ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ
29 июня 2026 г. N 4-МР
МЕТОДИЧЕСКИЕ РЕКОМЕНДАЦИИ
БАНКА РОССИИ ПО УПРАВЛЕНИЮ РИСКОМ НАРУШЕНИЯ НЕПРЕРЫВНОСТИ
ДЕЯТЕЛЬНОСТИ В КРЕДИТНОЙ ОРГАНИЗАЦИИ И БАНКОВСКОЙ ГРУППЕ
Глава 1. Общие положения
1.1. Настоящие Методические рекомендации разработаны в целях содействия кредитной организации (головной кредитной организации банковской группы) <1> в эффективном исполнении требований Положения Банка России
от 8 апреля 2020 года N 716-П "О требованиях к системе управления операционным риском в кредитной организации и банковской группе" (далее - Положение Банка России N 716-П) в части управления риском нарушения непрерывности деятельности в рамках системы управления операционным риском, требования к которой устанавливаются Положением Банка России N 716-П.
--------------------------------
<1> За исключением центрального контрагента в значении, установленном в статье 2 Федерального закона
от 7 февраля 2011 года N 7-ФЗ "О клиринге, клиринговой деятельности и центральном контрагенте", и центрального депозитария в значении, установленном в статье 2 Федерального закона
от 7 декабря 2011 года N 414-ФЗ "О центральном депозитарии".
В соответствии с пунктом 1.4 Положения Банка России N 716-П риск нарушения непрерывности деятельности является видом операционного риска.
Настоящие Методические рекомендации рекомендованы к применению в кредитной организации (головной кредитной организации банковской группы) в дополнение к требованиям, установленным Положением Банка России N 716-П.
1.2. Используемые в настоящих Методических рекомендациях понятия применяются в значениях, определенных в Положении Банка России N 716-П, Положении Банка России
от 13 января 2025 года N 850-П "Об обязательных для кредитных организаций, иностранных банков, осуществляющих деятельность на территории Российской Федерации через свои филиалы, требованиях к операционной надежности при осуществлении банковской деятельности в целях обеспечения непрерывности оказания банковских услуг" (далее - Положение Банка России N 850-П) и Положении Банка России
от 16 декабря 2003 года N 242-П "Об организации внутреннего контроля в кредитных организациях и банковских группах" (далее - Положение Банка России N 242-П).
1.3. Обеспечение операционной устойчивости кредитной организации (головной кредитной организации банковской группы) направлено на поддержание непрерывности осуществления критически важных процессов и критически важных операций, определенных кредитной организацией (головной кредитной организацией банковской группы) в соответствии с подпунктом 4.1.1 пункта 4.1 Положения Банка России N 716-П, в том числе технологических процессов, отнесенных к критически важным процессам. Обеспечение операционной надежности технологических процессов, указанных в приложении 1 к Положению Банка России N 850-П, направлено на поддержание непрерывности их выполнения и осуществляется в соответствии с требованиями Положения Банка России N 850-П.
1.4. Настоящие Методические рекомендации рекомендуется применять кредитным организациям (головным кредитным организациям банковских групп) в том числе в отношении событий операционного риска, источниками которых являются отказы и (или) нарушения объектов информационной инфраструктуры и (или) несоответствие их функциональных возможностей и характеристик потребностям кредитной организации (головной кредитной организации банковской группы), и (или) реализации киберриска.
1.5. Для сценариев, приведенных в главе 4 настоящих Методических рекомендаций и отвечающих критериям нестандартных и чрезвычайных ситуаций в соответствии с пунктом 6 приложения 5 к Положению Банка России N 242-П, при обеспечении операционной устойчивости кредитной организации (головной кредитной организации банковской группы) рекомендуется руководствоваться настоящими Методическими рекомендациями с учетом пункта 3.7 и приложения 5 к Положению Банка России N 242-П.
1.6. Для целей управления риском нарушения непрерывности деятельности головной кредитной организации банковской группы рекомендуется обеспечить единство подходов к управлению данным видом операционного риска на уровне банковской группы и ее участников.
