ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ
МЕТОДИЧЕСКИЕ РЕКОМЕНДАЦИИ
от 18 августа 2016 года N 28-МР
По обеспечению непрерывности деятельности некредитных финансовых организаций
Глава 1. Общие положения
1.1. Банк России в целях обеспечения непрерывности деятельности рекомендует некредитным финансовым организациям, признанным таковыми в соответствии со статьей 76_1 Федерального закона от 10.07.2002 N 86-ФЗ "О Центральном банке Российской Федерации (Банке России)" (далее - финансовые организации), использовать настоящие методические рекомендации.
1.2. Целью настоящих методических рекомендаций является доведение до сведения финансовых организаций основных положений для разработки и внедрения процессов обеспечения готовности к инцидентам, нестандартным и (или) чрезвычайным ситуациям (далее - чрезвычайные ситуации) и непрерывности деятельности финансовых организаций, а также повышение доверия к финансовому рынку.
1.3. С целью обеспечения непрерывности деятельности наравне с настоящими методическими рекомендациями финансовой организации рекомендуется использовать в том числе национальный стандарт Российской Федерации ГОСТ Р 53647.1-2009 "Менеджмент непрерывности бизнеса. Часть 1. Практическое руководство", национальный стандарт Российской Федерации ГОСТ Р 53647.2-2009 "Менеджмент непрерывности бизнеса. Часть 2. Требования", национальный стандарт Российской Федерации ГОСТ Р 53647.3-2015 "Менеджмент непрерывности бизнеса. Часть 3. Руководство по обеспечению соответствия требованиям ГОСТ Р ИСО 22301", национальный стандарт Российской Федерации ГОСТ Р 53647.4-2011/ISO/PAS 22399:2007 "Менеджмент непрерывности бизнеса. Руководящие указания по обеспечению готовности к инцидентам и непрерывности деятельности" и национальный стандарт Российской Федерации ГОСТ Р ИСО/МЭК 31010-2011 "Менеджмент риска. Методы оценки риска".
Выполнение рекомендаций по обеспечению информационной безопасности для целей обеспечения непрерывности деятельности рекомендуется с учетом положений нормативных актов Банка России и документов, разрабатываемых Банком России, в рамках законодательства Российской Федерации о техническом регулировании (национальные стандарты, стандарты Банка России, рекомендации Банка России в области стандартизации).
1.4. Финансовой организации, являющейся клиринговой организацией, организатором торговли или расчетным депозитарием (далее - инфраструктурная организация), рекомендуется осуществлять обеспечение непрерывности деятельности, в том числе принимая во внимание рекомендации документа "Устойчивость инфраструктур финансового рынка к угрозам кибербезопасности", разработанного Комитетом по платежным и рыночным инфраструктурам Банка международных расчетов (КПРИ) в ноябре 2014 года.
________________
"Cyber resilience in financial market infrastructures", November, 2014, CPMI (www.bis.org/cpmi/publ/d122.pdf).
Инфраструктурной организации, являющейся организатором торговли, также рекомендуется принимать во внимание рекомендации документа "Механизмы для торговых площадок, позволяющие эффективно управлять рисками электронных торгов, и планы обеспечения непрерывности деятельности", разработанного Международной организацией комиссий по ценным бумагам (МОКЦБ) в апреле 2015 года.
________________
"Mechanisms for trading venues to effectively manage electronic trading risks and plans for business continuity", April, 2015, IOSCO (www.iosco.org/library/pubdocs/pdf/IOSCOPD483.pdf).
1.5. Финансовым организациям, в отношении которых вопросы обеспечения непрерывности деятельности урегулированы нормативными актами Банка России, рекомендуется применять настоящие методические рекомендации в части, не противоречащей соответствующим нормативным актам Банка России.
1.6. Финансовым организациям, являющимся системно значимыми инфраструктурными организациями, информация о которых размещена на официальном сайте Банка России в информационно-телекоммуникационной сети "Интернет" в разделе "Системно значимые инфраструктурные организации финансового рынка", рекомендуется использовать Методические рекомендации Банка России от 27.07.2015 N 20-МР.
1.7. На финансовые организации, соответствующие критериям, установленным в Приложении 1 к настоящим методическим рекомендациям, распространяются рекомендации положений, изложенных в главах 1 и 2 настоящих методических рекомендаций.
________________
Если указанная финансовая организация не осуществляет иных видов деятельности на финансовом рынке, не соответствующих указанным критериям.
