к Положению Банка России
от 27 октября 2020 года N 738-П
"О порядке обеспечения бесперебойности
функционирования платежной системы
Банка России"
1. В рамках мониторинга уровней значимых рисков осуществляется:
расчет КИР, дополнительных КИР;
реагирование на нарушение порогового уровня КИР;
актуализация информации о причинах нарушения порогового уровня КИР и принятых мерах реагирования;
разработка дополнительных КИР;
2. Для осуществления мониторинга уровней значимых рисков в ПС должны применяться в том числе следующие КИР (показатели БФПС):
индикатор продолжительности восстановления оказания УПИ (КИР 1);
индикатор непрерывности оказания УПИ (КИР 2);
индикатор соблюдения Регламента выполнения процедур (КИР 3);
индикатор доступности операционного центра (КИР 4);
индикатор изменения частоты инцидентов, произошедших в ПС (КИР 5);
индикатор эффективности противодействия информационным угрозам в ПС (КИР 6);
(абзац введен Указанием Банка России от 09.01.2024 N 6653-У)
индикатор несанкционированных операций в СБП (КИР 7);
(абзац введен Указанием Банка России от 09.01.2024 N 6653-У)
индикатор уровня соответствия защиты информации объектов информационной инфраструктуры Банка России, обеспечивающих функционирование ПС (КИР 8);
(абзац введен Указанием Банка России от 09.01.2024 N 6653-У)
индикатор уровня соответствия защиты информации объектов информационной инфраструктуры ОПКЦ внешней платежной системы (КИР 9);
(абзац введен Указанием Банка России от 09.01.2024 N 6653-У)
индикатор эффективности применяемых в ПС мер технологического контроля поступающих электронных сообщений (КИР 10);
(абзац введен Указанием Банка России от 09.01.2024 N 6653-У)
индикатор качества управления уязвимостями в ПС (КИР 11).
(абзац введен Указанием Банка России от 09.01.2024 N 6653-У)
2.1. КИР 1 должен рассчитываться по каждому из инцидентов, повлекших приостановление оказания УПИ, как период времени с момента возникновения инцидента, приведшего к приостановлению оказания УПИ в результате первого из возникших инцидентов, и до момента восстановления оказания всех УПИ.
(в ред. Указания Банка России от 09.01.2024 N 6653-У)
(см. текст в предыдущей редакции)
Пороговый уровень КИР 1 равен двум часам.
В случае если значение КИР 1 превышает два часа, произошло нарушение порогового уровня КИР 1. КИР 1 рассчитывается в часах (минутах) (секундах).
При этом, если в течение дня произошло несколько пересекающихся между собой по времени инцидентов, то продолжительность восстановления оказания УПИ определяется как разница между моментом восстановления оказания УПИ и моментом выявления первого инцидента из них.
(в ред. Указания Банка России от 09.01.2024 N 6653-У)
(см. текст в предыдущей редакции)
2.2. КИР 2 должен рассчитываться по каждому из инцидентов, повлекших приостановление оказания УПИ, как период времени между двумя последовательно произошедшими инцидентами с момента восстановления оказания УПИ, приостановленных в результате первого инцидента, и до момента возникновения события, приведшего к приостановлению оказания УПИ в результате следующего инцидента.
(в ред. Указания Банка России от 09.01.2024 N 6653-У)
(см. текст в предыдущей редакции)
Пороговый уровень КИР 2 равен двадцати четырем часам.
В случае если значение КИР 2 менее двадцати четырех часов, произошло нарушение порогового уровня КИР 2. КИР 2 рассчитывается в часах (минутах) (секундах).
При этом, если произошло несколько пересекающихся между собой по времени инцидентов, то продолжительность непрерывности оказания УПИ определяется как разница между моментом выявления следующего инцидента и моментом устранения последствий последнего из пересекающихся инцидентов и.
КонсультантПлюс: примечание.
Пп. 2.3 п. 2 Приложения 2 вступает в силу с 01.10.2026.
2.3. КИР 3 должен рассчитываться ежемесячно как отношение количества распоряжений участников ПС (их клиентов), по которым в течение календарного месяца были оказаны УПИ без нарушения регламента выполнения процедур, указанного в приложении 1 к настоящему Положению, к общему количеству распоряжений участников ПС (их клиентов), по которым в течение календарного месяца были оказаны УПИ, по формуле:
N - количество распоряжений участников ПС (их клиентов), по которым были оказаны УПИ без нарушения временных интервалов, указанных в приложении 1 к настоящему Положению, в течение оцениваемого календарного месяца;
Nобщ - общее количество распоряжений участников ПС (их клиентов), по которым были оказаны УПИ, в течение оцениваемого календарного месяца.
