механизмов, реализующих защиту от угрозы нарушения маршрутизации узлов, включая реализацию механизма защиты от формирования альтернативных цепочек блоков данных в информационной системе на основе распределенного реестра, реализацию механизмов электронной подписи, позволяющих узлам информационной системы на основе распределенного реестра обеспечивать целостность данных;
применение механизмов, реализующих систему защиты от атак, направленных на отказ в обслуживании на уровне вычислительной сети, включая применение механизмов, обеспечивающих непрерывную работу информационной системы на основе распределенного реестра при росте количества проводимых операций, реализацию механизмов, реализующих систему защиты от атак, направленных на задержку доставки блоков данных к узлам информационной системы на основе распределенного реестра.
Глава 3. Заключительные положения
3.1. Действие настоящего Положения не распространяется на операторов финансовых платформ.
3.2. Центральные контрагенты должны определять целевые показатели операционной надежности с учетом требований Положения Банка России от 30 декабря 2016 года N 575-П «О требованиях к управлению рисками, правилам организации системы управления рисками, клиринговому обеспечению, размещению имущества, формированию активов центрального контрагента, а также к кругу лиц, в которых центральный контрагент имеет право открывать торговые и клиринговые счета, и методике определения выделенного капитала центрального контрагента», зарегистрированного в Министерстве юстиции Российской Федерации 20 марта 2017 года N 46034, а также Указания Банка России от 30 декабря 2016 года N 4258-У «О требованиях к содержанию, порядке и сроках представления в Банк России плана обеспечения непрерывности деятельности центрального контрагента, изменений, вносимых в него, о порядке оценки плана обеспечения непрерывности деятельности центрального контрагента, о требованиях к программно-техническим средствам и сетевым коммуникациям центрального контрагента, а также о порядке создания, ведения и хранения баз данных, содержащих информацию об имуществе, обязательствах центрального контрагента и их движении», зарегистрированного в Министерстве юстиции Российской Федерации 15 февраля 2017 года N 45648.
Репозитарии должны определять целевые показатели операционной надежности с учетом требований Указания Банка России от 6 октября 2016 года N 4148-У «О требованиях к разработке и утверждению плана обеспечения непрерывности деятельности репозитария и плана обеспечения финансовой устойчивости репозитария», зарегистрированного в Министерстве юстиции Российской Федерации 28 октября 2016 года N 44179.
Организаторы торговли, центральные депозитарии должны обеспечивать идентификацию критичной архитектуры, управление изменениями критичной архитектуры, выявление, регистрацию инцидентов операционной надежности и реагирование на них, а также восстановление выполнения технологических процессов и функционирования программно-аппаратных средств после реализации указанных инцидентов, взаимодействие с поставщиками услуг, тестирование операционной надежности технологических процессов, управление риском внутреннего нарушителя, осведомленность об актуальных информационных угрозах, предоставление в Банк России указанных в пункте 1.11 настоящего Положения сведений с учетом соответственно требований Указания Банка России от 7 мая 2018 года N 4791-У «О требованиях к организации организатором торговли системы управления рисками, связанными с организацией торгов, а также с осуществлением операций с собственным имуществом, и к документам организатора торговли, определяющим меры, направленные на снижение указанных рисков и предотвращение конфликта интересов», зарегистрированного в Министерстве юстиции Российской Федерации 17 сентября 2018 года N 52176, Указания Банка России от 12 сентября 2018 года N 4905-У «О требованиях к деятельности центрального депозитария в части организации управления рисками, связанными с осуществлением деятельности центрального депозитария, а также к правилам управления рисками, связанными с осуществлением деятельности центрального депозитария», зарегистрированного в Министерстве юстиции Российской Федерации 16 ноября 2018 года N 52702.
