Проект Положения Банка России “Об обязательных для кредитных организаций, иностранных банков, осуществляющих деятельность на территории Российской Федерации через свои филиалы, требованиях к операционной надежности при осуществлении банковской деятельности в целях обеспечения непрерывности оказания банковских услуг” (по состоянию на 3 октября 2024 г.)

Настоящее Положение на основании статьи 575 Федерального закона от 10 июля 2002 года № 86-ФЗ «О Центральном банке Российской Федерации (Банке России)»1 устанавливает обязательные для кредитных организаций, иностранных банков, осуществляющих деятельность на территории Российской Федерации через свои филиалы, требования к операционной надежности при осуществлении банковской деятельности в целях обеспечения непрерывности оказания банковских услуг.

1. Кредитные организации, за исключением центрального контрагента в значении, установленном пунктом 17 статьи 2 Федерального закона от 7 февраля 2011 года № 7-ФЗ «О клиринге, клиринговой деятельности и центральном контрагенте», и центрального депозитария в значении, установленном в статье 2 Федерального закона от 7 декабря 2011 года № 414-ФЗ «О центральном депозитарии» (далее - кредитные организации), иностранные банки, осуществляющие деятельность на территории Российской Федерации через свои филиалы (далее - филиалы иностранных банков), должны обеспечить операционную надежность при осуществлении банковской деятельности с использованием автоматизированных систем, программного обеспечения, средств вычислительной техники, телекоммуникационного оборудования (далее - объекты информационной инфраструктуры) путем обеспечения непрерывности выполнения технологических процессов, указанных в приложении 1 к настоящему Положению (далее - технологические процессы), с соблюдением порогового уровня допустимого времени простоя и (или) нарушения технологических процессов, приводящих к неоказанию или ненадлежащему оказанию банковских услуг (далее - пороговый уровень допустимого времени простоя и (или) деградации технологических процессов кредитных организаций, филиалов иностранных банков) при: возникновении отказов и (или) нарушений функционирования объектов информационной инфраструктуры и (или) несоответствии их функциональных возможностей и характеристик потребностям кредитных организаций, филиалов иностранных банков (далее - сбои объектов информационной инфраструктуры);

реализации киберриска, предусмотренного абзацем вторым пункта 7.2 Положения Банка России от 8 апреля 2020 года № 716-П «О требованиях к системе управления операционным риском в кредитной организации и банковской группе»2 (далее - Положение Банка России № 716-П);

реализации риска преднамеренных действий со стороны работников филиалов иностранных банков и (или) третьих лиц с использованием программных и (или) программно-аппаратных средств, направленных на объекты информационной инфраструктуры филиала иностранного банка в целях нарушения и (или) прекращения их функционирования и (или) создания угрозы безопасности информации, подготавливаемой, обрабатываемой и хранимой такими объектами, а также в целях несанкционированного присвоения, хищения, изменения, удаления данных и иной информации (структуры данных, параметров и характеристик систем, программного кода) и нарушения режима доступа.

Кредитные организации должны выполнять установленные настоящим Положением требования к операционной надежности при осуществлении банковской деятельности в целях обеспечения непрерывности оказания банковских услуг (далее - требования к операционной надежности) с учетом требований к системе управления операционным риском, установленных Положением Банка России № 716-П.

2. Кредитные организации, филиалы иностранных банков в рамках обеспечения операционной надежности должны обеспечить непревышение предусмотренных приложением 1 к настоящему Положению значений порогового уровня допустимого времени простоя и (или) деградации технологических процессов кредитных организаций, филиалов иностранных банков.

Кредитные организации, признанные значимыми на рынке платежных услуг в соответствии с абзацем 6 пункта 2 Указания Банка России от 6 ноября 2014 года № 3439-У «О порядке признания Банком России кредитных организаций значимыми на рынке платежных услуг»3 (далее - Указание Банка России № 3439-У), должны обеспечить непревышение предусмотренных приложением 1 к настоящему Положению значений порогового уровня допустимого времени простоя и (или) деградации технологических процессов кредитных организаций для кредитных организаций, признанных значимыми на рынке платежных услуг в соответствии Указанием Банка России № 3439-У, не позднее шести месяцев после того, как были признаны кредитными организациями, значимыми на рынке платежных услуг, в соответствии Указанием Банка России № 3439-У.

Кредитные организации, филиалы иностранных банков ежеквартально должны определять во внутренних документах для каждого технологического процесса планируемую продолжительность времени работы (функционирования) технологических процессов в течение следующего квартала.

При определении планируемой продолжительности времени работы (функционирования) технологических процессов в расчет не включаются периоды времени плановых технологических операций, связанных с приостановлением (частичным приостановлением) технологических процессов и проводимых в соответствии с внутренними документами кредитных организаций, филиалов иностранных банков.

3. Кредитные организации с учетом требований главы 5 Положения Банка России № 716-П должны установить во внутренних документах для каждого технологического процесса и соблюдать сигнальные и контрольные значения, предусмотренные пунктом 5.1 Положения Банка России № 716-П, для следующих контрольных показателей уровня операционного риска для целей обеспечения операционной надежности (далее - контрольные показатели операционной надежности):

допустимого отношения общего количества банковских операций и иных операций, осуществляемых в рамках технологического процесса, совершенных во время нарушений технологических процессов, приводящих к неоказанию или ненадлежащему оказанию банковских услуг (далее - деградация технологического процесса), в рамках события операционного риска или серии связанных событий операционного риска, вызванных информационными угрозами и (или) сбоями объектов информационной инфраструктуры, которые привели к неоказанию или ненадлежащему оказанию банковских услуг (далее - инцидент операционной надежности), к ожидаемому количеству банковских операций и иных операций, осуществляемых в рамках технологических процессов, за тот же период в случае непрерывного оказания банковских услуг, установленного кредитной организацией (далее - допустимая доля деградации технологического процесса);

допустимого времени простоя и (или) деградации технологических процессов кредитных организаций в рамках инцидента операционной надежности (в случае несоблюдения сигнального значения допустимой доли деградации технологического процесса);

допустимого суммарного времени простоя и (или) деградации технологического процесса кредитных организаций (в случае несоблюдения сигнального значения допустимой доли деградации технологического процесса) в течение очередного календарного года.

