В 2016 году Банк России утвердил методические рекомендации по обеспечению непрерывности деятельности некредитных финансовых организаций от 18 августа 2016 года №28-МР. В которых особое снимание уделил вопросу обеспечения информационной безопасности в некредитной финансовой организации и работе сотрудников в чрезвычайных ситуациях.
Наши эксперты подготавливают необходимые документы по обеспечению информационной безопасности и обеспечению непрерывности деятельности некредитной финансовой организации:
А. Документы, подготовленные в соответствии с общими рекомендациями методических рекомендаций:
- Политика информационной безопасности
- Должностная инструкция администратора информационной безопасности
- Приказ об утверждении положения об информационной безопасности и назначении ответственных за защиту информации
- Приказ об утверждении перечня информационных ресурсов
- Приказ о защищаемых помещениях и помещениях ограниченного доступа
- Перечень помещений с ограниченным доступом
- Список сотрудников, имеющих доступ в помещения с ограниченным доступом
- Технический паспорт защищаемого помещения
- План действий по обеспечению информационной безопасности
- План работ по защите информации
- Порядок доступа к информационным, программным и аппаратным ресурсам
- Приказ о порядке доступа к информационным ресурсам и утверждении их перечня
- Положение об использовании программного обеспечения
- Приказ об использовании программного обеспечения
- Положение об использовании сети Интернет и электронной почты
- Список адресов электронной почты сотрудников
- Приказ об использовании сети интернет и электронной почты
- Положение по организации парольной защиты
- Приказ по организации парольной защиты
- Положение о резервном копировании
- Приказ о резервном копировании
- Положение об антивирусном контроле
- Приказ об антивирусном контроле
- Положение об использовании мобильных устройств и носителей информации
- План обеспечения непрерывности работы и восстановления автоматизированной системы
- Приказ об введение в действие плана
- Регламент реагирования на инциденты информационной безопасности
- Памятка по информационной безопасности
- Обязательная документация по ГО и ЧС.
Б. Документы, подготовленные в соответствии с дополнительными рекомендациями методических рекомендаций:
- Политика обеспечения непрерывности деятельности.
- План управления инцидентом.
- План обеспечения непрерывности деятельности и восстановления деятельности.
- Плановое (целевое) время возобновления деятельности и восстановления критически важных процессов (RTO).
- Порядок, способы, ресурсы и сроки осуществления мероприятий по предотвращению, снижению влияния и ликвидации последствий возможного нарушения режима повседневного функционирования организации, вызванного чрезвычайными ситуациями.
- Перечень факторов возникновения чрезвычайных ситуаций, которые способны привести к приостановлению критически важных процессов, и порядок активации Плана непрерывности деятельности при воздействии каждого из факторов.
- Включение в План непрерывности деятельности процедур, выполнение которых в режиме повседневного функционирования организации необходимо для успешной реализации Плана непрерывности деятельности (в том числе процедуры, направленные на обеспечение безопасности информационных систем).
- Перечень критически важных процессов, а также приоритетов их восстановления.
- Порядок осуществления критически важных процессов в условиях чрезвычайных ситуаций, если они подвергаются изменению под воздействием чрезвычайных ситуаций.
- Порядок взаимодействия между органами управления и сотрудниками организации в условиях чрезвычайных ситуаций, в том числе полномочия органов управления, подразделений и сотрудников организации по реализации мероприятий в рамках Плана непрерывности деятельности.
- Порядок экстренного оповещения и способа связи между органами управления, подразделениями и сотрудниками организации, информация о контактах экстренных оперативных служб (телефонные номера) и внутренние контакты (телефонные номера, адреса электронной почты) лиц, ответственных за выполнение мероприятий в рамках Плана непрерывности деятельности.
- Порядок информирования клиентов и контрагентов организации, а также Банка России о возникновении и возможных последствиях чрезвычайных ситуаций.
- Порядок пересмотра (актуализации) Плана непрерывности деятельности.