КИР 3 для сервиса срочного перевода, сервиса несрочного перевода и СБП рассчитывается индивидуально.
Пороговый уровень КИР 3 для сервиса срочного перевода и сервиса несрочного перевода равен 99,73 процента.
Пороговый уровень КИР 3 для СБП равен 99,9 процента.
В случае если значение КИР 3 менее 99,73 процента, при предоставлении сервиса срочного перевода и (или) сервиса несрочного перевода произошло нарушение порогового уровня КИР 3.
В случае если значение КИР 3 менее 99,9 процента, при предоставлении СБП произошло нарушение порогового уровня КИР 3.
2.4. КИР 4 должен рассчитываться ежемесячно как среднее значение коэффициента доступности за оцениваемый календарный месяц по формуле:
(в ред. Указания Банка России от 09.01.2024 N 6653-У)
(см. текст в предыдущей редакции)
k = {1...K} - k-ый рабочий день в отчетном месяце;
K - количество рабочих дней в отчетном месяце;
Kavk - коэффициент доступности услуг операционного центра (ОПКЦ внешней платежной системы) в k-ый рабочий день, рассчитываемый по формуле:
Dk - общая продолжительность всех приостановлений оказания операционных услуг для всех участников ПС операционным центром (ОПКЦ внешней платежной системы) в течение k-го рабочего дня, в минутах;
- общая продолжительность времени оказания операционных услуг в течение k-го рабочего дня, в минутах, в соответствии с графиком функционирования ПС, установленным нормативным актом Банка России в соответствии с частью 9 статьи 20 Федерального закона "О национальной платежной системе", в части оказания операционных услуг.
КИР 4 рассчитается отдельно для операционного центра, функции которого выполняет Банк России, и отдельно - для операционного центра, функции которого выполняет ОПКЦ внешней платежной системы.
Пороговый уровень КИР 4 для операционного центра, функции которого выполняет Банк России, равен 99,00 процента.
В случае значение КИР 4 для операционного центра, функции которого выполняет Банк России, менее 99,00 процента, произошло нарушение порогового уровня КИР 4.
Пороговый уровень КИР 4 для операционного центра, функции которого выполняет ОПКЦ внешней платежной системы, равен 99,99 процента.
В случае если значение КИР 4 для операционного центра, функции которого выполняет ОПКЦ внешней платежной системы, менее 99,99 процента, произошло нарушение порогового уровня КИР 4.
2.5. КИР 5 должен рассчитываться ежемесячно как темп прироста среднедневного количества инцидентов за оцениваемый календарный месяц по отношению к среднедневному количеству инцидентов за предыдущие 12 календарных месяцев, включая оцениваемый календарный месяц, по формуле:
КИi - количество инцидентов в течение i-го рабочего дня ПС;
i = {1...M} - i-ый день в оцениваемом календарном месяце;
(в ред. Указания Банка России от 09.01.2024 N 6653-У)
(см. текст в предыдущей редакции)
M - количество рабочих дней ПС в оцениваемом календарном месяце;
КИj - количество инцидентов в течение j-го рабочего дня ПС;
j = {1...N} - j-ый рабочий день 12 предыдущих календарных месяцев, включая оцениваемый календарный месяц;
N - количество рабочих дней ПС за 12 предыдущих календарных месяцев, включая оцениваемый месяц.
КИР 5 должен рассчитываться в процентах с точностью до одного знака после запятой (с округлением по математическому методу). В случае если за предыдущие 12 календарных месяцев, включая оцениваемый месяц, инцидентов не было, значение показателя следует признавать равным нулю.
Пороговый уровень КИР 5 равен 115,0 процента.
В случае если значение КИР 5 более 115,0 процента, произошло нарушение порогового уровня КИР 5.
2.6. КИР 6 должен рассчитываться в зависимости от размера активов участника ПС.
