(1).jpg)
Методические рекомендации Банка России от 20 декабря 2023 г. № 18-МР "По описанию наименований объектов информационной инфраструктуры"
Глава 1. Общие положения
1.1. Настоящие Методические рекомендации разработаны в целях обеспечения единства подходов к описанию наименований (при учете состава) объектов информационной инфраструктуры, задействованных при выполнении технологических процессов, в соответствии с абзацем четвертым подпункта 6.1 пункта 6 Положения Банка России от 12.01.2022 № 787-П «Об обязательных для кредитных организаций требованиях к операционной надежности при осуществлении банковской деятельности в целях обеспечения непрерывности оказания банковских услуг» для кредитных организаций и абзацем четвертым пункта 1.4 Положения Банка России от 15.11.2021 № 779-П «Об установлении обязательных для некредитных финансовых организаций требований к операционной надежности при осуществлении видов деятельности, предусмотренных частью первой статьи 76.1 Федерального закона от 10 июля 2002 года № 86-ФЗ «О Центральном банке Российской Федерации (Банке России)», в целях обеспечения непрерывности оказания финансовых услуг (за исключением банковских услуг)» для некредитных финансовых организаций.
Используемые в настоящих Методических рекомендациях понятия применяются в значениях, в которых они используются в Положении Банка России от 12.01.2022 № 787-П «Об обязательных для кредитных организаций требованиях к операционной надежности при осуществлении банковской деятельности в целях обеспечения непрерывности оказания банковских услуг» и Положении Банка России от 15.11.2021 № 779-П «Об установлении обязательных для некредитных финансовых организаций требований к операционной надежности при осуществлении видов деятельности, предусмотренных частью первой статьи 76.1 Федерального закона от 10 июля 2002 года № 86-ФЗ «О Центральном банке Российской Федерации (Банке России)», в целях обеспечения непрерывности оказания финансовых услуг (за исключением банковских услуг)».
1.2. Настоящие Методические рекомендации рекомендованы для применения кредитными организациями и некредитными финансовыми организациями при осуществлении банковской деятельности и деятельности в сфере финансовых рынков (далее - финансовые организации) в целях представления в Банк России информации об объектах информационной инфраструктуры в рамках информирования Банка России о выявленных инцидентах операционной надежности по запросу Банка России, а также при заполнении графы «Наименование объекта информационной инфраструктуры», группы аналитических признаков «Наименование объекта информатизации» и показателя «Информация об автоматизированных системах и приложениях» отчетности финансовых организаций, в том числе:
отчетности по форме 0420174 «Сведения о показателях операционной надежности страховой организации и применяемых ею информационных технологиях»1;
отчетности по форме 0420265 «Сведения о показателях операционной надежности негосударственного пенсионного фонда и применяемых им информационных технологиях»2;
отчетности по форме 0420432 «Сведения о показателях операционной надежности профессиональных участников рынка ценных бумаг, организаторов торговли, клиринговых организаций и применяемых ими информационных технологиях»3;
отчета по форме 0420523 «Сведения о показателях операционной надежности управляющей компании и применяемых ею информационных технологиях»4;
отчетности (отчета) по форме 0420721 «Сведения о показателях операционной надежности оператора инвестиционной платформы, оператора финансовой платформы, оператора информационной системы, в которой осуществляется выпуск цифровых финансовых активов, оператора обмена цифровых финансовых активов и применяемых ими информационных технологиях»5;
отчетности по форме 0409072 «Сведения о показателях операционной надежности кредитной организации и применяемых ею информационных технологиях при осуществлении банковской деятельности и деятельности в сфере финансовых рынков»6.
Глава 2. Рекомендации по описанию наименований объектов информационной инфраструктуры
2.1. При описании наименований (при учете состава) объектов информационной инфраструктуры рекомендуется учитывать объекты информационной инфраструктуры, относящиеся к критичной архитектуре, в том числе резервные объекты информационной инфраструктуры и объекты информационной инфраструктуры, задействованные в выполнении технологических процессов, которые реализуются поставщиками услуг в сфере информационных технологий (переданных на аутсорсинг и (или) выполняемых с применением внешних информационных систем, предоставляемых поставщиками услуг).
В случае если выполнение технологических процессов, обеспечивающих осуществление переводов денежных средств по поручению физических и юридических лиц, зависит от функционирования платежной системы Банка России, кредитным организациям рекомендуется представлять информацию об объектах информационной инфраструктуры, задействованных на участке платежной системы Банка России.
2.2. В формируемом финансовой организацией и представляемом в Банк России описании критичной архитектуры, в том числе объектов информационной инфраструктуры, относящихся к автоматизированной системе или отдельному компоненту этой системы (далее - ИТ-продукт), рекомендуется указывать следующие атрибуты:
| № п/п | Наименование атрибута | Рекомендация по заполнению | |
|---|---|---|---|
| кредитными организациями и некредитными финансовыми организациями, обязанными соблюдать усиленный или стандартный уровень защиты информации в соответствии с подпунктом 3.1 пункта 3 Положения Банка России от 17.04.2019 № 683-П7, подпунктом 1.4.2 или 1.4.3 пункта 1.4 Положения Банка России от 20.04.2021 № 757-П8 | некредитными финансовыми организациями, обязанными соблюдать минимальный уровень защиты информации в соответствии с подпунктом 1.4.4 пункта 1.4 Положения Банка России от 20.04.2021 № 757-П | ||
| 1 | Технологический процесс | Для заполнения | Для заполнения |
| 2 | Наименование автоматизированной системы | Для заполнения | Для заполнения |
| 3 | Технологический участок | Для заполнения | Для заполнения |
| 4 | Бизнес-функция | Для заполнения | Для заполнения |
| 5 | Функциональное значение системы | Для заполнения | Для заполнения |
| 6 | Разработчик автоматизированной системы | Для заполнения | Для заполнения |
| 7 | Уровень критичности системы | Для заполнения | Для заполнения |
| 8 | Перечень систем - источников данных | Для заполнения | Для заполнения |
| 9 | Перечень систем - получателей данных | Для заполнения | Для заполнения |
| 10 | Наименование ИТ-продукта | Для заполнения | Для заполнения |
| 11 | Принадлежность | Для заполнения | Для заполнения |
| 12 | Резервная инфраструктура | Для заполнения | Необязательный атрибут для заполнения |
| 13 | Разработчик ИТ-продукта | Для заполнения | Для заполнения |
| 14 | Модификация | Для заполнения | Необязательный атрибут для заполнения |
| 15 | Класс оборудования | Для заполнения | Для заполнения |
| 16 | Класс программного обеспечения | Для заполнения | Для заполнения |
| 17 | Страна | Для заполнения | Необязательный атрибут для заполнения |
| 18 | Наименование лицензии | Для заполнения | Необязательный атрибут для заполнения |
| 19 | Тип лицензии | Для заполнения | Необязательный атрибут для заполнения |
| 20 | Архитектура | Для заполнения | Необязательный атрибут для заполнения |
| 21 | Количество | Для заполнения | Необязательный атрибут для заполнения |
| 22 | Закупка | Для заполнения | Необязательный атрибут для заполнения |
| 23 | Техническая поддержка | Для заполнения | Необязательный атрибут для заполнения |
| 24 | Автономность | Для заполнения | Необязательный атрибут для заполнения |
| 25 | Обновление | Для заполнения | Необязательный атрибут для заполнения |
| 26 | Уязвимости | Для заполнения | Необязательный атрибут для заполнения |
| 27 | Управление | Для заполнения | Необязательный атрибут для заполнения |
| 28 | Наличие сертификата ФСТЭК России | Для заполнения | Необязательный атрибут для заполнения |
| 29 | Номер сертификата ФСТЭК России | Для заполнения | Необязательный атрибут для заполнения |
| 30 | Наличие сертификата ФСБ России | Для заполнения | Необязательный атрибут для заполнения |
| 31 | Номер сертификата ФСБ России | Для заполнения | Необязательный атрибут для заполнения |
| 32 | Номер в реестре Минцифры России | Для заполнения | Необязательный атрибут для заполнения |
| 33 | Номер в реестре Минпромторга России | Для заполнения | Необязательный атрибут для заполнения |
| 34 | Дата внесения в реестр Минцифры России | Для заполнения | Необязательный атрибут для заполнения |
2.3. Наименование объекта информационной инфраструктуры рекомендуется формировать перечислением атрибутов, указанных в пункте 2.2 настоящих Методических рекомендаций, разделенных символом «|» (вертикальная черта). Пример заполнения атрибутов указан в приложении 1 к настоящим Методическим рекомендациям.
