Порядок и сроки составления отчетности по форме 0420174 "Сведения о показателях операционной надежности страховой организации и применяемых ею информационных технологиях"

Порядок и сроки

составления отчетности по форме 0420174 "Сведения

о показателях операционной надежности страховой организации

и применяемых ею информационных технологиях"

1. Отчетность по форме 0420174 "Сведения о показателях операционной надежности страховой организации и применяемых ею информационных технологиях" (далее - отчетность по форме 0420174) составляется страховыми организациями, указанными в абзаце пятом подпункта 1.4.3 и абзаце девятом подпункта 1.4.4 пункта 1.4 Положения Банка России от 20 апреля 2021 года N 757-П "Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций" <1>, посредством формирования предусмотренных в ней показателей за I, II, III и IV кварталы (далее - отчетный период) по состоянию на последний календарный день отчетного периода включительно с соблюдением положений пунктов 1 - 5, 8 и 10 части V настоящего приложения.

--------------------------------

<1> Зарегистрировано Минюстом России 15 июня 2021 года, регистрационный N 63880.

В отчетности по форме 0420174 за I, II и III кварталы заполняются:

показатель "Продолжительность времени работы (функционирования) технологического процесса" (строка 2);

показатель "Суммарное время простоя и (или) деградации технологического процесса" (строка 6);

показатели разделов 1 - 6, за исключением показателей "Продолжительность времени работы (функционирования) технологического процесса" (строка 2) и "Суммарное время простоя и (или) деградации технологического процесса" (строка 6), - в случае изменения значений таких показателей, представленных за период, предшествующий отчетному периоду.

В отчетности по форме 0420174 за IV квартал показатели заполняются в полном объеме.

2. Информация по показателям раздела 1 отчетности по форме 0420174 раскрывается по аналитическим признакам группы аналитических признаков "Код технологического процесса" по всем технологическим процессам, обеспечивающим осуществление деятельности страховой организации в сфере финансовых рынков (далее - технологический процесс), в соответствии со следующими кодами:

"ТПрНФО31" - технологический процесс, обеспечивающий учет страховых случаев;

"ТПрНФО32" - технологический процесс, обеспечивающий возврат страховой премии;

"ТПрНФО33" - технологический процесс, обеспечивающий работу сайтов в части размещения информации, предусмотренной пунктом 6 статьи 6 Закона Российской Федерации от 27 ноября 1992 года N 4015-1 "Об организации страхового дела в Российской Федерации".

В разделе 1 отчетности по форме 0420174 указываются сведения по всем технологическим процессам, коды для которых предусмотрены настоящим пунктом.

2.1. По показателю "Описание технологического процесса" (строка 1) указывается описание технологического процесса, в рамках которого осуществляется эксплуатация объектов информационной инфраструктуры, применяемых страховой организацией, в случае необходимости его детализации и уточнения.

2.2. По показателю "Продолжительность времени работы (функционирования) технологического процесса" (строка 2) указывается планируемое страховой организацией общее количество минут функционирования технологического процесса в следующем отчетном периоде с учетом установленного режима работы (времени начала, времени окончания, продолжительности и последовательности процедур в рамках данного технологического процесса), в том числе выходных и нерабочих праздничных дней, признаваемых таковыми в соответствии со статьями 111 и 112 Трудового кодекса Российской Федерации (информация по показателю указывается в минутах).

2.3. Сведения о не осуществляемом страховой организацией технологическом процессе указываются по показателю "Описание технологического процесса" (строка 1) по аналитическому признаку группы аналитических признаков "Код технологического процесса", соответствующему указанному технологическому процессу, по показателю "Продолжительность времени работы (функционирования) технологического процесса" (строка 2) по указанному аналитическому признаку группы аналитических признаков "Код технологического процесса" указывается значение "0" (ноль).

В разделах 2 - 6 отчетности по форме 0420174 при раскрытии информации в разрезе группы аналитических признаков "Код технологического процесса" аналитический признак группы аналитических признаков "Код технологического процесса", соответствующий не осуществляемому страховой организацией технологическому процессу, не используется.

3. В разделе 2 отчетности по форме 0420174 указываются сведения о показателях операционной надежности в рамках технологических процессов.

