ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ

УКАЗАНИЕ
от 26 сентября 2024 г. N 6863-У

О ПОРЯДКЕ
ПРОВЕДЕНИЯ ОПЕРАТОРОМ АВТОМАТИЗИРОВАННОЙ ИНФОРМАЦИОННОЙ
СИСТЕМЫ СТРАХОВАНИЯ ОПЕРАЦИОННОГО АУДИТА

Настоящее Указание на основании подпункта 9 пункта 7 статьи 33.10 Закона Российской Федерации от 27 ноября 1992 года N 4015-I "Об организации страхового дела в Российской Федерации" устанавливает порядок проведения оператором автоматизированной информационной системы страхования операционного аудита.

1. Оператор автоматизированной информационной системы страхования (далее - АИС страхования) в соответствии с подпунктом 9 пункта 7 статьи 33.10 Закона Российской Федерации от 27 ноября 1992 года N 4015-I "Об организации страхового дела в Российской Федерации" (далее - Закон "Об организации страхового дела в Российской Федерации") обязан не реже одного раза в два года проводить операционный аудит посредством оценки соответствия требованиям федеральных законов, и (или) иных нормативных правовых актов Российской Федерации, и (или) нормативных актов Банка России, регулирующих деятельность оператора АИС страхования, следующих систем, процедур и мер:

системы управления рисками, требования к организации которой установлены Банком России на основании подпункта 8 пункта 7 статьи 33.10 Закона "Об организации страхового дела в Российской Федерации";

процедур, направленных на выполнение требований к операционной надежности оператора АИС страхования, которые установлены Банком России на основании подпункта 5 пункта 7 статьи 33.10 Закона "Об организации страхового дела в Российской Федерации";

процедур, направленных на обеспечение оператором АИС страхования бесперебойности и непрерывности функционирования АИС страхования, в том числе на надлежащее функционирование резервных комплексов программно-аппаратных средств, в соответствии с подпунктом 4 пункта 7 статьи 33.10 Закона "Об организации страхового дела в Российской Федерации";

мер, направленных на осуществление оператором АИС страхования защиты информации, содержащейся в АИС страхования, требования к обеспечению которой установлены Банком России на основании подпункта 5 пункта 7 статьи 33.10 Закона "Об организации страхового дела в Российской Федерации";

мер, принимаемых для защиты персональных данных при их обработке в соответствии со статьей 19 Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных" (далее - Федеральный закон "О персональных данных") от угроз безопасности при обработке персональных данных в АИС страхования, определенных Банком России на основании части 5 статьи 19 Федерального закона "О персональных данных" и подпункта 6 пункта 7 статьи 33.10 Закона "Об организации страхового дела в Российской Федерации".

2. До проведения операционного аудита оператор АИС страхования разрабатывает план проведения операционного аудита, содержащий в том числе:

информацию о системах, процедурах и мерах, указанных в пункте 1 настоящего Указания, в отношении которых будет проводиться операционный аудит;

перечень федеральных законов, и (или) иных нормативных правовых актов Российской Федерации, и (или) нормативных актов Банка России, регулирующих деятельность оператора АИС страхования, оценка соответствия которым должна быть осуществлена в рамках проведения операционного аудита;

срок проведения операционного аудита;

порядок утверждения отчета о проведении операционного аудита, а также порядок направления оператором АИС страхования указанного отчета в Банк России посредством личного кабинета, ссылка на который размещена на официальном сайте Банка России в информационно-телекоммуникационной сети "Интернет", в соответствии с порядком взаимодействия, установленным нормативным актом Банка России, принятым на основании статьи 9.2, частей первой и четвертой статьи 73.1, частей первой, третьей, шестой и восьмой статьи 76.9, частей первой, третьей, шестой и восьмой статьи 76.9-11 Федерального закона от 10 июля 2002 года N 86-ФЗ "О Центральном банке Российской Федерации (Банке России)", частей 1, 4, 5 и 7 статьи 35.1 Федерального закона от 27 июня 2011 года N 161-ФЗ "О национальной платежной системе", в течение пяти рабочих дней со дня утверждения отчета о проведении операционного аудита.

3. Для проведения операционного аудита оператор АИС страхования определяет уполномоченное на проведение операционного аудита должностное лицо или структурное подразделение оператора АИС страхования (далее - уполномоченное лицо или подразделение) либо привлекает юридическое лицо (юридических лиц), осуществляющее (осуществляющих) деятельность по оказанию услуг аудита программно-технических средств, обеспечивающих осуществление критически важных процессов и (или) технологических процессов организаций, и (или) мер, осуществляемых организациями в целях обеспечения непрерывности осуществления их критически важных процессов и (или) технологических процессов (далее - аудитор).

4. Оператор АИС страхования предоставляет уполномоченному лицу или подразделению либо аудитору план проведения операционного аудита не позднее чем за 10 календарных дней, за исключением нерабочих праздничных дней, признаваемых таковыми в соответствии со статьей 112 Трудового кодекса Российской Федерации, до дня начала срока проведения операционного аудита.

5. По результатам проведения операционного аудита осуществляется подготовка уполномоченным лицом или подразделением либо аудитором отчета о проведении операционного аудита, включающего в том числе:

указание на уполномоченное должностное лицо или подразделение, проводившее операционный аудит, либо реквизиты аудитора, проводившего операционный аудит (полное фирменное и сокращенное фирменное (при наличии) наименования на русском языке, идентификационный номер налогоплательщика, основной государственный регистрационный номер, адрес в пределах места нахождения, указанный в едином государственном реестре юридических лиц);

информацию о системах, процедурах и мерах, указанных в пункте 1 настоящего Указания, оценка которых проводилась в рамках операционного аудита;

перечень федеральных законов, и (или) иных нормативных правовых актов Российской Федерации, и (или) нормативных актов Банка России, регулирующих деятельность оператора АИС страхования, оценка соответствия которым проводилась в рамках операционного аудита;

результаты проведенных в рамках операционного аудита оценок систем, процедур и мер, указанных в пункте 1 настоящего Указания, а также выявленные в них недостатки и рекомендации по устранению таких недостатков.

6. Настоящее Указание вступает в силу по истечении 10 дней после дня его официального опубликования.

Председатель Центрального банка
Российской Федерации
Э.С.НАБИУЛЛИНА