(1).jpg)
Проект Положения Банка России “О порядке управления рисками и непрерывностью функционирования платформы цифрового рубля” (по состоянию на 17 июля 2024 г.)
Настоящее Положение на основании пункта 6 части 1, пункта 4 части 11 статьи 30.7 Федерального закона от 27 июня 2011 года № 161-ФЗ «О национальной платежной системе», статьи 82.10 Федерального закона от 10 июля 2002 года № 86-ФЗ «О Центральном банке Российской Федерации (Банке России)» и в соответствии с решением Совета директоров Банка России (протокол заседания Совета директоров Банка России от __ ________ 2024 года № ПСД-____) устанавливает порядок управления рисками и непрерывностью функционирования платформы цифрового рубля.
Глава 1. Общие положения
1.1. Бесперебойность функционирования платформы цифрового рубля (далее - БФ платформы) при совершении Банком России как оператором платформы цифрового рубля (далее - оператор платформы) операций с цифровыми рублями по счету цифрового рубля участника платформы цифрового рубля (далее - участник платформы), пользователя платформы цифрового рубля (далее - пользователь платформы) достигается при условии обеспечения функционирования платформы цифрового рубля (далее - платформа) в соответствии с требованиями Федерального закона от 27.06.2011 № 161-ФЗ «О национальной платежной системе» (далее - Федеральный закон № 161-ФЗ), правилами платформы цифрового рубля (далее - правила платформы), условиями договоров, заключаемых с участниками платформы, пользователями платформы (далее при совместном упоминании - надлежащее функционирование платформы) или восстановления надлежащего функционирования платформы в течение одного часа с момента нарушения надлежащего функционирования платформы (далее - восстановление функционирования платформы).
1.2. Надлежащим функционированием платформы признается функционирование платформы, при котором доступ к платформе для участников платформы, пользователей платформы (далее - доступность платформы) и своевременность совершения оператором платформы операций с цифровыми рублями на платформе осуществляется в круглосуточном режиме (далее - своевременность совершения операций на платформе) соответствуют регламенту обеспечения доступности платформы и совершения операций с цифровыми рублями на платформе, указанному в приложении 1 к настоящему Положению.
1.3. Нарушением надлежащего функционирования платформы является событие, приведшее к нарушению доступности платформы и (или) своевременности совершения операций с цифровыми рублями на платформе (далее - инцидент). Инцидент может приводить к приостановлению функционирования платформы.
1.4. Под приостановлением функционирования платформы понимается событие, в результате которого оператором платформы было приостановлено совершение одного или нескольких видов операций с цифровыми рублями на платформе, указанных в приложении 1 к настоящему Положению, в течение временного интервала от четырех минут и более. Под моментом восстановления функционирования платформы понимается время, когда оператором платформы было зафиксировано начало совершения всех видов операций с цифровыми рублями на платформе участниками платформы и пользователями платформы после приостановления функционирования платформы.
1.5. Приостановление функционирования платформы в связи с проведением технологических и (или) регламентных работ, предусмотренных организационно-распорядительными документами Банка России, не относится к событиям приостановления функционирования платформы.
1.6. Банк России для обеспечения БФ платформы:
1.6.1. Создает организационную структуру, используемую оператором платформы для обеспечения бесперебойности её функционирования, в соответствии с требованиями, изложенными в главе 2 настоящего Положения.
1.6.2. Осуществляет управление рисками, присущими бизнес-процессу, в рамках которого обеспечивается функционирование платформы (далее - БП платформы) в соответствии с требованиями, изложенными в главе 3 настоящего Положения.
1.6.3. Осуществляет управление непрерывностью функционирования платформы в соответствии с требованиями, изложенными в главе 4 настоящего Положения.
1.6.4. Организует и обеспечивает осуществление взаимодействия Банка России, участников платформы, пользователей платформы, направленное на обеспечение БФ платформы в соответствии с заключенными Банком России договорами.
1.7. Понятия и термины «бесперебойность функционирования платформы цифрового рубля», «платформа цифрового рубля», «участник платформы цифрового рубля», «оператор платформы цифрового рубля», «пользователь платформы цифрового рубля», используемые в настоящем Положении, применяются в том значении, в каком они используются в Федеральном законе от 27.06.2011 № 161-ФЗ «О национальной платежной системе».
Глава 2. Организационная структура, используемая оператором платформы для обеспечения бесперебойности её функционирования
2.1. Организационная структура, используемая оператором платформы для обеспечения бесперебойности ее функционирования, включает три уровня.
Первый уровень представлен:
первым заместителем Председателя Банка России, курирующим вопросы организации и функционирования национальной платежной системы (далее - курирующий руководитель Банка России);
структурными подразделениями Банка России, непосредственно выполняющими БП платформы и осуществляющими деятельность по управлению рисками платформы, а также по управлению непрерывностью функционирования платформы (далее - ПУРиН платформы);
руководителями ПУРиН платформы;
подразделениями, реализующими полномочия оператора платформы, в том числе:
структурным подразделением центрального аппарата Банка России, ответственным за обеспечение функционирования платформы цифрового рубля (развитие, сопровождение, эксплуатация программно-технического комплекса платформы);
структурным подразделением центрального аппарата Банка России, ответственным, ответственным за определение требований к обеспечению защиты информации, обязательных для участников платформы, и осуществление контроля за соблюдением указанных требований;
структурным подразделением центрального аппарата Банка России, ответственным за определение требований к обеспечению защиты информации, обязательных для работников Банка России, организацию деятельности по соблюдению указанных требований и осуществление контроля за соблюдением указанных требований;
руководителями указанных структурных подразделений центрального аппарата Банка России, реализующих полномочия оператора платформы (далее - подразделения, реализующие полномочия оператора платформы).
Второй уровень представлен структурным подразделением центрального аппарата Банка России, ответственным за общую координацию деятельности и методологическую поддержку по вопросам управления операционными рисками Банка России (далее - УРСУР).
Третий уровень представлен Службой главного аудитора Банка России, осуществляющей независимую оценку системы управления рисками платформы (далее - СУР платформы).
2.2. Обеспечение БФ платформы должно осуществляться следующими субъектами организационной структуры:
курирующим руководителем Банка России;
руководителем подразделения, реализующего полномочия оператора платформы и являющегося владельцем БП платформы (далее - владелец БП платформы);
руководителями ПУРиН платформы;
работниками подразделений Банка России, в состав которых, в том числе входят ПУРиН платформы (далее - работники структурных подразделений Банка России);
работниками структурного подразделения, реализующего полномочия оператора платформы, выполняющими методологические функции по управлению непрерывностью функционирования платформы (далее - работники оператора платформы);
работниками структурного подразделения, руководителем которого является владелец БП платформы, назначенными данным владельцем БП платформы для координации и выполнения работ по обеспечению БФ платформы (далее - риск-координаторы БП платформы);
работниками ПУРиН платформы, назначенными руководителями ПУРиН платформы для координации и выполнения работ по обеспечению БФ платформы в рамках компетенции данного ПУРиН платформы (далее - риск- координаторы ПУРиН платформы);
работниками структурного подразделения центрального аппарата Банка России, ответственного за обеспечение функционирования платформы цифрового рубля (развитие, сопровождение, эксплуатация программно-технического комплекса платформы);
работниками структурного подразделения центрального аппарата Банка России, ответственного за определение требований к обеспечению защиты информации, обязательных для участников платформы, и осуществление контроля за соблюдением указанных требований;
работниками структурного подразделения центрального аппарата Банка России, ответственного за определение требований к обеспечению защиты информации, обязательных для работников Банка России, организацию и осуществление контроля за соблюдением указанных требований.
Работники структурных подразделений Банка России, выполняющие функции, указанные в абзацах семь - одиннадцать настоящего пункта, назначаются организационно-распорядительными документами Банка России.
2.2.1. Курирующий руководитель Банка России:
осуществляет контроль за обеспечением БФ платформы;
согласовывает предложения владельца БП платформы по мерам реагирования на значимые риски платформы (далее - меры реагирования) III зоны карты зон рисков, представленной в приложении 2 к настоящему Положению, и обеспечивает организацию выполнения принятых решений;
согласовывает ключевые индикаторы рисков (далее - КИР), предложенные владельцем БП платформы в дополнение к указанным в приложении 3 к настоящему Положению (далее - дополнительные КИР), или отмену дополнительных КИР;
утверждает план действий, направленных на обеспечение непрерывности деятельности и (или) восстановление деятельности Банка России как оператора платформы (далее - план ОНиВД платформы);
обеспечивает принятие решений / принимает решения о применении мер реагирования, направленных на обеспечение непрерывности функционирования платформы в условиях инцидента (далее - ответные меры), приводящего к приостановлению функционирования платформы более чем на один час, в том числе о реализации соответствующей последовательности действий плана ОНиВД платформы (далее - сценарий плана ОНиВД платформы);
принимает решения по спорным вопросам, возникающим при обеспечении БФ платформы, в том числе при отсутствии по ним согласованной позиции у подразделений Банка России, обеспечивающих функционирование платформы.
2.2.2. Владелец БП платформы должен обеспечивать БФ платформы посредством выполнения следующих мероприятий.
В части управления рисками платформы владелец БП платформы должен:
обеспечивать формирование и поддержание в актуальном состоянии описания БП платформы;
совместно с руководителями ПУРиН платформы обеспечивать идентификацию значимых рисков платформы;
утверждать перечень значимых рисков платформы;
совместно с руководителями ПУРиН платформы обеспечивать проведение оценки значимых рисков платформы;
организовать ведение профиля значимых рисков платформы, в том числе риска нарушения БФ платформы (далее - профиль рисков платформы), и утверждать профиль рисков платформы, подготовленный по результатам проведенной оценки значимых рисков платформы, а также допустимые уровни значимых рисков платформы;
обеспечивать подготовку, направление курирующему руководителю Банка России предложений о реагировании на значимые риски платформы III зоны карты рисков и выполнение принятых решений по ним;
рассматривать и согласовывать предложения риск-координаторов ПУРиН платформы по мерам реагирования на значимые риски платформы II зоны карты рисков, обеспечивать организацию выполнения принятых решений по ним;
обеспечивать подготовку плана ОНиВД платформы, его тестирование и пересмотр;
направлять курирующему руководителю Банка России при наличии предложения о разработке (отмене) дополнительных КИР и обеспечивать выполнение принятых решений по ним;
обеспечивать мониторинг уровней значимых рисков платформы и их анализ, в том числе в режиме реального времени, посредством расчета с заданной периодичностью текущих значений КИР и сопоставления их в режиме реального времени с пороговыми значениями КИР (далее - мониторинг уровней значимых рисков платформы), а также принимать решение о назначении ответственного ПУРиН платформы за мониторинг уровней значимых рисков платформы с использованием КИР 1 - КИР 4, расчет которых осуществляется в соответствии с пунктом 2 приложения 3 к настоящему Положению;
принимать меры, направленные на решение проблем, возникших у нескольких подразделений Банка России при обеспечении БФ платформы (далее - системные проблемы);
обеспечивать непрерывность исполнения обязанностей, возложенных настоящим Положением на риск-координаторов БП платформы и риск- координаторов ПУРиН платформы, в период их отсутствия на рабочем месте более одного рабочего дня (для риск-координаторов ПУРиН платформы с учетом графика работы ПУРиН платформы).
В части управления непрерывностью функционирования платформы владелец БП платформы должен:
обеспечивать выявление и регистрацию инцидентов; обеспечивать полноту и корректность сведений о зарегистрированных инцидентах;
принимать решения о применении ответных мер включая активацию сценариев плана ОНиВД платформы в отношении инцидентов за исключением решений, отнесенных к компетенции курирующего руководителя Банка России, руководителей ПУРиН платформы;
обеспечивать подготовку предложений о применении ответных мер, в том числе об активации сценариев плана ОНиВД платформы, отнесенных к компетенции курирующего руководителя Банка России, и выполнение принятых решений о применении указанных мер.
В части организации взаимодействия Банка России, участников платформы, пользователей платформы по обеспечению БФ платформы владелец БП платформы должен обеспечивать в соответствии с заключенными оператором платформы договорами:
информирование участников платформы о приостановлении и восстановлении функционирования платформы;
информирование пользователей платформы о приостановлении и восстановлении функционирования платформы.
2.2.3. Руководители ПУРиН платформы должны обеспечивать БФ платформы в части компетенции ПУРиН платформы посредством выполнения следующих мероприятий.
В части управления рисками платформы руководители ПУРиН платформы должны:
обеспечивать формирование и поддержание в актуальном состоянии описания выполняемых шагов (операций) БП платформы, в том числе посредством направления владельцу БП платформы предложений о внесении изменений в их описание;
обеспечивать идентификацию значимых рисков платформы, и осуществлять согласование перечня значимых рисков платформы, подготовленного риск-координаторами ПУРиН платформы;
обеспечивать проведение оценки значимых рисков платформы; организовывать ведение информации о значимых рисках платформы в рамках профиля рисков платформы в части компетенции ПУРиН платформы и согласовывать содержание данной информации, подготовленной риск- координаторами ПУРиН платформы, в профиле рисков платформы по результатам оценки значимых рисков платформы;
обеспечивать подготовку, направление владельцу БП платформы предложений о реагировании на значимые риски платформы III и II зоны карты рисков и выполнение принятых решений по ним;
обеспечивать подготовку плана ОНиВД платформы, его тестирование и пересмотр в части компетенции ПУРиН платформы;
рассматривать предложения риск-координаторов ПУРиН платформы об установлении (отмене) дополнительных КИР, вносить предложения об установлении (отмене) дополнительных КИР владельцу БП платформы и обеспечивать выполнение принятых решений по ним;
обеспечивать проведение мониторинга уровней значимых рисков платформы на предмет своевременного применения мер реагирования;
обеспечивать осведомленность работников ПУРиН платформы о значимых рисках платформы и порядке управления ими.
В части управления непрерывностью функционирования платформы руководители ПУРиН платформы должны:
обеспечивать выявление и регистрацию инцидентов; обеспечивать полноту и корректность сведений о зарегистрированных инцидентах;
принимать решения о применении ответных мер, за исключением решений, отнесенных к компетенции курирующего руководителя Банка России, владельца БП платформы;
обеспечивать реализацию ответных мер, в том числе по активации сценариев плана ОНиВД платформы, в отношении инцидентов, приводящих к приостановлению функционирования платформы более чем на один час.
В части организации взаимодействия Банка России, участников платформы, пользователей платформы по обеспечению БФ платформы руководители ПУРиН платформы должны обеспечивать:
информирование участников платформы о приостановлении и восстановлении функционирования платформы, если такое информирование отнесено к компетенции ПУРиН платформы;
информирование пользователей платформы о приостановлении и восстановлении функционирования платформы, если такое информирование отнесено к компетенции ПУРиН платформы.
2.2.4. Работники структурных подразделений Банка России должны выполнять решения по обеспечению БФ платформы, принятые Председателем Банка России, курирующим руководителем Банка России, владельцем БП платформы и руководителями соответствующих ПУРиН платформы, а также информировать риск-координаторов ПУРиН платформы своего подразделения Банка России об идентифицированных рисках платформы, и выявленных инцидентах, представлять документы и информацию по запросам риск-координаторов БП платформы и риск-координаторов ПУРиН платформы своего подразделения Банка России.
2.2.5. Риск-координаторы БП платформы должны оказывать методологическую поддержку руководителям ПУРиН платформы, риск- координаторам ПУРиН платформы и другим работникам ПУРиН платформы по вопросам обеспечения БФ платформы и выполнять следующие мероприятия.
В части управления рисками платформы риск-координаторы БП платформы должны:
контролировать актуальность описания БП платформы; идентифицировать риски платформы, и формировать перечень значимых рисков платформы;
согласовывать подготовленные ПУРиН платформы результаты оценки значимых рисков платформы и составлять профиль рисков платформы;
рассматривать предложения ПУРиН платформы о применении мер реагирования в отношении значимых рисков платформы III и II зоны карты рисков;
осуществлять контроль за своевременным выполнением ПУРиН платформы решений о применении в отношении значимых рисков платформы мер реагирования, принятых курирующим руководителем Банка России и владельцем БП платформы, в том числе посредством направления запросов о представлении информации и документов руководителям ПУРиН платформы, риск-координаторам ПУРиН платформы и другим работникам ПУРиН платформы;
обеспечивать подготовку плана ОНиВД платформы, участвовать в его тестировании и пересмотре;
согласовывать разработанные риск-координаторами ПУРиН платформы дополнительные КИР, а также предложения по их отмене;
подготавливать предложения для владельца БП платформы по назначению ответственного ПУРиН платформы за мониторинг уровней значимых рисков платформы с использованием КИР 1 - КИР 4 и подготавливать предложения для владельца БП платформы по принятию мер, направленных на совершенствование БП платформы.
