По обеспечению непрерывности деятельности некредитных финансовых организаций
Глава 2. Общие рекомендации
2.1. Финансовой организации рекомендуется обеспечить непрерывность деятельности, под которой понимается обеспечение режима повседневного функционирования внутренних критически важных процессов финансовой организации.
Под критически важными процессами в целях настоящих методических рекомендаций понимаются процессы финансовой организации, приостановление которых влечет нарушение нормального осуществления деятельности финансовой организации, ее контрагентов и (или) ее клиентов, в том числе создает угрозу полной утраты их жизнеспособности.
2.2. Обеспечение непрерывности деятельности финансовой организации рекомендуется организационно интегрировать в систему управления рисками финансовой организации в случае ее наличия.
2.3. При управлении риском нарушения непрерывности деятельности финансовой организации рекомендуется руководствоваться принципом "Низкий, насколько реально возможно", в соответствии с которым издержки на управление указанным риском не должны превышать потенциальных убытков от его реализации.
________________
2.4. В целях обеспечения непрерывности деятельности финансовой организации рекомендуется:
определить критически важные процессы;
определить перечень возможных чрезвычайных ситуаций исходя из оценки возможного ущерба и негативных последствий для финансовой организации, ее контрагентов и клиентов вследствие нарушения обеспечения непрерывности деятельности с учетом вероятности и времени возникновения таких нарушений, а также специфики и масштаба деятельности финансовой организации;
выявлять и проводить анализ факторов возникновения чрезвычайных ситуаций, которые способны привести к приостановлению критически важных процессов (далее - факторы).
2.5. Финансовой организации рекомендуется определять перечень возможных чрезвычайных ситуаций с учетом норм Федерального закона от 21 декабря 1994 года N 68-ФЗ "О защите населения и территорий от чрезвычайных ситуаций природного и техногенного характера", но не ограничиваясь ими.
2.6. При анализе факторов рекомендуется проводить оценку вероятности возникновения чрезвычайной ситуации и определять степень и характер ее влияния на непрерывность деятельности финансовой организации.
2.7. Финансовой организации рекомендуется проводить анализ факторов не реже одного раза в год и в случае необходимости пересматривать (актуализировать) их.
2.8. В целях обеспечения непрерывности функционирования информационных систем финансовой организации рекомендуется:
определить перечень информационных систем и обрабатываемой информации, используемых для обслуживания критически важных процессов (далее - информационные системы);
обеспечить внедрение и настройку программно-технических средств, обеспечивающих защиту информационных систем;
разработать политику информационной безопасности финансовой организации и на постоянной основе осуществлять мероприятия по защите информационных систем от противоправных действий;
проводить постоянный мониторинг текущего состояния информационных систем и их программно-технических средств и принимать своевременные меры по устранению выявленных недостатков.
2.9. Для обеспечения непрерывности деятельности руководству финансовой организации рекомендуется:
распределить ответственность и полномочия между сотрудниками финансовой организации на случай возникновения чрезвычайной ситуации;
организовать постоянный контроль непрерывности деятельности финансовой организации;
проводить мероприятия по обеспечению информационной безопасности.
2.10. При привлечении к осуществлению критически важных процессов сторонних организаций финансовой организации рекомендуется убедиться, что указанные организации также принимают меры для обеспечения непрерывности собственной деятельности и (или) что предоставляемые такими сторонними организациями продукты и услуги, в случае сбоев и (или) нарушений в их предоставлении, могут быть оперативно предоставлены другими организациями.