"Методические рекомендации Банка России по расчету значений показателей оценки выполнения требований к технологическим мерам защиты информации и прикладному программному обеспечению автоматизированных систем и приложений в целях составления отчетности об оценке выполнения требований к обеспечению защиты информации" (утв. Банком России 06.03.2025 N 3-МР)

ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ

6 марта 2025 г. N 3-МР

МЕТОДИЧЕСКИЕ РЕКОМЕНДАЦИИ

БАНКА РОССИИ ПО РАСЧЕТУ ЗНАЧЕНИЙ ПОКАЗАТЕЛЕЙ

ОЦЕНКИ ВЫПОЛНЕНИЯ ТРЕБОВАНИЙ К ТЕХНОЛОГИЧЕСКИМ МЕРАМ

ЗАЩИТЫ ИНФОРМАЦИИ И ПРИКЛАДНОМУ ПРОГРАММНОМУ ОБЕСПЕЧЕНИЮ

АВТОМАТИЗИРОВАННЫХ СИСТЕМ И ПРИЛОЖЕНИЙ В ЦЕЛЯХ СОСТАВЛЕНИЯ

ОТЧЕТНОСТИ ОБ ОЦЕНКЕ ВЫПОЛНЕНИЯ ТРЕБОВАНИЙ К ОБЕСПЕЧЕНИЮ

ЗАЩИТЫ ИНФОРМАЦИИ

Глава 1. Общие положения

1.1. Настоящие Методические рекомендации Банка России разработаны в целях обеспечения единства подходов к расчету значений показателей оценки выполнения требований к технологическим мерам защиты информации (направление "Технологические меры") и требований к прикладному программному обеспечению автоматизированных систем и приложений (направление "Безопасность программного обеспечения") при составлении отчетности об оценке выполнения требований к обеспечению защиты информации.

1.2. Настоящими Методическими рекомендациями Банка России рекомендуется руководствоваться следующим отчитывающимся организациям (далее при совместном упоминании - финансовая организация):

кредитным организациям при составлении отчетности по форме 0409071 "Сведения об оценке выполнения кредитными организациями требований к обеспечению защиты информации";

операторам услуг платежной инфраструктуры, осуществляющим деятельность операционных центров и (или) платежных клиринговых центров, не являющимся кредитными организациями, при составлении отчетности по форме 0403202 "Сведения об оценке выполнения операторами услуг платежной инфраструктуры требований к обеспечению защиты информации при осуществлении деятельности операционного центра, платежного клирингового центра".

Глава 2. Рекомендации по расчету значений показателей оценки выполнения требований к технологическим мерам защиты информации (направление "Технологические меры")

2.1. Расчет значений показателей оценки выполнения требований к технологическим мерам защиты информации по направлению "Технологические меры" рекомендуется осуществлять в отношении требований, указанных в приложении 1 к настоящим Методическим рекомендациям Банка России (далее для целей настоящей главы - требования).

2.2. По направлению "Технологические меры" осуществляется расчет значений следующих показателей:

EТМП - оценка, характеризующая выполнение требований в рамках процесса планирования применения мер защиты информации;

EТМР - оценка, характеризующая выполнение требований в рамках процесса реализации мер защиты информации;

EТМК - оценка, характеризующая выполнение требований в рамках процесса контроля применения мер защиты информации;

EТМС - оценка, характеризующая выполнение требований в рамках процесса совершенствования применения мер защиты информации;

EТМ - обобщающий показатель уровня оценки соответствия по направлению "Технологические меры".

2.3. Значение оценки, характеризующей выполнение требований в рамках процесса планирования применения мер защиты информации (EТМП), рекомендуется рассчитывать по формуле:

где i - порядковый номер оцениваемых требований;

N - общее количество требований;

- значение оценки i-й меры защиты информации, характеризующей выполнение требований в рамках процесса планирования применения мер защиты информации по вопросу определения области применения меры защиты информации;

- значение оценки i-й меры защиты информации, характеризующей выполнение требований в рамках процесса планирования применения мер защиты информации по вопросу определения порядка применения меры защиты информации.

В рамках процесса планирования применения мер защиты информации оценку требований рекомендуется осуществлять по следующим вопросам:

"Определена ли область применения меры защиты информации?";

"Определен ли порядок применения меры защиты информации?".