Глава 2. Рекомендации к процедурам управления риском нарушения непрерывности деятельности
2.1. В целях обеспечения операционной устойчивости кредитной организации (головной кредитной организации банковской группы) рекомендуется определить во внутренних документах:
принципы обеспечения операционной устойчивости;
процедуры идентификации риска нарушения непрерывности деятельности, а также качественной оценки его уровня в соответствии с подпунктами 2.1.1 и 2.1.5 пункта 2.1 Положения Банка России N 716-П и главой 4 настоящих Методических рекомендаций;
процедуру сбора и регистрации информации о событиях риска нарушения непрерывности деятельности в соответствии с подпунктом 2.1.2 пункта 2.1 Положения Банка России N 716-П;
процедуру реагирования на выявленные события риска нарушения непрерывности деятельности и восстановление критически важных процессов и принципы функционирования информационных систем кредитной организации (головной кредитной организации банковской группы) в случае реализации событий риска нарушения непрерывности деятельности, а также взаимодействия кредитной организации (головной кредитной организации банковской группы), в том числе с клиентами и третьими лицами, включая процедуры информирования о реализации события риска нарушения непрерывности деятельности, определяемые кредитной организацией (головной кредитной организацией банковской группы) в соответствии с главой 10 настоящих Методических рекомендаций;
процедуру мониторинга риска нарушения непрерывности деятельности в соответствии с подпунктом 2.1.7 пункта 2.1 Положения Банка России N 716-П;
сигнальные и контрольные значения контрольных показателей уровня риска нарушения непрерывности деятельности, предусмотренные главой 3 настоящих Методических рекомендаций, в том числе с учетом требований главы 5 Положения Банка России N 716-П;
мероприятия и процедуры повышения осведомленности, обучения и развития навыков работников кредитной организации (головной кредитной организации банковской группы) в области обеспечения операционной устойчивости;
мероприятия и процедуры обеспечения соответствия фактических значений контрольных показателей уровня риска нарушения непрерывности деятельности определенным кредитной организацией (головной кредитной организацией банковской группы) сигнальным и контрольным значениям указанных показателей, предусмотренным главой 3 настоящих Методических рекомендаций, в том числе с учетом требований главы 5 Положения Банка России N 716-П;
требования к разработке комплекса мероприятий, направленных на повышение эффективности управления риском нарушения непрерывности деятельности и уменьшение негативного влияния риска нарушения непрерывности деятельности, в соответствии с подпунктом 4.1.5 пункта 4.1 Положения Банка России N 716-П.
2.2. Кредитной организации (головной кредитной организации банковской группы) рекомендуется разработать политику обеспечения операционной устойчивости, в которой в целях управления риском нарушения непрерывности деятельности - определить:
цели и принципы обеспечения операционной устойчивости;
организационную структуру управления риском нарушения непрерывности деятельности в кредитной организации (головной кредитной организации банковской группы), в том числе исключающую конфликт интересов и предполагающую определение должностного лица (лица, его замещающего), ответственного за обеспечение операционной устойчивости кредитной организации (головной кредитной организации банковской группы), не участвующего в совершении операций, сделок, организации бухгалтерского и управленческого учета, обеспечении функционирования системы обеспечения информационной безопасности и информационных систем кредитной организации (головной кредитной организации банковской группы) (далее - должностное лицо, ответственное за обеспечение операционной устойчивости);
функции совета директоров (наблюдательного совета) кредитной организации (головной кредитной организации банковской группы) в рамках управления риском нарушения непрерывности деятельности;
функции и ответственность коллегиального исполнительного органа кредитной организации (головной кредитной организации банковской группы) в рамках управления риском нарушения непрерывности деятельности;
функции и полномочия должностного лица, ответственного за обеспечение операционной устойчивости;
функции и полномочия подразделений кредитной организации (головной кредитной организации банковской группы) в рамках управления риском нарушения непрерывности деятельности;
мероприятия и процедуры по разработке планов по обеспечению непрерывности и (или) восстановления критически важных процессов и функционирования информационных систем в целях обеспечения операционной устойчивости, операционной надежности (далее - планы обеспечения (восстановления) операционной устойчивости, операционной надежности) и их тестированию в соответствии с главами 7 и 8 настоящих Методических рекомендаций;
требования к созданию ресурсного обеспечения (кадрового, финансового, технологического и иного), необходимого для обеспечения операционной устойчивости, и порядок его организации, включая установление требований к квалификации должностного лица, ответственного за обеспечение операционной устойчивости;
порядок и периодичность формирования отчетов должностного лица, ответственного за обеспечение операционной устойчивости, направляемых на рассмотрение коллегиальному исполнительному органу кредитной организации (головной кредитной организации банковской группы) в соответствии с главой 12 настоящих Методических рекомендаций.
Политику обеспечения операционной устойчивости кредитной организации (головной кредитной организации банковской группы) рекомендуется разрабатывать на основании бизнес-плана и стратегии развития кредитной организации (головной кредитной организации банковской группы), а также структуры и размера текущих обязательств кредитной организации (головной кредитной организации банковской группы).
Утверждение политики обеспечения операционной устойчивости кредитной организации (головной кредитной организации банковской группы) рекомендуется относить к полномочиям совета директоров (наблюдательного совета) кредитной организации (головной кредитной организации банковской группы).
Ответственность за реализацию политики обеспечения операционной устойчивости рекомендуется возлагать на коллегиальный исполнительный орган кредитной организации (головной кредитной организации банковской группы).
2.3. Дополнительные рекомендации по управлению риском нарушения непрерывности деятельности, связанным с нарушением операционной надежности в результате реализации информационных угроз, определены положениями ГОСТ Р 57580.3-2022 <2>.
--------------------------------
<2> Национальный стандарт Российской Федерации ГОСТ Р 57580.3-2022 "Безопасность финансовых (банковских) операций. Управление риском реализации информационных угроз и обеспечение операционной надежности. Общие положения", утвержденный приказом Федерального агентства по техническому регулированию и метрологии
от 22 декабря 2022 года N 1548-ст.
Глава 3. Рекомендации по установлению системы контрольных показателей уровня риска нарушения непрерывности деятельности
3.1. В целях контроля за уровнем риска нарушения непрерывности деятельности кредитной организации (головной кредитной организации банковской группы) рекомендуется определить на плановый годовой период контрольные показатели уровня риска нарушения непрерывности деятельности, а также установить сигнальные и контрольные значения указанных показателей.
