Проект Положения Банка России “О требованиях к системе внутреннего контроля и системе управления рисками бюро кредитных историй, о требованиях к содержанию, порядке и сроках представления в Банк России плана обеспечения непрерывности деятельности бюро кредитных историй, изменений, вносимых в него, о порядке оценки плана обеспечения непрерывности деятельности бюро кредитных историй, о порядке информирования Банка России о наступлении в деятельности бюро кредитных историй событий, предусмотренных указанным планом, и принятии решения о его реализации, а также о требованиях к виду и характеру событий, о наступлении которых бюро кредитных историй обязано информировать Банк России” (по состоянию на 14.05.2021)

Настоящее Положение на основании частей 2.2 и 2.3 статьи 10 Федерального закона от 30 декабря 2004 года N 218-ФЗ "О кредитных историях" (Собрание законодательства Российской Федерации, 2005, N 1, ст. 44; 2020, N 31, ст. 5061) устанавливает:

требования к системе внутреннего контроля и системе управления рисками бюро кредитных историй;

требования к содержанию плана обеспечения непрерывности деятельности бюро кредитных историй и вносимых в него изменений;

порядок оценки плана обеспечения непрерывности деятельности бюро кредитных историй Банком России;

порядок информирования бюро кредитных историй Банка России о наступлении в деятельности бюро кредитных историй событий, предусмотренных планом обеспечения непрерывности деятельности бюро кредитных историй, и принятии решения о начале реализации указанного плана;

требования к виду и характеру событий, предусмотренных планом обеспечения непрерывности деятельности, о наступлении которых бюро кредитных историй информирует Банк России.

Глава 1. Требования к системе внутреннего контроля бюро кредитных историй

1.1. Бюро кредитных историй (далее - бюро) организует систему внутреннего контроля, направленную на достижение следующих целей:

соблюдение требований законодательства Российской Федерации, нормативных актов Банка России, учредительных и внутренних документов бюро;

обеспечение достоверности, полноты, объективности и своевременности составления и представления бюро бухгалтерской (финансовой), статистической и иной отчетности (для внешних и внутренних пользователей);

обеспечение информационной безопасности бюро, включая предотвращение несанкционированного (бесконтрольного) распространения информации ограниченного доступа - утечек информации;

обеспечение эффективности финансово-хозяйственной деятельности;

исключение вовлечения бюро и его работников в осуществление противоправной и недобросовестной деятельности;

предотвращение неправомерного использования информации ограниченного доступа;

исключение конфликта интересов, в том числе выявление и контроль конфликта интересов, а также предотвращение его последствий.

По решению бюро система внутреннего контроля бюро может быть направлена также на достижение дополнительных целей.

1.2. Система внутреннего контроля бюро должна обеспечивать распределение должностных обязанностей сотрудников таким образом, чтобы исключать конфликт интересов (противоречие между имущественными и иными интересами бюро и (или) его сотрудников и (или) клиентов, которое может повлечь за собой неблагоприятные последствия для бюро и (или) его клиентов), а также иметь процедуры предотвращения конфликта интересов при оказании аффилированными лицами бюро ненадлежащего влияния на решения о приобретении бюро товаров и услуг или заключении договоров информационного обслуживания с клиентами, проведении крупных сделок и сделок с заинтересованностью, проведении выкупа акций (долей) бюро.

1.3. Система внутреннего контроля бюро должна обеспечивать:

исключение риска возникновения расходов (убытков) бюро и (или) иных неблагоприятных последствий для бюро в результате несоблюдения законодательства и применения к нему, его акционерам (участникам) и лицам, осуществляющим контроль в отношении акционеров (участников) бюро, мер воздействия со стороны Банка России и иных государственных органов (далее - регуляторный риск бюро);

разработку мероприятий, направленных на предупреждение и предотвращение последствий реализации регуляторного риска бюро, реализация и (или) контроль выполнения указанных мероприятий;

контроль исполнения предписаний (требований) Банка России.

1.4. Система внутреннего контроля бюро должна функционировать на постоянной основе.

1.5. В рамках организации системы внутреннего контроля бюро вправе назначить контролера или сформировать отдельное структурное подразделение (службу внутреннего контроля). Квалифицированное бюро обязано организовать внутренний контроль путем назначения контролера или формирования отдельного структурного подразделения (службы внутреннего контроля). Контролер (руководитель службы внутреннего контроля) подотчетен единоличному исполнительному органу бюро.

