Проект Положения Банка России “О порядке обеспечения бесперебойности функционирования платежной системы Банка России” (по состоянию на 21.09.2020)

Настоящее Положение на основании пункта 14 части 1 статьи 20 Федерального закона от 27 июня 2011 года N 161-ФЗ "О национальной платежной системе" (Собрание законодательства Российской Федерации, 2011, N 27, ст. 3872; 2019, N 31, ст. 4418) (далее - Федеральный закон от 27 июня 2011 года N 161-ФЗ), а также в соответствии с Положением Банка России от 3 октября 2017 года N 607-П "О требованиях к порядку обеспечения бесперебойности функционирования платежной системы, показателям бесперебойности функционирования платежной системы и методикам анализа рисков в платежной системе, включая профили рисков", зарегистрированным в Министерстве юстиции Российской Федерации 22 декабря 2017 года N 49386, устанавливает порядок обеспечения бесперебойности функционирования платежной системы Банка России.

Глава 1. Общие положения

1.1. Термины и сокращения, используемые в настоящем Положении, применяются в значениях, установленных Федеральным законом от 27 июня 2011 года N 161-ФЗ и нормативными актами Банка России, определяющими правила платежной системы Банка России.

1.2. Бесперебойность функционирования платежной системы Банка России (далее - БФПС) достигается при условии оказания в платежной системе Банка России (далее - ПС) услуг платежной инфраструктуры (далее - УПИ) согласно требованиям Федерального закона от 27 июня 2011 года N 161-ФЗ, нормативных актов Банка России, в том числе определяющих правила ПС, договоров банковского (корреспондентского) счета (субсчета), договоров об обмене электронными сообщениями при переводе денежных средств в рамках ПС и договора о взаимодействии платежных систем и с учетом требований настоящего Положения (далее - надлежащее оказание УПИ), или при условии восстановления надлежащего оказания УПИ, восстановления оказания УПИ (в случае приостановления их оказания) в сроки, установленные настоящим Положением.

Время восстановления оказания УПИ в случае приостановления их оказания, в том числе перехода на оказание УПИ с использованием резервных автоматизированных систем, должно составлять не более 2 часов. Время восстановления надлежащего оказания УПИ для сервиса срочного перевода денежных средств в рамках ПС (далее - сервис срочного перевода) и сервиса несрочного перевода денежных средств в рамках ПС (далее - сервис несрочного перевода) с учетом времени возврата на основные автоматизированные системы должно составлять не более 48 часов, для сервиса быстрых платежей ПС (далее - СБП) - не более 4 часов.

Указанные в настоящем пункте интервалы времени отсчитываются от момента выявления события, реализация которого способна оказать воздействие на деятельность Банка России как оператора ПС в части неоказания УПИ в соответствии со шкалой оценки воздействия риска, приведенной в п. 3.2.3 настоящего Положения, а также со шкалами оценки воздействия риска на деловую репутацию Банка России, на объем финансовых потерь Банка России, предусмотренными внутренним нормативным актом Банка России (далее - инцидент).

1.3. Надлежащим оказанием УПИ в части операционных услуг признается оказание операционных услуг в течение временного интервала, указанного в приложении 7 к настоящему положению.

Гарантированным уровнем бесперебойности оказания операционных услуг, характеризующим качество функционирования операционных и технологических средств платежной инфраструктуры Банка России, является соблюдение пороговых уровней индикатора доступности операционного центра, расчет которого приведен в подпункте 2.4 пункта 2 приложения 1 к настоящему Положению.

1.4. Банк России, осуществляя деятельность по обеспечению БФПС, должен:

1.4.1. Организовать систему управления рисками в ПС, присущими бизнес-процессу, в рамках которого обеспечивается функционирование ПС (далее - бизнес-процесс).

1.4.2. Осуществлять идентификацию операционных рисков, включая правовые риски, рисков ликвидности, кредитных рисков, являющихся последствиями операционных рисков, а также связанных рисков, присущих деятельности оператора внешней платежной системы, выполняющего функции операционного и платежного клирингового центра в рамках СБП (далее - ОПКЦ внешней платежной системы), реализация которых способна оказать воздействие на деятельность Банка России как оператора ПС в части неоказания УПИ в соответствии со шкалой оценки воздействия риска, приведенной в п. 3.2.3 настоящего Положения, а также со шкалами оценки воздействия риска на деловую репутацию Банка России, на объем финансовых потерь Банка России, предусмотренными внутренним нормативным актом Банка России (далее - значимые риски), а также совершать иные действия, предусмотренные п. 3.1. настоящего Положения (далее при совместном упоминании - управление рисками в ПС).

1.4.3. Выявлять и регистрировать инциденты, определять их влияние на БФПС, а также совершать иные действия, предусмотренные п. 4.1. настоящего Положения, в целях восстановления оказания УПИ в случае приостановления их оказания, и восстанавливать надлежащее оказание УПИ (далее при совместном упоминании - управление непрерывностью функционирования ПС).

1.4.4. Организовывать и осуществлять взаимодействие Банка России, ОПКЦ внешней платежной системы и участников ПС по обеспечению БФПС.

1.4.5. Осуществлять контроль за соблюдением ОПКЦ внешней платежной системы настоящего порядка обеспечения БФПС.

1.5. Банк России должен организовывать деятельность по обеспечению БФПС с учетом организационной модели управления рисками, предусматривающей самостоятельное управление Банком России рисками в ПС.

Деятельность по обеспечению БФПС должна осуществляться в том числе с использованием программно-технических средств.

Глава 2. Организационная структура, используемая Банком России при обеспечении БФПС

2.1. Организационная структура, используемая Банком России при обеспечении БФПС, должна включать три линии защиты:

на первой линии защиты должно осуществляться управление рисками в ПС, а также управление непрерывностью функционирования ПС при выполнении бизнес-процесса структурными подразделениями Банка России (далее - ПУРиН), руководителями ПУРиН, руководителем структурного подразделения центрального аппарата Банка России, реализующего полномочия оператора ПС и ответственного за функционирование ПС в целом (далее - структурное подразделение, реализующее полномочия оператора ПС), заместителем Председателя Банка России, курирующим вопросы организации и функционирования национальной платежной системы (далее - курирующий руководитель Банка России), Председателем Банка России, а также структурными подразделениями ОПКЦ внешней платежной системы, выполняющими бизнес-процесс в части оказания операционных услуг и услуг платежного клиринга при осуществлении перевода денежных средств с использованием СБП (далее - ПУРиН внешней платежной системы);

на второй линии защиты должны выполняться координация и методологическая поддержка деятельности по обеспечению БФПС структурным подразделением, реализующим полномочия оператора ПС, и структурным подразделением центрального аппарата Банка России, ответственным за развитие системы управления рисками Банка России (далее - УРСУР), Комитетом по управлению рисками в ПС (далее - Комитет), а также подразделением ОПКЦ внешней платежной системы, ответственным за контроль рисков в СБП (далее - УпКР);

на третьей линии защиты должна проводится независимая оценка системы управления рисками в ПС (далее - СУР) Службой главного аудитора Банка России и подразделением, осуществляющим внутренний аудит ОПКЦ внешней платежной системы.