В части управления непрерывностью функционирования платформы риск-координаторы БП платформы должны:
согласовывать сведения о выявленных риск-координаторами ПУРиН платформы инцидентах;
согласовывать предложения риск-координаторов ПУРиН платформы о применении в отношении инцидентов, реализовавшихся при выполнении БП платформы, ответных мер, в том числе сценариев плана ОНиВД платформы;
осуществлять контроль за своевременным выполнением работниками ПУРиН платформы решений о применении ответных мер, в том числе посредством направления запросов о представлении информации и документов руководителям ПУРиН платформы, риск-координаторам ПУРиН платформы и другим работникам ПУРиН платформы.
2.2.6. Риск-координаторы ПУРиН платформы должны оказывать методологическую поддержку работникам ПУРиН платформы по вопросам обеспечения БФ платформы и проводить следующие мероприятия в части компетенции ПУРиН платформы.
В части управления рисками платформы риск-координаторы ПУРиН платформы должны:
контролировать актуальность описания БП платформы (для риск-координаторов ПУРиН платформы);
участвовать в идентификации значимых рисков платформы и формировании перечня значимых рисков платформы;
проводить оценку значимых рисков платформы и заполнять профиль рисков платформы в части значимых рисков платформы, управление которыми отнесено к компетенции ПУРиН платформы;
подготавливать предложения о применении в отношении значимых рисков платформы III и II зоны карты рисков мер реагирования и согласовывать их с руководителями ПУРиН платформы;
осуществлять контроль за своевременным выполнением ПУРиН платформы решений, принятых курирующим руководителем Банка России (владельцем БП платформы, руководителями ПУРиН платформы в части, относящейся к компетенции ПУРиН платформы), о применении мер реагирования, в том числе посредством направления запросов о представлении информации и документов работникам ПУРиН платформы;
подготавливать предложения к плану ОНиВД платформы, участвовать в тестировании плана ОНиВД платформы и его пересмотре;
подготавливать по результатам оценки значимых рисков платформы предложения по дополнительным КИР или их отмене (при наличии предложений);
проводить мониторинг уровней значимых рисков платформы;
В части управления непрерывностью функционирования платформы риск-координаторы ПУРиН платформы должны:
выявлять инциденты и регистрировать инциденты;
подготавливать предложения для руководителей ПУРиН платформы о применении в отношении выявленных инцидентов ответных мер, в том числе сценариев плана ОНиВД платформы;
осуществлять контроль за своевременным выполнением работниками ПУРиН платформы решений о применении ответных мер, в том числе посредством направления запросов о представлении информации и документов работникам ПУРиН платформы.
В части организации взаимодействия Банка России, участников платформы, пользователей платформы по обеспечению БФ платформы риск- координаторы ПУРиН платформы должны контролировать выполнение мероприятий по информированию участников платформы, пользователей платформы о приостановлении и восстановлении функционирования платформы, если такое информирование отнесено к компетенции ПУРиН платформы.
2.2.7. Работники, осуществляющие контроль за соблюдением требований к защите информации, должны:
организовать контроль за соблюдением требований к защите информации на платформе;
обеспечивать проведение оценки соответствия текущего уровня защиты информации объектов информационной инфраструктуры Банка России, обеспечивающих функционирование платформы, уровням, определенным ГОСТ Р 57580.1-2017, согласно методике оценки соответствия защиты информации, определенной ГОСТ Р 57580.2-2018;
проводить мониторинг уровня риска информационной безопасности на платформе на основе установленных приложением 3 к настоящему Положению КИР 5 и КИР 6;
разрабатывать и предоставлять риск-координаторам БП платформы сценарии плана ОНиВД в отношении инцидентов защиты информации на платформе в части установленных КИР 5 и КИР 6;
организовывать применение в отношении инцидентов защиты информации на платформе в части установленных КИР 5 и КИР 6, реализовавшихся при выполнении БП платформы, ответных мер;
информировать риск-координаторов БП платформы о выявленных инцидентах защиты информации на платформе в случае, если нарушения пороговых значений установленных КИР 5 и КИР 6 приводят к инцидентам защиты информации на платформе.
2.2.8. Работники УРСУР должны осуществлять общую координацию и методологическую поддержку деятельности по управлению операционными рисками Банка России, платформы, в том числе:
осуществлять верификацию сведений о значимых рисках платформы и сведений о дополнительных КИР;
разрабатывать и поддерживать в актуальном состоянии структурированные справочники источников риска платформы (риск-факторов), областей реализации рисков платформы (инцидентов) и мер реагирования;
проводить анализ данных о значимых рисках платформы и об управлении ими, в том числе на предмет выявления системных проблем, и при их выявлении готовить предложения для подразделений Банка России и (или) руководства Банка России, направленные на урегулирование повышение эффективности управления операционными рисками и совершенствование бизнес-процессов Банка России;
информировать руководство Банка России о значимых рисках платформы и об управлении ими.
2.2.9. Работники оператора платформы должны осуществлять координацию и методологическую поддержку деятельности по управлению непрерывностью функционирования платформы.
Глава 3. Управление рисками платформы цифрового рубля
3.1. Управление рисками платформы должно осуществляться путем выполнения следующих взаимосвязанных процедур управления рисками с учетом установленных в Банке России порядка и требований к реализации процессного управления:
оценки значимых рисков платформы и действующих мер реагирования (далее при совместном упоминании - самооценка); разработки и мониторинга КИР.
3.2. Самооценка должна выполняться ПУРиН платформы в соответствии с методикой управления операционными рисками Банка России в сроки, установленные организационно-распорядительным документом Банка России (далее - плановая самооценка), или по решению владельца БП платформы (далее - внеплановая самооценка).
Плановая самооценка всех рисков платформы должна проводится не реже одного раза в три года с учетом сведений о событиях, которые произошли на платформе со дня завершения предыдущей плановой или внеплановой самооценки всех рисков платформы и привели к приостановлению функционирования платформы.
Внеплановая самооценка подразделяется на полную и частичную и проводится с учетом следующего:
Внеплановая полная самооценка должна проводиться в отношении всех значимых рисков платформы при внесении изменений в БП платформы по решению владельца БП платформы и должна быть завершена не позднее истечения 6 месяцев со дня принятия указанного решения.
Внеплановая частичная самооценка отдельных значимых рисков (отдельного значимого риска) платформы должна проводиться по решению владельца БП и должна быть завершена не позднее истечения 4 месяцев со дня: возникновения события, реализация которого привела к приостановлению (прекращению) функционирования платформы и описание которого в профиле рисков платформы не предусмотрено либо негативные последствия от реализации которого превышают негативные последствия, предусмотренные для этого инцидента в профиле рисков платформы;
установления по результатам проводимого мониторинга уровней значимых рисков платформы факта превышения текущими значениями КИР пороговых значений КИР, указанных в приложении 3 к настоящему Положению;
выявления значимого риска платформы, для которого уровень присущего риска до применения способов управления рисками платформы может превысить или превысил уровень допустимого риска.
Самооценка должна выполняться подразделениями Банка России и включать в себя следующие мероприятия:
3.2.1 Идентификация значимых рисков платформы должна осуществляться не реже одного раза в год с последовательным применением следующих способов и сопоставлением полученных результатов:
«снизу вверх» - способ, при котором значимые риски платформы должны идентифицироваться риск-координаторами БП платформы совместно с руководителями ПУРиН платформы, риск-координаторами ПУРиН платформы и работниками структурных подразделений Банка России, обладающими необходимым профессиональным опытом и знаниями о БП платформы;
«сверху вниз» - способ, при котором значимые риски платформы должны идентифицироваться владельцем БП платформы.
