Раздел П.7 Положения Банка России №850-П

7. Кредитные организации с соблюдением требований к управлению риском информационной безопасности и риском информационных систем, определенных главами 7 и 8 Положения Банка России N 716-П, и филиалы иностранных банков должны разработать и выполнять требования к операционной надежности, которые включают в себя:

требования к идентификации состава элементов, указанных в подпункте 7.1 настоящего пункта;
требования к управлению изменениями элементов, указанных в подпункте 7.1 настоящего пункта;
требования к взаимодействию с третьими лицами (внешними подрядчиками, контрагентами, участниками банковской группы), оказывающими услуги в сфере информационных технологий, связанные с выполнением технологических процессов (далее - поставщики услуг в сфере информационных технологий);
требования к тестированию операционной надежности технологических процессов;
требования к принятию мер, направленных на нейтрализацию информационных угроз, обусловленных несанкционированным доступом к объектам информационной инфраструктуры работников кредитных организаций, филиалов иностранных банков или работников поставщиков услуг в сфере информационных технологий, обладающих полномочиями доступа к объектам информационной инфраструктуры (далее - внутренний нарушитель);
требования к обеспечению осведомленности кредитных организаций, филиалов иностранных банков об актуальных информационных угрозах.

Кредитные организации дополнительно должны разработать и выполнять требования к операционной надежности в части выявления, регистрации инцидентов операционной надежности и реагирования на них, а также восстановления выполнения технологических процессов и функционирования объектов информационной инфраструктуры после реализации указанных инцидентов с соблюдением установленных главой 7 Положения Банка России N 716-П требований к выявлению событий риска информационной безопасности, порядку реагирования на выявленные события риска информационной безопасности и восстановлению деятельности кредитной организации в случае реализации таких событий.

7.1. Кредитные организации, филиалы иностранных банков должны организовать учет и контроль состава следующих элементов (далее при совместном упоминании - критичная архитектура):

технологических процессов, реализуемых непосредственно кредитными организациями, филиалами иностранных банков;

подразделений (работников) кредитных организаций, филиалов иностранных банков, ответственных за разработку технологических процессов, поддержание их выполнения, реализацию технологических процессов (далее - подразделения кредитных организаций, филиалов иностранных банков);

объектов информационной инфраструктуры кредитных организаций, филиалов иностранных банков, задействованных при выполнении каждого технологического процесса;

технологических участков, предусмотренных подпунктом 5.2 пункта 5 Положения Банка России от 30 января 2025 года N 851-П "Об установлении обязательных для кредитных организаций, иностранных банков, осуществляющих деятельность на территории Российской Федерации через свои филиалы, требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента" (далее соответственно - технологические участки, Положение Банка России N 851-П), в рамках технологических процессов, реализуемых непосредственно кредитными организациями, филиалами иностранных банков;
технологических процессов, технологических участков в рамках технологических процессов, реализуемых поставщиками услуг в сфере информационных технологий;
работников кредитных организаций, филиалов иностранных банков или иных лиц, осуществляющих физический и (или) логический доступ, или программных сервисов, осуществляющих логический доступ к объектам информационной инфраструктуры (далее - субъекты доступа), задействованных при выполнении каждого технологического процесса;
взаимосвязей и взаимозависимостей кредитных организаций, филиалов иностранных банков с иными кредитными организациями, филиалами иностранных банков, некредитными финансовыми организациями, поставщиками услуг в сфере информационных технологий в рамках выполнения технологических процессов (далее при совместном упоминании - участники технологического процесса);
каналов передачи защищаемой информации, установленной пунктом 1 Положения Банка России N 851-П, обрабатываемой и передаваемой в рамках технологических процессов участниками технологического процесса.

В целях организации учета и контроля состава технологических процессов, технологических участков в рамках технологических процессов, реализуемых поставщиками услуг в сфере информационных технологий, кредитные организации, филиалы иностранных банков должны вести отдельный реестр, содержащий сведения об указанных поставщиках услуг.
Кредитные организации в отношении элементов критичной архитектуры, являющихся значимыми объектами критической информационной инфраструктуры в соответствии с пунктом 3 статьи 2 Федерального закона от 26 июля 2017 года N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации" (далее - Федеральный закон N 187-ФЗ), должны выполнять требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры, установленные в соответствии с пунктом 4 части 3 статьи 6 Федерального закона N 187-ФЗ.

7.2. Кредитные организации, филиалы иностранных банков должны выполнять требования к управлению изменениями критичной архитектуры, включающие:

организацию и выполнение процедур управления изменениями в критичной архитектуре, включая планирование и внедрение изменений в критичной архитектуре, направленных на обеспечение недопустимости неоказания или ненадлежащего оказания банковских услуг;
управление конфигурациями (настраиваемыми параметрами) объектов информационной инфраструктуры;
управление уязвимостями и обновлениями (исправлениями) объектов информационной инфраструктуры.

7.3. Кредитные организации должны выполнять требования к выявлению, регистрации инцидентов операционной надежности и реагированию на них, а также восстановлению выполнения технологических процессов и функционирования объектов информационной инфраструктуры после реализации таких инцидентов, включающие:

выявление и регистрацию инцидентов операционной надежности;
реагирование на инциденты операционной надежности в отношении критичной архитектуры;
восстановление функционирования технологических процессов и объектов информационной инфраструктуры после реализации инцидентов операционной надежности;
анализ причин и последствий реализации инцидентов операционной надежности;
организацию взаимодействия между подразделениями кредитных организаций, а также между кредитными организациями и Банком России, иными участниками технологического процесса в рамках реагирования на инциденты операционной надежности и восстановления выполнения технологических процессов и функционирования объектов информационной инфраструктуры после реализации инцидентов операционной надежности.

Филиалы иностранных банков должны определить мероприятия по выявлению, регистрации случаев простоя технологических процессов и реагированию на них, а также восстановлению выполнения технологических процессов.

7.4. Кредитные организации, филиалы иностранных банков должны выполнять требования к взаимодействию с поставщиками услуг в сфере информационных технологий, включающие:

принятие мер, направленных на нейтрализацию информационных угроз, связанных с привлечением поставщиков услуг в сфере информационных технологий, в том числе защиту объектов информационной инфраструктуры от возможной реализации информационных угроз со стороны поставщиков услуг в сфере информационных технологий;
принятие мер, направленных на нейтрализацию информационных угроз, обусловленных технологической зависимостью функционирования объектов информационной инфраструктуры кредитных организаций, филиалов иностранных банков от поставщиков услуг в сфере информационных технологий.

7.5. Кредитные организации в части тестирования операционной надежности технологических процессов должны принимать организационные и технические меры, направленные на проведение сценарного анализа в составе качественной оценки уровня операционного риска, требования к которой установлены подпунктом 2.1.5 пункта 2.1 Положения Банка России N 716-П (в части возможной реализации информационных угроз в отношении критичной архитектуры, а также возникновения сбоев объектов информационной инфраструктуры), и проводить с использованием результатов сценарного анализа тестирование готовности кредитной организации противостоять реализации информационных угроз в отношении критичной архитектуры.
Филиалы иностранных банков в части тестирования операционной надежности технологических процессов должны определить периодичность и программу тестирования готовности филиала иностранного банка противостоять реализации информационных угроз в отношении критичной архитектуры и проводить тестирование операционной надежности технологических процессов в соответствии с программой тестирования готовности филиала иностранного банка противостоять реализации информационных угроз в отношении критичной архитектуры.

7.6. Кредитные организации, филиалы иностранных банков в части принятия мер, направленных на нейтрализацию угроз со стороны внутреннего нарушителя, разрабатывают и принимают организационные и технические меры в отношении субъектов доступа, привлекаемых в рамках выполнения технологических процессов, направленные на исключение возможности несанкционированного использования предоставленных указанным субъектам доступа полномочий.

7.7. Кредитные организации, филиалы иностранных банков должны выполнять требования к обеспечению осведомленности об информационных угрозах, включающие:

организацию взаимодействия кредитных организаций, филиалов иностранных банков и иных участников технологического процесса при обмене информацией об актуальных сценариях реализации информационных угроз;
использование информации об актуальных сценариях реализации информационных угроз в целях обеспечения непрерывного оказания банковских услуг.

Положение Банка России № 850-П от 13.01.2025

П.7

Список требований