Проект Положения Банка России “О требованиях к порядку обеспечения бесперебойности функционирования платежной системы, показателям бесперебойности функционирования платежной системы и методикам анализа рисков в платежной системе, включая профили рисков” (по состоянию на 18.05.2017)

На основании пунктов 4 - 6 части 3 статьи 28 Федерального закона от 27.06.2011 № 161-ФЗ «О национальной платежной системе» (Собрание законодательства Российской Федерации, 2011, № 27, ст. 3872; 2012, № 53, ст. 7592; 2013, № 27, ст. 3477; № 30, ст. 4084; № 52, ст. 6968; 2014, № 19, ст. 2315, ст. 2317; № 43, ст. 5803; 2015, № 1, ст. 8, ст. 14; 2016, № 27, ст. 4221, ст. 4223) (далее - Федеральный закон № 161-ФЗ) Банк России устанавливает требования к порядку обеспечения бесперебойности функционирования платежной системы, показателям бесперебойности функционирования платежной системы и методикам анализа рисков в платежной системе, включая профили рисков.

Глава 1. Общие положения

1.1. Требования настоящего Положения применяются к оператору платежной системы при обеспечении им бесперебойности функционирования платежной системы (далее - БФПС), представляющей собой состояние платежной системы, при котором:

оказание участникам платежной системы услуг платежной инфраструктуры в целях осуществления перевода денежных средств осуществляется в соответствии с Федеральным законом № 161-ФЗ, нормативными актами Банка России, правилами платежной системы, договорами об оказании услуг платежной инфраструктуры, внутренними документами оператора платежной системы и привлеченных им операторов услуг платежной инфраструктуры (далее - надлежащее оказание услуг платежной инфраструктуры) и (или)

восстановление надлежащего оказания услуг платежной инфраструктуры, включая восстановление оказания услуг платежной инфраструктуры в случае их приостановления (прекращения), осуществляется в течение периодов времени, установленных оператором платежной системы.

1.2. Оператор платежной системы обеспечивает БФПС путем осуществления скоординированной с операторами услуг платежной инфраструктуры и участниками платежной системы деятельности:

по организации системы управления рисками в платежной системе, оценке и управлению рисками в платежной системе (далее при совместном упоминании - управление рисками в платежной системе);

по выявлению нарушений надлежащего оказания услуг платежной инфраструктуры, обеспечению функционирования платежной системы в случае нарушения надлежащего оказания услуг платежной инфраструктуры и восстановлению надлежащего оказания услуг платежной инфраструктуры, включая восстановление оказания услуг платежной инфраструктуры в случае их приостановления (прекращения), в течение периодов времени, установленных оператором платежной системы в правилах платежной системы (далее при совместном упоминании - управление непрерывностью функционирования платежной системы).

1.3. Порядок обеспечения БФПС определяется правилами платежной системы, а также внутренними документами оператора платежной системы и операторов услуг платежной инфраструктуры в случае если это предусмотрено правилами платежной системы (далее при совместном упоминании - документы по обеспечению БФПС).

1.4. Требования настоящего Положения не распространяются на Банк России при осуществлении им функций расчетного центра в платежных системах на основании заключенных договоров.

Глава 2. Требования к порядку обеспечения бесперебойности функционирования платежной системы, показателям бесперебойности функционирования платежной системы

2.1. Оператор платежной системы определяет и выполняет порядок обеспечения БФПС с учетом особенностей функционирования платежной системы (в том числе осуществления процедур платежного клиринга и расчета, характера и масштаба деятельности платежной системы), который должен включать:

управление рисками в платежной системе;

управление непрерывностью функционирования платежной системы;

координацию деятельности оператора платежной системы, операторов услуг платежной инфраструктуры и участников платежной системы (далее при совместном упоминании - субъекты платежной системы) по обеспечению БФПС;

контроль деятельности операторов услуг платежной инфраструктуры и участников платежной системы по обеспечению БФПС.

2.2. Оператор платежной системы управляет рисками в платежной системе в следующем порядке.

2.2.1. Организует систему управления рисками в платежной системе и определяет организационную модель управления рисками в платежной системе в соответствии с требованиями части 2 статьи 28 Федерального закона № 161-ФЗ. Система управления рисками в платежной системе может быть интегрирована в систему управления рисками деятельности оператора платежной системы, не связанной с функционированием платежной системы.

2.2.2. Устанавливает полномочия и обязанности субъектов платежной системы по управлению рисками в платежной системе в зависимости от определенной организационной модели управления рисками в платежной системе.

2.2.3. Проводит оценку рисков в платежной системе не реже одного раза в год с использованием методик анализа рисков в платежной системе, определенных в соответствии с главой 3 настоящего Положения.

