ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ
ПОЛОЖЕНИЕ
от 13 января 2025 г. N 850-П
ОБ ОБЯЗАТЕЛЬНЫХ ДЛЯ КРЕДИТНЫХ ОРГАНИЗАЦИЙ, ИНОСТРАННЫХ
БАНКОВ, ОСУЩЕСТВЛЯЮЩИХ ДЕЯТЕЛЬНОСТЬ НА ТЕРРИТОРИИ РОССИЙСКОЙ
ФЕДЕРАЦИИ ЧЕРЕЗ СВОИ ФИЛИАЛЫ, ТРЕБОВАНИЯХ К ОПЕРАЦИОННОЙ
НАДЕЖНОСТИ ПРИ ОСУЩЕСТВЛЕНИИ БАНКОВСКОЙ ДЕЯТЕЛЬНОСТИ
В ЦЕЛЯХ ОБЕСПЕЧЕНИЯ НЕПРЕРЫВНОСТИ ОКАЗАНИЯ
БАНКОВСКИХ УСЛУГ
Настоящее Положение на основании статьи 57.5 Федерального закона
от 10 июля 2002 года N 86-ФЗ "О Центральном банке Российской Федерации (Банке России)" устанавливает обязательные для кредитных организаций, иностранных банков, осуществляющих деятельность на территории Российской Федерации через свои филиалы, требования к операционной надежности при осуществлении банковской деятельности в целях обеспечения непрерывности оказания банковских услуг.
1. Кредитные организации, за исключением центрального контрагента в значении, установленном пунктом 17 статьи 2 Федерального закона
от 7 февраля 2011 года N 7-ФЗ "О клиринге, клиринговой деятельности и центральном контрагенте", и центрального депозитария в значении, установленном в статье 2 Федерального закона
от 7 декабря 2011 года N 414-ФЗ "О центральном депозитарии" (далее - кредитные организации), иностранные банки, осуществляющие деятельность на территории Российской Федерации через свои филиалы (далее - филиалы иностранных банков), должны выполнять установленные настоящим Положением требования к операционной надежности при осуществлении банковской деятельности в целях обеспечения непрерывности оказания банковских услуг (далее - требования к операционной надежности) с использованием автоматизированных систем, программного обеспечения, средств вычислительной техники, телекоммуникационного оборудования (далее - объекты информационной инфраструктуры) путем обеспечения непрерывности выполнения технологических процессов, указанных в приложении 1 к настоящему Положению (далее - технологические процессы), с соблюдением порогового уровня допустимого времени простоя и (или) нарушения технологических процессов, приводящих к неоказанию или ненадлежащему оказанию банковских услуг (далее - пороговый уровень допустимого времени простоя и (или) деградации технологических процессов), при:
возникновении отказов и (или) нарушений функционирования объектов информационной инфраструктуры, и (или) несоответствии их функциональных возможностей и характеристик потребностям кредитных организаций, филиалов иностранных банков (далее - сбои объектов информационной инфраструктуры);
реализации риска преднамеренных действий со стороны работников кредитной организации, филиала иностранного банка и (или) третьих лиц с использованием программных и (или) программно-аппаратных средств, направленных на объекты информационной инфраструктуры кредитной организации, филиала иностранного банка в целях нарушения и (или) прекращения их функционирования, и (или) создания угрозы безопасности информации, подготавливаемой, обрабатываемой и хранимой такими объектами, а также в целях несанкционированного присвоения, хищения, изменения, удаления данных и иной информации (структуры данных, параметров и характеристик систем, программного кода) и нарушения режима доступа.
Кредитные организации должны выполнять установленные настоящим Положением требования к операционной надежности наряду с требованиями к системе управления операционным риском, установленными Положением Банка России
от 8 апреля 2020 года N 716-П "О требованиях к системе управления операционным риском в кредитной организации и банковской группе" <1> (далее - Положение Банка России N 716-П).
--------------------------------
<1> Зарегистрировано Минюстом России 3 июня 2020 года, регистрационный N 58577, с изменениями, внесенными Указаниями Банка России от 25 марта 2022 года N 6103-У (зарегистрировано Минюстом России 30 августа 2022 года, регистрационный N 69846),
от 22 октября 2024 года N 6906-У (зарегистрировано Минюстом России 2 апреля 2025 года, регистрационный N 81718).
2. Кредитные организации, филиалы иностранных банков в рамках обеспечения операционной надежности не должны допускать превышения предусмотренных приложением 1 к настоящему Положению значений порогового уровня допустимого времени простоя и (или) деградации технологических процессов.
Кредитные организации, признанные значимыми на рынке платежных услуг в соответствии с абзацем шестым пункта 2 Указания Банка России
от 6 ноября 2014 года N 3439-У "О порядке признания Банком России кредитных организаций значимыми на рынке платежных услуг" <2> (далее - Указание Банка России N 3439-У), в рамках обеспечения операционной надежности должны обеспечить соблюдение предусмотренных приложением 1 к настоящему Положению значений порогового уровня допустимого времени простоя и (или) деградации технологических процессов для кредитных организаций, признанных значимыми на рынке платежных услуг в соответствии Указанием Банка России N 3439-У, не позднее шести месяцев с даты признания кредитных организаций значимыми на рынке платежных услуг в соответствии Указанием Банка России N 3439-У.