2.6.1. Для банка - участника ПС, размер активов которого составляет менее 500 миллиардов рублей на начало текущего отчетного года, КИР 6 должен рассчитываться ежегодно как количество событий списания денежных средств с банковских счетов участников ПС и клиентов Банка России без их согласия, за исключением случаев, предусмотренных законодательством Российской Федерации или комплексным договором банковского обслуживания.
В случае если значение КИР 6 более либо равно 2, произошло нарушение порогового уровня КИР 6.
2.6.2. Для банка - участника ПС, размер активов которого составляет 500 миллиардов рублей и более на начало текущего отчетного года, КИР 6 должен рассчитываться ежегодно как количество событий списания денежных средств с банковских счетов участников ПС и клиентов Банка России без их согласия, за исключением случаев, предусмотренных законодательством Российской Федерации или комплексным договором банковского обслуживания.
В случае если значение КИР 6 более либо равно 1, произошло нарушение порогового уровня КИР 6.
(пп. 2.6 введен Указанием Банка России от 09.01.2024 N 6653-У)
2.7. КИР 7 должен рассчитываться ежеквартально как отношение суммы денежных средств, относительно которых участниками СБП получены уведомления от их клиентов о списании денежных средств с банковских счетов клиентов без их согласия за оцениваемый квартал, за исключением случаев, предусмотренных законодательством Российской Федерации, к общей сумме денежных средств, списанных с банковских счетов клиентов участников СБП посредством осуществления перевода денежных средств с использованием СБП.
В случае если значение КИР 7 более 0,005 процента, произошло нарушение порогового уровня КИР 7.
(пп. 2.7 введен Указанием Банка России от 09.01.2024 N 6653-У)
2.8. КИР 8 должен рассчитываться не реже одного раза в два года на основе результатов оценки соответствия текущего уровня защиты информации объектов информационной инфраструктуры Банка России, обеспечивающих функционирование ПС, уровням, определенным пунктом 6.7 раздела 6 ГОСТ Р 57580.1-2017, согласно методике оценки соответствия защиты информации, определенной в разделе 6 ГОСТ Р 57580.2-2018.
В случае если числовая итоговая оценка соответствия защиты информации, рассчитываемая в соответствии с пунктом 7.10 раздела 7 ГОСТ Р 57580.2-2018, менее 0,85 процента, произошло нарушение порогового уровня КИР 8.
(пп. 2.8 введен Указанием Банка России от 09.01.2024 N 6653-У)
2.9. КИР 9 должен рассчитываться не реже одного раза в два года на основе результатов оценки соответствия текущего уровня защиты информации ОПКЦ внешней платежной системы уровням, определенным пунктом 6.7 раздела 6 ГОСТ Р 57580.1-2017, согласно методике оценки соответствия защиты информации, определенной в разделе 6 ГОСТ Р 57580.2-2018.
В случае если уровень соответствия ниже уровня, установленного пунктом 20 Положения Банка России N 802-П, произошло нарушение порогового уровня КИР 9.
(пп. 2.9 введен Указанием Банка России от 09.01.2024 N 6653-У)
2.10. КИР 10 должен рассчитываться как количество случаев успешного прохождения в ПС технологического контроля электронных сообщений, не подлежащих обработке, в результате инцидентов.
В случае если значение КИР 10 больше 0, произошло нарушение порогового уровня КИР 10.
(пп. 2.10 введен Указанием Банка России от 09.01.2024 N 6653-У)
2.11. КИР 11 должен рассчитываться как количество повторно выявленных по результатам ежегодного тестирования на проникновение уязвимостей, имеющих высокий или критический уровень опасности уязвимости, предусмотренный подпунктом 5.2.18 пункта 5.2 раздела 5 национального стандарта Российской Федерации ГОСТ Р 56545-2015 "Защита информации. Уязвимости информационных систем. Правила описания уязвимостей" (утвержден приказом Федерального агентства по техническому регулированию и метрологии от 19 августа 2015 года N 1180-ст (М., ФГУП "Стандартинформ", 2015) и введен в действие 1 апреля 2016 года).
В случае если значение КИР 11 больше 0, произошло нарушение порогового уровня КИР 11.