Кредитной организации (головной кредитной организации банковской группы) рекомендуется определить перечень контрольных показателей уровня риска нарушения непрерывности деятельности, содержащий:
временные показатели (например, предельно допустимую продолжительность события риска нарушения непрерывности деятельности, в том числе в зависимости от временного интервала возникновения события риска нарушения непрерывности деятельности);
показатели уровня негативного влияния от события риска нарушения непрерывности деятельности (например, предельно допустимый объем операций, на осуществление которых оказывает влияние событие риска нарушения непрерывности деятельности, предельно допустимое количество клиентов и (или) контрагентов кредитной организации (головной кредитной организации банковской группы), на осуществление операций которых оказывает влияние событие риска нарушения непрерывности деятельности).
3.2. Кредитной организации (головной кредитной организации банковской группы) рекомендуется устанавливать сигнальные и контрольные значения контрольных показателей уровня риска нарушения непрерывности деятельности исходя из оценки предельно допустимого негативного влияния в случае реализации события риска нарушения непрерывности деятельности в кредитной организации (головной кредитной организации банковской группы):
на способность кредитной организации (головной кредитной организации банковской группы) исполнять текущие обязательства перед клиентами и (или) контрагентами;
на способность клиентов и (или) контрагентов кредитной организации (головной кредитной организации банковской группы) и (или) участников финансового рынка осуществлять свою деятельность и (или) исполнять текущие обязательства перед своими клиентами и (или) контрагентами.
Системно значимым кредитным организациям, признанным Банком России таковыми в соответствии с Указанием Банка России
от 13 апреля 2021 года N 5778-У "О методике определения системно значимых кредитных организаций", а также кредитным организациям, признанным Банком России значимыми на рынке платежных услуг в соответствии с Указанием Банка России
от 6 ноября 2014 года N 3439-У "О порядке признания Банком России кредитных организаций значимыми на рынке платежных услуг", дополнительно рекомендуется устанавливать сигнальные и контрольные значения контрольных показателей уровня риска нарушения непрерывности деятельности исходя из оценки предельно допустимого негативного влияния в случае реализации события риска нарушения непрерывности деятельности в кредитной организации (головной кредитной организации банковской группы) на финансовую стабильность банковской системы и (или) функционирование финансового рынка.
Сигнальные и контрольные значения контрольных показателей уровня риска нарушения непрерывности деятельности кредитной организации (головной кредитной организации банковской группы) рекомендуется определять на основе установленных сигнальных и контрольных значений контрольных показателей уровня операционного риска, определенных в соответствии с приложением 1 к Положению Банка России N 716-П, в том числе в целях обеспечения соблюдения целевых значений указанных показателей.
3.3. Определение контрольных показателей уровня риска нарушения непрерывности деятельности, а также установление сигнальных и контрольных значений указанных показателей рекомендуется осуществлять в соответствии с главой 5 Положения Банка России N 716-П.
3.4. Установление сигнальных и контрольных значений контрольных показателей операционного риска для целей обеспечения операционной надежности осуществляется в соответствии с требованиями Положения Банка России N 850-П.
Глава 4. Рекомендации по выявлению и оценке сценариев нарушения операционной устойчивости
4.1. Кредитной организации (головной кредитной организации банковской группы) в целях управления риском нарушения непрерывности деятельности в рамках проведения качественной оценки уровня операционного риска в соответствии с подпунктом 2.1.5 пункта 2.1 Положения Банка России N 716-П, в том числе с применением сценарного анализа операционных рисков, рекомендуется выявлять сценарии нарушения операционной устойчивости, которые могут привести к реализации события риска нарушения непрерывности деятельности (далее - сценарий нарушения операционной устойчивости), и проводить их оценку.
4.2. При определении сценариев нарушения операционной устойчивости в дополнение к способам, указанным в абзацах втором - девятом подпункта 2.1.1 пункта 2.1 Положения Банка России N 716-П, рекомендуется анализировать следующее:
возможные причины возникновения события риска нарушения непрерывности деятельности;
взаимосвязи между критически важными процессами с учетом зависимости процессов от третьих лиц (внешних подрядчиков, контрагентов, участников банковской группы);
недостатки организации процессов кредитной организации (головной кредитной организации банковской группы) и концентрацию рисков на отдельных этапах процессов кредитной организации (головной кредитной организацией банковской группы).
4.3. На основе результатов проведенной оценки сценариев нарушения операционной устойчивости кредитной организации (головной кредитной организации банковской группы) рекомендуется формировать перечень сценариев нарушения операционной устойчивости, для которых уровень существенности риска нарушения непрерывности деятельности оценивается как высокий или очень высокий в соответствии с абзацем одиннадцатым подпункта 2.1.5 пункта 2.1 Положения Банка России N 716-П.
Рекомендуемый перечень сценариев нарушения операционной устойчивости приведен в пункте 1 приложения к настоящим Методическим рекомендациям.
4.4. Выявление и проведение оценки сценариев нарушения операционной устойчивости, связанных с нарушением операционной надежности в результате реализации информационных угроз (далее - сценарии нарушения операционной надежности), кредитным организациям (головным кредитным организациям банковских групп) рекомендуется осуществлять с применением мер, предусмотренных пунктом 7.6 раздела 7 ГОСТ Р 57580.4-2022 <3>, связанных с формированием (разработкой) сценариев реализации информационных угроз.