3.1. По показателю "Допустимое время простоя и (или) деградации технологического процесса" (строка 3) указывается предельно допустимое для страховой организации время простоя и (или) деградации технологического процесса, определенное в соответствии с абзацем третьим пункта 1.3 Положения Банка России от 15 ноября 2021 года N 779-П "Об установлении обязательных для некредитных финансовых организаций требований к операционной надежности при осуществлении видов деятельности, предусмотренных частью первой статьи 76.1 Федерального закона от 10 июля 2002 года N 86-ФЗ "О Центральном банке Российской Федерации (Банке России)", в целях обеспечения непрерывности оказания финансовых услуг (за исключением банковских услуг)" <1> (далее - Положение Банка России N 779-П) (информация по показателю указывается в минутах).

--------------------------------

<1> Зарегистрировано Минюстом России 28 марта 2022 года, регистрационный N 67961.

3.2. По показателю "Допустимая доля деградации технологического процесса" (строка 4) указывается допустимая доля деградации технологического процесса, определенная страховой организацией в соответствии с абзацем вторым пункта 1.3 Положения Банка России N 779-П (информация по показателю указывается в долях с точностью до шести знаков после запятой).

3.3. По показателю "Допустимое суммарное время простоя и (или) деградации технологического процесса" (строка 5) указывается предельно допустимое для страховой организации суммарное время простоя и (или) деградации технологического процесса, определенное в соответствии с абзацем четвертым пункта 1.3 Положения Банка России N 779-П (информация по показателю указывается в минутах).

3.4. По показателю "Суммарное время простоя и (или) деградации технологического процесса" (строка 6) указывается общее количество минут фактического времени простоя и (или) деградации технологического процесса за последние двенадцать календарных месяцев, предшествующих дате окончания отчетного периода (информация по показателю указывается в минутах).

При отсутствии за указанный период фактов простоя и (или) деградации технологического процесса по показателю "Суммарное время простоя и (или) деградации технологического процесса" (строка 6) указывается значение "0" (ноль).

4. По показателям "IP-адрес или пул IP-адресов в формате протокола IPv4" (строка 10), "IP-адрес или пул IP-адресов в формате протокола IPv6" (строка 11), "Номер автономной системы" (строка 12) отражаются сведения об объектах информатизации основных системных уровней информационной инфраструктуры, предусмотренных подпунктом "а" пункта 6.2 раздела 6 ГОСТ Р 57580.1-2017, применяемых страховой организацией для взаимодействия в информационно-телекоммуникационной сети "Интернет" (далее - сеть "Интернет") с ее клиентами и контрагентами при осуществлении деятельности в сфере финансовых рынков, в разрезе кодов технологических процессов, предусмотренных пунктом 2 настоящих Порядка и сроков, и в разрезе наименований объектов информатизации, за исключением сведений, представляемых в разделе 5 отчетности по форме 0420174.

Информация по указанным в абзаце первом настоящего пункта показателям раздела 3 отчетности по форме 0420174 также раскрывается в разрезе кодов технологических участков, в рамках которых применяется объект информатизации при осуществлении страховой организацией деятельности в сфере финансовых рынков, в соответствии со следующими кодами:

"ИАА" - идентификация, аутентификация и авторизация клиентов в целях осуществления финансовых операций;

"ФПП" - формирование (подготовка), передача и прием электронных сообщений;

"УП" - удостоверение права клиентов распоряжаться денежными средствами, ценными бумагами или иным имуществом;

"ОУ" - осуществление финансовой операции, учет результатов ее осуществления (при наличии учета);

"ХИ" - хранение электронных сообщений и информации об осуществленных финансовых операциях.

По группе аналитических признаков "Наименование объекта информатизации" указывается наименование объекта информатизации.

4.1. По показателю "Полное наименование (полное фирменное наименование) или фамилия, имя, отчество (при наличии) оператора связи" (строка 7) указывается полное наименование оператора связи (для некоммерческой организации), или полное фирменное наименование оператора связи (для коммерческой организации), или фамилия, имя, отчество (при наличии) оператора связи (для индивидуального предпринимателя), с которым страховой организацией заключен договор об оказании услуг связи в целях взаимодействия в сети "Интернет" с ее клиентами и контрагентами (далее - оператор связи).