Оценку ответов на вопросы рекомендуется производить путем присвоения им следующих значений:

1 - "да" ("определено");

0 - "нет" ("не определено").

2.4. Значение оценки, характеризующей выполнение требований в рамках процесса реализации мер защиты информации (EТМР), рекомендуется рассчитывать по формуле:

где i - порядковый номер оцениваемых требований;

N - общее количество требований, указанных в приложении 1 к настоящим Методическим рекомендациям Банка России;

- значение оценки i-й меры защиты информации, характеризующей выполнение требований в рамках процесса реализации мер защиты информации.

Оценку требований рекомендуется производить путем присвоения им следующих значений с точки зрения полноты их реализации:

1 - "да" ("постоянно", "всегда", "в полном объеме");

0,75 - "в основном "да" ("почти постоянно", "почти всегда", "почти в полном объеме");

0,5 - "частично" ("отчасти да", "не всегда", "в некоторых случаях");

0,25 - "в основном "нет" ("непостоянно", "почти никогда");

0 - "нет" ("никогда", "ни в каких случаях").

2.5. Значение оценки, характеризующей выполнение требований в рамках процесса контроля применения мер защиты информации (EТМК), рекомендуется рассчитывать по формуле:

где i - порядковый номер оцениваемых требований;

N - общее количество требований;

- значение оценки i-й меры защиты информации, характеризующей выполнение требований в рамках процесса контроля применения мер защиты информации по вопросу контроля области применения меры защиты информации;

- значение оценки i-й меры защиты информации, характеризующей выполнение требований в рамках процесса контроля применения мер защиты информации по вопросу контроля надлежащего применения меры защиты информации;

- значение оценки i-й меры защиты информации, характеризующей выполнение требований в рамках процесса контроля применения мер защиты информации по вопросу контроля знаний работников финансовой организации в части применения меры защиты информации.

В рамках процесса контроля применения мер защиты информации оценку требований рекомендуется осуществлять по следующим вопросам:

"Обеспечен ли контроль области применения меры защиты информации?";

"Обеспечен ли контроль надлежащего применения меры защиты информации?";

"Обеспечен ли контроль знаний работников финансовой организации в части применения меры защиты информации?".

Оценку ответов на вопросы рекомендуется производить путем присвоения им следующих значений:

1 - "да" ("контроль обеспечен");

0 - "нет" ("контроль не обеспечен").

2.6. Значение оценки, характеризующей выполнение требований в рамках процесса совершенствования применения мер защиты информации (EТМС), рекомендуется рассчитывать по формуле:

где i - порядковый номер оцениваемых требований;

N - общее количество требований;

- значение оценки i-й меры защиты информации, характеризующей выполнение требований в рамках процесса совершенствования применения мер защиты информации по вопросу анализа необходимости совершенствования меры защиты информации в случае обнаружения инцидентов защиты информации;

- значение оценки i-й меры защиты информации, характеризующей выполнение требований в рамках процесса совершенствования применения мер защиты информации по вопросу анализа необходимости совершенствования меры защиты информации в случае обнаружения недостатков в рамках контроля применения мер защиты информации.

В рамках процесса совершенствования применения мер защиты информации оценку требований рекомендуется осуществлять по следующим вопросам:

"Осуществляется ли анализ необходимости совершенствования меры защиты информации в случае обнаружения инцидентов защиты информации?";

"Осуществляется ли анализ необходимости совершенствования меры защиты информации в случае обнаружения недостатков в рамках контроля применения мер защиты информации?".

Оценку ответов на вопросы рекомендуется производить путем присвоения им следующих значений:

1 - "да" ("анализ совершенствования осуществляется");

0 - "нет" ("анализ совершенствования не осуществляется").