2.4. Перечень атрибутов для описания автоматизированной системы рекомендуется формировать следующим образом.
2.4.1. Атрибут «Технологический процесс».
Атрибут «Технологический процесс» формируется с использованием кодов, определенных в порядке составления и представления отчетности по формам, указанным в пункте 1.2 настоящих Методических рекомендаций.
В случае если для атрибута подходит несколько значений, то для каждого его значения формируется новое описание объекта информационной инфраструктуры.
2.4.2. Атрибут «Наименование автоматизированной системы».
В атрибуте «Наименование автоматизированной системы» указывается наименование системы, состоящей из программных, аппаратных или программно-аппаратных средств информационных технологий, которая применяется финансовой организацией в рамках указанного технологического процесса.
В случае если для атрибута подходит несколько значений, то для каждого его значения формируется новое описание объекта информационной инфраструктуры.
2.4.3. Атрибут «Технологический участок».
В атрибуте «Технологический участок» указывается технологический участок технологического процесса, в рамках которого применяется указанная автоматизированная система, с использованием следующих кодов:
| Код | Наименование технологического участка |
|---|---|
| ИАА | Идентификация, аутентификация и авторизация клиентов при совершении действий в целях осуществления банковских/финансовых операций или обработки, хранения и передачи защищаемой информации |
| ФПП | Формирование (подготовка), передача и прием электронных сообщений |
| УП | Удостоверение права клиентов распоряжаться денежными средствами, ценными бумагами или иным имуществом или совершать действия с защищаемой информацией |
| ОУ | Осуществление банковской/финансовой операции или действий в целях обработки, хранения и передачи защищаемой информации, учет результатов их осуществления |
| ХИ | Хранение/учет электронных сообщений, информации об осуществленных банковских/финансовых операциях или действиях с защищаемой информацией, результатов осуществления действий в целях обработки, хранения и передачи защищаемой информации |
| СборБО_ЕБС | Для единой биометрической системы (далее - ЕБС): сбор в головном офисе, филиалах или внутренних структурных подразделениях финансовых организаций, являющихся банками с универсальной лицензией или банками с базовой лицензией, указанными в пункте 56 статьи 7 Федерального закона от 07.08.2001 № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма» (далее - банки), с использованием стационарных средств вычислительной техники, банкоматов, планшетов и при передаче собранных биометрических персональных данных между головным офисом, филиалами или внутренними структурными подразделениями банков, а также между планшетами и информационной инфраструктурой внутренних структурных подразделений банков |
| ПередачаБО_ЕБС | Для ЕБС: взаимодействие банков с ЕБС в целях размещения или обновления биометрических персональных данных |
| ИА_ЕБС | Для ЕБС: идентификация или аутентификация клиента - физического лица |
| Проверка_ЕБС | Для ЕБС: проверка и передача информации о степени соответствия предоставленных биометрических персональных данных физического лица векторам ЕБС, содержащимся в ЕБС, при взаимодействии информационных систем финансовых организаций с ЕБС |
| Взаимодействие_ЕБС | Для ЕБС: взаимодействие информационных систем финансовых организаций с ЕБС при передаче собранных биометрических персональных данных между осуществлявшими обработку биометрических персональных данных информационными системами финансовых организаций и ЕБС |
| ПередачаЕСИА_ЕБС | Для ЕБС: предоставление финансовыми организациями в соответствии с частью 5 статьи 10 Федерального закона от 29.12.2022 № 572-ФЗ в Единую систему идентификации и аутентификации (далее - ЕСИА) сведений о физических лицах, содержащихся в информационных системах организаций финансового рынка, включая идентификаторы таких сведений, перед использованием ЕБС для аутентификации |
| ОбработкаУА_КБС | Для информационных систем финансовых организаций, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц, за исключением единой биометрической системы (далее - КБС): обработка биометрических персональных данных и информации о степени соответствия векторов ЕБС предоставленным биометрическим персональным данным физического лица в КБС (далее - информация о степени соответствия) с использованием мобильных (переносных) устройств вычислительной техники (в том числе планшетов и электронных терминалов), стационарных средств вычислительной техники и банкоматов, принадлежащих организациям финансового рынка, а также с использованием устройств физического лица, оконечных устройств информационных систем, обеспечивающих функционирование контрольно-пропускных пунктов, в целях аутентификации физического лица с использованием биометрических персональных данных |
| Обработка_КБС | Для КБС: обработка биометрических персональных данных, а также обработка, в том числе получение и хранение, информации о степени соответствия, векторов ЕБС в КБС в целях аутентификации физического лица, а также для рассмотрения обращений субъектов персональных данных, предполагающих неправомерную обработку их биометрических персональных данных при проведении аутентификации и (или) оспаривающих результаты проведения аутентификации |
| ПередачаЕСИА_КБС | Для КБС: предоставление финансовыми организациями в ЕСИА сведений о физических лицах, содержащихся в информационных системах финансовых организаций, включая идентификаторы таких сведений, перед использованием КБС для аутентификации физического лица |
В случае если для указанной автоматизированной системы подходит несколько технологических участков технологического процесса, то следует указать все подходящие коды через символ «-» (прочерк).
2.4.4. Атрибут «Бизнес-функция».
Рекомендуемый перечень бизнес-функций в зависимости от вида деятельности финансовой организации приведен в приложении 2 к настоящим Методическим рекомендациям (далее - Рекомендуемый перечень бизнес-функций).
Если для видов деятельности финансовой организации применима бизнес-функция, указанная в Рекомендуемом перечне бизнес-функций, то атрибут «Бизнес-функция» заполняется с использованием кодов, указанных в столбце «Код» Рекомендуемого перечня бизнес-функций.
В случае отсутствия бизнес-функции в Рекомендуемом перечне бизнес-функций финансовой организации следует указать код, соответствующий расшифровке кода «Иная бизнес-функция», и через символ «-» (прочерк) привести наименование бизнес-функции.
В случае если для указанной автоматизированной системы подходит несколько бизнес-функций, то следует указать все подходящие коды через символ «-» (прочерк).
2.4.5. Атрибут «Функциональное значение системы».
В атрибуте «Функциональное значение системы» указываются функциональное описание и особенности указанной автоматизированной системы. Описание производится в рамках указанной бизнес-функции.
2.4.6. Атрибут «Разработчик автоматизированной системы».
В атрибуте «Разработчик автоматизированной системы» указывается доменное имя сайта компании-разработчика указанной автоматизированной системы в соответствии с официальным сайтом компании-разработчика в информационно-телекоммуникационной сети «Интернет» (далее - сеть «Интернет») без указания домена первого уровня.
2.4.7. Атрибут «Уровень критичности системы».
В атрибуте «Уровень критичности системы» указывается роль указанной автоматизированной системы для финансовой организации с использованием следующих кодов:
| Код | Расшифровка кода |
|---|---|
| Урв1 | Mission Critical |
| Урв2 | Business Critical |
| Урв3 | Business Operational |
| Урв4 | Office Productivity |
Mission Critical - система, без которой в краткосрочном промежутке времени невозможно функционирование финансовой организации и простой которой приведет к штрафным санкциям со стороны клиентов.
Business Critical - система, простой которой в среднесрочном периоде повлечет за собой финансовые или имиджевые потери финансовой организации, однако в кратковременном промежутке финансовая организация может выполнять свои обязательства перед клиентами с незначительным снижением уровня сервиса.
Business Operational - система, долговременный простой которой создает значительные неудобства пользователям. Внутренние процессы финансовой организации, не направленные на обслуживание клиентов, могут быть заблокированы, при этом отсутствие сервиса в среднесрочном периоде не влечет финансовых либо имиджевых потерь.
Office Productivity - инструментарий эксплуатационных подразделений, простой которых в среднесрочном периоде не отразится на уровне сервиса прочих систем.
2.4.8. Атрибут «Перечень систем - источников данных».