--------------------------------
<2> Зарегистрировано Минюстом России 3 декабря 2014 года, регистрационный N 35075, с изменениями, внесенными Указаниями Банка России
от 27 октября 2016 года N 4170-У (зарегистрировано Минюстом России 16 ноября 2016 года, регистрационный N 44349),
от 2 ноября 2017 года N 4597-У (зарегистрировано Минюстом России 27 ноября 2017 года, регистрационный N 49019), от 14 мая 2024 года N 6726-У (зарегистрировано Минюстом России 14 июня 2024 года, регистрационный N 78561),
от 16 августа 2024 года N 6825-У (зарегистрировано Минюстом России 21 августа 2024 года, регистрационный N 79230).
3. Кредитные организации, филиалы иностранных банков ежеквартально должны определять во внутренних документах для каждого технологического процесса планируемую продолжительность времени работы (функционирования) технологических процессов в течение следующего квартала.
При определении планируемой продолжительности времени работы (функционирования) технологических процессов в расчет не включаются периоды времени плановых технологических операций, связанных с приостановлением (частичным приостановлением) технологических процессов и проводимых в соответствии с внутренними документами кредитных организаций, филиалов иностранных банков.
4. Кредитные организации с соблюдением требований главы 5 Положения Банка России N 716-П должны установить для каждого технологического процесса и соблюдать сигнальные и контрольные значения, предусмотренные пунктом 5.1 Положения Банка России N 716-П, для следующих контрольных показателей уровня операционного риска для целей обеспечения операционной надежности (далее - показатели операционной надежности):
допустимого отношения общего количества банковских операций и иных операций, осуществляемых в рамках технологического процесса, совершенных во время нарушений технологических процессов, приводящих к неоказанию или ненадлежащему оказанию банковских услуг (далее - деградация технологического процесса), в рамках события операционного риска или серии связанных событий операционного риска, вызванных информационными угрозами и (или) сбоями объектов информационной инфраструктуры, которые привели к неоказанию или ненадлежащему оказанию банковских услуг (далее - инцидент операционной надежности), к ожидаемому количеству банковских операций и иных операций, осуществляемых в рамках технологических процессов, за тот же период в случае непрерывного оказания банковских услуг, установленного кредитной организацией (далее - допустимая доля деградации технологического процесса);
допустимого времени простоя и (или) деградации технологических процессов кредитных организаций в рамках инцидента операционной надежности (в случае несоблюдения в течение временного периода, превышающего пять минут, сигнального значения допустимой доли деградации технологического процесса);
допустимого суммарного времени простоя и (или) деградации технологического процесса кредитных организаций (в случае несоблюдения в течение временного периода, превышающего пять минут, сигнального значения допустимой доли деградации технологического процесса) в течение очередного календарного года.
Сигнальное и контрольное значения допустимой доли деградации технологического процесса должны устанавливаться кредитной организацией на основании статистических данных за период не менее двенадцати календарных месяцев, предшествующих дате определения сигнального и контрольного значений данного показателя операционной надежности, за исключением случая, предусмотренного абзацем шестым настоящего пункта, и (или) иных данных, обосновывающих установление указанных значений допустимой доли деградации технологического процесса (по выбору кредитных организаций).
В случае если технологический процесс функционирует менее двенадцати календарных месяцев, кредитные организации должны устанавливать сигнальное и контрольное значения допустимой доли деградации технологического процесса на основании статистических данных за период с даты начала его функционирования и (или) иных данных, обосновывающих установление указанных значений допустимой доли деградации технологического процесса (по выбору кредитных организаций).
При установлении сигнального и контрольного значений допустимой доли деградации технологического процесса кредитные организации должны установить сигнальное и контрольное значения не ниже значений, предусмотренных приложением 2 к настоящему Положению.
Контрольное значение показателя операционной надежности, указанного в абзаце третьем настоящего пункта, устанавливается кредитными организациями не выше значений, предусмотренных приложением 1 к настоящему Положению.
Кредитные организации, признанные значимыми на рынке платежных услуг в соответствии с абзацем шестым пункта 2 Указания Банка России N 3439-У, должны установить и соблюдать предусмотренные приложением 2 к настоящему Положению сигнальные и контрольные значения допустимой доли деградации технологических процессов для кредитных организаций, признанных значимыми на рынке платежных услуг в соответствии Указанием Банка России N 3439-У, не позднее шести месяцев с даты признания кредитных организаций значимыми на рынке платежных услуг в соответствии с Указанием Банка России N 3439-У.
5. В случаях несоблюдения в течение временного периода, превышающего пять минут, сигнального значения допустимой доли деградации технологических процессов кредитные организации должны фиксировать:
фактическое время простоя и (или) деградации технологического процесса, исчисляемое по каждому инциденту операционной надежности (с момента нарушения технологического процесса, приводящего к неоказанию или ненадлежащему оказанию банковских услуг, в связи с возникновением события или серии связанных событий, вызванных информационными угрозами и (или) сбоями объектов информационной инфраструктуры, до момента восстановления технологического процесса);
фактическую долю деградации технологического процесса в рамках отдельного инцидента операционной надежности;
суммарное время простоя и (или) деградации технологического процесса за последние двенадцать календарных месяцев.
