ПОЛОЖЕНИЕ ЦЕНТРАЛЬНОГО БАНКА РОССИЙСКОЙ ФЕДЕРАЦИИ

от 27 марта 2019 года №680-П

О порядке обеспечения бесперебойности функционирования платежной системы Банка России в части сервиса срочного перевода денежных средств и сервиса несрочного перевода денежных средств при предоставлении распоряжений о переводе денежных средств в электронном виде по каналам связи

Настоящее Положение на основании пункта 14 части 1 статьи 20 Федерального закона от 27 июня 2011 года №161-ФЗ "О национальной платежной системе" (Собрание законодательства Российской Федерации, 2011, №27, ст. 3872; 2012, №53, ст. 7592; 2013, №27, ст. 3477; №30, ст. 4084; №52, ст. 6968; 2014, №19, ст. 2315, ст. 2317; №43, ст. 5803; 2015, №1, ст. 8, ст. 14; 2016, №27, ст. 4221, ст. 4223; 2017, №15, ст. 2134; №18, ст. 2665; №30, ст. 4456; 2018, №27, ст. 3950, ст. 3952; №32, ст. 5115, №49, ст. 7524) (далее - Федеральный закон от 27 июня 2011 года №161-ФЗ), а также в соответствии с Положением Банка России от 3 октября 2017 года №607-П "О требованиях к порядку обеспечения бесперебойности функционирования платежной системы, показателям бесперебойности функционирования платежной системы и методикам анализа рисков в платежной системе, включая профили рисков", зарегистрированным в Министерстве юстиции Российской Федерации 22 декабря 2017 года №49386, устанавливает порядок обеспечения бесперебойности функционирования платежной системы Банка России в части сервиса срочного перевода денежных средств и сервиса несрочного перевода денежных средств при предоставлении распоряжений о переводе денежных средств в электронном виде по каналам связи.

Глава 1. Общие положения

1.1. Термины, используемые в настоящем Положении, применяются в значениях, установленных Федеральным законом от 27 июня 2011 года №161-ФЗ и Политикой управления рисками Банка России, введенной в действие 23 марта 2016 года.

1.2. Обеспечение бесперебойности функционирования платежной системы Банка России (далее - БФПС) достигается при условии оказания в платежной системе Банка России (далее - ПС) услуг платежной инфраструктуры (далее - УПИ) согласно требованиям Федерального закона от 27 июня 2011 года №161-ФЗ и принятых в соответствии с ним нормативных актов Банка России, определяющих правила ПС, договоров банковского (корреспондентского) счета (субсчета) и договоров об обмене электронными сообщениями при переводе денежных средств через ПС (далее - надлежащее оказание УПИ) и (или) восстановления надлежащего оказания УПИ с момента выявления и регистрации риск-события, которое привело к нарушению надлежащего оказания УПИ (далее - инцидент), и восстановления оказания УПИ в случае приостановления их оказания с момента выявления и регистрации инцидента, который привел к приостановлению оказания соответствующей (соответствующих) УПИ.

Время восстановления оказания УПИ в случае приостановления их оказания, в том числе перехода на оказание УПИ с использованием резервных технологий и (или) резервных автоматизированных систем, составляет не более чем 2 часа. Время восстановления надлежащего оказания УПИ с учетом времени возврата на основное автоматизированное решение составляет не более чем 48 часов.

1.3. Надлежащим оказанием операционных услуг в части доступности операционного центра ПС признается оказание операционных услуг в течение временного интервала, не превышающего 2 минут.

Гарантированным уровнем бесперебойности оказания операционных услуг, характеризующим качество функционирования операционных и технологических средств платежной инфраструктуры, является доступность операционного центра ПС не менее чем на 99,00% в течение операционного дня.

1.4. Надлежащим оказанием УПИ в части обеспечения конфиденциальности информации о переводе денежных средств через ПС, ее целостности, а также ее доступности признается отсутствие в течение 1 календарного месяца переводов денежных средств через ПС со счетов участников ПС без их согласия вследствие результативных компьютерных атак на объекты платежной инфраструктуры ПС, эксплуатация которых осуществляется Банком России.

Гарантированным уровнем бесперебойности оказания УПИ, характеризующим качество функционирования операционных и технологических средств платежной инфраструктуры, в части обеспечения конфиденциальности, целостности и доступности информации о переводе денежных средств через ПС является:

соблюдение порогового уровня индикатора противодействия информационным угрозам в ПС, расчет которого приведен в подпункте 2.6 пункта 2 приложения 1 к настоящему Положению;

обеспечение соответствия мер защиты информации и полноты реализации процессов системы защиты информации в платежной инфраструктуре ПС требованиям, установленным национальным стандартом Российской Федерации ГОСТ Р 57580.1-2017 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер", утвержденным приказом Федерального агентства по техническому регулированию и метрологии от 8 августа 2017 года №822-ст "Об утверждении национального стандарта" (М., ФГУП "Стандартинформ", 2017), четвертому уровню соответствия, установленному национальным стандартом Российской Федерации ГОСТ Р 57580.2-2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия", утвержденным приказом Федерального агентства по техническому регулированию и метрологии от 28 марта 2018 года №156-ст "Об утверждении национального стандарта Российской Федерации" (М., ФГУП "Стандартинформ", 2018).

1.5. Деятельность Банка России по обеспечению БФПС включает:

организацию системы управления рисками в ПС, присущими бизнес-процессу, в рамках которого обеспечивается функционирование ПС (далее - бизнес-процесс), и управление рисками ликвидности, кредитными рисками, операционными рисками, включая правовые риски, в ПС, реализация которых способна оказать негативное воздействие на Банк России, предусмотренное критериями оценки воздействия риска, установленными в Банке России, и которые имеют потенциал к реализации в бизнес-процессе (далее - значимые риски), в том числе проведение анализа операций (шагов) бизнес-процесса с целью идентификации рисков, присущих бизнес-процессу, определение среди идентифицированных рисков значимых рисков, проведение оценки значимых рисков, определение и применение мер реагирования на значимые риски и мониторинг ключевых индикаторов рисков (далее при совместном упоминании - управление рисками в ПС);

выявление инцидентов, обеспечение функционирования ПС в условиях инцидента и восстановление надлежащего оказания УПИ, включая восстановление оказания УПИ в случае приостановления их оказания (далее при совместном упоминании - управление непрерывностью функционирования ПС);

организацию взаимодействия Банка России и участников ПС по обеспечению БФПС.

1.6. Банк России организует деятельность по обеспечению БФПС с учетом организационной модели управления рисками, предусматривающей самостоятельное управление Банком России рисками в ПС.

Деятельность по обеспечению БФПС осуществляется в том числе с использованием специализированного программного обеспечения.

1.7. Обеспечение БФПС осуществляется с учетом установленных в Банке России порядка и требований к реализации процессного управления.

Глава 2. Организационная структура, используемая Банком России при обеспечении БФПС

2.1. Организационная структура, используемая Банком России при обеспечении БФПС, формируется на основе принципа трех линий защиты: