Вопрос: Об отдельных вопросах, касающихся обеспечения кредитными организациями операционной надежности при осуществлении банковской деятельности.
Приложение
Вопросы кредитных организаций по порядку применения
требований Положения Банка России от 13.01.2025 N 850-П
"Об обязательных для кредитных организаций, иностранных
банков, осуществляющих деятельность на территории
Российской Федерации через свои филиалы, требованиях
к операционной надежности при осуществлении банковской
деятельности в целях обеспечения непрерывности оказания
банковских услуг" <1>
--------------------------------
<1> Далее - Положение N 850-П.
Вопрос 1
В соответствии с абзацем 4 пункта 4 Положения N 850-П кредитные организации должны установить в числе показателей операционной надежности показатель "допустимое суммарное время простоя и (или) деградации технологического процесса кредитных организаций (в случае несоблюдения сигнального значения допустимой доли деградации технологического процесса) в течение очередного календарного года".
В соответствии с абзацем 4 пункта 5 Положения N 850-П в случаях несоблюдения в течение временного периода, превышающего пять минут, сигнального значения допустимой доли деградации технологических процессов кредитные организации должны фиксировать суммарное время простоя и (или) деградации технологического процесса за последние двенадцать календарных месяцев.
Правильно ли банки понимают, что в терминах Положения N 850-П понятия "в течение очередного календарного года" и "за последние двенадцать календарных месяцев" являются тождественными?
Вопрос 2
Каким критериям должно удовлетворять событие, чтобы в соответствии с Положением N 850-П признать его инцидентом операционной надежности?
Вопрос 3
В соответствии с пунктом 5 Положения N 850-П в случаях несоблюдения в течение временного периода, превышающего пять минут, сигнального значения допустимой доли деградации технологических процессов кредитные организации должны фиксировать фактические значения показателей операционной надежности.
3.1. В целях фиксации фактического времени простоя и (или) деградации технологического процесса какой момент следует считать восстановлением технологического процесса:
а) момент, когда перестает нарушаться сигнальное значение допустимой доли деградации;
б) момент полного восстановления работоспособности технологического процесса (т.е. момент, когда доля деградации равна 1)?
3.2. Какую фактическую долю деградации и какое фактическое время простоя следует фиксировать в ситуации, когда на протяжении времени от момента нарушения работоспособности технологического процесса до его полного восстановления средняя доля деградации не нарушает установленное сигнальное значение допустимой доли деградации, при этом на отдельных временных промежутках от момента нарушения работоспособности технологического процесса до его полного восстановления допустимая доля деградации нарушается?
3.3. Какое количество инцидентов операционной надежности необходимо регистрировать в следующем случае: 10 минут наблюдается нарушение сигнального значения допустимой доли деградации, затем 10 минут допустимая доля деградации не нарушена, однако технологический процесс не восстановлен на 100% (возникают единичные отказы в проведении операций), после чего еще 10 минут наблюдается нарушение допустимой доли деградации?
Вопрос 4
Форма представления участниками информационного обмена данных о выявлении инцидента операционной надежности, размещенная на информационном портале АСОИ ФинЦЕРТ в разделе "Информация ФинЦЕРТ", предусматривает заполнение информации о качественных потерях по результатам расследования инцидента операционной надежности (поле "Качественные потери" является обязательным для заполнения).
В соответствии с пунктом 9.2.1 Положения Банка России от 08.04.2020 N 716-П "О требованиях к системе управления операционным риском в кредитной организации и банковской группе" банк с универсальной лицензией, размер активов которого составляет менее 500 миллиардов рублей на начало текущего отчетного года, не обязан фиксировать в базе событий операционного риска информацию о качественных потерях.
Какого подхода следует придерживаться при заполнении информации о качественных потерях в рамках сообщения информации по результатам расследования инцидента операционной надежности в случае, когда банк вправе не осуществлять оценку качественных потерь?
Вопрос 5
Банки сообщают о случаях, при которых количество операций в рамках одного из технологических процессов, указанных в Приложении 1 к Положению N 850-П и реализуемых кредитной организацией, очень мало (одна операция в час или одна операция в день и менее). В таком случае несовершение хотя бы одной операции повлечет за собой нарушение порогового значения допустимой доли деградации. Кроме того, при сравнении фактических значений доли деградации такого технологического процесса с долей деградации технологического процесса, где количество операций существенно выше и фактическая доля деградации может находиться в пределах между сигнальным и пороговым значением, у органов управления кредитной организации может складываться ложное впечатление о том, в каком процессе на самом деле происходит ненадлежащее оказание банковских услуг.
Кредитные организации предлагают рассмотреть возможность:
- целесообразности установления показателей операционной надежности, а также фиксации их фактических значений для технологических процессов кредитной организации, количество осуществляемых операций в рамках которых несущественно;
- установления минимального количества операций в час/день/месяц, выполняемых в рамках технологического процесса, при котором необходимо устанавливать показатели операционной надежности (соответственно, в случае недостижения минимального количества операций, выполняемых в рамках технологического процесса, не устанавливать показатели операционной надежности для этого технологического процесса).
Ответ: Департамент информационной безопасности Банка России рассмотрел обращение от 18.07.2025 о разъяснении требований Положения N 850-П <1> (далее - обращение) и сообщает следующее.