Сигнальное и контрольное значения допустимой доли деградации технологического процесса должны устанавливаться кредитной организацией на основании статистических данных за период не менее двенадцати календарных месяцев, предшествующих дате определения сигнального и контрольного значений контрольного показателя операционной надежности, за исключением случая, предусмотренного абзацем седьмым настоящего пункта, и (или) иных данных, обосновывающих установление указанных значений допустимой доли деградации технологического процесса (по выбору кредитных организаций).

В случае если технологический процесс функционирует менее двенадцати календарных месяцев, кредитные организации должны устанавливать сигнальное и контрольное значения допустимой доли деградации технологического процесса на основании статистических данных за период с даты начала его функционирования и (или) иных данных, обосновывающих установление указанных значений допустимой доли деградации технологического процесса (по выбору кредитных организаций).

При установлении сигнального и контрольного значений допустимой доли деградации технологического процесса кредитные организации должны установить сигнальное и контрольное значения не ниже значений, предусмотренных приложением 2 к настоящему Положению.

Контрольное значение контрольного показателя операционной надежности, указанного в абзаце третьем настоящего пункта, устанавливается кредитными организациями не выше значений, предусмотренных приложением 1 к настоящему Положению.

Кредитные организации, признанные значимыми на рынке платежных услуг в соответствии с абзацем шестым пункта 2 Указания Банка России № 3439-У, должны обеспечить установление и соблюдение предусмотренных приложением 2 к настоящему Положению сигнальных и контрольных значений допустимой доли деградации технологических процессов кредитных организаций для кредитных организаций, признанных значимыми на рынке платежных услуг в соответствии Указанием Банка России № 3439- У, не позднее шести месяцев после того, как были признаны кредитными организациями, значимыми на рынке платежных услуг, в соответствии Указанием Банка России № 3439-У.

4. В случаях несоблюдения в течение временного периода более пяти минут сигнального значения допустимой доли деградации технологических процессов кредитные организации должны обеспечить фиксацию:

фактического времени простоя и (или) деградации технологического процесса, исчисляемого по каждому инциденту операционной надежности (с момента нарушения технологического процесса, приводящего к неоказанию или ненадлежащему оказанию банковских услуг, в связи с возникновением события или серии связанных событий, вызванных информационными угрозами и (или) сбоями объектов информационной инфраструктуры, до момента восстановления технологического процесса);

фактической доли деградации технологического процесса в рамках отдельного инцидента операционной надежности;

суммарного времени простоя и (или) деградации технологического процесса за последние двенадцать календарных месяцев.

В случаях простоя технологических процессов филиалов иностранных банков в течение временного периода, превышающего значения порогового уровня допустимого времени простоя и (или) деградации технологических процессов, предусмотренных приложением 1 к настоящему Положению, филиалы иностранных банков должны обеспечить фиксацию фактического времени простоя технологического процесса (с момента нарушения технологического процесса, приводящего к неоказанию банковских услуг, в связи с возникновением события или серии связанных событий, вызванных информационными угрозами и (или) сбоями объектов информационной инфраструктуры, до момента восстановления технологического процесса).

При определении времени простоя и (или) деградации технологических процессов в расчет не включаются периоды времени плановых технологических операций, связанных с приостановлением (частичным приостановлением) технологических процессов и проводимых в соответствии с внутренними документами кредитных организаций, филиалов иностранных банков.

5. Кредитные организации должны не реже одного раза в год проводить анализ необходимости пересмотра значений контрольных показателей операционной надежности.

6. Кредитные организации с учетом требований к управлению риском информационной безопасности и риском информационных систем,

определенных главами 7 и 8 Положения Банка России № 716-П, филиалы иностранных банков должны разработать во внутренних документах и выполнять требования к операционной надежности, которые включают в себя:

требования к порядку определения значений контрольных показателей операционной надежности и обеспечению контроля за их соблюдением;

требования к идентификации состава элементов, указанных в подпункте 6.1 настоящего пункта;

требования к управлению изменениями элементов, указанных в подпункте 6.1 настоящего пункта;

требования к выявлению, регистрации инцидентов операционной надежности и реагированию на них, а также восстановлению выполнения технологических процессов и функционирования объектов информационной инфраструктуры после реализации указанных инцидентов;

требования к взаимодействию с третьими лицами (внешними подрядчиками, контрагентами, участниками банковской группы), оказывающими услуги в сфере информационных технологий, связанные с выполнением технологических процессов (далее - поставщики услуг в сфере информационных технологий);

требования к тестированию операционной надежности технологических процессов;

требования к принятию мер, направленных на нейтрализацию информационных угроз, обусловленных несанкционированным доступом к объектам информационной инфраструктуры работников кредитных организаций, филиалов иностранных банков или работников поставщиков услуг в сфере информационных технологий, обладающих полномочиями доступа к объектам информационной инфраструктуры (далее - внутренний нарушитель);

требования к обеспечению осведомленности кредитных организаций,

филиалов иностранных банков об актуальных информационных угрозах, которые могут привести к инцидентам операционной надежности.