1.6. Порядок осуществления внутреннего контроля и внутреннего аудита устанавливается внутренними документами бюро.

1.7. Для независимой оценки эффективного функционирования системы внутреннего контроля бюро организовывает проведение внутреннего аудита.

Организация внутреннего аудита бюро может осуществляться путем назначения внутреннего аудитора, либо создания отдельного структурного подразделения (службы внутреннего аудита), либо привлечения независимой внешней организации (далее при совместном упоминании - Внутренний аудитор).

Внутренний аудитор (руководитель службы внутреннего аудита) назначается на должность и освобождается от должности решением совета директоров (наблюдательного совета), а в случае его отсутствия - общим собранием акционеров (участников). Совет директоров (наблюдательный совет), а в случае его отсутствия - общее собрание акционеров (участников) бюро для проведения внутреннего аудита вправе принять решение о привлечении независимой внешней аудиторской организации на основании договора.

Внутренний аудитор подотчетен совету директоров (наблюдательному совету), а в случае его отсутствия - общему собранию акционеров (участников).

1.8. Внутренний аудитор выполняет следующие функции:

1) осуществляет проверки по всем направлениям деятельности бюро, включая любое подразделение, работников, а также бизнес-процессы и операции, выполняемые бюро;

2) выявляет конфликты интересов в случаях, указанных в пункте 1.2 настоящего Положения, анализирует соблюдение требований законодательства к структуре собственности бюро и подготавливает предложения совету директоров (наблюдательному совету) бюро или общему собранию акционеров (участников) бюро по устранению выявленных нарушений и недостатков по этим вопросам;

3) осуществляет оценку качества и эффективности функционирования системы внутреннего контроля и системы управления рисками;

4) осуществляет проверку и тестирование достоверности, полноты и своевременности бухгалтерского учета и отчетности, предусмотренной законодательством Российской Федерации и нормативными актами Банка России, а также надежности (включая достоверность, полноту и своевременность) сбора информации и представления отчетности;

5) осуществляет оценку экономической целесообразности и эффективности новых сервисов и функций в рамках осуществляемой бюро деятельности по итогам их внедрения.

1.9. Для выполнения функций, установленных пунктом 1.8 настоящего Положения, Внутренний аудитор:

составляет план проведения проверок (внутреннего аудита) с учетом оценки рисков, изменений в структуре внутреннего контроля, системе управления рисками и получения бюро нового статуса (квалифицированное бюро), а также с учетом периодичности проведения проверок направлений деятельности и (или) бизнес-процессов и (или) структурных подразделений бюро. План проведения проверок (внутреннего аудита) бюро должен содержать в том числе перечень объектов внутреннего аудита, подлежащих проверке, предмет проверки (если планом предполагается определить отдельные направления оценки объекта внутреннего аудита), календарный график проведения проверок;

составляет акты о результатах проведенных проверок, в которых должны быть отражены основания проведения проверки, сроки ее проведения, выводы и рекомендации Внутреннего аудитора (в том числе в части сроков реализации рекомендаций и ответственных за реализацию таких рекомендаций лиц);

направляет не реже одного раза в год отчеты о проведенных проверках бюро и ходе выполнения органами управления бюро рекомендаций по совершенствованию деятельности бюро (при наличии таких рекомендаций), а также о случаях, препятствующих осуществлению Внутренним аудитором своих функций (при наличии таких случаев) членам совета директоров (наблюдательного совета) бюро, а при отсутствии совета директоров (наблюдательного совета) - общему собранию акционеров (участников) бюро.

1.10. Бюро обеспечивает выполнение Внутренним аудитором своих функций и решение поставленных задач без вмешательства со стороны иных структурных подразделений и работников бюро, а также обеспечивает Внутреннего аудитора:

ресурсами (материальными, техническими, кадровыми), необходимыми и достаточными для достижения поставленных перед ним задач;

доступом к информации, необходимой для осуществления соответствующих функций.

1.11. Бюро обеспечивает исполнение его структурными подразделениями и должностными лицами требований Внутреннего аудитора, связанных с выполнением им своих функций.

1.12. Документы (планы, акты, отчеты и т.п.), предусмотренные пунктом 1.9 настоящего Положения, подлежат хранению в течение не менее пяти лет с даты их составления (утверждения).

1.13. Внутренний аудитор не должен принимать участие в проверке деятельности и функций, которые осуществлялись им в течение проверяемого периода и в течение двенадцати месяцев после завершения такой деятельности и осуществления функций.

1.14. Контролер (руководитель службы внутреннего контроля) не должен одновременно являться Внутренним аудитором бюро, а также не должен являться контролером (работником службы внутреннего контроля) и (или) аудитором (работником службы внутреннего аудита) в иной некредитной финансовой организации и (или) кредитной организации.

1.15. В целях обеспечения проведения Внутренним аудитором проверок система внутреннего контроля должна предусматривать ведение электронных журналов (протоколов), обеспечивающих учет каждого действия бюро, связанного с осуществлением деятельности бюро:

даты и времени (до секунд) выполнения каждого действия бюро;

идентификаторов источника формирования кредитных историй, пользователя кредитных историй, бюро, субъекта кредитных историй и лиц, указанных в пунктах 3-7 части 1 статьи 6 Федерального закона от 30 декабря 2004 года N 218-ФЗ "О кредитных историях" (далее - Федеральный закон "О кредитных историях"), определяемых в соответствии с внутренними документами бюро;

исходящих и входящих идентификаторов запроса и ответа, содержащих дату и время (до секунд) отправления (поступления) и номер запроса и ответа.

1.16. Бюро должно обеспечить непрерывность деятельности и (или) восстановление деятельности в случае возникновения нестандартных и чрезвычайных ситуаций (далее - НЧС). В указанных целях бюро должно иметь план действий, направленных на обеспечение непрерывности деятельности и (или) восстановление деятельности.

Требования к содержанию указанного плана содержатся в главе 3 настоящего Положения.

Глава 2. Требования к системе управления рисками бюро кредитных историй

2.1. Бюро обязано организовать систему управления рисками, связанными с осуществляемой им деятельностью по формированию, обработке и хранению кредитных историй, а также по предоставлению кредитных отчетов и сопутствующих услуг, в соответствии с требованиями Федерального закона "О кредитных историях", предусматривающую совокупность действий органов управления бюро и сотрудников бюро по разработке и реализации стратегии управления рисками, включая принятие организационно-технических мер по идентификации рисков, присущих деятельности бюро, их анализа и оценки, определения приемлемого сочетания и уровня принимаемых рисков, а также мер по поддержанию рисков на приемлемом уровне, мониторингу и контролю процессов управления рисками.

2.2. В рамках разработки и реализации стратегии управления рисками органы управления бюро должны обеспечивать соответствие стратегии развития деятельности бюро (действия, которые бюро планирует осуществить для достижения поставленных целей), финансовых (бюджетных) планов или бизнес-планов бюро, организационной структуры, штатной численности и размера собственных средств (в отношении квалифицированных бюро), методика определения которых установлена Банком России на основании пункта 2 части 1 статьи 15.1 Федерального закона "О кредитных историях", характеру и масштабу его деятельности, уровню и сочетанию присущих его деятельности рисков.

2.3. Совет директоров (наблюдательный совет), а при его отсутствии - общее собрание акционеров (участников) бюро принимает участие в утверждении и осуществляет контроль за реализацией мероприятий в рамках организации системы управления рисками, в том числе утверждает политику управления рисками, содержащую основные принципы (подходы) выявления рисков, организации процесса управления рисками, измерения и оценки рисков, а также внутренние документы в отношении системы управления рисками бюро.

2.4. Ответственным за организацию системы управления рисками и за соответствие деятельности бюро внутренним документам бюро, разработанным в рамках системы управления рисками, является лицо, осуществляющее функции единоличного исполнительного органа бюро.