2.7. Значение обобщающего показателя уровня оценки соответствия по направлению "Технологические меры" (EТМ) рекомендуется рассчитывать по формуле:

EТМ = 0,2EТМП + 0,4EТМР + 0,25EТМК + 0,15EТМС,

где EТМП - значение оценки, характеризующей выполнение требований в рамках процесса планирования применения мер защиты информации, рассчитанное в соответствии с пунктом 2.3 настоящей главы;

EТМР - значение оценки, характеризующей выполнение требований в рамках процесса реализации мер защиты информации, рассчитанное в соответствии с пунктом 2.4 настоящей главы;

EТМК - значение оценки, характеризующей выполнение требований в рамках процесса контроля применения мер защиты информации, рассчитанное в соответствии с пунктом 2.5 настоящей главы;

EТМС - значение оценки, характеризующей выполнение требований в рамках процесса совершенствования применения мер защиты информации, рассчитанное в соответствии с пунктом 2.6 настоящей главы.

Глава 3. Рекомендации по расчету значений показателей оценки выполнения требований к прикладному программному обеспечению автоматизированных систем и приложений (направление "Безопасность программного обеспечения")

3.1. Расчет значений показателей оценки выполнения требований к прикладному программному обеспечению автоматизированных систем и приложений по направлению "Безопасность программного обеспечения" рекомендуется осуществлять в отношении требований, указанных в приложении 2 к настоящим Методическим рекомендациям Банка России (далее для целей настоящей главы - требования).

3.2. По направлению "Безопасность программного обеспечения" осуществляется расчет значений следующих показателей:

EПОП - оценка, характеризующая выполнение требований в рамках процесса планирования применения мер защиты информации;

EПОР - оценка, характеризующая выполнение требований в рамках процесса реализации мер защиты информации;

EПОК - оценка, характеризующая выполнение требований в рамках процесса контроля применения мер защиты информации;

EПОС - оценка, характеризующая выполнение требований в рамках процесса совершенствования применения мер защиты информации;

EПО - обобщающий показатель уровня оценки соответствия по направлению "Безопасность программного обеспечения".

3.3. Значение оценки, характеризующей выполнение требований в рамках процесса планирования применения мер защиты информации (EПОП), рекомендуется рассчитывать по формуле:

где i - порядковый номер оцениваемых требований;

N - общее количество требований;

- значение оценки i-й меры защиты информации, характеризующей выполнение требований в рамках процесса планирования применения мер защиты информации по вопросу определения области применения меры защиты информации;

- значение оценки i-й меры защиты информации, характеризующей выполнение требований в рамках процесса планирования применения мер защиты информации по вопросу определения порядка применения меры защиты информации.

В рамках процесса планирования применения мер защиты информации оценку требований рекомендуется осуществлять по следующим вопросам:

"Определена ли область применения меры защиты информации?";

"Определен ли порядок применения меры защиты информации?".

Оценку ответов на вопросы рекомендуется производить путем присвоения им следующих значений:

1 - "да" ("определено");

0 - "нет" ("не определено").

3.4. Значение оценки, характеризующей выполнение требований в рамках процесса реализации мер защиты информации (EПОР), рекомендуется рассчитывать по формуле:

где i - порядковый номер оцениваемых требований;

N - общее количество требований, указанных в приложении 2 к настоящим Методическим рекомендациям Банка России;

- значение оценки i-й меры защиты информации, характеризующей выполнение требований в рамках процесса реализации мер защиты информации.

Оценку требований рекомендуется производить путем присвоения им следующих значений с точки зрения полноты их реализации:

1 - "да" ("постоянно", "всегда", "в полном объеме");

0,75 - "в основном "да" ("почти постоянно", "почти всегда", "почти в полном объеме");

0,5 - "частично" ("отчасти да", "не всегда", "в некоторых случаях");

0,25 - "в основном "нет" ("непостоянно", "почти никогда");

0 - "нет" ("никогда", "ни в каких случаях").

3.5. Значение оценки, характеризующей выполнение требований в рамках процесса контроля применения мер защиты информации (EПОК), рекомендуется рассчитывать по формуле:

где i - порядковый номер оцениваемых требований;

N - общее количество требований;

- значение оценки i-й меры защиты информации, характеризующей выполнение требований в рамках процесса контроля применения мер защиты информации по вопросу контроля области применения меры защиты информации;

- значение оценки i-й меры защиты информации, характеризующей выполнение требований в рамках процесса контроля применения мер защиты информации по вопросу контроля надлежащего применения меры защиты информации;

- значение оценки i-й меры защиты информации, характеризующей выполнение требований в рамках процесса контроля применения мер защиты информации по вопросу контроля знаний работников финансовой организации в части применения меры защиты информации.

В рамках процесса контроля применения мер защиты информации оценку требований рекомендуется осуществлять по следующим вопросам:

"Обеспечен ли контроль области применения меры защиты информации?";

"Обеспечен ли контроль надлежащего применения меры защиты информации?";

"Обеспечен ли контроль знаний работников финансовой организации в части применения меры защиты информации?".

Оценку ответов на вопросы рекомендуется производить путем присвоения им следующих значений:

1 - "да" ("контроль обеспечен");

0 - "нет" ("контроль не обеспечен").

3.6. Значение оценки, характеризующей выполнение требований в рамках процесса совершенствования применения мер защиты информации (EПОС), рекомендуется рассчитывать по формуле:

где i - порядковый номер оцениваемых требований;

N - общее количество требований;

- значение оценки i-й меры защиты информации, характеризующей выполнение требований в рамках процесса совершенствования применения мер защиты информации по вопросу анализа необходимости совершенствования меры защиты информации в случае обнаружения инцидентов защиты информации;

- значение оценки i-й меры защиты информации, характеризующей выполнение требований в рамках процесса совершенствования применения мер защиты информации по вопросу анализа необходимости совершенствования меры защиты информации в случае обнаружения недостатков в рамках контроля применения мер защиты информации.

В рамках процесса совершенствования применения мер защиты информации оценку требований рекомендуется осуществлять по следующим вопросам:

"Осуществляется ли анализ необходимости совершенствования меры защиты информации в случае обнаружения инцидентов защиты информации?";

"Осуществляется ли анализ необходимости совершенствования меры защиты информации в случае обнаружения недостатков в рамках контроля применения мер защиты информации?".

Оценку ответов на вопросы рекомендуется производить путем присвоения им следующих значений:

1 - "да" ("анализ совершенствования осуществляется");

0 - "нет" ("анализ совершенствования не осуществляется").

3.7. Значение обобщающего показателя уровня оценки соответствия по направлению "Безопасность программного обеспечения" (EПО) рекомендуется рассчитывать по формуле:

EПО = 0,2EПОП + 0,4EПОР + 0,25EПОК + 0,15EПОС,

где EПОП - значение оценки, характеризующей выполнение требований в рамках процесса планирования применения мер защиты информации, рассчитанное в соответствии с пунктом 3.3 настоящей главы;

EПОР - значение оценки, характеризующей выполнение требований в рамках процесса реализации мер защиты информации, рассчитанное в соответствии с пунктом 3.4 настоящей главы;

EПОК - значение оценки, характеризующей выполнение требований в рамках процесса контроля применения мер защиты информации, рассчитанное в соответствии с пунктом 3.5 настоящей главы;

EПОС - значение оценки, характеризующей выполнение требований в рамках процесса совершенствования применения мер защиты информации, рассчитанное в соответствии с пунктом 3.6 настоящей главы.

Глава 4. Заключительные положения

4.1. С даты издания настоящих Методических рекомендаций Банка России отменяются Методические рекомендации по расчету значений показателей оценки выполнения требований к технологическим мерам защиты информации и прикладному программному обеспечению автоматизированных систем и приложений в целях составления отчетности об оценке выполнения требований к обеспечению защиты информации от 02.11.2022 N 12-МР.

4.2. Настоящие Методические рекомендации Банка России подлежат опубликованию в "Вестнике Банка России" и размещению на официальном сайте Банка России в информационно-телекоммуникационной сети "Интернет".

Заместитель Председателя

Банка России

Г.А.ЗУБАРЕВ

Приложение 1

к Методическим рекомендациям

Банка России по расчету значений

показателей оценки выполнения требований

к технологическим мерам защиты информации

и прикладному программному обеспечению

автоматизированных систем и приложений

в целях составления отчетности

об оценке выполнения требований

к обеспечению защиты информации

от 6 марта 2025 г. N 3-МР

ПЕРЕЧЕНЬ

ТРЕБОВАНИЙ К ТЕХНОЛОГИЧЕСКИМ МЕРАМ ЗАЩИТЫ ИНФОРМАЦИИ

ПО НАПРАВЛЕНИЮ "ТЕХНОЛОГИЧЕСКИЕ МЕРЫ"

1. Перечень требований, установленных Положением Банка России от 17.04.2019 N 683-П "Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента" <1> (далее - Положение Банка России N 683-П) в отношении кредитных организаций, выполнение которых рекомендуется оценивать при выборе кода вида деятельности "Банк" <2>, приведен в таблице 1.1 настоящего приложения.

--------------------------------

<1> С даты признания утратившим силу Положения Банка России N 683-П расчет значений показателей оценки выполнения требований по направлению "Технологические меры" рекомендуется осуществлять в отношении аналогичных требований Положения Банка России от 30.01.2025 N 851-П "Об установлении обязательных для кредитных организаций, иностранных банков, осуществляющих деятельность на территории Российской Федерации через свои филиалы, требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента" (далее - Положение Банка России N 851-П).

<2> Коды вида деятельности отчитывающихся кредитных организаций определены подпунктом 4.2 пункта 4 порядка составления и представления отчетности по форме 0409071 "Сведения об оценке выполнения кредитными организациями требований к обеспечению защиты информации".

2. Перечень требований, установленных Положением Банка России от 17.08.2023 N 821-П "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств" (далее - Положение Банка России N 821-П) в отношении кредитных организаций, выполнение которых рекомендуется оценивать при выборе кода вида деятельности "ОПДС", приведен в таблице 1.2 настоящего приложения.

3. Перечень требований, установленных Положением Банка России от 25.07.2022 N 802-П "О требованиях к защите информации в платежной системе Банка России" (далее - Положение Банка России N 802-П) в отношении кредитных организаций, выполнение которых рекомендуется оценивать при выборе кода вида деятельности "Участник ССНП" и "Участник СБП", приведен в таблице 1.3 настоящего приложения.

4. Перечень требований, установленных Положением Банка России N 802-П в отношении оператора услуг платежной инфраструктуры, осуществляющего деятельность операционного центра, платежного клирингового центра другой платежной системы при предоставлении операционных услуг и услуг платежного клиринга при переводе денежных средств с использованием сервиса быстрых платежей платежной системы Банка России, выполнение которых рекомендуется оценивать при выборе кода вида деятельности "ОПКЦ СБП 802-П" <3>, приведен в таблице 1.4 настоящего приложения.

--------------------------------

<3> Коды вида деятельности отчитывающихся организаций, не являющихся кредитными организациями, определены подпунктом 2.1 пункта 2 методики составления отчетности по форме 0403202 "Сведения об оценке выполнения операторами услуг платежной инфраструктуры требований к обеспечению защиты информации при осуществлении деятельности операционного центра, платежного клирингового центра".

5. Перечень требований, установленных Положением Банка России N 821-П в отношении операторов услуг платежной инфраструктуры, осуществляющих деятельность расчетного центра, выполнение которых рекомендуется оценивать при выборе кода вида деятельности "ОУПИ РЦ", приведен в таблице 1.5 настоящего приложения.

6. Перечень требований, установленных Положением Банка России N 821-П в отношении операторов услуг платежной инфраструктуры, осуществляющих деятельность операционного центра, выполнение которых рекомендуется оценивать при выборе кода вида деятельности "ОУПИ ОЦ", "ОЦ", "ОПКЦ СБП 821-П", приведен в таблице 1.6 настоящего приложения.

7. Перечень требований, установленных Положением Банка России N 821-П в отношении операторов услуг платежной инфраструктуры, осуществляющих деятельность платежного клирингового центра, выполнение которых рекомендуется оценивать при выборе кода вида деятельности "ОУПИ ПКЦ", "ПКЦ", "ОПКЦ СБП 821-П", приведен в таблице 1.7 настоящего приложения.

8. Перечень требований, установленных Положением Банка России от 07.12.2023 N 833-П "О требованиях к обеспечению защиты информации для участников платформы цифрового рубля" (далее - Положение Банка России N 833-П) в отношении кредитных организаций, выполнение которых рекомендуется оценивать при выборе кода вида деятельности "Участник ПлЦР", приведен в таблице 1.8 настоящего приложения.