2.2. Обеспечение БФПС должно осуществляться следующими субъектами организационной структуры:

Председателем Банка России;

курирующим руководителем Банка России;

Комитетом;

руководителем структурного подразделения, реализующего полномочия оператора ПС (далее - владелец бизнес-процесса);

руководителем ПУРиН;

работниками структурных подразделений Банка России, в состав которых в том числе входят ПУРиН (далее - работники структурных подразделений Банка России);

работниками УРСУР, выполняющими методологические функции по управлению рисками, присущими бизнес-процессу (далее - работники УРСУР);

работниками подразделения, реализующего полномочия оператора ПС, выполняющими методологические функции по управлению непрерывностью функционирования ПС (далее - работники оператора ПС);

работниками подразделения, реализующего полномочия оператора ПС, назначенными владельцем бизнес-процесса для координации и выполнения работ по обеспечению БФПС (далее - риск-координаторы бизнес-процесса);

работниками ПУРиН, назначенными руководителем структурного подразделения Банка России для координации и выполнения работ по обеспечению БФПС в рамках компетенции данного структурного подразделения Банка России (далее - риск-координаторы ПУРиН);

работником ОПКЦ внешней платежной системы, назначенным руководителем ОПКЦ внешней платежной системы для координации и выполнения работ по обеспечению БФПС в части оказания операционных услуг и услуг платежного клиринга при осуществлении перевода денежных средств с использованием СБП (далее - риск-координатор СБП внешней платежной системы). Руководитель ОПКЦ внешней платежной системы может назначить нескольких работников ОПКЦ внешней платежной системы риск-координаторами СБП внешней платежной системы;

работниками ПУРиН внешней платежной системы, осуществляющими координацию и выполнение работ по обеспечению БФПС в части оказания операционных услуг и услуг платежного клиринга при осуществлении перевода денежных средств с использованием СБП в рамках компетенции данного структурного подразделения ОПКЦ внешней платежной системы (далее - риск-координаторы ПУРиН внешней платежной системы).

2.2.1. Председатель Банка России:

рассматривает и утверждает ежегодный отчет об управлении рисками в ПС;

принимает решения о реагировании на инциденты, воздействие реализации которых требуют перехода на оказание УПИ с использованием резервных автоматизированных систем;

принимает решения о выделении ресурсов для обеспечения БФПС.

2.2.2. Курирующий руководитель Банка России:

осуществляет контроль за обеспечением БФПС;

согласовывает предложения владельца бизнес-процесса по мерам реагирования на значимые риски (далее - меры реагирования) III зоны тепловой карты рисков, представленной в приложении 2 к настоящему Положению, и обеспечивает организацию выполнения принятых решений;

согласовывает ключевые индикаторы рисков (далее - КИР), предложенные владельцем бизнес-процесса в дополнение к указанным в приложении 1 к настоящему Положению (далее - дополнительные КИР), или отмену дополнительных КИР;

утверждает план действий, направленных на обеспечение непрерывности деятельности и (или) восстановление деятельности Банка России как оператора ПС (далее - план ОНиВД);

обеспечивает принятие решений о применении мер реагирования, направленных на обеспечение непрерывности функционирования ПС в условиях инцидента (далее - ответные меры), приводящего к приостановлению оказания одной или нескольких УПИ более чем на 2 часа, в том числе о реализации соответствующий последовательности действий плана ОНиВД (далее - сценарий плана ОНиВД), за исключением решений, отнесенных к компетенции Председателя Банка России;

принимает решения по спорным вопросам, возникающим при обеспечении БФПС, в том числе при отсутствии по ним согласованной позиции у структурных подразделений Банка России, обеспечивающих функционирование ПС.

2.2.3. Комитет является коллегиальным органом по управлению рисками, присущими бизнес-процессу. Функции, состав и полномочия Комитета, в том числе в части оценки СУР, определяются Положением о Комитете, утвержденным организационно-распорядительным документом Банка России.

2.2.4. Владелец бизнес-процесса должен обеспечивать БФПС посредством выполнения следующих мероприятий.

В части управления рисками в ПС владелец бизнес-процесса должен:

обеспечивать формирование и поддержание в актуальном состоянии описания бизнес-процесса;

совместно с руководителями ПУРиН обеспечивать идентификацию значимых рисков, присущих бизнес-процессу;

утверждать перечень значимых рисков;

совместно с руководителями ПУРиН обеспечивать проведение оценки значимых рисков;

организовывать ведение профиля риска нарушения БФПС, содержащего информацию о значимых рисках (далее - единый профиль рисков в ПС), и утверждать единый профиль рисков в ПС, подготовленный по результатам проведенной оценки значимых рисков;

обеспечивать подготовку, направление курирующему руководителю Банка России предложений о реагировании на значимые риски III зоны тепловой карты рисков и выполнение принятых решений по ним;

рассматривать и согласовывать предложения риск-координаторов ПУРиН, риск-координаторов ПУРиН внешней платежной системы по мерам реагирования на значимые риски II зоны тепловой карты рисков, обеспечивать организацию выполнения принятых решений;

обеспечивать подготовку плана ОНиВД, его тестирование и пересмотр;

направлять курирующему руководителю Банка России предложения о разработке (отмене) дополнительных КИР (при наличии предложений) и обеспечивать выполнение принятых решений по ним;

обеспечивать мониторинг уровней значимых рисков и их анализ, в том числе в режиме реального времени, посредством расчета с заданной периодичностью текущих значений КИР и сопоставления их в режиме реального времени с пороговыми значениями (далее - мониторинг уровней значимых рисков), а также принимать решение о назначении ответственного ПУРиН за мониторинг уровней значимых рисков с использованием КИР 1-КИР 5;

обеспечивать проведение оценки эффективности управления рисками в ПС и принимать меры, направленные на решение проблем при обеспечении БФПС, затрагивающих несколько бизнес-процессов Банка России и (или) структурных подразделений Банка России (далее - системные проблемы);

обеспечивать подготовку ежегодного отчета об управлении рисками в ПС;

обеспечивать выполнение решений Комитета, в том числе сформированных по итогам проведенной оценки СУР;

обеспечивать непрерывность исполнения обязанностей, возложенных настоящим Положением на риск-координаторов бизнес-процесса и риск-координаторов ПУРиН, в период их отсутствия на рабочем месте более одного рабочего дня (для риск-координаторов ПУРиН с учетом графика работы ПУРиН).

В части управления непрерывностью функционирования ПС владелец бизнес-процесса должен:

обеспечивать выявление и регистрацию инцидентов;

обеспечивать полноту и корректность сведений о зарегистрированных инцидентах;

обеспечивать проведение оценки влияния на БФПС каждого и всех в совокупности инцидентов, реализовавшихся в течение календарного месяца при выполнении бизнес-процесса;

принимать решения о применении ответных мер включая активацию сценариев плана ОНиВД, в отношении инцидентов, приводящих к нарушению надлежащего оказания УПИ в ПС, в том числе к приостановлению оказания одной или нескольких УПИ менее чем на 2 часа, за исключением решений, отнесенных к компетенции Председателя Банка России, курирующего руководителя Банка России, руководителей ПУРиН;

обеспечивать подготовку предложений о применении ответных мер, в том числе об активации сценариев плана ОНиВД, отнесенных к компетенции Председателя Банка России или курирующего руководителя Банка России, и выполнение принятых решений о применении таких ответных мер;

обеспечивать проведение оценки эффективности управления непрерывностью функционирования ПС и принимать меры, направленные на решение системных проблем.

В части организации взаимодействия Банка России, ОПКЦ внешней платежной системы и участников ПС по обеспечению БФПС владелец бизнес-процесса должен обеспечивать:

информирование участников ПС о приостановлении и восстановлении оказания УПИ в ПС;

информирование ОПКЦ внешней платежной системы о приостановлении и восстановлении оказания Банком России УПИ в рамках СБП.

В части осуществления контроля за соблюдением ОПКЦ внешней платежной системы настоящего порядка обеспечения БФПС владелец бизнес-процесса должен:

обеспечивать рассмотрение документов, определяющих деятельность ОПКЦ внешней платежной системы по обеспечению БФПС в части СБП;

утверждать подготовленные риск-координаторами бизнес-процесса результаты рассмотрения документов, определяющих деятельность ОПКЦ внешней платежной системы по обеспечению БФПС в части СБП.

