Порядок и сроки составления отчетности по форме 0420174 "Сведения о показателях операционной надежности страховой организации и применяемых ею информационных технологиях"

Порядок и сроки

составления отчетности по форме 0420174 "Сведения

о показателях операционной надежности страховой организации

и применяемых ею информационных технологиях"

1. Отчетность по форме 0420174 "Сведения о показателях операционной надежности страховой организации и применяемых ею информационных технологиях" (далее - отчетность по форме 0420174) составляется страховыми организациями, указанными в абзаце пятом подпункта 1.4.3 и абзаце девятом подпункта 1.4.4 пункта 1.4 Положения Банка России от 20 апреля 2021 года N 757-П "Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций" <1>, посредством формирования предусмотренных в ней показателей за I, II, III и IV кварталы (далее - отчетный период) по состоянию на последний календарный день отчетного периода включительно с соблюдением положений пунктов 1 - 5, 8 и 10 части IV настоящего приложения.

--------------------------------

<1> Зарегистрировано Минюстом России 15 июня 2021 года, регистрационный N 63880.

В отчетности по форме 0420174 за I, II и III кварталы указываются значения следующих показателей:

показателя "Продолжительность времени работы (функционирования) технологического процесса" (строка 2);

показателя "Суммарное время простоя и (или) деградации технологического процесса" (строка 6);

показателей разделов 1 - 6, за исключением показателей "Продолжительность времени работы (функционирования) технологического процесса" (строка 2) и "Суммарное время простоя и (или) деградации технологического процесса" (строка 6), - в случае изменения значений таких показателей, представленных за период, предшествующий отчетному периоду.

В отчетности по форме 0420174 за IV квартал значения показателей указываются в полном объеме.

2. Информация по показателям раздела 1 отчетности по форме 0420174 раскрывается страховой организацией по аналитическим признакам группы аналитических признаков "Код технологического процесса" по всем технологическим процессам, обеспечивающим осуществление деятельности страховой организации в сфере финансовых рынков (далее - технологические процессы), в соответствии со следующими кодами:

ТПрНФО31 - технологический процесс, обеспечивающий учет страховых случаев;

ТПрНФО32 - технологический процесс, обеспечивающий возврат страховой премии;

ТПрНФО33 - технологический процесс, обеспечивающий работу сайтов в части размещения информации, предусмотренной пунктом 6 статьи 6 Закона Российской Федерации от 27 ноября 1992 года N 4015-I "Об организации страхового дела в Российской Федерации".

Информация по показателям раздела 1 отчетности по форме 0420174 раскрывается страховой организацией, имеющей лицензию на осуществление добровольного страхования жизни и лицензию управляющей компании на осуществление деятельности по управлению инвестиционными фондами, паевыми инвестиционными фондами и негосударственными пенсионными фондами, при осуществлении деятельности по доверительному управлению паевыми инвестиционными фондами по аналитическим признакам группы аналитических признаков "Код технологического процесса" в соответствии со следующими кодами:

ТПрНФО25 - технологический процесс, обеспечивающий доверительное управление имуществом паевых инвестиционных фондов, в том числе осуществление прав, удостоверенных ценными бумагами, составляющими имущество паевых инвестиционных фондов;

ТПрНФО26 - технологический процесс, обеспечивающий реализацию прав владельцев инвестиционных паев;

ТПрНФО27 - технологический процесс, обеспечивающий осуществление учета имущества паевых инвестиционных фондов и контроля за распоряжением им, в том числе процесс взаимодействия со специализированным депозитарием.

В разделе 1 отчетности по форме 0420174 указываются сведения обо всех технологических процессах, коды для которых предусмотрены настоящим пунктом.

2.1. По показателю "Описание технологического процесса" (строка 1) приводится описание технологического процесса, в рамках которого осуществляется эксплуатация объектов информационной инфраструктуры, применяемых страховой организацией, в случае необходимости его детализации и уточнения.