2.5. Система управления рисками бюро должна позволять бюро идентифицировать все риски, присущие его деятельности, включая, но не ограничиваясь следующими видами рисков:

риск возникновения расходов (убытков) бюро вследствие неисполнения, несвоевременного либо неполного исполнения контрагентом финансовых обязательств перед бюро в соответствии с условиями заключаемого бюро договора об оказании информационных услуг, или договора о размещении временно свободных средств бюро (кредитный риск);

риск возникновения расходов (убытков) вследствие несовершенства или ошибочных внутренних процессов бюро, некомпетентности, непреднамеренных либо умышленных действий или бездействия работников бюро, несоразмерности (недостаточности) функциональных возможностей применяемых бюро информационных, технологических и других систем и (или) их отказов (нарушений функционирования), а также в результате воздействия внешних событий или неправомерных действий третьих лиц (операционный риск);

риск возникновения расходов (убытков) бюро в результате ухудшения способности бюро поддерживать существующие и устанавливать новые деловые отношения и поддерживать на постоянной основе доступ к финансовым ресурсам вследствие формирования негативного представления о бюро со стороны клиентов, контрагентов, акционеров (участников), инвесторов, надзорных органов (риск потери деловой репутации);

регуляторный риск бюро.

Система управления рисками бюро должна позволять бюро в составе операционного риска идентифицировать риск информационной безопасности, связанный с несанкционированным (бесконтрольным) распространением информации ограниченного доступа - утечками информации.

2.6. Процесс идентификации риска должен позволять составлять перечень и описание элементов риска (определение риск-факторов, риск-событий, их последствий, возможности наступления таких последствий, а также отнесение риска к определенному виду), которым может быть подвержено бюро.

2.7. Процесс анализа рисков включает в себя процесс изучения природы и характера риска и определения уровня риска.

2.8. Процесс оценки риска должен позволять определить приемлемость риска, выявленного в ходе процесса анализа риска в соответствии с пунктом 2.7 настоящего Положения. Бюро утверждает методы оценки риска во внутренних документах.

По результатам оценки риска бюро определяет необходимость или отсутствие необходимости воздействия на риск.

2.9. Процесс воздействия на риск должен включать:

определение и оценку мер воздействия на риск;

определение, является ли уровень остаточного (после воздействия на риск) риска приемлемым;

определение и оценку новых мер воздействия на риск, если уровень остаточного риска неприемлем.

2.10. Организация системы управления рисками бюро должна предусматривать порядок обмена информацией между работниками и органами управления бюро, обеспечивающий распределение ответственности и полномочий по управлению рисками, в том числе в случае возникновения непредвиденных обстоятельств, а также порядок обмена бюро информацией, необходимой для управления рисками, со своими контрагентами и регулирующими органами.

2.11. Бюро обеспечивает документальное фиксирование фактов возникновения рисков, риск-событий и фактов воздействия на них, а также хранение информации об этом в течение не менее пяти лет.

2.12. Мониторинг рисков включает в себя процесс наблюдения за рисками бюро, в том числе за их уровнем, их соответствием допустимому (приемлемому) уровню, внедрением мер реагирования на риски и контрольных процедур, эффективностью данных мер и процедур, а также анализа внешней среды.

2.13. Мониторинг и контроль должны распространяться на все процессы управления рисками и обеспечивать проверку:

предположений, на которых основана оценка риска;

соответствия результатов оценки риска фактической информации о риске;

соответствия применения методов оценки риска внутренним процедурам;

эффективности процесса воздействия на риск.

2.14. В рамках системы управления рисками бюро должно осуществлять мероприятия по восстановлению непрерывности деятельности в объемах и сроки, предусмотренные планом обеспечения непрерывности деятельности, утвержденным в соответствии с главой 3 настоящего Положения.

2.15. В рамках организации системы управления рисками бюро должно быть предусмотрено хранение в течение 3 лет:

форм подтверждения пользователями кредитной истории наличия согласия субъекта кредитной истории;

кредитных отчетов, формируемых по запросу пользователей кредитной истории (включая передаваемые сведения о среднемесячных платежах, индивидуальные рейтинги и скоринги субъектов кредитных историй);

электронных журналов (протоколов), ведущихся согласно пункту 1.15 настоящего Положения, в электронном виде и в формате, определенном бюро в своих внутренних документах, со дня формирования электронного журнала (протокола) по каждому действию.