В атрибуте «Перечень систем - источников данных» указывается система, которая является источником данных для указанной автоматизированной системы. При условии отсутствия систем - источников данных следует указать «Не применимо».
В случае если для атрибута подходит несколько систем - источников данных, то следует указать все подходящие системы через символ «-» (прочерк).
2.4.9. Атрибут «Перечень систем - получателей данных».
В атрибуте «Перечень систем - получателей данных» указывается система, которая является получателем данных из указанной автоматизированной системы. При условии отсутствия систем - получателей данных следует указать «Не применимо».
В случае если для атрибута подходит несколько систем - получателей данных, то следует указать все подходящие системы через символ «-» (прочерк).
2.5. Перечень атрибутов для описания ИТ-продукта в указанной автоматизированной системе рекомендуется формировать следующим образом:
| № п/п | Наименование атрибута | Вид объекта информационной инфраструктуры | |||
|---|---|---|---|---|---|
| программное обеспечение | свободное программное обеспечение (Open Source) | оборудование | программно-аппаратный комплекс | ||
| 1 | Наименование ИТ-продукта | Для заполнения | Для заполнения | Для заполнения | Для заполнения |
| 2 | Принадлежность | Для заполнения | Для заполнения | Для заполнения | Для заполнения |
| 3 | Резервная инфраструктура | Для заполнения | Для заполнения | Для заполнения | Для заполнения |
| 4 | Разработчик ИТ-продукта | Для заполнения | Для заполнения | Для заполнения | Для заполнения |
| 5 | Модификация | Для заполнения | Для заполнения | Для заполнения | Для заполнения |
| 6 | Класс оборудования | Не применимо | Не применимо | Для заполнения | Для заполнения |
| 7 | Класс программного обеспечения | Для заполнения | Для заполнения | Не применимо | Для заполнения |
| 8 | Страна | Для заполнения | Не применимо | Для заполнения | Для заполнения |
| 9 | Наименование лицензии | Не применимо | Для заполнения | Не применимо | Не применимо |
| 10 | Тип лицензии | Не применимо | Для заполнения | Не применимо | Не применимо |
| 11 | Архитектура | Для заполнения | Для заполнения | Для заполнения | Для заполнения |
| 12 | Количество | Не применимо | Не применимо | Для заполнения | Для заполнения |
| 13 | Закупка | Для заполнения | Для заполнения | Для заполнения | Для заполнения |
| 14 | Техническая поддержка | Для заполнения | Для заполнения | Для заполнения | Для заполнения |
| 15 | Автономность | Для заполнения | Для заполнения | Для заполнения | Для заполнения |
| 16 | Обновление | Для заполнения | Для заполнения | Для заполнения | Для заполнения |
| 17 | Уязвимости | Для заполнения | Для заполнения | Для заполнения | Для заполнения |
| 18 | Управление | Для заполнения | Для заполнения | Для заполнения | Для заполнения |
| 19 | Наличие сертификата ФСТЭК России | Не применимо | Не применимо | Не применимо | Для заполнения |
| 20 | Номер сертификата ФСТЭК России | Не применимо | Не применимо | Не применимо | Для заполнения |
| 21 | Наличие сертификата ФСБ России | Не применимо | Не применимо | Не применимо | Для заполнения |
| 22 | Номер сертификата ФСБ России | Не применимо | Не применимо | Не применимо | Для заполнения |
| 23 | Номер в реестре Минцифры России | Для заполнения | Не применимо | Не применимо | Для заполнения |
| 24 | Номер в реестре Минпромторга России | Не применимо | Не применимо | Для заполнения | Для заполнения |
| 25 | Дата внесения в реестр Минцифры России | Для заполнения | Не применимо | Не применимо | Для заполнения |
2.5.1. Атрибут «Наименование ИТ-продукта».
В атрибуте «Наименование ИТ-продукта» указывается наименование ИТ-продукта, который используется в указанной автоматизированной системе. Значения для атрибута должны выбираться в соответствии со списком «Наименование ИТ-продукта», приведенным в приложении 3 к настоящим Методическим рекомендациям. В случае отсутствия ИТ-продукта в упомянутом списке наименование указывается финансовой организацией самостоятельно в соответствии с полным фирменным наименованием ИТ-продукта, созданного компанией-разработчиком.
В случае если для атрибута подходит несколько значений, то для каждого его значения формируется новое описание объекта информационной инфраструктуры.
2.5.2. Атрибут «Принадлежность».
В атрибуте «Принадлежность» указывается тип разработки с использованием следующих кодов:
| Код | Расшифровка кода |
|---|---|
| Прин1 | Готовое решение |
| Прин2 | Собственная разработка |
| Прин3 | Свободное программное обеспечение (Open Source) |
2.5.3. Атрибут «Резервная инфраструктура».
В атрибуте «Резервная инфраструктура» указывается, является ли резервным объект информационной инфраструктуры, указанный в атрибуте «Наименование ИТ-продукта». Атрибут следует заполнять с использованием следующих кодов:
| Код | Расшифровка кода |
|---|---|
| Ри1 | Да |
| Ри2 | Нет |
2.5.4. Атрибут «Разработчик ИТ-продукта».
В атрибуте «Разработчик ИТ-продукта» указывается доменное имя сайта компании-разработчика ИТ-продукта в сети «Интернет», указанного в атрибуте «Наименование ИТ-продукта», без указания домена первого уровня. Примеры для данного атрибута приведены в приложении 3 к настоящим Методическим рекомендациям.
2.5.5. Атрибут «Модификация».
В атрибуте «Модификация» указывается определенная версия программного обеспечения или свободного программного обеспечения (Open Source), указанного в атрибуте «Наименование ИТ-продукта». Для оборудования и программно-аппаратного комплекса указывается стандартный идентификатор промышленного изделия определенной конструкции или его составной части (part number ИТ-продукта). При условии отсутствия версии или part number ИТ-продукта у объекта информационной инфраструктуры следует указать «Не применимо».
2.5.6. Атрибут «Класс оборудования».
В атрибуте «Класс оборудования» указывается соответствующая категория объекта информационной инфраструктуры, указанного в атрибуте «Наименование ИТ-продукта», применимая к оборудованию и программно-аппаратному комплексу, которое используется в указанной автоматизированной системе. Атрибут включает в себя следующие типы объектов информационной инфраструктуры:
аппаратное обеспечение;
сетевое оборудование.
Атрибут «Класс оборудования» заполняется с использованием следующих кодов:
| Код | Расшифровка кода |
|---|---|
| Клсо1 | Серверное оборудование |
| Клсо2 | Система хранения данных |
| Клсо3 | Телекоммуникационное оборудование |
| Клсо4 | Комплекс защиты от несанкционированного доступа к информации |
| Клсо5 | Комплекс управления событиями информационной безопасности |
| Клсо6 | Комплекс межсетевых экранов |
| Клсо7 | Комплекс фильтрации негативного контента |
| Клсо8 | Комплекс антивирусной защиты |
| Клсо9 | Комплекс выявления целевых компьютерных атак |
| Клсо10 | Комплекс гарантированного уничтожения данных |
| Клсо11 | Комплекс обнаружения и предотвращения утечек информации |
| Клсо12 | Комплекс криптографической защиты информации и электронной подписи |
| Клсо13 | Комплекс защиты каналов передачи данных, в том числе криптографическими методами |
| Клсо14 | Комплекс управления доступом к информационным ресурсам |
| Клсо15 | Комплекс резервного копирования |
| Клсо16 | Комплекс обнаружения и (или) предотвращений вторжений (атак) |
| Клсо17 | Комплекс для безопасного хранения и переноса информации |
| Клсо18 | Комплекс для однонаправленной передачи информации |
| Клсо19 | Комплекс для обеспечения безопасной дистанционной работы |
| Клсо20 | Комплекс для обнаружения угроз и расследования инцидентов |
| Клсо21 | Комплекс ключевых носителей |
| Клсо22 | Комплекс администрирования и управления жизненным циклом ключевых носителей |
| Клсо23 | Комплекс средства автоматизации процессов информационной безопасности |
| Клсо24 | Комплекс квантовых криптографических систем выработки распределения ключа |
| Клсо25 | Комплекс для защиты программного обеспечения от нелегального копирования и использования |
| Клсо26 | Комплекс для обеспечения безопасной разработки программного обеспечения |
| Клсо27 | Комплекс для безопасного прямого сбора данных с промышленного контура предприятия с последующей предобработкой, конвертацией и передачей их в информационные системы |
| Клсо28 | Комплекс для защиты сервисов онлайн-платежей и дистанционного банковского обслуживания (в том числе HSM) |
| Клсо99 | Не применимо |
Для объекта информационной инфраструктуры, указанного в атрибуте «Наименование ИТ-продукта», который является программным обеспечением или свободным программным обеспечением (Open Source), следует указать код, соответствующий расшифровке кода «Не применимо».
