Положение 850-П: новые требования Банка России

Содержание данной статьи проверено и подтверждено:

Чекудаев Кирилл Викторович

Эксперт по управлению рисками

На сайте Банка России опубликовано Положение 850-П, которое определяет требования по обеспечению операционной надежности при осуществлении банковской деятельности в целях обеспечения непрерывности оказания банковских услуг кредитных организаций вместо Положения 787-П.

Изменения в регулировании непрерывности банковских услуг Положением 850-П

Разработка обусловлена вступлением в силу изменений в нормативных документах, в т. ч. 851-П.

Также стоит отметить, что:

Реализация мер по выполнению требований Положения определена в соответствии с ГОСТ 57580.3 и 57580.4
Учтены изменения в Положении 716-П в отношении риска операционной надежности.

Новые требования для филиалов иностранных банков

Новое Положение устанавливает требования по обеспечению операционной надежности для филиалов иностранных банков, осуществляющих деятельность на территории Российской Федерации.

Теперь филиалы иностранных банков в РФ обязаны выполнять эти требования по обеспечению непрерывности своей деятельности.

Классификация рисков непрерывности деятельности, согласно 850-П (замена 787-П)

В новом Положении перечислены и разделены на категории возможные угрозы, которые могут нарушить непрерывность работы организации.

К ним относятся:

Сбои в работе информационных систем
Риски, связанные с умышленными действиями сотрудников или внешних лиц (например, угрозы информационной безопасности)

Требования Банка России по операционной надежности (850-П)

В новом Положении установлено, что с 1 октября 2025 года кредитные организации (включая банки, небанковские кредитные организации и филиалы иностранных банков) обязаны определить сигнальные и контрольные значения допустимой доли деградации технологических процессов в соответствии с КПУРами по операционным рискам (Приложение 2).

Допустимая доля деградации рассчитывается как отношение количества операций, проведённых (или не проведённых) в период инцидента операционной надёжности, к плановому количеству операций в нормальном режиме функционирования.

Конкретный период для расчёта (день, месяц, квартал и т. д.) в Положении прямо не указан, однако по умолчанию подразумевается квартальное значение.

Также для всех кредитных организаций определено пороговое допустимое время простоя технологических процессов (Приложение 1).

Основной посыл для организаций сохраняется — необходимо соблюдать установленные нормативные значения.

В 787-П путаница возникала из-за термина «превышение», что делало толкование показателя доли деградации спорной темой в банковском сообществе для установления целевых значений и расчета фактических.

Продолжительность функционирования технологических процессов определяется ежеквартально, включая расчёт плановых простоев.

Порядок учета инцидентов операционной надежности

Факт инцидента операционной надёжности регистрируется при превышении допустимой доли деградации технологических процессов сверх установленных сигнальных значений в течение определенного времени (более 5 минут).

Если в течение 5 минут и более было несоблюдение допустимой доли деградации, то помимо мер реагирования должна происходить фиксация фактического времени простоя, доля деградации в период данного инцидента и суммарное время простоя. При планировании допустимого времени и его суммарного значения простоя (и/или деградации) также учитывается «отсечка» в 5 минут несоблюдения сигнального значения.

Для филиалов иностранных банков данное требование также применяется — инцидент операционной надёжности фиксируется при превышении допустимой доли деградации (включая пороговое время простоя) более чем на 5 минут.

Регулирование для системно значимых кредитных организаций

Отдельные требования определяются в отношении кредитных организаций, являющиеся значимыми на рынке платежных услуг в соответствии с Указанием Банка России 3439-У.

Такие организации должны установить сигнальные и контрольные значения не позднее 6 месяцев после признания их значимыми.

Для таких организаций в отношении технологических процессов, связанных с переводом денежных средств (ТП 4, 5, 8), показатели такие же, как и для банков с активами более 500 млрд. рублей.

Реализация требований по обеспечению операционной надежности в части управления риском ИБ и ИС, включают в себя требования, которые предполагается реализовывать на основании мер, представленных в ГОСТ 57580.3 и 57580.4.

Меры по обеспечению безопасности критичной инфраструктуры 850-П

В описании элементов критичной архитектуры изменений нет, кроме как отсылки к 851-П вместо 683-П
Требование по значимым объектам КИИ в части обеспечения их безопасности остались прежними

Тестирование на устойчивость к сбоям по Положению ЦБ РФ 850-П

В части тестирования опернадёжности предусмотрено проведение не только сценарного анализа, но и качественной оценки уровня операционного риска.

Филиалам иностранных банков также следует проводить тестирование операционной надежности в соответствии с установленной периодичностью и программой тестирования.

Особое внимание уделяется зависимости от сотрудников, обладающих особыми знаниями, опытом и компетенциями в рамках технологических процессов, включая период удаленной работы — это требование сохраняется в соответствии с положением 787-П.

Дополняется требование по отношению к счетно-сортировочным машинам наличных средств.

В проекте положения была определена динамика перехода данного оборудования на то, которое соответствует требованиям Банка России по проверке возможности адаптации без привлечения иностранного участия.

Исходя из 850-П все счетные машинки должны стать 100% адаптированными.

Ведение базы данных операционных рисков, согласно 716-П

Кроме того, кредитные организации обязаны регистрировать в базе событий операционных рисков (в соответствии с Положением 716-П) все инциденты, повлекшие за собой потери.

В т. ч. должна фиксироваться и информация о результатах восстановления технологических процессов.

При этом, по сравнению с 787-П, отсутствует необходимость отражения «данных, используемых для фиксации превышения установленных значений целевых показателей операционной надежности».

Для филиалов иностранных банков установлено требование по обязательной фиксации в базе событий следующей информации:

Принятые меры и проведённые мероприятия в отношении выявленных случаев простоя технологических процессов, не соответствующих нормативным значениям (включая случаи, выявленные Банком России)
Результаты восстановления работоспособности после устранения инцидентов

Филиалы иностранных банков должны информировать Банк России о выявленных случаях простоя и мероприятиях по реагированию и раскрытию информации (пресс-релизы).

Новое Положение включает актуальные изменения нормативной базы, устраняет отдельные противоречия Положения 787-П и учитывает текущую ситуацию в финансовой отрасли. Особое внимание уделено обеспечению бесперебойности банковских услуг в филиалах иностранных банков.

Подписывайтесь на канал ИТ. Право. Безопасность в Telegram

Задать вопрос эксперту

Связанные услуги

851‑П: Приведение в соответствие для отечественных банков и филиалов иностранных банков

— Суть 851-П
— Какая информация должна защищаться?
— На кого распространяются требования 851-П?
— Важные требования 851-П для банков
— Оценка по ГОСТ 57580.2 для банков
— Когда 851-П вступает в силу?

716-П: Управление операционными рисками кредитных организаций

— Требования по выделению капитала на покрытие рисков
— Структура положения 716-П
— Процедуры управления операционным риском
— Виды операционных рисков
— Дополнительные элементы системы управления рисками
— Ведение базы событий операционного риска
— Управление рисками ИТ и ИБ
— Управления операционным риском для различных типов организаций

850-П и 779-П: Приведение в соответствие с требованиями и оценка для банков и НФО

– Положения в области обеспечения операционной надёжности 779-П и 850-П;
– Целевые показатели операционной надежности;
– Требования к субъектам регулирования.

Оглавление