План действий,
направленных на обеспечение непрерывности деятельности
и (или) восстановление деятельности банка
в случае возникновения нестандартных
и чрезвычайных ситуаций <1>
--------------------------------
<1> План приведен без приложений. См. полный текст плана с приложениями по адресу: http://pbu.ru/plan_onivd.pdf.
1. Основные понятия и определения
1.1. Для целей настоящего Плана действий, направленных на обеспечение непрерывности и (или) восстановление деятельности банка в случае возникновения нестандартных и чрезвычайных ситуаций (далее - план ОНиВД), используются следующие основные понятия, определения и сокращения:
- банк - банк, в том числе головной офис, обособленные структурные подразделения;
- бизнес-процесс - логически законченная последовательность действий и (или) операций, в совокупности реализующих конкретную задачу текущей деятельности, описываемая формальным алгоритмом преобразования на каждом этапе входных элементов в выходные. К элементам преобразования могут относиться документы или ресурсы разной природы и назначения (финансовые, материальные и нематериальные активы);
- головной офис банка (ГО) - месторасположение органов управления банком, а также его структурных подразделений по месту его государственной регистрации (г. Москва), за исключением внутренних структурных подразделений банка;
- ГУЧС - группа управления в чрезвычайных ситуациях;
- критические операции - важные внутренние банковские процессы (сферы деятельности банка), непрерывность деятельности которых определяет возможность банка осуществлять банковские операции и выполнять в установленные сроки и в установленных размерах обязательства перед клиентами;
- нестандартные и чрезвычайные ситуации (НЧС) - это условия или ситуации, обусловленные действием обстоятельств непреодолимой силы, т.е. чрезвычайных и непредотвратимых при данных условиях обстоятельств, возникших помимо воли и желания сотрудников банка, которые нельзя было предвидеть или избежать и конечный результат которых будет подтвержден только при совершении или несовершении одного или более действий, предусмотренных настоящим планом ОНиВД;
- обособленные структурные подразделения - подразделения банка (филиалы), непосредственно занимающиеся совершением банковских операций, их оформлением и учетом вне места нахождения головного офиса;
- план обеспечения непрерывности деятельности и (или) восстановления деятельности банка в случае возникновения нестандартных и чрезвычайных ситуаций - комплекс мероприятий по предотвращению или своевременной ликвидации последствий возможного нарушения режима повседневного функционирования банка, вызванного нестандартными и чрезвычайными ситуациями (возникновением чрезвычайной ситуации или иным событием, наступление которого возможно, но труднопредсказуемо и связано с угрозой существенных материальных потерь или иных последствий, препятствующих выполнению банком принятых на себя обязательств);
- регуляторный (комплаенс) риск - риск возникновения у банка прямых или косвенных потерь из-за несоблюдения законодательства РФ, внутренних нормативных документов банка, стандартов саморегулируемых организаций или иных стандартов, которые банк в своих внутренних нормативных документах или договорах определяет как обязательные для себя, а также в результате применения санкций и (или) иных мер воздействия со стороны надзорных органов;
- резервное помещение - постоянно действующая и поддерживаемая в рабочем состоянии организационно-техническая структура банка, обеспечивающая выполнение необходимых функций в случае наступления нестандартных и чрезвычайных ситуаций;
- структурное подразделение - внутреннее подразделение банка, непосредственно занимающееся совершением банковских операций, их оформлением и учетом.
2. Общие положения
2.1. План ОНиВД является внутренним нормативным документом банка, устанавливает порядок взаимодействия подразделений в случае возникновения нестандартных и чрезвычайных ситуаций в целях оперативного решения вопросов по обеспечению непрерывности и (или) восстановлению деятельности банка и разработан с учетом требований:
- Федерального закона от 02.12.1990 N 395-1 "О банках и банковской деятельности";
- Федерального закона от 21.12.1994 N 68-ФЗ "О защите населения и территорий от чрезвычайных ситуаций природного и техногенного характера";
- Федерального закона от 12.02.1998 N 28-ФЗ "О гражданской обороне";
- Федерального закона от 21.12.1994 N 69-ФЗ "О пожарной безопасности";
- Федерального закона от 27.06.2011 N 161-ФЗ "О национальной платежной системе";
- Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных";
- Федерального закона от 07.08.2001 N 115-ФЗ "О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма";
- Постановления Правительства РФ от 21.05.2007 N 304 "О классификации чрезвычайных ситуаций природного и техногенного характера" (далее - Постановление N 304);
- Постановления Правительства РФ от 04.09.2003 N 547 "О подготовке населения в области защиты от чрезвычайных ситуаций природного и техногенного характера";
- Постановления Правительства РФ от 02.11.2000 N 841 "Об утверждении Положения об организации подготовки населения в области гражданской обороны";
- Постановления Правительства РФ от 25.04.2012 N 390 "О противопожарном режиме";
- Положения Банка России от 16.12.2003 N 242-П "Об организации внутреннего контроля в кредитных организациях и банковских группах";
- Постановления Правительства Москвы от 24.02.2009 N 124-ПП "Об организации планирования действий по предупреждению и ликвидации чрезвычайных ситуаций";
- Положения Банка России от 09.06.2012 N 382-П "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств";
- иных требований и рекомендаций Банка России, в том числе распоряжений и стандартов в области обеспечения информационной безопасности банковской системы РФ;
- Письма Банка России от 24.05.2005 N 76-Т "Об организации управления операционным риском в кредитных организациях";
- программы курсового обучения сотрудников в области гражданской обороны и предотвращения чрезвычайных ситуаций в банке;
- программы вводного инструктажа по гражданской обороне и предотвращению чрезвычайных ситуаций в банке;
- иных внутренних документов банка.
2.2. План ОНиВД определяет основные принципы и методы обеспечения непрерывности деятельности банка при возникновении различных нестандартных и чрезвычайных ситуаций, устанавливает задачи, порядок, способы и сроки осуществления комплекса мероприятий по предотвращению или своевременной ликвидации последствий возможного нарушения режима повседневного функционирования банка, вызванного нестандартной и чрезвычайной ситуацией.
План является частью системы внутреннего контроля банка в области снижения уровня специфических и неспецифических рисков, в том числе операционного риска.
2.3. Обособленные структурные подразделения банка разрабатывают собственный план ОНиВД, руководствуясь принципами, заложенными в настоящем плане ОНиВД, с учетом своей специфики функционирования и возможных НЧС, присущих в регионе местонахождения обособленного структурного подразделения банка.
2.4. В случае принятия новых или изменения действующих законодательных и нормативно-правовых актов, регулирующих подходы к обеспечению непрерывности деятельности банка, план ОНиВД до внесения соответствующих изменений и дополнений действует в части, им не противоречащей.
2.5. В случае изменения наименований структурных подразделений и (или) должностей сотрудников банка, участвующих в осуществлении мероприятий (процедур) в рамках плана ОНиВД, при условии сохранения за ними функций, определенных для данных структурных подразделений и сотрудников банка планом ОНиВД, а также в случае передачи указанных функций в компетенцию других структурных подразделений и сотрудников банка работа в соответствии с планом ОНиВД осуществляется соответствующими структурными подразделениями и сотрудниками банка до внесения изменений в план ОНиВД.
2.6. Настоящий план ОНиВД, а также все изменения и дополнения к нему утверждаются наблюдательным советом банка.
3. Цели и задачи плана ОНиВД
3.1. План ОНиВД - перечень мероприятий, которые должны быть выполнены в целях предотвращения наступления и после возникновения нестандартных и чрезвычайных ситуаций.
3.2. Планирование обеспечения непрерывности деятельности и (или) восстановления деятельности банка в случае возникновения нестандартных и чрезвычайных ситуаций осуществляется в целях:
- предотвращения наступления нестандартных и чрезвычайных ситуаций, предупреждения и предотвращения возможного нарушения режима повседневного функционирования банка;
- обеспечения безопасности и соответствующих условий труда сотрудников банка, безопасности лиц, находящихся в помещениях (посетителей) банка;
- повышения готовности сотрудников банка к умелым и адекватным действиям при угрозе и возникновении опасностей, присущих чрезвычайной ситуации и военным конфликтам, характерным для района работы и проживания сотрудников банка;
- снижения тяжести последствий нарушения режима повседневного функционирования банка (в том числе размера материальных потерь, потерь информации, потери деловой репутации);
- сведения к минимуму воздействия аварий на бизнес-процессы банка, поддержания способности банка выполнять принятые на себя обязательства перед вкладчиками и кредиторами, в том числе перед Банком России (по кредитам Банка России, уплате процентов по ним и другим денежным обязательствам перед ЦБ РФ);
- сохранения уровня управления банком, позволяющего обеспечить условия для принятия обоснованных и оптимальных управленческих решений, их своевременную и полную реализацию;
- уменьшения отрицательных последствий происшествий для стратегии развития банка, его репутации, ликвидности, качества кредитов и позиции на рынке;
- уменьшения юридической ответственности банка и способности соблюдать все нормативные требования и законы;
- обеспечения информационной безопасности банка, в том числе его расчетной системы;
- обеспечения бесперебойной работы банка как расчетного центра платежной системы "Мультисервисная платежная система";
- организованного восстановления деятельности банка;
- улучшения репутации банка и получения конкурентных преимуществ в случае успешного обеспечения непрерывности деятельности в чрезвычайных ситуациях.
3.3. В целях обеспечения непрерывности деятельности и (или) восстановления деятельности банка в случае возникновения нестандартных и чрезвычайных ситуаций решаются следующие задачи:
- контроль за соблюдением действующих правил сохранности и доступа к необходимой информации;
- обеспечение персонала рабочими помещениями, своевременного перемещения персонала из помещения, где произошло чрезвычайное событие, в безопасное резервное помещение;
- обеспечение персонала техническими средствами и необходимыми материалами;
- организация непрерывного выполнения банком своих обязательств перед клиентами при чрезвычайном событии;
- обеспечение взаимодействия с акционерами, бизнес-партнерами, подрядчиками, поставщиками и другими заинтересованными сторонами;
- профилактика возникновения непредвиденных обстоятельств на основе осведомленности персонала о мерах технической, информационной и пожарной безопасности;
- снижение риска гибели персонала и клиентов банка и уничтожения имущества банка в результате возникновения нестандартных и чрезвычайных ситуаций;
- снижение возможного воздействия опасных факторов, возникших вследствие возникновения непредвиденных обстоятельств (чрезвычайной ситуации);
- сокращение времени ликвидации последствий возникновения нестандартных и чрезвычайных ситуаций;
- разграничение полномочий и обязанностей персонала банка в процессе ликвидации чрезвычайных ситуаций;
- восстановление доступа к необходимой информации.
3.4. В целях реализации задач план ОНиВД:
- определяет последовательность действий в случае возникновения чрезвычайных ситуаций и порядок осуществления внутренних банковских процессов в чрезвычайном режиме;
- определяет порядок документирования согласованных решений, перечень процедур, выполнение которых в режиме повседневного функционирования банка необходимо для успешной реализации плана, очередность и сроки их выполнения;
- содержит перечень процедур и изложение способов реагирования на нестандартные и чрезвычайные ситуации для сотрудников банка (в том числе детальные инструкции), выполнение которых позволит осуществлять критические операции, минимизировать возможный ущерб и в минимально короткие сроки восстановить нормальную работу банка и (или) его обособленных структурных подразделений;
- устанавливает порядок реализации указанных решений и процедур;
- определяет документирование распределения и перераспределения обязанностей должностных лиц банка и (или) его обособленных структурных подразделений по обеспечению исполнения указанных решений в условиях чрезвычайного режима с учетом взаимозаменяемости сотрудников банка в случае отсутствия (недоступности) ответственных и (или) уполномоченных сотрудников банка;
- устанавливает порядок взаимодействия между органами управления, структурными подразделениями, обособленными структурными подразделениями и сотрудниками банка при возникновении нестандартных и чрезвычайных ситуаций;
- устанавливает порядок информирования заинтересованных лиц о возникновении нестандартных и чрезвычайных ситуаций, порядок взаимодействия с ними, в том числе с ЦБ РФ, по вопросам обеспечения непрерывности и (или) восстановления деятельности банка;
- определяет организацию и порядок осуществления обучения сотрудников банка;
- устанавливает требования к уровню знаний и умений сотрудников банка;
- определяет порядок завершения работы в чрезвычайном режиме и возврата в режим повседневного функционирования.
3.5. Обеспечение непрерывности деятельности банка реализуется на основе:
- вовлеченности сотрудников банка в процесс обеспечения непрерывности деятельности за счет их обучения, осведомленности о целях банка в области обеспечения непрерывности деятельности;
- ознакомления сотрудников банка с порядком обеспечения непрерывности деятельности банка и осознания важности его соблюдения;
- понимания сотрудниками банка того, что процесс обеспечения непрерывности деятельности не является окончательным и неизменным, что он должен и будет непрерывно улучшаться и совершенствоваться в соответствии с новыми условиями как внутри банка, так и за его пределами;
- участия сотрудников банка в совершенствовании процесса обеспечения непрерывности деятельности банка.
4. Классификация категорий
и видов угроз непрерывности деятельности банка
4.1. Определение нестандартных и чрезвычайных ситуаций и объекта риска.
4.1.1. Непредвиденное обстоятельство (чрезвычайная ситуация) - это обстановка, сложившаяся в результате аварии, опасного природного явления, катастрофы, стихийного или иного бедствия, которые могут повлечь или повлекли за собой человеческие жертвы, ущерб здоровью людей или окружающей среде, значительные материальные потери и нарушение условий жизнедеятельности людей. Непредвиденные обстоятельства приводят к невозможности функционирования банка в обычном, регламентируемом соответствующими стандартами банка режиме.
4.1.2. Объект риска - персонал, клиенты, бизнес-процесс, вид деятельности, имущество и информационные активы банка.
4.1.3. Категория (или тип) нестандартных и чрезвычайных ситуаций - это основная классификация угроз непрерывности деятельности банка.
4.2. Классификация категорий (типов) нестандартных и чрезвычайных ситуаций:
4.2.1. Непредвиденные обстоятельства (чрезвычайные ситуации) классифицируются по их источникам. В целях обеспечения непрерывности бизнес-процессов банком признаются существенными следующие виды рисков прерывания деятельности:
4.2.1.1. Предпринимательский:
- переезд банка в другое помещение или офис;
- промышленный шпионаж;
- утрата архива;
- слияние банка с другими банками или приобретение (поглощение) других банков;
- попытка рейдерского захвата бизнеса;
- переход с одной автоматизированной банковской системы на другую;
- чрезмерная зависимость от партнеров (клиентов);
- ошибки, допущенные при заключении контрактов с провайдерами внешних услуг;
- нарушения договорных обязательств сторонними лицами;
- негативная информация о банке в прессе;
- несоответствие внутренних документов действующему законодательству;
- изменчивость и несогласованность требований надзорных и регулирующих органов, вышестоящих инстанций.
4.2.1.2. Человеческий:
- массовое увольнение сотрудников банка или их потеря в результате несчастного случая;
- отсутствие (недостаточность) процедур планирования замещения должностей;
- несчастный случай на рабочем месте, повлекший за собой гибель сотрудника (в том числе в результате суицида);
- некомпетентность, ошибка сотрудников банка;
- вандализм в отношении имущества банка;
- саботаж и (или) пикетирование и забастовки сотрудников банка;
- ошибки кадровой работы;
- ошибки в обеспечении безопасности информационных систем на стадиях жизненного цикла;
- нарушения сотрудниками банка организационных мер по обеспечению безопасности;
- выполнение вредоносных программ, использование информационных активов не по назначению;
- несанкционированный доступ к документам, автоматизированным системам и аппаратно-программному комплексу банка, инициативный шпионаж;
- кража ценностей, в том числе денежных средств, из помещения банка или во время их транспортировки;
- организованная преступность (создание преступных групп в структуре банка с целью извлечения незаконных доходов);
- запугивание и шантаж, социальный инжиниринг;
- гражданские беспорядки в регионе местонахождения банка;
- террористические акты или их угроза, а также взрывы криминогенного характера в помещении банка либо в непосредственной близости от помещения банка или прилегающей к нему территории;
- локальные конфликты в регионе местонахождения банка.
4.2.1.3. Техногенный:
- веерное отключение электроэнергии и (или) отказ систем электроснабжения, включая резервные источники питания;
- отказ функционирования средств вычислительной техники;
- атаки хакеров и кракеров;
- компьютерные вирусы;
- отказ функционирования систем телекоммуникации;
- отказ функционирования систем программно-аппаратного комплекса по взаимодействию с платежной системой ЦБ РФ;
- аварии систем жизнеобеспечения (прорыв канализации, трубопроводов горячей и холодной воды, отказ системы кондиционирования, отопления и др.);
- отравление химическими веществами;
- нарушения работы общественного транспорта.
4.2.1.4. Природно-техногенный:
- пожар;
- падение искусственных и природных объектов с неба.
4.2.1.5. Природный:
- экстремальные погодные условия (очень низкая или высокая температура воздуха, снежная буря, ураган);
- землетрясение;
- электромагнитные бури;
- эпидемии;
- наводнение.
4.2.1.6. Страновой:
- некоторые запретительные акты государства (блокада, эмбарго, объявление карантина, ограничение перевозок на определенных направлениях, запрет некоторых торговых операций с отдельными странами вследствие применения международных санкций и т.д.).
4.2.1.7. Финансовый:
- дефицит ликвидности банка, в том числе по причине потери деловой репутации;
- потеря (утрата) капитала.
4.2.1.8. Прочие:
- другие обстоятельства, не отнесенные к вышеперечисленным, но имеющие место, в том числе согласно мнению всероссийского центра мониторинга и прогнозирования чрезвычайных ситуаций природного и техногенного характера "Антистихия" МЧС РФ.
4.3. Классификация категорий (типов) нестандартных и чрезвычайных ситуаций в зависимости от нанесенного ущерба и продолжительности прерывания бизнес-процессов банка. Нестандартные и чрезвычайные ситуации подразделяются на НЧС, приносящие:
4.3.1. Незначительный ущерб.
Ситуации, возникающие в результате нежелательных воздействий, не наносящих ощутимого ущерба, но требующие внимания и адекватной реакции (например, зафиксированные неудачные попытки проникновения или несанкционированного доступа к ресурсам системы), к непредвиденным не относятся. Возобновление операционной деятельности банка может быть осуществлено в короткое время без вызова специальных аварийных и технических служб. Ожидаемое время простоя - менее одного операционного дня. Ущерб может быть нанесен аппаратным средствам, программному обеспечению, механическому оборудованию, электрооборудованию и (или) зданию.
4.3.2. Серьезный ущерб.
НЧС, приводящие к выходу из строя отдельных компонентов системы банка (частичной потере работоспособности), потере производительности, а также к нарушению целостности и конфиденциальности программ и данных в результате несанкционированного доступа, - аварийные и технические службы вызываются для восстановления операционной деятельности банка в существующем помещении. Предполагаемое время простоя - от одного до пяти операционных дней. Нанесен серьезный ущерб аппаратным средствам и (или) зданию.
4.3.3. Катастрофа - обширный ущерб.
Восстановление потребует более пяти операционных дней. Здание может быть полностью разрушено. При катастрофе вызываются спасательные, аварийные и технические службы и все сотрудники банка, чтобы начать полное выполнение плана действий в случае возникновения нестандартных и чрезвычайных ситуаций.
4.4. В соответствии с Постановлением N 304 чрезвычайные ситуации природного и техногенного характера подразделяются:
4.4.1. На чрезвычайные ситуации локального характера, в результате которых территория, на которой сложилась чрезвычайная ситуация и нарушены условия жизнедеятельности людей (далее - зона чрезвычайной ситуации), не выходит за пределы территории объекта, при этом количество людей, погибших или получивших ущерб здоровью (далее - количество пострадавших), составляет не более 10 человек либо размер ущерба окружающей природной среде и материальных потерь (далее - размер материального ущерба) составляет не более 100 тыс. руб.