--------------------------------
<1> Положение Банка России от 13.01.2025 N 850-П "Об обязательных для кредитных организаций, иностранных банков, осуществляющих деятельность на территории Российской Федерации через свои филиалы, требованиях к операционной надежности при осуществлении банковской деятельности в целях обеспечения непрерывности оказания банковских услуг".
По вопросу 1. В абзаце четвертом пункта 4 Положения N 850-П раскрыто определение показателя операционной надежности как допустимого суммарного времени простоя и (или) деградации технологического процесса кредитных организаций (в случае несоблюдения в течение временного периода, превышающего пять минут, сигнального значения допустимой доли деградации технологического процесса) в рамках очередного календарного года, то есть с первого января по тридцать первое декабря.
При этом в соответствии с абзацем четвертым пункта 5 Положения N 850-П в случаях несоблюдения в течение временного периода, превышающего пять минут, сигнального значения допустимой доли деградации технологических процессов кредитные организации должны фиксировать суммарное время простоя и (или) деградации технологического процесса за последние двенадцать календарных месяцев без привязки к определению календарного года.
По вопросу 2. В соответствии с абзацем вторым пункта 4 Положения N 850-П инцидентом операционной надежности является событие операционного риска или серия связанных событий операционного риска, вызванных информационными угрозами и (или) сбоями объектов информационной инфраструктуры, которые привели к неоказанию или ненадлежащему оказанию банковских услуг.
По вопросу 3.1. Полагаем, что под моментом восстановления технологического процесса следует понимать момент начала соблюдения сигнальных значений показателей операционной надежности, в том числе соблюдения в течение временного периода, превышающего пять минут, сигнального значения допустимой доли деградации технологических процессов.
По вопросам 3.2 и 3.3. В соответствии с пунктом 5 Положения N 850-П обязанность фиксировать фактическую долю деградации технологического процесса в рамках отдельного инцидента операционной надежности возникает в случаях несоблюдения в течение временного периода, превышающего пять минут, сигнального значения допустимой доли деградации технологических процессов.
Дополнительно отмечаем, что под инцидентом операционной надежности в соответствии с абзацем вторым пункта 4 Положения N 850-П понимается как событие операционного риска, так и серия связанных событий операционного риска, вызванных информационными угрозами и (или) сбоями объектов информационной инфраструктуры, которые привели к неоказанию или ненадлежащему оказанию банковских услуг.
В связи с этим при определении инцидента операционной надежности как серии связанных событий операционного риска полагаем возможным применять подход, аналогичный определению однородности событий операционного риска в соответствии с пунктом 6.12 Положения N 716-П <2>.
--------------------------------
<2> Положение Банка России от 08.04.2020 N 716-П "О требованиях к системе управления операционным риском в кредитной организации и банковской группе".
По вопросу 4. Полагаем, что если на кредитную организацию не распространяются требования об оценке качественных потерь в соответствии с Положением N 716-П, то при заполнении формы представления участниками информационного обмена данных о результатах расследования инцидента операционной надежности, предусмотренной приложением 17 к СТО БР БФБО-1.5-2023 <3>, поле "Качественные потери" не является обязательным для заполнения.
--------------------------------
<3> Стандарт Банка России СТО БР БФБО-1.5-2023 "Безопасность финансовых (банковских) операций. Управление инцидентами, связанными с реализацией информационных угроз, и инцидентами операционной надежности. О формах и сроках взаимодействия Банка России с кредитными организациями, некредитными финансовыми организациями и субъектами национальной платежной системы при выявлении инцидентов, связанных с реализацией информационных угроз, и инцидентов операционной надежности".
По вопросу 5. Если в кредитной организации реализована возможность выполнения технологического процесса, то кредитная организация обязана установить и соблюдать сигнальные и контрольные значения допустимой доли деградации технологических процессов в соответствии с пунктом 4 Положения N 850-П.
Необходимость установления сигнальных и контрольных значений показателей операционной надежности по технологическим процессам, которые не функционируют в кредитной организации (соответствующие банковские и иные операции не осуществляются), отсутствует.
Факт того, что отдельные технологические процессы в кредитной организации не функционируют (соответствующие банковские и иные операции не осуществляются), целесообразно зафиксировать во внутренних документах кредитной организации.
С учетом срока вступления в силу Положения N 850-П и его отдельных положений в настоящее время отсутствует достаточное количество статистической информации и правоприменительной практики для оценки целесообразности совершенствования регулирования. В связи с этим полагаем, что содержащиеся в обращении предложения, связанные с внесением изменений в Положение N 850-П, являются преждевременными.
Дополнительно отмечаем, что если в рамках технологического процесса осуществляется незначительное число операций, то полагаем целесообразным отмечать указанный факт при фиксации информации в соответствии с пунктом 5 Положения N 850-П, регистрации инцидентов операционной надежности в соответствии с абзацем пятым пункта 12 Положения N 850-П, информировании Банка России в порядке, предусмотренном пунктом 13 Положения N 850-П, и информировании совета директоров (наблюдательного совета) в порядке, предусмотренном пунктом 5.4 Положения N 716-П.
Заместитель директора Департамента
информационной безопасности
А.О.ВЫБОРНОВ
15.08.2025