Для выявления системных проблем идентификации должны подлежать как значимые риски в рамках одного бизнес-процесса, так и значимые риски в рамках нескольких бизнес-процессов, реализация которых является источником рисков бизнес-процесса (далее - связанные риски).
3.2.2. Для определения уровня значимого риска платформы, представляющего собой комбинацию вероятности реализации риска и его воздействия, осуществляется оценка значимого риска платформы с использованием шкалы оценки вероятности реализации риска и шкалы оценки воздействия операционного риска, приведенных в приложениях 4 и 5 к настоящему Положению соответственно. Шкала оценки воздействия риска, предусмотренная приложением 5 к настоящему Положению, также применяется в целях оценки негативных (неблагоприятных) последствий инцидента.
3.2.3. Принятие решения о реагировании на значимые риски платформы после оценки применения действующих мер реагирования (далее - остаточный риск), должно приниматься в зависимости от расположения остаточных рисков на карте рисков, предусмотренной в приложении 2 к настоящему Положению, и уровня данных рисков, определенного в соответствии с пунктом 3.2.2. настоящего Положения.
Для остаточных рисков, расположенных в I зоне карты рисков и уровня данных рисков, решение о применении мер реагирования должно приниматься на уровне руководителей ПУРиН платформы, во II зоне карты рисков и уровня данных рисков - на уровне владельца БП платформы, в III зоне карты рисков и уровня данных рисков - на уровне курирующего руководителя Банка России.
3.2.4. Проведение самооценки должно осуществляться с использованием, в том числе следующей информации:
сведений, представленных работниками Банка России;
результатов мониторинга уровней значимых рисков платформы;
сведений об инцидентах;
результатов оценки СУР, проведенной Службой главного аудитора Банка России;
результатов мероприятий, проведенных органами государственного контроля (надзора).
3.2.5. План ОНиВД платформы как мера реагирования должен разрабатываться в соответствии с требованиями, приведенными в приложении 6 к настоящему Положению.
3.2.6. По результатам проведенной плановой самооценки, внеплановой полной самооценки и внеплановой частичной самооценки отдельных значимых рисков (отдельного значимого риска) риск-координаторы ПУРиН платформы, должны заполнить профиль рисков платформы в части своей компетенции, риск-координаторы БП платформы должны составить единый профиль рисков платформы в соответствии с приложением 7 к настоящему Положению.
Единый профиль рисков платформы, а также допустимые уровни значимых рисков утверждаются владельцем БП платформы в соответствии с порядком, утвержденным в Банке России.
Единый профиль рисков платформы должен храниться риск- координаторами БП платформы в электронном виде не менее пяти лет со дня его составления и (или) актуализации.
3.3. Разработанные КИР должны обеспечивать выявление существенных изменений уровней наиболее значимых остаточных рисков платформы (остаточные риски II и III зон рисков на карте рисков) и своевременное реагирование посредством раннего предупреждения руководителей всех уровней в Банке России о повышении уровня указанных рисков до допустимого (приемлемого) или превышении допустимого (приемлемого) уровня (далее - мониторинг КИР).
Мониторинг КИР должен проводиться в соответствии с приложением 3 к настоящему Положению.
Решение о реагировании на достижение расчетным значением КИР порогового уровня КИР (далее - нарушение порогового уровня КИР) должно приниматься в зависимости от расположения остаточного риска на карте рисков, предусмотренной в приложении 2 к настоящему Положению.
Полномочия по принятию решения о применении мер реагирования на нарушение порогового уровня КИР определяются в зависимости от расположения на карте рисков с учетом требований пункта 3.2.3 настоящего Положения.
3.3.1. Результаты мониторинга КИР должны оформляться в соответствии с приложением 8 к настоящему Положению.
3.3.2. Дополнительные КИР могут разрабатываться для мониторинга уровня одного значимого риска платформы или одновременно нескольких значимых рисков платформы. Для мониторинга уровня одного значимого риска может быть разработано несколько разных КИР.
3.3.2. Для каждого дополнительного КИР должны быть разработаны его параметры в соответствии с приложением 9 к настоящему Положению.
3.3.3. В целях мониторинга уровня риска информационной безопасности на платформе должны быть предусмотрены следующие дополнительные мероприятия:
оценка выполнения требований к обеспечению защиты информации, обязательных для участников платформы и контроль за соблюдением участниками платформы требований к обеспечению защиты информации в соответствии с Положением Банка России от 7 декабря 2023 года № 833-П «О требованиях к обеспечению защиты информации для участников платформы цифрового рубля» (далее - Положение Банка России № 833-П)»;
оценка выполнения требований к обеспечению защиты информации, обязательных для структурных подразделений Банка России;
оценка соответствия текущего уровня защиты информации объектов информационной инфраструктуры Банка России, обеспечивающих функционирование платформы, уровням, определенным ГОСТ Р 57580.1-2017, согласно методике оценки соответствия защиты информации, определенной ГОСТ Р 57580.2-2018.
3.4. В случае если действующая СУР платформы не обеспечила три и более раза в течение календарного года возможность восстановления функционирования платформы (при приостановлении функционирования платформы), в СУР платформы должны быть внесены изменения в СУР платформы.
3.5. В целях управления риском информационной безопасности на платформе должны использоваться следующие меры реагирования, являющиеся способами управления рисками:
определение требований к обеспечению защиты информации, обязательных для участников платформы в соответствии с Положением Банка России № 833-П;
определение требований к обеспечению защиты информации, обязательных для структурных подразделений Банка России.
Глава 4. Управление непрерывностью функционирования платформы цифрового рубля
4.1. Управление непрерывностью функционирования платформы должно осуществляться в отношении инцидентов, которым присвоен «низкий уровень воздействия» и выше на выполнение функций Банком России в соответствии со шкалой оценки воздействия риска, указанной в приложении 5 к настоящему Положению, и включает в себя выявление и регистрацию таких инцидентов, а также применение к ним ответных мер, в том числе сценариев плана ОНиВД.
4.2. Выявление инцидентов должно проводиться на основании информации о нарушении надлежащего функционирования платформы или информации о приостановлении функционирования платформы, работниками ПУРиН платформы и работниками структурных подразделений Банка России.
4.3. Регистрация инцидентов должна осуществляться посредством сбора и обработки следующих сведений о них:
время и дата возникновения инцидента (в случае невозможности установить время возникновения инцидента указывается время его выявления);
краткое описание инцидента (характеристика произошедшего инцидента и его негативных (неблагоприятных) последствий);
наименование одного или нескольких бизнес-процессов Банка России, на которые инцидент оказал влияние;
наличие (отсутствие) факта приостановления функционирования платформы в результате инцидента;
время и дата восстановления функционирования платформы; мероприятия по устранению неблагоприятных последствий инцидента с указанием планируемой и фактической продолжительности проведения данных мероприятий;
негативные (неблагоприятные) последствия инцидента, в том числе: сумма денежных средств, уплаченных Банком России и (или) взысканных с Банка России;
продолжительность приостановления функционирования платформы. ПУРиН платформы, подразделения Банка России, обеспечивающие функционирование платформы, осуществляют хранение сведений об инцидентах в специализированной автоматизированной системе не менее 5 (пяти) лет с даты получения указанных сведений.
4.4. Применение ответных мер, в том числе выполнение плана ОНиВД платформы, в отношении инцидентов должно осуществляться для:
локализации и предотвращения развития негативных (неблагоприятных) последствий реализации значимого риска платформы, в отношении которых ответные меры необходимо применять незамедлительно;
восстановления функционирования платформы в случае ее приостановления;
восстановления надлежащего функционирования платформы.
Глава 5. Заключительные положения
5.1. Настоящее Положение в соответствии с решением Совета директоров Банка России (протокол заседания Совета директоров Банка России от __ _________ 2024 года № ПСД-__) вступает в силу по истечении 10 дней после дня его официального опубликования, за исключением положений, для которых настоящим пунктом установлен иной срок вступления их в силу.