(пп. 2.11 введен Указанием Банка России от 09.01.2024 N 6653-У)
3. В случае достижения (выполнения) расчетным значением КИР, расчетным значением дополнительного КИР (далее при совместном упоминании в целях настоящего пункта - КИР) порогового уровня КИР (далее - нарушение порогового уровня КИР):
работники ПУРиН (работники ПУРиН внешней платежной системы) должны применить меры реагирования при нарушении порогового уровня КИР;
риск-координаторы ПУРиН, работники подразделений которых применяют меры реагирования при нарушении порогового уровня КИР, в части сервиса срочного перевода и сервиса несрочного перевода должны не позднее пятого рабочего дня, следующего за датой выявления нарушения порогового уровня КИР, после согласования руководителями ПУРиН и руководителями подразделений Банка России, в состав которых входят ПУРиН, зарегистрировать информацию о причинах нарушения порогового уровня КИР и принятых мерах реагирования в соответствии с приложением 9 к настоящему Положению;
(в ред. Указания Банка России от 09.01.2024 N 6653-У)
(см. текст в предыдущей редакции)
риск-координаторы ПУРиН внешней платежной системы, работники которого применяют меры реагирования при нарушении порогового уровня КИР, должны не позднее пятого рабочего дня, следующего за датой выявления нарушения порогового уровня КИР, зарегистрировать и направить риск-координатору СБП внешней платежной системы информацию о причинах нарушения порогового уровня КИР и принятых мерах реагирования в соответствии с приложением 9 к настоящему Положению. Риск-координатор СБП внешней платежной системы должен не позднее третьего рабочего дня, следующего за датой получения информации от риск-координаторов ПУРиН внешней платежной системы, направить соответствующую информацию риск-координаторам бизнес-процесса.
4. При появлении уточненной информации о причинах нарушения порогового уровня КИР и о принятых мерах реагирования, о составе принятых мер реагирования риск-координаторы ПУРиН, осуществляющие мониторинг уровней значимых рисков согласно параметрам КИР, после согласования с руководителями ПУРиН и при необходимости с руководителями соответствующих структурных подразделений подразделений Банка России должны актуализировать соответствующую информацию не позднее пятого рабочего дня, следующего за датой появления уточненной информации.
Риск-координаторы ПУРиН внешней платежной системы подразделений, которые применяют меры реагирования при нарушении порогового уровня КИР, должны не позднее третьего рабочего дня, следующего за датой появления в структурном подразделении ОПКЦ внешней платежной системы уточненной информации о причинах нарушения порогового уровня КИР и принятых мерах реагирования, актуализировать соответствующую информацию и направить ее риск-координатору СБП, который не позднее третьего рабочего дня после дня получения уточненной информации от риск-координаторов ПУРиН внешней платежной системы направляет ее риск-координаторам бизнес-процесса.
5. Разработка дополнительных КИР должна осуществляться следующим образом.
5.1. Риск-координаторы ПУРиН (риск-координаторы ПУРиН внешней платежной системы) разрабатывают дополнительные КИР в части компетенции ПУРиН (ПУРиН внешней платежной системы), осуществляя следующие мероприятия.
5.1.1. Риск-координаторы ПУРиН на основании принятого руководителем ПУРиН решения (риск-координаторы ПУРиН внешней платежной системы на основании принятого решения риск-координатором СБП внешней платежной системы) должны разрабатывать дополнительные КИР и определять их параметры в соответствии с приложением 8 к настоящему Положению.
5.1.2. Риск-координаторы ПУРиН (риск-координаторы ПУРиН внешней платежной системы) передают параметры разработанных дополнительных КИР на согласование риск-координаторам бизнес-процесса, которые для сервиса срочного перевода и сервиса несрочного перевода предварительно согласовываются с руководителями ПУРиН и руководителями подразделений Банка России, а для СБП предварительно должны согласовываться с риск-координатором СБП внешней платежной системы.
Согласование параметров дополнительных КИР должно осуществляться риск-координаторами бизнес-процесса в течение пяти рабочих дней с даты поступления указанных параметров дополнительных КИР от риск-координаторов ПУРиН, риск-координаторов ПУРиН внешней платежной системы.
5.2. Риск-координаторы бизнес-процесса должны осуществлять оценку применимости разработанных дополнительных КИР для целей мониторинга существенных изменений уровней остаточных рисков, присущих бизнес-процессу, с привлечением риск-координаторов ПУРиН (риск-координаторов ПУРиН внешней платежной системы).
5.3. При положительном результате оценки применимости дополнительных КИР риск-координаторы бизнес-процесса должны направлять параметры дополнительных КИР на верификацию работникам УРСУР.