Филиалы иностранных банков в случае простоя технологических процессов в течение временного периода, превышающего значения порогового уровня допустимого времени простоя и (или) деградации технологических процессов, предусмотренных приложением 1 к настоящему Положению, должны фиксировать фактическое время простоя технологического процесса (с момента нарушения технологического процесса, приводящего к неоказанию банковских услуг, в связи с возникновением события или серии связанных событий, вызванных информационными угрозами и (или) сбоями объектов информационной инфраструктуры, до момента восстановления технологического процесса).
При определении времени простоя и (или) деградации технологических процессов в расчет не включаются периоды времени плановых технологических операций, связанных с приостановлением (частичным приостановлением) технологических процессов и проводимых в соответствии с внутренними документами кредитных организаций, филиалов иностранных банков.
6. Кредитные организации должны не реже одного раза в год проводить анализ необходимости пересмотра значений показателей операционной надежности.
7. Кредитные организации с соблюдением требований к управлению риском информационной безопасности и риском информационных систем, определенных главами 7 и 8 Положения Банка России N 716-П, и филиалы иностранных банков должны разработать и выполнять требования к операционной надежности, которые включают в себя:
требования к идентификации состава элементов, указанных в подпункте 7.1 настоящего пункта;
требования к управлению изменениями элементов, указанных в подпункте 7.1 настоящего пункта;
требования к взаимодействию с третьими лицами (внешними подрядчиками, контрагентами, участниками банковской группы), оказывающими услуги в сфере информационных технологий, связанные с выполнением технологических процессов (далее - поставщики услуг в сфере информационных технологий);
требования к тестированию операционной надежности технологических процессов;
требования к принятию мер, направленных на нейтрализацию информационных угроз, обусловленных несанкционированным доступом к объектам информационной инфраструктуры работников кредитных организаций, филиалов иностранных банков или работников поставщиков услуг в сфере информационных технологий, обладающих полномочиями доступа к объектам информационной инфраструктуры (далее - внутренний нарушитель);
требования к обеспечению осведомленности кредитных организаций, филиалов иностранных банков об актуальных информационных угрозах.
Кредитные организации дополнительно должны разработать и выполнять требования к операционной надежности в части выявления, регистрации инцидентов операционной надежности и реагирования на них, а также восстановления выполнения технологических процессов и функционирования объектов информационной инфраструктуры после реализации указанных инцидентов с соблюдением установленных главой 7 Положения Банка России N 716-П требований к выявлению событий риска информационной безопасности, порядку реагирования на выявленные события риска информационной безопасности и восстановлению деятельности кредитной организации в случае реализации таких событий.
7.1. Кредитные организации, филиалы иностранных банков должны организовать учет и контроль состава следующих элементов (далее при совместном упоминании - критичная архитектура):
технологических процессов, реализуемых непосредственно кредитными организациями, филиалами иностранных банков;
подразделений (работников) кредитных организаций, филиалов иностранных банков, ответственных за разработку технологических процессов, поддержание их выполнения, реализацию технологических процессов (далее - подразделения кредитных организаций, филиалов иностранных банков);
объектов информационной инфраструктуры кредитных организаций, филиалов иностранных банков, задействованных при выполнении каждого технологического процесса;
технологических участков, предусмотренных подпунктом 5.2 пункта 5 Положения Банка России
от 30 января 2025 года N 851-П "Об установлении обязательных для кредитных организаций, иностранных банков, осуществляющих деятельность на территории Российской Федерации через свои филиалы, требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента" <2(1)> (далее соответственно - технологические участки, Положение Банка России N 851-П), в рамках технологических процессов, реализуемых непосредственно кредитными организациями, филиалами иностранных банков;
--------------------------------
<2(1)> Зарегистрировано Минюстом России 6 марта 2025 года, регистрационный N 81462.
технологических процессов, технологических участков в рамках технологических процессов, реализуемых поставщиками услуг в сфере информационных технологий;
работников кредитных организаций, филиалов иностранных банков или иных лиц, осуществляющих физический и (или) логический доступ, или программных сервисов, осуществляющих логический доступ к объектам информационной инфраструктуры (далее - субъекты доступа), задействованных при выполнении каждого технологического процесса;
взаимосвязей и взаимозависимостей кредитных организаций, филиалов иностранных банков с иными кредитными организациями, филиалами иностранных банков, некредитными финансовыми организациями, поставщиками услуг в сфере информационных технологий в рамках выполнения технологических процессов (далее при совместном упоминании - участники технологического процесса);
каналов передачи защищаемой информации, установленной пунктом 1 Положения Банка России N 851-П, обрабатываемой и передаваемой в рамках технологических процессов участниками технологического процесса.
В целях организации учета и контроля состава технологических процессов, технологических участков в рамках технологических процессов, реализуемых поставщиками услуг в сфере информационных технологий, кредитные организации, филиалы иностранных банков должны вести отдельный реестр, содержащий сведения об указанных поставщиках услуг.
Кредитные организации в отношении элементов критичной архитектуры, являющихся значимыми объектами критической информационной инфраструктуры в соответствии с пунктом 3 статьи 2 Федерального закона
от 26 июля 2017 года N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации" (далее - Федеральный закон N 187-ФЗ), должны выполнять требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры, установленные в соответствии с пунктом 4 части 3 статьи 6 Федерального закона N 187-ФЗ.