5.2. В соответствии с решением Совета директоров Банка России (протокол заседания Совета директоров Банка России от __ _________ 2024 года № ПСД-__) пункты 3.3 и 4.3 настоящего Положения и приложение 3 к настоящему Положению вступают в силу с 1 октября 2026 года.
|
Председатель Центрального банка Российской Федерации |
Э.С. Набиуллина |
Приложение 1
к Положению Банка России
от “__”_________ ____ года № -П
«О порядке управления рисками и
непрерывностью функционирования
платформы цифрового рубля»
Регламент
обеспечения доступности платформы и совершения операций с цифровыми рублями на платформе цифрового рубля
Примечание.
1. Доступность платформы достигается при соблюдении порогового уровня КИР 4, расчет которого осуществляется в соответствии с подпунктом 2.4 пункта 2 приложения 3.
2. Максимальное время совершения операций с цифровыми рублями на платформе определяется в договоре, заключаемом оператором платформы с участником платформы («Стандарт платформы цифрового рубля Требования операционно-технического взаимодействия на платформе цифрового рубля»), в «Альбоме электронных сообщений, используемых для взаимодействия субъектов платформы цифрового рубля» (Правила обмена сообщениями).
Приложение 2
к Положению Банка России
от “__”_________ ____ года № -П
«О порядке управления рисками и
непрерывностью функционирования
платформы цифрового рубля»
Карта
зон рисков
Примечания.
1. Воздействие определяется в соответствии со шкалой оценки воздействия риска, приведенной в приложении 5 к Положению. ПУРиН платформы для определения воздействия риска дополнительно должны использовать шкалы оценки воздействия риска на деловую репутацию Банка России, на объем финансовых потерь Банка России, предусмотренными методикой управления операционными рисками Банка России.
2. Вероятность определяется в соответствии со шкалой, представленной в приложении 4 к Положению.
Приложение 3
к Положению Банка России
от “__”_________ ____ года № -П
«О порядке управления рисками и
непрерывностью функционирования
платформы цифрового рубля»
Мониторинг уровней значимых рисков платформы
1. В рамках мониторинга уровней значимых рисков платформы осуществляется:
определение расчетного значения КИР;
реагирование на нарушение порогового уровня КИР;
актуализация информации по форме приложения 8 к Положению о причинах нарушения порогового уровня КИР и принятых мерах реагирования;
- разработка дополнительных КИР;
- отмена дополнительных КИР.
2. Для осуществления мониторинга уровней значимых рисков платформы обязательным является применение следующих КИР (показатели БФ платформы):
индикатор продолжительности восстановления функционирования платформы (КИР 1);
индикатор непрерывности функционирования платформы (КИР 2);
индикатор соблюдения регламента обеспечения доступности платформы и совершения операций с цифровыми рублями на платформе цифрового рубля (КИР 3);
индикатор доступности платформы (КИР 4);
индикатор эффективности применяемых на платформе мер технологического контроля поступающих электронных сообщений (КИР 5);
индикатор качества управления уязвимостями платформы (КИР 6).
2.1. КИР 1 должен рассчитываться по каждому из инцидентов, повлекших приостановление функционирования платформы, как период времени с момента возникновения инцидента, приведшего к приостановлению функционирования платформы в результате первого из возникших инцидентов, и до момента восстановления функционирования платформы.
Пороговый уровень КИР 1 равен одному часу.
В случае если значение КИР 1 превышает один час, произошло нарушение порогового уровня КИР 1. КИР 1 рассчитывается в часах (минутах) (секундах). При этом, если в течение дня произошло несколько пересекающихся между собой по времени инцидентов, то продолжительность восстановления функционирования платформы определяется как разница между моментом восстановления функционирования платформы и моментом выявления первого инцидента из них.
2.2. КИР 2 должен рассчитываться по каждому из инцидентов, повлекших приостановление функционирования платформы, как период времени между двумя последовательно произошедшими инцидентами с момента восстановления функционирования платформы, приостановленного в результате первого инцидента, и до момента выявления события, приведшего к приостановлению функционирования платформы в результате следующего инцидента.
Пороговый уровень КИР 2 равен двадцати четырем часам.
В случае если значение КИР 2 менее двадцати четырех часов, произошло нарушение порогового уровня КИР 2. КИР 2 рассчитывается в часах (минутах) (секундах).
При этом, если произошло несколько пересекающихся между собой по времени инцидентов, то продолжительность непрерывности функционирования платформы определяется как разница между моментом выявления следующего инцидента и моментом устранения последствий последнего из пересекающихся инцидентов.
2.3. КИР 3 должен рассчитываться ежемесячно как отношение количества распоряжений, направленных участниками платформы в период функционирования платформы (далее - операционный день), а также распоряжений, составленных Банком России от имени пользователя платформы, получателя средств, взыскателя средств или на основании заявлений на перевод денежных средств на бумажном носителе (далее - распоряжения, направленные участниками платформы), по которым в течение календарного месяца были совершены операции с цифровыми рублями без нарушения регламента обеспечения доступности платформы и совершения операций с цифровыми рублями на платформе цифрового рубля, указанного в приложении 1 к Положению, к общему количеству распоряжений, направленных участниками платформы, по которым в течение календарного месяца были совершены операции с цифровыми рублями:
где:
- количество распоряжений, направленных участниками платформы, по которым были совершены операции с цифровыми рублями без нарушения временных интервалов, указанных в приложении 1 к Положению, в течение оцениваемого календарного месяца;
N - общее количество распоряжений, направленных участниками платформы, по которым были совершены операции с цифровыми рублями, в течение оцениваемого календарного месяца.
Пороговый уровень КИР 3 для платформы равен 99,9 процента.
В случае если значение КИР 3 менее 99,9 процента, произошло нарушение порогового уровня КИР 3.
2.4. КИР 4 должен рассчитываться ежемесячно как среднее значение коэффициента доступности платформы за оцениваемый календарный месяц по формуле:
где:
k = {1... K} - k-ый операционный день в отчетном месяце;
K - количество операционных дней в отчетном месяце;
- коэффициент доступности платформы в k-ый операционный день, рассчитываемый по формуле:
,
где:
- общая продолжительность всех приостановлений функционирования платформы для всех участников в течение k-го операционного дня, в минутах;
- общая продолжительность времени в течение k-го операционного дня, в минутах, в соответствии с режимом функционирования платформы, установленным нормативным актом Банка России в соответствии с пунктом 39 статьи 3 Федерального закона № 161-ФЗ, в части совершения операций с цифровыми рублями.
Пороговый уровень КИР 4 равен 99,99 процента.
В случае значение КИР 4 менее 99,99 процента, произошло нарушение порогового уровня КИР 4.
2.5. КИР 5 должен рассчитываться как количество случаев успешного прохождения на платформе технологического контроля электронных сообщений, не подлежащих обработке, в результате инцидентов.
В случае если значение КИР 5 больше 0, произошло нарушение порогового уровня КИР 5.
2.6. КИР 6 должен рассчитываться как количество повторно выявленных по результатам ежегодного тестирования на проникновение уязвимостей, имеющих высокий или критический уровень опасности уязвимости, определенный национальным стандартом Российской Федерации ГОСТ Р 56545-2015 «Защита информации. Уязвимости информационных систем. Правила описания уязвимостей» (утвержден приказом Федерального агентства по техническому регулированию и метрологии от 19 августа 2015 года № 1180-ст (М., ФГУП «Стандартинформ», 2015) и введен в действие 1 апреля 2016 года).
3. В случае если значение КИР 6 больше 0, произошло нарушение порогового уровня КИР 6. Мониторинг текущих значений КИР должен осуществляться риск-координаторами ПУРиН платформы с учетом следующего:
3.1. Оценка влияния каждого инцидента, повлекшего приостановление функционирования платформы, на предмет возможного нарушения порогового уровня КИР 1 и КИР 2, должна проводиться в течение двадцати четырех часов с момента его возникновения (выявления).
3.2. Оценка влияния всех инцидентов на предмет нарушения порогового уровня КИР 3 - КИР 5 должна осуществляется на ежемесячной основе не позднее пяти рабочих дней после дня окончания отчетного календарного месяца.
3.3. Расчет значения КИР 6 должен осуществляться ежегодно не позднее пяти рабочих дней после окончания, указанного в пункте 2.6 приложения 3 к Положению ежегодного тестирования на уязвимости.
