Проект Указания Банка России "О внесении изменений в Положение Банка России от 15 ноября 2021 года N 779-П" (по состоянию на 14 апреля 2025 г.)

На основании статьи 76.4-2 Федерального закона от 10 июля 2002 года № 86-ФЗ «О Центральном банке Российской Федерации (Банке России)», части 1 статьи 12 Федерального закона от 20 июля 2020 года № 211-ФЗ «О совершении ифинансовых сделок с использованием финансовой платформы», части 15 статьи 5, части 11 статьи 10 Федерального закона от 31 июля 2020 года № 259-ФЗ «О цифровых финансовых активах, цифровой валюте и о внесении изменений в отдельные законодательные акты Российской Федерации»:

1. Внести в Положение Банка России от 15 ноября 2021 года № 779-П «Об установлении обязательных для некредитных финансовых организаций требований к операционной надежности при осуществлении видов деятельности, предусмотренных частью первой статьи 761 Федерального закона от 10 июля 2002 года № 86-ФЗ «О Центральном банке Российской Федерации (Банке России)», в целях обеспечения непрерывности оказания финансовых услуг (за исключением банковских услуг)»1 следующие изменения:

------------------------------

1 Зарегистрировано Минюстом России 28 марта 2022 года, регистрационный № 67961.

------------------------------

1.1. В пункте 1.2:

в абзаце первом после слов «клиринговую деятельность, репозитарную деятельность,» дополнить словами «микрофинансовых организаций,»;

дополнить абзацами следующего содержания:

«Некредитные финансовые организации ежеквартально должны во внутренних документах определять для каждого технологического процесса планируемую продолжительность времени работы (функционирования) технологического процесса в течение следующего квартала.

При определении планируемой продолжительности времени работы (функционирования) технологических процессов в расчет не включаются периоды времени плановых технологических операций, связанных с приостановлением (частичным приостановлением) технологических процессов и проводимых в соответствии с внутренними документами некредитных финансовых организаций.».

1.2. Пункт 1.3 изложить в следующей редакции:

«1.3. Некредитные финансовые организации, обязанные соблюдать усиленный, стандартный или минимальный уровень защиты информации, в рамках обеспечения операционной надежности должны установить и соблюдать для каждого осуществляемого ими технологического процесса, указанного в приложении к настоящему Положению, следующие значения контрольных показателей уровня операционного риска для целей обеспечения операционной надежности (далее - показатели операционной надежности):

значение показателя операционной надежности, при достижении которого проводится реализация мер, направленных на устранение превышения фактического значения показателя над данным значением (далее - сигнальное значение);

значение показателя операционной надежности, при достижении которого информация доводится до совета директоров (наблюдательного совета) некредитной финансовой организации, коллегиального исполнительного органа некредитной финансовой организации (в случае его отсутствия - до единоличного исполнительного органа некредитной финансовой организации) (далее - контрольное значение).

Некредитные финансовые организации, обязанные соблюдать усиленный, стандартный или минимальный уровень защиты информации, определяют орган управления некредитной финансовой организации, который утверждает сигнальные и контрольные значения показателей операционной надежности.

К показателям операционной надежности относятся:

допустимая доля деградации технологического процесса, определяемая как допустимое отношение общего количества финансовых операций, не совершенных во время деградации технологического процесса в рамках события или серии связанных событий операционного риска, вызванных информационными угрозами, которые привели к неоказанию или ненадлежащему оказанию финансовых услуг (далее - событие операционного риска, связанное с нарушением операционной надежности), к ожидаемому количеству финансовых операций за тот же период в случае непрерывного оказания финансовых услуг;

допустимое время простоя и (или) деградации технологического процесса в рамках события операционного риска, связанного с нарушением операционной надежности (в случае несоблюдения в течение временного периода, превышающего пять минут, сигнального значения допустимой доли деградации технологического процесса);

допустимое суммарное время простоя и (или) деградации технологического процесса (в случае несоблюдения в течение временного периода, превышающего пять минут, сигнального значения допустимой доли деградации технологического процесса) в течение очередного календарного года.

