ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ
УКАЗАНИЕ
от 26 сентября 2024 г. N 6863-У
О ПОРЯДКЕ
ПРОВЕДЕНИЯ ОПЕРАТОРОМ АВТОМАТИЗИРОВАННОЙ ИНФОРМАЦИОННОЙ
СИСТЕМЫ СТРАХОВАНИЯ ОПЕРАЦИОННОГО АУДИТА
Настоящее Указание на основании подпункта 9 пункта 7 статьи 33.10 Закона Российской Федерации от 27 ноября 1992 года N 4015-I "Об организации страхового дела в Российской Федерации" устанавливает порядок проведения оператором автоматизированной информационной системы страхования операционного аудита.
1. Оператор автоматизированной информационной системы страхования (далее - АИС страхования) в соответствии с подпунктом 9 пункта 7 статьи 33.10 Закона Российской Федерации от 27 ноября 1992 года N 4015-I "Об организации страхового дела в Российской Федерации" (далее - Закон "Об организации страхового дела в Российской Федерации") обязан не реже одного раза в два года проводить операционный аудит посредством оценки соответствия требованиям федеральных законов, и (или) иных нормативных правовых актов Российской Федерации, и (или) нормативных актов Банка России, регулирующих деятельность оператора АИС страхования, следующих систем, процедур и мер:
системы управления рисками, требования к организации которой установлены Банком России на основании подпункта 8 пункта 7 статьи 33.10 Закона "Об организации страхового дела в Российской Федерации";
процедур, направленных на выполнение требований к операционной надежности оператора АИС страхования, которые установлены Банком России на основании подпункта 5 пункта 7 статьи 33.10 Закона "Об организации страхового дела в Российской Федерации";
процедур, направленных на обеспечение оператором АИС страхования бесперебойности и непрерывности функционирования АИС страхования, в том числе на надлежащее функционирование резервных комплексов программно-аппаратных средств, в соответствии с подпунктом 4 пункта 7 статьи 33.10 Закона "Об организации страхового дела в Российской Федерации";
мер, направленных на осуществление оператором АИС страхования защиты информации, содержащейся в АИС страхования, требования к обеспечению которой установлены Банком России на основании подпункта 5 пункта 7 статьи 33.10 Закона "Об организации страхового дела в Российской Федерации";
мер, принимаемых для защиты персональных данных при их обработке в соответствии со статьей 19 Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных" (далее - Федеральный закон "О персональных данных") от угроз безопасности при обработке персональных данных в АИС страхования, определенных Банком России на основании части 5 статьи 19 Федерального закона "О персональных данных" и подпункта 6 пункта 7 статьи 33.10 Закона "Об организации страхового дела в Российской Федерации".
2. До проведения операционного аудита оператор АИС страхования разрабатывает план проведения операционного аудита, содержащий в том числе:
информацию о системах, процедурах и мерах, указанных в пункте 1 настоящего Указания, в отношении которых будет проводиться операционный аудит;
перечень федеральных законов, и (или) иных нормативных правовых актов Российской Федерации, и (или) нормативных актов Банка России, регулирующих деятельность оператора АИС страхования, оценка соответствия которым должна быть осуществлена в рамках проведения операционного аудита;
срок проведения операционного аудита;
порядок утверждения отчета о проведении операционного аудита, а также порядок направления оператором АИС страхования указанного отчета в Банк России посредством личного кабинета, ссылка на который размещена на официальном сайте Банка России в информационно-телекоммуникационной сети "Интернет", в соответствии с порядком взаимодействия, установленным нормативным актом Банка России, принятым на основании статьи 9.2, частей первой и четвертой статьи 73.1, частей первой, третьей, шестой и восьмой статьи 76.9, частей первой, третьей, шестой и восьмой статьи 76.9-11 Федерального закона от 10 июля 2002 года N 86-ФЗ "О Центральном банке Российской Федерации (Банке России)", частей 1, 4, 5 и 7 статьи 35.1 Федерального закона от 27 июня 2011 года N 161-ФЗ "О национальной платежной системе", в течение пяти рабочих дней со дня утверждения отчета о проведении операционного аудита.
3. Для проведения операционного аудита оператор АИС страхования определяет уполномоченное на проведение операционного аудита должностное лицо или структурное подразделение оператора АИС страхования (далее - уполномоченное лицо или подразделение) либо привлекает юридическое лицо (юридических лиц), осуществляющее (осуществляющих) деятельность по оказанию услуг аудита программно-технических средств, обеспечивающих осуществление критически важных процессов и (или) технологических процессов организаций, и (или) мер, осуществляемых организациями в целях обеспечения непрерывности осуществления их критически важных процессов и (или) технологических процессов (далее - аудитор).
4. Оператор АИС страхования предоставляет уполномоченному лицу или подразделению либо аудитору план проведения операционного аудита не позднее чем за 10 календарных дней, за исключением нерабочих праздничных дней, признаваемых таковыми в соответствии со статьей 112 Трудового кодекса Российской Федерации, до дня начала срока проведения операционного аудита.
5. По результатам проведения операционного аудита осуществляется подготовка уполномоченным лицом или подразделением либо аудитором отчета о проведении операционного аудита, включающего в том числе:
указание на уполномоченное должностное лицо или подразделение, проводившее операционный аудит, либо реквизиты аудитора, проводившего операционный аудит (полное фирменное и сокращенное фирменное (при наличии) наименования на русском языке, идентификационный номер налогоплательщика, основной государственный регистрационный номер, адрес в пределах места нахождения, указанный в едином государственном реестре юридических лиц);
информацию о системах, процедурах и мерах, указанных в пункте 1 настоящего Указания, оценка которых проводилась в рамках операционного аудита;
перечень федеральных законов, и (или) иных нормативных правовых актов Российской Федерации, и (или) нормативных актов Банка России, регулирующих деятельность оператора АИС страхования, оценка соответствия которым проводилась в рамках операционного аудита;
результаты проведенных в рамках операционного аудита оценок систем, процедур и мер, указанных в пункте 1 настоящего Указания, а также выявленные в них недостатки и рекомендации по устранению таких недостатков.
6. Настоящее Указание вступает в силу по истечении 10 дней после дня его официального опубликования.
Председатель Центрального банка
Российской Федерации
Э.С.НАБИУЛЛИНА