- Порядок резервного копирования информации и баз данных, обслуживающих критически важные процессы, на резервные машинные носители информации для возобновления указанных процессов в случае утраты или повреждения информации или баз данных вследствие возникновения чрезвычайных ситуаций.
- Программа обучения ответственных сотрудников организации по вопросам обеспечения безопасности и непрерывности функционирования критически важных процессов.
- Порядок управления доступом к информационным системам, обслуживающим критически важные процессы, в том числе управление правами и привилегиями пользователей информационных систем, разграничение доступа к указанным системам на основе совокупности установленных в них правил разграничения доступа, а также контроль соблюдения этих правил.
- Порядок составления и представления уполномоченному органу отчета о непрерывности деятельности организации.
Документы предоставляются в формате .doc (MS Word). По любому вопросу звоните по телефону +7(952) 045-74-83 (Viber, WhatsApp) или пишите на электронную почту info@law115.ru.
Образец плана обеспечения непрерывности деятельности финансовой организации
1 Документы, разработанные на основании общих рекомендаций (главы 1-2) |
Бюро кредитных историй (БКИ), количество титульных частей кредитных историй в которых менее 20 млн. Кредитные рейтинговые агентства (КРА). Ломбарды. Микрокредитные компании (МКК). Кредитные потребительские кооперативы (СКПК). Сельскохозяйственные кредитные потребительские кооперативы (СКПК). Жилищные накопительные кооперативы (ЖНК). Брокер, осуществляющий деятельность только по заключению договоров, являющихся производными финансовыми инструментами, базисным активом которых является товар; Брокер, не имеющий права на основании договора на брокерское обслуживание с клиентом использовать в своих интересах денежные средства клиентов и совершать сделки с ценными бумагами и производными финансовыми инструментами за счет клиентов без привлечения другого брокера (агента), являющегося участником торгов и участником клиринга. Брокер и (или) доверительный управляющий, имеющий менее 100 клиентов. Брокер, объем операций на рынке ценных бумаг, совершенных по поручениям клиентов, которого за один из последних четырех кварталов не превышает 100 млрд рублей; Депозитарий, у которого отсутствуют счета номинального держателя, открытые им для других депозитариев. Дилер, объем операций на рынке ценных бумаг которого за один из последних четырех кварталов не превышает 100 млрд рублей. Доверительный управляющий, объем операций на рынке ценных бумаг, совершенных в интересах клиентов, которого за один из последних четырех кварталов не превышает 100 млрд рублей. Страховщики, кроме системно значимых страховых организаций. Страховщики, кроме страховых организаций, осуществляющих страхование выезжающих за рубеж и добровольное медицинское страхование; Страховщики, кроме осуществляющих страхование в соответствии с пп. 24 п. 1 ст. 32.9 Закона РФ от 27.11.1992 N 4015-1 "Об организации страхового дела в Российской Федерации" (иные виды страхования, предусмотренные федеральными законами о конкретных видах обязательного страхования). |
2 Документы, разработанные на основании общих и дополнительных рекомендаций (главы 1-3) |
Иные некредитные финансовые организации, в том числе микрофинансовые компании (МФК). |
3 Документы, разработанные, на основании общих, дополнительных и специальных (иных) рекомендаций (главы 1-4) |
Организаторы торговли, являющиеся биржами. Депозитарий, являющийся эмитентом российских депозитарных расписок. Депозитарий, являющийся расчетным депозитарием. Регистратор. Системно значимые страховые организации. Бюро кредитных историй (БКИ), количество титульных частей кредитных историй в которых превышает 20 млн. |
Основные (общие) рекомендации по обеспечению непрерывности деятельности НФО
Под непрерывностью деятельности понимается обеспечение режима повседневного функционирования внутренних критически важных процессов финансовой организации. Под критически важными процессами понимаются процессы, приостановление которых влечет нарушение нормального осуществления деятельности финансовой организации, ее контрагентов и (или) ее клиентов, в том числе создает угрозу полной утраты их жизнеспособности.