7.2. Кредитные организации, филиалы иностранных банков должны выполнять требования к управлению изменениями критичной архитектуры, включающие:
организацию и выполнение процедур управления изменениями в критичной архитектуре, включая планирование и внедрение изменений в критичной архитектуре, направленных на обеспечение недопустимости неоказания или ненадлежащего оказания банковских услуг;
управление конфигурациями (настраиваемыми параметрами) объектов информационной инфраструктуры;
управление уязвимостями и обновлениями (исправлениями) объектов информационной инфраструктуры.
7.3. Кредитные организации должны выполнять требования к выявлению, регистрации инцидентов операционной надежности и реагированию на них, а также восстановлению выполнения технологических процессов и функционирования объектов информационной инфраструктуры после реализации таких инцидентов, включающие:
выявление и регистрацию инцидентов операционной надежности;
реагирование на инциденты операционной надежности в отношении критичной архитектуры;
восстановление функционирования технологических процессов и объектов информационной инфраструктуры после реализации инцидентов операционной надежности;
анализ причин и последствий реализации инцидентов операционной надежности;
организацию взаимодействия между подразделениями кредитных организаций, а также между кредитными организациями и Банком России, иными участниками технологического процесса в рамках реагирования на инциденты операционной надежности и восстановления выполнения технологических процессов и функционирования объектов информационной инфраструктуры после реализации инцидентов операционной надежности.
Филиалы иностранных банков должны определить мероприятия по выявлению, регистрации случаев простоя технологических процессов и реагированию на них, а также восстановлению выполнения технологических процессов.
7.4. Кредитные организации, филиалы иностранных банков должны выполнять требования к взаимодействию с поставщиками услуг в сфере информационных технологий, включающие:
принятие мер, направленных на нейтрализацию информационных угроз, связанных с привлечением поставщиков услуг в сфере информационных технологий, в том числе защиту объектов информационной инфраструктуры от возможной реализации информационных угроз со стороны поставщиков услуг в сфере информационных технологий;
принятие мер, направленных на нейтрализацию информационных угроз, обусловленных технологической зависимостью функционирования объектов информационной инфраструктуры кредитных организаций, филиалов иностранных банков от поставщиков услуг в сфере информационных технологий.
7.5. Кредитные организации в части тестирования операционной надежности технологических процессов должны принимать организационные и технические меры, направленные на проведение сценарного анализа в составе качественной оценки уровня операционного риска, требования к которой установлены подпунктом 2.1.5 пункта 2.1 Положения Банка России N 716-П (в части возможной реализации информационных угроз в отношении критичной архитектуры, а также возникновения сбоев объектов информационной инфраструктуры), и проводить с использованием результатов сценарного анализа тестирование готовности кредитной организации противостоять реализации информационных угроз в отношении критичной архитектуры.
Филиалы иностранных банков в части тестирования операционной надежности технологических процессов должны определить периодичность и программу тестирования готовности филиала иностранного банка противостоять реализации информационных угроз в отношении критичной архитектуры и проводить тестирование операционной надежности технологических процессов в соответствии с программой тестирования готовности филиала иностранного банка противостоять реализации информационных угроз в отношении критичной архитектуры.
7.6. Кредитные организации, филиалы иностранных банков в части принятия мер, направленных на нейтрализацию угроз со стороны внутреннего нарушителя, разрабатывают и принимают организационные и технические меры в отношении субъектов доступа, привлекаемых в рамках выполнения технологических процессов, направленные на исключение возможности несанкционированного использования предоставленных указанным субъектам доступа полномочий.
7.7. Кредитные организации, филиалы иностранных банков должны выполнять требования к обеспечению осведомленности об информационных угрозах, включающие:
организацию взаимодействия кредитных организаций, филиалов иностранных банков и иных участников технологического процесса при обмене информацией об актуальных сценариях реализации информационных угроз;
использование информации об актуальных сценариях реализации информационных угроз в целях обеспечения непрерывного оказания банковских услуг.
8. Кредитные организации, филиалы иностранных банков должны принимать меры, направленные на нейтрализацию угроз в отношении возникновения зависимости обеспечения операционной надежности от работников кредитных организаций, филиалов иностранных банков, обладающих уникальными знаниями, опытом и компетенцией в области разработки технологических процессов, поддержания их выполнения, реализации технологических процессов, которые отсутствуют у иных работников указанных кредитных организаций, филиалов иностранных банков.
Кредитные организации, филиалы иностранных банков должны обеспечить защиту критичной архитектуры от возможной реализации информационных угроз в условиях дистанционной (удаленной) работы работников кредитных организаций, филиалов иностранных банков.
9. Кредитные организации, размер активов которых составляет 500 миллиардов рублей и более на начало текущего отчетного года в соответствии со значением статьи "Всего активов", определяемым в соответствии с Разработочной таблицей для составления бухгалтерского баланса (публикуемой формы) пункта 3 Порядка составления и представления отчетности по форме 0409806 "Бухгалтерский баланс (публикуемая форма)", установленного приложением 1 к Указанию Банка России от 10 апреля 2023 года N 6406-У "О формах, сроках, порядке составления и представления отчетности кредитных организаций (банковских групп) в Центральный банк Российской Федерации, а также о перечне информации о деятельности кредитных организаций (банковских групп)" <3>, и которые являются субъектами критической информационной инфраструктуры в соответствии с пунктом 8 статьи 2 Федерального закона N 187-ФЗ, должны выполнять требования, направленные на противодействие целевым компьютерным атакам в зависимости от уровня опасности, установленные федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации.
