Приложение 2

к Положению Банка России

от 27 октября 2020 года N 738-П

"О порядке обеспечения бесперебойности

функционирования платежной системы

Банка России"

МОНИТОРИНГ УРОВНЕЙ ЗНАЧИМЫХ РИСКОВ

Список изменяющих документов

(в ред. Указаний Банка России от 22.09.2022 N 6254-У,

от 09.01.2024 N 6653-У)

1. В рамках мониторинга уровней значимых рисков осуществляется:

расчет КИР, дополнительных КИР;

реагирование на нарушение порогового уровня КИР;

актуализация информации о причинах нарушения порогового уровня КИР и принятых мерах реагирования;

разработка дополнительных КИР;

отмена дополнительных КИР.

2. Для осуществления мониторинга уровней значимых рисков в ПС должны применяться в том числе следующие КИР (показатели БФПС):

индикатор продолжительности восстановления оказания УПИ (КИР 1);

индикатор непрерывности оказания УПИ (КИР 2);

индикатор соблюдения Регламента выполнения процедур (КИР 3);

индикатор доступности операционного центра (КИР 4);

индикатор изменения частоты инцидентов, произошедших в ПС (КИР 5);

индикатор эффективности противодействия информационным угрозам в ПС (КИР 6);

(абзац введен Указанием Банка России от 09.01.2024 N 6653-У)

индикатор несанкционированных операций в СБП (КИР 7);

(абзац введен Указанием Банка России от 09.01.2024 N 6653-У)

индикатор уровня соответствия защиты информации объектов информационной инфраструктуры Банка России, обеспечивающих функционирование ПС (КИР 8);

(абзац введен Указанием Банка России от 09.01.2024 N 6653-У)

индикатор уровня соответствия защиты информации объектов информационной инфраструктуры ОПКЦ внешней платежной системы (КИР 9);

(абзац введен Указанием Банка России от 09.01.2024 N 6653-У)

индикатор эффективности применяемых в ПС мер технологического контроля поступающих электронных сообщений (КИР 10);

(абзац введен Указанием Банка России от 09.01.2024 N 6653-У)

индикатор качества управления уязвимостями в ПС (КИР 11).

(абзац введен Указанием Банка России от 09.01.2024 N 6653-У)

2.1. КИР 1 должен рассчитываться по каждому из инцидентов, повлекших приостановление оказания УПИ, как период времени с момента возникновения инцидента, приведшего к приостановлению оказания УПИ в результате первого из возникших инцидентов, и до момента восстановления оказания всех УПИ.

(в ред. Указания Банка России от 09.01.2024 N 6653-У)

(см. текст в предыдущей редакции)

Пороговый уровень КИР 1 равен двум часам.

В случае если значение КИР 1 превышает два часа, произошло нарушение порогового уровня КИР 1. КИР 1 рассчитывается в часах (минутах) (секундах).

При этом, если в течение дня произошло несколько пересекающихся между собой по времени инцидентов, то продолжительность восстановления оказания УПИ определяется как разница между моментом восстановления оказания УПИ и моментом выявления первого инцидента из них.

(в ред. Указания Банка России от 09.01.2024 N 6653-У)

(см. текст в предыдущей редакции)

2.2. КИР 2 должен рассчитываться по каждому из инцидентов, повлекших приостановление оказания УПИ, как период времени между двумя последовательно произошедшими инцидентами с момента восстановления оказания УПИ, приостановленных в результате первого инцидента, и до момента возникновения события, приведшего к приостановлению оказания УПИ в результате следующего инцидента.

(в ред. Указания Банка России от 09.01.2024 N 6653-У)

(см. текст в предыдущей редакции)

Пороговый уровень КИР 2 равен двадцати четырем часам.

В случае если значение КИР 2 менее двадцати четырех часов, произошло нарушение порогового уровня КИР 2. КИР 2 рассчитывается в часах (минутах) (секундах).

При этом, если произошло несколько пересекающихся между собой по времени инцидентов, то продолжительность непрерывности оказания УПИ определяется как разница между моментом выявления следующего инцидента и моментом устранения последствий последнего из пересекающихся инцидентов и.

КонсультантПлюс: примечание.