2.5.7. Атрибут «Класс программного обеспечения».
В атрибуте «Класс программного обеспечения» указывается соответствующая категория объекта информационной инфраструктуры, указанного в атрибуте «Наименование ИТ-продукта», применимая к свободному программному обеспечению (Open Source), программному обеспечению и программному обеспечению в составе программно-аппаратного комплекса, которые используются в указанной автоматизированной системе. Атрибут включает в себя следующие типы объектов информационной инфраструктуры:
сетевые приложения и сервисы;
серверные компоненты виртуализации, программные инфраструктурные сервисы;
операционные системы, системы управления базами данных, сервера приложений.
Атрибут «Класс программного обеспечения» заполняется с использованием следующих кодов:
| Код | Расшифровка кода |
|---|---|
| Клс1 | Операционные системы |
| Клс2 | Системы виртуализации и контейнеризации |
| Клс3 | Средства управления базами данных |
| Клс4 | Средства управления процессами организации |
| Клс5 | Средства разработки программного обеспечения |
| Клс6 | Средства обеспечения информационной безопасности |
| Клс7 | Средства анализа данных |
| Клс8 | Офисные приложения |
| Клс9 | Управление ИТ-инфраструктурой |
| Клс10 | Информационные системы для решения специфических отраслевых задач |
| Клс99 | Не применимо |
Для объекта информационной инфраструктуры, указанного в атрибуте «Наименование ИТ-продукта», который является оборудованием, следует указать код, соответствующий расшифровке кода «Не применимо».
2.5.8. Атрибут «Страна».
В атрибуте «Страна» для компании-разработчика объекта информационной инфраструктуры, указанной в атрибуте «Разработчик ИТ-продукта», следует указать цифровой код страны в соответствии с Общероссийским классификатором стран мира, утвержденным постановлением Госстандарта России от 14.12.2001 № 529-ст.
Для объекта информационной инфраструктуры, указанного в атрибуте «Наименование ИТ-продукта», который является свободным программным обеспечением (Open Source), следует указать «Не применимо».
2.5.9. Атрибут «Наименование лицензии».
В атрибуте «Наименование лицензии» для объекта информационной инфраструктуры, указанного в атрибуте «Наименование ИТ-продукта», являющегося свободным программным обеспечением (Open Source), указывается специализированная лицензия. Примеры для заполнения данного атрибута приведены в приложении 4 к настоящим Методическим рекомендациям.
Для объекта информационной инфраструктуры, указанного в атрибуте «Наименование ИТ-продукта», который не является свободным программным обеспечением (Open Source), следует указать «Не применимо».
2.5.10. Атрибут «Тип лицензии».
В атрибуте «Тип лицензии» для объекта информационной инфраструктуры, являющегося свободным программным обеспечением (Open Source), указывается тип его лицензии. Примеры для заполнения данного атрибута приведены в приложении 5 к настоящим Методическим рекомендациям.
Атрибут «Тип лицензии» заполняется с использованием следующих кодов:
| Код | Расшифровка кода |
|---|---|
| Лиц1 | Permissive (разрешительные) |
| Лиц2 | Weak Copyleft (условный копилефт) |
| Лиц3 | Copyleft (копилефт) |
| Лиц9 | Не применимо |
Для объекта информационной инфраструктуры, указанного в атрибуте «Наименование ИТ-продукта», который не является свободным программным обеспечением (Open Source), следует указать код, соответствующий расшифровке кода «Не применимо».
2.5.11. Атрибут «Архитектура».
В атрибуте «Архитектура» указывается архитектура с определенным набором инструкций, на которой функционирует объект информационной инфраструктуры, указанный в атрибуте «Наименование ИТ-продукта», с использованием следующих кодов:
| Код | Расшифровка кода |
|---|---|
| Арх1 | Монолитная архитектура |
| Арх2.1 | Двухзвенная архитектура (клиент) |
| Арх2.2 | Двухзвенная архитектура (сервер) |
| Арх3.1 | Трехзвенная архитектура (клиент) |
| Арх3.2 | Трехзвенная архитектура (сервер СУБД) |
| Арх3.3 | Трехзвенная архитектура (сервер приложений) |
| Арх4 | Микросервисная архитектура |
Монолитная архитектура предполагает размещение всех необходимых компонентов для программного приложения или технологии на одном сервере.
Двухзвенная архитектура предполагает размещение прикладных программ на сервере приложений, а на рабочих станциях - программ клиентов, которые предоставляют для пользователей интерфейс для работы с приложениями.
Трехзвенная архитектура предполагает наличие в архитектурной модели программного комплекса трех типов компонентов: клиентских приложений, серверов приложений и серверов баз данных.
Микросервисная архитектура - сервис-ориентированная архитектура, направленная на взаимодействие связанных и легко изменяемых компонентов, являющихся отдельными сервисами.
В случае если объект информационной инфраструктуры (ИТ-продукт), находящийся в указанной автоматизированной системе, функционирует на одном уровне архитектуры и разных типах компонентов данной архитектуры, то следует указать все подходящие коды через символ «-» (прочерк).
2.5.12. Атрибут «Количество».
В атрибуте «Количество» указывается количество аппаратных и программно-аппаратных средств информационных технологий, указанных в атрибуте «Наименование ИТ-продукта» и задействованных финансовой организацией в указанной автоматизированной системе, с учетом запасов (например, 100-50, где 100 - количество активно применяемых объектов информационной инфраструктуры, 50 - количество запасов для объекта информационной инфраструктуры).
Для объекта информационной инфраструктуры, указанного в атрибуте «Наименование ИТ-продукта», который является программным обеспечением или свободным программным обеспечением (Open Source), следует указать «Не применимо».
2.5.13. Атрибут «Закупка».
В атрибуте «Закупка» указывается возможность закупки объекта информационной инфраструктуры, указанного в атрибуте «Наименование ИТ-продукта», с использованием следующих кодов:
| Код | Расшифровка кода |
|---|---|
| Закуп1 | Да, посредством официального канала |
| Закуп2 | Да, посредством параллельного импорта |
| Закуп3 | Не требуется, собственная разработка |
| Закуп4 | Не требуется, свободное программное обеспечение |
| Закуп5 | Нет возможности |
2.5.14. Атрибут «Техническая поддержка».
В атрибуте «Техническая поддержка» должна указываться возможность осуществления технической поддержки объекта информационной инфраструктуры, указанного в атрибуте «Наименование ИТ-продукта», с использованием следующих кодов:
| Код | Расшифровка кода |
|---|---|
| Поддерж1 | Да, осуществляется официальным разработчиком |
| Поддерж2 | Да, осуществляется сторонней организацией |
| Поддерж3 | Да, осуществляется самой финансовой организацией |
| Поддерж4 | Нет |
2.5.15. Атрибут «Автономность».
В атрибуте «Автономность» должна указываться возможность работы без подключения к сети «Интернет» с сохранением функционала объекта информационной инфраструктуры, указанного в атрибуте «Наименование ИТ-продукта», с использованием следующих кодов:
| Код | Расшифровка кода |
|---|---|
| Авт1 | Да |
| Авт2 | Нет |
2.5.16. Атрибут «Обновление».
В атрибуте «Обновление» указывается возможность обновления объекта информационной инфраструктуры, указанного в атрибуте «Наименование ИТ-продукта», с использованием следующих кодов:
| Код | Расшифровка кода |
|---|---|
| Обнв1 | Да, официальный канал |
| Обнв2 | Да, посредством параллельного импорта |
| Обнв3 | Да, собственная командная разработка |
| Обнв4 | Нет |
2.5.17. Атрибут «Уязвимости».