2.2.5. Руководители ПУРиН должны обеспечивать БФПС в части компетенции ПУРиН посредством выполнения следующих мероприятий.

В части управления рисками в ПС руководители ПУРиН должны:

обеспечивать формирование и поддержание в актуальном состоянии описания выполняемых шагов (операций) бизнес-процесса, в том числе посредством направления владельцу бизнес-процесса предложений о внесении изменений в данное описание;

обеспечивать идентификацию значимых рисков, присущих бизнес-процессу, и согласовывать перечень значимых рисков;

обеспечивать проведение оценки значимых рисков;

организовывать ведение информации о значимых рисках в рамках единого профиля рисков в ПС в части компетенции ПУРиН и согласовывать содержание данной информации в едином профиле рисков в ПС по результатам оценки значимых рисков;

обеспечивать подготовку, направление владельцу бизнес-процесса предложений о реагировании на значимые риски III и II зоны тепловой карты рисков и выполнение принятых решений по ним;

обеспечивать подготовку плана ОНиВД, его тестирование и пересмотр в части компетенции ПУРиН;

рассматривать предложения риск-координаторов ПУРиН об установлении (отмене) дополнительных КИР, вносить предложения об установлении (отмене) дополнительных КИР владельцу бизнес-процесса и обеспечивать выполнение принятых решений по ним;

обеспечивать проведение мониторинга уровней значимых рисков на предмет своевременного применения мер реагирования;

обеспечивать подготовку материалов для включения в ежегодный отчет об управлении рисками в ПС;

12

обеспечивать выполнение решений Комитета, в том числе сформированных по итогам проведенной оценки СУР;

обеспечивать осведомленность работников ПУРиН о значимых рисках и порядке управления ими.

В части управления непрерывностью функционирования ПС руководители ПУРиН должны:

обеспечивать выявление и регистрацию инцидентов;

обеспечивать полноту и корректность сведений о зарегистрированных инцидентах;

обеспечивать проведение оценки влияния на БФПС каждого инцидента и всех в совокупности инцидентов, реализовавшихся в течение календарного месяца при выполнении бизнес-процесса, в части компетенции ПУРиН;

принимать решения о применении ответных мер, в том числе об активации сценариев плана ОНиВД, в отношении инцидентов, приводящих к приостановлению оказания УПИ менее чем на 2 часа, за исключением решений, отнесенных к компетенции Председателя Банка России, курирующего руководителя Банка России, владельца бизнес-процесса;

обеспечивать реализацию ответных мер, в том числе об активации сценариев плана ОНиВД, в отношении инцидентов, приводящих к приостановлению оказания УПИ более чем на 2 часа.

В части организации взаимодействия Банка России, ОПКЦ внешней платежной системы и участников ПС по обеспечению БФПС руководители ПУРиН должны обеспечивать:

информирование участников ПС о приостановлении и восстановлении оказания УПИ, если такое информирование отнесено к компетенции ПУРиН;

информирование ОПКЦ внешней платежной системы о приостановлении и восстановлении оказания Банком России УПИ в СБП, если такое информирование отнесено к компетенции ПУРиН.

2.2.6. Работники структурных подразделений Банка России должны выполнять решения по обеспечению БФПС, принятые Председателем Банка России, курирующим руководителем Банка России, владельцем бизнес-процесса и руководителями соответствующих ПУРиН, а также информировать риск-координаторов ПУРиН структурного подразделения Банка России работника об идентифицированных рисках, присущих бизнес-процессу, и выявленных инцидентах, предоставлять документы и информацию по запросам риск-координаторов бизнес-процесса и риск-координаторов ПУРиН структурного подразделения Банка России работника.

2.2.7. Работники УРСУР должны осуществлять координацию и методологическую поддержку деятельности по управлению рисками, присущими бизнес-процессу, в том числе:

осуществлять верификацию сведений о значимых рисках, сведений о связанных с ними инцидентах и сведений о дополнительных КИР;

разрабатывать и поддерживать в актуальном состоянии структурированные перечни источников риска, областей реализации рисков (риск-событий) и мер реагирования;

проводить анализ данных о значимых рисках и об управлении ими, в том числе на предмет выявления системных проблем, и при необходимости готовить предложения для структурных подразделений Банка России и (или) руководства Банка России, направленные на повышение эффективности управления рисками в ПС.

2.2.8. Работники оператора ПС должны осуществлять координацию и методологическую поддержку деятельности по управлению непрерывностью функционирования ПС.

2.2.9. Работники УпКР должны осуществлять координацию и методологическую поддержку деятельности работников ПУРиН внешней платежной системы по вопросам обеспечения БФПС в соответствии с настоящим порядком обеспечения БФПС в части оказания операционных услуг и услуг платежного клиринга при осуществлении перевода денежных средств с использованием СБП.

2.2.10. Риск-координаторы бизнес-процесса должны оказывать методологическую поддержку руководителям ПУРиН, риск-координаторам ПУРиН и другим работникам ПУРиН, а также риск-координатору СБП внешней платежной системы по вопросам обеспечения БФПС и выполнять следующие мероприятия.

В части управления рисками в ПС риск-координаторы бизнес-процесса должны:

контролировать актуальность описания бизнес-процесса;

идентифицировать риски, присущие бизнес-процессу, и формировать перечень значимых рисков;

согласовывать подготовленные ПУРиН результаты оценки значимых рисков и составлять единый профиль рисков в ПС;

рассматривать предложения ПУРиН, ПУРиН внешней платежной системы о применении мер реагирования в отношении значимых рисков III и II зоны тепловой карты рисков;

осуществлять контроль за своевременным выполнением ПУРиН решений о применении в отношении значимых рисков мер реагирования, принятых курирующим руководителем Банка России и владельцем бизнес-процесса, в том числе посредством направления запросов о предоставлении информации и документов руководителям ПУРиН, риск-координаторам ПУРиН и другим работникам ПУРиН;

обеспечивать согласованность планов ОНиВД разного уровня, подготовленных риск-координаторами ПУРиН, риск-координаторами ПУРиН внешней платежной системы;

обеспечивать подготовку плана ОНиВД, участвовать в его тестировании и пересмотре;

согласовывать разработанные риск-координаторами ПУРиН дополнительные КИР, а также предложения по их отмене;

подготавливать предложения для владельца бизнес-процесса по назначению ответственного ПУРиН за мониторинг уровней значимых рисков с использованием КИР 1-КИР 5 проводить оценку эффективности управления рисками в ПС и подготавливать предложения для владельца бизнес-процесса по принятию мер, направленных на совершенствование бизнес-процесса;

осуществлять подготовку ежегодного отчета об управлении рисками в ПС;

доводить до сведения риск-координатора СБП внешней платежной системы информацию о владельце бизнес-процесса и риск-координаторах бизнес-процесса, осуществляющих координацию деятельности по обеспечению БФПС с ОПКЦ внешней платежной системы;

подготавливать предложения для владельца бизнес-процесса по реализации решений Комитета, сформированных по итогам проведенной оценки СУР.

В части управления непрерывностью функционирования ПС риск-координаторы бизнес-процесса должны:

согласовывать сведения о выявленных риск-координаторами ПУРиН инцидентах;

согласовывать результаты оценки влияния на БФПС каждого инцидента и всех в совокупности инцидентов, реализовавшихся в течение календарного месяца при выполнении бизнес-процесса;

согласовывать предложения риск-координаторов ПУРиН о применении в отношении инцидентов, реализовавшихся при выполнении бизнес-процесса, ответных мер, в том числе сценариев плана ОНиВД;

осуществлять контроль за своевременным выполнением работниками ПУРиН решений о применении ответных мер, в том числе посредством направления запросов о предоставлении информации и документов руководителям ПУРиН, риск-координаторам ПУРиН и другим работникам ПУРиН;

проводить оценку эффективности управления непрерывностью функционирования ПС.