6.1. Кредитные организации, филиалы иностранных банков должны обеспечивать организацию учета и контроля состава следующих элементов (далее при совместном упоминании - критичная архитектура):

технологических процессов, реализуемых непосредственно кредитными организациями, филиалами иностранных банков;

подразделений (работников) кредитных организаций, филиалов иностранных банков, ответственных за разработку технологических процессов, поддержание их выполнения, реализацию технологических процессов (далее - подразделения кредитных организаций, филиалов иностранных банков);

объектов информационной инфраструктуры кредитных организаций, филиалов иностранных банков, задействованных при выполнении каждого технологического процесса;

технологических участков, предусмотренных нормативным актом Банка России, принятым на основании статьи 574 Федерального закона от 10 июля 2002 года № 86-ФЗ «О Центральном банке Российской Федерации (Банке России)», в рамках технологических процессов (далее - технологические участки технологических процессов), реализуемых непосредственно кредитными организациями, филиалами иностранных банков;

технологических процессов, технологических участков

технологических процессов, реализуемых поставщиками услуг в сфере информационных технологий;

работников кредитных организаций, филиалов иностранных банков или иных лиц, осуществляющих физический и (или) логический доступ, или программных сервисов, осуществляющих логический доступ к объектам информационной инфраструктуры (далее - субъекты доступа), задействованных при выполнении каждого технологического процесса;

взаимосвязей и взаимозависимостей кредитных организаций, филиалов иностранных банков с иными кредитными организациями, филиалами иностранных банков, некредитными финансовыми организациями, поставщиками услуг в сфере информационных технологий в рамках выполнения технологических процессов (далее при совместном упоминании - участники технологического процесса);

каналов передачи защищаемой информации, перечень которой установлен нормативным актом Банка России, принятым на основании статьи 574 Федерального закона от 10 июля 2002 года № 86-ФЗ «О Центральном банке Российской Федерации (Банке России)», обрабатываемой и передаваемой в рамках технологических процессов участниками технологического процесса.

В целях организации учета и контроля состава технологических процессов, технологических участков технологических процессов, реализуемых поставщиками услуг в сфере информационных технологий, кредитные организации, филиалы иностранных банков должны вести отдельный реестр в соответствии с внутренними документами.

Кредитные организации в отношении элементов, указанных в подпункте 6.1 настоящего пункта, являющихся значимыми объектами критической информационной инфраструктуры в соответствии с пунктом 3 статьи 2 Федерального закона № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»4 (далее - Федеральный закон № 187-ФЗ), должны выполнять требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры, установленные в соответствии с пунктом 4 части 3 статьи 6 Федерального закона № 187-ФЗ5.

6.2. Кредитные организации, филиалы иностранных банков должны обеспечивать выполнение следующих требований к управлению изменениями критичной архитектуры:

организацию и выполнение процедур управления изменениями в критичной архитектуре, включая планирование и внедрение изменений в критичной архитектуре, направленных на обеспечение недопустимости неоказания или ненадлежащего оказания банковских услуг;

управление конфигурациями (настраиваемыми параметрами) объектов информационной инфраструктуры;

управление уязвимостями и обновлениями (исправлениями) объектов информационной инфраструктуры.

6.3. Кредитные организации, филиалы иностранных банков должны обеспечивать выполнение следующих требований к выявлению, регистрации инцидентов операционной надежности и реагированию на них, а также восстановлению выполнения технологических процессов и функционирования объектов информационной инфраструктуры после реализации таких инцидентов:

выявление и регистрация инцидентов операционной надежности;

реагирование на инциденты операционной надежности в отношении критичной архитектуры;

восстановление функционирования технологических процессов и объектов информационной инфраструктуры после реализации инцидентов операционной надежности;

проведение анализа причин и последствий реализации инцидентов операционной надежности;

организация взаимодействия между подразделениями кредитных организаций, филиалов иностранных банков, а также между кредитными организациями, филиалами иностранных банков и Банком России, иными участниками технологического процесса в рамках реагирования на инциденты операционной надежности и восстановления выполнения технологических процессов и функционирования объектов информационной инфраструктуры после реализации инцидентов операционной надежности.

6.4. Кредитные организации, филиалы иностранных банков должны обеспечивать выполнение следующих требований к взаимодействию с поставщиками услуг в сфере информационных технологий:

принятие мер, направленных на нейтрализацию информационных угроз, связанных с привлечением поставщиков услуг в сфере информационных технологий, в том числе защита объектов информационной инфраструктуры от возможной реализации информационных угроз со стороны поставщиков услуг в сфере информационных технологий;

принятие мер, направленных на нейтрализацию информационных угроз, обусловленных технологической зависимостью функционирования объектов информационной инфраструктуры кредитных организаций, филиалов иностранных банков от поставщиков услуг в сфере информационных технологий.

6.5. Кредитные организации с учетом требований подпункта 2.1.5 пункта 2.1 Положения Банка России № 716-П, филиалы иностранных банков в части тестирования операционной надежности технологических процессов должны принимать организационные и технические меры, направленные на проведение сценарного анализа (в части возможной реализации информационных угроз в отношении критичной архитектуры, а также возникновения сбоев объектов информационной инфраструктуры), и проводить с использованием результатов сценарного анализа тестирование готовности кредитной организации, филиала иностранного банка противостоять реализации информационных угроз в отношении критичной архитектуры.