В целях обеспечения непрерывности деятельности НФО рекомендуется:
- определить критически важные процессы;
- определить перечень возможных чрезвычайных ситуаций исходя из оценки возможного ущерба и негативных последствий для финансовой организации, ее контрагентов и клиентов вследствие нарушения обеспечения непрерывности деятельности с учетом вероятности и времени возникновения таких нарушений, а также специфики и масштаба деятельности финансовой организации;
- выявлять и проводить анализ факторов возникновения чрезвычайных ситуаций, которые способны привести к приостановлению критически важных процессов.
Финансовой организации рекомендуется определять перечень возможных чрезвычайных ситуаций с учетом норм Федерального закона от 21 декабря 1994 года N 68-ФЗ "О защите населения и территорий от чрезвычайных ситуаций природного и техногенного характера", но не ограничиваясь ими. При анализе факторов рекомендуется проводить оценку вероятности возникновения чрезвычайной ситуации и определять степень и характер ее влияния на непрерывность деятельности финансовой организации.
Финансовой организации рекомендуется проводить анализ факторов не реже одного раза в год и в случае необходимости пересматривать (актуализировать) их.
В целях обеспечения непрерывности функционирования информационных систем финансовой организации рекомендуется:
- определить перечень информационных систем и обрабатываемой информации, используемых для обслуживания критически важных процессов;
- обеспечить внедрение и настройку программно-технических средств, обеспечивающих защиту информационных систем;
- разработать политику информационной безопасности финансовой организации и на постоянной основе осуществлять мероприятия по защите информационных систем от противоправных действий;
- проводить постоянный мониторинг текущего состояния информационных систем и их программно-технических средств и принимать своевременные меры по устранению выявленных недостатков.
Для обеспечения непрерывности деятельности руководству финансовой организации рекомендуется:
- распределить ответственность и полномочия между сотрудниками финансовой организации на случай возникновения чрезвычайной ситуации;
- организовать постоянный контроль непрерывности деятельности финансовой организации;
- проводить мероприятия по обеспечению информационной безопасности.
При привлечении к осуществлению критически важных процессов сторонних организаций финансовой организации рекомендуется убедиться, что указанные организации также принимают меры для обеспечения непрерывности собственной деятельности и (или) что предоставляемые такими сторонними организациями продукты и услуги, в случае сбоев и (или) нарушений в их предоставлении, могут быть оперативно предоставлены другими организациями.
Некредитные финансовые организации, которые обязаны применять общие рекомендации
№ |
Вид деятельности |
Критерий |
1 |
Деятельность бюро кредитных историй |
Финансовые организации, осуществляющие деятельность бюро кредитных историй и включенные в государственный реестр бюро кредитных историй, количество титульных частей кредитных историй в которых менее 20 млн |
2 |
Деятельность кредитных рейтинговых агентств |
Финансовые организации, осуществляющие деятельность кредитных рейтинговых агентств |
3 |
Деятельность ломбардов |
Финансовые организации, осуществляющие деятельность ломбардов |
4 |
Деятельность микрофинансовых организаций, кредитных потребительских кооперативов, сельскохозяйственных кредитных потребительских кооперативов и жилищных накопительных кооперативов |
Финансовые организации, контроль и надзор за которыми в соответствии с приказом Банка России от 11.12.2015 N ОД-3565 "О распределении обязанностей по контролю и надзору за соблюдением законодательства Российской Федерации саморегулируемыми организациями кредитных потребительских кооперативов, микрофинансовыми организациями, ломбардами, кредитными потребительскими кооперативами, сельскохозяйственными кредитными потребительскими кооперативами, жилищными накопительными кооперативами в Банке России" осуществляют территориальные учреждения Банка России |
5 |
Деятельность профессиональных участников рынка ценных бумаг |