1.8. На финансовые организации, соответствующие критериям, установленным в Приложении 2 к настоящим методическим рекомендациям, распространяются рекомендации положений, изложенных в главах 1-4 настоящих методических рекомендаций.
1.9. На финансовые организации, не соответствующие критериям, установленным в Приложении 1 и Приложении 2 к настоящим методическим рекомендациям, распространяются рекомендации положений, изложенных в главах 1-3 настоящих методических рекомендаций.
Глава 2. Общие рекомендации
2.1. Финансовой организации рекомендуется обеспечить непрерывность деятельности, под которой понимается обеспечение режима повседневного функционирования внутренних критически важных процессов финансовой организации.
Под критически важными процессами в целях настоящих методических рекомендаций понимаются процессы финансовой организации, приостановление которых влечет нарушение нормального осуществления деятельности финансовой организации, ее контрагентов и (или) ее клиентов, в том числе создает угрозу полной утраты их жизнеспособности.
2.2. Обеспечение непрерывности деятельности финансовой организации рекомендуется организационно интегрировать в систему управления рисками финансовой организации в случае ее наличия.
2.3. При управлении риском нарушения непрерывности деятельности финансовой организации рекомендуется руководствоваться принципом "Низкий, насколько реально возможно", в соответствии с которым издержки на управление указанным риском не должны превышать потенциальных убытков от его реализации.
________________
2.4. В целях обеспечения непрерывности деятельности финансовой организации рекомендуется:
определить критически важные процессы;
определить перечень возможных чрезвычайных ситуаций исходя из оценки возможного ущерба и негативных последствий для финансовой организации, ее контрагентов и клиентов вследствие нарушения обеспечения непрерывности деятельности с учетом вероятности и времени возникновения таких нарушений, а также специфики и масштаба деятельности финансовой организации;
выявлять и проводить анализ факторов возникновения чрезвычайных ситуаций, которые способны привести к приостановлению критически важных процессов (далее - факторы).
2.5. Финансовой организации рекомендуется определять перечень возможных чрезвычайных ситуаций с учетом норм Федерального закона от 21 декабря 1994 года N 68-ФЗ "О защите населения и территорий от чрезвычайных ситуаций природного и техногенного характера", но не ограничиваясь ими.
2.6. При анализе факторов рекомендуется проводить оценку вероятности возникновения чрезвычайной ситуации и определять степень и характер ее влияния на непрерывность деятельности финансовой организации.
2.7. Финансовой организации рекомендуется проводить анализ факторов не реже одного раза в год и в случае необходимости пересматривать (актуализировать) их.
2.8. В целях обеспечения непрерывности функционирования информационных систем финансовой организации рекомендуется:
определить перечень информационных систем и обрабатываемой информации, используемых для обслуживания критически важных процессов (далее - информационные системы);
обеспечить внедрение и настройку программно-технических средств, обеспечивающих защиту информационных систем;
разработать политику информационной безопасности финансовой организации и на постоянной основе осуществлять мероприятия по защите информационных систем от противоправных действий;
проводить постоянный мониторинг текущего состояния информационных систем и их программно-технических средств и принимать своевременные меры по устранению выявленных недостатков.
2.9. Для обеспечения непрерывности деятельности руководству финансовой организации рекомендуется:
распределить ответственность и полномочия между сотрудниками финансовой организации на случай возникновения чрезвычайной ситуации;
организовать постоянный контроль непрерывности деятельности финансовой организации;
проводить мероприятия по обеспечению информационной безопасности.
2.10. При привлечении к осуществлению критически важных процессов сторонних организаций финансовой организации рекомендуется убедиться, что указанные организации также принимают меры для обеспечения непрерывности собственной деятельности и (или) что предоставляемые такими сторонними организациями продукты и услуги, в случае сбоев и (или) нарушений в их предоставлении, могут быть оперативно предоставлены другими организациями.
Глава 3. Дополнительные рекомендации в отношении процедур, документов и органов управления
3.1. Финансовой организации рекомендуется установить плановое (целевое) время возобновления деятельности и восстановления критически важных процессов (RTO) на основе максимально приемлемого периода нарушения деятельности организации. Для отдельных видов услуг рекомендуется учитывать плановое (целевое) время восстановления процессов, указанное в Приложении 3 к настоящим методическим рекомендациям.
3.2. Финансовой организации рекомендуется иметь утвержденный советом директоров (наблюдательным советом), а в случае его отсутствия единоличным исполнительным органом (далее - уполномоченный орган управления) финансовой организации план обеспечения непрерывности деятельности и (или) восстановления деятельности финансовой организации в случае возникновения чрезвычайных ситуаций (далее - План непрерывности деятельности).