6.6. Кредитные организации, филиалы иностранных банков в части принятия мер, направленных на нейтрализацию угроз со стороны внутреннего нарушителя, разрабатывают и принимают организационные и технические меры в отношении субъектов доступа, привлекаемых в рамках выполнения технологических процессов, направленные на исключение возможности несанкционированного использования предоставленных указанным субъектам доступа полномочий.

6.7. Кредитные организации, филиалы иностранных банков должны обеспечивать выполнение следующих требований к обеспечению осведомленности об информационных угрозах:

организация взаимодействия кредитных организаций, филиалов иностранных банков и иных участников технологического процесса при обмене информацией об актуальных сценариях реализации информационных угроз;

использование информации об актуальных сценариях реализации информационных угроз в целях обеспечения непрерывного оказания банковских услуг.

7. Кредитные организации, филиалы иностранных банков должны обеспечить принятие мер, направленных на нейтрализацию угроз, в отношении зависимости обеспечения операционной надежности от работников кредитных организаций, филиалов иностранных банков, обладающих уникальными знаниями, опытом и компетенцией в области разработки технологических процессов, поддержания их выполнения, реализации технологических процессов, которые отсутствуют у иных работников указанной кредитной организации, филиала иностранного банка.

Кредитные организации, филиалы иностранных банков должны обеспечить защиту критичной архитектуры от возможной реализации информационных угроз в условиях дистанционной (удаленной) работы работников кредитных организаций, филиалов иностранных банков.

8. Кредитные организации, размер активов которых составляет 500 миллиардов рублей и более на начало текущего отчетного года в соответствии со значением статьи «Всего активов», определяемым в соответствии с Разработочной таблицей для составления бухгалтерского баланса (публикуемой формы) пункта 3 Порядка составления и представления отчетности по форме 0409806 «Бухгалтерский баланс (публикуемая форма)», установленного приложением 1 к Указанию Банка России от 10 апреля 2023 года № 6406-У «О формах, сроках, порядке составления и представления отчетности кредитных организаций (банковских групп) в Центральный банк Российской Федерации, а также о перечне информации о деятельности кредитных организаций (банковских групп)»6, и которые являются субъектами критической информационной инфраструктуры в соответствии с пунктом 8 статьи 2 Федерального закона № 187-ФЗ, должны выполнять требования, направленные на противодействие целевым компьютерным атакам в зависимости от уровня опасности, установленные федеральным органом исполнительной власти, уполномоченным в сфере обеспечения безопасности критической информационной инфраструктуры Российской Федерации.

9. Кредитные организации в целях обеспечения непрерывности оказания банковских услуг должны использовать прошедшие в Банке России с положительным результатом проверку возможности адаптации оборудования для обработки наличных денег без привлечения иностранных физических или юридических лиц, а также без передачи данных за пределы Российской Федерации (обладающих адаптационным суверенитетом и используемых кредитной организацией) счетно-сортировальные машины и автоматические устройства, конструкция которых предусматривает прием банкнот Банка России от клиентов для совершения операций с наличными деньгами (далее - счетно-сортировальные машины и автоматические устройства), информация о которых размещается на официальном сайте Банка России в информационно-телекоммуникационной сети «Интернет» в соответствии с абзацем третьим пункта 2.9 Положения Банка России от 29 января 2018 года № 630-П «О порядке ведения кассовых операций и правилах хранения, перевозки и инкассации банкнот и монеты Банка России в кредитных организациях на территории Российской Федерации»7.

Доля используемых кредитными организациями счетносортировальных машин и автоматических устройств должна быть не ниже значений, предусмотренных приложением 3 к настоящему Положению.

10. Кредитные организации с учетом подпунктов 4.1.2 - 4.1.4 пункта 4.1 Положения Банка России № 716-П, филиалы иностранных банков должны установить во внутренних документах описание процедур, направленных на реализацию требований к операционной надежности, включая:

определение и описание состава процедур, направленных на выполнение требований к операционной надежности;

определение перечня и порядка организационного взаимодействия подразделений кредитных организаций, филиалов иностранных банков, участвующих в соблюдении требований к операционной надежности, с учетом исключения конфликта интересов;

определение порядка осуществления контроля за соблюдением требований к операционной надежности в рамках системы внутреннего контроля;

выделение ресурсного обеспечения для выполнения требований к операционной надежности;

порядок утверждения и условия пересмотра процедур, направленных на выполнение требований к операционной надежности.

Кредитные организации должны обеспечить реализацию требований к операционной надежности, начиная с внедрения технологических процессов.

11. Кредитные организации с учетом глав 2 и 7 Положения Банка России № 716-П, филиалы иностранных банков в рамках обеспечения операционной надежности должны:

планировать применение организационных и технических мер, направленных на реализацию требований к операционной надежности;

обеспечивать реализацию требований к операционной надежности на стадиях создания, ввода в эксплуатацию, эксплуатации (использования по назначению, технического обслуживания и ремонта), модернизации, вывода из эксплуатации объектов информационной инфраструктуры;

обеспечивать контроль соблюдения требований к операционной надежности.

Кредитные организации должны включать в порядок ведения базы событий, предусмотренный пунктом 6.2 Положения Банка России № 716-П, регистрацию инцидентов операционной надежности.

Кредитные организации должны регистрировать инциденты операционной надежности с учетом требований к ведению базы событий, предусмотренных главой 6 Положения Банка России № 716-П.

Кредитные организации при определении в соответствии с пунктом 3.7 Положения Банка России № 716-П дополнительных типов событий операционного риска должны предусматривать во внутренних документах классификацию типов инцидентов операционной надежности с использованием перечня типов инцидентов операционной надежности, размещаемого Банком России на официальном сайте Банка России в информационно-телекоммуникационной сети «Интернет» (далее - сеть «Интернет»).