В атрибуте «Уязвимости» указывается возможность устранения известных (описанных) уязвимостей объекта информационной инфраструктуры, указанного в атрибуте «Наименование ИТ-продукта», с использованием следующих кодов:
| Код | Расшифровка кода |
|---|---|
| Уязв1 | Да |
| Уязв2 | Нет |
2.5.18. Атрибут «Управление».
В атрибуте «Управление» указывается наличие известного финансовой организации канала удаленного управления объектом информационной инфраструктуры, указанным в атрибуте «Наименование ИТ-продукта», с использованием следующих кодов:
| Код | Расшифровка кода |
|---|---|
| Упр1 | Имеется канал удаленного управления. Финансовая организация не имеет возможности шифровать канал |
| Упр2 | Имеется канал удаленного управления. Финансовая организация имеет возможность шифровать канал и осуществлять его мониторинг |
| Упр3 | Отсутствует канал удаленного управления |
2.5.19. Атрибут «Наличие сертификата ФСТЭК России».
В атрибуте «Наличие сертификата ФСТЭК России» указывается наличие сертификата ФСТЭК России, включенного в Государственный реестр сертифицированных средств защиты информации ФСТЭК России и размещенного на официальном сайте ФСТЭК России в сети «Интернет», у объекта информационной инфраструктуры, указанного в атрибуте «Наименование ИТ-продукта», с использованием следующих кодов:
| Код | Расшифровка кода |
|---|---|
| ФСТЭК1 | Да |
| ФСТЭК2 | Нет |
| ФСТЭК9 | Не применимо |
Для объекта информационной инфраструктуры, указанного в атрибуте «Наименование ИТ-продукта», который не является программно-аппаратным комплексом, следует указать код, соответствующий расшифровке кода «Не применимо».
2.5.20. Атрибут «Номер сертификата ФСТЭК России».
В атрибуте «Номер сертификата ФСТЭК России» указывается номер сертификата ФСТЭК России, включенного в Государственный реестр сертифицированных средств защиты информации ФСТЭК России и размещенного на официальном сайте ФСТЭК в сети «Интернет», у объекта информационной инфраструктуры, указанного в атрибуте «Наименование ИТ-продукта». При условии отсутствия сертификата ФСТЭК России следует указать «Отсутствует».
Для объекта информационной инфраструктуры, указанного в атрибуте «Наименование ИТ-продукта», который не является программно-аппаратным комплексом, следует указать «Не применимо».
2.5.21. Атрибут «Наличие сертификата ФСБ России».
В атрибуте «Наличие сертификата ФСБ России» указывается о наличии сертификата ФСБ России, включенного в перечень средств защиты информации, сертифицированных ФСБ России, и размещенного на официальном сайте ФСБ России в сети «Интернет», у объекта информационной инфраструктуры, указанного в атрибуте «Наименование ИТ-продукта», с использованием следующих кодов:
| Код | Расшифровка кода |
|---|---|
| ФСБ1 | Да |
| ФСБ2 | Нет |
| ФСБ9 | Не применимо |
Для объекта информационной инфраструктуры, указанного в атрибуте «Наименование ИТ-продукта», который не является программно-аппаратным комплексом, следует указать код, соответствующий расшифровке кода «Не применимо».
2.5.22. Атрибут «Номер сертификата ФСБ России».
В атрибуте «Номер сертификата ФСБ России» указывается номер сертификата ФСБ России, включенного в перечень средств защиты информации, сертифицированных ФСБ России, и размещенного на официальном сайте ФСБ России в сети «Интернет», у объекта информационной инфраструктуры, указанного в атрибуте «Наименование ИТ-продукта». При условии отсутствия сертификата ФСБ России у программно-аппаратного комплекса следует указать «Отсутствует».
Для объекта информационной инфраструктуры, указанного в атрибуте «Наименование ИТ-продукта», который не является программно-аппаратным комплексом, следует указать «Не применимо».
2.5.23. Атрибут «Номер в реестре Минцифры России».
В атрибуте «Номер в реестре Минцифры России» указывается регистрационный номер программного обеспечения или программно-аппаратного комплекса в Едином реестре российских программ для электронных вычислительных машин и баз данных или Едином реестре программ для электронных вычислительных машин и баз данных из государств - членов Евразийского экономического союза, за исключением Российской Федерации, правила формирования и ведения которых утверждены постановлением Правительства Российской Федерации от 16.11.2015 № 1236 «Об установлении запрета на допуск программного обеспечения, происходящего из иностранных государств, для целей осуществления закупок для обеспечения государственных и муниципальных нужд» (далее - реестр Минцифры России). В случае если объект информационной инфраструктуры, указанный в атрибуте «Наименование ИТ-продукта», не внесен в реестр Минцифры России, то в данном атрибуте следует указать «Отсутствует».
Для объекта информационной инфраструктуры, указанного в атрибуте «Наименование ИТ-продукта», который является свободным программным обеспечением (Open Source) или оборудованием, следует указать «Не применимо».
2.5.24. Атрибут «Номер в реестре Минпромторга России».
В атрибуте «Номер в реестре Минпромторга России» указывается реестровый номер оборудования или программно-аппаратного комплекса в Едином реестре российской радиоэлектронной продукции, правила формирования и ведения которого утверждены постановлением Правительства Российской Федерации от 10.07.2019 № 878 «О мерах стимулирования производства радиоэлектронной продукции на территории Российской Федерации при осуществлении закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд, о внесении изменений в постановление Правительства Российской Федерации от 16 сентября 2016 г. № 925 и признании утратившими силу некоторых актов Правительства Российской Федерации», или Реестре российской промышленной продукции, или Реестре евразийской промышленной продукции, порядок формирования и ведения которых утверждены приказом Минпромторга России от 29.05.2020 № 1755 «Об утверждении порядка выдачи Министерством промышленности и торговли Российской Федерации разрешения на закупку происходящего из иностранного государства промышленного товара, положения об отраслевых экспертных советах при Министерстве промышленности и торговли Российской Федерации, порядка формирования и ведения реестра российской промышленной продукции, включая порядок предоставления выписки из него и ее форму, порядка формирования и ведения реестра евразийской промышленной продукции, включая порядок предоставления выписки из него и ее форму». В случае если объект информационной инфраструктуры, указанный в атрибуте «Наименование ИТ-продукта», не внесен в реестр, то в данном атрибуте следует указать «Отсутствует».
Для объекта информационной инфраструктуры, указанного в атрибуте «Наименование ИТ-продукта», который является программным обеспечением или свободным программным обеспечением (Open Source), следует указать «Не применимо».
2.5.25. Атрибут «Дата внесения в реестр Минцифры России».
В атрибуте «Дата внесения в реестр Минцифры России» указывается дата решения о включении сведений о программном обеспечении или программно-аппаратном комплексе в реестр Минцифры России. В случае если объект информационной инфраструктуры, указанный в атрибуте «Наименование ИТ-продукта», не внесен в реестр Минцифры России, то в данном атрибуте следует указать «Отсутствует».
Для объекта информационной инфраструктуры, указанного в атрибуте «Наименование ИТ-продукта», который является свободным программным обеспечением (Open Source) или оборудованием, следует указать «Не применимо».
Глава 3. Заключительные положения
3.1. Настоящие Методические рекомендации подлежат опубликованию в «Вестнике Банка России» и размещению на официальном сайте Банка России в сети «Интернет».
|
Заместитель Председателя Банка России |
Г.А. Зубарев |
------------------------------
1 Установлена Указанием Банка России от 14.11.2022 № 6315-У «О формах, сроках и порядке составления и представления в Банк России отчетности страховщиков».
2 Установлена Указанием Банка России от 27.09.2022 № 6269-У «О формах, сроках и порядке составления и представления в Банк России отчетности, в том числе требованиях к отчетности по обязательному пенсионному страхованию, негосударственных пенсионных фондов».
3 Установлена Указанием Банка России от 30.09.2022 № 6282-У «Об объеме, формах, сроках и порядке составления и представления в Банк России отчетности профессиональных участников рынка ценных бумаг, организаторов торговли и клиринговых организаций, а также другой информации».
4 Установлена Указанием Банка России от 05.10.2022 № 6292-У «Об объеме, формах, порядке и сроках составления и представления в Банк России отчетов акционерными инвестиционными фондами, управляющими компаниями инвестиционных фондов, паевых инвестиционных фондов и негосударственных пенсионных фондов».
5 Установлена Указанием Банка России от 21.09.2022 № 6243-У «О порядке и сроках составления и представления в Банк России отчетов операторов инвестиционных платформ, отчетности операторов финансовых платформ, операторов информационных систем, в которых осуществляется выпуск цифровых финансовых активов, и операторов обмена цифровых финансовых активов, форме отчетов операторов инвестиционных платформ и составе включаемых в них сведений, составе и формах отчетности операторов финансовых платформ».
6 Установлена Указанием Банка России от 10.04.2023 № 6406-У «О формах, сроках, порядке составления и представления отчетности кредитных организаций (банковских групп) в Центральный банк Российской Федерации, а также о перечне информации о деятельности кредитных организаций (банковских групп)» (вступает в силу 01.01.2024).
7 Положение Банка России от 17.04.2019 № 683-П «Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента».
8 Положение Банка России от 20.04.2021 № 757-П «Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций».
------------------------------
Приложение 1
к Методическим рекомендациям
по описанию наименований объектов
информационной инфраструктуры
Пример заполнения для кредитной организации или некредитной финансовой организации, которые обязаны соблюдать усиленный или стандартный уровень защиты информации в соответствии с подпунктом 3.1 пункта 3 Положения Банка России от 17.04.2019 № 683-П, подпунктом 1.4.2 или 1.4.3 пункта 1.4 Положения Банка России от 20.04.2021 № 757-П
ТпрКО8|Lеkton Classic|ОУ|БфКО22|Фронт-офисная система учета с использованием пластиковых карт|lekton|Урв1|АС1|АС2|Windows 10|Прин1|Ри2|microsoft|21H2|Клсо99|Клс1|840|Не применимо|Лиц9|Арх3.1|Не применимо|Закуп5|Поддерж4|Авт1|Обнв4|Уязв1|Упр1|ФСТЭК9|Не применимо|ФСБ9|Не применимо|Отсутствует|Не применимо|Отсутствует
Приложение 2
к Методическим рекомендациям
по описанию наименований объектов
информационной инфраструктуры
Рекомендуемый перечень бизнес-функций
| Код | Бизнес-функция |
|---|---|
| Кредитные организации | |
| БфКО1 | Интернет-банкинг ФЛ |
| БфКО2 | Мобильный банкинг ФЛ |
| БфКО3 | Кредитование ФЛ (фронт-офис) |
| БфКО4 | Конвертация валют для ФЛ |
| БфКО5 | Банковские карты для ФЛ |
| БфКО6 | Обслуживание заемщиков, вкладчиков и держателей ПК (ФЛ) |
| БфКО7 | CRM (фронт-офис) |
| БфКО8 | Инвестпродукты для ФЛ |
| БфКО9 | Расчетно-кассовое обслуживание ФЛ |
| БфКО10 | KYC |
| БфКО11 | Сопровождение сделок ФЛ |
| БфКО12 | Кредитный конвейер (ФЛ) |
| БфКО13 | Взаимодействие с БКИ (ФЛ) |
| БфКО14 | Управление лимитами (ФЛ) |
| БфКО15 | CRM (мидл-офис) |
| БфКО16 | AML/FATCA/CRS (ФЛ) |
| БфКО17 | Кредитный скоринг (ФЛ) |
| БфКО18 | Расчет ПДН ФЛ (мидл-офис) |
| БфКО19 | Кредитование ФЛ (бэк-офис) |
| БфКО20 | Расчет ПДН ФЛ (бэк-офис) |
| БфКО21 | Операции заемщиков, вкладчиков и держателей ПК (ФЛ) |
| БфКО22 | Платежи и переводы ФЛ |
| БфКО23 | Расчеты (ФЛ) |
| БфКО24 | Расчетный центр (ФЛ) |
| БфКО25 | Интернет-банкинг ЮЛ |
| БфКО26 | Мобильный банкинг ЮЛ |
| БфКО27 | Мобильный офис клиента (ЮЛ) |
| БфКО28 | Кредитование ЮЛ (фронт-офис) |
| БфКО29 | Клиентская конверсия |
| БфКО30 | Конвертация валют для ЮЛ |
| БфКО31 | Банковские карты для ЮЛ |
| БфКО32 | Лизинг |
| БфКО33 | Обслуживание заемщиков, вкладчиков и держателей ПК (ЮЛ) |
| БфКО34 | Расчетно-кассовое обслуживание ЮЛ |
| БфКО35 | Клиент-банк |
| БфКО36 | Эквайринг |
| БфКО37 | Аккредитивы |
| БфКО38 | Факторинг |
| БфКО39 | Сопровождение сделок ЮЛ |
| БфКО40 | Кредитный конвейер (ЮЛ) |
| БфКО41 | AML/CRS (ЮЛ) |
| БфКО42 | Взаимодействие с БКИ (ЮЛ) |
| БфКО43 | Кредитный скоринг (ЮЛ) |
| БфКО44 | Управление лимитами (ЮЛ) |
| БфКО45 | Расчет ПДН ЮЛ (мидл-офис) |
| БфКО46 | Кредитование ЮЛ (бэк-офис) |
| БфКО47 | Платежи и переводы ЮЛ |
| БфКО48 | Расчет ПДН ЮЛ (бэк-офис) |
| БфКО49 | Расчеты (ЮЛ) |
| БфКО50 | Операции заемщиков, вкладчиков и держателей ПК (ЮЛ) |
| БфКО51 | Расчетный центр (ЮЛ) |
| БфКО52 | Инвест-банкинг |
| БфКО53 | Монитор платежной позиции (инвест-банкинг) |
| БфКО54 | Обеспечение инвест-банкинга |
| БфКО55 | Управление лимитами (инвест-банкинг) |
| БфКО56 | Конвертация валют (инвест-банкинг) |
| БфКО57 | Финансовые активы и обязательства |
| БфКО58 | Кадры |
| БфКО59 | Управление рисками и комплаенс |
| БфКО60 | Корпоративное управление |
| БфКО61 | Информационная безопасность |
| БфКО62 | IT-инфраструктура |
| БфКО63 | Управленческая отчетность |
| БфКО64 | Отчетность МСФО |
| БфКО65 | Обязательная отчетность ЦБ |
| БфКО66 | Аналитическая отчетность |
| БфКО67 | Бухгалтерский учет |
| БфКО68 | Налоговый учет |
| БфКО69 | Административно-хозяйственная деятельность |
| Негосударственные пенсионные фонды | |
| БфНПФ1 | Негосударственное пенсионное обеспечение (НПО) (фронт-офис) |
| БфНПФ2 | Обязательное пенсионное страхование (ОПС) (фронт-офис) |
| БфНПФ3 | Личный интернет-кабинет и сайт (фронт-офис) |
| БфНПФ4 | CRM (фронт-офис) |
| БфНПФ5 | Негосударственное пенсионное обеспечение (НПО) (мидл-офис) |
| БфНПФ6 | Обязательное пенсионное страхование (ОПС) (мидл-офис) |
| БфНПФ7 | Личный интернет-кабинет и сайт (мидл-офис) |
| БфНПФ8 | CRM (мидл-офис) |
| БфНПФ9 | Назначение и выплата выкупных сумм правопреемникам (наследникам) по договорам ОПС |
| БфНПФ10 | Расчет и выплата (перевод в другой НПФ) выкупной суммы или расторжение договора НПО и определение суммы НДФЛ |
| БфНПФ11 | Учет движения средств пенсионных резервов |
| БфНПФ12 | Назначение и выплата пенсионных накоплений застрахованным лицам по договорам ОПС |
| БфНПФ13 | Работа с обращениями и контроль качества предоставляемого сервиса клиентам |
| БфНПФ14 | Назначение и выплата негосударственной пенсии по договорам НПО |
| БфНПФ15 | Закрытие договора с одновременным определением размера средства ПН, подлежащих переводу / Распоряжения о закрытии договора |
| БфНПФ16 | Негосударственное пенсионное обеспечение (НПО) (административное управление) |
| БфНПФ17 | Назначение и выплата негосударственной пенсии по договорам НПО |
| БфНПФ18 | Назначение и выплата выкупных сумм вкладчикам (ЮЛ) по договорам НПО |
| БфНПФ19 | Сопровождение договоров с партнерами |
| БфНПФ20 | Информационное сопровождение операций по постпродажному обслуживанию |
| БфНПФ21 | Расчет и выплата (перевод в другой НПФ) выкупной суммы при расторжении договора НПО и определение суммы НДФЛ |
| БфНПФ22 | Доверительное управление пенсионными накоплениями (ПН) и пенсионными резервами (ПР) |
| БфНПФ23 | Лицевые счета |
| БфНПФ24 | Система электронного документооборота |
| БфНПФ25 | Платежные документы |
| БфНПФ26 | Передача средств пенсионных резервов управляющей организации |
