Приложение 4

к Положению Банка России

от 27 октября 2020 года N 738-П

"О порядке обеспечения бесперебойности

функционирования платежной системы

Банка России"

РЕГЛАМЕНТ

ПРОВЕДЕНИЯ СТРУКТУРНЫМИ ПОДРАЗДЕЛЕНИЯМИ ОПКЦ ВНЕШНЕЙ

ПЛАТЕЖНОЙ СИСТЕМЫ САМООЦЕНКИ

Список изменяющих документов

(в ред. Указания Банка России от 09.01.2024 N 6653-У)

1. При первичной и последующих самооценках риск-координаторы СБП внешней платежной системы совместно с риск-координаторами ПУРиН внешней платежной системы должны до начала самооценки провести анализ актуальности стандартов ОПКЦ внешней платежной системы фактически выполняемой деятельности ОПКЦ внешней платежной системы при предоставлении СБП.

При положительном результате указанного анализа риск-координаторы СБП внешней платежной системы должны начать самооценку.

При отрицательном результате - риск-координаторы СБП внешней платежной системы должны инициировать работы по актуализации стандартов ОПКЦ внешней платежной системы и по завершению указанных работ начать самооценку.

Риск-координаторы СБП внешней платежной системы должны довести до сведения риск-координаторов бизнес-процесса информацию о сроках проведения работ по актуализации стандартов ОПКЦ внешней платежной системы.

2. Идентификация значимых рисков должна осуществляться не реже одного раза в год. Подготовка (актуализация) перечня значимых рисков должна осуществляться в срок, не превышающий двадцати рабочих дней (при повторной самооценке - не превышающий десяти рабочих дней) с даты начала самооценки.

(в ред. Указания Банка России от 09.01.2024 N 6653-У)

(см. текст в предыдущей редакции)

В перечень значимых рисков по каждому значимому риску следует включать следующую основную информацию с соблюдением требований, установленных приложением 7 к настоящему Положению:

операция (шаг) бизнес-процесса, при выполнении которой (которого) возникает риск;

формулировка риска;

области реализации риска (риск-событий);

обоснование значимости риска с указанием оценки воздействия риска до применения мер реагирования, в том числе до применения мер реагирования, предусмотренных нормативными актами Банка России, определяющими правила платежной системы Банка России, или реализованных дополнительно по результатам предыдущих оценок значимых рисков (далее - присущий риск) в соответствии с подпунктом 3.2.3 пункта 3.2 настоящего Положения.

Идентификация ОПКЦ внешней платежной системы риска информационной безопасности в ПС должна включать в себя идентификацию области применения процесса управления риском информационной безопасности, присущим шагам (операциям) бизнес-процесса, выполняемым ОПКЦ внешней платежной системы, идентификацию риска информационной безопасности, присущего шагам (операциям) бизнес-процесса, выполняемым ОПКЦ внешней платежной системы, а также моделирование угроз безопасности информации с учетом мер, определенных подпунктом 7.2.2 пункта 7.2 раздела 7 ГОСТ Р 57580.4-2022 и подпунктами 8.2.2.3 и 8.2.2.4 пункта 8.2 раздела 8 ГОСТ Р 57580.3-2022.

(абзац введен Указанием Банка России от 09.01.2024 N 6653-У)

3. В рамках срока, предусмотренного пунктом 2 настоящего приложения, риск-координатор СБП внешней платежной системы должен направить перечень значимых рисков на верификацию риск-координаторам бизнес-процесса.

Риск-координаторы бизнес-процесса должны рассмотреть поступивший от риск-координатора СБП внешней платежной системы перечень значимых рисков и не позднее седьмого рабочего дня (при повторной самооценке не позднее пятого рабочего дня) направить замечания к перечню значимых рисков либо сообщить об их отсутствии.

Повторные верификации и повторные уточнения перечня значимых рисков должны осуществляться не позднее второго рабочего дня, следующего за датой поступления уточненного перечня значимых рисков на верификацию (получения замечаний от риск-координаторов бизнес-процесса).

4. Риск-координаторы бизнес-процесса направляют риск-координатору СБП внешней платежной системы перечень значимых рисков не позднее второго рабочего дня после дня его утверждения владельцем бизнес-процесса.

Риск-координатор СБП внешней платежной системы направляет перечень значимых рисков риск-координаторам ПУРиН внешней платежной системы.

5. Оценка значимых рисков и принятие решений о реагировании на остаточные риски осуществляются с учетом следующего.

