Порядок и сроки составления отчетности по форме 0420174 "Сведения о показателях операционной надежности страховой организации и применяемых ею информационных технологиях"

Порядок и сроки

составления отчетности по форме 0420174 "Сведения

о показателях операционной надежности страховой организации

и применяемых ею информационных технологиях"

1. Отчетность по форме 0420174 "Сведения о показателях операционной надежности страховой организации и применяемых ею информационных технологиях" (далее - отчетность по форме 0420174) составляется страховой организацией посредством формирования предусмотренных в ней показателей за I квартал, первое полугодие, 9 месяцев, год (далее - отчетный период) с учетом пунктов 9, 13 - 16 и 19 приложения 3 к настоящему Указанию.

2. В отчетности по форме 0420174, составляемой по состоянию на последний календарный день I квартала, первого полугодия, 9 месяцев, заполняются:

показатель "Продолжительность времени работы (функционирования) технологического процесса" (строка 2);

показатель "Суммарное время простоя и (или) деградации технологического процесса" (строка 6);

показатели разделов 1 - 6, за исключением показателей "Продолжительность времени работы (функционирования) технологического процесса" (строка 2) и "Суммарное время простоя и (или) деградации технологического процесса" (строка 6), - в случае изменения значений таких показателей, представленных за период, предшествующий I кварталу, первому полугодию, 9 месяцам соответственно.

В отчетности по форме 0420174, составляемой по состоянию на последний календарный день года, показатели заполняются в полном объеме.

3. В разделе 1 отчетности по форме 0420174 указываются сведения о технологических процессах, обеспечивающих осуществление деятельности страховой организации в сфере финансовых рынков (далее - технологический процесс).

3.1. По показателю "Описание технологического процесса" (строка 1) указывается описание технологического процесса, в рамках которого страховой организацией осуществляется эксплуатация автоматизированных систем, программного обеспечения, средств вычислительной техники, телекоммуникационного оборудования (далее - объекты информационной инфраструктуры), применяемых страховой организацией, в случае необходимости его детализации и уточнения по решению страховой организации.

3.2. По показателю "Продолжительность времени работы (функционирования) технологического процесса" (строка 2) указывается общее планируемое страховой организацией количество часов работы (функционирования) технологического процесса в периоде, следующем за отчетным периодом, с учетом установленного его режима работы (времени начала, времени окончания, продолжительности и последовательности процедур в рамках технологического процесса), в том числе выходных и нерабочих праздничных дней, признаваемых таковыми в соответствии со статьями 111 и 112 Трудового кодекса Российской Федерации.

3.3. По группе аналитических признаков "Код технологического процесса" указывается один из следующих кодов технологического процесса, в рамках которого осуществляется эксплуатация объектов информационной инфраструктуры, применяемой страховой организацией при осуществлении деятельности в сфере финансовых рынков:

"ТПрНФО31" - технологический процесс, обеспечивающий учет страховых случаев;

"ТПрНФО32" - технологический процесс, обеспечивающий возврат страховой премии;

"ТПрНФО33" - технологический процесс, обеспечивающий работу сайтов в части размещения информации, предусмотренной пунктом 6 статьи 6 Закона Российской Федерации от 27 ноября 1992 года N 4015-I "Об организации страхового дела в Российской Федерации" <1>.

--------------------------------

<1> Ведомости Съезда народных депутатов Российской Федерации и Верховного Совета Российской Федерации, 1993, N 2, ст. 56; Собрание законодательства Российской Федерации, 1998, N 1, ст. 4; 2021, N 27, ст. 5171.

4. В разделе 2 отчетности по форме 0420174 указываются сведения о значениях показателей операционной надежности в рамках технологических процессов.

4.1. По показателю "Допустимая доля деградации технологического процесса" (строка 3) указывается допустимая доля деградации технологического процесса, определенная страховой организацией в соответствии с абзацем вторым пункта 1.3 Положения Банка России от 15 ноября 2021 года N 779-П "Об установлении обязательных для некредитных финансовых организаций требований к операционной надежности при осуществлении видов деятельности, предусмотренных частью первой статьи 76.1 Федерального закона от 10 июля 2002 года N 86-ФЗ "О Центральном банке Российской Федерации (Банке России)", в целях обеспечения непрерывности оказания финансовых услуг (за исключением банковских услуг)" <2> (далее - Положение Банка России N 779-П) (информация по показателю указывается в долях с точностью до шести знаков после запятой).

--------------------------------

<2> Зарегистрировано Минюстом России 28 марта 2022 года, регистрационный N 67961.

4.2. По показателю "Допустимое время простоя и (или) деградации технологического процесса" (строка 4) указывается предельно допустимое для страховой организации время простоя и (или) деградации технологического процесса, определенное в соответствии с абзацем третьим пункта 1.3 Положения Банка России N 779-П (информация по показателю указывается в минутах).

4.3. По показателю "Допустимое суммарное время простоя и (или) деградации технологического процесса" (строка 5) указывается предельно допустимое для страховой организации суммарное время простоя и (или) деградации технологического процесса, определенное в соответствии с абзацем четвертым пункта 1.3 Положения Банка России N 779-П (информация по показателю указывается в минутах).

4.4. По показателю "Суммарное время простоя и (или) деградации технологического процесса" (строка 6) указывается фактическое значение суммарного времени простоя и (или) деградации технологического процесса за последние двенадцать календарных месяцев (информация по показателю указывается в минутах).

5. В разделе 3 отчетности по форме 0420174 указываются сведения об объектах информатизации и основных системных уровнях информационной инфраструктуры, применяемых страховой организацией для взаимодействия в информационно-телекоммуникационной сети "Интернет" (далее - сеть "Интернет") с ее клиентами и контрагентами при осуществлении деятельности в сфере финансовых рынков, в разрезе кодов технологических процессов, предусмотренных подпунктом 3.3 пункта 3 настоящих Порядка и сроков, кодов технологических участков, предусмотренных подпунктом 5.8 настоящего пункта, и наименований объектов информатизации, за исключением сведений, представляемых в разделе 5 отчетности по форме 0420174.

Понятие "объект информатизации" используется в значении, определенном в соответствии с пунктом 3.6 национального стандарта Российской Федерации ГОСТ Р 57580.1-2017 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер" <1> (далее - ГОСТ Р 57580.1-2017).

--------------------------------

<1> Введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 8 августа 2017 года N 882-ст "Об утверждении национального стандарта" (М., ФГУП "Стандартинформ", 2017).

Понятие "основные системные уровни информационной инфраструктуры" используется в значении, определенном в соответствии с подпунктом "а" пункта 6.2 ГОСТ Р 57580.1-2017.

5.1. По показателю "Полное фирменное наименование или фамилия, имя, отчество (последнее - при наличии) оператора связи" (строка 7) указывается полное фирменное наименование оператора связи (для юридического лица) или фамилия, имя, отчество (последнее - при наличии) оператора связи (для индивидуального предпринимателя), с которым страховой организацией заключен договор об оказании услуги связи в целях взаимодействия в сети "Интернет" с ее клиентами и контрагентами (далее - оператор связи).

5.2. По показателю "Идентификационный номер налогоплательщика (ИНН)" (строка 8) указывается идентификационный номер налогоплательщика для оператора связи - резидента.

5.3. По показателю "TIN" (строка 9) указывается идентификационный номер налогоплательщика иностранной организации (или его аналог) в стране регистрации (Tax Identification Number) (далее - TIN) для оператора связи - нерезидента.

5.4. По показателю "IP-адрес или пул IP-адресов в формате протокола IPv4" (строка 10) указывается маршрутизируемый IP-адрес или пул IP-адресов в формате протокола IPv4 с указанием подсети в формате CIDR <1>, внешних по отношению к объекту информатизации, применяемому страховой организацией для взаимодействия в сети "Интернет" с ее клиентами и контрагентами.

--------------------------------

<1> Механизм бесклассовой внутренней маршрутизации (Classless Inter-Domian Routing, CIDR).

5.5. По показателю "IP-адрес или пул IP-адресов в формате протокола IPv6" (строка 11) указывается маршрутизируемый IP-адрес или пул IP-адресов в формате протокола IPv6 с указанием префикса, внешних по отношению к объекту информатизации, применяемому страховой организацией для взаимодействия в сети "Интернет" с ее клиентами и контрагентами.

5.6. По показателю "Номер автономной системы" (строка 12) указывается номер автономной системы, применяемой страховой организацией для взаимодействия в сети "Интернет" с ее клиентами и контрагентами, если номер присвоен оператором связи, обеспечивающим функционирование автономной системы. В ином случае указанный показатель не заполняется.

5.7. По группе аналитических признаков "Идентификатор оператора связи" указывается идентификатор оператора связи, позволяющий выделить одного оператора связи из других операторов связи, отраженных в отчетности по форме 0420174. Значение идентификатора оператора связи формируется страховой организацией самостоятельно.