Контрольное значение допустимого времени простоя и (или) деградации технологического процесса в рамках события операционного риска, связанного с нарушением операционной надежности, устанавливается некредитной финансовой организацией, обязанной соблюдать усиленный, стандартный или минимальный уровень защиты информации, не выше значений, предусмотренных приложением к настоящему Положению.

Сигнальные и контрольные значения допустимой доли деградации технологических процессов должны рассчитываться некредитной финансовой организацией, обязанной соблюдать усиленный, стандартный или минимальный уровень защиты информации, на основании статистических данных за период не менее двенадцати календарных месяцев, предшествующих дате определения сигнальных и контрольных значений показателей операционной надежности, за исключением случая, предусмотренного абзацем одиннадцатым настоящего пункта, и (или) иных данных, обосновывающих их определение (по выбору некредитной финансовой организации).

В случае если технологический процесс функционирует менее двенадцати календарных месяцев, некредитные финансовые организации, обязанные соблюдать усиленный, стандартный или минимальный уровень защиты информации, должны определять сигнальные и контрольные значения допустимой доли деградации технологического процесса на основании статистических данных за период с даты начала его функционирования и (или) иных данных, обосновывающих их определение (по выбору некредитной финансовой организации).

В случае несоблюдения в течение временного периода, превышающего пять минут, сигнального значения допустимой доли деградации технологических процессов некредитные финансовые организации, обязанные соблюдать усиленный, стандартный или минимальный уровень защиты информации, должны фиксировать:

фактическое время простоя и (или) деградации технологического процесса, исчисляемое по каждому событию операционного риска, связанному с нарушением операционной надежности (с момента нарушения технологического процесса по причине реализации события операционного риска, связанного с нарушением операционной надежности, до момента восстановления выполнения технологического процесса);

суммарное время простоя и (или) деградации технологического процесса за последние двенадцать календарных месяцев;

фактическую долю деградации технологического процесса в рамках события операционного риска, связанного с нарушением операционной надежности, рассчитываемую по формуле

,

где:

ФД - фактическая доля деградации технологического процесса;

Кt - общее количество финансовых операций, осуществленных во время простоя и (или) деградации технологического процесса;

ОКt - ожидаемое во время деградации технологического процесса количество финансовых операций, осуществляемых в рамках данного технологического процесса, в случае непрерывного оказания финансовых услуг.

По каждому событию операционного риска, связанному с нарушением операционной надежности, некредитные финансовые организации, обязанные соблюдать усиленный, стандартный или минимальный уровень защиты информации, должны регистрировать следующую информацию:

данные, используемые для фиксации несоблюдения установленных сигнальных и контрольных значений показателей операционной надежности;

данные, позволяющие выявить причину несоблюдения установленных сигнальных и контрольных значений показателей операционной надежности;

информацию о принятых мерах и проведенных мероприятиях по реагированию на выявленное некредитной финансовой организацией или Банком России событие операционного риска, связанное с нарушением операционной надежности;

информацию о результате восстановления технологического процесса.

Некредитные финансовые организации, обязанные соблюдать усиленный, стандартный или минимальный уровень защиты информации, должны обеспечить контроль за соблюдением сигнальных и контрольных значений показателей операционной надежности.

Некредитные финансовые организации, обязанные соблюдать усиленный, стандартный или минимальный уровень защиты информации, должны не реже одного раза в три месяца проводить анализ необходимости пересмотра сигнальных и контрольных значений показателей операционной надежности, по итогам которого указанные некредитные финансовые организации должны актуализировать их либо принять решение об отсутствии необходимости в актуализации указанных значений.

Некредитные финансовые организации, обязанные соблюдать усиленный, стандартный или минимальный уровень защиты информации, осуществляющие деятельность клиринговой организации, центрального контрагента, центрального депозитария и репозитария, должны выполнять требования настоящего пункта в соответствии с требованиями к системе управления рисками, установленными Положением Банка России от 2 октября 2023 года № 827-П «О требованиях к управлению рисками клиринговых организаций, центральных контрагентов, центрального депозитария и репозитариев в части управления операционным риском»1. В случае если законодательством Российской Федерации, регулирующим деятельность иных некредитных финансовых организаций, обязанных соблюдать усиленный, стандартный или минимальный уровень защиты информации, установлена обязательность наличия у них системы управления рисками, указанные некредитные финансовые организации должны выполнять требования настоящего пункта в рамках системы управления рисками.».