По каждому инциденту операционной надежности кредитные организации в дополнение к информации, указанной в пункте 6.6 Положения Банка России № 716-П, должны обеспечить регистрацию следующей информации:

данных, позволяющих выявить причину несоблюдения установленных сигнальных и контрольных значений контрольных показателей операционной надежности;

информации о принятых мерах и проведенных мероприятиях по реагированию на выявленный кредитными организациями или Банком России инцидент операционной надежности;

информации о результате восстановления технологического процесса.

Кредитные организации должны устанавливать во внутренних документах критерии шкалы качественных оценок и методику определения оценок для качественных потерь от реализации инцидентов операционной надежности в соответствии с подпунктом 3.13.2 пункта 3.13 Положения Банка России № 716-П, в случае если указанные потери не определяются в денежном выражении.

Филиалы иностранных банков должны установить во внутренних документах порядок фиксации случаев простоя технологических процессов филиалов иностранных банков в течение временного периода, превышающего значения порогового уровня допустимого времени простоя и (или) деградации технологических процессов, предусмотренных приложением 1 к настоящему Положению, предусматривающий регистрацию следующей информации:

информации о принятых мерах и проведенных мероприятиях по реагированию на выявленный филиалами иностранных банков или Банком России инцидент операционной надежности;

информации о результате восстановления технологического процесса.

12. Кредитные организации, филиалы иностранных банков в рамках обеспечения операционной надежности должны информировать Банк России:

о выявленных инцидентах операционной надежности (в случае превышения сигнального значения допустимой доли деградации технологических процессов) кредитных организаций, а также о принятых мерах и проведенных мероприятиях по реагированию на выявленный кредитными организациями или Банком России инцидент операционной надежности;

о выявленных случаях простоя технологических процессов филиалов иностранных банков в течение временного периода, превышающего значения порогового уровня допустимого времени простоя и (или) деградации технологических процессов, предусмотренных приложением 1 к настоящему Положению, а также принятых мерах и проведенных мероприятиях по реагированию на выявленный филиалами иностранных банков или Банком России указанный в настоящем абзаце случай простоя технологического процесса;

о планируемых мероприятиях по раскрытию информации, включая выпуск пресс-релизов и проведение пресс-конференций, размещение информации на своих официальных сайтах в сети «Интернет», в отношении указанных в абзаце втором, третьем настоящего пункта инцидентов операционной надежности и случаев простоя технологических процессов до проведения указанных мероприятий.

Кредитные организации, филиалы иностранных банков должны представлять в Банк России указанные в абзацах втором - четвертом настоящего пункта сведения с использованием технической инфраструктуры (автоматизированной системы) Банка России или резервного способа взаимодействия (при технической невозможности использования технической инфраструктуры (автоматизированной системы) Банка России), информация о которых размещается на официальном сайте Банка России в сети «Интернет».

13. Настоящее Положение в соответствии с решением Совета директоров Банка России (протокол заседания Совета директоров Банка России от ________ 202_ года № ПСД-______) вступает в силу по истечении 10 дней после дня его официального опубликования, за исключением положений, для которых настоящим пунктом установлены иные сроки вступления их в силу.

Абзац седьмой пункта 3 настоящего Положения вступает в силу с 1 октября 2025 года.

14. Со дня вступления в силу настоящего Положения признать утратившими силу:

Положение Банка России от 12 января 2022 года № 787-П «Об обязательных для кредитных организаций требованиях к операционной надежности при осуществлении банковской деятельности в целях обеспечения непрерывности оказания банковских услуг»8;

Подпункт 1.25 пункта 1 Указания Банка России от 6 октября 2023 года № 6569-У «О внесении изменений в отдельные нормативные акты Банка России по вопросам регулирования деятельности кредитных организаций (банковских групп)»9 10.

Председатель Центрального банка Российской Федерации

Э.С. Набиуллина

Приложение 1
к Положению Банка России от       202_ года № ___-П
«Об обязательных для кредитных организаций,
иностранных банков, осуществляющих деятельность
на территории Российской Федерации
через свои филиалы, требованиях к
операционной надежности при осуществлении
банковской деятельности в целях обеспечения
непрерывности оказания банковских услуг»

Пороговый уровень допустимого времени простоя и (или) деградации технологических процессов кредитных организаций, иностранных банков, осуществляющих деятельность на территории Российской Федерации через свои филиалы