4.2. По показателю "Идентификационный номер налогоплательщика (ИНН)" (строка 8) указывается идентификационный номер налогоплательщика (далее - ИНН) для оператора связи, являющегося резидентом.

4.3. По показателю "TIN" (строка 9) указывается идентификационный номер налогоплательщика иностранной организации (или его аналог) в стране регистрации (Tax Identification Number) (далее - TIN) для оператора связи, являющегося нерезидентом.

4.4. По показателю "IP-адрес или пул IP-адресов в формате протокола IPv4" (строка 10) указывается маршрутизируемый IP-адрес или пул IP-адресов в формате протокола IPv4 с указанием подсети в формате CIDR <1>, внешних по отношению к объекту информатизации, применяемому страховой организацией для взаимодействия в сети "Интернет" с ее клиентами и контрагентами.

--------------------------------

<1> Механизм бесклассовой внутренней маршрутизации (Classless Inter-Domian Routing, CIDR).

4.5. По показателю "IP-адрес или пул IP-адресов в формате протокола IPv6" (строка 11) указывается маршрутизируемый IP-адрес или пул IP-адресов в формате протокола IPv6 с указанием префикса, внешних по отношению к объекту информатизации, применяемому страховой организацией для взаимодействия в сети "Интернет" с ее клиентами и контрагентами.

4.6. По показателю "Номер автономной системы" (строка 12) указывается номер автономной системы, применяемой страховой организацией для взаимодействия в сети "Интернет" с ее клиентами и контрагентами, если номер присвоен оператором связи, обеспечивающим функционирование автономной системы. В ином случае значение указанного показателя не указывается.

4.7. Значения показателей "Полное наименование (полное фирменное наименование) или фамилия, имя, отчество (при наличии) оператора связи" (строка 7), "Идентификационный номер налогоплательщика (ИНН)" (строка 8), "TIN" (строка 9) раскрываются по группе аналитических признаков "Идентификатор оператора связи" по каждому оператору связи.

По группе аналитических признаков "Идентификатор оператора связи" указывается идентификатор оператора связи, позволяющий выделить одного оператора связи из других операторов связи, отраженных в разделе 3 отчетности по форме 0420174. Значения идентификаторов операторов связи формируются страховой организацией самостоятельно.

5. В разделе 4 отчетности по форме 0420174 указываются сведения об электронных адресах веб-сервисов (информационных ресурсов) и номерах телефонов, используемых страховой организацией для взаимодействия с ее клиентами и контрагентами, в разрезе доменного имени электронного адреса информационного ресурса и унифицированных идентификаторов информационного ресурса (URI-адрес), применяемых страховой организацией для взаимодействия в сети "Интернет" с ее клиентами и контрагентами (по аналитическим признакам групп аналитических признаков "Доменное имя электронного адреса информационного ресурса" и "Унифицированный идентификатор информационного ресурса (URI-адрес)").

5.1. По показателю "IP-адрес или пул IP-адресов в формате протокола IPv4" (строка 13) указывается маршрутизируемый IP-адрес или пул IP-адресов информационного ресурса в формате протокола IPv4 с указанием подсети в формате CIDR, применяемые страховой организацией для взаимодействия в сети "Интернет" с ее клиентами и контрагентами.

5.2. По показателю "IP-адрес или пул IP-адресов в формате протокола IPv6" (строка 14) указывается маршрутизируемый IP-адрес или пул IP-адресов информационного ресурса в формате протокола IPv6 с указанием префикса, применяемые страховой организацией для взаимодействия в сети "Интернет" с ее клиентами и контрагентами.

5.3. По показателю "Номера телефонов, используемые отчитывающейся организацией для взаимодействия с клиентами" (строка 15) указывается номер телефона, используемый страховой организацией для взаимодействия с ее клиентами и контрагентами и размещенный на официальном сайте страховой организации в сети "Интернет".

При наличии нескольких номеров телефонов страховой организации они указываются через символ ";" (точка с запятой) с отступом (пробелом).