Таблица 1.1. Перечень требований, установленных Положением Банка России N 683-П в отношении кредитных организаций

Таблица 1.2. Перечень требований, установленных Положением Банка России N 821-П в отношении кредитных организаций

Таблица 1.3. Перечень требований, установленных Положением Банка России N 802-П в отношении кредитных организаций

Таблица 1.4. Перечень требований, установленных Положением Банка России N 802-П в отношении оператора услуг платежной инфраструктуры, осуществляющего деятельность операционного центра, платежного клирингового центра другой платежной системы при предоставлении операционных услуг и услуг платежного клиринга при переводе денежных средств с использованием сервиса быстрых платежей платежной системы Банка России

Таблица 1.5. Перечень требований, установленных Положением Банка России N 821-П в отношении операторов услуг платежной инфраструктуры, осуществляющих деятельность расчетного центра

Таблица 1.6. Перечень требований, установленных Положением Банка России N 821-П в отношении операторов услуг платежной инфраструктуры, осуществляющих деятельность операционного центра

Таблица 1.7. Перечень требований, установленных Положением Банка России N 821-П в отношении операторов услуг платежной инфраструктуры, осуществляющих деятельность платежного клирингового центра

Таблица 1.8. Перечень требований, установленных Положением Банка России N 833-П в отношении кредитных организаций

Приложение 2

к Методическим рекомендациям

Банка России по расчету значений

показателей оценки выполнения требований

к технологическим мерам защиты информации

и прикладному программному обеспечению

автоматизированных систем и приложений

в целях составления отчетности

об оценке выполнения требований

к обеспечению защиты информации

от 6 марта 2025 г. N 3-МР

ПЕРЕЧЕНЬ

ТРЕБОВАНИЙ К ПРИКЛАДНОМУ ПРОГРАММНОМУ ОБЕСПЕЧЕНИЮ

АВТОМАТИЗИРОВАННЫХ СИСТЕМ И ПРИЛОЖЕНИЙ ПО НАПРАВЛЕНИЮ

"БЕЗОПАСНОСТЬ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ"

1. Перечень требований, установленных Положением Банка России N 683-П <4> в отношении кредитных организаций, выполнение которых рекомендуется оценивать при выборе кода вида деятельности "Банк" <5>, приведен в таблице 2.1 настоящего приложения.

--------------------------------

<4> С даты признания утратившим силу Положения Банка России N 683-П расчет значений показателей оценки выполнения требований по направлению "Безопасность программного обеспечения" рекомендуется осуществлять в отношении аналогичных требований Положения Банка России N 851-П.

<5> Коды вида деятельности отчитывающихся кредитных организаций определены подпунктом 5.2 пункта 5 порядка составления и представления отчетности по форме 0409071 "Сведения об оценке выполнения кредитными организациями требований к обеспечению защиты информации".

2. Перечень требований, установленных Положением Банка России N 821-П в отношении операторов по переводу денежных средств, операторов услуг платежной инфраструктуры, выполнение которых рекомендуется оценивать при выборе кода вида деятельности "ОПДС", "ОУПИ", "ОЦ", "ПКЦ" или "ОПКЦ СБП 821-П" <6>, приведен в таблице 2.2 настоящего приложения.

--------------------------------

<6> Коды вида деятельности отчитывающихся организаций, не являющихся кредитными организациями, определены подпунктом 3.1 пункта 3 методики составления отчетности по форме 0403202 "Сведения об оценке выполнения операторами услуг платежной инфраструктуры требований к обеспечению защиты информации при осуществлении деятельности операционного центра, платежного клирингового центра".

3. Перечень требований, установленных Положением Банка России N 833-П в отношении кредитных организаций, выполнение которых рекомендуется оценивать при выборе кода вида деятельности "Участник ПлЦР", приведен в таблице 2.3 настоящего приложения.

Таблица 2.1. Перечень требований, установленных Положением Банка России N 683-П в отношении кредитных организаций

Таблица 2.2. Перечень требований, установленных Положением Банка России N 821-П в отношении операторов по переводу денежных средств, операторов услуг платежной инфраструктуры

Таблица 2.3. Перечень требований, установленных Положением Банка России N 833-П в отношении кредитных организаций