5.8. По группе аналитических признаков "Код технологического участка" в целях составления отчетности по форме 0420174 указывается один из следующих кодов для идентификации, аутентификации и авторизации страховой организацией своих клиентов в целях осуществления финансовых операций, формирования (подготовки), передаче и приеме электронных сообщений, удостоверения права клиентов распоряжаться денежными средствами, ценными бумагами или иным имуществом, осуществления финансовой операции, учета результатов ее осуществления (при наличии учета), хранения электронных сообщений и информации об осуществленных финансовых операциях (далее при совместном упоминании - технологические участки), в рамках которых применяется объект информатизации:

"ИАА" - идентификация, аутентификация и авторизация клиентов страховой организации в целях осуществления финансовых операций;

"ФПП" - формирование (подготовка), передача и прием электронных сообщений;

"УП" - удостоверение права клиентов страховой организации распоряжаться денежными средствами, ценными бумагами или иным имуществом;

"ОУ" - осуществление финансовой операции, учет результатов ее осуществления (при наличии учета);

"ХИ" - хранение электронных сообщений и информации об осуществленных финансовых операциях.

5.9. По группе аналитических признаков "Наименование объекта информатизации" указывается наименование объекта информатизации.

6. В разделе 4 отчетности по форме 0420174 указываются сведения об электронных адресах веб-сервисов (информационных ресурсов) и номерах телефонов, используемых страховой организацией для взаимодействия с ее клиентами и контрагентами в разрезе доменного имени электронного адреса информационного ресурса и унифицированных идентификаторов информационного ресурса (URI-адрес), применяемых страховой организацией для взаимодействия в сети "Интернет" с ее клиентами и контрагентами (по аналитическим признакам групп аналитических признаков "Доменное имя электронного адреса информационного ресурса" и "Унифицированный идентификатор информационного ресурса (URI-адрес)").

6.1. По показателю "IP-адрес или пул IP-адресов в формате протокола IPv4" (строка 13) указывается маршрутизируемый IP-адрес или пул IP-адресов информационного ресурса в формате протокола IPv4 с указанием подсети в формате CIDR, применяемых страховой организацией для взаимодействия в сети "Интернет" с ее клиентами и контрагентами.

6.2. По показателю "IP-адрес или пул IP-адресов в формате протокола IPv6" (строка 14) указывается маршрутизируемый IP-адрес или пул IP-адресов информационного ресурса в формате протокола IPv6 с указанием префикса, применяемых страховой организацией для взаимодействия в сети "Интернет" с ее клиентами и контрагентами.

6.3. По показателю "Номера телефонов, используемые отчитывающейся организацией для взаимодействия с клиентами" (строка 15) указывается номер телефона, используемый страховой организацией для взаимодействия с ее клиентами и контрагентами и размещенный на официальном сайте страховой организации в сети "Интернет".

При наличии нескольких номеров телефонов страховой организации они указываются через символ ";" (точка с запятой) с отступом (пробелом).

7. В разделе 5 отчетности по форме 0420174 указываются сведения об автоматизированных системах и приложениях, предусмотренных подпунктом "б" пункта 6.2 ГОСТ Р 57580.1-2017, применяемых страховой организацией при осуществлении деятельности в сфере финансовых рынков (далее - автоматизированные системы и приложения), воздействие на которые или нарушение функционирования которых может привести к событию операционного риска, указанному в абзаце втором пункта 1.3 Положения Банка России N 779-П (далее - событие операционного риска), за исключением сведений, представляемых в разделе 6 отчетности по форме 0420174.

По показателю "Информация об автоматизированных системах и приложениях" (строка 16) указывается информация обо всех автоматизированных системах и приложениях в разрезе кода технологического процесса, указанного в подпункте 3.3 пункта 3 настоящих Порядка и сроков, и кода технологического участка, указанного в подпункте 5.8 пункта 5 настоящих Порядка и сроков.

8. В разделе 6 отчетности по форме 0420174 указываются сведения о применении страховой организацией "облачных" решений, предоставляемых страховой организации поставщиками услуг, предусмотренными абзацем шестым пункта 1.4 Положения Банка России N 779-П, в рамках технологических процессов, обеспечивающих деятельность в сфере финансовых рынков, воздействие на которые или нарушение функционирования которых может привести к событиям операционного риска.

Информация по показателям раздела 6 отчетности по форме 0420174 раскрывается в разрезе кода технологического процесса, указанного в подпункте 3.3 пункта 3 настоящих Порядка и сроков, кода технологического участка, указанного в подпункте 5.8 пункта 5 настоящих Порядка и сроков, и полного наименования оператора центра обработки данных, оказывающего услуги страховой организации (далее - центр обработки данных), в соответствии с его данными по месту регистрации (по аналитическим признакам группы аналитических признаков "Полное фирменное наименование оператора центра обработки данных").

