Приложение 6

к Положению Банка России

от 27 октября 2020 года N 738-П

"О порядке обеспечения бесперебойности

функционирования платежной системы

Банка России"

ТРЕБОВАНИЯ К СОДЕРЖАНИЮ ПЛАНА ОНИВД

1. План ОНиВД предусматривает комплекс мер, реализуемых ПУРиН во время и после реализации значимого риска, потенциально влияющего на БФПС.

2. В плане ОНиВД должны быть приведены сведения о подразделении Банка России, на которое возложены полномочия и обязанности по разработке, пересмотру и контролю исполнения плана ОНиВД.

3. В плане ОНиВД определяются:

работники, эксплуатирующие, обслуживающие и сопровождающие программно-технический комплекс (далее - ПТК) и системы телекоммуникаций (далее - СТ), автоматизированные рабочие места (далее - АРМ), системы инженерного обеспечения и жизнеобеспечения, используемые для обеспечения функционирования ПС, а также персонал, использующий информационные ресурсы автоматизированных систем (далее - АС) при выполнении должностных обязанностей;

помещения (здания), в которых размещен персонал и АРМ, расположены ПТК и СТ, используемые для обеспечения функционирования ПС;

АС с входящими в их состав информационными ресурсами, используемые для обеспечения функционирования ПС;

системы инженерного обеспечения и жизнеобеспечения, предназначенные для поддержки надлежащих условий работы персонала и среды функционирования ПТК, СТ, АРМ, используемых для обеспечения функционирования ПС (системы энергоснабжения, вентиляции и кондиционирования, водоснабжения, пожаротушения и другие системы, используемые для обеспечения функционирования ПС).

4. План ОНиВД должен содержать перечень АС, ПТК, СТ, АРМ и состав персонала для обеспечения надлежащего оказания УПИ.

5. План ОНиВД должен содержать критерии активации сценариев, а также описание процесса принятия решения об активации сценариев и выполнения сценариев в зависимости от уровня реализовавшегося значимого риска с момента выявления инцидента до момента доведения принятого решения до работников ПУРиН и (или) работников ПУРиН внешней платежной системы, наделенных полномочиями по реализации соответствующих мер.

6. Планом ОНиВД может быть предусмотрено выполнение одного сценария в отношении нескольких реализовавшихся значимых рисков.

7. План ОНиВД должен содержать схемы оповещения уполномоченными лицами ПУРиН должностных лиц, которые должны принимать участие в устранении последствий реализации значимых рисков. Состав указанных должностных лиц необходимо определять исходя из представленной в приложении 3 к настоящему Положению зоны карты рисков, присвоенной значимому риску.

При реализации рисков I зоны решение об активации соответствующего сценария плана ОНиВД принимается руководителем ПУРиН, к компетенции которого относится управление непрерывностью для данного риска.

При реализации рисков II зоны решение об активации соответствующего сценария плана ОНиВД принимается владельцем бизнес-процесса.

При реализации рисков III зоны решение об активации соответствующего сценария плана ОНиВД принимается курирующим руководителем Банка России.

При реализации рисков, последствия которых требуют перехода на оказание УПИ с использованием резервных автоматизированных систем, решение о переходе принимается Председателем Банка России.

8. В плане ОНиВД должны быть определены порядок и сроки тестирования отдельных сценариев плана ОНиВД и при необходимости плана ОНиВД в целом и пересмотра (актуализации) плана ОНиВД.

9. Условия проведения тестирования сценариев плана ОНиВД должны быть спланированы и согласованы с участниками ПС для того, чтобы исключить возможность приостановления оказания УПИ.

10. Тестирование сценариев плана ОНиВД проводится:

в форме совещания, на котором последовательно анализируются действия, предусмотренные сценарием плана ОНиВД, на предмет их осуществимости в условиях реализации инцидента, возможности своевременно их выполнить, достаточности имеющихся ресурсов для выполнения действий, доступности помещений, где должны находиться работники при выполнении сценария плана ОНиВД;

в форме непосредственного выполнения работниками действий, предусмотренных одним или несколькими сценариями плана ОНиВД, в условиях объявленного или необъявленного условного инцидента (далее - учения).

11. По результатам каждого проведенного тестирования сценария плана ОНиВД, плана ОНиВД должен быть подготовлен отчет, в котором должны быть отражены (при наличии) выявленные недостатки в сценарии (в сценариях) плана ОНиВД, плане ОНиВД и предложения по их устранению.

По результатам учений в отчете должна быть отражена также следующая информация:

соблюдались ли установленные сценарием плана ОНиВД сроки оповещения работников, задействованных в выполнении тестируемых сценариев плана ОНиВД, о возникновении инцидента и активации соответствующих сценариев плана ОНиВД;

все ли работники, задействованные в выполнении тестируемых сценариев плана ОНиВД, выполнили возложенные на них функции;

обеспечивалась ли работоспособность ПТК, СТ, АРМ, систем инженерного обеспечения и жизнеобеспечения, используемых при выполнении тестируемых сценариев плана ОНиВД, а также доступ работников, задействованных в выполнении тестируемых сценариев плана ОНиВД, к указанным системам для выполнения возложенных на них функций;

обеспечивалась ли доступность для работников, задействованных в выполнении тестируемых сценариев плана ОНиВД, помещений, используемых при выполнении тестируемых сценариев плана ОНиВД;

позволяет ли использование тестируемых сценариев плана ОНиВД обеспечить восстановление надлежащего оказания УПИ и восстановление оказания УПИ в случае приостановления их оказания в пределах установленных сроков.

12. Тестирование каждого сценария плана ОНиВД должно проводиться не реже одного раза в течение календарного года.