Приложение 2

к Положению Банка России

от 27 октября 2020 года N 738-П

"О порядке обеспечения бесперебойности

функционирования платежной системы

Банка России"

МОНИТОРИНГ УРОВНЕЙ ЗНАЧИМЫХ РИСКОВ

1. В рамках мониторинга уровней значимых рисков осуществляется:

расчет КИР, дополнительных КИР;

реагирование на нарушение порогового уровня КИР;

актуализация информации о причинах нарушения порогового уровня КИР и принятых мерах реагирования;

разработка дополнительных КИР;

отмена дополнительных КИР.

2. Для осуществления мониторинга уровней значимых рисков в ПС должны применяться в том числе следующие КИР (показатели БФПС):

индикатор продолжительности восстановления оказания УПИ (КИР 1);

индикатор непрерывности оказания УПИ (КИР 2);

индикатор соблюдения Регламента выполнения процедур (КИР 3);

индикатор доступности операционного центра (КИР 4);

индикатор изменения частоты инцидентов, произошедших в ПС (КИР 5);

индикатор эффективности противодействия информационным угрозам в ПС (КИР 6);

индикатор несанкционированных операций в СБП (КИР 7);

индикатор уровня соответствия защиты информации объектов информационной инфраструктуры Банка России, обеспечивающих функционирование ПС (КИР 8);

индикатор уровня соответствия защиты информации объектов информационной инфраструктуры ОПКЦ внешней платежной системы (КИР 9);

индикатор эффективности применяемых в ПС мер технологического контроля поступающих электронных сообщений (КИР 10);

индикатор качества управления уязвимостями в ПС (КИР 11).

2.1. КИР 1 должен рассчитываться по каждому из инцидентов, повлекших приостановление оказания УПИ, как период времени с момента возникновения инцидента, приведшего к приостановлению оказания УПИ в результате первого из возникших инцидентов, и до момента восстановления оказания всех УПИ.

Пороговый уровень КИР 1 равен двум часам.

В случае если значение КИР 1 превышает два часа, произошло нарушение порогового уровня КИР 1. КИР 1 рассчитывается в часах (минутах) (секундах).

При этом, если в течение дня произошло несколько пересекающихся между собой по времени инцидентов, то продолжительность восстановления оказания УПИ определяется как разница между моментом восстановления оказания УПИ и моментом выявления первого инцидента из них.

2.2. КИР 2 должен рассчитываться по каждому из инцидентов, повлекших приостановление оказания УПИ, как период времени между двумя последовательно произошедшими инцидентами с момента восстановления оказания УПИ, приостановленных в результате первого инцидента, и до момента возникновения события, приведшего к приостановлению оказания УПИ в результате следующего инцидента.

Пороговый уровень КИР 2 равен двадцати четырем часам.

В случае если значение КИР 2 менее двадцати четырех часов, произошло нарушение порогового уровня КИР 2. КИР 2 рассчитывается в часах (минутах) (секундах).

При этом, если произошло несколько пересекающихся между собой по времени инцидентов, то продолжительность непрерывности оказания УПИ определяется как разница между моментом выявления следующего инцидента и моментом устранения последствий последнего из пересекающихся инцидентов и.

2.3. КИР 3 должен рассчитываться ежемесячно как отношение количества распоряжений участников ПС (их клиентов), по которым в течение календарного месяца были оказаны УПИ без нарушения регламента выполнения процедур, указанного в приложении 1 к настоящему Положению, к общему количеству распоряжений участников ПС (их клиентов), по которым в течение календарного месяца были оказаны УПИ, по формуле:

КИР 3 = (N / N^общ) x 100%,

где:

N - количество распоряжений участников ПС (их клиентов), по которым были оказаны УПИ без нарушения временных интервалов, указанных в приложении 1 к настоящему Положению, в течение оцениваемого календарного месяца;

N^общ - общее количество распоряжений участников ПС (их клиентов), по которым были оказаны УПИ, в течение оцениваемого календарного месяца.

КИР 3 для сервиса срочного перевода, сервиса несрочного перевода и СБП рассчитывается индивидуально.

Пороговый уровень КИР 3 для сервиса срочного перевода и сервиса несрочного перевода равен 99,73 процента.

Пороговый уровень КИР 3 для СБП равен 99,9 процента.

В случае если значение КИР 3 менее 99,73 процента, при предоставлении сервиса срочного перевода и (или) сервиса несрочного перевода произошло нарушение порогового уровня КИР 3.

В случае если значение КИР 3 менее 99,9 процента, при предоставлении СБП произошло нарушение порогового уровня КИР 3.

