Положение 819-П
«О требованиях к операционной надежности оператора автоматизированной информационной системы страхования»
Действующая редакция
с 26 сентября 2025
Описание Положения 819-П
Кого касается:
Операторы автоматизированной информационной системы страхования (оператор АИС страхования).
Самое главное:
819-П устанавливает требования к операционной надежности операторов АИС страхования для минимизации рисков сбоев и инцидентов. Документ обязывает операторов АИС страхования обеспечивать непрерывность технологических процессов, определять целевые показатели надежности (доля деградации, время простоя) и внедрять меры по их соблюдению.
Используемые термины:
Объекты информационной инфраструктуры – автоматизированные системы, программное обеспечение, средства вычислительной техники, телекоммуникационное оборудование.
Технологические процессы – технологический процесс, обеспечивающий получение и обработку оператором АИС страхования информации, предусмотренной пунктом 1 статьи 33.11 Закона Российской Федерации № 4015-I; технологический процесс, обеспечивающий предоставление информации, содержащейся в АИС страхования, пользователям АИС страхования в целях осуществления обязательного страхования; технологический процесс, обеспечивающий работу сайта оператора АИС страхования в сети «Интернет».
Пороговый уровень допустимого времени простоя и (или) деградации технологических процессов оператора АИС страхования – превышение значения порогового уровня допустимого времени простоя и (или) нарушений технологических процессов оператора АИС страхования, указанных в приложении к 819-П, приводящие к невыполнению или ненадлежащему выполнению оператором АИС страхования своих функций.
Инцидент операционной надежности – событие операционного риска или серии связанных событий операционного риска, вызванных информационными угрозами и (или) сбоями объектов информационной инфраструктуры, которые привели к невыполнению или ненадлежащему выполнению оператором АИС страхования своих функций.
Допустимая доля деградации технологического процесса – ожидаемое количество операций, осуществляемых в рамках технологических процессов, в случае непрерывного выполнения оператором АИС страхования своих функций, установленного оператором АИС страхования.
Целевые показатели операционной надежности – значения контрольных показателей уровня операционного риска для целей обеспечения операционной надежности.
Критичная архитектура – совокупность следующих элементов:
- технологических процессов, реализуемых непосредственно оператором АИС страхования;
- подразделений (работников) оператора АИС страхования, ответственных за разработку технологических процессов, поддержание их выполнения, реализацию технологических процессов (подразделения оператора АИС страхования);
- объектов информационной инфраструктуры оператора АИС страхования, задействованных при выполнении каждого технологического процесса;
- технологических участков технологических процессов (при наличии);
- технологических процессов, технологических участков технологических процессов (при наличии), реализуемых поставщиками услуг в сфере информационных технологий;
- работников оператора АИС страхования или иных лиц, осуществляющих физический и (или) логический доступ, или программных сервисов, осуществляющих логический доступ к объектам информационной инфраструктуры (субъекты доступа), задействованных при выполнении каждого технологического процесса;
- взаимосвязей и взаимозависимостей оператора АИС страхования со страховщиками, государственными органами, иными лицами, которым государством делегированы властные полномочия, участвующими в информационном взаимодействии, перечень которых установлен Правительством Российской Федерации по согласованию с Банком России;
- каналов передачи защищаемой информации.
Требования к операционной надежности операторов АИС страхования:
Операторы АИС страхования обязаны обеспечивать выполнение своих функций при реализации информационных угроз, и (или) возникновения отказов, и (или) нарушений функционирования автоматизированных систем, программного обеспечения, средств вычислительной техники, телекоммуникационного оборудования, и (или) несоответствия их функциональных возможностей и характеристик потребностям операторов АИС страхования.
Операторы АИС страхования не должны допускать превышения значения порогового уровня допустимого времени простоя и (или) нарушений технологических процессов операторов АИС страхования, приводящих к невыполнению или ненадлежащему выполнению операторами АИС страхования своих функций.
Операторы АИС страхования должны не реже одного раза в год проводить анализ необходимости пересмотра значений целевых показателей операционной надежности.
Операторы АИС страхования должны организовать и осуществлять учет и контроль состава следующих элементов:
- технологических процессов, реализуемых непосредственно оператором АИС страхования;
- подразделений (работников) оператора АИС страхования, ответственных за разработку технологических процессов, поддержание их выполнения, реализацию технологических процессов (подразделения оператора АИС страхования);
- объектов информационной инфраструктуры оператора АИС страхования, задействованных при выполнении каждого технологического процесса;
- технологических участков технологических процессов (при наличии);
- технологических процессов, технологических участков технологических процессов (при наличии), реализуемых поставщиками услуг в сфере информационных технологий;
- работников оператора АИС страхования или иных лиц, осуществляющих физический и (или) логический доступ, или программных сервисов, осуществляющих логический доступ к объектам информационной инфраструктуры (субъекты доступа), задействованных при выполнении каждого технологического процесса;
- взаимосвязей и взаимозависимостей оператора АИС страхования со страховщиками, государственными органами, иными лицами, которым государством делегированы властные полномочия, участвующими в информационном взаимодействии, перечень которых установлен Правительством Российской Федерации по согласованию с Банком России в соответствии с пунктом 8 статьи 33.10 Закона Российской Федерации от 27 ноября 1992 года N 4015-I «Об организации страхового дела в Российской Федерации», и поставщиками услуг в сфере информационных технологий в рамках выполнения технологических процессов;
- каналов передачи защищаемой информации, установленной нормативным актом Банка России, принятым на основании подпункта 5 пункта 7 статьи 33.10 Закона Российской Федерации N 4015-I, в части установления требований к обеспечению защиты информации, обрабатываемой и передаваемой в рамках технологических процессов участниками технологического процесса.
В целях организации учета и контроля состава технологических процессов, технологических участков технологических процессов, реализуемых поставщиками услуг в сфере информационных технологий, операторы АИС страхования должны вести отдельный реестр технологических процессов, технологических участков технологических процессов, реализуемых поставщиками услуг в сфере информационных технологий, в соответствии с внутренними документами.
Операторы АИС страхования в отношении элементов, указанных в настоящем подпункте, являющихся значимыми объектами критической информационной инфраструктуры в соответствии с пунктом 3 статьи 2 Федерального закона от 26 июля 2017 года № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации», должен выполнять требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры, установленные в соответствии с пунктом 4 части 3 статьи 6 Федерального закона № 187-ФЗ.
Операторы АИС страхования должны выполнять следующие требования к управлению изменениями критичной архитектуры:
- управление уязвимостями в критичной архитектуре, из-за которых могут реализоваться информационные угрозы и которые могут повлечь превышение значений целевых показателей операционной надежности;
- планирование и внедрение изменений в критичной архитектуре, направленных на обеспечение недопустимости невыполнения или ненадлежащего выполнения оператором АИС страхования своих функций;
- управление конфигурациями (настраиваемыми параметрами) объектов информационной инфраструктуры;
- управление уязвимостями и обновлениями (исправлениями) объектов информационной инфраструктуры.
Оператор АИС страхования должен выполнять следующие требования к выявлению, регистрации инцидентов операционной надежности и реагированию на них, а также к восстановлению выполнения технологических процессов и функционирования объектов информационной инфраструктуры после реализации таких инцидентов:
- выявление и регистрация инцидентов операционной надежности;
- реагирование на инциденты операционной надежности в отношении критичной архитектуры;
- восстановление функционирования технологических процессов и объектов информационной инфраструктуры после реализации инцидентов операционной надежности;
- проведение анализа причин и последствий реализации инцидентов операционной надежности;
- организация взаимодействия между подразделениями оператора АИС страхования, а также между оператором АИС страхования и Банком России, иными участниками технологического процесса в рамках реагирования на инциденты операционной надежности и восстановления выполнения технологических процессов и функционирования объектов информационной инфраструктуры после реализации инцидентов операционной надежности.
Оператор АИС страхования должен выполнять следующие требования к взаимодействию с поставщиками услуг в сфере информационных технологий:
- управление риском реализации информационных угроз при привлечении поставщиков услуг в сфере информационных технологий, в том числе защита своих объектов информационной инфраструктуры от возможной реализации информационных угроз со стороны поставщиков услуг в сфере информационных технологий;
- управление риском технологической зависимости функционирования своих объектов информационной инфраструктуры от поставщиков услуг в сфере информационных технологий.
Операторы АИС страхования в части тестирования операционной надежности технологических процессов должны принимать организационные и технические меры, направленные на проведение сценарного анализа (в части возможной реализации информационных угроз в отношении критичной архитектуры, а также возникновения сбоев объектов информационной инфраструктуры), и проводить с использованием результатов сценарного анализа тестирование готовности операторов АИС страхования противостоять реализации информационных угроз в отношении критичной архитектуры.
Операторы АИС страхования в части нейтрализации информационных угроз со стороны внутреннего нарушителя должны разработать и принимать организационные и технические меры в отношении субъектов доступа, привлекаемых в рамках выполнения технологических процессов, направленные на исключение возможности несанкционированного использования предоставленных указанным субъектам доступа полномочий.
Оператор АИС страхования должен выполнять следующие требования к обеспечению осведомленности об информационных угрозах:
- организация взаимодействия оператора АИС страхования и иных участников технологического процесса при обмене информацией об актуальных сценариях реализации информационных угроз;
- использование информации об актуальных сценариях реализации информационных угроз в целях обеспечения непрерывного выполнения оператором АИС страхования своих функций.
Операторы АИС страхования в части обеспечения защиты критичной архитектуры от возможной реализации информационных угроз в условиях дистанционной (удаленной) работы субъектов доступа - работников операторов АИС страхования должны разработать и принимать организационные и технические меры, направленные на обеспечение непрерывного выполнения операторами АИС страхования своих функций при выполнении субъектами доступа - работниками операторов АИС страхования своих трудовых функций дистанционно.
Операторы АИС страхования должны разработать и принимать организационные и технические меры, направленные на нейтрализацию угроз в отношении возникновения зависимости обеспечения операционной надежности от субъектов доступа - работников операторов АИС страхования, обладающих уникальными знаниями, опытом и компетенцией в области разработки технологических процессов, поддержания их выполнения, реализации технологических процессов, которые отсутствуют у иных субъектов доступа - работников операторов АИС страхования.
Оператор АИС страхования должен:
- моделировать информационные угрозы в отношении критичной архитектуры;
- планировать применение организационных и технических мер, направленных на реализацию требований к операционной надежности, с учетом результатов идентификации риска информационной безопасности, а также его оценки;
- реализовывать требования к операционной надежности, начиная с разработки и планирования внедрения технологических процессов, а также на стадиях создания, ввода в эксплуатацию, эксплуатации (использования по назначению, технического обслуживания и ремонта), модернизации, вывода из эксплуатации объектов информационной инфраструктуры;
- контролировать соблюдение требований к операционной надежности.
Документационное обеспечение и выполнение требований:
Операторы АИС страхования должны определить во внутренних документах для каждого технологического процесса и соблюдать значения следующих контрольных показателей уровня операционного риска для целей обеспечения операционной надежности (целевые показатели операционной надежности):
- допустимого отношения общего количества операций, осуществляемых в рамках технологического процесса, совершенных во время деградации технологического процесса операторами АИС в рамках события операционного риска или серии связанных событий операционного риска, вызванных информационными угрозами и (или) сбоями объектов информационной инфраструктуры, которые привели к невыполнению или ненадлежащему выполнению операторами АИС страхования своих функций, к ожидаемому количеству операций, осуществляемых в рамках технологических процессов, за тот же период в случае непрерывного выполнения операторами АИС страхования своих функций, установленного операторами АИС страхования;
- допустимого времени простоя и (или) деградации технологических процессов операторов АИС страхования в рамках инцидента операционной надежности (в случае превышения допустимой доли деградации технологического процесса). Значение данного целевого показателя устанавливается операторами АИС страхования не выше значений, предусмотренных приложением к 819-П;
- допустимого суммарного времени простоя и (или) деградации технологического процесса операторов АИС страхования (в случае превышения допустимой доли деградации технологического процесса) в течение очередного календарного года;
- показателя соблюдения режима работы (функционирования) технологического процесса (времени начала, времени окончания, продолжительности и последовательности процедур в рамках технологического процесса).
Значение допустимой доли деградации технологических процессов должно рассчитываться операторами АИС страхования на основании статистических данных за период не менее двенадцати календарных месяцев, предшествующих дате определения значения целевого показателя операционной надежности, и (или) иных данных, обосновывающих их определение (по выбору операторов АИС страхования).
В случае если технологический процесс функционирует менее двенадцати календарных месяцев, операторы АИС страхования должны определять значение допустимой доли деградации технологических процессов на основании статистических данных за период с даты начала его функционирования и (или) иных данных, обосновывающих их определение (по выбору операторов АИС страхования).
Операторы АИС страхования должны разработать во внутренних документах и выполнять требования к операционной надежности, которые включают в себя:
- требования к порядку определения значений целевых показателей операционной надежности и обеспечению контроля за их соблюдением;
- требования к идентификации состава совокупности элементов критичной архитектуры;
- требования к управлению изменениями элементов критичной архитектуры;
- требования к выявлению, регистрации инцидентов операционной надежности и реагированию на них, а также восстановлению выполнения технологических процессов и функционирования объектов информационной инфраструктуры после реализации указанных инцидентов;
- требования к взаимодействию с третьими лицами (внешними подрядчиками, контрагентами), оказывающими на основании договора услуги в сфере информационных технологий, связанные с созданием, модернизацией, вводом в эксплуатацию, эксплуатацией (включая сопровождение), снятием с эксплуатации объектов информационной инфраструктуры оператора АИС страхования, размещением, хранением и (или) иной обработкой информации, формируемой и (или) получаемой оператором АИС страхования при выполнении своих функций (поставщики услуг в сфере информационных технологий);
- требования к тестированию операционной надежности технологических процессов;
- требования к нейтрализации информационных угроз со стороны несанкционированного доступа работников оператора АИС страхования или работников поставщиков услуг в сфере информационных технологий, обладающих полномочиями доступа к объектам информационной инфраструктуры (внутренний нарушитель), к объектам информационной инфраструктуры;
- требования к обеспечению осведомленности оператора АИС страхования об актуальных информационных угрозах, которые могут привести к инцидентам операционной надежности;
- требования к обеспечению защиты критичной архитектуры от возможной реализации информационных угроз в условиях дистанционной (удаленной) работы работников оператора АИС страхования.
В целях разработки и выполнения требований к операционной надежности, операторы АИС страхования должны определить состав организационных и технических мер, направленных на реализацию усиленного уровня защиты, предусмотренного пунктом 6.8 раздела 6 национального стандарта Российской Федерации ГОСТ Р 57580.4-2022 «Безопасность финансовых (банковских) операций. Обеспечение операционной надежности. Базовый состав организационных и технических мер».
Операторы АИС страхования должны установить во внутренних документах описание процедур, направленных на реализацию требований к операционной надежности, включая:
- определение и описание состава процедур, направленных на выполнение требований к операционной надежности;
- определение перечня и порядка организационного взаимодействия подразделений оператора АИС страхования, участвующих в соблюдении требований к операционной надежности, с учетом исключения конфликта интересов;
- определение порядка осуществления контроля за соблюдением требований к операционной надежности в рамках системы внутреннего контроля;
- выделение ресурсного обеспечения для выполнения требований к операционной надежности;
- порядок утверждения и условия пересмотра процедур, направленных на выполнение требований к операционной надежности;
- порядок регистрации инцидентов операционной надежности, предусматривающий регистрацию по каждому инциденту операционной надежности оператором АИС страхования:
- данных, используемых для фиксации превышения установленных значений целевых показателей операционной надежности;
- данных, позволяющих выявить причину превышения установленных значений целевых показателей операционной надежности;
- результата реагирования на инцидент операционной надежности (принятых мерах и проведенных мероприятиях по реагированию на выявленный оператором АИС страхования или Банком России инцидент операционной надежности).