1) Брокер, осуществляющий деятельность только по заключению договоров, являющихся производными финансовыми инструментами, базисным активом которых является товар; 2) брокер, не имеющий права на основании договора на брокерское обслуживание с клиентом использовать в своих интересах денежные средства клиентов и совершать сделки с ценными бумагами и производными финансовыми инструментами за счет клиентов без привлечения другого брокера (агента), являющегося участником торгов и участником клиринга; 3) брокер и (или) доверительный управляющий, имеющий менее 100 клиентов; 4) брокер, объем операций на рынке ценных бумаг, совершенных по поручениям клиентов, которого за один из последних четырех кварталов не превышает 100 млрд. рублей; 5) депозитарий, у которого отсутствуют счета номинального держателя, открытые им для других депозитариев; 6) дилер, объем операций на рынке ценных бумаг которого за один из последних четырех кварталов не превышает 100 млрд. рублей; 7) доверительный управляющий, объем операций на рынке ценных бумаг, совершенных в интересах клиентов, которого за один из последних четырех кварталов не превышает 100 млрд. рублей |
6 |
Деятельность страховых организаций и обществ взаимного страхования |
1) Страховщики, кроме системно значимых страховых организаций; 2) страховщики, кроме страховых организаций, осуществляющих страхование выезжающих за рубеж и добровольное медицинское страхование; 3) страховщики, кроме осуществляющих страхование в соответствии с подпунктом 24 пункта 1 статьи 32.9 Закона РФ от 27.11.1992 N 4015-1 "Об организации страхового дела в Российской Федерации" |
Дополнительные рекомендации по обеспечению непрерывности деятельности НФО
НФО следует установить плановое (целевое) время возобновления деятельности и восстановления критически важных процессов на основе максимально приемлемого периода нарушения деятельности организации. Для отдельных видов услуг Банк России установли плановое (целевое) время восстановления процессов.
НФО следует иметь утвержденный советом директоров (наблюдательным советом), а в случае его отсутствия единоличным исполнительным органом организации план обеспечения непрерывности деятельности и (или) восстановления деятельности финансовой организации в случае возникновения чрезвычайных ситуаций. Финансовым организациям рекомендуется разработать План непрерывности в форме отдельного документа. При этом в случае осуществления нескольких видов деятельности финансовая организация может разработать как единый План непрерывности деятельности, так и несколько скоординированных Планов непрерывности деятельности для каждого отдельного вида деятельности финансовой организации. Клиринговой организацией, рекомендуется дополнить правила управления рисками положениями, основанными на настоящих методических рекомендациях, в том числе касающихся Плана непрерывности деятельности. Финансовой организации в случае возникновения чрезвычайной ситуации рекомендуется следовать утвержденному Плану непрерывности деятельности.
В План непрерывности деятельности финансовой организации рекомендуется включить:
- цели, приоритеты и задачи, решаемые в рамках Плана непрерывности деятельности;
- порядок, способы, требуемые ресурсы и сроки осуществления мероприятий по предотвращению, снижению влияния и ликвидации последствий возможного нарушения режима повседневного функционирования финансовой организации, вызванного чрезвычайными ситуациями;
- перечень факторов и порядок активации Плана непрерывности деятельности при воздействии каждого из факторов;
- процедуры, выполнение которых в режиме повседневного функционирования финансовой организации необходимо для успешной реализации Плана непрерывности деятельности (в том числе процедуры, направленные на обеспечение безопасности информационных систем);
- сценарии нарушения непрерывности деятельности, а также восстановления деятельности и критически важных процессов;
- перечень критически важных процессов, а также приоритеты их восстановления;
- плановое (целевое) время восстановления каждого из критически важных процессов;
- порядок осуществления критически важных процессов в условиях чрезвычайных ситуаций, если они подвергаются изменению под воздействием чрезвычайных ситуаций;
- порядок взаимодействия между органами управления и сотрудниками финансовой организации в условиях чрезвычайных ситуаций, в том числе с учетом взаимозаменяемости сотрудников финансовой организации;
- порядок экстренного оповещения и способ связи между органами управления, подразделениями и сотрудниками финансовой организации;
- информацию о контактах экстренных оперативных служб (телефонные номера) и внутренние контакты (телефонные номера, адреса электронной почты) лиц, ответственных за выполнение мер по восстановлению нормального функционирования критически важных процессов;
- порядок информирования клиентов и контрагентов финансовой организации, а также Банка России о возникновении и возможных последствиях чрезвычайных ситуаций;
- полномочия органов управления, подразделений и сотрудников финансовой организации по реализации мероприятий в рамках Плана непрерывности деятельности.