Работники УРСУР не позднее пятого рабочего дня, следующего за датой получения параметров КИР от риск-координаторов бизнес-процесса, должны согласовать параметры дополнительных КИР или направить по ним замечания риск-координаторам бизнес-процесса.
Повторные верификации осуществляются не позднее второго рабочего дня, следующего за датой получения от риск-координаторов бизнес-процесса уточненных параметров дополнительных КИР.
5.4. Риск-координаторы бизнес-процесса не позднее второго рабочего дня, следующего за датой получения замечаний от работников УРСУР, должны вносить уточнения в параметры дополнительных КИР и провести повторную оценку применимости дополнительных КИР, осуществляемую в соответствии с подпунктом 5.2 настоящего пункта, за исключением случаев, когда для уточнения параметров дополнительных КИР требуются более длительные сроки, в том числе при необходимости проведения дополнительных согласований параметров дополнительных КИР с заинтересованными подразделениями Банка России и (или) структурными подразделениями ОПКЦ внешней платежной системы.
При положительном результате верификации риск-координаторы бизнес-процесса не позднее двух рабочих дней с даты завершения УРСУР верификации параметров дополнительных КИР должны направить владельцу бизнес-процесса предложение о параметрах дополнительных КИР.
5.5. Владелец бизнес-процесса не позднее пятого рабочего дня с даты представления предложения о параметрах дополнительных КИР должен направлять на согласование указанное предложение курирующему руководителю Банка России или вернуть его риск-координаторам бизнес-процесса с указанием замечаний (причин несогласия с указанным предложением).
5.6. Риск-координаторы бизнес-процесса не позднее второго рабочего дня, следующего за датой получения замечаний от курирующего руководителя Банка России (владельца бизнес-процесса), должны внести уточнения в параметры дополнительных КИР с последующим проведением повторной оценки применимости дополнительных КИР, осуществляемой в соответствии с подпунктом 5.2 настоящего пункта, за исключением случаев, когда для уточнения параметров дополнительных КИР требуются более длительные сроки, в том числе при необходимости проведения дополнительных согласований параметров дополнительных КИР с заинтересованными подразделениями Банка России и (или) структурными подразделениями ОПКЦ внешней платежной системы.
5.7. Владелец бизнес-процесса обеспечивает рассмотрение дополнительных КИР на заседании Комитета и не позднее пятого рабочего дня, следующего за датой их одобрения Комитетом, должен обеспечивать доведение до ПУРиН, осуществляющих мониторинг уровней значимых рисков согласно параметрам дополнительных КИР, ОПКЦ внешней платежной системы информации о параметрах дополнительных КИР.
(в ред. Указания Банка России от 22.09.2022 N 6254-У)
(см. текст в предыдущей редакции)
5.8. Хранение информации о КИР и их параметрах должно осуществляться с использованием специализированного программного обеспечения.
6. Отмена дополнительных КИР должна осуществляться с учетом следующего.
При согласовании курирующим руководителем Банка России отмены дополнительного КИР владелец бизнес-процесса должен обеспечивать доведение до подразделений Банка России и (или) ОПКЦ внешней платежной системы соответствующей информации не позднее пятого рабочего дня, следующего за датой согласования.
- Гражданский кодекс (ГК РФ)
- Жилищный кодекс (ЖК РФ)
- Налоговый кодекс (НК РФ)
- Трудовой кодекс (ТК РФ)
- Уголовный кодекс (УК РФ)
- Бюджетный кодекс (БК РФ)
- Арбитражный процессуальный кодекс
- Конституция РФ
- Земельный кодекс (ЗК РФ)
- Лесной кодекс (ЛК РФ)
- Семейный кодекс (СК РФ)
- Уголовно-исполнительный кодекс
- Уголовно-процессуальный кодекс
- Производственный календарь на 2025 год
- МРОТ 2024
- ФЗ «О банкротстве»
- О защите прав потребителей (ЗОЗПП)
- Об исполнительном производстве
- О персональных данных
- О налогах на имущество физических лиц
- О средствах массовой информации
- Производственный календарь на 2024 год
- Федеральный закон "О полиции" N 3-ФЗ
- Расходы организации ПБУ 10/99
- Минимальный размер оплаты труда (МРОТ)
- Календарь бухгалтера на 2024 год
- Частичная мобилизация: обзор новостей