В случае если страховая организация не применяет облачные решения, значения показателей раздела 6 отчетности по форме 0420174 не указываются.

8.1. По показателю "Код функциональности (возможностей), получаемой (получаемых) отчитывающейся организацией в рамках "облачных" решений, предоставляемых поставщиком услуг" (строка 17) указывается один из следующих кодов функциональности (возможностей), получаемой (получаемых) страховой организацией в рамках "облачных" решений:

"ФПр" - функциональность приложений (предоставляет страховой организации возможность использовать приложения поставщика услуг "облачных" решений);

"ФИИ" - функциональность информационной инфраструктуры (предоставляет страховой организации возможность получать и использовать вычислительные ресурсы, ресурсы для хранения данных или сетевые ресурсы);

"ФПл" - функциональность платформы (предоставляет страховой организации возможность использовать приложения, созданные или приобретенные ею, с использованием одного или нескольких языков программирования и одной или более сред выполнения, поддерживаемых поставщиком услуг "облачных" решений).

8.2. По показателю "Код категории "облачных" решений, предоставляемых поставщиком услуг" (строка 18) указывается один из следующих кодов категории "облачных" решений, предоставляемых поставщиком услуг:

"ОИ" - для облачных решений, предоставляемых поставщиком услуг, в которых страховой организации предоставляются возможности, связанные со взаимодействием в режиме реального времени и совместной работой;

"Вычисления" - для облачных решений, предоставляемых поставщиком услуг, в которых страховой организации предоставляются возможности, связанные с получением и использованием вычислительных ресурсов, необходимых для развертывания и выполнения прикладного программного обеспечения;

"ХД" - для облачных решений, предоставляемых поставщиком услуг, в которых страховой организации предоставляются возможности, связанные с предоставлением и использованием ресурсов для хранения данных;

"ИИИ" - для облачных решений, предоставляемых поставщиком услуг, в которых страховой организации предоставляются возможности, связанные с функциональностью информационной инфраструктуры;

"Сеть" - для облачных решений, предоставляемых поставщиком услуг, в которых страховой организации предоставляются возможности, связанные с транспортной связностью, и связанные с ней сетевые возможности;

"Платформа" - для облачных решений, предоставляемых поставщиком услуг, в которых страховой организации предоставляются возможности, связанные с функциональностью платформы;

"ППО" - для облачных решений, предоставляемых поставщиком услуг, в которых страховой организации предоставляются возможности, связанные с функциональностью автоматизированных систем и приложений;

"БД" - для облачных решений, предоставляемых поставщиком услуг, в которых страховой организации предоставляются возможности, связанные с функциональностью базы данных, где установка и обслуживание баз данных выполняются поставщиком услуг "облачных" решений.

8.3. По показателю "Адрес места фактического нахождения центра обработки данных, предоставляющего услуги отчитывающейся организации" (строка 19) указывается адрес места фактического нахождения центра обработки данных, предоставляющего услуги страховой организации.

8.4. По показателю "Идентификационный номер налогоплательщика (ИНН)" (строка 20) указывается идентификационный номер налогоплательщика оператора центра обработки данных - резидента.

8.5. По показателю "TIN" (строка 21) указывается TIN оператора центра обработки данных - нерезидента.

8.6. По показателю "Сведения о наличии у центра обработки данных сертификации" (строка 22) указывается уровень сертификации центра обработки данных. В случае если центр обработки данных не проходил сертификацию, по показателю указывается значение "Отсутствует".

8.7. По показателю "Информация о наличии соглашения, определяющего требования, предъявляемые к уровню качества предоставляемых сервисов (SLA), между отчитывающейся организацией и оператором центра обработки данных" (строка 23) в случае наличия соглашения, определяющего требования, предъявляемые к уровню качества предоставляемых сервисов, между страховой организацией и оператором центра обработки данных (далее - соглашение), указывается значение "Да". В ином случае указывается значение "Нет".

8.8. По показателю "Параметры надежности и отказоустойчивости, согласованные между отчитывающейся организацией и оператором центра обработки данных" (строка 24) в случае наличия соглашения указываются параметры надежности и отказоустойчивости, предусмотренные соглашением.

8.9. По показателю "Информация об автоматизированных системах и приложениях" (строка 25) указываются сведения об автоматизированных системах и приложениях, применяемых страховой организацией в рамках "облачных" решений при осуществлении деятельности в сфере финансовых рынков, учет которых осуществляется в соответствии с абзацем четвертым пункта 1.4 Положения Банка России N 779-П.