Приложение 4

к Положению Банка России

от 27 марта 2019 года N 680-П

"О порядке обеспечения

бесперебойности функционирования

платежной системы Банка России

в части сервиса срочного перевода

денежных средств и сервиса

несрочного перевода денежных

средств при предоставлении

распоряжений о переводе денежных

средств в электронном виде

по каналам связи"

ТРЕБОВАНИЯ К СОДЕРЖАНИЮ ПЛАНА ОНИВД

1. План ОНиВД должен представлять собой комплекс мер, реализуемых ПУРиН до, во время и после реализации риска, потенциально влияющего на БФПС.

2. План ОНиВД должен состоять из иерархически взаимосвязанных планов, каждый из которых регламентирует деятельность ПУРиН или подразделения, руководителем которого является владелец бизнес-процесса, в пределах их компетенции при обеспечении надлежащего оказания УПИ. В состав указанных планов входят в том числе планы ОНиВД для автоматизированных систем (далее - АС), ПТК, систем телекоммуникаций (далее - СТ) и систем инженерного обеспечения, применяемых для обеспечения функционирования ПС.

3. В плане ОНиВД должны быть приведены сведения о структурном подразделении Банка России, на которое возложены полномочия и обязанности по разработке, пересмотру и контролю исполнения плана ОНиВД, а также сведения о должностных лицах, ответственных за разработку (в том числе внесение изменений), анализ и пересмотр указанного плана.

4. Планом ОНиВД определяются следующие объекты:

персонал, эксплуатирующий, обслуживающий и сопровождающий ПТК и СТ, автоматизированные рабочие места (далее - АРМ), системы инженерного обеспечения, используемые для обеспечения функционирования ПС, а также персонал, использующий информационные ресурсы АС при выполнении должностных обязанностей;

помещения (здания), в которых размещен персонал и АРМ, расположены ПТК и СТ, используемые для обеспечения функционирования ПС;

АС с входящими в их состав информационными ресурсами, используемые для обеспечения функционирования ПС;

системы инженерного обеспечения, предназначенные для поддержки надлежащих условий работы персонала и среды функционирования ПТК, СТ, АРМ, используемых для обеспечения функционирования ПС.

5. План ОНиВД должен содержать перечень АС, ПТК, СТ, АРМ и состав персонала как для обеспечения надлежащего оказания УПИ, так и при оказании УПИ.

6. Планом ОНиВД может быть предусмотрено выполнение одного сценария в отношении нескольких реализовавшихся значимых рисков одной группы.

7. При формировании сценариев для плана ОНиВД необходимо руководствоваться следующей классификацией групп значимых рисков:

значимые риски, которые могут привести к значительным потерям ПТК, потере более 30% персонала на период от 6 месяцев, способного обеспечивать надлежащее оказания УПИ, разрушению помещений (зданий) в результате стихийных бедствий, таких как землетрясение, наводнение, либо террористического акта, пожара, объявления в стране эпидемии смертельно опасного заболевания (риск 1-й группы);

значимые риски, угрожающие жизни персонала (например, пожар в здании, отказ систем отопления, вентиляции, кондиционирования, водоснабжения и канализации, пожаротушения и пожарной сигнализации, охраны зданий), связанные с отказом ПТК или СТ, в том числе вследствие воздействия вредоносного программного обеспечения, и приведшие к длительному простою и невозможности устранения последствий реализовавшихся рисков персоналом, обеспечивающим функционирование ПС (отказ системы энергоснабжения квартала или здания, где размещены критически значимые компоненты ПТК, угроза террористического акта, пожар в отдельных помещениях здания, в которых размещены элементы ПТК) (риск 2-й группы);

значимые риски, которые могут привести к невозможности персонала выполнять свои функциональные обязанности из-за сбоев в работе ПТК или СТ, систем инженерного обеспечения, ликвидация которых возможна силами персонала (риск 3-й группы). Риски 3-й группы устраняются собственными силами персонала путем обнаружения и устранения причины сбоя в ПТК или в системе инженерного обеспечения, а также перехода на резервные средства ПТК, источники бесперебойного электропитания;

значимые риски, которые не могут привести к приостановлению оказания УПИ и не влияют на возможность персонала выполнять свои функциональные обязанности, связанные с обеспечением функционирования ПС (риск 4-й группы).

8. Планом ОНиВД в отношении значимых рисков любого уровня должны быть определены уполномоченные лица ПУРиН, которыми контролируется надлежащее оказание УПИ в части их компетенции, выявляются и фиксируются инциденты, а также доводится до руководителей ПУРиН и риск-координаторов ПУРиН информация об инцидентах.

План ОНиВД должен содержать схемы оповещения должностными лицами указанного органа управления заинтересованных лиц при реализации значимых рисков. Состав заинтересованных лиц необходимо определять исходя из присвоенного значимому риску уровня.

При реализации рисков 3-й и 4-й групп для принятия решения по активации соответствующего сценария плана ОНиВД достаточно решения руководителей ПУРиН, к компетенции которых относится управление непрерывностью для данного риска.

При реализации риска 2-й группы для принятия решения активации соответствующего сценария плана ОНиВД достаточно решения владельца бизнес-процесса.

При реализации риска 1-й группы для принятия решения активации соответствующего сценария плана ОНиВД необходимо решение курирующего руководителя Банка России.

9. Планом ОНиВД любой группы должно быть предусмотрено назначение уполномоченных лиц из состава ПУРиН, на которых возлагаются обязанности по принятию решения об активации плана ОНиВД, по координации деятельности работников данного и иных ПУРиН по выполнению мероприятий соответствующего сценария.