Пп. 2.3 п. 2 Приложения 2 вступает в силу с 01.10.2026.

2.3. КИР 3 должен рассчитываться ежемесячно как отношение количества распоряжений участников ПС (их клиентов), по которым в течение календарного месяца были оказаны УПИ без нарушения регламента выполнения процедур, указанного в приложении 1 к настоящему Положению, к общему количеству распоряжений участников ПС (их клиентов), по которым в течение календарного месяца были оказаны УПИ, по формуле:

КИР 3 = (N / Nобщ) x 100%,

где:

N - количество распоряжений участников ПС (их клиентов), по которым были оказаны УПИ без нарушения временных интервалов, указанных в приложении 1 к настоящему Положению, в течение оцениваемого календарного месяца;

Nобщ - общее количество распоряжений участников ПС (их клиентов), по которым были оказаны УПИ, в течение оцениваемого календарного месяца.

КИР 3 для сервиса срочного перевода, сервиса несрочного перевода и СБП рассчитывается индивидуально.

Пороговый уровень КИР 3 для сервиса срочного перевода и сервиса несрочного перевода равен 99,73 процента.

Пороговый уровень КИР 3 для СБП равен 99,9 процента.

В случае если значение КИР 3 менее 99,73 процента, при предоставлении сервиса срочного перевода и (или) сервиса несрочного перевода произошло нарушение порогового уровня КИР 3.

В случае если значение КИР 3 менее 99,9 процента, при предоставлении СБП произошло нарушение порогового уровня КИР 3.

2.4. КИР 4 должен рассчитываться ежемесячно как среднее значение коэффициента доступности за оцениваемый календарный месяц по формуле:

(в ред. Указания Банка России от 09.01.2024 N 6653-У)

(см. текст в предыдущей редакции)

00000002.wmz

где:

k = {1...K} - k-ый рабочий день в отчетном месяце;

K - количество рабочих дней в отчетном месяце;

Kavk - коэффициент доступности услуг операционного центра (ОПКЦ внешней платежной системы) в k-ый рабочий день, рассчитываемый по формуле:

00000003.wmz

где:

Dk - общая продолжительность всех приостановлений оказания операционных услуг для всех участников ПС операционным центром (ОПКЦ внешней платежной системы) в течение k-го рабочего дня, в минутах;

00000004.wmz - общая продолжительность времени оказания операционных услуг в течение k-го рабочего дня, в минутах, в соответствии с графиком функционирования ПС, установленным нормативным актом Банка России в соответствии с частью 9 статьи 20 Федерального закона "О национальной платежной системе", в части оказания операционных услуг.

КИР 4 рассчитается отдельно для операционного центра, функции которого выполняет Банк России, и отдельно - для операционного центра, функции которого выполняет ОПКЦ внешней платежной системы.

Пороговый уровень КИР 4 для операционного центра, функции которого выполняет Банк России, равен 99,00 процента.

В случае значение КИР 4 для операционного центра, функции которого выполняет Банк России, менее 99,00 процента, произошло нарушение порогового уровня КИР 4.

Пороговый уровень КИР 4 для операционного центра, функции которого выполняет ОПКЦ внешней платежной системы, равен 99,99 процента.

В случае если значение КИР 4 для операционного центра, функции которого выполняет ОПКЦ внешней платежной системы, менее 99,99 процента, произошло нарушение порогового уровня КИР 4.

2.5. КИР 5 должен рассчитываться ежемесячно как темп прироста среднедневного количества инцидентов за оцениваемый календарный месяц по отношению к среднедневному количеству инцидентов за предыдущие 12 календарных месяцев, включая оцениваемый календарный месяц, по формуле:

00000005.wmz

где:

КИi - количество инцидентов в течение i-го рабочего дня ПС;

i = {1...M} - i-ый день в оцениваемом календарном месяце;

(в ред. Указания Банка России от 09.01.2024 N 6653-У)

(см. текст в предыдущей редакции)

M - количество рабочих дней ПС в оцениваемом календарном месяце;

КИj - количество инцидентов в течение j-го рабочего дня ПС;

j = {1...N} - j-ый рабочий день 12 предыдущих календарных месяцев, включая оцениваемый календарный месяц;

N - количество рабочих дней ПС за 12 предыдущих календарных месяцев, включая оцениваемый месяц.

КИР 5 должен рассчитываться в процентах с точностью до одного знака после запятой (с округлением по математическому методу). В случае если за предыдущие 12 календарных месяцев, включая оцениваемый месяц, инцидентов не было, значение показателя следует признавать равным нулю.

Пороговый уровень КИР 5 равен 115,0 процента.

В случае если значение КИР 5 более 115,0 процента, произошло нарушение порогового уровня КИР 5.

2.6. КИР 6 должен рассчитываться в зависимости от размера активов участника ПС.

2.6.1. Для банка - участника ПС, размер активов которого составляет менее 500 миллиардов рублей на начало текущего отчетного года, КИР 6 должен рассчитываться ежегодно как количество событий списания денежных средств с банковских счетов участников ПС и клиентов Банка России без их согласия, за исключением случаев, предусмотренных законодательством Российской Федерации или комплексным договором банковского обслуживания.

В случае если значение КИР 6 более либо равно 2, произошло нарушение порогового уровня КИР 6.

2.6.2. Для банка - участника ПС, размер активов которого составляет 500 миллиардов рублей и более на начало текущего отчетного года, КИР 6 должен рассчитываться ежегодно как количество событий списания денежных средств с банковских счетов участников ПС и клиентов Банка России без их согласия, за исключением случаев, предусмотренных законодательством Российской Федерации или комплексным договором банковского обслуживания.

В случае если значение КИР 6 более либо равно 1, произошло нарушение порогового уровня КИР 6.

(пп. 2.6 введен Указанием Банка России от 09.01.2024 N 6653-У)

2.7. КИР 7 должен рассчитываться ежеквартально как отношение суммы денежных средств, относительно которых участниками СБП получены уведомления от их клиентов о списании денежных средств с банковских счетов клиентов без их согласия за оцениваемый квартал, за исключением случаев, предусмотренных законодательством Российской Федерации, к общей сумме денежных средств, списанных с банковских счетов клиентов участников СБП посредством осуществления перевода денежных средств с использованием СБП.

В случае если значение КИР 7 более 0,005 процента, произошло нарушение порогового уровня КИР 7.

(пп. 2.7 введен Указанием Банка России от 09.01.2024 N 6653-У)

2.8. КИР 8 должен рассчитываться не реже одного раза в два года на основе результатов оценки соответствия текущего уровня защиты информации объектов информационной инфраструктуры Банка России, обеспечивающих функционирование ПС, уровням, определенным пунктом 6.7 раздела 6 ГОСТ Р 57580.1-2017, согласно методике оценки соответствия защиты информации, определенной в разделе 6 ГОСТ Р 57580.2-2018.

В случае если числовая итоговая оценка соответствия защиты информации, рассчитываемая в соответствии с пунктом 7.10 раздела 7 ГОСТ Р 57580.2-2018, менее 0,85 процента, произошло нарушение порогового уровня КИР 8.

(пп. 2.8 введен Указанием Банка России от 09.01.2024 N 6653-У)

2.9. КИР 9 должен рассчитываться не реже одного раза в два года на основе результатов оценки соответствия текущего уровня защиты информации ОПКЦ внешней платежной системы уровням, определенным пунктом 6.7 раздела 6 ГОСТ Р 57580.1-2017, согласно методике оценки соответствия защиты информации, определенной в разделе 6 ГОСТ Р 57580.2-2018.

В случае если уровень соответствия ниже уровня, установленного пунктом 20 Положения Банка России N 802-П, произошло нарушение порогового уровня КИР 9.

(пп. 2.9 введен Указанием Банка России от 09.01.2024 N 6653-У)

2.10. КИР 10 должен рассчитываться как количество случаев успешного прохождения в ПС технологического контроля электронных сообщений, не подлежащих обработке, в результате инцидентов.

В случае если значение КИР 10 больше 0, произошло нарушение порогового уровня КИР 10.

