1. Общие положения
Настоящий Порядок обеспечения бесперебойного функционирования инвестиционной платформы (далее — Порядок) определяет основные понятия и требования Оператора инвестиционной платформы «Антиматерия» (далее — Оператор) для обеспечения бесперебойного функционирования инвестиционной платформы (далее — Платформа), а также при возникновении нештатных ситуаций в Платформе, связанных с:
- надежностью и бесперебойностью функционирования Платформы;
- доступностью сервисов Платформы;
- несанкционированным доступом к Платформе.
1.2. Настоящий Порядок разработан в соответствии с Информационным письмом Банка России от 03 сентября 2021 года №ИН-015-034/68 и определяет последовательность действий для восстановления штатного функционирования Платформы, меры, направленные на минимизацию отрицательного влияния на процессы платформенного сервиса, работоспособность которых оказалась нарушенной при возникновении нештатных ситуаций.
1.3. Для поддержания бесперебойного функционирования Платформы должны обеспечиваться:
- оступ Участников к Платформе в соответствии с договорами оказания услуг по привлечению инвестиций и договорами оказания услуг по содействию в инвестировании;
- технологическая возможность размещения инвестиционных предложений и инвестирования путем предоставления займов;
- сохранность данных, обрабатываемых Платформой в соответствии с установленными Правилами Платформы и законодательством Российской Федерации;
- своевременное переключение/восстановление/разворачивание функционирования Платформы на резервном программном обеспечении/резервном сайте при возникновении нештатной ситуации.
2. Определения
2.1 Для целей настоящего Положения используются следующие термины и определения:
Инвестиционная платформа «Антиматерия» (Платформа) — информационная система в информационно-телекоммуникационной сети «Интернет», доступ к которой предоставляется через сайт оператора инвестиционной платформы в лице Общества с ограниченной ответственностью «Антиматерия» по адресу: www.antm.pro, используемая для заключения участниками инвестиционной платформы с помощью информационных технологий и технических средств этой информационной системы договоров инвестирования.
Оператор инвестиционной платформы (Оператор, ОИП) — общество с ограниченной ответственностью «Антиматерия», включенное Банком России в реестр операторов инвестиционных платформ, осуществляющее деятельность по организации привлечения инвестиций и содействию в инвестировании путем предоставления доступа к Платформе.
Инцидент (функциональный сбой) — это любое отклонение от штатного функционирования Платформы и/или её критически важных процессов, что вызвало или может вызвать риски бесперебойности и/или качества функционирования Платформы.
Контрагент — поставщик товаров/услуг для Оператора (подрядчик — при выполнении работ, исполнитель — при оказании услуг).
Участники — Инвесторы и Лица, привлекающие инвестиции, зарегистрированные в установленном Правилами Платформы порядке.
Нештатная ситуация — ситуация, которая выходит за рамки правил и технологии работы Платформы и требует для ее разрешения специально организованной деятельности персонала Оператора Платформы и/или Контрагента- провайдера критически важных процессов.
Несанкционированные операции в Платформе — это противоправные преднамеренные деяния (действия, бездействия, злоупотребление доверием) персонала оператора Платформы/пользователя Платформы/провайдера критичных услуг или третьей стороны, направленные на несанкционированный доступ и использование информации Платформы.
2.2 К несанкционированным операциям относятся:
- распространение внутренней конфиденциальной информации;
- нарушение прав доступа к информации, оборудованию, допущение утечки информации;
- умышленное удаление/изменение информации, которое может привести к невыполнению обязательств оператора Платформы перед Участниками Платформы и третьими лицами;
- несанкционированное использование/передача реквизитов/ключей электронной подписи с целью получения инвестиций, а также перевода/хищения денежных средств.
3. Критически важные процессы Платформы
3.1. Критически важные процессы — это процессы Оператора, приостановление которых влечет нарушение повседневного осуществления деятельности Оператора платформенного сервиса, взаимодействия Участников и Платформы, в том числе создает угрозу полной утраты жизнеспособности таких процессов. Целевое время восстановления критически важных процессов устанавливается Оператором в размере не более 24 часов.
3.2. В перечень критически важных процессов Платформы с учетом характера и масштаба деятельности Оператора включены:
3.2.1 Доступ Участников к сервисам Платформы. Ключевые процессы: регистрация, авторизация, создание профиля, пополнение лицевого счета, вывод денежных средств с лицевого счета.
3.2.2. Инвестиционное предложение. Ключевые процессы: заявка на размещение инвестиционного предложения, его формирование, подписание электронной подписью.
3.2.3. Инвестирование в проект. Ключевые процессы: акцепт инвестиционного предложения, отзыв акцепта, перевод инвестиций получателю.