------------------------------

1 Зарегистрировано Минюстом России 29 ноября 2023 года, регистрационный № 76162.

------------------------------

1.3. В пункте 1.5:

абзац второй исключить;

абзацы третий - пятый считать абзацами вторым - четвертым соответственно;

в абзаце втором перед словами «планирование и внедрение изменений» дополнить словами «организацию и выполнение процедур управления изменениями в критичной архитектуре, включая».

1.4. В пункте 1.7:

в абзаце втором слова «управление риском реализации информационных угроз при привлечении поставщиков услуг» заменить словами «принятие мер, направленных на нейтрализацию информационных угроз, связанных с привлечением поставщиков услуг»;

в абзаце третьем слова «управление риском технологической зависимости» заменить словами «принятие мер, направленных на нейтрализацию информационных угроз, обусловленных технологической зависимостью».

1.5. В пункте 1.9 слова «в рамках обеспечения операционной надежности» заменить словами «в части принятия мер, направленных на нейтрализацию информационных угроз со стороны внутреннего нарушителя,».

1.6. В абзаце первом пункта 1.11 слова «управление риском возникновения» и «субъектов доступа - работников» заменить словами «принятие мер, направленных на нейтрализацию информационных угроз в отношении» и «работников» соответственно.

1.7. В абзаце шестом пункта 1.13 слово «планирования» исключить.

1.8. В пункте 1.14:

абзацы второй, шестой - девятый исключить;

абзацы третий - пятый считать абзацами вторым - четвертым соответственно.

1.9. В пункте 1.15:

в абзаце втором слова «в случае превышения допустимой доли деградации технологических процессов» заменить словами «в случае несоблюдения в течение временного периода, превышающего пять минут, сигнального значения допустимой доли деградации технологических процессов»;

в абзаце третьем слова «не позднее одного рабочего дня до проведения мероприятия» заменить словами «до проведения указанных мероприятий».

1.10. В пункте 1.16:

в абзаце втором слова «значений целевых показателей» заменить словами «сигнальных и контрольных значений показателей»;

в абзаце третьем слова «а также значения целевых показателей» и «соблюдения значений целевых показателей» заменить словами «а также закреплять или пересматривать сигнальные и контрольные значения показателей» и «соблюдения сигнальных и контрольных значений показателей» соответственно;

в абзаце четвертом слова «и значений целевых показателей» заменить словами «, сигнальных и контрольных значений показателей».

1.11. В приложении:

в строке 12.3 слова «(Собрание законодательства Российской Федерации, 1993, № 2, ст. 56; 2021, № 27, ст. 5171)» заменить словами «, за исключением работы сайтов в целях осуществления обязательного страхования гражданской ответственности владельцев транспортных средств (для работы сайтов в целях осуществления обязательного страхования гражданской ответственности владельцев транспортных средств - в соответствии с Указанием Банка России от 6 апреля 2023 года № 6405-У «О требованиях к обеспечению бесперебойности и непрерывности функционирования официальных сайтов страховщиков и профессионального объединения страховщиков в информационно-телекоммуникационной сети «Интернет», а в случаях, предусмотренных правилами обязательного страхования, иных информационных систем в целях осуществления обязательного страхования гражданской ответственности владельцев транспортных средств»1)»;

------------------------------

1 Зарегистрировано Минюстом России 13 июля 2023 года, регистрационный № 74256.

------------------------------

в строке 13.1 слова «и негосударственного пенсионного обеспечения» заменить словами «, негосударственного пенсионного обеспечения и формирования долгосрочных сбережений»;

в строке 13.3 слова «Пенсионный фонд» заменить словами «Фонд пенсионного и социального страхования»;

в строке 13.5 слова «договора об обязательном пенсионном страховании с негосударственным пенсионным фондом» заменить словами «договора долгосрочных сбережений, договора об обязательном пенсионном страховании с фондом»;

дополнить строками следующего содержания:

“

18. Некредитные финансовые организации, осуществляющие деятельность микрофинансовых организаций
18.1	Технологический процесс, обеспечивающий предоставление микрозайма дистанционно с использованием сети «Интернет»	X	24
18.2	Технологический процесс, обеспечивающий погашение микрозайма дистанционно с использованием сети «Интернет»	X	24

“.