--------------------------------
<3> Национальный стандарт Российской Федерации ГОСТ Р 57580.4-2022 "Безопасность финансовых (банковских) операций. Обеспечение операционной надежности. Базовый состав организационных и технических мер", утвержденный приказом Федерального агентства по техническому регулированию и метрологии
от 22 декабря 2022 года N 1549-ст (далее - ГОСТ Р 57580.4-2022).
Глава 5. Рекомендации по оценке влияния сценариев нарушения операционной устойчивости на процессы
5.1. В целях управления риском нарушения непрерывности деятельности кредитной организации (головной кредитной организации банковской группы) рекомендуется определить порядок проведения оценки негативного влияния выявленных сценариев нарушения операционной устойчивости на осуществление ею критически важных процессов (далее - оценка влияния на процессы).
Кредитной организации (головной кредитной организации банковской группы) рекомендуется проводить оценку влияния на процессы в разрезе направлений деятельности, в том числе составляющих их процессов, определенных кредитной организации (головной кредитной организации банковской группы) в соответствии с подпунктом 4.1.1 пункта 4.1 Положения Банка России N 716-П, с учетом взаимосвязей между критически важными процессами и зависимости процессов от третьих лиц (внешних подрядчиков, контрагентов, участников банковской группы).
5.2. В рамках проведения оценки влияния на процессы кредитной организации (головной кредитной организации банковской группы) рекомендуется проводить:
оценку негативного влияния сценария нарушения операционной устойчивости на осуществление кредитной организацией (головной кредитной организацией банковской группы) процессов, включая вероятность возникновения сценария нарушения операционной устойчивости и уровень его негативного влияния;
оценку предельно допустимой продолжительности прекращения осуществления кредитной организацией (головной кредитной организацией банковской группы) процессов;
оценку предельно допустимой степени деградации осуществления кредитной организацией (головной кредитной организацией банковской группы) процессов (например, увеличение времени обработки и (или) снижение объемов отдельных видов осуществляемых операций, временную замену технологического процесса режимом ручной обработки, прекращение осуществления процессов);
выявление и оценку минимальных необходимых ресурсов (кадровых, финансовых, технологических и иных) для осуществления кредитной организацией (головной кредитной организацией банковской группы) процессов.
5.3. Кредитной организации (головной кредитной организации банковской группы) рекомендуется проводить оценку влияния на процессы не реже одного раза в год совместно с проведением качественной оценки уровня операционного риска в соответствии с подпунктом 2.1.5 пункта 2.1 Положения Банка России N 716-П или после проведения указанной оценки.
Глава 6. Рекомендации по выбору и применению способов реагирования на риск нарушения непрерывности деятельности
6.1. Кредитной организации (головной кредитной организации банковской группы) рекомендуется на основе результатов оценки влияния на процессы определить способы реагирования на риск нарушения непрерывности деятельности.
6.2. Кредитной организации (головной кредитной организации банковской группы) рекомендуется установить для всех направлений деятельности, в том числе составляющих их процессов, определенных кредитной организации (головной кредитной организации банковской группы) в соответствии с подпунктом 4.1.1 пункта 4.1 Положения Банка России N 716-П, один из следующих минимальных допустимых (целевых) уровней их осуществления в случае реализации события риска нарушения непрерывности деятельности (далее - целевые уровни осуществления процессов):
осуществление процесса на уровне, соответствующем уровню его осуществления в штатном режиме функционирования процессов кредитной организации (головной кредитной организации банковской группы) до реализации события риска нарушения непрерывности деятельности;
осуществление процесса на уровне, отличном от уровня его осуществления в штатном режиме функционирования процессов кредитной организации (головной кредитной организации банковской группы) до реализации события риска нарушения непрерывности деятельности;
прекращение осуществления процесса.
В отношении процессов, относящихся к основным и прочим процессам в соответствии с подпунктом 4.1.1 пункта 4.1 Положения Банка России N 716-П, кредитной организации (головной кредитной организации банковской группы) допускается установление целевых уровней осуществления процессов на уровне прекращения осуществления процесса.
При определении целевых уровней осуществления процессов кредитной организации (головной кредитной организации банковской группы) рекомендуется учитывать:
уровень негативного влияния в случае прекращения и (или) деградации осуществления отдельных процессов кредитной организации (головной кредитной организации банковской группы);
значимость отдельных процессов в соответствии с бизнес-планом и стратегией развития кредитной организации (головной кредитной организации банковской группы);
долю отдельных процессов в общем объеме осуществляемых кредитной организацией (головной кредитной организацией банковской группы) процессов;
наличие у кредитной организации (головной кредитной организации банковской группы) текущих планов по прекращению осуществления отдельных процессов;
требования законодательства Российской Федерации, в том числе нормативных актов Банка России, устанавливающих требования к выполнению процессов кредитной организации (головной кредитной организации банковской группы).
Кредитной организации (головной кредитной организации банковской группы) рекомендуется определить целевые уровни осуществления процессов для различных вариантов продолжительности события риска нарушения непрерывности деятельности (краткосрочный, среднесрочный).