2.2.4. Определяет способы управления рисками из числа предусмотренных частью 5 статьи 28 Федерального закона № 161-ФЗ (далее - способы управления рисками).

2.2.5. Определяет в порядке, предусмотренном Приложением 1 к настоящему Положению, следующие показатели БФПС:

показатель продолжительности восстановления оказания услуг операторами услуг платежной инфраструктуры (далее - показатель П1), характеризующий продолжительность времени, необходимого для восстановления оказания услуг операторами услуг платежной инфраструктуры в случае приостановления (прекращения) оказания услуг платежной инфраструктуры;

показатель непрерывности оказания услуг платежной инфраструктуры (далее - показатель П2), характеризующий период времени между двумя последовательно произошедшими в платежной системе событиями, которые привели к нарушению надлежащего оказания услуг платежной инфраструктуры, в том числе вследствие нарушения требований к обеспечению защиты информации при осуществлении переводов денежных средств, определенных Положением Банка России от 09.06.2012 № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств», зарегистрированным Министерством юстиции Российской Федерации 14 июня 2012 года № 24575, 1 июля 2013 года № 28930, 10 сентября 2014 года № 34017 («Вестник Банка России» от 22 июня 2012 года № 32, от 10 июля 2013 года № 37, от 17 сентября 2014 года № 83) (далее - инциденты), в результате которых приостанавливалось (прекращалось) оказание услуг платежной инфраструктуры;

показатель соблюдения времени оказания услуг платежной инфраструктуры (далее - показатель П3), характеризующий долю распоряжений участников платежной системы о переводе денежных средств, переданных операционным центром платежной системы, принятых к исполнению платежным клиринговым центром платежной системы и исполненных расчетным центром платежной системы с соблюдением регламента, в котором устанавливаются время начала, время окончания, продолжительность и последовательность процедур, выполняемых операторами услуг платежной инфраструктуры при оказании операционных услуг, услуг платежного клиринга и расчетных услуг, предусмотренных частями 3 и 4 статьи 17, частью 4 статьи 19 и частями 1 и 8 статьи 25 Федерального закона № 161-ФЗ, соответственно (далее - Регламент выполнения процедур);

показатель эффективности восстановления оказания услуг операторами услуг платежной инфраструктуры (далее - показатель П4), характеризующий долю инцидентов, для которых продолжительность времени восстановления оказания услуг операторами услуг платежной инфраструктуры не превысила установленного оператором платежной системы порогового уровня;

показатель доступности операционного центра платежной системы (далее - показатель П5), характеризующий оказание операционных услуг операционным центром платежной системы;

показатель изменения частоты инцидентов (далее - показатель П6), характеризующий темп прироста частоты инцидентов.

2.2.6. Устанавливает и пересматривает с использованием результатов оценки рисков в платежной системе пороговые уровни показателей БФПС, нарушение которых в сторону превышения или снижения (в зависимости от показателя) свидетельствует о нарушении надлежащего оказания услуг платежной инфраструктуры и одновременном нарушении времени восстановления надлежащего оказания услуг платежной инфраструктуры в случае их приостановления (прекращения) и (или) времени восстановления надлежащего оказания услуг платежной инфраструктуры (далее при совместном упоминании - нарушение БФПС).

Пороговые уровни показателей БФПС устанавливаются с учетом следующих ограничений:

пороговый уровень показателя П1 должен быть равен установленному оператором платежной системы в правилах платежной системы времени восстановления оказания услуг платежной инфраструктуры в случае их приостановления (прекращения) и для каждого из случаев приостановления (прекращения) оказания услуг платежной инфраструктуры не может превышать 2-х часов в системно и социально значимых платежных системах и 6-ти часов в платежных системах, не являющихся системно или социально значимыми;

пороговый уровень показателя П2 должен быть не менее 24 часов для каждого из операторов услуг платежной инфраструктуры системно значимой платежной системы и не менее 12 часов - для каждого из операторов услуг платежной инфраструктуры социально значимой платежной системы;

пороговый уровень показателя П3 должен быть не менее 0,95 для всех платежных систем;

пороговый уровень показателя П4 должен быть не менее 0,95 для всех платежных систем;

пороговый уровень показателя П5 должен быть не менее 0,99 для системно значимой платежной системы, не менее 0,975 - для социально значимой платежной системы и не менее 0,96 - для платежных систем, не являющихся системно или социально значимыми.

2.2.7. Проводит оценку системы управления рисками в платежной системе, в том числе используемых методов оценки рисков, результатов применения способов управления рисками в платежной системе не реже одного раза в два года и документально оформляет результаты указанной оценки. При наличии коллегиального органа по управлению рисками в платежной системе оценка системы управления рисками в платежной системе проводится данным органом.

2.2.8. Вносит изменения в систему управления рисками в платежной системе, если действующая система управления рисками не позволяет предупреждать нарушения БФПС, а также восстанавливать надлежащее оказание услуг платежной инфраструктуры в случае его нарушения в течение установленного периода времени, либо при существенных изменениях внутренних и (или) внешних факторов, влияющих на функционирование платежной системы.

2.3. Оператор платежной системы управляет непрерывностью функционирования платежной системы в следующем порядке.

2.3.1. Организует деятельность по управлению непрерывностью функционирования платежной системы, в том числе путем установления полномочий и обязанностей субъектов платежной системы по управлению непрерывностью функционирования платежной системы в зависимости от определенной организационной модели управления рисками в платежной системе.

2.3.2. Определяет форму, порядок и сроки представления операторами услуг платежной инфраструктуры сведений об инцидентах, перечень которых определен в Приложении 2 к настоящему Положению, а также сведений, используемых для расчета показателей, предусмотренных в Приложении 1 к настоящему Положению (далее - сведения по платежной системе).

Приостановление и (или) прекращение участия в платежной системе в случаях, предусмотренных правилами платежной системы в соответствии с пунктом 4 части 1 статьи 20 Федерального закона № 161-ФЗ, не рассматриваются в целях настоящего Положения в качестве инцидентов.

2.3.3. Организует сбор и обработку сведений по платежной системе. Создает базу данных, содержащую сведения по платежной системе, а также хранит указанные сведения не менее трех лет с даты их размещения в базе данных.

2.3.4. Разрабатывает, согласовывает с операторами услуг платежной инфраструктуры Регламент выполнения процедур, а также контролирует его соблюдение.

2.3.5. Проводит оценку влияния инцидентов на БФПС исходя из критериев нарушения надлежащего оказания услуг платежной инфраструктуры (далее - критерии нарушения).

Критериями нарушений, непосредственно не влияющих на БФПС, являются:

нарушение Регламента выполнения процедур, не сопровождающееся нарушением пороговых уровней показателей П1, П2, П3;

нарушение пороговых уровней показателей П4, П5, П6, не сопровождающееся нарушением Регламента выполнения процедур.

Критериями нарушений, влияющих на БФПС, являются:

нарушение Регламента выполнения процедур при одновременном нарушении порогового уровня любого из показателей П1 и П2;

нарушение порогового уровня показателя П3;

превышение продолжительности установленного оператором платежной системы времени, в течение которого должно быть восстановлено надлежащее оказание услуг платежной инфраструктуры.

2.3.6. Обеспечивает оказание услуг платежной инфраструктуры при возникновении инцидентов, а также организует восстановление оказания услуг операторами услуг платежной инфраструктуры в случае их приостановления (прекращения) и восстановление надлежащего оказания услуг платежной инфраструктуры в случае его нарушения, включая восстановление оказания услуг платежной инфраструктуры в случае их приостановления (прекращения) в течение установленных периодов времени.

2.3.7. Устанавливает гарантированный уровень бесперебойности оказания операционных услуг, согласованный с операционным центром (операционными центрами) платежной системы, не ниже порогового уровня показателя П5 и разрабатывает меры, направленные на его обеспечение.

2.3.8. Организует сбор информации от участников платежной системы об организациях, привлекаемых ими для обеспечения взаимодействия с операционными центрами платежной системы (за исключением операторов связи), и устанавливает для таких участников платежной системы требования по контролю за привлекаемыми ими организациями в части обеспечения бесперебойности оказания услуг платежной инфраструктуры.

2.3.9. Разрабатывает, тестирует и пересматривает с периодичностью не реже одного раза в два года план обеспечения непрерывности и восстановления деятельности (далее - план ОНиВД), предусматривающий мероприятия по обеспечению непрерывности функционирования платежной системы в случае возникновения инцидентов у операторов услуг платежной инфраструктуры и (или) участников платежной системы, в том числе по взаимозаменяемости операторов услуг платежной инфраструктуры (при наличии в платежной системе двух и более операционных и (или) платежных клиринговых и (или) расчетных центров).

Обеспечивает в соответствии с планом ОНиВД переход участников платежной системы на обслуживание к другому оператору услуг платежной инфраструктуры (при наличии в платежной системе двух и более операционных и (или) платежных клиринговых и (или) расчетных центров) в течение срока, установленного правилами платежной системы, в случаях:

превышения оператором услуг платежной инфраструктуры времени восстановления оказания услуг платежной инфраструктуры в случае их приостановления (прекращения) более двух раз в течение 12 месяцев подряд;

одностороннего отказа от оказания услуг оператором услуг платежной инфраструктуры участнику (участникам) платежной системы, не связанного с приостановлением (прекращением) участия в платежной системе в случаях, предусмотренных правилами платежной системы.

2.3.10. Обеспечивает разработку и контролирует наличие планов ОНиВД у операторов услуг платежной инфраструктуры, проведение ими тестирования и пересмотра планов ОНиВД с периодичностью не реже одного раза в два года.

2.3.11. В случае если оператор платежной системы, оператор услуг платежной инфраструктуры является кредитной организацией, разработка, тестирование и пересмотр плана ОНиВД осуществляется в порядке, предусмотренном Положением Банка России от 16.12.2003 № 242-П «Об организации внутреннего контроля в кредитных организациях и банковских группах», зарегистрированным Министерством юстиции Российской Федерации 27 января 2004 года № 5489, 22 декабря 2004 года № 6222, 20 марта 2009 года № 13547, 30 июня 2014 года № 32913 («Вестник Банка России» от 4 февраля 2004 года № 7, от 31 декабря 2004 года № 74, от 1 апреля 2009 года № 21, от 9 июля 2014 года № 63) с учетом требований к плану ОНиВД, содержащихся в подпункте 2.3.9 настоящего пункта.

2.3.12. Анализирует эффективность мероприятий по восстановлению надлежащего функционирования платежной системы и использует полученные результаты при управлении рисками в платежной системе.

2.4. Оператор платежной системы может передать все или часть функций по реализации мероприятий, предусмотренных пунктами 2.2 и 2.3 настоящего Положения, операторам услуг платежной инфраструктуры и участникам платежной системы при использовании в платежной системе организационной модели управления рисками в платежной системе, предусмотренной пунктом 2 части 2 статьи 28 Федерального закона № 161-ФЗ, или расчетному центру при использовании в платежной системе организационной модели управления рисками в платежной системе, предусмотренной пунктом 3 части 2 статьи 28 Федерального закона № 161-ФЗ.

2.5. Оператор платежной системы координирует деятельность субъектов платежной системы по обеспечению БФПС в следующем порядке.

2.5.1. Определяет порядок, сроки и формы взаимодействия субъектов платежной системы при обеспечении БФПС.

2.5.2. Согласовывает внутренние документы привлеченных операторов услуг платежной инфраструктуры, содержащие требования к обеспечению БФПС.

2.5.3. Определяет обязанности субъектов платежной системы по обмену информацией при обеспечении БФПС, в том числе по оперативному информированию о нарушении БФПС оператора платежной системы, а также расчетного центра платежной системы при использовании в платежной системе организационной модели управления рисками в платежной системе, предусмотренной пунктом 3 части 2 статьи 28 Федерального закона № 161-ФЗ.

2.5.4. Информирует о случаях и причинах приостановления (прекращения) оказания услуг платежной инфраструктуры:

Банк России и участников платежной системы в порядке, установленном Указанием Банка России от 11.06.2014 № 3280-У «О порядке информирования оператором платежной системы Банка России, участников платежной системы о случаях и причинах приостановления (прекращения) оказания услуг платежной инфраструктуры», зарегистрированного Министерством юстиции Российской Федерации 20 июня 2014 года № 32821 («Вестник Банка России» от 26 июня 2014 года № 60) (далее - Указание Банка России № 3280-У);

операторов услуг платежной инфраструктуры в порядке, аналогичном установленному Указанием Банка России № 3280-У для участников платежной системы.

2.6. Оператор платежной системы контролирует деятельность субъектов платежной системы по обеспечению БФПС в следующем порядке.

2.6.1. Определяет порядок, периодичность и формы проведения контрольных мероприятий за соблюдением операторами услуг платежной инфраструктуры и участниками платежной системы требований к порядку обеспечения БФПС.

2.6.2. При выявлении нарушения требований к порядку обеспечения БФПС операторами услуг платежной инфраструктуры и участниками платежной системы:

информирует операторов услуг платежной инфраструктуры и участников платежной системы о выявленных в их деятельности нарушениях;

устанавливает по согласованию с операторами услуг платежной и участниками платежной системы, в деятельности которых выявлены нарушения, сроки устранения выявленных нарушений;

осуществляет проверку результатов устранения нарушений и информирует операторов услуг платежной инфраструктуры и участников платежной системы, в деятельности которых выявлены нарушения, о результатах проведенной проверки.

2.6.3. Определяет ответственность операторов услуг платежной инфраструктуры и участников платежной системы за неисполнение требований к порядку обеспечения БФПС.

Глава 3. Требования к методикам анализа рисков в платежной системе, включая профили рисков

3.1. Оператор платежной системы в целях управления рисками в платежной системе разрабатывает методики анализа рисков в платежной системе, включая риск нарушения БФПС.

3.2. Методики анализа рисков в платежной системе обеспечивают:

идентификацию и анализ рисков в платежной системе, включая выявление всех возможных событий, реализация которых может привести к возникновению инцидента (далее - риск-события), и определение для каждого из выявленных риск-событий размера риска, характеризуемого вероятностью наступления риск-событий с учетом возможных последствий их реализации (далее - уровень риска);

определение для каждого из идентифицированных рисков в платежной системе уровня риска, имеющегося до применения способов управления риском (далее - уровень присущего риска), а также максимального значения уровня риска, при котором восстановление нарушения надлежащего оказания услуг платежной инфраструктуры, включая восстановление оказания услуг платежной инфраструктуры в случае их приостановления (прекращения), осуществляется в течение периодов времени, установленных оператором платежной системы, и предполагаемый ущерб от которого оператор платежной системы готов принять без применения способов управления риском (далее - уровень допустимого риска);

определение рисков, для которых уровень присущего риска выше уровня допустимого риска (далее - значимые риски);

определение уровня каждого из значимых рисков в платежной системе после применения способов управления риском (далее - уровень остаточного риска).

3.3. Методиками анализа рисков в платежной системе предусматривается выполнение мероприятий, в том числе:

проведение анализа и оценки внешних и внутренних факторов, влияющих на функционирование платежной системы;

формирование и поддержание в актуальном состоянии перечней взаимосвязанных последовательных технологических процедур, выполняемых при оказании услуг платежной инфраструктуры (далее - бизнес-процессы);

разработку и поддержание в актуальном состоянии классификаторов (структурированных перечней) рисков в платежной системе, риск-событий, причин возникновения риск-событий;

проведение анализа всех бизнес-процессов в платежной системе и формирование перечня возможных риск-событий для каждого из бизнес-процессов с указанием источников возникновения данных риск-событий и последствий их возникновения;

определение уровня присущего риска для каждого из идентифицированных рисков в платежной системе и установление уровня допустимого риска;

сопоставление определенного уровня присущего риска и установленного уровня допустимого риска по каждому из идентифицированных рисков в платежной системе для выделения значимых рисков;

применение способов управления рисками для каждого из значимых рисков и последующее определение уровня остаточного риска для каждого из значимых рисков;

сопоставление уровней остаточного риска и допустимого риска для каждого из значимых рисков и принятие решения о необходимости применения других способов управления рисками в платежной системе в дополнение к ранее примененным способам управления рисками;

мониторинг рисков в платежной системе, в том числе уровней остаточных рисков в платежной системе, их соответствие уровню допустимого риска;

составление и актуализацию по результатам оценки рисков в платежной системе и анализа эффективности мероприятий по восстановлению надлежащего функционирования платежной системы профиля каждого идентифицированного риска в платежной системе и профиля риска нарушения БФПС, составленных в соответствии с требованиями, содержащимися в Приложении 3 к настоящему Положению.

Глава 4. Заключительные положения

4.1. Настоящее Положение подлежит официальному опубликованию и в соответствии с решением Совета директоров Банка России (протокол заседания Совета директоров Банка России от ____________201__ года №____) вступает в силу по истечении двенадцати месяцев после дня его официального опубликования.

4.2. Со дня вступления в силу настоящего Положения признать утратившим силу Положение Банка России от 31.05.2012 № 379-П «О бесперебойности функционирования платежных систем и анализе рисков в платежных системах», зарегистрированное Министерством юстиции Российской Федерации 13 июня 2012 № 24544 («Вестник Банка России» от 20 июня 2012 № 31).

Председатель Центрального банка Российской Федерации

Приложение 1
к Положению Банка России
от «___» __________ № ____
«О требованиях к порядку обеспечения бесперебойности
функционирования платежной системы, показателям
бесперебойности функционирования платежной
системы и методикам анализа рисков в платежной
системе, включая профили рисков»

Порядок определения показателей БФПС

1. Показатель продолжительности восстановления оказания услуг операторами услуг платежной инфраструктуры (показатель П1) рассчитывается по каждому инциденту, повлекшему приостановление (прекращение) оказания услуг платежной инфраструктуры каждым из операторов, как период времени с момента приостановления (прекращения) оказания услуг платежной инфраструктуры и до момента восстановления оказания услуг платежной инфраструктуры. Показатель П1 рассчитывается в часах/минутах/секундах.

При возникновении инцидентов, повлекших приостановление (прекращение) оказания услуг платежной инфраструктуры одновременно у двух и более операторов услуг платежной инфраструктуры, данный показатель определяется как период времени с момента приостановления (прекращения) оказания услуг платежной инфраструктуры в результате первого возникших из инцидентов и до момента восстановления оказания услуг платежной инфраструктуры всеми операторами услуг платежной инфраструктуры, у которых возникли инциденты.

2. Показатель непрерывности оказания услуг платежной инфраструктуры (показатель П2) рассчитывается как период времени между двумя инцидентами, последовательно произошедшими у оператора услуг платежной инфраструктуры в результате которых приостанавливалось (прекращалось) оказание услуг платежной инфраструктуры, с момента устранения первого инцидента и до момента возникновения следующего.

