Письмо Банка России от 23 июня 2022 г. N 017-56/5711 “О рассмотрении обращения”

Банк России рассмотрел обращение Профессиональной ассоциации регистраторов, трансфер-агентов и депозитариев (ПАРТАД) Саморегулируемой организации "Национальная финансовая ассоциация" относительно изменения субъектного состава или отсрочки вступления в силу Положения Банка России от 15 ноября 2021 года N 779-П "Об установлении обязательных для некредитных финансовых организаций требований к операционной надежности при осуществлении видов деятельности, предусмотренных частью первой статьи 76.1 Федерального закона от 10 июля 2002 года N 86-ФЗ "О Центральном банке Российской Федерации (Банке России)" в целях обеспечения непрерывности оказания финансовых услуг (за исключением банковских услуг)" (далее - Положение Банка России N 779-П) и сообщает следующее.

По вопросу 1. В текущих условиях требования к операционной надежности направлены на обеспечение непрерывности оказания финансовых услуг при реализации информационных угроз, включая выполнение требований, направленных на противодействие целевым компьютерным атакам, а также требований к управлению риском технологической зависимости функционирования объектов информационной инфраструктуры некредитной финансовой организации от поставщиков услуг в сфере информационных технологий.

Вступление в силу указанного положения, по мнению Банка России, создаст для некредитных финансовых организаций правовое обоснование для выделения необходимых ресурсов при противодействии целевым компьютерным атакам, а также при импортозамещении объектов информационной инфраструктуры, задействованных при реализации критически важных процессов.

В соответствии с пунктом 3.2 Положения Банка России N 779-П некредитными финансовыми организациями, указанными в абзаце первом пункта 1.2 Положения Банка России N 779-П, обязанными соблюдать усиленный или стандартный уровень защиты информации в соответствии с подпунктом 1.4.2 или 1.4.3 пункта 1.4 Положения Банка России от 20 апреля 2021 года N 757-П "Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций" (далее - Положение Банка России N 757-П), а также некредитными финансовыми организациями, не указанными в абзаце первом пункта 1.2 Положения Банка России N 779-П, указанный нормативный акт применяется с 01.10.2022. Некредитными финансовыми организациями, указанными в абзаце первом пункта 1.2 Положения Банка России N 779-П, обязанными соблюдать минимальный уровень защиты информации в соответствии с подпунктом 1.4.4 пункта 1.4 Положения Банка России N 757-П, указанный нормативный акт применяется с 01.01.2023.

При этом Банк России будет рассматривать вопрос неприменения мер воздействия за несоблюдение требований указанного Положения в зависимости от развития ситуации.

По вопросу 2. Для реализации пропорционального регулирования в части установления порогового уровня допустимого времени простоя и (или) деградации технологических процессов некредитных финансовых в Приложении к Положению Банка России N 779-П для определенного перечня некредитных финансовых организаций установлены значения в зависимости:

1. от специфики осуществляемого некредитной финансовой организацией вида деятельности;

2. от уровня защиты информации, который некредитная финансовая организация обязана обеспечить в соответствии с Положением Банка России N 757-П.

Указанный подход, по мнению Банка России, позволит обеспечить баланс между нагрузкой на некредитные финансовые организации и достижением цели по защите интересов их клиентов - потребителей финансовых услуг.

По вопросу 3. В соответствии с Положением Банка России N 779-П некредитные финансовые организации соблюдают требования к непревышению порогового уровня допустимого времени простоя и (или) деградации технологических процессов в отношении соответствующего целевого показателя операционной надежности, приведенного в абзаце 3 пункта 1.3 Положения Банка России N 779-П, то есть рассматриваются только случаи простоя и (или) деградации технологических процессов в рамках событий операционного риска, связанных с нарушением операционной надежности.

При этом выполнение технологических процессов некредитные финансовые организации осуществляют согласно принятому ими режиму работы (функционирования) технологических процессов (времени начала, времени окончания, продолжительности и последовательности процедур в рамках технологического процесса). Таким образом, установление Положением Банка России N 779-П порогового уровня допустимого времени простоя и (или) деградации технологических процессов не сокращает время на осуществление операций некредитной финансовой организацией, а устанавливает временной период для восстановления предоставления финансовых услуг в случае их неоказания или ненадлежащего оказания в результате реализации информационных угроз.