В части осуществления контроля за соблюдением ОПКЦ внешней платежной системы порядка обеспечения БФПС риск-координаторы бизнес-процесса должны:

выявлять несоответствия в документах, определяющих деятельность ОПКЦ внешней платежной системы по обеспечению БФПС в части СБП, в том числе с использованием подготовленного риск-координатором СБП внешней платежной системы заключения о соответствии документов ОПКЦ внешней платежной системы настоящему порядку обеспечения БФПС (далее - Заключение о соответствии);

формировать рекомендации по устранению выявленных несоответствий в документах ОПКЦ внешней платежной системы по обеспечению БФПС в части СБП;

направлять на утверждение владельцу бизнес-процесса сформированные рекомендации по устранению выявленных несоответствий в документах ОПКЦ внешней платежной системы по обеспечению БФПС в части СБП.

2.2.11. Риск-координаторы ПУРиН, риск-координаторы ПУРиН внешней платежной системы должны оказывать методологическую поддержку работникам ПУРиН, работникам ПУРиН внешней платежной системы соответственно по вопросам обеспечения БФПС и проводить следующие мероприятия в части компетенции ПУРиН, ПУРиН внешней платежной системы.

В части управления рисками в ПС риск-координаторы ПУРиН, риск-координаторы ПУРиН внешней платежной системы должны:

контролировать актуальность описания бизнес-процесса (для риск-координаторов ПУРиН);

контролировать актуальность документов ОПКЦ внешней платежной системы, устанавливающих порядок взаимодействия участника СБП, ОПКЦ внешней платежной системы и Банка России (далее - стандарты ОПКЦ внешней платежной системы) (для риск-координаторов ПУРиН внешней платежной системы);

участвовать в идентификации значимых рисков и формировании перечня значимых рисков;

проводить оценку значимых рисков и заполнять единый профиль рисков в ПС в части значимых рисков бизнес-процесса, управление которыми отнесено к компетенции ПУРиН;

проводить оценку значимых рисков и заполнять профиль рисков в ПС в части значимых рисков бизнес-процесса, управление которыми отнесено к ПУРиН внешней платежной системы (для риск-координаторов ПУРиН);

подготавливать предложения о применении в отношении значимых рисков III и II зоны тепловой карты рисков мер реагирования и согласовывать их с руководителями ПУРиН (для риск-координаторов ПУРиН), риск-координатором СБП внешней платежной системы (для риск-координаторов ПУРиН внешней платежной системы);

осуществлять контроль за своевременным выполнением ПУРиН решений, принятых курирующим руководителем Банка России (владельцем бизнес-процесса, руководителями ПУРиН в части, относящейся к компетенции ПУРиН) о применении мер реагирования, в том числе посредством направления запросов о предоставлении информации и документов работникам ПУРиН;

осуществлять контроль за своевременным выполнением ПУРиН внешней платежной системы решений, принятых риск-координатором СБП внешней платежной системы в части, относящейся к компетенции ПУРиН внешней платежной системы, о применении мер реагирования, в том числе посредством направления запросов о предоставлении информации и документов работникам ПУРиН внешней платежной системы;

подготавливать предложения к плану ОНиВД, участвовать в тестировании плана ОНиВД и пересмотре плана ОНиВД;

подготавливать по результатам оценки значимых рисков предложения по дополнительным КИР или их отмене (при наличии предложений);

проводить мониторинг уровней значимых рисков;

участвовать в подготовке материалов для включения в ежегодный отчет об управлении рисками в ПС.

В части управления непрерывностью функционирования ПС риск-координаторы ПУРиН, риск-координаторы ПУРиН внешней платежной системы должны:

выявлять инциденты и регистрировать инциденты;

проводить оценку влияния на БФПС каждого инцидента и всех в совокупности инцидентов, реализовавшихся в течение календарного месяца, управление которыми отнесено к компетенции ПУРиН, ПУРиН внешней платежной системы, и направлять результаты оценки на согласование риск-координаторам бизнес-процесса (для риск-координаторов ПУРиН), риск-координатору СБП внешней платежной системы (для риск-координаторов ПУРиН внешней платежной системы);

подготавливать предложения для руководителей ПУРиН, риск-координатора СБП внешней платежной системы о применении в отношении выявленных инцидентов ответных мер, в том числе сценариев плана ОНиВД;

осуществлять контроль за своевременным выполнением работниками ПУРиН, работниками ПУРиН внешней платежной системы решений о применении ответных мер, в том числе посредством направления запросов о предоставлении информации и документов работникам ПУРиН, работникам ПУРиН внешней платежной системы;

В части организации взаимодействия Банка России, ОПКЦ внешней платежной системы и участников ПС по обеспечению БФПС:

риск-координаторы ПУРиН должны контролировать выполнение мероприятий по информированию:

участников ПС о приостановлении и восстановлении оказания УПИ, если такое информирование отнесено к компетенции ПУРиН;

ОПКЦ внешней платежной системы о приостановлении и восстановлении оказания Банком России УПИ в рамках СБП, если такое информирование отнесено к компетенции ПУРиН;

риск-координаторы ПУРиН внешней платежной системы должны контролировать выполнение мероприятий по информированию Банка России и участников ПС о приостановлении и восстановлении оказания УПИ в рамках СБП, если такое информирование отнесено к компетенции ПУРиН внешней платежной системы.

2.2.12. Риск-координатор СБП внешней платежной системы должен обеспечивать БФПС в рамках СБП в части функций ОПКЦ внешней платежной системы и проводить следующие мероприятия.

В части управления рисками в ПС риск-координатор СБП внешней платежной системы должен:

контролировать актуальность стандартов ОПКЦ внешней платежной системы;

идентифицировать значимые риски ОПКЦ внешней платежной системы и формировать перечень значимых рисков ОПКЦ внешней платежной системы, подготовленный риск-координаторами ПУРиН внешней платежной системы;

обеспечивать проведение риск-координаторами ПУРиН внешней платежной системы оценки значимых рисков ОПКЦ внешней платежной системы;

составлять профиль рисков ОПКЦ внешней платежной системы, подготовленный риск-координаторами ПУРиН внешней платежной системы, и направлять профиль рисков ОПКЦ внешней платежной системы владельцу бизнес-процесса;

составлять план реализации новых мер реагирования, указанных в профиле риска ОПКЦ внешней платежной системы, и направлять его владельцу бизнес-процесса;

обеспечивать подготовку предложений риск-координаторами ПУРиН внешней платежной системы о применении мер реагирования в отношении значимых рисков ОПКЦ внешней платежной системы III и II зоны тепловой карты рисков, согласовывать их;

осуществлять контроль за своевременным выполнением ПУРиН внешней платежной системы решений о применении в отношении значимых рисков ОПКЦ внешней платежной системы мер реагирования, принятых курирующим руководителем Банка России, владельцем бизнес-процесса, руководителями ПУРиН в части, относящейся к компетенции ПУРиН, риск-координатором СБП внешней платежной системы о применении мер реагирования, в том числе посредством направления запросов о предоставлении информации и документов работникам ПУРиН внешней платежной системы;

обеспечивать подготовку плана ОНиВД ОПКЦ внешней платежной системы, участвовать в его тестировании и пересмотре;

рассматривать предложения риск-координаторов ПУРиН внешней платежной системы по дополнительным КИР или их отмене;

направлять предложения о разработке или отмене дополнительных КИР риск-координаторам бизнес-процесса (при наличии предложений);

обеспечивать проведение мониторинга уровней значимых рисков ОПКЦ внешней платежной системы;

обеспечивать проведение риск-координаторами ПУРиН внешней платежной системы оценки эффективности управления рисками ОПКЦ внешней платежной системы;

обеспечивать подготовку и направление риск-координатору бизнес-процесса информации для ежегодного отчета об управлении рисками в ПС;

обеспечивать выполнение решений Комитета, сформированных по итогам проведенной оценки СУР.