6. В разделе 5 отчетности по форме 0420174 указываются сведения об автоматизированных системах и приложениях, предусмотренных подпунктом "б" пункта 6.2 ГОСТ Р 57580.1-2017, применяемых страховой организацией при осуществлении деятельности в сфере финансовых рынков (далее - автоматизированные системы и приложения), воздействие на которые или нарушение функционирования которых может привести к событию операционного риска, указанному в абзаце втором пункта 1.3 Положения Банка России N 779-П (далее - событие операционного риска), за исключением сведений, представляемых в разделе 6 отчетности по форме 0420174.

По показателю "Информация об автоматизированных системах и приложениях" (строка 16) указывается информация обо всех автоматизированных системах и приложениях в разрезе кодов технологических процессов, указанных в пункте 2 настоящих Порядка и сроков, кодов технологических участков, указанных в пункте 4 настоящих Порядка и сроков, и идентификатора автоматизированных систем и приложений. Значение идентификатора автоматизированных систем и приложений, позволяющее выделить одни автоматизированные системы и приложения из других автоматизированных систем и приложений, отраженных в разделе 5 отчетности по форме 0420174, формируется страховой организацией самостоятельно.

По показателю "Информация об автоматизированных системах и приложениях" (строка 16) указываются сведения об автоматизированных системах и приложениях, применяемых страховой организацией при осуществлении деятельности в сфере финансовых рынков, учет которых осуществляется в соответствии с абзацем четвертым пункта 1.4 Положения Банка России N 779-П.

7. В разделе 6 отчетности по форме 0420174 указываются сведения о применении страховой организацией облачных решений, предоставляемых страховой организации поставщиками услуг, предусмотренными абзацем шестым пункта 1.4 Положения Банка России N 779-П, в рамках технологических процессов, воздействие на которые или нарушение функционирования которых может привести к событиям операционного риска.

Информация по показателям раздела 6 отчетности по форме 0420174 раскрывается в разрезе кодов технологических процессов, указанных в пункте 2 настоящих Порядка и сроков, кодов технологических участков, указанных в пункте 4 настоящих Порядка и сроков, полного наименования (полного фирменного наименования) или фамилии, имени, отчества (при наличии) оператора центра обработки данных, оказывающего услуги страховой организации (далее - центр обработки данных) (по аналитическим признакам группы аналитических признаков "Полное наименование (полное фирменное наименование) или фамилия, имя, отчество (при наличии) оператора центра обработки данных"), и в разрезе идентификаторов автоматизированных систем и приложений. Значение идентификатора автоматизированных систем и приложений, позволяющее выделить одни автоматизированные системы и приложения из других автоматизированных систем и приложений, отраженных в разделе 6 отчетности по форме 0420174, формируется страховой организацией самостоятельно.

По группе аналитических признаков "Полное наименование (полное фирменное наименование) или фамилия, имя, отчество (при наличии) оператора центра обработки данных" указывается полное наименование оператора центра обработки данных (для некоммерческой организации), или полное фирменное наименование оператора центра обработки данных (для коммерческой организации), или фамилия, имя, отчество (при наличии) оператора центра обработки данных (для индивидуального предпринимателя).

В случае если страховая организация не применяет облачные решения, значения показателей раздела 6 отчетности по форме 0420174 не указываются.

7.1. По показателю "Код функциональности (возможностей), получаемой (получаемых) отчитывающейся организацией в рамках облачных решений, предоставляемых поставщиком услуг" (строка 17) указывается один из следующих кодов функциональности (возможностей), получаемой (получаемых) страховой организацией в рамках облачных решений:

"ФПр" - функциональность приложений (предоставляет страховой организации возможность использовать приложения поставщика услуг облачных решений);

"ФИИ" - функциональность информационной инфраструктуры (предоставляет страховой организации возможность получать и использовать вычислительные ресурсы, ресурсы для хранения данных или сетевые ресурсы поставщика услуг облачных решений);

"ФПл" - функциональность платформы (предоставляет страховой организации возможность использовать приложения, созданные или приобретенные ею, с использованием одного или нескольких языков программирования и одной или более сред выполнения, поддерживаемых поставщиком услуг облачных решений).