3.2.4. Учет операций по номинальному счету. Ключевые процессы: учет поступления/перевода/вывода средств по каждому бенефициару номинального счета; синхронизация операций по номинальному счету с персональным счетом каждого инвестора;
3.2.5. Сопровождение исполнения договоров инвестирования. Ключевые процессы: распределение средств, поступивших на номинальный счет от лица, привлекающего инвестиции, по счетам бенефициаров — инвесторов пропорционально размерам их требований, автоматическое уведомление о сроке платежа и просрочке.
4. Требования к бесперебойному функционированию Платформы
4.1. Оператор обеспечивает функционирование Платформы в режиме, обеспечивающем выполнение следующих технических требований:
— обеспечение функционирования Платформы в круглосуточном режиме 7 дней в неделю 365 дней в году;
— допустимое максимальное время нештатного функционирования или прекращения функционирования критически важных процессов не должно превышать 24 часов;
— Оператор обеспечивает оповещение пользователей об инцидентах на Платформе посредством оповещения через личные кабинеты, а в случае невозможности — через Push/email уведомления;
— использование средства обеспечения сохранности данных, обрабатываемых Платформой в случае возникновения аварийных ситуаций: отказы в системе электроснабжения, отказы аппаратных средств, отказы программных средств;
— обеспечение на регулярной основе (не реже одного раза в сутки) резервного копирования данных Платформы;
4.2. Оператор обеспечивает защиту информации Платформы от потери и несанкционированного доступа на этапах ее обработки в соответствии с Положением Банка России от 20 апреля 2021 г. N 757-П «Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций».
5. Программно-аппаратные средства Оператора
5.1. Перечень программно-аппаратных средств, необходимых для реализации технологических процессов, реализуемых Оператором и поставщиками услуг, а так же объектов информационной инфраструктуры и каналов передачи защищаемой информации (список критически важных процессов) приведен в Приложении № 1 к указанному Положению.
5.2 Оператор не менее одного раза в год пересматривает указанный перечень и обновляет информацию, указанную в перечне.
6. Типы инцидентов
6.1. Все инциденты (функциональные сбои) разделяются на категории, каждому из которых присваивается уровень критичности и приоритета согласно Таблице 1:
Таблица 1 «Категории инцидентов»
Значение | Описание |
Программно-технические, включая выход из строя технических средств, сбои в работе автоматизированных информационных систем | Инциденты, связанные с работой программных и аппаратных средств, участвующих в критически важных процессах Оператора, а также связанные с работой средств защиты информации.
|
Отказ провайдеров услуг | Остановка/прерывание критически важных процессов Оператора из-за отказа провайдера услуг |
Перебои в электроснабжении | Приостановка критически важных процессов из-за перебоев в электроснабжении. |
Прочие операционные риски | События и инциденты, связанные с иными операционными рисками, в том числе нарушениями трудового распорядка. |
6.2. После определения категории инцидента определяется его критичность по шкале, приведенной в Таблице 2. Приоритет в обработке должен отдаваться событиям с большим уровнем критичности.
Таблица 2 «Критичность инцидентов»
Значение показателя критичности | Приоритет (целевое время реагирования ответственных лиц) | Описание |
Высокий | 2 часа | Инциденты, ведущие к прерыванию/остановке критически важных процессов, что ведет к частичной/полной остановке функционирования Платформы. |
Средний | 8 часов | Инциденты, которые несут риски защиты информации, а так же иные угрозы, способные повлиять на работоспособность критически важных процессов Платформы. |
Низкий | 24 часа | Инциденты, не представляющие угрозу деятельности Платформы, не влияющие на критически важные процессы и не несущие рисков защиты информации. |
7. Порядок реагирования на инциденты
7.1. Процедура мониторинга и реагирования на инциденты/функциональные сбои включает следующие этапы:
— мониторинг, обнаружение и анализ инцидентов;
— регистрация инцидентов;
— восстановление работоспособности Платформы.
7.2. На этапе мониторинга осуществляется сбор информации об инциденте, осуществляется анализ и его категоризация. Для каждого инцидента устанавливается уровень критичности и соответствующие ему критерии реакции (высокий, умеренный, низкий).
Порядок действий на этапе мониторинга:
ЭТАП | Действия ответственного лица |
Мониторинг, обнаружение и анализ | 1) Сбор информации об инциденте |
2) Выявление наступивших или потенциально возможных негативных последствий для Платформы | |
3) Принятие решения о присвоении инциденту категории и уровня критичности | |
4) Передача информации об инциденте ответственным сотрудникам/подразделениям в соответствии с перечнем из Приложения № 1 |
7.3. На этапе регистрации принимается решение о регистрации инцидента в электронном журнале учета по форме приведенной в Приложении 2 настоящего Положения.