1.12. Настоящее Указание подлежит официальному опубликованию и в соответствии с решением Совета директоров Банка России (протокол заседания Совета директоров Банка России от ___ __________ 2024 года № ПСД-____) вступает в силу с 1 января 2027 года, за исключением положений, для которых настоящим пунктом установлены иные сроки вступления в силу.

Абзац второй пункта 1.1 и абзацы шестой - девятый пункта 1.11 настоящего Указания вступают в силу с 1 января 2028 года.

Председатель Центрального банка Российской Федерации

Э.С. Набиуллина

Пояснительная записка
к проекту Указания Банка России «О внесении изменений в Положение Банка России от 15 ноября 2021 года № 779-П» (далее - проект)

Проект вносит изменения в Положение № 779-П1 в целях обеспечения непрерывности оказания финансовых услуг (за исключением банковских услуг).

Полномочия Банка России по разработке проекта и принятию акта установлены статьей 76.4-2 Федерального закона от 10 июля 2002 года № 86-ФЗ «О Центральном банке Российской Федерации (Банке России)», частью 1 статьи 12 Федерального закона от 20 июля 2020 года № 211-ФЗ «О совершении финансовых сделок с использованием финансовой платформы», частью 15 статьи 5, частью 11 статьи 10 Федерального закона от 31 июля 2020 года № 259-ФЗ «О цифровых финансовых активах, цифровой валюте и о внесении изменений в отдельные законодательные акты Российской Федерации».

Проект будет распространяться на некредитные финансовые организации.

Проект дополняет состав некредитных финансовых организаций, указанных в пункте 1.2 Положения № 779-П, микрофинансовыми организациями в связи с распространением на них требований по реализации минимального уровня защиты информации, установленного национальным стандартом Российской Федерации ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер», в рамках внесения изменений2 в Положение Банка России № 757-П3.

Для микрофинансовых организаций проектом предусмотрено установление в приложении к Положению № 779-П перечня технологических процессов и порогового уровня допустимого времени простоя и (или) деградации соответствующих технологических процессов.

Проект также разработан в целях гармонизации требований по операционной надежности для некредитных финансовых организаций и уточнения формулировок требований Положения № 779-П.

В частности, проектом введены сигнальные и контрольные значения показателей операционной надежности и уточнен их состав, закрепляется в явном виде формула расчета фактической доли деградации технологического процесса, уточняются случаи информирования Банка России о выявленных событиях операционного риска, связанных с нарушением операционной надежности.

Так как изменения окажут влияние на операционную деятельность поднадзорных Банку России субъектов, проект содержит отложенный срок вступления в силу и подлежит представлению на рассмотрение Совета директоров Банка России. Проектируемый срок вступления в силу проекта - с 1 января 2027 года, за исключением положений, для которых установлен иной срок вступления в силу.

Положения, касающиеся ужесточения требований к операционной надежности для микрофинансовых организаций в связи с распространением на указанных субъектов требований по реализации минимального уровня защиты информации, вступают в силу с 1 января 2028 года.

Экспертные заключения по проекту принимаются до 28 апреля 2025 года по следующим адресам электронной почты: nikitinavl@cbr.ru; erokhingi@cbr.ru.

Департамент информационной безопасности Банка России является структурным подразделением Банка России, ответственным за проведение оценки регулирующего воздействия.

------------------------------

1 Положение Банка России от 15 ноября 2021 года № 779-П «Об установлении обязательных для некредитных финансовых организаций требований к операционной надежности при осуществлении видов деятельности, предусмотренных частью первой статьи 761 Федерального закона от 10 июля 2002 года № 86-ФЗ «О Центральном банке Российской Федерации (Банке России)».

2 Указание Банка России «О внесении изменений в Положение Банка России от 20 апреля 2021 года № 757-П» включено в раздел 2 Плана подготовки нормативных актов Банка России в 2025 году.

3 Положение Банка России от 20 апреля 2021 года № 757-П «Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций».