Письмо Банка России от 15 августа 2025 г. № 56-16/7144 “О предоставлении ответа на обращение”

Департамент информационной безопасности Банка России рассмотрел обращение Ассоциации банков России от 18.07.2025 № 02-05/908 о разъяснении требований Положения N 850-П1 (далее - обращение) и сообщает следующее.

По вопросу 1. В абзаце четвертом пункта 4 Положения N 850-П раскрыто определение показателя операционной надежности как допустимого суммарного времени простоя и (или) деградации технологического процесса кредитных организаций (в случае несоблюдения в течение временного периода, превышающего пять минут, сигнального значения допустимой доли деградации технологического процесса) в рамках очередного календарного года, то есть с первого января по тридцать первое декабря.

При этом, в соответствии с абзацем четвертым пункта 5 Положения N 850-П, в случаях несоблюдения в течение временного периода, превышающего пять минут, сигнального значения допустимой доли деградации технологических процессов кредитные организации должны фиксировать суммарное время простоя и (или) деградации технологического процесса за последние двенадцать календарных месяцев без привязки к определению календарного года.

По вопросу 2. В соответствии с абзацем вторым пункта 4 Положения N 850-П инцидентом операционной надежности является событие операционного риска или серия связанных событий операционного риска, вызванных информационными угрозами и (или) сбоями объектов информационной инфраструктуры, которые привели к неоказанию или ненадлежащему оказанию банковских услуг.

По вопросу 3.1. Полагаем, что под моментом восстановления технологического процесса следует понимать момент начала соблюдения сигнальных значений показателей операционной надежности, в том числе соблюдения в течение временного периода, превышающего пять минут, сигнального значения допустимой доли деградации технологических процессов.

По вопросам 3.2 и 3.3. В соответствии с пунктом 5 Положения N 850-П обязанность фиксировать фактическую долю деградации технологического процесса в рамках отдельного инцидента операционной надежности возникает в случаях несоблюдения в течение временного периода, превышающего пять минут, сигнального значения допустимой доли деградации технологических процессов.

Дополнительно отмечаем, что под инцидентом операционной надежности, в соответствии с абзацем вторым пункта 4 Положения N 850-П, понимается как событие операционного риска, так и серия связанных событий операционного риска, вызванных информационными угрозами и (или) сбоями объектов информационной инфраструктуры, которые привели к неоказанию или ненадлежащему оказанию банковских услуг.

В связи с этим при определении инцидента операционной надежности как серии связанных событий операционного риска полагаем возможным применять подход, аналогичный определению однородности событий операционного риска в соответствии с пунктом 6.12 Положения N 716-П2.

По вопросу 4. Полагаем, что если на кредитную организацию не распространяются требования об оценке качественных потерь в соответствии с Положением N 716-П, то при заполнении формы представления участниками информационного обмена данных о результатах расследования инцидента операционной надежности, предусмотренной приложением 17 к СТО БР БФБО-1.5-20233, поле "Качественные потери" не является обязательным для заполнения.

По вопросу 5. Если в кредитной организации реализована возможность выполнения технологического процесса, то кредитная организация обязана установить и соблюдать сигнальные и контрольные значения допустимой доли деградации технологических процессов в соответствии с пунктом 4 Положения N 850-П.

Необходимость установления сигнальных и контрольных значений показателей операционной надежности по технологическим процессам, которые не функционируют в кредитной организации (соответствующие банковские и иные операции не осуществляются), отсутствует.

Факт того, что отдельные технологические процессы в кредитной организации не функционируют (соответствующие банковские и иные операции не осуществляются), целесообразно зафиксировать во внутренних документах кредитной организации.

С учетом срока вступления в силу Положения N 850-П и его отдельных положений в настоящее время отсутствует достаточное количество статистической информации и правоприменительной практики для оценки целесообразности совершенствования регулирования. В связи с этим полагаем, что содержащиеся в обращении предложения, связанные с внесением изменений в Положение N 850-П, являются преждевременными.

Дополнительно отмечаем, что если в рамках технологического процесса осуществляется незначительное число операций, то полагаем целесообразным отмечать указанный факт при фиксации информации в соответствии с пунктом 5 Положения N 850-П, регистрации инцидентов операционной надежности в соответствии с абзацем пятым пункта 12 Положения N 850-П, информировании Банка России в порядке, предусмотренном пунктом 13 Положения N 850-П, и информировании совета директоров (наблюдательного совета) в порядке, предусмотренном пунктом 5.4 Положения N 716-П.

------------------------------

1 Положение Банка России от 13.01.2025 N 850-П "Об обязательных для кредитных организаций, иностранных банков, осуществляющих деятельность на территории Российской Федерации через свои филиалы, требованиях к операционной надежности при осуществлении банковской деятельности в целях обеспечения непрерывности оказания банковских услуг".

2 Положение Банка России от 08.04.2020 N 716-П "О требованиях к системе управления операционным риском в кредитной организации и банковской группе".

3 Стандарт Банка России СТО БР БФБО-1.5-2023 "Безопасность финансовых (банковских) операций. Управление инцидентами, связанными с реализацией информационных угроз, и инцидентами операционной надежности. О формах и сроках взаимодействия Банка России с кредитными организациями, некредитными финансовыми организациями и субъектами национальной платежной системы при выявлении инцидентов, связанных с реализацией информационных угроз, и инцидентов операционной надежности".

------------------------------