2.2. По показателю "Продолжительность времени работы (функционирования) технологического процесса" (строка 2) указывается планируемое страховой организацией общее количество минут функционирования технологического процесса в следующем отчетном периоде с учетом установленного режима работы (времени начала, времени окончания, продолжительности и последовательности процедур в рамках данного технологического процесса), в том числе выходных и нерабочих праздничных дней, признаваемых таковыми в соответствии со статьями 111 и 112 Трудового кодекса Российской Федерации (информация по показателю указывается в минутах).

2.3. Сведения о не осуществляемом страховой организацией технологическом процессе указываются по показателю "Описание технологического процесса" (строка 1) по аналитическому признаку группы аналитических признаков "Код технологического процесса", соответствующему указанному технологическому процессу; по показателю "Продолжительность времени работы (функционирования) технологического процесса" (строка 2) по указанному аналитическому признаку группы аналитических признаков "Код технологического процесса" указывается значение 0 (ноль).

В разделах 2 - 6 отчетности по форме 0420174 при раскрытии информации в разрезе группы аналитических признаков "Код технологического процесса" аналитический признак группы аналитических признаков "Код технологического процесса", соответствующий не осуществляемому страховой организацией технологическому процессу, не указывается.

3. По показателям раздела 2 отчетности по форме 0420174 раскрываются сведения о показателях операционной надежности в рамках технологических процессов.

3.1. По показателю "Допустимое время простоя и (или) деградации технологического процесса" (строка 3) указывается предельно допустимое для страховой организации время простоя и (или) деградации технологического процесса, определенное в соответствии с абзацем третьим пункта 1.3 Положения Банка России от 15 ноября 2021 года N 779-П "Об установлении обязательных для некредитных финансовых организаций требований к операционной надежности при осуществлении видов деятельности, предусмотренных частью первой статьи 76.1 Федерального закона от 10 июля 2002 года N 86-ФЗ "О Центральном банке Российской Федерации (Банке России)", в целях обеспечения непрерывности оказания финансовых услуг (за исключением банковских услуг)" <2> (далее - Положение Банка России N 779-П) (информация по показателю указывается в минутах).

--------------------------------

<2> Зарегистрировано Минюстом России 28 марта 2022 года, регистрационный N 67961.

3.2. По показателю "Допустимая доля деградации технологического процесса" (строка 4) указывается допустимая доля деградации технологического процесса, определенная страховой организацией в соответствии с абзацем вторым пункта 1.3 Положения Банка России N 779-П (информация по показателю указывается в долях с точностью до шести знаков после запятой).

3.3. По показателю "Допустимое суммарное время простоя и (или) деградации технологического процесса" (строка 5) указывается предельно допустимое для страховой организации суммарное время простоя и (или) деградации технологического процесса, определенное в соответствии с абзацем четвертым пункта 1.3 Положения Банка России N 779-П (информация по показателю указывается в минутах).

3.4. По показателю "Суммарное время простоя и (или) деградации технологического процесса" (строка 6) указывается общее количество минут фактического времени простоя и (или) деградации технологического процесса за последние 12 календарных месяцев, предшествующих дате окончания отчетного периода (информация по показателю указывается в минутах).

При отсутствии за указанный в абзаце первом настоящего подпункта период фактов простоя и (или) деградации технологического процесса по показателю "Суммарное время простоя и (или) деградации технологического процесса" (строка 6) указывается значение 0 (ноль).