--------------------------------
<3> Зарегистрировано Минюстом России 16 августа 2023 года, регистрационный N 74823, с изменениями, внесенными Указаниями Банка России
от 8 декабря 2023 года N 6621-У (зарегистрировано Минюстом России 22 января 2024 года, регистрационный N 76927),
от 12 марта 2024 года N 6688-У (зарегистрировано Минюстом России 29 мая 2024 года, регистрационный N 78345),
от 10 июля 2024 года N 6800-У (зарегистрировано Минюстом России 25 октября 2024 года, регистрационный N 79916),
от 4 сентября 2024 года N 6840-У (зарегистрировано Минюстом России 10 октября 2024 года, регистрационный N 79758),
от 16 декабря 2024 года N 6961-У (зарегистрировано Минюстом России 19 декабря 2024 года, регистрационный N 80633).
10. Кредитные организации в целях обеспечения непрерывности оказания банковских услуг должны использовать прошедшие в Банке России с положительным результатом проверку возможности адаптации оборудования для обработки наличных денег без привлечения иностранных физических или юридических лиц, а также без передачи данных за пределы Российской Федерации счетно-сортировальные машины и автоматические устройства, конструкция которых предусматривает прием банкнот Банка России от клиентов для совершения операций с наличными деньгами (далее - счетно-сортировальные машины и автоматические устройства), информация о которых размещается на официальном сайте Банка России в информационно-телекоммуникационной сети "Интернет" (далее - сеть "Интернет") в соответствии с абзацем третьим пункта 2.9 Положения Банка России
от 29 января 2018 года N 630-П "О порядке ведения кассовых операций и правилах хранения, перевозки и инкассации банкнот и монеты Банка России в кредитных организациях на территории Российской Федерации" <4>.
--------------------------------
<4> Зарегистрировано Минюстом России 18 июня 2018 года, регистрационный N 51359, с изменениями, внесенными Указаниями Банка России от 7 мая 2020 года N 5454-У (зарегистрировано Минюстом России 10 июня 2020 года, регистрационный N 58625),
от 19 августа 2021 года N 5897-У (зарегистрировано Минюстом России 22 сентября 2021 года, регистрационный N 65094), от 31 мая 2022 года N 6147-У (зарегистрировано Минюстом России 22 августа 2022 года, регистрационный N 69734),
от 15 ноября 2023 года N 6607-У (зарегистрировано Минюстом России 9 февраля 2024 года, регистрационный N 77207).
11. Кредитные организации во внутренних документах, предусмотренных подпунктами 4.1.2 - 4.1.4 пункта 4.1 Положения Банка России N 716-П, филиалы иностранных банков должны установить процедуры в рамках обеспечения операционной надежности, включающие:
определение и описание состава процедур, направленных на выполнение требований к операционной надежности;
определение перечня и порядка организационного взаимодействия подразделений кредитных организаций, филиалов иностранных банков, участвующих в соблюдении требований к операционной надежности, с учетом исключения конфликта интересов;
определение порядка осуществления контроля за соблюдением требований к операционной надежности в рамках системы внутреннего контроля;
выделение ресурсного обеспечения для выполнения требований к операционной надежности;
порядок утверждения и условия пересмотра процедур, направленных на выполнение требований к операционной надежности.
Кредитные организации и филиалы иностранных банков должны реализовывать требования к операционной надежности начиная с внедрения технологических процессов.
12. Кредитные организации с учетом результатов идентификации операционного риска, а также его оценки, проводимой в составе процедур управления операционным риском в соответствии с требованиями глав 2 и 7 Положения Банка России N 716-П, филиалы иностранных банков должны:
планировать применение организационных и технических мер, направленных на выполнение требований к операционной надежности;
реализовывать требования к операционной надежности на стадиях создания, ввода в эксплуатацию, эксплуатации (использования по назначению, технического обслуживания и ремонта), модернизации, вывода из эксплуатации объектов информационной инфраструктуры;
осуществлять контроль соблюдения требований к операционной надежности.
Кредитные организации должны включать в порядок ведения базы событий, предусмотренный пунктом 6.2 Положения Банка России N 716-П, регистрацию инцидентов операционной надежности.
Кредитные организации должны регистрировать инциденты операционной надежности, вследствие которых возникли прямые и (или) непрямые потери кредитной организации, с соблюдением требований к ведению базы событий, предусмотренных главой 6 Положения Банка России N 716-П.
Кредитные организации при определении в соответствии с пунктом 3.7 Положения Банка России N 716-П дополнительных типов событий операционного риска должны предусматривать во внутренних документах классификацию типов инцидентов операционной надежности с использованием перечня типов инцидентов операционной надежности, размещаемого Банком России на официальном сайте Банка России в сети "Интернет".
По каждому инциденту операционной надежности кредитные организации в дополнение к информации, указанной в пункте 6.6 Положения Банка России N 716-П, должны регистрировать следующую информацию:
данные, позволяющие выявить причину несоблюдения установленных сигнальных и контрольных значений показателей операционной надежности;
информацию о принятых мерах и проведенных мероприятиях по реагированию на выявленный кредитными организациями или Банком России инцидент операционной надежности;
информацию о результате восстановления технологического процесса.
Кредитные организации должны устанавливать во внутренних документах критерии шкалы качественных оценок и методику определения оценок для качественных потерь от реализации инцидентов операционной надежности в соответствии с подпунктом 3.13.2 пункта 3.13 Положения Банка России N 716-П в случае, если указанные потери не определяются в денежном выражении.
Филиалы иностранных банков должны установить порядок фиксации случаев простоя технологических процессов в течение временного периода, превышающего значения порогового уровня допустимого времени простоя и (или) деградации технологических процессов, предусмотренных приложением 1 к настоящему Положению, предусматривающий регистрацию следующей информации:
о принятых мерах и проведенных мероприятиях по реагированию на выявленный филиалами иностранных банков или Банком России случай простоя технологических процессов;
о результате восстановления технологического процесса.
13. Кредитные организации должны информировать Банк России:
о выявленных инцидентах операционной надежности (в случае несоблюдения в течение временного периода, превышающего пять минут, сигнального значения допустимой доли деградации технологических процессов) кредитных организаций, а также о принятых мерах и проведенных мероприятиях по реагированию на выявленный кредитными организациями или Банком России инцидент операционной надежности;
о планируемых мероприятиях по раскрытию информации, включая выпуск пресс-релизов и проведение пресс-конференций, размещение информации на своих официальных сайтах в сети "Интернет", в отношении указанных в абзаце втором настоящего пункта инцидентов операционной надежности и случаев простоя технологических процессов до проведения указанных мероприятий.
Филиалы иностранных банков должны информировать Банк России:
о выявленных случаях простоя технологических процессов в течение временного периода, превышающего значения порогового уровня допустимого времени простоя и (или) деградации технологических процессов, предусмотренных приложением 1 к настоящему Положению, а также принятых мерах и проведенных мероприятиях по реагированию на выявленные филиалами иностранных банков или Банком России случаи простоя технологических процессов;
о планируемых мероприятиях по раскрытию информации, включая выпуск пресс-релизов и проведение пресс-конференций, размещение информации на своих официальных сайтах в сети "Интернет", в отношении указанных в абзаце пятом настоящего пункта случаев простоя технологических процессов до проведения указанных мероприятий.
Кредитные организации, филиалы иностранных банков должны представлять в Банк России указанные в абзацах втором, третьем, пятом и шестом настоящего пункта сведения с использованием технической инфраструктуры (автоматизированной системы) Банка России или резервного способа взаимодействия (при технической невозможности использования технической инфраструктуры (автоматизированной системы) Банка России), информация о которых размещается на официальном сайте Банка России в сети "Интернет".
14. Настоящее Положение в соответствии с решением Совета директоров Банка России (протокол заседания Совета директоров Банка России от 13 декабря 2024 года N ПСД-44) вступает в силу по истечении 10 дней после дня его официального опубликования, за исключением абзаца седьмого пункта 4 настоящего Положения.
Абзац седьмой пункта 4 настоящего Положения вступает в силу с 1 октября 2025 года.
15. Со дня вступления в силу настоящего Положения признать утратившими силу:
Положение Банка России от 12 января 2022 года N 787-П "Об обязательных для кредитных организаций требованиях к операционной надежности при осуществлении банковской деятельности в целях обеспечения непрерывности оказания банковских услуг" <5>;
--------------------------------
<5> Зарегистрировано Минюстом России 8 апреля 2022 года, регистрационный N 68140.
подпункт 1.25 пункта 1 Указания Банка России от 6 октября 2023 года N 6569-У "О внесении изменений в отдельные нормативные акты Банка России по вопросам регулирования деятельности кредитных организаций (банковских групп)" <6>.
--------------------------------
<6> Зарегистрировано Минюстом России 25 декабря 2023 года, регистрационный N 76594.