5.1. Риск-координаторы ПУРиН внешней платежной системы в течение семи рабочих дней (при повторной самооценке - пяти рабочих дней), следующих за датой получения перечня значимых рисков, последовательно выполняют следующие действия по каждому значимому риску:

выявляют источники присущего риска и осуществляют оценку вероятности его реализации исходя из сложности и периодичности выполнения операций бизнес-процесса, имеющихся для их выполнения ресурсов и других факторов, свидетельствующих о вероятности реализации присущего риска;

на основе оценок вероятности реализации и воздействия присущего риска определяют уровень и зону присущего риска;

определяют применяемые меры реагирования на риск и проводят анализ охвата мерами реагирования выявленных источников риска, а также последствий реализации риска;

с учетом информации о количестве и уровне воздействия инцидентов, результатах применения КИР и применяемых мерах реагирования оценивают вероятность реализации и воздействие остаточного риска и определяют уровень и зону остаточного риска;

проводят анализ причин инцидентов, результатов сопоставления выявленных источников риска, возможных воздействий его реализации с применяемыми и разрабатываемыми мерами реагирования на риск, а также результатов применения КИР и на этой основе делают выводы о эффективности и достаточности (избыточности) применяемых мер реагирования и необходимости разработки дополнительных мер реагирования;

подготавливают предложения о реагировании на остаточный риск.

5.2. По результатам выполнения указанных в подпункте 5.1 настоящего пункта действий риск-координаторы ПУРиН внешней платежной системы заполняют профиль рисков ПУРиН внешней платежной системы, подготовленный с соблюдением требований приложения 7 к настоящему Положению, и в срок, указанный в абзаце первом настоящего пункта, направляют его риск-координатору СБП внешней платежной системы.

5.3. Оценка ОПКЦ внешней платежной системы риска информационной безопасности в ПС должна включать в себя оценку степени возможности реализации и степени тяжести последствий инцидентов защиты информации с учетом мер, определенных подпунктом 8.2.2.5 пункта 8.2 раздела 8 ГОСТ Р 57580.3-2022.

(пп. 5.3 введен Указанием Банка России от 09.01.2024 N 6653-У)

6. Риск-координатор СБП внешней платежной системы составляет профиль рисков ОПКЦ внешней платежной системы и направляет его владельцу бизнес-процесса, который не позднее второго рабочего дня, следующего за датой получения профиля рисков, передает его риск-координаторам бизнес-процесса.

Риск-координаторы бизнес-процесса не позднее седьмого рабочего дня, следующего за датой получения профиля рисков (при повторной самооценке - пятого рабочего дня), должны подготовить и направить риск-координатору СБП внешней платежной системы замечания или сообщить об их отсутствии.

Риск-координатор СБП внешней платежной системы устраняет замечания риск-координаторов бизнес-процесса к профилю рисков ОПКЦ внешней платежной системы и направляет профиль рисков ОПКЦ внешней платежной системы владельцу бизнес-процесса не позднее второго рабочего дня, следующего за датой получения замечаний.

7. Риск-координаторы бизнес-процесса включают профиль рисков ОПКЦ внешней платежной системы, полученный от риск-координатора СБП внешней платежной системы, в профиль рисков в ПС.

8. Риск-координатор СБП внешней платежной системы составляет план реализации дополнительных мер реагирования, указанных в профиле риска ОПКЦ внешней платежной системы, и не позднее десятого рабочего дня, следующего за датой получения от риск-координатора бизнес-процесса профиля рисков, направляет его владельцу бизнес-процесса.

Риск-координатор СБП внешней платежной системы на постоянной основе, но не реже одного раза в 6 календарных месяцев, направляет информацию о ходе реализации дополнительных мер реагирования владельцу бизнес-процесса.

9. Актуализация данных о значимых рисках с учетом следующего.

9.1. Актуализация данных о значимых рисках выполняется в рамках повторной самооценки (в том числе внеплановой), за исключением их дополнения сведениями о разработке и реализации дополнительных мер реагирования в соответствии с результатами последней утвержденной самооценки.

9.2. Дополнение сведениями о разработке и реализации дополнительных мер реагирования, данными о значимых рисках профиля рисков в ПС осуществляется риск-координатором СБП внешней платежной системы не позднее пятого рабочего дня, следующего за днем появления соответствующих сведений.

9.3. Риск-координаторы ПУРиН внешней платежной системы представляют не позднее второго рабочего дня, следующего за днем получения запроса от риск-координатора СБП внешней платежной системы необходимые документы и информацию для дополнения сведениями о разработке и реализации мер реагирования.