2.4. КИР 4 должен рассчитываться ежемесячно как среднее значение коэффициента доступности за оцениваемый календарный месяц по формуле:

где:

k = {1...K} - k-ый рабочий день в отчетном месяце;

K - количество рабочих дней в отчетном месяце;

Kav_k - коэффициент доступности услуг операционного центра (ОПКЦ внешней платежной системы) в k-ый рабочий день, рассчитываемый по формуле:

где:

D_k - общая продолжительность всех приостановлений оказания операционных услуг для всех участников ПС операционным центром (ОПКЦ внешней платежной системы) в течение k-го рабочего дня, в минутах;

- общая продолжительность времени оказания операционных услуг в течение k-го рабочего дня, в минутах, в соответствии с графиком функционирования ПС, установленным нормативным актом Банка России в соответствии с частью 9 статьи 20 Федерального закона "О национальной платежной системе", в части оказания операционных услуг.

КИР 4 рассчитается отдельно для операционного центра, функции которого выполняет Банк России, и отдельно - для операционного центра, функции которого выполняет ОПКЦ внешней платежной системы.

Пороговый уровень КИР 4 для операционного центра, функции которого выполняет Банк России, равен 99,00 процента.

В случае значение КИР 4 для операционного центра, функции которого выполняет Банк России, менее 99,00 процента, произошло нарушение порогового уровня КИР 4.

Пороговый уровень КИР 4 для операционного центра, функции которого выполняет ОПКЦ внешней платежной системы, равен 99,99 процента.

В случае если значение КИР 4 для операционного центра, функции которого выполняет ОПКЦ внешней платежной системы, менее 99,99 процента, произошло нарушение порогового уровня КИР 4.

2.5. КИР 5 должен рассчитываться ежемесячно как темп прироста среднедневного количества инцидентов за оцениваемый календарный месяц по отношению к среднедневному количеству инцидентов за предыдущие 12 календарных месяцев, включая оцениваемый календарный месяц, по формуле:

где:

КИ_i - количество инцидентов в течение i-го рабочего дня ПС;

i = {1...M} - i-ый день в оцениваемом календарном месяце;

M - количество рабочих дней ПС в оцениваемом календарном месяце;

КИ_j - количество инцидентов в течение j-го рабочего дня ПС;

j = {1...N} - j-ый рабочий день 12 предыдущих календарных месяцев, включая оцениваемый календарный месяц;

N - количество рабочих дней ПС за 12 предыдущих календарных месяцев, включая оцениваемый месяц.

КИР 5 должен рассчитываться в процентах с точностью до одного знака после запятой (с округлением по математическому методу). В случае если за предыдущие 12 календарных месяцев, включая оцениваемый месяц, инцидентов не было, значение показателя следует признавать равным нулю.

Пороговый уровень КИР 5 равен 115,0 процента.

В случае если значение КИР 5 более 115,0 процента, произошло нарушение порогового уровня КИР 5.

2.6. КИР 6 должен рассчитываться в зависимости от размера активов участника ПС.

2.6.1. Для банка - участника ПС, размер активов которого составляет менее 500 миллиардов рублей на начало текущего отчетного года, КИР 6 должен рассчитываться ежегодно как количество событий списания денежных средств с банковских счетов участников ПС и клиентов Банка России без их согласия, за исключением случаев, предусмотренных законодательством Российской Федерации или комплексным договором банковского обслуживания.

В случае если значение КИР 6 более либо равно 2, произошло нарушение порогового уровня КИР 6.

2.6.2. Для банка - участника ПС, размер активов которого составляет 500 миллиардов рублей и более на начало текущего отчетного года, КИР 6 должен рассчитываться ежегодно как количество событий списания денежных средств с банковских счетов участников ПС и клиентов Банка России без их согласия, за исключением случаев, предусмотренных законодательством Российской Федерации или комплексным договором банковского обслуживания.

В случае если значение КИР 6 более либо равно 1, произошло нарушение порогового уровня КИР 6.

2.7. КИР 7 должен рассчитываться ежеквартально как отношение суммы денежных средств, относительно которых участниками СБП получены уведомления от их клиентов о списании денежных средств с банковских счетов клиентов без их согласия за оцениваемый квартал, за исключением случаев, предусмотренных законодательством Российской Федерации, к общей сумме денежных средств, списанных с банковских счетов клиентов участников СБП посредством осуществления перевода денежных средств с использованием СБП.

В случае если значение КИР 7 более 0,005 процента, произошло нарушение порогового уровня КИР 7.

2.8. КИР 8 должен рассчитываться не реже одного раза в два года на основе результатов оценки соответствия текущего уровня защиты информации объектов информационной инфраструктуры Банка России, обеспечивающих функционирование ПС, уровням, определенным пунктом 6.7 раздела 6 ГОСТ Р 57580.1-2017, согласно методике оценки соответствия защиты информации, определенной в разделе 6 ГОСТ Р 57580.2-2018.

В случае если числовая итоговая оценка соответствия защиты информации, рассчитываемая в соответствии с пунктом 7.10 раздела 7 ГОСТ Р 57580.2-2018, менее 0,85 процента, произошло нарушение порогового уровня КИР 8.

2.9. КИР 9 должен рассчитываться не реже одного раза в два года на основе результатов оценки соответствия текущего уровня защиты информации ОПКЦ внешней платежной системы уровням, определенным пунктом 6.7 раздела 6 ГОСТ Р 57580.1-2017, согласно методике оценки соответствия защиты информации, определенной в разделе 6 ГОСТ Р 57580.2-2018.

В случае если уровень соответствия ниже уровня, установленного пунктом 20 Положения Банка России N 802-П, произошло нарушение порогового уровня КИР 9.

2.10. КИР 10 должен рассчитываться как количество случаев успешного прохождения в ПС технологического контроля электронных сообщений, не подлежащих обработке, в результате инцидентов.

В случае если значение КИР 10 больше 0, произошло нарушение порогового уровня КИР 10.

2.11. КИР 11 должен рассчитываться как количество повторно выявленных по результатам ежегодного тестирования на проникновение уязвимостей, имеющих высокий или критический уровень опасности уязвимости, предусмотренный подпунктом 5.2.18 пункта 5.2 раздела 5 национального стандарта Российской Федерации ГОСТ Р 56545-2015 "Защита информации. Уязвимости информационных систем. Правила описания уязвимостей" (утвержден приказом Федерального агентства по техническому регулированию и метрологии от 19 августа 2015 года N 1180-ст (М., ФГУП "Стандартинформ", 2015) и введен в действие 1 апреля 2016 года).

В случае если значение КИР 11 больше 0, произошло нарушение порогового уровня КИР 11.

3. В случае достижения (выполнения) расчетным значением КИР, расчетным значением дополнительного КИР (далее при совместном упоминании в целях настоящего пункта - КИР) порогового уровня КИР (далее - нарушение порогового уровня КИР):

работники ПУРиН (работники ПУРиН внешней платежной системы) должны применить меры реагирования при нарушении порогового уровня КИР;

риск-координаторы ПУРиН, работники подразделений которых применяют меры реагирования при нарушении порогового уровня КИР, в части сервиса срочного перевода и сервиса несрочного перевода должны не позднее пятого рабочего дня, следующего за датой выявления нарушения порогового уровня КИР, после согласования руководителями ПУРиН и руководителями подразделений Банка России, в состав которых входят ПУРиН, зарегистрировать информацию о причинах нарушения порогового уровня КИР и принятых мерах реагирования в соответствии с приложением 9 к настоящему Положению;

риск-координаторы ПУРиН внешней платежной системы, работники которого применяют меры реагирования при нарушении порогового уровня КИР, должны не позднее пятого рабочего дня, следующего за датой выявления нарушения порогового уровня КИР, зарегистрировать и направить риск-координатору СБП внешней платежной системы информацию о причинах нарушения порогового уровня КИР и принятых мерах реагирования в соответствии с приложением 9 к настоящему Положению. Риск-координатор СБП внешней платежной системы должен не позднее третьего рабочего дня, следующего за датой получения информации от риск-координаторов ПУРиН внешней платежной системы, направить соответствующую информацию риск-координаторам бизнес-процесса.

4. При появлении уточненной информации о причинах нарушения порогового уровня КИР и о принятых мерах реагирования, о составе принятых мер реагирования риск-координаторы ПУРиН, осуществляющие мониторинг уровней значимых рисков согласно параметрам КИР, после согласования с руководителями ПУРиН и при необходимости с руководителями соответствующих структурных подразделений подразделений Банка России должны актуализировать соответствующую информацию не позднее пятого рабочего дня, следующего за датой появления уточненной информации.

Риск-координаторы ПУРиН внешней платежной системы подразделений, которые применяют меры реагирования при нарушении порогового уровня КИР, должны не позднее третьего рабочего дня, следующего за датой появления в структурном подразделении ОПКЦ внешней платежной системы уточненной информации о причинах нарушения порогового уровня КИР и принятых мерах реагирования, актуализировать соответствующую информацию и направить ее риск-координатору СБП, который не позднее третьего рабочего дня после дня получения уточненной информации от риск-координаторов ПУРиН внешней платежной системы направляет ее риск-координаторам бизнес-процесса.

5. Разработка дополнительных КИР должна осуществляться следующим образом.

5.1. Риск-координаторы ПУРиН (риск-координаторы ПУРиН внешней платежной системы) разрабатывают дополнительные КИР в части компетенции ПУРиН (ПУРиН внешней платежной системы), осуществляя следующие мероприятия.

5.1.1. Риск-координаторы ПУРиН на основании принятого руководителем ПУРиН решения (риск-координаторы ПУРиН внешней платежной системы на основании принятого решения риск-координатором СБП внешней платежной системы) должны разрабатывать дополнительные КИР и определять их параметры в соответствии с приложением 8 к настоящему Положению.

5.1.2. Риск-координаторы ПУРиН (риск-координаторы ПУРиН внешней платежной системы) передают параметры разработанных дополнительных КИР на согласование риск-координаторам бизнес-процесса, которые для сервиса срочного перевода и сервиса несрочного перевода предварительно согласовываются с руководителями ПУРиН и руководителями подразделений Банка России, а для СБП предварительно должны согласовываться с риск-координатором СБП внешней платежной системы.

Согласование параметров дополнительных КИР должно осуществляться риск-координаторами бизнес-процесса в течение пяти рабочих дней с даты поступления указанных параметров дополнительных КИР от риск-координаторов ПУРиН, риск-координаторов ПУРиН внешней платежной системы.

5.2. Риск-координаторы бизнес-процесса должны осуществлять оценку применимости разработанных дополнительных КИР для целей мониторинга существенных изменений уровней остаточных рисков, присущих бизнес-процессу, с привлечением риск-координаторов ПУРиН (риск-координаторов ПУРиН внешней платежной системы).

5.3. При положительном результате оценки применимости дополнительных КИР риск-координаторы бизнес-процесса должны направлять параметры дополнительных КИР на верификацию работникам УРСУР.

Работники УРСУР не позднее пятого рабочего дня, следующего за датой получения параметров КИР от риск-координаторов бизнес-процесса, должны согласовать параметры дополнительных КИР или направить по ним замечания риск-координаторам бизнес-процесса.

Повторные верификации осуществляются не позднее второго рабочего дня, следующего за датой получения от риск-координаторов бизнес-процесса уточненных параметров дополнительных КИР.

5.4. Риск-координаторы бизнес-процесса не позднее второго рабочего дня, следующего за датой получения замечаний от работников УРСУР, должны вносить уточнения в параметры дополнительных КИР и провести повторную оценку применимости дополнительных КИР, осуществляемую в соответствии с подпунктом 5.2 настоящего пункта, за исключением случаев, когда для уточнения параметров дополнительных КИР требуются более длительные сроки, в том числе при необходимости проведения дополнительных согласований параметров дополнительных КИР с заинтересованными подразделениями Банка России и (или) структурными подразделениями ОПКЦ внешней платежной системы.

При положительном результате верификации риск-координаторы бизнес-процесса не позднее двух рабочих дней с даты завершения УРСУР верификации параметров дополнительных КИР должны направить владельцу бизнес-процесса предложение о параметрах дополнительных КИР.

5.5. Владелец бизнес-процесса не позднее пятого рабочего дня с даты представления предложения о параметрах дополнительных КИР должен направлять на согласование указанное предложение курирующему руководителю Банка России или вернуть его риск-координаторам бизнес-процесса с указанием замечаний (причин несогласия с указанным предложением).

5.6. Риск-координаторы бизнес-процесса не позднее второго рабочего дня, следующего за датой получения замечаний от курирующего руководителя Банка России (владельца бизнес-процесса), должны внести уточнения в параметры дополнительных КИР с последующим проведением повторной оценки применимости дополнительных КИР, осуществляемой в соответствии с подпунктом 5.2 настоящего пункта, за исключением случаев, когда для уточнения параметров дополнительных КИР требуются более длительные сроки, в том числе при необходимости проведения дополнительных согласований параметров дополнительных КИР с заинтересованными подразделениями Банка России и (или) структурными подразделениями ОПКЦ внешней платежной системы.

5.7. Владелец бизнес-процесса обеспечивает рассмотрение дополнительных КИР на заседании Комитета и не позднее пятого рабочего дня, следующего за датой их одобрения Комитетом, должен обеспечивать доведение до ПУРиН, осуществляющих мониторинг уровней значимых рисков согласно параметрам дополнительных КИР, ОПКЦ внешней платежной системы информации о параметрах дополнительных КИР.

5.8. Хранение информации о КИР и их параметрах должно осуществляться с использованием специализированного программного обеспечения.

6. Отмена дополнительных КИР должна осуществляться с учетом следующего.

При согласовании курирующим руководителем Банка России отмены дополнительного КИР владелец бизнес-процесса должен обеспечивать доведение до подразделений Банка России и (или) ОПКЦ внешней платежной системы соответствующей информации не позднее пятого рабочего дня, следующего за датой согласования.