В части управления непрерывностью функционирования риск-координатор СБП внешней платежной системы должен:

обеспечивать выявление и регистрацию инцидентов, согласовывать сведения о выявленных риск-координаторами ПУРиН внешней платежной системы инцидентах и направлять указанные сведения риск-координаторам бизнес-процесса;

обеспечивать полноту и корректность данных о зарегистрированных инцидентах;

обеспечивать проведение оценки влияния на БФПС каждого инцидента и всех в совокупности инцидентов, реализовавшихся в течение календарного месяца, а также согласовать результаты указанной оценки с риск-координаторами бизнес-процесса;

осуществлять контроль за своевременным выполнением работниками ПУРиН внешней платежной системы решений о применении ответных мер, в том числе посредством направления запросов о предоставлении информации и документов руководителям ПУРиН внешней платежной системы, риск-координаторам ПУРиН внешней платежной системы и другим работникам ПУРиН внешней платежной системы;

обеспечивать проведение оценки эффективности управления непрерывностью функционирования ПС.

В части организации взаимодействия Банка России, ОПКЦ внешней платежной системы и участников ПС по обеспечению БФПС риск-координатор СБП внешней платежной системы должен контролировать выполнение мероприятий по информированию Банка России и участников ПС о приостановлении и восстановлении оказания УПИ.

В части осуществления контроля за соблюдением ОПКЦ внешней платежной системы порядка обеспечения БФПС риск-координатор СБП внешней платежной системы должен:

обеспечивать разработку и поддержание в актуальном состоянии документов ОПКЦ внешней платежной системы, определяющих деятельность ОПКЦ внешней платежной системы по обеспечению БФПС в части СБП, соответствующих требованиям настоящего порядка по обеспечению БФПС;

направлять владельцу бизнес-процесса на рассмотрение документы, определяющие деятельность ОПКЦ внешней платежной системы по обеспечению БФПС в части СБП, и Заключение о соответствии;

контролировать соблюдение требований документов, определяющих деятельность ОПКЦ внешней платежной системы по обеспечению БФПС в части СБП сотрудниками ПУРиН внешней платежной системы.

2.3. Распределение обязанностей между субъектами организационной структуры при выполнении ими деятельности по управлению значимыми рисками, предусмотренной главой 3 настоящего Положения, и деятельности по управлению непрерывностью функционирования ПС, предусмотренной главой 4 настоящего Положения, должно осуществляться Банком России и ОПКЦ внешней платежной системы в том числе в соответствии с заключенным договором о взаимодействии платежных систем.

Глава 3. Управление рисками в ПС

3.1. Управление рисками в ПС должно осуществляться посредством поддержания актуальности описания бизнес-процесса и стандартов ОПКЦ внешней платежной системы, подготовки (актуализации) перечня значимых рисков, идентификации значимых рисков, проведения оценки значимых рисков и действующих мер реагирования, принятия решения о реагировании на значимые риски после применения действующих мер реагирования(далее - остаточный риск), утверждения единого профиля рисков в ПС, актуализации данных о значимых рисках (далее при совместном упоминании - самооценка), а также мониторинга уровней значимых рисков.

3.2. Самооценка должна выполняться структурными подразделениями Банка России с применением порядка управления операционными рисками Банка России, структурными подразделениями ОПКЦ внешней платежной системы - в соответствии с приложением 3 к настоящему Положению и следующими мероприятиями (далее при совместном упоминании - методики анализа рисков).

3.2.1. Идентификация значимых рисков должна осуществляться с последовательным применением следующих способов и сопоставлением полученных результатов:

"снизу вверх" - способ, при котором значимые риски должны идентифицироваться риск-координаторами бизнес-процесса совместно с руководителями ПУРиН, риск-координаторами ПУРиН и работниками структурных подразделений Банка России, обладающими необходимым профессиональным опытом и знаниями о бизнес-процессе, риск-координатором СБП внешней платежной системы совместно с риск-координаторами ПУРиН внешней платежной системы;

"сверху вниз" - способ, при котором значимые риски должны идентифицироваться владельцем бизнес-процесса.

3.2.2. Для обеспечения эффективного управления рисками в ПС, в том числе выявления системных проблем, идентификации должны подлежать как значимые риски в рамках одного бизнес-процесса, так и значимые риски в рамках нескольких бизнес-процессов, реализация которых является источником рисков бизнес-процесса (далее - связанные риски).

3.2.3. Для определения уровня значимого риска при осуществлении перевода денежных средств в ПС должна осуществляться оценка значимого риска с использованием шкалы оценки вероятности реализации риска, приведенной в приложении 4 к настоящему Положению, и следующей шкалы оценки воздействия риска:

очень сильное воздействие - недостижение целей, невыполнение (ненадлежащее выполнение) функций Банка России, в части неоказания УПИ в рамках ПС по причине восстановления оказания УПИ более чем за 4 часа в случае приостановления их оказания и (или) восстановления надлежащего оказания УПИ более чем за 48 часов для сервиса срочного перевода и сервиса несрочного перевода и более чем за 4 часа для СБП в случае восстановления их надлежащего оказания (с учетом времени перехода на резервную автоматизированную систему и возврата на основные автоматизированные системы);

сильное воздействие - задержки в выполнении функций Банка России, в части неоказания УПИ в рамках ПС по причине восстановления оказания УПИ от 2 до 4 часов (включительно) в случае приостановления их оказания и (или) восстановления надлежащего оказания УПИ от 36 до 48 часов (включительно) для сервиса срочного перевода и сервиса несрочного перевода и от 1 до 4 часов (включительно) для СБП в случае восстановления их надлежащего оказания (с учетом времени перехода на резервную автоматизированную систему и возврата на основные автоматизированные системы);

среднее воздействие -нарушения в выполнении функций Банка России, в части неоказания УПИ в рамках ПС по причине восстановления оказания УПИ от 1 до 2 часов (включительно) в случае приостановления их оказания и (или) восстановления надлежащего оказания УПИ от 12 до 36 часов (включительно) для сервиса срочного перевода и сервиса несрочного перевода и от 30 минут до 1 часа (включительно) для СБП в случае восстановления их надлежащего оказания (с учетом времени перехода на резервную автоматизированную систему и возврата на основные автоматизированные системы);

низкое воздействие - перебои в выполнении функций Банка России, в части неоказания УПИ в рамках ПС по причине восстановления оказания УПИ от 30 минут до 1 часа (включительно) в случае приостановления их оказания и (или) восстановления надлежащего оказания УПИ от 6 до 12 часов (включительно) для сервиса срочного перевода и сервиса несрочного перевода и от 15 до 30 минут (включительно) для СБП в случае восстановления их надлежащего оказания (с учетом времени перехода на резервную автоматизированную систему и возврата на основные автоматизированные системы);

незначительное воздействие -перебои в выполнении функций Банка России, в части неоказания УПИ в рамках ПС по причине восстановления оказания УПИ от 15 до 30 минут (включительно) в случае приостановления их оказания и (или) восстановления надлежащего оказания УПИ от 1 часа до 6 часов (включительно) для сервиса срочного перевода и сервиса несрочного перевода и от 4 до 15 минут (включительно) для СБП в случае восстановления их надлежащего оказания (с учетом времени перехода на резервную автоматизированную систему и возврата на основные автоматизированные системы).

3.2.4. Решение о применении мер реагирования по выявленным рискам должно приниматься в зависимости от расположения рисков на тепловой карте рисков (приложение 2).