- Финансовой организации рекомендуется:
- не реже одного раза в два года проводить пересмотр (актуализацию) Плана непрерывности деятельности;
- ознакомить с утвержденным (актуализированным) Планом непрерывности деятельности сотрудников, ответственных за его исполнение;
- включать в должностные инструкции сотрудников организации, участвующих в процессе обеспечения непрерывности деятельности, необходимые положения, отражающие их роли и обязанности в рамках исполнения Плана непрерывности деятельности.
В части обеспечения непрерывности функционирования информационных систем финансовой организации также рекомендуется:
- осуществлять ежедневное резервное копирование информации и баз данных, обслуживающих критически важные процессы, на резервные машинные носители информации для возобновления указанных процессов в случае утраты или повреждения информации или баз данных вследствие возникновения чрезвычайных ситуаций;
- обеспечить фиксацию и регистрацию изменений в факторах, вызвавших чрезвычайную ситуацию, а также действий по устранению последствий ее наступления;
- обеспечить регулярное обучение сотрудников финансовой организации, ответственных за обслуживание критически важных процессов, по вопросам обеспечения безопасности и непрерывности функционирования указанных процессов;
- обеспечить управление доступом к информационным системам, обслуживающим критически важные процессы, в том числе управление правами и привилегиями пользователей информационных систем, разграничение доступа к указанным системам на основе совокупности установленных в них правил разграничения доступа, а также контроль соблюдения этих правил.
НФО во внутренних документах рекомендуется предусмотреть составление и представление определенному в указанных документах уполномоченному органу управления не реже одного раза в год отчета о непрерывности деятельности финансовой организации.
НФО рекомендуется учитывать указанный отчет при принятии управленческих решений, включая стратегическое развитие финансовой организации.
Иные рекомендации по обеспечению непрервыности деятельности НФО
НФО, являющейся инфраструктурной организацией, рекомендуется включить в отчет, результаты расчета показателей оценки непрерывности деятельности инфраструктурной организации. Указанный отчет также рекомендуется представлять в Департамент рынка ценных бумаг и товарного рынка Банка России в форме электронного документа с усиленной квалифицированной электронной подписью (далее - УКЭП) посредством телекоммуникационных каналов связи, в том числе через информационно-телекоммуникационную сеть "Интернет", в порядке, установленном Указанием Банка России от 21 декабря 2015 года N 3906-У «О порядке взаимодействия Банка России с некредитными финансовыми организациями и другими участниками информационного обмена при использовании ими информационных ресурсов Банка России, в том числе личного кабинета, а также порядке и сроках направления другими участниками информационного обмена уведомления об использовании или уведомления об отказе от использования личного кабинета».
Утвержденный уполномоченным органом управления финансовой организации План непрерывности деятельности, в том числе после его пересмотра (актуализации), рекомендуется направлять в структурное подразделение центрального аппарата или территориальное учреждение Банка России, осуществляющее надзор за финансовой организацией, разработавшей соответствующий план, в форме электронного документа с УКЭП посредством телекоммуникационных каналов связи, в том числе через информационно-телекоммуникационную сеть "Интернет", в порядке, установленном Указанием N 3906-У.
Финансовой организации рекомендуется проводить тестирование Плана непрерывности деятельности не реже одного раза в год с моделированием потенциальных чрезвычайных ситуаций и привлечением сотрудников финансовой организации.
Финансовой организации с целью обеспечения непрерывности деятельности рекомендуется в рамках организации системы управления рисками разработать внутренние документы, содержащие методики оценки типичных рисков организации, а также политику управления рисками, включающую профиль риска финансовой организации.