| БфНПФ27 | Размещение средств пенсионных резервов |
| БфНПФ28 | Движение денежных средств по расчетным брокерским и депозитным счетам Фонда |
| БфНПФ29 | Отчет о результатах деятельности Фонда (ежедневный) |
| БфНПФ30 | Вывод средств пенсионных резервов и собственных средств Фонда из доверительного управления |
| БфНПФ31 | Доверительное управление ПР |
| БфНПФ32 | Самостоятельное размещение ПР |
| БфНПФ33 | Аутентификация и идентификация клиентов |
| БфНПФ34 | Формирование финансовых реестров для передачи средства ПН в НПФ (СФР) и реестра документов для формирования платежных поручений |
| БфНПФ35 | Закрытие договора с одновременным определением размера средства ПН, подлежащих переводу |
| БфНПФ36 | Получение и загрузка Уведомления о внесении изменений в ЕРЗЛ |
| БфНПФ37 | Передача реестра документов для формирования платежных поручений в отдел бухгалтерии |
| БфНПФ38 | Передача созданных финансовых реестров в другие НПФ и СФР |
| БфНПФ39 | Персонифицированный учет средств пенсионных накоплений (ПН) |
| БфНПФ40 | Надзорная отчетность |
| БфНПФ41 | Операционная отчетность |
| БфНПФ42 | Расчет и начисление на пенсионные счета дохода от размещения средств пенсионных резервов |
| БфНПФ43 | Расчет прогноза пенсионных выплат |
| БфНПФ44 | Финансы и обязательная отчетность |
| БфНПФ45 | Бухгалтерский учет |
| БфНПФ46 | Налоговый учет |
| БфНПФ47 | Административно-хозяйственная деятельность |
| БфНПФ48 | IT/Платформа |
| БфНПФ49 | Проведение актуарного оценивания |
| БфНПФ50 | Управление собственными средствами |
| БфНПФ51 | Аутентификация и идентификация клиентов |
| БфНПФ52 | Управление стратегией инвестирования пенсионных активов и взаимодействие с ДУ |
| БфНПФ53 | Информационная безопасность |
| БфНПФ54 | Управление рисками и комплаенс |
| БфНПФ55 | Кадры |
| БфНПФ56 | Управление ПОД/ФТ и ФРОМ |
| БфНПФ57 | Внутренний контроль |
| БфНПФ58 | Управление процессами |
| БфНПФ59 | Документооборот |
| БфНПФ60 | Управленческая отчетность |
| БфНПФ61 | Обязательная отчетность ЦБ |
| БфНПФ62 | Аналитическая отчетность |
| БфНПФ63 | IT-инфраструктура |
| Страховые организации | |
| БфСК1 | Агентский канал |
| БфСК2 | Офисный канал |
| БфСК3 | Цифровой канал |
| БфСК4 | Партнерский канал |
| БфСК5 | Заключение договоров страхования |
| БфСК6 | Сопровождение договоров страхования (фронт-офис) |
| БфСК7 | CRM |
| БфСК8 | Котировка |
| БфСК9 | Андеррайтинг |
| БфСК10 | Сопровождение договоров страхования (мидл-офис) |
| БфСК11 | Маркетинг |
| БфСК12 | Взаимодействие с партнерами (ЛПУ, ассистансы, СТОА, сервисные провайдеры) |
| БфСК13 | Разработка новых продуктов, услуг |
| БфСК14 | Перестрахование и сострахование |
| БфСК15 | Управление проблемными активами и судебными процессами |
| БфСК16 | Урегулирование убытков |
| БфСК17 | Управление БСО |
| БфСК18 | Учет договоров страхования |
| БфСК19 | Управление взаимоотношениями с агентами/партнерами (агентские договоры, расчет и выплата комиссий) |
| БфСК20 | Планирование и контроль продаж |
| БфСК21 | Управление имуществом и АХД |
| БфСК22 | Управленческая отчетность |
| БфСК23 | Аналитическая отчетность |
| БфСК24 | Отчетность МСФО |
| БфСК25 | Надзорная отчетность |
| БфСК26 | Бухгалтерский учет |
| БфСК27 | Налоговый учет |
| БфСК28 | Учет ПКД (первичной документации) / Архив |
| БфСК29 | Планирование и контроль исполнения бюджетов |
| БфСК30 | Казначейство |
| БфСК31 | Документооборот |
| БфСК32 | Управление инвестициями |
| БфСК33 | Информационная безопасность |
| БфСК34 | IT-инфраструктура |
| БфСК35 | Кадры |
| БфСК36 | Управление рисками и комплаенс |
| БфСК37 | Обязательная отчетность ЦБ |
| БфСК38 | Административно-хозяйственная деятельность |
| Некредитные финансовые организации, осуществляющие деятельность организатора торговли, центрального депозитария, клиринговую деятельность и деятельность по осуществлению функций центрального контрагента | |
| БфИФР1 | Предоставление Участниками клиринга ценных бумаг/денежных средств, необходимых для исполнения обязательств, возникших из Договоров c наступившими Датами исполнения (каналы) |
| БфИФР2 | Дистанционное клиринговое обслуживание |
| БфИФР3 | Направление поручения на зачисление, перевод, списание ценных бумаг, являющегося клиринговым обеспечением ИКО (каналы) |
| БфИФР4 | Направление поручения на возврат денежных средств, являющегося клиринговым обеспечением ИКО (каналы) |
| БфИФР5 | Прием и обработка зачислений/выводов денежных средств в Гарантийный фонд (ККО) (каналы) |
| БфИФР6 | Зачисление, перевод денежных средств, являющихся клиринговым обеспечением ИКО (каналы) |
| БфИФР7 | Определение обязательств |
| БфИФР8 | Регистрация клиентов |
| БфИФР9 | Направление поручения на зачисление, перевод, списание ценных бумаг, являющегося клиринговым обеспечением ИКО (фронт-офис) |
| БфИФР10 | Депозитарная деятельность, включая деятельность центрального депозитария (фронт-офис) |
| БфИФР11 | Направление поручения на возврат денежных средств, являющегося клиринговым обеспечением ИКО (фронт-офис) |
| БфИФР12 | Прием и обработка зачислений/выводов денежных средств в Гарантийный фонд (ККО) (фронт-офис) |
| БфИФР13 | Зачисление, перевод денежных средств, являющихся клиринговым обеспечением ИКО (фронт-офис) |
| БфИФР14 | Депозитарная деятельность, включая деятельность центрального депозитария (мидл-офис) |
| БфИФР15 | Направление поручения на зачисление, перевод, списание ценных бумаг, являющегося клиринговым обеспечением ИКО (мидл-офис) |
| БфИФР16 | Направление поручения на возврат денежных средств, являющегося клиринговым обеспечением ИКО (мидл-офис) |
| БфИФР17 | Прием и обработка зачислений/выводов денежных средств в Гарантийный фонд (ККО) (мидл-офис) |
| БфИФР18 | Зачисление, перевод денежных средств, являющихся клиринговым обеспечением ИКО (мидл-офис) |
| БфИФР19 | Формирование клирингового пула по договорам, заключаемым с участием и без участия Центрального контрагента |
| БфИФР20 | Предоставление Участниками клиринга ценных бумаг/денежных средств, необходимых для исполнения обязательств, возникших из Договоров c наступившими Датами исполнения (бэк-офис) |
| БфИФР21 | Определение итоговых нетто-обязательств и нетто-требований по обязательствам, возникшим из Договоров c наступившими Датами исполнения |
| БфИФР22 | Определение итоговых нетто-обязательств и нетто-требований по денежным средствам |
| БфИФР23 | Учет сделок ЦК и исполнение обязательств |
| БфИФР24 | Направление поручения на зачисление, перевод, списание ценных бумаг, являющегося клиринговым обеспечением ИКО (бэк-офис) |
| БфИФР25 | Главная книга |
| БфИФР26 | Направление поручения на возврат денежных средств, являющегося клиринговым обеспечением ИКО (бэк-офис) |