6.3. В отношении процессов с целевыми уровнями осуществления процессов, указанными в абзацах втором и третьем пункта 6.2 настоящих
Методических рекомендаций, кредитной организации (головной кредитной организации банковской группы) рекомендуется дополнительно определить:
критерии нарушения непрерывности осуществления процессов;
целевое время восстановления процессов в виде предельно допустимой продолжительности прекращения и (или) деградации осуществления процессов до достижения целевых уровней осуществления процессов (далее - целевое время восстановления процессов);
перечень ресурсов (кадровых, финансовых, технологических и иных), необходимых для обеспечения целевых уровней осуществления процессов.
6.4. При определении целевых уровней осуществления процессов и целевого времени восстановления процессов кредитной организации (головной кредитной организации банковской группы) рекомендуется учитывать установленные сигнальные и контрольные значения контрольных показателей уровня риска нарушения непрерывности деятельности, в том числе в целях обеспечения соблюдения их целевых значений.
6.5. Кредитной организации (головной кредитной организации банковской группы) рекомендуется с учетом установленных целевых уровней осуществления процессов и целевого времени восстановления процессов обеспечить выбор и применение способа реагирования, в том числе принятие мер, направленных на уменьшение негативного влияния риска нарушения непрерывности деятельности, в соответствии с подпунктом 2.1.6 пункта 2.1 Положения Банка России N 716-П.
Рекомендуемый комплекс мер, направленных на уменьшение негативного влияния риска нарушения непрерывности деятельности, включает в том числе:
создание и обеспечение функционирования резервных помещений, предназначенных для осуществления процессов кредитной организации (головной кредитной организации банковской группы), в случае недоступности помещений, используемых в штатном режиме функционирования процессов кредитной организации (головной кредитной организации банковской группы) до реализации события риска нарушения непрерывности деятельности;
обеспечение резервного копирования и хранения данных и информации, включая документированную информацию и данные информационных систем, необходимых для выполнения критически важных процессов, в том числе с учетом требований подпункта 8.8.3 пункта 8.8 Положения Банка России N 716-П;
обеспечение осуществления процессов кредитной организации (головной кредитной организации банковской группы) в дистанционном режиме в случае невозможности обеспечения физического присутствия работников кредитной организации (головной кредитной организации банковской группы) в основном и резервном помещениях и (или) их доступа к данным и информации;
определение работников (подразделений) кредитной организации (головной кредитной организации банковской группы), способных заместить работников (подразделения), обеспечивающих (обеспечивающие) осуществление критически важных процессов в штатном режиме функционирования процессов кредитной организации (головной кредитной организации банковской группы), в случае невозможности выполнения ими своих функций при реализации события риска нарушения непрерывности деятельности;
обеспечение передачи функций, операций, услуг, процессов и (или) этапов процессов кредитной организации (головной кредитной организации банковской группы) на аутсорсинг третьим лицам (внешним подрядчикам, контрагентам, участникам банковской группы) в случае невозможности их выполнения собственными силами кредитной организации (головной кредитной организации банковской группы).
При разработке комплекса мер, направленных на уменьшение негативного влияния риска нарушения непрерывности деятельности, кредитной организации (головной кредитной организации банковской группы) рекомендуется обеспечить:
диверсификацию рисков при выборе резервных помещений, определении мест хранения данных и информации, выборе третьих лиц (внешних подрядчиков, контрагентов, участников банковской группы) для передачи функций, операций, услуг, процессов и (или) этапов процессов кредитной организации (головной кредитной организации банковской группы) на аутсорсинг при реализации события риска нарушения непрерывности деятельности, в том числе по географическим зонам;
исключение зависимости между элементами архитектуры информационных систем и резервными элементами информационных систем, обеспечивающими осуществление критически важных процессов;
непревышение предельно допустимого уровня концентрации операционного риска на отдельных этапах процессов кредитной организации (головной кредитной организации банковской группы), нарушение непрерывности осуществления которых может повлечь нарушение непрерывности осуществления двух и (или) более критически важных процессов кредитной организации (головной кредитной организации банковской группы) (исключение единой точки отказа критически важных процессов).
Рекомендации по дополнительным мерам, направленным на уменьшение негативного влияния риска нарушения непрерывности деятельности, связанного с нарушением операционной надежности в результате реализации информационных угроз, определены положениями раздела 7 ГОСТ Р 57580.4-2022.
Глава 7. Рекомендации по планированию обеспечения (восстановления) операционной устойчивости, операционной надежности
7.1. Кредитной организации (головной кредитной организации банковской группы) рекомендуется определить планы обеспечения (восстановления) операционной устойчивости, операционной надежности для каждого сценария нарушения операционной устойчивости и (или) сценария нарушения операционной надежности соответственно.
7.2. В планы обеспечения (восстановления) операционной устойчивости, операционной надежности кредитной организации (головной кредитной организации банковской группы) рекомендуется включать:
целевые уровни осуществления процессов и целевое время восстановления процессов в соответствии с пунктами 6.2 и 6.3 главы 6 настоящих Методических рекомендаций;
перечень ресурсов (кадровых, финансовых, технологических и иных), необходимых для обеспечения целевых уровней осуществления процессов в соответствии с пунктом 6.3 главы 6 настоящих Методических рекомендаций;
порядок реализации планов обеспечения (восстановления) операционной устойчивости, операционной надежности, включая критерии нарушения непрерывности осуществления процессов в соответствии с пунктом 6.3 настоящих Методических рекомендаций, и порядок принятия решения о начале осуществления процессов кредитной организации (головной кредитной организации банковской группы) в режиме функционирования, предусмотренном планами обеспечения (восстановления) операционной устойчивости, операционной надежности;
порядок взаимодействия между органами управления кредитной организации (головной кредитной организации банковской группы), подразделениями и работниками кредитной организации (головной кредитной организации банковской группы) в рамках реализации планов обеспечения (восстановления) операционной устойчивости, операционной надежности, в том числе процедуру информирования о реализации события риска нарушения непрерывности деятельности;
инструкции для подразделений и работников кредитной организации (головной кредитной организации банковской группы), содержащие описание действий в рамках реализации планов обеспечения (восстановления) операционной устойчивости, операционной надежности и контактную информацию;
порядок завершения осуществления процессов в режиме функционирования, предусмотренном планами обеспечения (восстановления) операционной устойчивости, операционной надежности, и возврата к штатному режиму функционирования процессов кредитной организации (головной кредитной организации банковской группы).
7.3. Утверждение планов обеспечения (восстановления) операционной устойчивости, операционной надежности рекомендуется относить к полномочиям коллегиального исполнительного органа кредитной организации (головной кредитной организации банковской группы).
7.4. Кредитной организации (головной кредитной организации банковской группы) рекомендуется определить критерии и порядок проведения пересмотра планов обеспечения (восстановления) операционной устойчивости, операционной надежности в случае внесения изменений в критически важные процессы и (или) информационные системы, используемые при выполнении критически важных процессов.
7.5. Пересмотр планов обеспечения (восстановления) операционной устойчивости, операционной надежности рекомендуется проводить не реже одного раза в год.
7.6. Для сценариев, указанных в пункте 1.5 главы 1 настоящих Методических рекомендаций, кредитной организации (головной кредитной организации банковской группы) рекомендуется определить планы обеспечения (восстановления) операционной устойчивости, операционной надежности в качестве модулей плана действий, направленных на обеспечение непрерывности деятельности и (или) восстановление деятельности кредитной организации в случае возникновения нестандартных и чрезвычайных ситуаций, указанных в абзаце втором пункта 6 приложения 5 к Положению Банка России N 242-П.
Глава 8. Рекомендации по тестированию планов обеспечения (восстановления) операционной устойчивости, операционной надежности
8.1. Кредитной организации (головной кредитной организации банковской группы) рекомендуется определить порядок проведения тестирования планов обеспечения (восстановления) операционной устойчивости, операционной надежности.
8.2. Кредитной организации (головной кредитной организации банковской группы) рекомендуется ежегодно разрабатывать и утверждать план проведения тестирования планов обеспечения (восстановления) операционной устойчивости, операционной надежности, который включает:
описание этапов тестирования, формируемых из тестируемых сценариев нарушения операционной устойчивости и (или) тестируемых этапов планов обеспечения (восстановления) операционной устойчивости, операционной надежности (далее - этапы тестирования), включая целевые уровни осуществления процессов и целевое время восстановления процессов в соответствии с пунктами 6.2 и 6.3 главы 6 настоящих Методических рекомендаций;
порядок взаимодействия подразделений и работников кредитной организации (головной кредитной организации банковской группы) в рамках проведения тестирования планов обеспечения (восстановления) операционной устойчивости, операционной надежности;
перечень подразделений и работников кредитной организации (головной кредитной организации банковской группы) на каждом этапе тестирования;
сроки проведения тестирования планов обеспечения (восстановления) операционной устойчивости, операционной надежности, включая сроки проведения этапов тестирования.
8.3. Для целей повышения эффективности тестирования планов обеспечения (восстановления) операционной устойчивости, операционной надежности кредитной организации (головной кредитной организации банковской группы) рекомендуется обеспечить чередование участвующих в тестировании подразделений и работников кредитной организации (головной кредитной организации банковской группы).
8.4. Кредитной организации (головной кредитной организации банковской группы) рекомендуется обеспечить участие третьих лиц (внешних подрядчиков, контрагентов, участников банковской группы), обеспечивающих выполнение критически важных процессов (при наличии), в тестировании планов обеспечения (восстановления) операционной устойчивости, операционной надежности.
8.5. Кредитной организации (головной кредитной организации банковской группы) по итогам проведения тестирования планов обеспечения (восстановления) операционной устойчивости, операционной надежности рекомендуется составлять отчет о результатах тестирования, который включает:
список подразделений, работников кредитной организации (головной кредитной организации банковской группы) и третьих лиц (внешних подрядчиков, контрагентов, участников банковской группы) (при наличии), принявших участие в тестировании;
описание тестируемых сценариев нарушения операционной устойчивости и (или) этапов тестирования;
время, затраченное на тестирование планов обеспечения (восстановления) операционной устойчивости, операционной надежности, включая этапы тестирования;
анализ результатов тестирования, включая показатели выполнения целевых уровней осуществления процессов и целевого времени восстановления процессов;
описание выявленных недостатков планов обеспечения (восстановления) операционной устойчивости, операционной надежности;
план мероприятий, направленный на устранение выявленных недостатков и повышение эффективности планов обеспечения (восстановления) операционной устойчивости, операционной надежности.
8.6. Кредитной организации (головной кредитной организации банковской группы) рекомендуется проводить тестирование планов обеспечения (восстановления) операционной устойчивости, операционной надежности в разрезе направлений деятельности, в том числе составляющих их процессов, не реже одного раза в год.
8.7. Кредитной организации (головной кредитной организации банковской группы) рекомендуется определить условия и процедуру проведения дополнительного тестирования планов обеспечения (восстановления) операционной устойчивости, операционной надежности (например, внеплановое тестирование при внесении изменений в критически важные процессы и (или) информационные системы, используемые при выполнении критически важных процессов, повторное тестирование по результатам устранения выявленных недостатков и повышения эффективности планов обеспечения (восстановления) операционной устойчивости, операционной надежности).
8.8. Кредитной организации (головной кредитной организации банковской группы) рекомендуется определить процедуру представления отчетов о результатах тестирования планов обеспечения (восстановления) операционной устойчивости, операционной надежности коллегиальному исполнительному органу кредитной организации (головной кредитной организации банковской группы).
8.9. Кредитной организации (головной кредитной организации банковской группы) рекомендуется определить условия и процедуру проведения пересмотра планов обеспечения (восстановления) операционной устойчивости, операционной надежности по результатам проведения их тестирования.
8.10. Тестирование планов обеспечения (восстановления) операционной устойчивости, операционной надежности рекомендуется осуществлять с применением мер, предусмотренных пунктом 7.6 раздела 7 ГОСТ Р 57580.4-2022, связанных с тестированием готовности кредитной организации (головной кредитной организации банковской группы) противостоять реализации информационных угроз.
Глава 9. Рекомендации по повышению осведомленности, обучению и развитию навыков работников кредитной организации (головной кредитной организации банковской группы)
9.1. Кредитной организации (головной кредитной организации банковской группы) рекомендуется определить перечень и периодичность мероприятий, направленных на повышение осведомленности, обучение и развитие навыков работников кредитной организации (головной кредитной организации банковской группы) в области обеспечения операционной устойчивости.
9.2. В рамках указанных мероприятий кредитной организации (головной кредитной организации банковской группы) рекомендуется обеспечить ознакомление работников кредитной организации (головной кредитной организации банковской группы) со следующей информацией:
порядок реализации планов обеспечения (восстановления) операционной устойчивости, операционной надежности, в том числе с описанием последних внесенных в него изменений;
порядок взаимодействия между органами управления кредитной организации (головной кредитной организации банковской группы), подразделениями и работниками кредитной организации (головной кредитной организации банковской группы) в рамках реализации планов обеспечения (восстановления) операционной устойчивости, операционной надежности;
порядок доступа к ресурсам, необходимым работникам (подразделениям) кредитной организации (головной кредитной организации банковской группы) для осуществления процессов в режиме функционирования, предусмотренном планами обеспечения (восстановления) операционной устойчивости, операционной надежности.
Глава 10. Рекомендации по информированию о реализации события риска нарушения непрерывности деятельности
10.1. Кредитной организации (головной кредитной организации банковской группы) рекомендуется обеспечить своевременное информирование клиентов, акционеров, органов управления, работников кредитной организации (головной кредитной организации банковской группы), третьих лиц (внешних подрядчиков, контрагентов, участников банковской группы) и других заинтересованных лиц, определенных кредитной организацией (головной кредитной организацией банковской группы) (далее - информирование заинтересованных лиц), о реализации события риска нарушения непрерывности деятельности и начале осуществления процессов кредитной организации (головной кредитной организации банковской группы) в режиме функционирования, предусмотренном планами обеспечения (восстановления) операционной устойчивости, операционной надежности.
10.2. Кредитной организации (головной кредитной организации банковской группы) рекомендуется включать тестирование выбранных способов информирования заинтересованных лиц в план проведения тестирования планов обеспечения (восстановления) операционной устойчивости, операционной надежности в соответствии с пунктом 8.2 главы 8 настоящих Методических рекомендаций.
Глава 11. Рекомендации по реализации процедур ситуационного управления при реализации события риска нарушения непрерывности деятельности
11.1. Кредитной организации (головной кредитной организации банковской группы) рекомендуется определить процедуры ситуационного управления, включая порядок принятия решений, при реализации события риска нарушения непрерывности деятельности (далее - процедуры ситуационного управления).
11.2. Кредитной организации (головной кредитной организации банковской группы) рекомендуется определить ситуационный комитет в виде уполномоченного коллегиального органа (комитета коллегиального органа), формируемого для целей проведения процедур ситуационного управления (далее - ситуационный комитет).
11.3. В состав полномочий ситуационного комитета кредитной организации (головной кредитной организации банковской группы) рекомендуется включать координацию взаимодействия подразделений и работников кредитной организации (головной кредитной организации банковской группы) в рамках реализации планов обеспечения (восстановления) операционной устойчивости, операционной надежности и обеспечение оперативного информирования заинтересованных лиц о ходе их реализации.
11.4. Кредитной организации (головной кредитной организации банковской группы) рекомендуется включать тестирование процедур ситуационного управления в план проведения тестирования планов обеспечения (восстановления) операционной устойчивости, операционной надежности в соответствии с пунктом 8.2 главы 8 настоящих Методических рекомендаций.
11.5. В случае если в кредитной организации (головной кредитной организации банковской группы) сформирован орган чрезвычайного управления в соответствии с пунктом 10 приложения 5 к Положению Банка России N 242-П, на него по решению кредитной организации (головной кредитной организации банковской группы) рекомендуется возложить функции ситуационного комитета.
Глава 12. Рекомендации по формированию отчетов по риску нарушения непрерывности деятельности
12.1. Должностному лицу, ответственному за обеспечение операционной устойчивости, рекомендуется формировать отчеты по риску нарушения непрерывности деятельности, направляемые на рассмотрение коллегиальному исполнительному органу кредитной организации (головной кредитной организации банковской группы), в дополнение к отчетам, формируемым подразделением кредитной организации (головной кредитной организации банковской группы), ответственным за организацию управления операционным риском, в соответствии с пунктом 4.2 Положения Банка России N 716-П.
12.2. В состав отчетов по риску нарушения непрерывности деятельности рекомендуется включать информацию, характеризующую уровень риска нарушения непрерывности деятельности в кредитной организации (головной кредитной организации банковской группы), с учетом требований к информации, включаемой в отчеты, формируемые подразделением кредитной организации (головной кредитной организации банковской группы), ответственным за организацию управления операционным риском,
12.2. в соответствии с подпунктами 4.2.2, 4.2.4 пункта 4.2 Положения Банка России N 716-П.
12.3. Кредитной организации (головной кредитной организации банковской группы) рекомендуется установить порядок и сроки представления отчетов по риску нарушения непрерывности деятельности.
Глава 13. Заключительные положения
13.1. Настоящие Методические рекомендации Банка России подлежат опубликованию в "Вестнике Банка России" и размещению на официальном сайте Банка России в информационно-телекоммуникационной сети "Интернет".
Заместитель Председателя Банка России
О.В.ПОЛЯКОВА
Приложение
к Методическим рекомендациям Банка
России по управлению риском нарушения
непрерывности деятельности в кредитной
организации и банковской группе
РЕКОМЕНДУЕМЫЙ ПЕРЕЧЕНЬ
СЦЕНАРИЕВ НАРУШЕНИЯ ОПЕРАЦИОННОЙ УСТОЙЧИВОСТИ
1. В перечень сценариев нарушения операционной устойчивости (далее - Перечень), формируемый в соответствии с пунктом 4.3 главы 4 настоящих Методических рекомендаций, рекомендуется включать сценарии с высоким уровнем вероятности их реализации в кредитной организации (головной кредитной организации банковской группы), в том числе:
недоступность (потеря) данных и информации, необходимых для выполнения критически важных процессов (например, в результате кибератак, действий персонала, выхода из строя носителей информации, недоступности центра обработки данных);
отключение (перебои) подачи электроэнергии в помещения, используемые в штатном режиме функционирования процессов кредитной организации (головной кредитной организации банковской группы);
выход из строя вычислительной сети в результате отказа объектов информационной инфраструктуры, цифровых каналов и (или) устройств связи;
недоступность информационных систем и (или) объектов информационной инфраструктуры, обеспечивающих критически важные процессы;
недоступность помещений (их части), предназначенных (предназначенной) для осуществления процессов кредитной организации (головной кредитной организации банковской группы), в результате природных факторов, включая стихийные бедствия (пожары, наводнения, землетрясения, ураганы), и (или) прочих внешних факторов, указанных в пункте 5 приложения 4 к Положению Банка России N 716-П;
недоступность (нарушение функционирования) инфраструктуры, обеспечивающей осуществление процессов (транспортной инфраструктуры, коммунальной инфраструктуры, информационных и телекоммуникационных систем, иных объектов инфраструктуры);
недоступность (потеря) руководства, ключевого управленческого персонала кредитной организации (головной кредитной организации банковской группы);
недоступность работников по причине забастовок;
недоступность работников в условиях эпидемий, пандемий;
недоступность (отказ от предоставления товаров и (или) выполнения работ (оказания услуг) третьих лиц (внешних подрядчиков, контрагентов, участников банковской группы), обеспечивающих выполнение критически важных процессов;
сценарии, предусматривающие одновременное возникновение нескольких событий риска нарушения непрерывности деятельности.
2. Перечень также может быть дополнен кредитной организацией (головной кредитной организацией банковской группы) сценариями нарушения операционной устойчивости, характерными для конкретной кредитной организации (головной кредитной организации банковской группы) в зависимости от осуществляемых операций и (или) действующих процессов, изменяющихся внешних факторов и стратегических планов развития кредитной организации (головной кредитной организации банковской группы), результатов процедур управления операционным риском, оценки эффективности функционирования системы управления операционным риском, проведенной уполномоченным подразделением кредитной организации (головной кредитной организации банковской группы).
3. Дополнительные рекомендации по формированию Перечня приведены в пункте 7.6 ГОСТ Р 57580.4-2022.