4. По показателям "IP-адрес или пул IP-адресов в формате протокола IPv4" (строка 10), "IP-адрес или пул IP-адресов в формате протокола IPv6" (строка 11), "Номер автономной системы" (строка 12) раздела 3 отчетности по форме 0420174 отражаются сведения об объектах информатизации основных системных уровней информационной инфраструктуры, предусмотренных подпунктом "а" пункта 6.2 национального стандарта Российской Федерации ГОСТ Р 57580.1-2017 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер" <3> (далее соответственно - ГОСТ Р 57580.1-2017, объекты информатизации), применяемых страховой организацией для взаимодействия в информационно-телекоммуникационной сети "Интернет" (далее - сеть "Интернет") с ее клиентами и контрагентами при осуществлении деятельности в сфере финансовых рынков, в разрезе кодов технологических процессов, предусмотренных пунктом 2 настоящих Порядка и сроков, и в разрезе наименований объектов информатизации, за исключением сведений, представляемых в разделе 5 отчетности по форме 0420174.

--------------------------------

<3> Утвержден приказом Федерального агентства по техническому регулированию и метрологии от 8 августа 2017 года N 822-ст (М., ФГУП "Стандартинформ", 2017) и введен в действие 1 января 2018 года.

Информация по указанным в абзаце первом настоящего пункта показателям раздела 3 отчетности по форме 0420174 также раскрывается в разрезе технологических участков, в рамках которых применяется объект информатизации при осуществлении страховой организацией деятельности в сфере финансовых рынков (далее - технологические участки), в соответствии со следующими кодами:

ИАА - идентификация, аутентификация и авторизация клиентов в целях осуществления финансовых операций;

ФПП - формирование (подготовка), передача и прием электронных сообщений;

УП - удостоверение права клиентов распоряжаться денежными средствами, ценными бумагами или иным имуществом;

ОУ - осуществление финансовой операции, учет результатов ее осуществления (при наличии учета);

ХИ - хранение электронных сообщений и информации об осуществленных финансовых операциях.

По группе аналитических признаков "Наименование объекта информатизации" указывается наименование объекта информатизации.

В случае отсутствия у страховой организации объектов информатизации показатели раздела 3 отчетности по форме 0420174 не формируются.

4.1. По показателю "Полное наименование (полное фирменное наименование) или фамилия, имя, отчество (при наличии) оператора связи" (строка 7) указываются полное наименование (для некоммерческой организации), или полное фирменное наименование (для коммерческой организации), или фамилия, имя, отчество (при наличии) (для индивидуального предпринимателя) оператора связи, с которым страховой организацией заключен договор об оказании услуг связи в целях взаимодействия в сети "Интернет" с ее клиентами и контрагентами (далее - оператор связи).

4.2. По показателю "Идентификационный номер налогоплательщика (ИНН)" (строка 8) указывается идентификационный номер налогоплательщика (далее - ИНН) оператора связи, являющегося резидентом.

4.3. По показателю "TIN" (строка 9) указывается идентификационный номер налогоплательщика - иностранной организации в стране регистрации (Tax Identification Number) (далее - TIN) или его аналог оператора связи, являющегося нерезидентом.

4.4. Показатели "Полное наименование (полное фирменное наименование) или фамилия, имя, отчество (при наличии) оператора связи" (строка 7), "Идентификационный номер налогоплательщика (ИНН)" (строка 8), "TIN" (строка 9) раскрываются по группе аналитических признаков "Идентификатор оператора связи" по каждому оператору связи.

По группе аналитических признаков "Идентификатор оператора связи" указывается идентификатор оператора связи, позволяющий выделить одного оператора связи из других операторов связи, отраженных в разделе 3 отчетности по форме 0420174. Значения идентификаторов операторов связи формируются страховой организацией самостоятельно.

4.5. По показателю "IP-адрес или пул IP-адресов в формате протокола IPv4" (строка 10) указывается маршрутизируемый IP-адрес или пул IP-адресов в формате протокола IPv4 с указанием подсети в формате CIDR <4>, внешние по отношению к объекту информатизации, применяемому страховой организацией для взаимодействия в сети "Интернет" с ее клиентами и контрагентами.

--------------------------------

<4> Механизм бесклассовой внутренней маршрутизации (Classless Inter-Domian Routing, CIDR).

4.6. По показателю "IP-адрес или пул IP-адресов в формате протокола IPv6" (строка 11) указывается маршрутизируемый IP-адрес или пул IP-адресов в формате протокола IPv6 с указанием префикса, внешние по отношению к объекту информатизации, применяемому страховой организацией для взаимодействия в сети "Интернет" с ее клиентами и контрагентами.

4.7. По показателю "Номер автономной системы" (строка 12) указывается номер автономной системы, применяемой страховой организацией для взаимодействия в сети "Интернет" с ее клиентами и контрагентами, если номер присвоен оператором связи, обеспечивающим функционирование автономной системы. В ином случае показатель не формируется.

5. По показателям раздела 4 отчетности по форме 0420174 раскрываются сведения об электронных адресах веб-сервисов (информационных ресурсов) и номерах телефонов, используемых страховой организацией для взаимодействия с ее клиентами и контрагентами, в разрезе доменного имени электронного адреса информационного ресурса и унифицированных идентификаторов информационного ресурса (URI-адрес), применяемых страховой организацией для взаимодействия в сети "Интернет" с ее клиентами и контрагентами (по группам аналитических признаков "Доменное имя электронного адреса информационного ресурса" и "Унифицированный идентификатор информационного ресурса (URI-адрес)").

5.1. По показателю "IP-адрес или пул IP-адресов в формате протокола IPv4" (строка 13) указывается маршрутизируемый IP-адрес или пул IP-адресов информационного ресурса в формате протокола IPv4 с указанием подсети в формате CIDR, применяемые страховой организацией для взаимодействия в сети "Интернет" с ее клиентами и контрагентами.

5.2. По показателю "IP-адрес или пул IP-адресов в формате протокола IPv6" (строка 14) указывается маршрутизируемый IP-адрес или пул IP-адресов информационного ресурса в формате протокола IPv6 с указанием префикса, применяемые страховой организацией для взаимодействия в сети "Интернет" с ее клиентами и контрагентами.

5.3. По показателю "Номера телефонов, используемые отчитывающейся организацией для взаимодействия с клиентами" (строка 15) указывается номер телефона, используемый страховой организацией для взаимодействия с ее клиентами и контрагентами и размещенный на официальном сайте страховой организации в сети "Интернет".

При наличии нескольких номеров телефонов страховой организации они указываются через символ ";" (точка с запятой) с отступом (пробелом).

6. В разделе 5 отчетности по форме 0420174 указываются сведения об автоматизированных системах и приложениях, предусмотренных подпунктом "б" пункта 6.2 ГОСТ Р 57580.1-2017, применяемых страховой организацией при осуществлении деятельности в сфере финансовых рынков (далее - автоматизированные системы и приложения), воздействие на которые или нарушение функционирования которых может привести к событию операционного риска, указанному в абзаце втором пункта 1.3 Положения Банка России N 779-П (далее - событие операционного риска), за исключением сведений, представляемых в разделе 6 отчетности по форме 0420174.

По показателю "Информация об автоматизированных системах и приложениях" (строка 16) указывается информация обо всех автоматизированных системах и приложениях в разрезе кодов технологических процессов, указанных в пункте 2 настоящих Порядка и сроков, кодов технологических участков, указанных в пункте 4 настоящих Порядка и сроков, и идентификаторов автоматизированных систем и приложений. Значения идентификаторов автоматизированных систем и приложений, позволяющие выделить одни автоматизированные системы и приложения из других автоматизированных систем и приложений, отраженных в разделе 5 отчетности по форме 0420174, формируются страховой организацией самостоятельно.

По показателю "Информация об автоматизированных системах и приложениях" (строка 16) указываются сведения об автоматизированных системах и приложениях, учет которых осуществляется в соответствии с абзацем четвертым пункта 1.4 Положения Банка России N 779-П.

В случае отсутствия у страховой организации автоматизированных систем и приложений показатель "Информация об автоматизированных системах и приложениях" (строка 16) не формируется.

7. По показателям раздела 6 отчетности по форме 0420174 указываются сведения о применении страховой организацией облачных решений, предоставляемых страховой организации поставщиками услуг, предусмотренными абзацем шестым пункта 1.4 Положения Банка России N 779-П (далее - поставщики услуг), в рамках технологических процессов, воздействие на которые или нарушение функционирования которых может привести к событиям операционного риска.

Информация по показателям раздела 6 отчетности по форме 0420174 (кроме показателя "Примечание") раскрывается в разрезе кодов технологических процессов, указанных в пункте 2 настоящих Порядка и сроков, кодов технологических участков, указанных в пункте 4 настоящих Порядка и сроков, полного наименования (полного фирменного наименования) или фамилии, имени, отчества (при наличии) оператора центра обработки данных, оказывающего услуги страховой организации (далее - центр обработки данных) (по группе аналитических признаков "Полное наименование (полное фирменное наименование) или фамилия, имя, отчество (при наличии) оператора центра обработки данных"), и в разрезе идентификаторов автоматизированных систем и приложений. Значения идентификаторов автоматизированных систем и приложений, позволяющие выделить одни автоматизированные системы и приложения из других автоматизированных систем и приложений, отраженных в разделе 6 отчетности по форме 0420174, формируются страховой организацией самостоятельно.

По группе аналитических признаков "Полное наименование (полное фирменное наименование) или фамилия, имя, отчество (при наличии) оператора центра обработки данных" указывается полное наименование оператора центра обработки данных (для некоммерческой организации), или полное фирменное наименование оператора центра обработки данных (для коммерческой организации), или фамилия, имя, отчество (при наличии) оператора центра обработки данных (для индивидуального предпринимателя).

7.1. По показателю "Код функциональности (возможностей), получаемой (получаемых) отчитывающейся организацией в рамках облачных решений, предоставляемых поставщиком услуг" (строка 17) указывается один из следующих кодов функциональности (возможностей), получаемой (получаемых) страховой организацией в рамках облачных решений:

ФПр - функциональность приложений (предоставляет страховой организации возможность использовать приложения поставщика услуг в сфере облачных решений);

ФИИ - функциональность информационной инфраструктуры (предоставляет страховой организации возможность получать и использовать вычислительные ресурсы, ресурсы для хранения данных или сетевые ресурсы поставщика услуг в сфере облачных решений);

ФПл - функциональность платформы (предоставляет страховой организации возможность использовать приложения, созданные или приобретенные ею, с использованием одного или нескольких языков программирования и одной или более сред выполнения, поддерживаемых поставщиком услуг в сфере облачных решений).

7.2. По показателю "Код категории облачных решений, предоставляемых поставщиком услуг" (строка 18) указывается один из следующих кодов категорий облачных решений, предоставляемых поставщиком услуг:

ОИ - категория облачных решений, предоставляемых поставщиком услуг, в которых страховой организации предоставляются возможности, связанные со взаимодействием в режиме реального времени и с совместной работой;

Вычисления - категория облачных решений, предоставляемых поставщиком услуг, в которых страховой организации предоставляются возможности, связанные с получением и использованием вычислительных ресурсов, необходимых для развертывания и выполнения прикладного программного обеспечения;

ХД - категория облачных решений, предоставляемых поставщиком услуг, в которых страховой организации предоставляются возможности, связанные с предоставлением и использованием ресурсов для хранения данных;

ИИ - категория облачных решений, предоставляемых поставщиком услуг, в которых страховой организации предоставляются возможности, связанные с функциональностью информационной инфраструктуры;

Сеть - категория облачных решений, предоставляемых поставщиком услуг, в которых страховой организации предоставляются возможности, связанные с транспортной связностью, и связанные с ней сетевые возможности;

Платформа - категория облачных решений, предоставляемых поставщиком услуг, в которых страховой организации предоставляются возможности, связанные с функциональностью платформы;

ППО - категория облачных решений, предоставляемых поставщиком услуг, в которых страховой организации предоставляются возможности, связанные с функциональностью автоматизированных систем и приложений;

БД - категория облачных решений, предоставляемых поставщиком услуг, в которых страховой организации предоставляются возможности, связанные с функциональностью базы данных, когда установка и обслуживание баз данных выполняются поставщиком услуг в сфере облачных решений;

Иное - иная категория облачных решений, предоставляемых поставщиком услуг, кроме указанных в абзацах втором - девятом настоящего подпункта.

7.3. По показателю "Адрес фактического нахождения центра обработки данных, предоставляющего услуги отчитывающейся организации" (строка 19) указывается адрес центра обработки данных в пределах места нахождения центра обработки данных или адрес фактического нахождения центра обработки данных, в случае если он не совпадает с адресом центра обработки данных в пределах места нахождения центра обработки данных.

В случае использования страховой организацией собственного центра обработки данных, сведения об адресе в пределах места нахождения или адресе фактического нахождения центра обработки данных отражаются по показателю "Информация об автоматизированных системах и приложениях" (строка 16).

7.4. По показателю "Идентификационный номер налогоплательщика (ИНН)" (строка 20) указывается ИНН оператора центра обработки данных, являющегося резидентом.

7.5. По показателю "TIN" (строка 21) указывается TIN или его аналог оператора центра обработки данных, являющегося нерезидентом.

7.6. По показателю "Сведения о наличии у центра обработки данных сертификации" (строка 22) указывается уровень сертификации центра обработки данных на соответствие требованиям, предъявляемым к уровню качества сервисов, предоставляемых центром обработки данных, и требованиям к инфраструктуре центра обработки данных. В случае если центр обработки данных не проходил сертификацию, по показателю "Сведения о наличии у центра обработки данных сертификации" (строка 22) указывается значение "Отсутствует".

7.7. По показателю "Информация о наличии соглашения, определяющего требования, предъявляемые к уровню качества предоставляемых сервисов, между отчитывающейся организацией и оператором центра обработки данных" (строка 23) в случае наличия соглашения между страховой организацией и оператором центра обработки данных, определяющего требования, предъявляемые к уровню качества предоставляемых сервисов (далее - соглашение), указывается значение "Да", в ином случае по данному показателю указывается значение "Нет".

7.8. По показателю "Параметры надежности и отказоустойчивости, согласованные между отчитывающейся организацией и оператором центра обработки данных" (строка 24) в случае наличия соглашения указываются параметры надежности и отказоустойчивости, предусмотренные соглашением.

В случае использования страховой организацией собственного центра обработки данных параметры надежности и отказоустойчивости работы серверных ресурсов указанного центра обработки данных отражаются по показателю "Информация об автоматизированных системах и приложениях" (строка 16).

7.9. По показателю "Информация об автоматизированных системах и приложениях" (строка 25) указываются сведения об автоматизированных системах и приложениях (при наличии), применяемых страховой организацией в рамках облачных решений при осуществлении деятельности в сфере финансовых рынков, учет которых осуществляется в соответствии с абзацем четвертым пункта 1.4 Положения Банка России N 779-П.

7.10. По показателю "Примечание" (строка 26) указывается значение "Страховая организация не применяет облачные решения" в случае, если страховая организация не применяет облачные решения, предоставляемые поставщиками услуг, в рамках технологических процессов, воздействие на которые или нарушение функционирования которых может привести к событиям операционного риска. При этом показатели раздела 6 отчетности по форме 0420174, указанные в подпунктах 7.1 - 7.9 настоящего пункта, не формируются.

В случае если страховая организация применяет облачные решения, предоставляемые поставщиками услуг, в рамках технологических процессов, воздействие на которые или нарушение функционирования которых может привести к событиям операционного риска, показатель "Примечание" (строка 26) не формируется.