4.1. Управление непрерывностью функционирования ПС должно осуществляться посредством выявления сведений об инцидентах, регистрации инцидентов, оценки влияния на БФПС каждого инцидента, оценки влияния на БФПС всех инцидентов, а также применения ответных мер, в том числе сценариев плана ОНиВД, в отношении инцидентов.
4.2. Выявление сведений об инцидентах должно проводиться на основании информации о нарушении надлежащего оказания УПИ, полученной от работников ПУРиН, работников ПУРиН внешней платежной системы и работников структурных подразделений Банка России, а также сведений, направляемых ОПКЦ внешней платежной системы в Банк России в соответствии с пунктом 1.5 Положения Банка России от 17 августа 2023 года N 821-П "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств" (зарегистрировано Минюстом России 6 декабря 2023 года, регистрационный N 76286).
(в ред. Указания Банка России от 09.01.2024 N 6653-У)
(см. текст в предыдущей редакции)
Работники ПУРиН, работники ПУРиН внешней платежной системы должны осуществлять контроль выполнения сроков процедур приема к исполнению, определения платежных клиринговых позиций и исполнения распоряжений участников ПС в соответствии с Регламентом выполнения процедур, приведенным в приложении 1 к настоящему Положению.
4.3. Регистрация инцидентов должна осуществляться посредством сбора и обработки следующих сведений о них:
время и дата возникновения инцидента (в случае невозможности установить время возникновения инцидента указывается время его выявления);
краткое описание инцидента (характеристика произошедшего инцидента и его негативных (неблагоприятных) последствий);
наименование одного или нескольких бизнес-процессов Банка России, в ходе которых произошел инцидент;
(в ред. Указания Банка России от 09.01.2024 N 6653-У)
(см. текст в предыдущей редакции)
наименование одного или нескольких бизнес-процессов Банка России, на которые инцидент оказал влияние;
(в ред. Указания Банка России от 09.01.2024 N 6653-У)
(см. текст в предыдущей редакции)
наличие (отсутствие) факта приостановления (прекращения) оказания УПИ в результате инцидента;
степень влияния инцидента на функционирование ПС в зависимости от количества неисполненных, и (или) несвоевременно исполненных, и (или) ошибочно исполненных распоряжений участников ПС и иных факторов;
время и дата восстановления оказания УПИ в случае приостановления их оказания;
мероприятия по устранению неблагоприятных последствий инцидента с указанием планируемой и фактической продолжительности проведения данных мероприятий;
(в ред. Указания Банка России от 09.01.2024 N 6653-У)
(см. текст в предыдущей редакции)
дата и время восстановления надлежащего оказания УПИ;
негативные (неблагоприятные) последствия инцидента, в том числе:
сумма денежных средств, уплаченных Банком России и (или) взысканных с Банка России;
сумма денежных средств, уплаченных ОПКЦ внешней платежной системы и (или) взысканных с ОПКЦ внешней платежной системы;
количество неисполненных и (или) несвоевременно исполненных, и (или) ошибочно исполненных распоряжений участников ПС, на исполнение которых оказал влияние инцидент;
продолжительность приостановления оказания УПИ;
ПУРиН, ПУРиН внешней платежной системы, подразделения Банка России, обеспечивающие функционирование ПС, осуществляют хранение сведений об инцидентах в специализированной автоматизированной системе не менее 5 лет с даты получения указанных сведений.
(абзац введен Указанием Банка России от 09.01.2024 N 6653-У)
Регистрация инцидентов защиты информации ОПКЦ внешней платежной системы должна дополнительно предусматривать фиксацию реализованных компьютерных атак, фактов (индикаторов) компрометации объектов информационной инфраструктуры ОПКЦ внешней платежной системы, а также проведенной претензионной работы с учетом мер, определенных подпунктом 7.4.2 пункта 7.4 раздела 7 национального стандарта Российской Федерации ГОСТ Р 57580.4-2022 "Безопасность финансовых (банковских) операций. Обеспечение операционной надежности. Базовый состав организационных и технических мер" (утвержден приказом Федерального агентства по техническому регулированию и метрологии от 22 декабря 2022 года N 1549-ст (М., ФГБУ "Институт стандартизации", 2023) и введен в действие 1 февраля 2023 года) (далее - ГОСТ Р 57580.4-2022) и подпунктом 8.3.2.4 пункта 8.3 раздела 8 национального стандарта Российской Федерации ГОСТ Р 57580.3-2022 "Безопасность финансовых (банковских) операций. Управление риском реализации информационных угроз и обеспечение операционной надежности. Общие положения" (утвержден приказом Федерального агентства по техническому регулированию и метрологии от 22 декабря 2022 года N 1548-ст (М., ФГБУ "РСТ", 2023) и введен в действие 1 февраля 2023 года) (далее - ГОСТ Р 57580.3-2022).
(абзац введен Указанием Банка России от 09.01.2024 N 6653-У)
ОПКЦ внешней платежной системы устанавливает во внутренних документах состав сведений для регистрации инцидентов защиты информации с учетом сведений об инцидентах защиты информации, направляемых ОПКЦ внешней платежной системы в Банк России.
(абзац введен Указанием Банка России от 09.01.2024 N 6653-У)
КонсультантПлюс: примечание.
П. 4.4 вступает в силу с 01.10.2026.
4.4. Оценка влияния на БФПС каждого инцидента должна проводиться в срок не позднее окончания рабочего дня, следующего за днем возникновения (выявления) инцидента, а также в срок не позднее окончания рабочего дня, следующего за днем устранения последствий инцидента (восстановления надлежащего оказания УПИ).
(в ред. Указания Банка России от 09.01.2024 N 6653-У)
(см. текст в предыдущей редакции)
4.4.1. Инцидент должен признаваться непосредственно не влияющим на БФПС (влияющим опосредованно), в случае если не нарушен пороговый уровень индикатора продолжительности восстановления оказания УПИ (далее - КИР 1), индикатора непрерывности оказания УПИ (далее - КИР 2).
4.4.2. Инцидент должен признаваться влияющим на БФПС, в случае если вследствие данного инцидента реализовано хотя бы одно из следующих условий:
нарушен Регламент выполнения процедур, представленный в приложении 1, при одновременном нарушении порогового уровня КИР 2;
нарушен пороговый уровень КИР 1;
превышена установленная продолжительность восстановления надлежащего оказания УПИ, определенная в пункте 1.2 настоящего Положения.
4.4.3. В случае выявления дополнительных обстоятельств в отношении инцидента, оценка влияния которого на БФПС уже завершена, должна быть проведена повторная оценка влияния произошедшего инцидента на БФПС с учетом вновь выявленных обстоятельств с последующей актуализацией сведений, указанных в пункте 4.3 настоящего Положения.
КонсультантПлюс: примечание.
П. 4.5 вступает в силу с 01.10.2026.
4.5. Оценка влияния на БФПС всех инцидентов должна проводиться на ежемесячной основе не позднее пяти рабочих дней после дня окончания отчетного календарного месяца.
4.5.1. Инциденты, произошедшие в отчетном месяце, должны признаваться непосредственно не влияющими на БФПС (влияющими опосредованно), если расчетное значение индикатора соблюдения Регламента выполнения процедур (далее - КИР 3), и (или) индикатора доступности операционного центра (далее - КИР 4), и (или) индикатора изменения частоты инцидентов, произошедших в ПС (далее - КИР 5), нарушает пороговый уровень за отчетный месяц, за исключением случая, когда расчетные значения КИР 3, КИР 4, КИР 5 за этот период одновременно нарушают пороговые уровни.
4.5.2. Инциденты, произошедшие в отчетном месяце, должны признаваться влияющими на БФПС, если расчетные значения КИР 3, КИР 4, КИР 5 за этот период одновременно нарушают пороговые уровни.
4.5.3. В случае выявления инцидентов или дополнительных обстоятельств в отношении инцидентов, произошедших в ПС в течение календарного месяца, за который уже проведена оценка их влияния на БФПС, должна быть инициирована повторная оценка влияния произошедших инцидентов на БФПС с учетом вновь выявленных обстоятельств с последующей актуализацией сведений, указанных в пункте 4.3 настоящего Положения.
4.6. Применение ответных мер, в том числе сценариев плана ОНиВД, в отношении инцидентов должно осуществляться для:
локализации и предотвращения развития негативных (неблагоприятных) последствий реализации значимого риска, в отношении которых ответные меры необходимо применять незамедлительно;
восстановления оказания УПИ в случае их приостановления;
восстановления надлежащего оказания УПИ.
Применение ответных мер в отношении инцидентов защиты информации ОПКЦ внешней платежной системы должно осуществляться с учетом мер, определенных подпунктами 7.4.3 и 7.4.4 пункта 7.4 раздела 7 ГОСТ Р 57580.4-2022.
(абзац введен Указанием Банка России от 09.01.2024 N 6653-У)
Оценка влияния на БФПС инцидентов защиты информации ОПКЦ внешней платежной системы должна включать в себя проведение анализа причин и последствий реализации инцидентов защиты информации.
(абзац введен Указанием Банка России от 09.01.2024 N 6653-У)
- Гражданский кодекс (ГК РФ)
- Жилищный кодекс (ЖК РФ)
- Налоговый кодекс (НК РФ)
- Трудовой кодекс (ТК РФ)
- Уголовный кодекс (УК РФ)
- Бюджетный кодекс (БК РФ)
- Арбитражный процессуальный кодекс
- Конституция РФ
- Земельный кодекс (ЗК РФ)
- Лесной кодекс (ЛК РФ)
- Семейный кодекс (СК РФ)
- Уголовно-исполнительный кодекс
- Уголовно-процессуальный кодекс
- Производственный календарь на 2023 год
- МРОТ 2024
- ФЗ «О банкротстве»
- О защите прав потребителей (ЗОЗПП)
- Об исполнительном производстве
- О персональных данных
- О налогах на имущество физических лиц
- О средствах массовой информации
- Производственный календарь на 2024 год
- Федеральный закон "О полиции" N 3-ФЗ
- Расходы организации ПБУ 10/99
- Минимальный размер оплаты труда (МРОТ)
- Календарь бухгалтера на 2024 год
- Частичная мобилизация: обзор новостей