Председатель Центрального банка
Российской Федерации
Э.С.НАБИУЛЛИНА
Приложение 1
к Положению Банка России
от 13 января 2025 года N 850-П
"Об обязательных для кредитных
организаций, иностранных банков,
осуществляющих деятельность на территории
Российской Федерации через свои филиалы,
требованиях к операционной надежности
при осуществлении банковской деятельности
в целях обеспечения непрерывности
оказания банковских услуг"
ПОРОГОВЫЙ УРОВЕНЬ
ДОПУСТИМОГО ВРЕМЕНИ ПРОСТОЯ И (ИЛИ) ДЕГРАДАЦИИ
ТЕХНОЛОГИЧЕСКИХ ПРОЦЕССОВ КРЕДИТНЫХ ОРГАНИЗАЦИЙ, ИНОСТРАННЫХ
БАНКОВ, ОСУЩЕСТВЛЯЮЩИХ ДЕЯТЕЛЬНОСТЬ НА ТЕРРИТОРИИ
РОССИЙСКОЙ ФЕДЕРАЦИИ ЧЕРЕЗ СВОИ ФИЛИАЛЫ
N п/п | Наименование технологического процесса | Пороговый уровень допустимого времени простоя и (или) деградации технологических процессов (в часах) |
для банка, размер активов которого составляет 500 миллиардов рублей и более | для банка с универсальной лицензией, размер активов которого составляет менее 500 миллиардов рублей | для банка с базовой лицензией | для небанковской кредитной организации | для филиала иностранного банка |
1 | 2 | 3 | 4 | 5 | 6 | 7 |
1 | Технологический процесс, обеспечивающий привлечение денежных средств физических лиц во вклады | 2 | 4 | 6 | X | X |
2 | Технологический процесс, обеспечивающий привлечение денежных средств юридических лиц во вклады | 2 | 4 | 6 | 6 | X |
3 | Технологический процесс, обеспечивающий размещение привлеченных во вклады денежных средств физических и (или) юридических лиц от своего имени и за свой счет | 2 | 4 | 6 | 6 | X |
4 | Технологический процесс, обеспечивающий осуществление переводов денежных средств по поручению физических лиц по их банковским счетам | 2 | 4 | 6 | X | X |
2 - для кредитных организаций, признанных значимыми на рынке платежных услуг в соответствии с Указанием Банка России N 3439-У | 2 - для кредитных организаций, признанных значимыми на рынке платежных услуг в соответствии с Указанием Банка России N 3439-У |
5 | Технологический процесс, обеспечивающий осуществление переводов денежных средств по поручению юридических лиц, в том числе банков-корреспондентов, по их банковским счетам, за исключением переводов по распоряжениям участников платежной системы (для переводов денежных средств по распоряжениям участников платежной системы - в соответствии с Положением Банка России от 3 октября 2017 года N 607-П "О требованиях к порядку обеспечения бесперебойности функционирования платежной системы, показателям бесперебойности функционирования платежной системы и методикам анализа рисков в платежной системе, включая профили рисков" <7>) | 2 | 4 | 6 | 6 | 4 |
2 - для кредитных организаций, признанных значимыми на рынке платежных услуг в соответствии с Указанием Банка России N 3439-У | 2 - для кредитных организаций, признанных значимыми на рынке платежных услуг в соответствии с Указанием Банка России N 3439-У | 2 - для кредитных организаций, признанных значимыми на рынке платежных услуг в соответствии с Указанием Банка России N 3439-У |
6 | Технологический процесс, обеспечивающий открытие и ведение банковских счетов физических лиц | 2 | 2 | 2 | X | X |
7 | Технологический процесс, обеспечивающий открытие и ведение банковских счетов юридических лиц | 2 | 2 | 2 | 2 | 2 |
8 | Технологический процесс, обеспечивающий осуществление переводов денежных средств без открытия банковских счетов, в том числе электронных денежных средств (за исключением почтовых переводов) | 2 | 4 | 6 | 6 | 4 |
2 - для кредитных организаций, признанных значимыми на рынке платежных услуг в соответствии с Указанием Банка России N 3439-У | 2 - для кредитных организаций, признанных значимыми на рынке платежных услуг в соответствии с Указанием Банка России N 3439-У | 2 - для кредитных организаций, признанных значимыми на рынке платежных услуг в соответствии с Указанием Банка России N 3439-У |
9 | Технологический процесс, обеспечивающий выполнение операций на финансовых рынках | 24 | 24 | 24 | X | X |
10 | Технологический процесс, обеспечивающий выполнение кассовых операций | 2 | 2 | 2 | X | 2 |
11 | Технологический процесс, обеспечивающий работу онлайн-сервисов дистанционного обслуживания и доступа к осуществлению операций | 2 | 2 | 2 | X | 2 |
12 | Технологический процесс, обеспечивающий размещение и обновление биометрических персональных данных в единой биометрической системе | 2 | 2 | 2 | X | X |
13 | Технологический процесс, обеспечивающий идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц | 2 | 2 | 2 | X | X |
--------------------------------
<7> Зарегистрировано Минюстом России 22 декабря 2017 года, регистрационный N 49386, с изменениями, внесенными Указанием Банка России от 9 января 2023 года N 6352-У (зарегистрировано Минюстом России 5 мая 2023 года, регистрационный N 73250).