4.4.2. Чрезвычайные ситуации муниципального характера, в результате которых зона чрезвычайной ситуации не выходит за пределы территории одного поселения или внутригородской территории города федерального значения, при этом количество пострадавших составляет не более 50 человек либо размер материального ущерба составляет не более 5 млн руб., а также данная чрезвычайная ситуация не может быть отнесена к чрезвычайной ситуации локального характера.
4.4.3. Чрезвычайные ситуации межмуниципального характера, в результате которых зона чрезвычайной ситуации затрагивает территорию двух и более поселений, внутригородских территорий города федерального значения или межселенную территорию, при этом количество пострадавших составляет не более 50 человек либо размер материального ущерба составляет не более 5 млн руб.
4.4.4. Чрезвычайные ситуации регионального характера, в результате которых зона чрезвычайной ситуации не выходит за пределы территории одного субъекта РФ, при этом количество пострадавших составляет свыше 50 человек, но не более 500 человек либо размер материального ущерба составляет свыше 5 млн руб., но не более 500 млн руб.
4.4.5. Чрезвычайные ситуации межрегионального характера, в результате которых зона чрезвычайной ситуации затрагивает территорию двух и более субъектов РФ, при этом количество пострадавших составляет свыше 50 человек, но не более 500 человек либо размер материального ущерба составляет свыше 5 млн руб., но не более 500 млн руб.
4.4.6. Чрезвычайные ситуации федерального характера, в результате которых количество пострадавших составляет свыше 500 человек либо размер материального ущерба составляет свыше 500 млн руб.
4.5. По степени воздействия и размерам ущерба, наносимого банку, непредвиденные обстоятельства разделяются на следующие категории:
4.5.1. Угрожающие - приводящие к неспособности банка полностью (частично) выполнять далее свои функции, а также к уничтожению, блокированию, неправомерной модификации или компрометации наиболее важной информации.
4.5.2. Серьезные - приводящие к выходу из строя отдельных компонентов системы банка (частичной потере работоспособности), потере производительности, а также к нарушению целостности и конфиденциальности программ и данных в результате несанкционированного доступа.
4.5.3. Ситуации, возникающие в результате нежелательных воздействий, не наносящих ощутимого ущерба, но требующие внимания и адекватной реакции (например, зафиксированные неудачные попытки проникновения или несанкционированного доступа к ресурсам системы), к непредвиденным не относятся.
4.6. Ситуации, при возникновении которых не меняется порядок осуществления банковских операций:
- отключение (полное или частичное) электропитания (основного и резервного) менее чем на один час;
- нештатная работа аппаратно-программных компонентов автоматизированных рабочих мест (далее - АРМ) менее двух часов;
- повреждение телефонной сети;
- повреждение оптического кабеля (отсутствие доступа в сеть Интернет, SWIFT) менее чем на два часа;
- сбой работы сервера баз данных менее чем на один час;
- сбой системного программного обеспечения (далее - ПО) менее чем на два часа;
- поломка аппаратных компонентов сервера;
- прекращение доступа внешних пользователей к интернет-сайту банка;
- выход из строя (сбой) автоматизированной системы (или ее модуля), разработанной сторонним разработчиком, менее чем на два часа;
- выход из строя автоматизированных прикладных модулей, разработанных управлением информационных технологий банка, менее чем на два часа;
- затопление в помещениях, занимаемых банком (незначительное, не влияющее на работу АРМ, произошедшее вне помещений, в которых находится серверное оборудование или обслуживание клиентов), возгорание (при возможности тушения возгорания в течение пяти минут силами сотрудников банка);
- выход из строя систем безопасности (охранной сигнализации, систем контроля доступа, системы видеонаблюдения).
5. Перечень ключевых бизнес-процессов
по степени приоритетности
5.1. Для банка ключевыми являются следующие бизнес-процессы (по степени приоритетности):
- обслуживание клиентов;
- обработка информации и осуществление платежей;
- операции по привлечению и размещению ресурсов;
- обеспечение бесперебойной работы банка как расчетного центра платежной системы "Мультисервисная платежная система";
- обеспечение безопасности, в том числе информационной;
- управление рисками;
- финансовый мониторинг и т.д.