3.4. В случае нарушения порогового уровня КИР достижения расчетным значением КИР порогового уровня КИР (далее - нарушение порогового уровня КИР) риск-координаторы ПУРиН платформы не позднее пятого рабочего дня, следующего за датой выявления нарушения порогового уровня КИР, по согласованию с руководителями ПУРиН платформы и при необходимости с руководителями подразделений Банка России, в состав которых входят ПУРиН платформы, должны зарегистрировать и направить риск-координаторам БП платформы информацию о причинах нарушения порогового уровня КИР и принятых мерах реагирования в соответствии с приложением 8 к Положению.
3.5. При появлении уточненной информации о причинах нарушения порогового уровня КИР, о составе принятых мер реагирования риск-координаторы ПУРиН платформы после согласования с руководителями ПУРиН платформы и при необходимости с руководителями подразделений Банка России, в состав которых входят ПУРиН платформы, должны актуализировать соответствующую информацию не позднее пятого рабочего дня, следующего за датой появления уточненной информации.
4. Разработка дополнительных КИР должна осуществляться в следующем порядке и на следующих условиях.
4.1. Риск-координаторы ПУРиН платформы:
4.1.1. на основании принятого руководителем ПУРиН платформы решения в части компетенции ПУРиН платформы должны разрабатывать дополнительные КИР и определять их параметры в соответствии с приложением 9 к Положению;
4.1.2. передают параметры разработанных дополнительных КИР на согласование риск-координаторам БП платформы;
4.1.3. в течение пяти рабочих дней с момента получения параметров дополнительных КИР, указанных в подпункте 4.1.2, должны осуществлять оценку применимости разработанных дополнительных КИР для целей мониторинга существенных изменений уровней остаточных рисков платформы с привлечением риск-координаторов ПУРиН платформы.
4.2. Верификация параметров дополнительных КИР работниками УРСУР осуществляется в соответствии с методикой управления операционными рисками Банка России.
4.3. При положительном результате верификации риск-координаторы БП платформы не позднее двух рабочих дней с даты завершения УРСУР верификации параметров дополнительных КИР должны направить владельцу БП платформы предложение о параметрах дополнительных КИР.
4.4. Владелец БП платформы не позднее пятого рабочего дня с даты представления предложения о параметрах дополнительных КИР должен согласовать указанное предложение или вернуть его риск-координаторам БП платформы с указанием замечаний (причин несогласия с указанным предложением).
4.5. Риск-координаторы БП платформы не позднее второго рабочего дня, следующего за датой получения замечаний от владельца БП платформы, должны внести уточнения в параметры дополнительных КИР с последующим проведением повторной оценки применимости дополнительных КИР, осуществляемой в соответствии с подпунктом 4.1.3, за исключением случаев, когда для уточнения параметров дополнительных КИР требуются более длительные сроки, в том числе при необходимости проведения дополнительных согласований параметров дополнительных КИР с заинтересованными подразделениями Банка России.
4.6. Риск-координаторы БП платформы не позднее пятого рабочего дня, следующего за датой согласования параметров дополнительных КИР владельцем БП платформы, должны обеспечить доведение до ПУРиН платформы, осуществляющих мониторинг уровней значимых рисков платформы, а также структурных подразделений Банка России, в которые входят ПУРиН платформы, информации о согласованных параметрах дополнительных КИР.
4.7. Хранение информации о КИР и их параметрах должно осуществляться с использованием специализированного программного обеспечения.
5. Отмена дополнительных КИР должна осуществляться с учетом следующего.
При согласовании владельцем БП платформы отмены дополнительного КИР риск-координаторы БП платформы должны обеспечивать доведение до ПУРиН платформы, структурных подразделений Банка России, в которые входят ПУРиН платформы, соответствующей информации не позднее пятого рабочего дня, следующего за датой согласования.
Приложение 4
к Положению Банка России
от “__”_________ ____ года № -П
«О порядке управления рисками и
непрерывностью функционирования
платформы цифрового рубля»
Шкала оценки вероятности реализации риска
| Вероятность | 1 - крайне маловероятно | 2 - маловероятно | 3 - возможно | 4 - очень вероятно | 5 - почти точно |
|---|---|---|---|---|---|
| Частота реализации риска | Реже чем один раз в 5 лет | Один раз в 3-5 лет | Один раз в 1-3 года | Один раз в 3-11 месяцев | Чаще, чем один раз в 3 месяца |
Приложение 5
к Положению Банка России
от “__”_________ ____ года № -П
«О порядке управления рисками и
непрерывностью функционирования
платформы цифрового рубля»
Шкала оценки воздействия риска
| Уровень негативных последствий | Негативное воздействие на деятельность Банка России (на цели деятельности, функции и БП платформы) |
|---|---|
| 5 - Очень сильное воздействие | Недостижение целей, невыполнение функций Банка России в части обеспечения БФ платформы при приостановлении функционирования платформы в течение периода времени, превышающего один час. |
| 4 - Сильное воздействие | Задержки в выполнении функций Банка России в части обеспечения БФ платформы при приостановлении функционирования платформы в течение периода времени от тридцати минут до одного часа (включительно). |
| 3 - Среднее воздействие | Нарушения в выполнении функций Банка России в части обеспечения БФ платформы при приостановлении функционирования платформы в течение периода времени, от пятнадцати минут до тридцати минут (включительно). |
| 2 - Низкое воздействие | Перебои в выполнении функций Банка России в части обеспечения БФ платформы при приостановлении функционирования платформы в течение периода времени от четырех минут до пятнадцати минут (включительно). |
| 1 - Незначительное воздействие | Перебои в осуществлении отдельных процедур при выполнении функций Банка России в части обеспечения БФ платформы при приостановлении функционирования платформы в течение периода времени от тридцати секунд до четырех минут (включительно). |
Приложение 6
к Положению Банка России
от “__”_________ ____ года № -П
«О порядке управления рисками и
непрерывностью функционирования
платформы цифрового рубля»
Требования
к содержанию плана ОНиВД платформы
1. План ОНиВД платформы предусматривает комплекс мер, реализуемых ПУРиН платформы во время и после реализации значимого риска платформы, потенциально влияющего на БФ платформы.
2. В плане ОНиВД платформы должны быть приведены сведения о подразделении Банка России, на которое возложены полномочия и обязанности по разработке, пересмотру и контролю исполнения плана ОНиВД платформы.
3. В плане ОНиВД платформы определяются:
работники, эксплуатирующие, обслуживающие и сопровождающие программно-технический комплекс (далее - ПТК) и системы телекоммуникаций (далее - СТ), автоматизированные рабочие места (далее - АРМ), системы инженерного обеспечения и жизнеобеспечения, используемые для обеспечения функционирования платформы, а также персонал, использующий информационные ресурсы автоматизированных систем (далее - АС) при выполнении должностных обязанностей;
помещения (здания), в которых размещен персонал и АРМ, расположены ПТК и СТ, используемые для обеспечения функционирования платформы;
АС с входящими в их состав информационными ресурсами, используемые для обеспечения функционирования платформы;
АС и подразделения Банка России, в которых используются данные из платформы, о приостановлении и/или возобновлении функционирования платформы;
системы инженерного обеспечения и жизнеобеспечения, предназначенные для поддержки надлежащих условий работы персонала и среды функционирования ПТК, СТ, АРМ, используемых для обеспечения функционирования платформы (системы энергоснабжения, вентиляции и кондиционирования, водоснабжения, пожаротушения и другие системы, используемые для обеспечения функционирования платформы).
4. План ОНиВД платформы как мера реагирования должен разрабатываться с учетом следующего:
план ОНиВД должен включать в себя сценарии для всех значимых рисков платформы, для которых в качестве меры реагирования предусматривается разработка плана ОНиВД;
сценарии, включенные в план ОНиВД платформы, должны разрабатываться в отношении значимых операционных рисков платформы, для которых в качестве мер реагирования предусматривается разработка плана ОНиВД платформы;
план ОНиВД платформы должен состоять из сценариев, каждый из которых регламентирует деятельность ПУРиН платформы, подразделений Банка России, обеспечивающих функционирование платформы, или подразделения, руководителем которого является владелец БП платформы, в пределах их компетенции при обеспечении надлежащего функционирования платформы.