Для рисков, расположенных во II зоне тепловой карты рисков, решение о применении мер реагирования должно приниматься на уровне владельца бизнес-процесса. Для рисков, расположенных в III зоне тепловой карты рисков, решение о применении мер реагирования должно приниматься на уровне курирующего руководителя Банка России.

3.2.5. Проведение самооценки должно осуществляться с использованием в том числе следующей информации:

сведений, представленных работниками Банка России и работниками ОПКЦ внешней платежной системы;

результатов мониторинга уровней значимых рисков;

результатов анализа эффективности управления рисками в ПС и эффективности управления непрерывностью функционирования ПС;

сведений об инцидентах;

результатов независимой оценки СУР и иных процедур внутреннего аудита, проведенных Службой главного аудитора Банка России и подразделением ОПКЦ внешней платежной системы, ответственным за проведение независимой оценки системы управления рисками, и иных процедур внутреннего аудита в ОПКЦ внешней платежной системе;

результатов оценки СУР, в том числе методики анализа рисков, проведенной Комитетом;

результатов мероприятий, проведенных внешними контролирующими органами.

3.2.6. План ОНиВД как мера реагирования должен разрабатываться в соответствии с требованиями, приведенными в приложении 5 к настоящему Положению, а также с учетом следующего:

сценарии, включенные в план ОНиВД, должны разрабатываться в отношении значимых операционных рисков, для которых в качестве мер реагирования предусматривается разработка плана ОНиВД;

план ОНиВД должен состоять из иерархически взаимосвязанных планов, каждый из которых регламентирует деятельность ПУРиН, ПУРиН внешней платежной системы или подразделения, руководителем которого является владелец бизнес-процесса, в пределах их компетенции при обеспечении надлежащего оказания УПИ.

3.2.7. Самооценка должна проводиться в сроки, установленные организационно-распорядительным документом Банка России (далее - плановая самооценка), или по решению владельца бизнес-процесса (далее - внеплановая самооценка).

3.2.8. Внеплановую полную самооценку следует проводить в отношении всех значимых рисков в случаях, требующих пересмотра единого профиля рисков в ПС, уровней значимых рисков и мер реагирования, в том числе при существенных изменениях в бизнес-процессе и (или) во внешней и внутренней среде, а также в случае возникновения инцидента, для которого не предусмотрено описание значимого риска в едином профиле рисков в ПС и реализация которого привела к приостановлению оказания УПИ. О принятом решении о проведении внеплановой полной самооценки владелец бизнес-процесса обязан проинформировать работников УРСУР и риск-координатора СБП внешней платежной системы не позднее рабочего дня, следующего за датой ее начала.

3.2.9. Внеплановую частичную самооценку следует проводить в отношении значимых рисков в случаях, требующих их пересмотра, в том числе, когда результаты мониторинга уровней значимых рисков свидетельствуют о более высоком уровне риска по сравнению с данными последней самооценки, о неэффективности (недостаточности) применяемых мер реагирования или о наличии значимых рисков, которые в ходе последней самооценки не были идентифицированы как значимые.

3.2.10. Внеплановая самооценка должна проводиться в срок не превышающий 6 месяцев со дня принятия решения владельцем бизнес-процесса о проведении самооценки.

3.2.11. По результатам проведенной самооценки риск-координаторы ПУРиН, риск-координаторы ПУРиН внешней платежной системы, риск-координатор СБП внешней платежной системы должны заполнить единый профиль рисков в ПС в части своей компетенции, риск-координаторы бизнес-процесса должны составить единый профиль рисков в ПС. Единый профиль рисков составляется в соответствии с приложением 6 к настоящему Положению.

Единый профиль рисков в ПС, а также допустимые уровни значимых рисков должны согласовываться владельцем бизнес-процесса и утверждаться Комитетом.

Единый профиль рисков в ПС должен храниться не менее 2 лет со дня его составления и (или) актуализации.

3.3. Мониторинг уровней значимых рисков должен обеспечивать выявление существенных изменений уровней остаточных рисков.

Мониторинг уровней значимых рисков должен проводиться в соответствии с приложением 1 к настоящему Положению, а также на основе следующих мероприятий.

3.3.1. По результатам мониторинга уровней значимых рисков должно обеспечиваться доведение до руководителей всех уровней в Банке России и в ОПКЦ внешней платежной системы в части, относящейся к их компетенции, информации о повышении уровней остаточных рисков до и выше допустимого.

3.3.2. Дополнительные КИР должны разрабатываться с учетом следующей информации:

требований законодательства Российской Федерации, нормативных и иных актов Банка России, регламентирующих функционирование ПС;

данных последних самооценок;

сведений об инцидентах;

результатов мониторинга уровней значимых рисков;

другой информации, свидетельствующей о целесообразности разработки (отмены) КИР.

3.3.3. КИР должны разрабатываться для мониторинга уровня одного значимого риска или одновременного мониторинга уровней нескольких значимых рисков. Для мониторинга уровня одного значимого риска может быть разработано несколько разных КИР.

3.3.4. Перечень дополнительных КИР, а также их пороговые уровни, должны утверждаться Комитетом.

3.4. В целях управления значимыми рисками должны использоваться следующие меры реагирования, являющиеся также способами управления рисками:

осуществление расчета в ПС до конца операционного дня;

обеспечение возможности предоставления внутридневного кредита и кредита овернайт;

осуществление перевода за счет денежных средств, находящихся на счетах участников ПС, в том числе с учетом лимита внутридневного кредита и кредита овернайт, а также за счет денежных средств, объединенных в пул ликвидности;

изменение последовательности расположения распоряжений участников ПС во внутридневной очереди.

Дополнительно к существующим мерам реагирования должны применяться меры реагирования, направленные на обеспечение эффективности управления значимыми рисками с учетом следующего:

применение новой меры реагирования не должно уменьшать суммарный положительный эффект от применения ранее используемых мер реагирования;

положительный эффект от вновь применяемой меры реагирования не должен быть меньше положительного эффекта от последовательного или одновременного применения вновь применяемой и ранее использованных мер реагирования.

Эффект от применения меры реагирования должен признаваться положительным в случае, если уровень воздействия от реализации значимого риска ниже уровня воздействия до применения рассматриваемой меры реагирования или если вероятность реализации значимого риска ниже вероятности реализации до применения рассматриваемой меры реагирования.

3.5. При управлении рисками должны быть осуществлены в том числе следующие мероприятия.

3.5.1. Взаимодействие в спорных, нестандартных и чрезвычайных ситуациях, включая случаи системных сбоев, должно осуществляться Банком России в рамках порядка взаимодействия в спорных, нестандартных и чрезвычайных ситуациях, включая случаи системных сбоев, определяемого в соответствии с пунктом 8 части 3 статьи 28 Федерального закона N 161-ФЗ, а также с положениями договоров банковского (корреспондентского) счета (субсчета), договоров об обмене электронными сообщениями при переводе денежных средств в рамках ПС и договора о взаимодействии платежных систем.

3.5.2. Изменения операционных и технологических средств и процедур, обеспечивающих функционирование ПС, должны осуществляться Банком России в рамках порядка изменения операционных и технологических средств и процедур ПС, определяемого в соответствии с пунктом 9 части 3 статьи 28 Федерального закона N 161-ФЗ.

3.5.3. Оценка качества функционирования операционных и технологических средств ПС, информационных систем, используемых для обеспечения функционирования ПС, должна осуществляться Банком России и ОПКЦ внешней платежной системы при проведении внутреннего контроля.

3.5.4. Управление риском информационной безопасности в ПС должно осуществляться Банком России в рамках порядка обеспечения защиты информации в ПС, определяемого в соответствии с пунктом 11 части 3 статьи 28 Федерального закона N 161-ФЗ.

