Действующий

О требованиях к операционной надежности оператора автоматизированной информационной системы страхования

ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ

ПОЛОЖЕНИЕ

от 30 июня 2023 года N 819-П

Настоящее Положение на основании подпункта 5 пункта 7 статьи 33_10 Закона Российской Федерации от 27 ноября 1992 года N 4015-I "Об организации страхового дела в Российской Федерации" устанавливает требования к операционной надежности оператора автоматизированной информационной системы страхования.

1. Оператор автоматизированной информационной системы страхования (далее - оператор АИС страхования) обеспечивает выполнение своих функций при реализации информационных угроз, и (или) возникновения отказов, и (или) нарушений функционирования автоматизированных систем, программного обеспечения, средств вычислительной техники, телекоммуникационного оборудования (далее - объекты информационной инфраструктуры), и (или) несоответствия их функциональных возможностей и характеристик потребностям оператора АИС страхования (далее - сбои объектов информационной инфраструктуры).

Оператор АИС страхования не должен допускать превышения значения порогового уровня допустимого времени простоя и (или) нарушений технологических процессов оператора АИС страхования, указанных в приложении к настоящему Положению (далее - технологические процессы), приводящих к невыполнению или ненадлежащему выполнению оператором АИС страхования своих функций (далее соответственно - деградация технологического процесса, пороговый уровень допустимого времени простоя и (или) деградации технологических процессов оператора АИС страхования), предусмотренного приложением к настоящему Положению.

2. Оператор АИС страхования должен определить во внутренних документах для каждого технологического процесса и соблюдать значения следующих контрольных показателей уровня операционного риска для целей обеспечения операционной надежности (далее - целевые показатели операционной надежности):

допустимого отношения общего количества операций, осуществляемых в рамках технологического процесса, совершенных во время деградации технологического процесса оператора АИС в рамках события операционного риска или серии связанных событий операционного риска, вызванных информационными угрозами и (или) сбоями объектов информационной инфраструктуры, которые привели к невыполнению или ненадлежащему выполнению оператором АИС страхования своих функций (далее - инцидент операционной надежности), к ожидаемому количеству операций, осуществляемых в рамках технологических процессов, за тот же период в случае непрерывного выполнения оператором АИС страхования своих функций, установленного оператором АИС страхования (далее - допустимая доля деградации технологического процесса);

допустимого времени простоя и (или) деградации технологических процессов оператора АИС страхования в рамках инцидента операционной надежности (в случае превышения допустимой доли деградации технологического процесса). Значение данного целевого показателя устанавливается оператором АИС страхования не выше значений, предусмотренных приложением к настоящему Положению;

допустимого суммарного времени простоя и (или) деградации технологического процесса оператора АИС страхования (в случае превышения допустимой доли деградации технологического процесса) в течение очередного календарного года;

показателя соблюдения режима работы (функционирования) технологического процесса (времени начала, времени окончания, продолжительности и последовательности процедур в рамках технологического процесса).

Значение допустимой доли деградации технологических процессов должно рассчитываться оператором АИС страхования на основании статистических данных за период не менее двенадцати календарных месяцев, предшествующих дате определения значения целевого показателя операционной надежности, за исключением случая, предусмотренного абзацем седьмым настоящего пункта, и (или) иных данных, обосновывающих их определение (по выбору оператора АИС страхования).

В случае если технологический процесс функционирует менее двенадцати календарных месяцев, оператор АИС страхования должен определять значение допустимой доли деградации технологических процессов на основании статистических данных за период с даты начала его функционирования и (или) иных данных, обосновывающих их определение (по выбору оператора АИС страхования).

3. В случаях превышения допустимой доли деградации технологических процессов оператор АИС страхования должен фиксировать:

фактическое время простоя и (или) деградации технологического процесса, исчисляемое по каждому инциденту операционной надежности (с момента нарушения технологического процесса, приводящего к невыполнению или ненадлежащему выполнению оператором АИС страхования своих функций в связи с возникновением события или серии связанных событий, вызванных информационными угрозами и (или) сбоями объектов информационной инфраструктуры, до момента восстановления технологического процесса);

фактическую долю деградации технологического процесса в рамках отдельного инцидента операционной надежности;

суммарное время простоя и (или) деградации технологического процесса за последние двенадцать календарных месяцев.

При определении времени простоя и (или) деградации технологических процессов в расчет не включаются периоды времени плановых технологических операций, связанных с приостановлением (частичным приостановлением) технологических процессов и проводимых в соответствии с внутренними документами оператора АИС страхования.

4. Оператор АИС страхования должен не реже одного раза в год проводить анализ необходимости пересмотра значений целевых показателей операционной надежности.

5. Оператор АИС страхования должен разработать во внутренних документах и выполнять требования к операционной надежности, которые включают в себя:

требования к порядку определения значений целевых показателей операционной надежности и обеспечению контроля за их соблюдением;

требования к идентификации состава совокупности элементов, указанных в подпункте 5.1 настоящего пункта (далее - критичная архитектура);

требования к управлению изменениями элементов, указанных в подпункте 5.1 настоящего пункта;

требования к выявлению, регистрации инцидентов операционной надежности и реагированию на них, а также восстановлению выполнения технологических процессов и функционирования объектов информационной инфраструктуры после реализации указанных инцидентов;

требования к взаимодействию с третьими лицами (внешними подрядчиками, контрагентами), оказывающими на основании договора услуги в сфере информационных технологий, связанные с созданием, модернизацией, вводом в эксплуатацию, эксплуатацией (включая сопровождение), снятием с эксплуатации объектов информационной инфраструктуры оператора АИС страхования, размещением, хранением и (или) иной обработкой информации, формируемой и (или) получаемой оператором АИС страхования при выполнении своих функций (далее - поставщики услуг в сфере информационных технологий);

требования к тестированию операционной надежности технологических процессов;

требования к нейтрализации информационных угроз со стороны несанкционированного доступа работников оператора АИС страхования или работников поставщиков услуг в сфере информационных технологий, обладающих полномочиями доступа к объектам информационной инфраструктуры (далее - внутренний нарушитель), к объектам информационной инфраструктуры;