| БфИФР27 | Проведение расчетов по итоговым нетто-обязательствам и нетто-требованиям, определенным по обязательствам, возникшим из Договоров c наступившими Датами исполнения по всем сформированным клиринговым пулам |
| БфИФР28 | Ведение реестра внебиржевых договоров (бэк-офис) |
| БфИФР29 | Прием и обработка зачислений/выводов денежных средств в Гарантийный фонд (ККО) (бэк-офис) |
| БфИФР30 | Зачисление, перевод денежных средств, являющихся клиринговым обеспечением ИКО (бэк-офис) |
| БфИФР31 | Организация торгов (аналитика и отчетность) |
| БфИФР32 | Определение подлежащих исполнению обязательств |
| БфИФР33 | Совершение действий, направленных на исполнение подлежащих исполнению обязательств |
| БфИФР34 | Раскрытие информации |
| БфИФР35 | Направление поручения на возврат имущества, являющегося клиринговым обеспечением |
| БфИФР36 | Организация торгов (экономика и финансы) |
| БфИФР37 | Ведение реестра участников торгов и их клиентов |
| БфИФР38 | Ведение реестра заявок |
| БфИФР39 | Ведение реестра заключенных на организованных торгах договоров |
| БфИФР40 | Ведение реестра внебиржевых договоров (экономика и финансы) |
| БфИФР41 | Информационная безопасность |
| БфИФР42 | Документооборот |
| БфИФР43 | Финансовые активы и обязательства |
| БфИФР44 | Управление рисками и комплаенс |
| БфИФР45 | Кадры |
| БфИФР46 | IT-инфраструктура |
| БфИФР47 | Управленческая отчетность |
| БфИФР48 | Обязательная отчетность ЦБ |
| БфИФР49 | Аналитическая отчетность |
| БфИФР50 | Бухгалтерский учет |
| БфИФР51 | Налоговый учет |
| БфИФР52 | Административно-хозяйственная деятельность |
| Иная бизнес-функция | |
| БфФО99 | Иная бизнес-функция |
Список используемых сокращений:
ФЛ - физическое лицо
ЮЛ - юридическое лицо
ПК - пластиковая карта
CRM - управление взаимоотношениями с клиентами
KYC - знай своего клиента
ЦБ - Центральный банк Российской Федерации
AML - противодействие отмыванию денег
FATCA - закон о налогообложении иностранных счетов
CRS - единый стандарт отчетности
БКИ - бюро кредитных историй
ПДН - показатель долговой нагрузки
МСФО - международные стандарты финансовой отчетности
НПО - негосударственное пенсионное обеспечение
ОПС - обязательное пенсионное страхование
ПН - пенсионные накопления
ПР - пенсионные резервы
НПФ - негосударственный пенсионный фонд
СФР - Социальный фонд России
ЕРЗЛ - единый регистр застрахованных лиц
ДУ - доверительный управляющий
ПОД/ФТ и ФРОМ - предупреждение легализации (отмывания) доходов, полученных преступным путем, финансирования терроризма и финансирования распространения оружия массового уничтожения
ЛПУ - лечебно-профилактические учреждения
СТОА - станция технического обслуживания автомобилей
БСО - бланк строгой отчетности
АХД - анализ хозяйственной деятельности
ПКД - процентный купонный доход/пенсионный капитал
ИКО - индивидуальное клиринговое обеспечение
ККО - коллективное клиринговое обеспечение
ЦК - центральный контрагент
Приложение 3
к Методическим рекомендациям
по описанию наименований объектов
информационной инфраструктуры
Примеры компаний разработчиков и их ИТ-продуктов
| Наименование (доменное имя) разработчика ИТ-продукта | Наименование ИТ-продукта |
|---|---|
| apache | Tomcat |
| avaya | Elite Multichannel |
| canonical | Ubuntu |
| cisco | ASR1001-X |
| cisco | C93180YC-FX |
| dell | PowerEdge R630 |
| dell | XC6320-6 |
| elastic | ElasticSearch |
| hpe | ProLiant DL 380e |
| hpe | HP-UX |
| hitachi | HNAS 4080 |
| hitachi | VSP G700 |
| jetbrains | DataGrip |
| microsoft | Windows 10 |
| microsoft | Windows Server 2019 |
| microsoft | SQL Server 2016 |
| centos | Centos |
| oracle | Database |
| paloaltonetworks | PA-5220 |
| redhat | Red Hat Enterprise Linux |
| vmware | ESXi |
| 1c | 1С: Предприятие |
| cryptopro | CSP |
Приложение 4
к Методическим рекомендациям
по описанию наименований объектов
информационной инфраструктуры
Примеры лицензий свободного программного обеспечения (Open Source)
| Наименование свободного программного обеспечения | Наименование лицензии |
|---|---|
| Ansible | GPLv3 |
| Cassandra | Apache License 2.0 |
| ActiveMQ | Apache License 2.0 |
| Tomcat | Apache License 2.0 |
| Hadoop | Apache License 2.0 |
| Zookeper | Apache License 2.0 |
| Spark | Apache License 2.0 |
| CentOS | GPLv2 |
| Kubernetes | Apache License 2.0 |
| Prometheus | Apache License 2.0 |
| Docker | Apache License 2.0 |
| ElasticSearch | Server Side Public License |
| Kibana | Apache License 2.0 |
| Enterprise Data Hub | Apache License 2.0 |
| LogStash | Apache License 2.0 |
| Gitlab | MIT License |
| AngularJS | MIT License |
| Grafana | AGPLv3 |
| Greenplum Database | Apache License 2.0 |
| Istio | Apache License 2.0 |
| RabbitMQ | Mozilla Public License |
| Jenkins | MIT License |
| MongoDB | Server Side Public License |
| MariaDB | GPLv2 |
| MySQL | GPLv2 |
| ClickHouse | Apache License 2.0 |
| Zabbix | GPLv2 |
| PostgreSQL | PostgreSQL License |
| FreeBSD | 2-clouse BSD |
Приложение 5
к Методическим рекомендациям
по описанию наименований объектов
информационной инфраструктуры
Примеры лицензий свободного программного обеспечения (Open Source) и типов этих лицензий
| Наименование лицензии | Тип лицензии | Код |
|---|---|---|
| 2-clouse BSD | Permissive (разрешительные) | Лиц1 |
| 3-clouse BSD | Permissive (разрешительные) | Лиц1 |
| MIT License | Permissive (разрешительные) | Лиц1 |
| Apache License 2.0 | Permissive (разрешительные) | Лиц1 |
| ISC license | Permissive (разрешительные) | Лиц1 |
| LGPLv3 | Weak Copyleft (условный копилефт) | Лиц2 |
| LGPLv2.1 | Weak Copyleft (условный копилефт) | Лиц2 |
| Mozilla Public License 1.1 | Weak Copyleft (условный копилефт) | Лиц2 |
| SUN Public Licensee 1.0 | Weak Copyleft (условный копилефт) | Лиц2 |
| GPLv2 | Copyleft (копилефт) | Лиц3 |
| GPLv3 | Copyleft (копилефт) | Лиц3 |
| AGPLv3 | Copyleft (копилефт) | Лиц3 |
| Eclipse Public License | Copyleft (копилефт) | Лиц3 |
| IBM Public License | Copyleft (копилефт) | Лиц3 |
| Server Side Public License | Copyleft (копилефт) | Лиц3 |
| Open Software License | Copyleft (копилефт) | Лиц3 |
Обзор документа
Банк России разработал рекомендации по описанию наименований объектов информационной инфраструктуры. Это необходимо для представления сведений о выявленных инцидентах операционной надежности, а также для заполнения в отчетности графы "Наименование объекта информационной инфраструктуры", группы аналитических признаков "Наименование объекта информатизации" и показателя "Информация об автоматизированных системах и приложениях". Помимо прочего, дана расшифровка указываемых атрибутов.