3.6. Оценка эффективности управления рисками в ПС и эффективности управления непрерывностью функционирования ПС должна осуществляться на ежегодной основе посредством сопоставления времени восстановления оказания УПИ в случае приостановления их оказания и (или) времени восстановления надлежащего оказания УПИ, установленного в пункте 1.2 настоящего Положения, с фактическим временем за период с даты окончания последней плановой (полной внеплановой) самооценки.

При двукратном и более превышении установленного в пункте 1.2 настоящего Положения времени восстановления оказания УПИ в случае приостановления их оказания и (или) времени восстановления надлежащего оказания УПИ управление значимыми рисками и управление непрерывностью функционирования ПС признается неэффективным. В иных случаях управление значимыми рисками и управление непрерывностью функционирования ПС признается эффективным.

Глава 4. Управление непрерывностью функционирования ПС

4.1. Управление непрерывностью функционирования ПС должно осуществляться посредством выявления сведений об инцидентах, регистрации инцидентов, определения влияния их на БФПС, а также применения ответных мер, в том числе сценариев плана ОНиВД, в отношении инцидентов.

4.2. Выявление сведений об инцидентах должно проводиться на основании информации о нарушении надлежащего оказания УПИ, полученной от работников ПУРиН, работников ПУРиН внешней платежной системы и работников структурных подразделений Банка России.

Работники ПУРиН, работники ПУРиН внешней платежной системы должны осуществлять контроль выполнения сроков процедур приема к исполнению, определения платежных клиринговых позиций и исполнения распоряжений участников ПС в соответствии с Регламентом выполнения процедур, приведенным в приложении 7 к настоящему Положению.

4.3. Регистрация инцидентов должна осуществляться посредством сбора и обработки следующих сведений о них:

время и дата возникновения инцидента (в случае невозможности установить время возникновения инцидента указывается время его выявления);

краткое описание инцидента (характеристика произошедшего инцидента и его последствия);

наименование взаимосвязанных последовательных технологических процедур, выполняемых при оказании УПИ, в ходе которых произошел инцидент;

наименование бизнес-процесса Банка России, на который оказал влияние инцидент;

наличие (отсутствие) факта приостановления (прекращения) оказания УПИ в результате инцидента;

влияние инцидента на БФПС;

степень влияния инцидента на функционирование ПС в зависимости от количества неисполненных, и (или) несвоевременно исполненных, и (или) ошибочно исполненных распоряжений участников ПС, и иных факторов;

время и дата восстановления оказания УПИ в случае приостановления их оказания;

мероприятия по устранению инцидента и его негативных последствий с указанием планируемой и фактической продолжительности проведения данных мероприятий;

дата и время восстановления надлежащего оказания УПИ;

негативные (неблагоприятные) последствия инцидента, в том числе:

сумма денежных средств, уплаченных Банком России и (или) взысканных с Банка России,

сумма денежных средств, уплаченных ОПКЦ внешней платежной системы и (или) взысканных с ОПКЦ внешней платежной системы,

количество неисполненных, и (или) несвоевременно исполненных, и (или) ошибочно исполненных распоряжений участников ПС, на исполнение которых оказал влияние инцидент,

продолжительность приостановления оказания УПИ.

4.4. Оценка влияния на БФПС каждого инцидента должна проводиться в течение 24 часов с момента его возникновения (выявления), а также в течение 24 часов после устранения инцидента (восстановления надлежащего оказания УПИ).

4.4.1. Инцидент должен признаваться непосредственно не влияющим на БФПС (влияющим опосредованно) в случае, если не нарушен пороговый уровень индикатора продолжительности восстановления оказания УПИ (далее - КИР 1), индикатора непрерывности оказания УПИ (далее - КИР 2).

4.4.2. Инцидент должен признаваться влияющим на БФПС в случае, если вследствие данного инцидента реализовано хотя бы одно из следующих условий:

нарушен Регламент выполнения процедур при одновременном нарушении порогового уровня КИР 2;

нарушен пороговый уровень КИР 1;

превышена установленная продолжительность восстановления надлежащего оказания УПИ, определенная в пункте 1.2 настоящего Положения.

4.4.3. В случае выявления дополнительных обстоятельств в отношении инцидента, оценка влияния которого на БФПС уже завершена, должна быть проведена повторная оценка влияния произошедшего инцидента на БФПС с учетом вновь выявленных обстоятельств с последующей актуализацией сведений, указанных в пункте 4.3 настоящего Положения.

4.5. Оценка влияния на БФПС всех инцидентов должна проводиться на ежемесячной основе не позднее 5 рабочих дней после окончания календарного месяца.

4.5.1. Инциденты, произошедшие в отчетном месяце, должны признаваться непосредственно не влияющими на БФПС (влияющими опосредованно), если расчетное значение индикатора соблюдения Регламента выполнения процедур (далее - КИР 3) и (или) индикатора доступности операционного центра (далее - КИР 4) и (или) индикатора изменения частоты инцидентов, произошедших в ПС (далее - КИР 5), нарушает пороговый уровень за отчетный месяц, за исключением случая, когда расчетные значения КИР 3, КИР 4, КИР 5 за этот период одновременно нарушают пороговые уровни.

4.5.2. Инциденты, произошедшие в отчетном месяце, должны признаваться влияющими на БФПС, если расчетные значения КИР 3, КИР 4, КИР 5 за этот период одновременно нарушают пороговые уровни.

4.5.3. В случае выявления инцидентов или дополнительных обстоятельств в отношении указанных инцидентов, произошедших в ПС в течение календарного месяца, за который уже проведена оценка их влияния на БФПС, должна быть инициирована повторная оценка влияния произошедших инцидентов на БФПС с учетом вновь выявленных обстоятельств с последующей актуализацией сведений, указанных в пункте 4.3 настоящего Положения.

4.6. Применение ответных мер, в том числе сценариев плана ОНиВД, в отношении инцидентов должны осуществляться для:

локализации и предотвращения развития негативных последствий реализации значимого риска, в отношении которых ответные меры необходимо применять незамедлительно;

восстановления оказания УПИ в случае их приостановления;

восстановления надлежащего оказания УПИ.

Глава 5. Организация взаимодействия Банка России, ОПКЦ внешней платежной системы и участников ПС по обеспечению БФПС

5.1. Информирование Банком России участников ПС о приостановлении и восстановлении оказания УПИ должно осуществляться в течение 30 минут после выявления инцидента, который привел к приостановлению оказания УПИ, и после восстановления оказания УПИ посредством размещения в информационно-телекоммуникационной сети "Интернет" следующей информации:

время приостановлении (восстановления) оказания УПИ;

причины приостановления (прекращения) оказания УПИ;

предполагаемое время восстановления оказания УПИ в случае приостановления оказания УПИ.

При отсутствии технической возможности размещения информации в информационно-телекоммуникационной сети "Интернет" Банк России должен информировать в течение 30 минут после выявления инцидента, который привел к приостановлению оказания УПИ, и после восстановления оказания УПИ участников ПС с использованием системы взаимодействия с клиентом, определенной в договоре об обмене электронными сообщениями при переводе денежных средств в рамках ПС.

5.2. Взаимодействие Банка России и ОПКЦ внешней платежной системы по обеспечению БФПС должно осуществляться с учетом следующего.