Финансовым организациям рекомендуется разработать План непрерывности в форме отдельного документа. При этом в случае осуществления нескольких видов деятельности финансовая организация может разработать как единый План непрерывности деятельности, так и несколько скоординированных Планов непрерывности деятельности для каждого отдельного вида деятельности финансовой организации.
Финансовой организации, являющейся клиринговой организацией, рекомендуется дополнить правила управления рисками положениями, основанными на настоящих методических рекомендациях, в том числе касающихся Плана непрерывности деятельности.
3.3. Финансовой организации в случае возникновения чрезвычайной ситуации рекомендуется следовать утвержденному Плану непрерывности деятельности.
3.4. В План непрерывности деятельности финансовой организации рекомендуется включить:
цели, приоритеты и задачи, решаемые в рамках Плана непрерывности деятельности;
порядок, способы, требуемые ресурсы и сроки осуществления мероприятий по предотвращению, снижению влияния и ликвидации последствий возможного нарушения режима повседневного функционирования финансовой организации, вызванного чрезвычайными ситуациями;
перечень факторов и порядок активации Плана непрерывности деятельности при воздействии каждого из факторов;
процедуры, выполнение которых в режиме повседневного функционирования финансовой организации необходимо для успешной реализации Плана непрерывности деятельности (в том числе процедуры, направленные на обеспечение безопасности информационных систем);
сценарии нарушения непрерывности деятельности, а также восстановления деятельности и критически важных процессов;
перечень критически важных процессов, а также приоритеты их восстановления;
плановое (целевое) время восстановления каждого из критически важных процессов;
порядок осуществления критически важных процессов в условиях чрезвычайных ситуаций, если они подвергаются изменению под воздействием чрезвычайных ситуаций;
порядок взаимодействия между органами управления и сотрудниками финансовой организации в условиях чрезвычайных ситуаций, в том числе с учетом взаимозаменяемости сотрудников финансовой организации;
порядок экстренного оповещения и способ связи между органами управления, подразделениями и сотрудниками финансовой организации;
информацию о контактах экстренных оперативных служб (телефонные номера) и внутренние контакты (телефонные номера, адреса электронной почты) лиц, ответственных за выполнение мер по восстановлению нормального функционирования критически важных процессов;
порядок информирования клиентов и контрагентов финансовой организации, а также Банка России о возникновении и возможных последствиях чрезвычайных ситуаций;
полномочия органов управления, подразделений и сотрудников финансовой организации по реализации мероприятий в рамках Плана непрерывности деятельности.
3.5. Финансовой организации рекомендуется:
не реже одного раза в два года проводить пересмотр (актуализацию) Плана непрерывности деятельности;
ознакомить с утвержденным (актуализированным) Планом непрерывности деятельности сотрудников, ответственных за его исполнение;
включать в должностные инструкции сотрудников организации, участвующих в процессе обеспечения непрерывности деятельности, необходимые положения, отражающие их роли и обязанности в рамках исполнения Плана непрерывности деятельности.
3.6. В части обеспечения непрерывности функционирования информационных систем финансовой организации также рекомендуется:
осуществлять ежедневное резервное копирование информации и баз данных, обслуживающих критически важные процессы, на резервные машинные носители информации для возобновления указанных процессов в случае утраты или повреждения информации или баз данных вследствие возникновения чрезвычайных ситуаций;
обеспечить фиксацию и регистрацию изменений в факторах, вызвавших чрезвычайную ситуацию, а также действий по устранению последствий ее наступления;
обеспечить регулярное обучение сотрудников финансовой организации, ответственных за обслуживание критически важных процессов, по вопросам обеспечения безопасности и непрерывности функционирования указанных процессов;
обеспечить управление доступом к информационным системам, обслуживающим критически важные процессы, в том числе управление правами и привилегиями пользователей информационных систем, разграничение доступа к указанным системам на основе совокупности установленных в них правил разграничения доступа, а также контроль соблюдения этих правил.
3.7. Финансовой организации во внутренних документах рекомендуется предусмотреть составление и представление определенному в указанных документах уполномоченному органу управления не реже одного раза в год отчета о непрерывности деятельности финансовой организации.
Финансовой организации рекомендуется учитывать указанный отчет при принятии управленческих решений, включая стратегическое развитие финансовой организации.
Глава 4. Иные рекомендации в части обеспечения непрерывности деятельности финансовых организаций