Финансовой организации рекомендуется иметь резервный офис, который функционально мог бы дублировать работу основного офиса финансовой организации в части осуществления критически важных процессов и обеспечивать непрерывность деятельности путем оперативного переключения управления на него в случае невозможности осуществления критически важных процессов в основном офисе.
При этом рекомендуется обеспечить соблюдение следующих характеристик основного и резервного офисов, а также условий организации их функционирования:
- расположить резервный офис на территории Российской Федерации в достаточной территориальной отдаленности от основного офиса с учетом возможности сотрудников финансовой организации продолжить работу в резервном офисе в максимально короткие сроки <1> с момента возникновения чрезвычайных ситуаций;
- обеспечить наличие работоспособных независимых генераторов электричества необходимой мощности в основном и резервном офисах;
- использовать не менее двух поставщиков телекоммуникационных услуг для основного и резервного офисов;
- определить количество рабочих мест и техническое оснащение резервного офиса, достаточных для восстановления нормального функционирования критически важных процессов;
- обеспечить возможность начала функционирования резервного офиса финансовой организации в кратчайшие сроки после возникновения чрезвычайных ситуаций, в том числе возобновления в нем критически важных процессов в плановое (целевое) время восстановления;
- обеспечить возможность незамедлительного с момента возникновения чрезвычайных ситуаций начала работы по переносу критически важных процессов, осуществляемых с использованием программно-технических средств финансовой организации (далее - программно-технические средства), из основного офиса в резервный офис;
- поддерживать техническое состояние, технологическое и методологическое сопровождение резервного офиса на уровне, достаточном для обеспечения возможности функционирования всех критически важных процессов финансовой организации и обеспечения возможности поддержания этих процессов в течение одного месяца с момента возникновения чрезвычайной ситуации.
Адрес резервного офиса рекомендуется включить в План непрерывности деятельности финансовой организации.
Финансовой организации рекомендуется:
- предусмотреть в структуре информационной системы возможность поддержки работы посредством "теплого", а для инфраструктурных организаций "горячего" резервирования серверов и синхронизации информационной базы данных между серверами, а также автоматической синхронизации времени во всех компонентах;
- осуществлять оценку пропускной способности линий связи и коммуникационного оборудования, а также быстродействия программно-технических средств информационных систем, в том числе путем проведения нагрузочного тестирования;
- обеспечить наличие достаточной пропускной способности линий связи и коммуникационного оборудования, а также достаточного быстродействия программно-технических средств информационных систем, и возможности их наращивания для обработки возросших объемов операций в периоды повышенной нагрузки;
- определить в Плане непрерывности деятельности максимально допустимый период для возобновления критически важных процессов в случае возникновения чрезвычайных ситуаций, по истечении которого существует угроза окончательной утраты жизнеспособности финансовой организации;
- проводить тестирование программно-технических средств основного и резервного офисов с учетом выявленных факторов не реже одного раза в год;
- разработать методические документы по тестированию и актуализации Планов непрерывности деятельности;
- разработать методику самооценки процесса обеспечения готовности к инцидентам и непрерывности деятельности финансовой организации;
- предусмотреть во внутренних документах подготовку и представление уполномоченному органу управления отчета, содержащего результаты тестирования программно-технических средств.
Некредитные финансовые организации которые обязаны применять дополнительные и иные рекомендации по обеспечению непрерывности деятельности
№ |
Вид деятельности |
Критерий |
1 |
Деятельность организатора торговли |
Организаторы торговли, являющиеся биржами |
2 |
Деятельность профессиональных участников рынка ценных бумаг |
1) Депозитарий, являющийся эмитентом российских депозитарных расписок; 2) депозитарий, являющийся расчетным депозитарием; 3) регистратор |
3 |
Деятельность страховых организаций |
Системно значимые страховые организации |
4 |
Деятельность бюро кредитных историй |
Бюро кредитных историй, включенных в государственный реестр бюро кредитных историй, количество титульных частей кредитных историй в которых превышает 20 млн. |