№ п/п	Наименование технологического процесса	Пороговый уровень допустимого времени простоя и (или) деградации технологических процессов (в часах)
		для банка, размер активов которого составляет 500 миллиардов рублей и более	для банка с универсальной лицензией, размер активов которого составляет менее 500 миллиардов рублей	для банка с базовой лицензией	для небанковской кредитной организации	для филиала иностранного банка
1	2	3	4	5	6	7
1	Технологический процесс, обеспечивающий привлечение денежных средств физических лиц во вклады	2	4	6	X	X
2	Технологический процесс, обеспечивающий привлечение денежных средств юридических лиц во вклады	2	4	6	6	X
3	Технологический процесс, обеспечивающий размещение привлеченных во вклады денежных средств физических и (или) юридических лиц от своего имени и за свой счет	2	4	6	6	X
4	Технологический процесс, обеспечивающий осуществление переводов денежных средств по поручению физических лиц по их банковским счетам	2	4	6	X	X
			2 - для кредитных организаций, признанных значимыми на рынке платежных услуг в соответствии с Указанием Банка России от 6 ноября 2014 года № 3439-У «О порядке признания Банком России кредитных организаций значимыми на рынке платежных услуг»10 (далее - Указание Банка России № 3439-У)	2 - для кредитных организаций, признанных значимыми на рынке платежных услуг в соответствии с Указанием Банка России № 3439-У
		2	4	6	6	4
	Технологический процесс, обеспечивающий осуществление переводов денежных средств по поручению юридических лиц, в том числе банков- корреспондентов, по их банковским счетам, за исключением переводов по распоряжениям участников платежной системы		2 - для кредитных организаций, признанных значимыми на рынке платежных услуг в соответствии с Указанием Банка России № 3439-У	2 - для кредитных организаций, признанных значимыми на рынке платежных услуг в соответствии с Указанием Банка России № 3439-У	2 - для кредитных организаций, признанных значимыми на рынке платежных услуг в соответствии с Указанием Банка России № 3439-У
5	(для переводов денежных средств по распоряжениям участников платежной системы - в соответствии с Положением Банка России от 3 октября 2017 года № 607-П «О требованиях к порядку обеспечения бесперебойности функционирования платежной системы, показателям бесперебойности функционирования платежной системы и методикам анализа рисков в платежной системе, включая профили рисков»11)
6	Технологический процесс, обеспечивающий открытие и ведение банковских счетов физических лиц	2	2	2	X	X
7	Технологический процесс, обеспечивающий открытие и ведение банковских счетов юридических лиц	2	2	2	2	2
8	Технологический процесс, обеспечивающий осуществление переводов денежных средств без открытия банковских счетов, в том числе электронных денежных средств (за исключением почтовых переводов)	2	4	6	6	4
			2 - для кредитных организаций, признанных значимыми на рынке платежных услуг в соответствии с Указанием Банка России № 3439-У	2 - для кредитных организаций, признанных значимыми на рынке платежных услуг в соответствии с Указанием Банка России № 3439-У	2 - для кредитных организаций, признанных значимыми на рынке платежных услуг в соответствии с Указанием Банка России № 3439-У
9	Технологический процесс, обеспечивающий выполнение операций на финансовых рынках	24	24	24	X	X
10	Технологический процесс, обеспечивающий выполнение кассовых операций	2	2	2	X	2
11	Технологический процесс, обеспечивающий работу онлайн-сервисов дистанционного обслуживания и доступа к осуществлению операций	2	2	2	X	2
12	Технологический процесс, обеспечивающий размещение и обновление биометрических персональных данных в единой биометрической системе	2	2	2	X	X
13	Технологический процесс, обеспечивающий идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, в том числе с применением информационных технологий без их личного присутствия	2	2	2	X	X

Приложение 2

к Положению Банка России от       202_ года № ___-П
«Об обязательных для кредитных организаций,
иностранных банков, осуществляющих деятельность
на территории Российской Федерации
через свои филиалы, требованиях к
операционной надежности при осуществлении
банковской деятельности в целях обеспечения
непрерывности оказания банковских услуг»

Сигнальные и контрольные значения допустимой доли деградации технологических процессов кредитных организаций