Планом ОНиВД платформы может быть предусмотрено выполнение одного сценария в отношении нескольких реализовавшихся значимых рисков платформы.
5. План ОНиВД платформы должен содержать перечень АС, ПТК, СТ, АРМ и состав персонала для обеспечения функционирования платформы.
6. План ОНиВД платформы должен содержать критерии активации сценариев, а также описание процесса принятия решения об активации сценариев и выполнения сценариев в зависимости от уровня реализовавшегося значимого риска платформы с момента выявления инцидента до момента доведения принятого решения до работников ПУРиН платформы, наделенных полномочиями по реализации соответствующих мер.
7. План ОНиВД платформы должен содержать схемы оповещения уполномоченными лицами ПУРиН платформы должностных лиц, которые должны принимать участие в устранении последствий реализации значимых рисков платформы. Состав указанных должностных лиц необходимо определять исходя из представленной в приложении 2 к Положению зоны карты рисков, присвоенной значимому риску платформы.
При реализации рисков I зоны решение об активации соответствующего сценария плана ОНиВД платформы принимается руководителем ПУРиН платформы, к компетенции которого относится управление непрерывностью для данного риска.
При реализации рисков II зоны решение об активации соответствующего сценария плана ОНиВД платформы принимается владельцем БП платформы.
При реализации рисков III зоны решение об активации соответствующего сценария плана ОНиВД платформы принимается курирующим руководителем Банка России.
Для предотвращения потерь данных на платформе, а также при неработоспособности инфраструктуры платформы, применяется режим синхронизации данных с использованием резервных автоматизированных систем.
8. В плане ОНиВД платформы должны быть определены порядок и сроки тестирования отдельных сценариев плана ОНиВД платформы и при необходимости плана ОНиВД платформы в целом и пересмотра (актуализации) плана ОНиВД платформы.
9. Условия проведения тестирования сценариев плана ОНиВД платформы должны быть спланированы структурными подразделениями Банка России, принимающими участие в тестировании платформы, для предотвращения приостановления функционирования платформы. Для проведения тестирования отдельных сценариев плана ОНиВД платформы могут быть привлечены участники платформы.
10. Тестирование сценариев плана ОНиВД платформы проводится:
в форме совещания, на котором последовательно анализируются действия, предусмотренные сценарием плана ОНиВД платформы, на предмет их осуществимости в условиях реализации инцидента, возможности своевременно их выполнить, достаточности имеющихся ресурсов для выполнения действий, доступности помещений, где должны находиться работники при выполнении сценария плана ОНиВД платформы;
в форме непосредственного выполнения работниками действий, предусмотренных одним или несколькими сценариями плана ОНиВД платформы, в условиях объявленного или необъявленного условного инцидента (далее - учения).
11. По результатам каждого проведенного тестирования сценария плана ОНиВД платформы, плана ОНиВД платформы должен быть подготовлен отчет, в котором должны быть отражены (при наличии) выявленные недостатки в сценарии (в сценариях) плана ОНиВД платформы, плане ОНиВД платформы и предложения по их устранению.
По результатам учений в отчете должна быть отражена также следующая информация:
соблюдались ли установленные сценарием плана ОНиВД платформы сроки оповещения работников, задействованных в выполнении тестируемых сценариев плана ОНиВД платформы, о возникновении инцидента и активации соответствующих сценариев плана ОНиВД платформы;
все ли работники, задействованные в выполнении тестируемых сценариев плана ОНиВД платформы, выполнили возложенные на них функции;
обеспечивалась ли работоспособность ПТК, СТ, АРМ, систем инженерного обеспечения и жизнеобеспечения, используемых при выполнении тестируемых сценариев плана ОНиВД платформы, а также доступ работников, задействованных в выполнении тестируемых сценариев плана ОНиВД платформы, к указанным системам для выполнения возложенных на них функций;
обеспечивалась ли доступность для работников, задействованных в выполнении тестируемых сценариев плана ОНиВД платформы, помещений, используемых при выполнении тестируемых сценариев плана ОНиВД платформы;
позволяет ли использование тестируемых сценариев плана ОНиВД платформы обеспечить восстановление функционирования платформы в случае приостановления их оказания в пределах установленных сроков.
12. Тестирование каждого сценария плана ОНиВД платформы должно проводиться не реже одного раза в течение календарного года.
Приложение 7
к Положению Банка России
от “__”_________ ____ года № ____-П
«О порядке управления рисками и
непрерывностью функционирования
платформы цифрового рубля»
Профиль рисков платформы цифрового рубля
| № п/п | Общая информация о риске | Оценка присущего риска | Применяемые меры реагирования | Оценка остаточного риска | Решение о дальнейшей работе с риском | Дата регистрации (актуализации) | ||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Риск | Источники риска (причины риска) | Область реализации риска (инцидентов) | Последствия | Оценка вероятности | Оценка воздействия | Уровень риска | ||||||||||||||||
| Описание риска | Бизнес-процесс | Подразделение, возглавляемое владельцем бизнес-процесса | Владелец риска | Риск-факторы | Связанные риски | Последствия | Связанные риски | Оценка вероятности | Оценка воздействия | Уровень риска | Способ реагирования | Меры реагирования | Ответственный за реализацию мер реагирования | Установленный срок реализации мер реагирования | Фактический срок реализации мер реагирования | |||||||
| 1. | 2. | 3. | 4. | 5. | 6. | 7. | 8. | 9. | 10. | 11. | 12. | 13. | 14. | 15. | 16. | 17. | 18. | 19. | 20. | 21. | 22. | 23. |
Требования
к заполнению профиля рисков платформы цифрового рубля
1. В графе 1 указывается номер записи по порядку.
2. В графе 2 должно приводиться описание значимого риска платформы (информация о том, какое может произойти конкретное инцидент, которое может привести к приостановлению функционирования платформы).
3. В графе 3 должно указываться название БП платформы с уточнением операции (шага), на которой идентифицирован значимый риск платформы.
4. В графе 4 должно указываться подразделение Банка России, возглавляемое владельцем БП платформы.
5. В графе 5 должно указываться ПУРиН платформы, являющийся владельцем значимого риска платформы.
6. В графе 6 должны указываться источники значимого риска платформы. ПУРиН платформы для заполнения графы 6 дополнительно использует структурированный перечень источников риска, применяемый в Банке России. В случае если источник риска связан с системами и оборудованием, дополнительно указывается соответствующая система или оборудование, в том числе ИТ-решение.
7. В графе 7 должны указываться связанные риски (при наличии) с кратким описанием взаимосвязи. При отсутствии информации об идентифицированных ранее связанных рисках указывается бизнес-процесс (операция, шаг), которому присущ связанный риск, выполняющее его подразделение Банка России, и краткое описание взаимосвязи.
8. В графе 8 должны указываться области реализации значимого риска платформы (инцидента). ПУРиН платформы для заполнения графы 8 использует структурированный перечень областей реализации рисков (инцидентов), применяемый в Банке России.
9. В графе 9 должен указываться вид негативного последствия реализации значимого риска платформы и краткое обоснование соответствующего воздействия.
10. В графе 10 должны указываться связанные риски (при наличии), реализация которых возможна вследствие реализации рассматриваемого риска. При отсутствии информации об идентифицированных ранее связанных рисках указывается бизнес-процесс (операция, шаг), которому присущ связанный риск, выполняющее его подразделение Банка России, краткое описание взаимосвязи.
11. В графе 11 должна приводиться оценка вероятности реализации присущего риска.
12. В графе 12 должна приводиться оценка воздействия присущего риска по каждому из видов негативных последствий, указанных в графе 9.
13. В графе 13 должен указываться уровень присущего риска.
14. В графе 14 должны указываться применяемые меры реагирования на значимый риск платформы с использованием структурированного перечня мер реагирования на риски, используемого в Банке России (для ПУРиН платформы).
15. В графе 15 должна приводиться оценка вероятности реализации остаточного риска.
16. В графе 16 должна приводиться оценка воздействия остаточного риска по каждому из видов негативных последствий, указанных в графе 9.
17. В графе 17 должен указываться уровень остаточного риска платформы.
18. В графе 18 должно указываться принятое решение (предложение) о способе реагирования на остаточный риск платформы и его краткое обоснование, а также должностное лицо (наименование должности, фамилия, имя, отчество (при наличии последнего), принявшее решение (подготовившее предложение).