Приложение 2
к Положению Банка России
от 13 января 2025 года N 850-П
"Об обязательных для кредитных
организаций, иностранных банков,
осуществляющих деятельность на территории
Российской Федерации через свои филиалы,
требованиях к операционной надежности
при осуществлении банковской деятельности
в целях обеспечения непрерывности
оказания банковских услуг"
СИГНАЛЬНЫЕ И КОНТРОЛЬНЫЕ ЗНАЧЕНИЯ
ДОПУСТИМОЙ ДОЛИ ДЕГРАДАЦИИ ТЕХНОЛОГИЧЕСКИХ ПРОЦЕССОВ
КРЕДИТНЫХ ОРГАНИЗАЦИЙ
N п/п | Наименование технологического процесса | для банка, размер активов которого составляет 500 миллиардов рублей и более | для банка с универсальной лицензией, размер активов которого составляет менее 500 миллиардов рублей | для банка с базовой лицензией | для небанковской кредитной организации |
сигнальное значение (в долях) | контрольное значение (в долях) | сигнальное значение (в долях) | контрольное значение (в долях) | сигнальное значение (в долях) | контрольное значение (в долях) | сигнальное значение (в долях) | контрольное значение (в долях) |
1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 |
1 | Технологический процесс, обеспечивающий привлечение денежных средств физических лиц во вклады | 0,90 | 0,80 | 0,87 | 0,75 | 0,85 | 0,70 | X | X |
2 | Технологический процесс, обеспечивающий привлечение денежных средств юридических лиц во вклады | 0,90 | 0,80 | 0,87 | 0,75 | 0,85 | 0,70 | 0,75 | 0,50 |
3 | Технологический процесс, обеспечивающий размещение привлеченных во вклады денежных средств физических и (или) юридических лиц от своего имени и за свой счет | 0,90 | 0,80 | 0,87 | 0,75 | 0,85 | 0,70 | 0,75 | 0,50 |
4 | Технологический процесс, обеспечивающий осуществление переводов денежных средств по поручению физических лиц по их банковским счетам | 0,90 | 0,80 | 0,87 | 0,75 | 0,85 | 0,70 | X | X |
0,90 - для кредитных организаций, признанных значимыми на рынке платежных услуг в соответствии с Указанием Банка России N 3439-У | 0,80 - для кредитных организаций, признанных значимыми на рынке платежных услуг в соответствии с Указанием Банка России N 3439-У | 0,90 - для кредитных организаций, признанных значимыми на рынке платежных услуг в соответствии с Указанием Банка России N 3439-У | 0,80 - для кредитных организаций, признанных значимыми на рынке платежных услуг в соответствии с Указанием Банка России N 3439-У |
5 | Технологический процесс, обеспечивающий осуществление переводов денежных средств по поручению юридических лиц, в том числе банков-корреспондентов, по их банковским счетам, за исключением переводов по распоряжениям участников платежной системы | 0,90 | 0,80 | 0,87 | 0,75 | 0,85 | 0,70 | 0,75 | 0,50 |
0,90 - для кредитных организаций, признанных значимыми на рынке платежных услуг в соответствии с Указанием Банка России N 3439-У | 0,80 - для кредитных организаций, признанных значимыми на рынке платежных услуг в соответствии с Указанием Банка России N 3439-У | 0,90 - для кредитных организаций, признанных значимыми на рынке платежных услуг в соответствии с Указанием Банка России N 3439-У | 0,80 - для кредитных организаций, признанных значимыми на рынке платежных услуг в соответствии с Указанием Банка России N 3439-У | 0,90 - для кредитных организаций, признанных значимыми на рынке платежных услуг в соответствии с Указанием Банка России N 3439-У | 0,80 - для кредитных организаций, признанных значимыми на рынке платежных услуг в соответствии с Указанием Банка России N 3439-У |
6 | Технологический процесс, обеспечивающий открытие и ведение банковских счетов физических лиц | 0,92 | 0,85 | 0,90 | 0,80 | 0,87 | 0,75 | X | X |
7 | Технологический процесс, обеспечивающий открытие и ведение банковских счетов юридических лиц | 0,92 | 0,85 | 0,90 | 0,80 | 0,87 | 0,75 | 0,75 | 0,50 |
8 | Технологический процесс, обеспечивающий осуществление переводов денежных средств без открытия банковских счетов, в том числе электронных денежных средств (за исключением почтовых переводов) | 0,90 | 0,80 | 0,87 | 0,75 | 0,85 | 0,70 | 0,75 | 0,50 |
0,90 - для кредитных организаций, признанных значимыми на рынке платежных услуг в соответствии с Указанием Банка России N 3439-У | 0,80 - для кредитных организаций, признанных значимыми на рынке платежных услуг в соответствии с Указанием Банка России N 3439-У | 0,90 - для кредитных организаций, признанных значимыми на рынке платежных услуг в соответствии с Указанием Банка России N 3439-У | 0,80 - для кредитных организаций, признанных значимыми на рынке платежных услуг в соответствии с Указанием Банка России N 3439-У | 0,90 - для кредитных организаций, признанных значимыми на рынке платежных услуг в соответствии с Указанием Банка России N 3439-У | 0,80 - для кредитных организаций, признанных значимыми на рынке платежных услуг в соответствии с Указанием Банка России N 3439-У |
9 | Технологический процесс, обеспечивающий выполнение операций на финансовых рынках | 0,90 | 0,80 | 0,90 | 0,80 | 0,90 | 0,80 | X | X |
10 | Технологический процесс, обеспечивающий выполнение кассовых операций | 0,92 | 0,85 | 0,90 | 0,80 | 0,87 | 0,75 | X | X |
11 | Технологический процесс, обеспечивающий работу онлайн-сервисов дистанционного обслуживания и доступа к осуществлению операций | 0,92 | 0,85 | 0,90 | 0,80 | 0,87 | 0,75 | X | X |
12 | Технологический процесс, обеспечивающий размещение и обновление биометрических персональных данных в единой биометрической системе | 0,92 | 0,85 | 0,90 | 0,80 | 0,87 | 0,75 | X | X |
13 | Технологический процесс, обеспечивающий идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц | 0,92 | 0,85 | 0,90 | 0,80 | 0,87 | 0,75 | X | X |