Порядок действий на этапе регистрации:
ЭТАП | Действия ответственного лица |
Регистрация | 1) Информирование руководства Платформы о выявленном инциденте, его категории и критичности. |
2) Регистрация в журнале учета инцидентов. | |
3) Назначение ответственного лица за устранение инцидента на основании приказа руководителя Оператора, если недостаточно полномочий в соответствии с перечнем из Приложения № 1 |
7.4. На этапе восстановления происходит приведение Платформы в штатное нормативное состояние, в котором Платформа обеспечивает полноценное функционирование критически важных процессов Платформы, перечисленных в Главе 3.
Порядок действий на этапе восстановления:
ЭТАП | Действия ответственного лица |
Восстановление работоспособности | 1) Принятие решения о расследовании выявленного инцидента в случае необходимости, время выполнения — не более 1 часа |
2) Закрытие инцидента — возвращение Платформы к функционированию в штатном режиме, время выполнения — не более 24 часов | |
3) Реализация мер по снижению инцидентов и поддержанию бесперебойного функционирования Платформы, указанных в разделе 9 Регламента. |
8. Оповещение об инцидентах и отчетность
8.1. При возникновении инцидента, препятствующему штатному функционированию Платформы, Оператор оповещает пользователей о сбое через личный кабинет пользователя путем публикации соответствующего сообщения. В случае невозможности доступа к личном кабинету — через Push/email уведомления.
В случае невозможности входа в личный кабинет у всех пользователей информация об инциденте публикуется на главной странице Платформы и/или в Телеграм-канале Платформы.
8.2. После возобновления функционирования Платформы Оператор не позднее 30 минут размещает на Платформе информацию в форме электронного сообщения с указанием даты и времени возобновления работы Платформы, о мерах принятых Оператором для устранения функционального сбоя.
8.3. Оператор учитывает информацию о каждом инциденте в электронном журнале учета инцидентов по форме Приложения № 2 к настоящему Положению без фиксации на бумажном носителе. Если учет информации в электронной форме невозможен по объективным причинам, ответственный работник учитывает информацию об инцидентах Платформы на бумажном носителе с указанием причин, по которым регистрация в электронной форме невозможна (например, отсутствие электроснабжения, доступа к сетевому диску, на котором содержится файл электронного журнала). После устранения причин, послуживших основанием для учета инцидента на бумажном носителе, информация об инциденте вносится в электронный журнал.
Резервное копирование электронного журнала осуществляется не реже одного раза в месяц на переносной электронный носитель. Содержащиеся в журнале учета записи выводятся на бумажный носитель не позднее одного месяца после окончания календарного года.
9. Реализация мер по снижению инцидентов
9.1. В целях снижения вероятности возникновения функциональных сбоев Оператор на регулярной основе осуществляет:
— тестирование программно-аппаратных средств с целью определения максимальной производительности; предупреждения отказов системы в промышленной эксплуатации, ухудшения производительности показателей программно-аппаратных средств; выявления зависимых, скрытых сбоев, ошибок;
— мониторинг показателей работоспособности программно-аппаратных средств, информации о функциональных сбоях, количества и частоты ошибок в результате использования программно-аппаратных средств Платформы.
9.2. Полученная в результате тестирования и мониторинга информация учитывается в Журнал учета инцидентов Платформы с описанием мер, принятых к минимизации источников рисков.
9.3. На основании полученной информации на ежемесячной основе осуществляется:
— анализ состояния программно-аппаратных средств и оборудования;
— оценка степени влияния произошедших (возможных) инцидентов на доступность и качество услуг Платформы;
— построение шаблонов характерного поведения различных компонентов программно-аппаратных средств и выявление ее отклонений;
— поиск проблем и прогнозирование возникновения функциональных сбоев.
9.3. В зависимости от результатов проведенного анализа для целей снижения вероятности возникновения функциональных сбоев могут быть приняты следующие меры:
— внесение изменений в процессы Платформы;
— обновление и модернизация программно-аппаратных средства;
— дополнительные способы контроля в зависимости от характера поведения различных компонентов программно-аппаратных средств;
— обучение участников процессов;
— автоматизация выявления событий, приводящих к функциональным сбоям.
9.4. Для обеспечения оперативного восстановления штатного функционирования Платформы на ежедневной основе осуществляется резервное копирование данных Платформы.
9.5. Для обеспечения защиты информации Платформы от потери и несанкционированного доступа на этапах ее обработки осуществляется:
— обмен данными по протоколу https в зашифрованном виде;
— аутентификация и идентификация всех пользователей при входе в систему;
— контроль допуска к информации для пользователей разных уровней;
— обнаружение и регистрация попыток несанкционированного доступа;
— контроль работоспособности программно-аппаратных средств.
9.6 Сотрудники, ответственные за исполнение мероприятий, указанных в пунктах 9.1-9.4 определяются соответствующим распорядительным документом и на ежегодной основе формируют отчет о проделанной работе в соответствии с Приложением № 3 к настоящему Положению.