Показатель П2 рассчитывается при возникновении каждого из инцидентов в часах/минутах/секундах по каждому из операторов услуг платежной инфраструктуры.

В платежных системах, в которых операционные услуги, услуги платежного клиринга и (или) расчетные услуги оказываются одним оператором услуг платежной инфраструктуры, показатель П2 может рассчитываться одновременно по всем услугам платежной инфраструктуры, которые оказываются данным оператором услуг платежной инфраструктуры.

3. Показатель соблюдения времени оказания услуг платежной инфраструктуры (показатель П3) определяется как отношение количества распоряжений о переводе денежных средств участников платежной системы, исполненных в рамках платежной системы в течение календарного месяца без нарушения Регламента выполнения процедур к общему количеству распоряжений о переводе денежных средств участников платежной системы, исполненных в рамках платежной системы за месяц.

Показатель П3 рассчитывается ежемесячно с точностью до трех знаков после запятой (с округлением по математическому методу).

4. Показатель эффективности восстановления оказания услуг операторами услуг платежной инфраструктуры (показатель П4) определяется как отношение количества инцидентов, произошедших в течение календарного месяца у всех операторов услуг платежной инфраструктуры, для которых значение показателя П1 не превысило порогового уровня, к общему количеству инцидентов, произошедших в течение данного календарного месяца, в результате которых приостанавливалось (прекращалось) оказание услуг платежной инфраструктуры.

Показатель П4 рассчитывается ежемесячно с точностью до трех знаков после запятой (с округлением по математическому методу).

В случае если за предыдущий календарный месяц инцидентов не было, значение показателя признается равным единице.

5. Показатель доступности операционного центра платежной системы (показатель П5) определяется как среднее значение коэффициента доступности операционного центра платежной системы за календарный месяц, рассчитываемое по следующей формуле:

,

где:

M - количество рабочих дней платежной системы в месяце,

- общая продолжительность всех приостановлений (прекращений) оказания операционных услуг операционным центром платежной системы за i-ый рабочий день месяца в минутах,

- общая продолжительность времени оказания операционных услуг в течение i-го рабочего дня в минутах, установленная в соответствии с временным регламентом функционирования платежной системы.

Показатель П5 рассчитывается ежемесячно с точностью до трех знаков после запятой (с округлением по математическому методу).

Для платежных систем с несколькими операционными центрами показатель П5 рассчитывается каждым операционным центром платежной системы самостоятельно. В этом случае оператор платежной системы дополнительно определяет порядок расчета значения показателя П5 в целом по платежной системе.

6. Показатель изменения частоты инцидентов (показатель П6) определяется как темп прироста среднедневного количества инцидентов за оцениваемый календарный месяц по отношению к среднедневному количеству инцидентов за предыдущие 12 календарных месяцев, включая оцениваемый календарный месяц, рассчитываемый по следующей формуле:

,

где:

- количество инцидентов в течение i-го рабочего дня платежной системы оцениваемого календарного месяца;

M - количество рабочих дней платежной системы в оцениваемом календарном месяце;

N - количество рабочих дней платежной системы за 12 предыдущих календарных месяцев, включая оцениваемый месяц.

Показатель П6 рассчитывается в процентах с точностью до одного знака после запятой (с округлением по математическому методу). В случае если за предыдущие 12 календарных месяцев, включая оцениваемый месяц, инцидентов не было, значение показателя признается равным нулю.

Приложение 2
к Положению Банка России
от «___» __________ № ____
«О требованиях к порядку обеспечения бесперебойности
функционирования платежной системы, показателям
бесперебойности функционирования платежной
системы и методикам анализа рисков в платежной
системе, включая профили рисков»

Перечень сведений об инцидентах

1. Сведения об инцидентах включают:

уникальный номер инцидента, позволяющий его однозначно идентифицировать (идентификатор);

время и дату возникновения инцидента (в случае невозможности установить время возникновения инцидента, указывается время его выявления);

наименование и код риск-события, присваиваемый в соответствии с классификатором риск-событий, разработка которого предусмотрена пунктом 3.3 главы 3 настоящего Положения, реализацией которого является инцидент и которое включено в профиль риска нарушения БФПС. При отсутствии в профиле риска нарушения БФПС риск-события, соответствующего инциденту, вместо кода риск-события указывается, что данный инцидент является реализацией риск-события, которое не содержится в профиле риска нарушения БФПС;

краткое описание инцидента (характеристика произошедшего события и описание его проявлений);

наименование субъекта платежной системы, являющегося владельцем бизнес-процесса, в котором произошел инцидент;

наименование бизнес-процесса, на который оказал воздействие инцидент;

причину возникновения инцидента в соответствии с классификатором причин возникновения риск-событий, разработка которого предусмотрена пунктом 3.3 главы 3 настоящего Положения;

признак, характеризующий приостановление (прекращение) оказания услуг платежной инфраструктуры в результате инцидента;

признак, характеризующий влияние инцидента на БФПС, определяемый на основании оценки соответствия инцидентов критериям нарушения, предусмотренным подпунктом 2.3.5 пункта 2.3 главы 2 настоящего Положения;

степень влияния инцидента на функционирование платежной системы в зависимости от количества операторов услуг платежной инфраструктуры и (или) количества и значимости участников платежной системы, на которых оказал непосредственное влияние инцидент, и (или) количества и суммы неисполненных и (или) несвоевременно исполненных и (или) ошибочно исполненных распоряжений о переводе денежных средств и иных факторов;

время и дату восстановления оказания услуг платежной инфраструктуры в случае их приостановления (прекращения);

информацию о неблагоприятных последствиях инцидента в разрезе субъектов платежной системы, в том числе информацию:

о сумме денежных средств, уплаченных оператором платежной системы, взысканных с оператора платежной системы,

о сумме денежных средств, уплаченных оператором (операторами) услуг платежной инфраструктуры и (или) взысканных с оператора (операторов) услуг платежной инфраструктуры,

о количестве и сумме распоряжений о переводе денежных средств участников платежной системы, на исполнение которых в рамках платежной системы оказал влияние инцидент неисполненные и (или) несвоевременно исполненные и (или) ошибочно исполненные распоряжения о переводе денежных средств, о времени приостановления (прекращения) оказания услуг платежной инфраструктуры;

информацию о мероприятиях по устранению инцидента и его неблагоприятных последствий, в том числе информацию о планируемой и фактической продолжительности проведения указанных мероприятий и о лицах, ответственных за выполнение этих мероприятий;

дату восстановления надлежащего оказания услуг платежной инфраструктуры.

Приложение 3
к Положению Банка России
от «___» __________ № ____
«О требованиях к порядку обеспечения бесперебойности
функционирования платежной системы, показателям
бесперебойности функционирования платежной
системы и методикам анализа рисков в платежной
системе, включая профили рисков»

Требования к профилям идентифицированных рисков в платежной системе и профилю риска нарушения БФПС

1. Профили идентифицированных рисков в платежной системе могут составляться в отношении следующих рисков:

риск ненадлежащего оказания услуг платежной инфраструктуры вследствие несоблюдения субъектами платежной системы требований законодательства Российской Федерации, нормативных актов Банка России, правил платежной системы, договоров, заключенных между субъектами платежной системы, либо вследствие наличия правовых коллизий и (или) правовой неопределенности в законодательстве Российской Федерации, нормативных актах Банка России, правилах платежной системы и договорах, заключенных между субъектами платежной системы, а также вследствие нахождения операторов услуг платежной инфраструктуры и участников платежной системы под юрисдикцией различных государств (далее - правовой риск платежной системы);

риск ненадлежащего оказания услуг платежной инфраструктуры вследствие возникновения у субъектов платежной системы сбоев, отказов и аварий в работе информационных и технологических систем, недостатков в организации и выполнении внутренних процессов, ошибок или противоправных действий персонала субъектов платежной системы, либо вследствие воздействия внешних событий, включая противоправные действия третьих лиц (далее - операционный риск платежной системы);

риск ненадлежащего оказания услуг платежной инфраструктуры центральным платежным клиринговым контрагентом или расчетным центром платежной системы вследствие невыполнения договорных обязательств перед другими субъектами платежной системы в установленный срок или в будущем (далее - кредитный риск платежной системы);

риск ненадлежащего оказания услуг платежной инфраструктуры вследствие отсутствия у центрального платежного клирингового контрагента и (или) у участников платежной системы денежных средств, достаточных для своевременного выполнения их обязательств перед другими субъектами платежной системы (далее - риск ликвидности платежной системы);

риск ненадлежащего оказания услуг платежной инфраструктуры вследствие ухудшения финансового состояния оператора платежной системы и (или) операторов услуг платежной инфраструктуры, не связанного с реализацией кредитного риска и риска ликвидности платежной системы (далее - общий коммерческий риск платежной системы).

2. Профиль каждого из идентифицированных рисков в платежной системе содержит следующие сведения.

2.1. Риск-события, выявленные с применением не менее одного из числа методов, предусмотренных Национальным стандартом Российской Федерации ГОСТ Р ИСО/МЭК 31010-2011 «Менеджмент риска. Методы оценки риска» (далее - Стандарт). Допускается использование иных методов идентификации риск-событий, не противоречащих национальным и международным стандартам, при условии их определения, содержательного раскрытия и установления порядка применения в методиках анализа рисков. Риск-события указываются в профиле каждого из идентифицированных рисков в платежной системе.

2.2. Причины возникновения (источники) риск-событий.

2.3. Наименование бизнес-процессов субъектов платежной системы, в которых могут произойти риск-события, и субъектов платежной системы, являющихся владельцами указанных бизнес-процессов.

2.4. Значения вероятности наступления риск-событий. Определение вероятности наступления риск-событий осуществляется с применением методов из числа предусмотренных Стандартом. Допускается использование иных методов анализа рисков при условии их определения, содержательного раскрытия и установления порядка применения в методике анализа рисков.

2.5. Сведения о потенциальных неблагоприятных последствиях каждого риск-события. Если риск-событие имеет несколько потенциальных неблагоприятных последствий, то указываются все потенциальные неблагоприятные последствия данного риск-события. Определение неблагоприятных последствий наступления риск-событий осуществляется с применением методов из числа предусмотренных Стандартом с учетом результатов анализа сведений об инцидентах и иных сведений.

2.6. Наименование бизнес-процессов и субъектов платежной системы, на которые влияет риск-событие.

2.7. Уровень присущего риска.

2.8. Уровень допустимого риска.

2.9. Способы управления рисками в платежной системе, позволяющие снизить уровень присущего риска, которые определяются следующим образом:

для каждого риска в платежной системе, уровень присущего риска которого превышает уровень допустимого риска, выбираются способы управления рисками, и оценивается его остаточный риск;

проводится сопоставление уровня остаточного и уровня допустимого рисков по каждому риск-событию в платежной системе.

Если уровень остаточного риска превышает уровень допустимого риска, то выбирается другой способ (комбинация нескольких способов) управления риском, обеспечивающий снижение уровня остаточного риска до уровня допустимого риска.

2.10. Уровень остаточного риска.

3. Профиль риска нарушения БФПС содержит сведения, перечисленные в пункте 2 настоящего Приложения, в отношении значимых рисков.

4. Сведения, содержащиеся в профилях идентифицированных рисков в платежной системе и в профиле риска нарушения БФПС, хранятся не менее двух лет.

Пояснительная записка
к проекту Положения Банка России «О требованиях к порядку обеспечения бесперебойности функционирования платежной системы, показателям бесперебойности функционирования платежной системы и методикам анализа рисков в платежной системе, включая профили рисков»

Банк России разработал проект положения «О требованиях к порядку обеспечения бесперебойности функционирования платежной системы, показателям бесперебойности функционирования платежной системы и методикам анализа рисков в платежной системе, включая профили рисков» (далее - проект Положения) взамен Положения Банка России от 31.05.2012 № 379-П «О бесперебойности функционирования платежных систем и анализе рисков в платежных системах» (далее - Положение Банка России № 379-П).

Проект Положения подготовлен в целях содержательного раскрытия и конкретизации требований к оператору платежной системы при обеспечении бесперебойности функционирования платежной системы (далее - БФПС).

В проекте Положения уточнены и дополнены нормы Положения Банка России № 379-П, в том числе:

определены понятие БФПС и направления деятельности субъектов платежной системы по ее обеспечению;

содержательно определены мероприятия, проводимые субъектами платежной системы при обеспечении БФПС, в том числе по управлению рисками в платежной системе и управлению непрерывностью функционирования платежной системы;

установлены требования к методикам анализа рисков в платежной системе, включая требования к содержанию профилей рисков в платежной системе и к мероприятиям, которые должны проводиться в рамках реализации этих методик;

определен состав и порядок расчета показателей БФПС, введена обязанность оператора платежной системы по установлению пороговых уровней показателей БФПС, определены ограничения при установлении пороговых уровней показателей БФПС;

установлены критерии нарушений надлежащего оказания услуг платежной инфраструктуры, влияющих (не влияющих) на БФПС;

определен порядок координации и контроля деятельности субъектов платежной системы по обеспечению БФПС;

введены требования к минимальному перечню информации о функционировании платежной системы и сведений об инцидентах в платежной системе, которые должен собирать и анализировать оператор платежной системы.

Компетенция Банка России на издание проекта Положения определена пунктами 4 - 6 части 3 статьи 28 Федерального закона от 27 июня 2011 года № 161-ФЗ «О национальной платежной системе».

При разработке Положения использованы национальные и международные стандарты, в том числе стандарт Российской Федерации ГОСТ Р ИСО/МЭК 31000-2010 «Менеджмент риска. Принципы и руководство», группа стандартов Российской Федерации ГОСТ Р 53647 «Менеджмент непрерывности бизнеса».

Cрок вступления в силу проекта Положения предусмотрен по истечении 12 месяцев со дня его официального опубликования. Со дня вступления проекта Положения в силу будет признано утратившим силу Положение Банка России № 379-П.

Предложения и замечания к проекту Положения принимаются по 1 июня 2017 года включительно.