5.2.1. При осуществлении деятельности по управлению значимыми рисками, предусмотренной главой 3 настоящего Положения, и деятельности по управлению непрерывностью функционирования ПС, предусмотренной главой 4 настоящего Положения, взаимодействие Банка России и ОПКЦ внешней платежной системы должно осуществляться (за исключением обмена информацией об инцидентах, связанных с работой информационных систем, обеспечивающих функционирование ПС) посредством размещения ОПКЦ внешней платежной системы в своем личном кабинете в соответствии с порядком, установленным Указанием Банка России от 13 декабря 2019 года N 5361-У "О порядке взаимодействия Банка России с кредитными организациями, некредитными финансовыми организациями и другими участниками информационного обмена при использовании ими информационных ресурсов Банка России, в том числе личного кабинета" (зарегистрировано в Минюсте России 4 марта 2020 года N 57659), в том числе следующей информации:

профиль рисков ОПКЦ внешней платежной системы, представленный по форме приложения 6 к настоящему Положению;

дополнительные КИР, предлагаемые риск-координатором СБП внешней платежной системы для мониторинга значимых рисков ОПКЦ внешней платежной системы, представленные по форме в соответствии с приложением 8 к настоящему Положению;

рассчитанные значения КИР 1 и 2 по форме в соответствии с приложением 9 к настоящему Положению не позднее следующего рабочего дня после дня расчета КИР 1 и КИР 2;

рассчитанные на ежемесячной основе значения КИР 3, 4 и 5, дополнительных КИР (при их наличии) при предоставлении СБП, представленные по форме в соответствии с приложением 9 к настоящему

Положению не позднее третьего рабочего дня после дня окончания календарного месяца, в котором возникли инциденты;

сведения об инциденте, в соответствии с требованиями пункта 4.3. настоящего Положения, в течение 30 минут после его выявления в ОПКЦ внешней платежной системы.

5.2.2. При осуществлении деятельности по управлению непрерывностью функционирования ПС, предусмотренной главой 4 настоящего Положения, взаимодействие Банка России и ОПКЦ внешней платежной системы должно осуществляться в соответствии с договором о взаимодействии платежных систем в части обмена информацией об инцидентах, связанных с работой информационных систем, обеспечивающих функционирование ПС.

Глава 6. Контроль за соблюдением ОПКЦ внешней платежной системы порядка обеспечения БФПС

6.1. Банк России должен контролировать соблюдение ОПКЦ внешней платежной системы порядка обеспечения БФПС посредством рассмотрения документов, определяющих деятельность ОПКЦ внешней платежной системы по обеспечению БФПС в части СБП (далее - документы по БФПС внешней платежной системы) на предмет их соответствия главе 2, 3 и 4 настоящего Положения.

6.2. Рассмотрение документов по БФПС внешней платежной системы должно осуществляться следующим образом.

6.2.1. Риск-координатор СБП внешней платежной системы для обеспечения соответствия разрабатываемых документов по БФПС внешней платежной системы главе 2, 3 и 4 настоящего Положения должен направлять их на рассмотрение в Банк России владельцу бизнес-процесса с приложением Заключения о соответствии, содержащего следующую информацию:

наименование документа по БФПС внешней платежной системы, для которого подготовлены изменения;

обоснование необходимости внесения изменений;

список изменений с указанием разделов и пунктов, содержащих изменения;

планируемый срок вступления в силу подготовленных изменений;

наименование структурного подразделения ОПКЦ внешней платежной системы, разработавшего изменения.

6.2.2. Владелец бизнес-процесса должен в течение 3 рабочих дней после получения документов направить их на рассмотрение риск-координаторам бизнес-процесса.

6.2.3. Риск-координаторы бизнес-процесса в течение 10 рабочих дней после получения документов, указанных в подпункте 6.2.1 настоящего пункта, должны рассмотреть и подтвердить их соответствие настоящему порядку обеспечения БФПС или сформировать перечень выявленных несоответствий, а также рекомендации по их устранению.

6.2.4. Риск-координаторы бизнес-процесса по итогам выполнения подпункта 6.2.3. настоящего пункта направляют результат рассмотрения владельцу бизнес-процесса на утверждение.

Владелец бизнес-процесса в течение 3 рабочих дней после получения, сформированного риск-координаторами бизнес-процесса результата рассмотрения, должен его утвердить или направить риск-координаторам бизнес-процесса замечания.

Риск-координаторы бизнес-процесса осуществляют пересмотр результата рассмотрения по полученным от владельца бизнес-процесса замечаниям в течение 2 рабочих дней и повторно направляют его владельцу бизнес-процесса, который осуществляет рассмотрение в сроки, указанные в абзаце 2 настоящего подпункта.

6.2.5. Риск-координаторы бизнес-процесса не позднее следующего за утверждением владельцем бизнес-процесса рабочим днем направляют результат рассмотрения риск-координатору СБП внешней платежной системы.

6.2.6. Риск-координатор СБП внешней платежной системы в случае выявления риск-координаторами бизнес-процесса несоответствий разработанных документов по БФПС внешней платежной системы главе 2, 3 и (или) 4 настоящего Положения должен внести соответствующие изменения в указанные документы и повторно направить их на рассмотрение в Банк России.

Глава 7. Заключительные положения

7.1. Настоящее Положение в соответствии с решением Совета директоров Банка России (протокол заседания Совета директоров Банка России от ___________ N ______) вступает в силу по истечении 10 дней после дня его официального опубликования, за исключением пунктов 3.3, 4.3, 4.4 и 4.5 настоящего Положения.

Пункты 3.3, 4.3, 4.4 и 4.5 настоящего Положения вступают в силу с 1 января 2023 года.

Председатель Центрального банка Российской Федерации

Приложения

Пояснительная записка
к проекту Положения Банка России "О порядке обеспечения бесперебойности функционирования платежной системы Банка России"

Банк России разработал проект положения "О порядке обеспечения бесперебойности функционирования платежной системы Банка России" (далее - проект Положения).

Проект Положения разработан в целях регламентации и обеспечения бесперебойности функционирования платежной системы Банка России (далее - ПС БР) в соответствии с требованиями пункта 14 части 1 статьи 20 Федерального закона от 27 июня 2011 года № 161-ФЗ "О национальной платежной системе", Положения Банка России от 3 октября 2017 года N 607-П "О требованиях к порядку обеспечения бесперебойности функционирования платежной системы, показателям бесперебойности функционирования платежной системы и методикам анализа рисков в платежной системе, включая профили рисков".

Проектом Положения определяется порядок обеспечения бесперебойности функционирования ПС БР (далее - БФПС), регламентирующий:

деятельность по организации системы управления рисками в ПС БР, оценке и управлению рисками в ПС БР;

деятельность по обеспечению непрерывности функционирования ПС БР, включающую выявление нарушений надлежащего оказания услуг платежной инфраструктуры (далее - УПИ) в ПС БР, обеспечение функционирования ПС БР в случае нарушения надлежащего оказания УПИ, восстановление надлежащего оказания УПИ и (или) восстановление оказания УПИ в случае приостановления их оказания;

деятельность по взаимодействию Банка России, АО "НСПК", выполняющего функции операционного и платежного клирингового центра сервиса быстрых платежей платежной системы Банка России (далее - АО "НСПК") и участников ПС БР по обеспечению БФПС.

Требования настоящего проекта Положения распространяются на Банк России и АО "НСПК.

Проект Положения разработан взамен Положения Банка России от 27.03.2019 N 680-П "О порядке обеспечения бесперебойности функционирования платежной системы Банка России в части сервиса срочного перевода денежных средств и сервиса несрочного перевода денежных средств при предоставлении распоряжений о переводе денежных средств в электронном виде по каналам связи", которое после вступления в силу проекта Положения признается утратившим силу.

Компетенция Банка России на издание проекта Положения определена пунктом 14 части 1 статьи 20 Федерального закона от 27 июня 2011 года N 161-ФЗ "О национальной платежной системе".

Срок вступления в силу проекта Положения предусмотрен по истечении 10 дней после опубликования, за исключением пунктов 3.3, 4.3, 4.4 и 4.5 проекта Положения.

Предложения и замечания к проекту Положения принимаются до 4 октября 2020 года. За разработку проекта Положения ответственным структурным подразделением Банка России является Департамент национальной платежной системы.