№ п/п	Наименование технологического процесса	Для банка, размер активов которого составляет 500 миллиардов рублей и более		Для банка с универсальной лицензией, размер активов которого составляет менее 500 миллиардов рублей		Для банка с базовой лицензией		Для небанковской кредитной организации
		сигнальное значение (в долях)	контрольное значение (в долях)	сигнальное значение (в долях)	контрольное значение (в долях)	сигнальное значение (в долях)	контрольное значение (в долях)	сигнальное значение (в долях)	контрольное значение (в долях)
1	2	3	4	5	6	7	8	9	10
1	Технологический процесс, обеспечивающий привлечение денежных средств физических лиц во вклады	0,90	0,80	0,87	0,75	0,85	0,70	Х	Х
2	Технологический процесс, обеспечивающий привлечение денежных средств юридических лиц во вклады	0,90	0,80	0,87	0,75	0,85	0,70	0,75	0,50
3	Технологический процесс, обеспечивающий размещение привлеченных во вклады денежных средств физических и (или) юридических лиц от своего имени и за свой счет	0,90	0,80	0,87	0,75	0,85	0,70	0,75	0,50
4	Технологический процесс, обеспечивающий осуществление переводов денежных средств по поручению физических лиц по их банковским счетам	0,90	0,80	0,87 0,90 - для кредитных организаций, признанных значимыми на рынке платежных услуг в соответствии с Указанием Банка России от 6 ноября 2014 года № 3439-У «О порядке признания Банком России кредитных организаций значимыми на рынке платежных 12 услуг»12 (далее - Указание Банка России № 3439- У)	0,75 0,80 - для кредитных организаций, признанных значимыми на рынке платежных услуг в соответствии с Указанием Банка России № 3439-У	0,85 0,90 - для кредитных организаций, признанных значимыми на рынке платежных услуг в соответствии с Указанием Банка России № 3439-У	0,70 0,80 - для кредитных организаций, признанных значимыми на рынке платежных услуг в соответствии с Указанием Банка России № 3439-У	Х	Х
5	Технологический процесс, обеспечивающий осуществление переводов денежных средств по поручению юридических лиц, в том числе банков- корреспондентов, по их банковским счетам, за исключением переводов по распоряжениям участников платежной системы	0,90	0,80	0,87	0,75	0,85	0,70	0,75	0,50
				0,90 - для кредитных организаций, признанных значимыми на рынке платежных услуг в соответствии с Указанием Банка России № 3439-У	0,80 - для кредитных организаций, признанных значимыми на рынке платежных услуг в соответствии с Указанием Банка России № 3439-У	0,90 - для кредитных организаций, признанных значимыми на рынке платежных услуг в соответствии с Указанием Банка России № 3439-У	0,80 - для кредитных организаций, признанных значимыми на рынке платежных услуг в соответствии с Указанием Банка России № 3439-У	0,90 - для кредитных организаций, признанных значимыми на рынке платежных услуг в соответствии с Указанием Банка России № 3439-У	0,80 - для кредитных организаций, признанных значимыми на рынке платежных услуг в соответствии с Указанием Банка России № 3439-У
6	Технологический процесс, обеспечивающий открытие и ведение банковских счетов физических лиц	0,92	0,85	0,90	0,80	0,87	0,75	Х	Х
7	Технологический процесс, обеспечивающий открытие и ведение банковских счетов юридических лиц	0,92	0,85	0,90	0,80	0,87	0,75	0,75	0,50
8	Технологический процесс, обеспечивающий осуществление переводов денежных средств без открытия банковских счетов, в том числе электронных денежных средств (за исключением почтовых переводов)	0,90	0,80	0,87	0,75	0,85	0,70	0,75	0,50
				0,90 - для кредитных организаций, признанных значимыми на рынке платежных услуг в соответствии с Указанием Банка России № 3439-У	0,80 - для кредитных организаций, признанных значимыми на рынке платежных услуг в соответствии с Указанием Банка России № 3439-У	0,90 - для кредитных организаций, признанных значимыми на рынке платежных услуг в соответствии с Указанием Банка России № 3439-У	0,80 - для кредитных организаций, признанных значимыми на рынке платежных услуг в соответствии с Указанием Банка России № 3439-У	0,90 - для кредитных организаций, признанных значимыми на рынке платежных услуг в соответствии с Указанием Банка России № 3439-У	0,80 - для кредитных организаций, признанных значимыми на рынке платежных услуг в соответствии с Указанием Банка России № 3439-У
9	Технологический процесс, обеспечивающий выполнение операций на финансовых рынках	0,90	0,80	0,90	0,80	0,90	0,80	Х	Х
10	Технологический процесс, обеспечивающий выполнение кассовых операций	0,92	0,85	0,90	0,80	0,87	0,75	Х	Х
11	Технологический процесс, обеспечивающий работу онлайн- сервисов дистанционного обслуживания и доступа к осуществлению операций	0,92	0,85	0,90	0,80	0,87	0,75	Х	Х
12	Технологический процесс, обеспечивающий размещение и обновление биометрических персональных данных в единой биометрической системе	0,92	0,85	0,90	0,80	0,87	0,75	Х	Х
13	Технологический процесс, обеспечивающий идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц	0,92	0,85	0,90	0,80	0,87	0,75	Х	Х

Приложение 3
к Положению Банка России от       202_ года № ___-П
«Об обязательных для кредитных организаций,
иностранных банков, осуществляющих деятельность
на территории Российской Федерации
через свои филиалы, требованиях к
операционной надежности при осуществлении
банковской деятельности в целях обеспечения
непрерывности оказания банковских услуг»

Доля прошедших в Банке России с положительным результатом проверку возможности адаптации оборудования для обработки наличных денег без привлечения иностранных физических или юридических лиц, а также без передачи данных за пределы Российской Федерации и используемых кредитной организацией счетно-сортировальных машин и автоматических устройств, конструкция которых предусматривает прием банкнот Банка России от клиентов для совершения операций с наличными деньгами, информация о которых размещается на официальном сайте Банка России в информационнотелекоммуникационной сети «Интернет» в соответствии с абзацем третьим пункта 2.9 Положения Банка России от 29.01.2018 № 630-П «О порядке ведения кассовых операций и правилах хранения, перевозки и инкассации банкнот и монеты Банка России в кредитных организациях на территории Российской Федерации»13

№ п/п	Тип оборудования	Доля оборудования
		до 31 декабря 2025 года	до 31 декабря 2026 года	до 31 декабря 2027 года	до 31 декабря 2028 года
1	2	3	4	5	6
1	Счетно-сортировальные машины	не менее 10%	не менее 20%	не менее 40%	не менее 60%
2	Автоматические устройства, конструкция которых	не менее 10%	не менее 20%	не менее 40%	не менее 60%
	предусматривает прием банкнот Банка России от клиентов для совершения операций с наличными деньгами

------------------------------

1 Собрание законодательства Российской Федерации, 2002, № 28, ст. 2790; 2021, № 1, ст. 53.

2 Зарегистрировано Минюстом России 3 июня 2020 года, регистрационный № 58577, с изменениями, внесенными Указанием Банка России от 25 марта 2022 года № 6103-У (зарегистрировано Минюстом России 30 августа 2022 года, регистрационный № 69846).

3 Зарегистрировано Минюстом России 3 декабря 2014 года, регистрационный № 35075, с изменениями, внесенными Указаниями Банка России от 27 октября 2016 года № 4170-У (зарегистрировано Минюстом России 16 ноября 2016 года, регистрационный № 44349), от 2 ноября 2017 года № 4597-У (зарегистрировано Минюстом России 27 ноября 2017 года, регистрационный № 49019).

4 Собрание законодательства Российской Федерации, 2017, № 31, ст. 4736.

5 Собрание законодательства Российской Федерации, 2017, № 31, ст. 4736.

6 Зарегистрировано Минюстом России 16 августа 2023 года, регистрационный № 74823, с изменениями, внесенными Указанием Банка России от 12 марта 2024 года № 6688-У (зарегистрировано Минюстом России 29 мая 2024 года, регистрационный № 78345).

7 Зарегистрировано Минюстом России 18 июня 2018 года, регистрационный № 51359, с изменениями, внесенными Указаниями Банка России от 07 мая 2020 года № 5454-У (зарегистрировано Минюстом России 10 июня 2020 года, регистрационный № 58625), от 22 сентября 2021 года № 5897-У (зарегистрировано Минюстом России 22 сентября 2021 года, регистрационный № 65094), от 31 мая 2022 года № 6147-У (зарегистрировано Минюстом России 22 августа 2022 года, регистрационный № 69734), от 15 ноября 2023 года № 6607-У (зарегистрировано Минюстом России 9 февраля 2024 года, регистрационный № 77207).

8 Зарегистрировано Минюстом России 8 апреля 2022 года, регистрационный № 68140, с изменениями, внесенными Указанием Банка России от 6 октября 2023 года № 6569-У (зарегистрировано Минюстом России 25 декабря 2023 года, регистрационный № 76594).

9 Зарегистрировано Минюстом России 25 декабря 2023 года, регистрационный № 76594, с изменениями, внесенными Указанием Банка России 8 мая 2024 года (зарегистрировано Минюстом России 10 июня 2024 года, регистрационный № 78516).

10 Зарегистрировано Минюстом России 3 декабря 2014 года, регистрационный № 35075, с изменениями, внесенными Указаниями Банка России от 27 октября 2016 года № 4170-У (зарегистрировано Минюстом России 16 ноября 2016 года, регистрационный № 44349), от 2 ноября 2017 года № 4597-У (зарегистрировано Минюстом России 27 ноября 2017 года, регистрационный № 49019).

11 Зарегистрировано Минюстом России 22 декабря 2017 года, регистрационный № 49386.

12 Зарегистрировано Минюстом России 3 декабря 2014 года, регистрационный № 35075, с изменениями, внесенными Указаниями Банка России от 27 октября 2016 года № 4170-У (зарегистрировано Минюстом России 16 ноября 2016 года, регистрационный № 44349), от 2 ноября 2017 года № 4597-У (зарегистрировано Минюстом России 27 ноября 2017 года, регистрационный № 49019).

13 Зарегистрировано Минюстом России 18 июня 2018 года, регистрационный № 51359, с изменениями, внесенными Указаниями Банка России от 7 мая 2020 года № 5454-У (зарегистрировано Минюстом России 10 июня 2020 года, регистрационный № 58625), от 22 сентября 2021 года № 5897-У (зарегистрировано Минюстом России 22 сентября 2021 года, регистрационный № 65094), от 31 мая 2022 года № 6147-У (зарегистрировано Минюстом России 22 августа 2022 года, регистрационный № 69734), от 15 ноября 2023 года № 6607-У (зарегистрировано Минюстом России 9 февраля 2024 года, регистрационный № 77207).

------------------------------

Пояснительная записка
к проекту положения Банка России «Об обязательных для кредитных организаций, иностранных банков, осуществляющих деятельность на территории Российской Федерации через свои филиалы, требованиях к операционной надежности при осуществлении банковской деятельности в целях обеспечения непрерывности оказания банковских услуг»

Банк России разработал проект положения Банка России «Об обязательных для кредитных организаций, иностранных банков, осуществляющих деятельность на территории Российской Федерации через свои филиалы, требованиях к операционной надежности при осуществлении банковской деятельности в целях обеспечения непрерывности оказания банковских услуг» (далее - проект), который издается взамен Положения Банка России от 12 января 2022 года № 787-П «Об обязательных для кредитных организаций требованиях к операционной надежности при осуществлении банковской деятельности в целях обеспечения непрерывности оказания банковских услуг» (далее - Положение № 787-П). Разработка обусловлена вступлением в силу Федерального закона от 8 августа 2024 года № 275-ФЗ «О внесении изменений в Федеральный закон «О банках и банковской деятельности» и отдельные законодательные акты Российской Федерации», которым внесены изменения в статью 575 Федерального закона от 10 июля 2002 года № 86-ФЗ «О Центральном банке Российской Федерации (Банке России)» (далее - Федеральный закон № 86-ФЗ).

Изменения в статью 575 Федерального закона № 86-ФЗ связаны с расширением субъектного состава в части установления Банком России для иностранных банков, осуществляющих деятельность на территории Российской Федерации через свои филиалы (далее - филиалы иностранных банков), требований к операционной надежности при осуществлении банковской деятельности в целях обеспечения непрерывности оказания банковских услуг.

Проект будет распространяться на кредитные организации, филиалы иностранных банков.

В проекте сохранены подходы к регулированию, установленные Положением № 787-П. Вместе с тем проектом вносятся изменения, связанные с уточнением отдельных требований, и ряд новых положений, включающих: установление сигнальных и контрольных значений допустимой доли деградации технологических процессов кредитных организаций;

установление доли по использованию кредитными организациями прошедших в Банке России с положительным результатом проверку возможности адаптации оборудования для обработки денежной наличности без привлечения иностранных физических или юридических лиц, а также без передачи данных за пределы Российской Федерации счетно-сортировальных машин и программно-технических средств, конструкция которых предусматривает прием банкнот Банка России от клиентов для совершения операций с денежной наличностью.

Проект подлежит официальному опубликованию и вступает в силу по истечении 10 дней после дня его официального опубликования, за исключением положений, для которых установлены иные сроки вступления в силу.

Экспертные заключения по проекту принимаются до 17 октября 2024 года по следующим адресам электронной почты: nikitinavl@cbr.ru  erokhingi@cbr.ru.

Департамент информационной безопасности Банка России является структурным подразделением Банка России, ответственным за проведение оценки регулирующего воздействия.