3.3. Настоящее Положение подлежит официальному опубликованию и в соответствии с решением Совета директоров Банка России (протокол заседания Совета директоров Банка России от ___ 2021 года N ПСД-__) вступает в силу с 1 октября 2022 года.
| Председатель Центрального банка Российской Федерации |
Приложение
к Положению Банка России от ___ N___
«Об установлении обязательных для
некредитных финансовых организаций
требований к операционной надежности при
осуществлении деятельности в сфере
финансовых рынков в целях обеспечения
непрерывности оказания финансовых
услуг (за исключением банковских услуг)»
Пороговый уровень допустимого времени простоя и (или) деградации технологических процессов некредитных финансовых организаций
1 В соответствии с требованиями, установленными Банком России на основании статьи 76.4-1 Федерального закона от 10 июля 2002 года N 86-ФЗ «О Центральном банке Российской Федерации (Банке России)».
2 В соответствии с требованиями, установленными Банком России на основании статьи 76.4-1 Федерального закона от 10 июля 2002 года N 86-ФЗ «О Центральном банке Российской Федерации (Банке России)».
Пояснительная записка к проекту Положения Банка России «Об установлении обязательных для некредитных финансовых организаций требований к операционной надежности при осуществлении деятельности в сфере финансовых рынков в целях обеспечения непрерывности оказания финансовых услуг (за исключением банковских услуг)»
Банк России разработал проект положения в целях реализации норм, установленных статьей 76.4-2 Федерального закона Российской Федерации от 10.07.2002 N 86-ФЗ «О Центральном банке Российской Федерации (Банке России)», направленных на установление требований к операционной надежности при осуществлении деятельности в сфере финансовых рынков в целях обеспечения непрерывности оказания финансовых услуг.
Проект разработан на основе имеющего международного опыта. Так, ведущие международные организации, определяющие стандарты в области финансовой деятельности, такие как Комитет по платежам и рыночным инфраструктурам, Международная организация комиссий по ценным бумагам, Базельский комитет по банковскому надзору Банка международных расчетов и др., сформировали пакет международных документов, направленных на обеспечение операционной надежности (киберустойчивости) финансовых организаций. В проекте содержатся положения, аналогичные следующим документам указанных международных организаций: Principles for operational resilience. Revisions to the principles for the sound management of operational risk, BCBS, Basel Committee on Banking Supervision; Guidance on cyber resilience for financial market infrastructures, Committee on Payments and Market Infrastructures, Board of the International Organization of Securities Commissions; BIS Working Papers No 840. Operational and cyber risks in the financial sector, Bank for International Settlements; Operational Resilience Principles: Consultative document, Note from the Operational Resilience Group, Basel Committee on Banking Supervision, Bank for International Settlements.
Проект положения устанавливает:
требования по определению и обеспечению контроля значений показателей операционной надежности (допустимого времени простоя и (или) деградации технологических процессов, допустимой доли деградации технологических процессов, допустимого суммарного времени простоя и (или) деградации технологического процесса, показателя соблюдения режима работы (функционирования) технологического процесса);
требования в рамках процессов обеспечения операционной надежности (идентификация критичной архитектуры, управление изменениями, управление конфигурациями и уязвимостями, выявление, регистрация, реагирование на инциденты, связанные с реализацией информационных угроз, и восстановление после их реализации, взаимодействие с поставщиками услуг, планирование непрерывности деятельности и тестирование операционной надежности технологических процессов, управление риском внутреннего нарушителя, обеспечение осведомленности об актуальных информационных угрозах);
требования к описанию деятельности в целях реализации процессов обеспечения операционной надежности;
требования к информированию Банка России о выявленных инцидентах операционной надежности.
Обзор документа
Приведен проект Положения об установлении для НФО требований к операционной надежности в части деятельности в сфере финансовых рынков для обеспечения непрерывности оказания финансовых услуг (кроме банковских).
В т. ч. определят требования к оператору информсистемы, в которой выпускаются цифровые финансовые активы, и к деятельности операторов обмена таких активов.