Фиксация информации:
В случаях превышения допустимой доли деградации технологических процессов операторы АИС страхования должны фиксировать:
- фактическое время простоя и (или) деградации технологического процесса, исчисляемое по каждому инциденту операционной надежности (с момента нарушения технологического процесса, приводящего к невыполнению или ненадлежащему выполнению оператором АИС страхования своих функций в связи с возникновением события или серии связанных событий, вызванных информационными угрозами и (или) сбоями объектов информационной инфраструктуры, до момента восстановления технологического процесса);
- фактическую долю деградации технологического процесса в рамках отдельного инцидента операционной надежности;
- суммарное время простоя и (или) деградации технологического процесса за последние двенадцать календарных месяцев.
При определении времени простоя и (или) деградации технологических процессов в расчет не включаются периоды времени плановых технологических операций, связанных с приостановлением (частичным приостановлением) технологических процессов и проводимых в соответствии с внутренними документами операторов АИС страхования.
Информирование Банка России:
Операторы АИС страхования в рамках соблюдения требований к операционной надежности должны информировать Банк России:
- о выявленных инцидентах операционной надежности, включенных в перечень типов инцидентов операционной надежности (в случае превышения допустимой доли деградации технологических процессов), а также о принятых мерах и проведенных мероприятиях по реагированию на выявленный оператором АИС страхования или Банком России инцидент операционной надежности;
- о планируемых мероприятиях по раскрытию информации, включая выпуск пресс-релизов и проведение пресс-конференций, размещение информации на своем официальном сайте в информационно-телекоммуникационной сети «Интернет», в отношении инцидентов операционной надежности не позднее одного рабочего дня до дня проведения мероприятия.
Операторы АИС страхования должны представлять в Банк России указанные выше сведения с использованием технической инфраструктуры (автоматизированной системы) Банка России или резервного способа взаимодействия (при технической невозможности использования технической инфраструктуры (автоматизированной системы) Банка России), информация о которых размещается на официальном сайте Банка России в сети «Интернет».
Пороговый уровень допустимого времени простоя и (или) деградации технологических процессов оператора АИС страхования:
| №пп | Наименование технологического процесса | Пороговый уровень допустимого времени простоя и (или) деградации технологических процессов (в часах) |
|---|---|---|
| 1 | Технологический процесс, обеспечивающий получение и обработку оператором АИС страхования информации, предусмотренной пунктом 1 статьи 33.11 Закона Российской Федерации № 4015-I | 24 |
| 2 | Технологический процесс, обеспечивающий предоставление информации, содержащейся в АИС страхования, пользователям АИС страхования в целях осуществления обязательного страхования | 2 - до 31 декабря 2025 года |
| 0,5 - с 1 января 2026 года | ||
| 3 | Технологический процесс, обеспечивающий работу сайта оператора АИС страхования в сети «Интернет» | 8 |
Некоторые возможные риски несоблюдения требований 819-П:
Несоблюдение требований 819-П, регулирующего операционную надежность АИС страхования, влечет серьезные последствия для операторов, включая финансовые, репутационные и операционные риски.
1. Регуляторные санкции
Банк России может наложить штрафы, приостановить лицензию или обязать к корректирующим мерам за превышение пороговых показателей времени простоя, деградации процессов или отсутствия фиксации инцидентов.
2. Операционные риски
Сбои в критичной ИТ-инфраструктуре приводят к простою технологических процессов страхования, невыполнению операций и накоплению задолженностей перед клиентами.
3. Финансовые и репутационные потери
Несоблюдение усиливает уязвимости к угрозам, вызывая инциденты ИБ, финансовые убытки от простоев и потерю доверия страхователей с оттоком клиентской базы.