7.2. По показателю "Код категории облачных решений, предоставляемых поставщиком услуг" (строка 18) указывается один из следующих кодов категории облачных решений, предоставляемых поставщиком услуг:

"ОИ" - для облачных решений, предоставляемых поставщиком услуг, в которых страховой организации предоставляются возможности, связанные со взаимодействием в режиме реального времени и с совместной работой;

"Вычисления" - для облачных решений, предоставляемых поставщиком услуг, в которых страховой организации предоставляются возможности, связанные с получением и использованием вычислительных ресурсов, необходимых для развертывания и выполнения прикладного программного обеспечения;

"ХД" - для облачных решений, предоставляемых поставщиком услуг, в которых страховой организации предоставляются возможности, связанные с предоставлением и использованием ресурсов для хранения данных;

"ИИИ" - для облачных решений, предоставляемых поставщиком услуг, в которых страховой организации предоставляются возможности, связанные с функциональностью информационной инфраструктуры;

"Сеть" - для облачных решений, предоставляемых поставщиком услуг, в которых страховой организации предоставляются возможности, связанные с транспортной связностью, и связанные с ней сетевые возможности;

"Платформа" - для облачных решений, предоставляемых поставщиком услуг, в которых страховой организации предоставляются возможности, связанные с функциональностью платформы;

"ППО" - для облачных решений, предоставляемых поставщиком услуг, в которых страховой организации предоставляются возможности, связанные с функциональностью автоматизированных систем и приложений;

"БД" - для облачных решений, предоставляемых поставщиком услуг, в которых страховой организации предоставляются возможности, связанные с функциональностью базы данных, где установка и обслуживание баз данных выполняются поставщиком услуг облачных решений.

7.3. По показателю "Адрес места фактического нахождения центра обработки данных, предоставляющего услуги отчитывающейся организации" (строка 19) указывается адрес центра обработки данных в пределах места нахождения центра обработки данных или адрес места фактического нахождения центра обработки данных, в случае если он не совпадает с адресом центра обработки данных в пределах места нахождения центра обработки данных.

В случае использования страховой организацией собственного центра обработки данных, сведения об адресе в пределах места нахождения или адресе места фактического нахождения центра обработки данных отражаются по показателю "Информация об автоматизированных системах и приложениях" (строка 16).

7.4. По показателю "Идентификационный номер налогоплательщика (ИНН)" (строка 20) указывается ИНН оператора центра обработки данных, являющегося резидентом.

7.5. По показателю "TIN" (строка 21) указывается TIN оператора центра обработки данных, являющегося нерезидентом.

7.6. По показателю "Сведения о наличии у центра обработки данных сертификации" (строка 22) указывается уровень сертификации центра обработки данных на соответствие требованиям, предъявляемым к уровню качества сервисов, предоставляемых центром обработки данных, и требованиям к инфраструктуре центра обработки данных. В случае если центр обработки данных не проходил сертификацию, по показателю указывается значение "Отсутствует".

7.7. По показателю "Информация о наличии соглашения, определяющего требования, предъявляемые к уровню качества предоставляемых сервисов, между отчитывающейся организацией и оператором центра обработки данных" (строка 23) в случае наличия соглашения, определяющего требования, предъявляемые к уровню качества предоставляемых сервисов, между страховой организацией и оператором центра обработки данных (далее - соглашение) указывается значение "Да". В ином случае указывается значение "Нет".

7.8. По показателю "Параметры надежности и отказоустойчивости, согласованные между отчитывающейся организацией и оператором центра обработки данных" (строка 24) в случае наличия соглашения указываются параметры надежности и отказоустойчивости, предусмотренные соглашением.

В случае использования страховой организацией собственного центра обработки данных параметры надежности и отказоустойчивости работы серверных ресурсов указанного центра обработки данных отражаются по показателю "Информация об автоматизированных системах и приложениях" (строка 16).

7.9. По показателю "Информация об автоматизированных системах и приложениях" (строка 25) указываются сведения об автоматизированных системах и приложениях (при наличии), применяемых страховой организацией в рамках облачных решений при осуществлении деятельности в сфере финансовых рынков, обеспечение организации учета которых осуществляется в соответствии с абзацем четвертым пункта 1.4 Положения Банка России N 779-П.