19. В графе 19 должно приводиться краткое описание разрабатываемых, реализуемых и предлагаемых мер реагирования на остаточный риск платформы (включая информацию о документах, в которых зафиксировано решение о мерах реагирования, и других документах, имеющих отношение к принятому решению) (при наличии).
20. В графе 20 по каждой мере реагирования, включенной в графу 19, должно указываться подразделение Банка России, ответственное за реализацию меры реагирования.
21. В графах 21 и 22 по каждой мере реагирования, включенной в графу 18, должны указываться установленные (предлагаемые) и фактические сроки реализации мер реагирования. После реализации мер реагирования информация о них в рамках повторной самооценки подлежит отражению в графе 15.
22. В графе 23 должна указываться дата регистрации (актуализации) данных о значимом риске платформы.
Приложение 8
к Положению Банка России
от “__”_________ ____ года № ____-П
«О порядке управления рисками и
непрерывностью функционирования
платформы цифрового рубля»
Таблица
для мониторинга уровня значимого риска
| № п/п | Наименование КИР | Подразделение, осуществляющее мониторинг КИР | Расчетное значение КИР | Нарушение порогового значения (уровня) КИР (фактическое значение КИР) | Уровень и зона значимого риска | Дата, по состоянию на которую выполнен мониторинг КИР | Причина нарушения порогового значения (уровня) | Принятые меры реагирования | Подразделение, ответственное за реализацию мер реагирования | Установленный срок реализации мер реагирования | Фактический срок реализации мер реагирования |
|---|---|---|---|---|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | 11 | 12 |
Требования
к заполнению таблицы для мониторинга уровня значимого риска
1. В графе 1 указывается номер записи по порядку.
2. В графе 2 должно указываться краткое наименование КИР.
3. В графе 3 должно указываться структурное подразделение подразделения Банка России, осуществляющее мониторинг КИР.
4. В графе 4 должно указываться расчетное значение КИР.
5. В графе 5 должна приводиться информация о нарушении КИР порогового значения (уровня) с указанием фактического значения КИР.
6. В графе 6 должен указываться уровень и зона риска (рисков), мониторинг которого (которых) осуществляется с использованием КИР согласно расположения рисков на карте рисков (приложение 2 к Положению).
7. В графе 7 должна указываться дата, по состоянию на которую выполнена проверка на предмет нарушения КИР порогового значения (уровня).
8. В графе 8 должны указываться причины нарушения КИР порогового значения (уровня), а также подтверждающие документы (при наличии), имеющие отношение к нарушению КИР порогового значения (уровня).
9. В графе 9 должны быть описаны принятые меры реагирования при нарушении КИР порогового значения (уровня), в том числе документы (при наличии), которыми они зафиксированы (оформлены, установлены).
10. В графе 10 должно указываться структурное подразделение подразделения Банка России, должностное лицо или коллегиальный орган, ответственные за реализацию мер реагирования.
11. В графах 11 и 12 должны указываться установленный и фактический сроки реализации мер реагирования.
Приложение 9
к Положению Банка России
от “__”_________ ____ года № ____-П
«О порядке управления рисками и
непрерывностью функционирования
платформы цифрового рубля»
Параметры КИР
| № п/п | Наименование КИР | Описание КИР | Название подразделения, разработавшего КИР | Риск (риски) | Подразделение, возглавляемое владельцем бизнес-процесса | Подразделение, осуществляющее мониторинг уровня значимого риска | Порядок определения расчетных значений КИР | Источники информации | Порядок представления информации | Периодичность мониторинга уровня значимого риска | Пороговое значение (уровень) | Вероятность риска при достижении порогового значения (уровня) | Уровень риска при достижении порогового значения (уровня) | Обоснование порогового значения (уровня) | Меры реагирования | Дата начала мониторинга уровня значимого риска | Дата согласования (отмены) КИР |
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | 11 | 12 | 13 | 14 | 15 | 16 | 17 | 18 |
Требования
к заполнению параметров КИР
1. В графе 1 указывается номер записи по порядку.
2. В графе 2 должно указываться краткое наименование КИР.
3. В графе 3 должно приводиться описание того, что характеризует КИР (смысловое описание КИР).
4. В графе 4 должно указываться структурное подразделение подразделения Банка России, разработавшее КИР.
5. В графе 5 должен указываться значимый (значимые) риск (риски) платформы, мониторинг уровня (уровней) которого (которых) осуществляется с использованием КИР.
6. В графе 6 должно указываться структурное подразделение подразделения Банка России, возглавляемое владельцем БП платформы.
7. В графе 7 должно указываться структурное подразделение подразделения Банка России, осуществляющее мониторинг уровня значимого риска платформы.
8. В графе 8 должен указываться порядок определения расчетных значений (уровней) КИР (формула, алгоритм расчета или текстовое описание порядка определения расчетных значений КИР).
9. В графе 9 должны указываться источники информации для определения расчетных значений (уровней) КИР (данные информационных систем, информация подразделений Банка России.
10. В графе 10 должны указываться структурное подразделение подразделения Банка России, представляющие необходимую информацию, и порядок ее представления.
11. В графе 11 должна указываться периодичность актуализации расчетных значений (уровней) КИР (в режиме реального времени, по состоянию на определенную дату (определенное время).
12. В графе 12 должно указываться пороговое значение (уровень) КИР.
13. В графе 13 должна указываться вероятность реализации значимого риска, соответствующая пороговому значению (уровню) КИР.
14. В графе 14 должны указываться уровни значимых рисков платформы, соответствующие достижению КИР порогового значения (уровня).
15. В графе 15 должно указываться обоснование установленного порогового значения (уровня) КИР.
16. В графе 16 должна приводиться информация о планируемых мерах реагирования при достижении КИР порогового значения (уровня), в том числе о принимающих их структурных подразделениях подразделений Банка России, и порядке принятия указанных мер.
17. В графе 17 должна указываться дата начала мониторинга уровня значимого риска платформы, которая устанавливается с учетом необходимого структурным подразделениям подразделений Банка России, времени для начала мониторинга уровня значимого риска платформы и времени, необходимого для доведения до них информации об утвержденных параметрах КИР.
18. В графе 18 должна указываться дата согласования (отмены) КИР.
Пояснительная записка
к проекту положения Банка России
«О порядке управления рисками и непрерывностью функционирования платформы цифрового рубля»
Проект положения Банка России «О порядке управления рисками и непрерывностью функционирования платформы цифрового рубля» (далее - проект положения) разработан в соответствии с полномочиями Банка России, установленными частью 1 статьи 30.7 Федерального закона от 27 июня 2011 года № 161-ФЗ «О национальной платежной системе».
Подготовка проекта положения осуществляется в соответствии с требованиями пункта 6 части 1, пункта 4 части 11 статьи 30.7 Федерального закона от 27 июня 2011 года № 161-ФЗ «О национальной платежной системе», статьи 82.10 Федерального закона от 10 июля 2002 года № 86-ФЗ «О Центральном банке Российской Федерации (Банке России)».
Проект положения устанавливает порядок управления рисками и непрерывностью функционирования платформы цифрового рубля в Банке России, в том числе проект положения регламентирует:
организацию системы управления рисками платформы цифрового рубля, оценку и управление рисками платформы цифрового рубля в Банке России;
управление непрерывностью функционирования платформы цифрового рубля, включающее выявление и регистрацию риск-событий, способных оказать воздействие на деятельность Банка России, а также необходимость применения ответных мер, в том числе разработку сценариев плана действий, направленных на обеспечение непрерывности деятельности и (или) восстановление деятельности Банка России как оператора платформы.
Проект положения вступает в силу по истечении 10 дней после дня его официального опубликования, за исключением положений, для которых установлены иные сроки вступления в силу.
Оценка регулирующего воздействия на официальном сайте Банка России в сети «Интернет» проводится в течение 14 календарных дней с 17 по 31 июля 2024 года.
Замечания и предложения по проекту указания просим направлять в Департамент национальной платежной системы на адрес электронной почты svc_DNPS_M_COCR@cbr.ru.
Обзор документа
Разработан порядок управления рисками и непрерывностью функционирования платформы цифрового рубля.
