Об обязательных для кредитных организаций требованиях к операционной надежности при осуществлении банковской деятельности в целях обеспечения непрерывности оказания банковских услуг (с изменениями на 6 октября 2023 года)

ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ

ПОЛОЖЕНИЕ

от 12 января 2022 года N 787-П

Об обязательных для кредитных организаций требованиях к операционной надежности при осуществлении банковской деятельности в целях обеспечения непрерывности оказания банковских услуг

(с изменениями на 6 октября 2023 года)

Настоящее Положение на основании статьи 57_5 Федерального закона от 10 июля 2002 года N 86-ФЗ "О Центральном банке Российской Федерации (Банке России)" устанавливает обязательные для кредитных организаций требования к операционной надежности при осуществлении банковской деятельности в целях обеспечения непрерывности оказания банковских услуг.

_______________

Собрание законодательства Российской Федерации, 2002, N 28, ст.2790; 2021, N 1, ст.53.

1. Кредитные организации, за исключением центрального контрагента в значении, установленном пунктом 17 статьи 2 Федерального закона от 7 февраля 2011 года N 7-ФЗ "О клиринге, клиринговой деятельности и центральном контрагенте", и центрального депозитария в значении, установленном в статье 2 Федерального закона от 7 декабря 2011 года N 414-ФЗ "О центральном депозитарии", должны выполнять установленные настоящим Положением требования к операционной надежности при осуществлении банковской деятельности в целях обеспечения непрерывности оказания банковских услуг (далее - требования к операционной надежности) с учетом требований к системе управления операционным риском, установленных Положением Банка России от 8 апреля 2020 года N 716-П "О требованиях к системе управления операционным риском в кредитной организации и банковской группе" (далее - Положение Банка России N 716-П). Требования к операционной надежности должны соблюдаться кредитными организациями при выполнении критически важных процессов, определенных согласно подпункту 4.1.1 пункта 4.1 Положения Банка России N 716-П в рамках системы управления операционным риском (далее - критически важные процессы), при осуществлении банковской деятельности с использованием автоматизированных систем, программного обеспечения, средств вычислительной техники, телекоммуникационного оборудования (далее - объекты информационной инфраструктуры).

_______________

Собрание законодательства Российской Федерации, 2011, N 7, ст.904; 2016, N 1, ст.23.

Собрание законодательства Российской Федерации, 2011, N 50, ст.7356.

Зарегистрировано Минюстом России 3 июня 2020 года, регистрационный N 58577.

Кредитные организации должны обеспечить операционную надежность при осуществлении банковской деятельности с использованием объектов информационной инфраструктуры путем обеспечения непрерывности выполнения критически важных процессов с соблюдением контрольных показателей уровня операционного риска, устанавливаемых кредитной организацией в соответствии с пунктом 3 настоящего Положения, при возникновении отказов и (или) нарушений функционирования объектов информационной инфраструктуры, и (или) несоответствии их функциональных возможностей и характеристик потребностям кредитной организации (далее - сбои объектов информационной инфраструктуры), и (или) реализации киберриска, предусмотренного абзацем вторым пункта 7.2 Положения Банка России N 716-П.

2. Кредитные организации в рамках обеспечения операционной надежности должны обеспечить непревышение значения порогового уровня допустимого времени простоя и (или) нарушения технологических процессов, обеспечивающих выполнение критически важных процессов и указанных в приложении к настоящему Положению (далее - технологические процессы), приводящих к неоказанию или ненадлежащему оказанию банковских услуг (далее - пороговый уровень допустимого времени простоя и (или) деградации технологических процессов кредитных организаций), предусмотренного приложением к настоящему Положению.

3. Кредитные организации с учетом требований главы 5 Положения Банка России N 716-П должны определить во внутренних документах для каждого технологического процесса и соблюдать значения следующих контрольных показателей уровня операционного риска для целей обеспечения операционной надежности (далее - целевые показатели операционной надежности):

допустимого отношения общего количества банковских операций и иных операций, осуществляемых в рамках технологического процесса, совершенных во время нарушений технологических процессов, приводящих к неоказанию или ненадлежащему оказанию банковских услуг (далее - деградация технологического процесса (технологических процессов), в рамках события операционного риска или серии связанных событий операционного риска, вызванных информационными угрозами и (или) сбоями объектов информационной инфраструктуры, которые привели к неоказанию или ненадлежащему оказанию банковских услуг (далее - инцидент операционной надежности), к ожидаемому количеству банковских операций и иных операций, осуществляемых в рамках технологических процессов, за тот же период в случае непрерывного оказания банковских услуг, установленного кредитной организацией (далее - допустимая доля деградации технологического процесса);

допустимого времени простоя и (или) деградации технологических процессов кредитных организаций в рамках инцидента операционной надежности (в случае превышения допустимой доли деградации технологического процесса). Значение данного целевого показателя устанавливается кредитной организацией не выше значений, предусмотренных приложением к настоящему Положению;

допустимого суммарного времени простоя и (или) деградации технологического процесса кредитной организации (в случае превышения допустимой доли деградации технологического процесса) в течение очередного календарного года;

показателя соблюдения режима работы (функционирования) технологического процесса (времени начала, времени окончания, продолжительности и последовательности процедур в рамках технологического процесса).

Значение допустимой доли деградации технологических процессов должно рассчитываться кредитной организацией на основании статистических данных за период не менее двенадцати календарных месяцев, предшествующих дате определения значения целевого показателя операционной надежности, за исключением случая, предусмотренного абзацем седьмым настоящего пункта, и (или) иных данных, обосновывающих их определение (по выбору кредитной организации).

В случае если технологический процесс функционирует менее двенадцати календарных месяцев, кредитные организации должны определять значение допустимой доли деградации технологических процессов на основании статистических данных за период с даты начала его функционирования и (или) иных данных, обосновывающих их определение (по выбору кредитной организации).

4. В случаях превышения допустимой доли деградации технологических процессов кредитные организации должны обеспечить фиксацию:

фактического времени простоя и (или) деградации технологического процесса, исчисляемого по каждому инциденту операционной надежности (с момента нарушения технологического процесса, приводящего к неоказанию или ненадлежащему оказанию банковских услуг, в связи с возникновением события или серии связанных событий, вызванных информационными угрозами и (или) сбоями объектов информационной инфраструктуры, до момента восстановления технологического процесса);

фактической доли деградации технологического процесса в рамках отдельного инцидента операционной надежности;

суммарного времени простоя и (или) деградации технологического процесса за последние двенадцать календарных месяцев.

При определении времени простоя и (или) деградации технологических процессов в расчет не включаются периоды времени плановых технологических операций, связанных с приостановлением (частичным приостановлением) технологических процессов и проводимых в соответствии с внутренними документами кредитных организаций.

5. Кредитные организации должны не реже одного раза в год проводить анализ необходимости пересмотра значений целевых показателей операционной надежности с учетом требований к системе контрольных показателей уровня операционного риска, определенных главой 5 Положения Банка России N 716-П.