(пп. 2.10 введен Указанием Банка России от 09.01.2024 N 6653-У)

2.11. КИР 11 должен рассчитываться как количество повторно выявленных по результатам ежегодного тестирования на проникновение уязвимостей, имеющих высокий или критический уровень опасности уязвимости, предусмотренный подпунктом 5.2.18 пункта 5.2 раздела 5 национального стандарта Российской Федерации ГОСТ Р 56545-2015 "Защита информации. Уязвимости информационных систем. Правила описания уязвимостей" (утвержден приказом Федерального агентства по техническому регулированию и метрологии от 19 августа 2015 года N 1180-ст (М., ФГУП "Стандартинформ", 2015) и введен в действие 1 апреля 2016 года).

В случае если значение КИР 11 больше 0, произошло нарушение порогового уровня КИР 11.

(пп. 2.11 введен Указанием Банка России от 09.01.2024 N 6653-У)

3. В случае достижения (выполнения) расчетным значением КИР, расчетным значением дополнительного КИР (далее при совместном упоминании в целях настоящего пункта - КИР) порогового уровня КИР (далее - нарушение порогового уровня КИР):

работники ПУРиН (работники ПУРиН внешней платежной системы) должны применить меры реагирования при нарушении порогового уровня КИР;

риск-координаторы ПУРиН, работники подразделений которых применяют меры реагирования при нарушении порогового уровня КИР, в части сервиса срочного перевода и сервиса несрочного перевода должны не позднее пятого рабочего дня, следующего за датой выявления нарушения порогового уровня КИР, после согласования руководителями ПУРиН и руководителями подразделений Банка России, в состав которых входят ПУРиН, зарегистрировать информацию о причинах нарушения порогового уровня КИР и принятых мерах реагирования в соответствии с приложением 9 к настоящему Положению;

(в ред. Указания Банка России от 09.01.2024 N 6653-У)

(см. текст в предыдущей редакции)

риск-координаторы ПУРиН внешней платежной системы, работники которого применяют меры реагирования при нарушении порогового уровня КИР, должны не позднее пятого рабочего дня, следующего за датой выявления нарушения порогового уровня КИР, зарегистрировать и направить риск-координатору СБП внешней платежной системы информацию о причинах нарушения порогового уровня КИР и принятых мерах реагирования в соответствии с приложением 9 к настоящему Положению. Риск-координатор СБП внешней платежной системы должен не позднее третьего рабочего дня, следующего за датой получения информации от риск-координаторов ПУРиН внешней платежной системы, направить соответствующую информацию риск-координаторам бизнес-процесса.

4. При появлении уточненной информации о причинах нарушения порогового уровня КИР и о принятых мерах реагирования, о составе принятых мер реагирования риск-координаторы ПУРиН, осуществляющие мониторинг уровней значимых рисков согласно параметрам КИР, после согласования с руководителями ПУРиН и при необходимости с руководителями соответствующих структурных подразделений подразделений Банка России должны актуализировать соответствующую информацию не позднее пятого рабочего дня, следующего за датой появления уточненной информации.

Риск-координаторы ПУРиН внешней платежной системы подразделений, которые применяют меры реагирования при нарушении порогового уровня КИР, должны не позднее третьего рабочего дня, следующего за датой появления в структурном подразделении ОПКЦ внешней платежной системы уточненной информации о причинах нарушения порогового уровня КИР и принятых мерах реагирования, актуализировать соответствующую информацию и направить ее риск-координатору СБП, который не позднее третьего рабочего дня после дня получения уточненной информации от риск-координаторов ПУРиН внешней платежной системы направляет ее риск-координаторам бизнес-процесса.

5. Разработка дополнительных КИР должна осуществляться следующим образом.

5.1. Риск-координаторы ПУРиН (риск-координаторы ПУРиН внешней платежной системы) разрабатывают дополнительные КИР в части компетенции ПУРиН (ПУРиН внешней платежной системы), осуществляя следующие мероприятия.

5.1.1. Риск-координаторы ПУРиН на основании принятого руководителем ПУРиН решения (риск-координаторы ПУРиН внешней платежной системы на основании принятого решения риск-координатором СБП внешней платежной системы) должны разрабатывать дополнительные КИР и определять их параметры в соответствии с приложением 8 к настоящему Положению.

5.1.2. Риск-координаторы ПУРиН (риск-координаторы ПУРиН внешней платежной системы) передают параметры разработанных дополнительных КИР на согласование риск-координаторам бизнес-процесса, которые для сервиса срочного перевода и сервиса несрочного перевода предварительно согласовываются с руководителями ПУРиН и руководителями подразделений Банка России, а для СБП предварительно должны согласовываться с риск-координатором СБП внешней платежной системы.

Согласование параметров дополнительных КИР должно осуществляться риск-координаторами бизнес-процесса в течение пяти рабочих дней с даты поступления указанных параметров дополнительных КИР от риск-координаторов ПУРиН, риск-координаторов ПУРиН внешней платежной системы.

5.2. Риск-координаторы бизнес-процесса должны осуществлять оценку применимости разработанных дополнительных КИР для целей мониторинга существенных изменений уровней остаточных рисков, присущих бизнес-процессу, с привлечением риск-координаторов ПУРиН (риск-координаторов ПУРиН внешней платежной системы).

5.3. При положительном результате оценки применимости дополнительных КИР риск-координаторы бизнес-процесса должны направлять параметры дополнительных КИР на верификацию работникам УРСУР.

Работники УРСУР не позднее пятого рабочего дня, следующего за датой получения параметров КИР от риск-координаторов бизнес-процесса, должны согласовать параметры дополнительных КИР или направить по ним замечания риск-координаторам бизнес-процесса.

Повторные верификации осуществляются не позднее второго рабочего дня, следующего за датой получения от риск-координаторов бизнес-процесса уточненных параметров дополнительных КИР.

5.4. Риск-координаторы бизнес-процесса не позднее второго рабочего дня, следующего за датой получения замечаний от работников УРСУР, должны вносить уточнения в параметры дополнительных КИР и провести повторную оценку применимости дополнительных КИР, осуществляемую в соответствии с подпунктом 5.2 настоящего пункта, за исключением случаев, когда для уточнения параметров дополнительных КИР требуются более длительные сроки, в том числе при необходимости проведения дополнительных согласований параметров дополнительных КИР с заинтересованными подразделениями Банка России и (или) структурными подразделениями ОПКЦ внешней платежной системы.

При положительном результате верификации риск-координаторы бизнес-процесса не позднее двух рабочих дней с даты завершения УРСУР верификации параметров дополнительных КИР должны направить владельцу бизнес-процесса предложение о параметрах дополнительных КИР.

5.5. Владелец бизнес-процесса не позднее пятого рабочего дня с даты представления предложения о параметрах дополнительных КИР должен направлять на согласование указанное предложение курирующему руководителю Банка России или вернуть его риск-координаторам бизнес-процесса с указанием замечаний (причин несогласия с указанным предложением).

5.6. Риск-координаторы бизнес-процесса не позднее второго рабочего дня, следующего за датой получения замечаний от курирующего руководителя Банка России (владельца бизнес-процесса), должны внести уточнения в параметры дополнительных КИР с последующим проведением повторной оценки применимости дополнительных КИР, осуществляемой в соответствии с подпунктом 5.2 настоящего пункта, за исключением случаев, когда для уточнения параметров дополнительных КИР требуются более длительные сроки, в том числе при необходимости проведения дополнительных согласований параметров дополнительных КИР с заинтересованными подразделениями Банка России и (или) структурными подразделениями ОПКЦ внешней платежной системы.

5.7. Владелец бизнес-процесса обеспечивает рассмотрение дополнительных КИР на заседании Комитета и не позднее пятого рабочего дня, следующего за датой их одобрения Комитетом, должен обеспечивать доведение до ПУРиН, осуществляющих мониторинг уровней значимых рисков согласно параметрам дополнительных КИР, ОПКЦ внешней платежной системы информации о параметрах дополнительных КИР.

(в ред. Указания Банка России от 22.09.2022 N 6254-У)

(см. текст в предыдущей редакции)

5.8. Хранение информации о КИР и их параметрах должно осуществляться с использованием специализированного программного обеспечения.

6. Отмена дополнительных КИР должна осуществляться с учетом следующего.

При согласовании курирующим руководителем Банка России отмены дополнительного КИР владелец бизнес-процесса должен обеспечивать доведение до подразделений Банка России и (или) ОПКЦ внешней платежной системы соответствующей информации не позднее пятого рабочего дня, следующего за датой согласования.