Глава 3. Требования к содержанию плана обеспечения непрерывности деятельности бюро кредитных историй, а также к виду и характеру событий, предусмотренных указанным планом, о наступлении которых бюро кредитных историй обязано информировать Банк России

3.1. Разработанный бюро план обеспечения непрерывности деятельности (далее - План ОНД) должен содержать эффективные и результативные меры, направленные на обеспечение способности осуществлять оказание услуг, предоставляемых бюро, и обеспечение функционирования внутренних критически важных процессов бюро (процессы бюро, приостановление которых влечет нарушение нормального осуществления деятельности бюро, его контрагентов или клиентов, в том числе создает угрозу нарушения прав или неисполнения обязанностей со стороны источников формирования, пользователей, субъектов кредитных историй и иных бюро) на приемлемом, заранее заданном бюро уровне в том числе в условиях возникновения НЧС, а также обеспечение восстановления деятельности в результате возникновения НЧС.

3.2. План ОНД должен быть утвержден советом директоров (наблюдательным советом) бюро, а при отсутствии совета директоров (наблюдательного совета) - общим собранием акционеров (участников) бюро.

При изменении Плана ОНД соответствующим органом бюро утверждается новая редакция Плана ОНД.

3.3. План ОНД должен содержать:

задачи, порядок, способы, требуемые ресурсы и сроки осуществления мероприятий по предотвращению, снижению влияния и ликвидации последствий возможного нарушения режима повседневного функционирования бюро, вызванного НЧС;

перечень событий, влекущих применение мероприятий по восстановлению деятельности бюро и принятие решения о начале реализации Плана ОНД (далее - события). К таким событиям относятся события (ситуации), способные привести к приостановлению критически важных процессов, оцениваемые исходя из возможного ущерба и негативных последствий для бюро, его контрагентов и клиентов вследствие нарушения непрерывности деятельности с учетом вероятности и времени возникновения таких нарушений, а также специфики и масштаба деятельности бюро;

процедуры, выполнение которых в режиме повседневного функционирования бюро необходимы для успешной реализации Плана ОНД (в том числе процедуры, направленные на обеспечение непрерывности функционирования ПТС);

перечень критически важных процессов и ресурсов бюро (персонал, помещения, программно-технические средства и сетевые коммуникации (далее - ПТС), данные, внешние поставщики и т.п.), обеспечивающих непрерывность предоставления сервисов и оказания услуг, а также приоритеты их восстановления;

характеристики показателей надежности ПТС, в том числе:

максимальное значение среднего времени до восстановления ПТС, обеспечивающих выполнение критически важных процессов в условиях НЧС, определяемого в соответствии с пунктом 3.6.3.3. Межгосударственного стандарта ГОСТ 27.002-2015 "Надежность в технике. Термины и определения", введенного в действие приказом Федерального агентства по техническому регулированию и метрологии от 21 июня 2016 года N 654-ст "О введении в действие Межгосударственного стандарта" (М., ФГУП "Стандартинформ", 2016);

целевое значение коэффициента технического использования ПТС, обеспечивающих выполнение критически важных процессов, определяемого в соответствии с пунктом 3.6.6.4. Межгосударственного стандарта ГОСТ 27.002-2015 "Надежность в технике. Термины и определения";

сценарии нарушения непрерывности деятельности, а также восстановления деятельности для каждого из критически важных процессов;

плановую (целевую) точку восстановления каждого из критически важных процессов в условиях НЧС (которая не может быть определена реже, чем один раз в сутки);

порядок осуществления критически важных процессов в условиях НЧС, если они подвергаются изменению под воздействием НЧС;

программу (программы) тестирования Плана ОНД с учетом перечня возможных НЧС и перечня возможных сценариев, предусматривающую (предусматривающие) в том числе инструкции для структурных подразделений и работников бюро с описанием действий, необходимых для проведения тестирования Плана ОНД;

порядок тестирования Плана ОНД не реже 1 раза в год по программе (программам) тестирования Плана ОНД;

порядок принятия решений советом директоров (наблюдательным советом) бюро, а при отсутствии совета директоров (наблюдательного совета) - общим собранием акционеров (участников) бюро о внесении изменений в План ОНД, в том числе по результатам рассмотрения отчетов о результатах тестирования Плана ОНД;

порядок взаимодействия между органами управления и сотрудниками бюро в условиях НЧС, в том числе с учетом взаимозаменяемости сотрудников бюро;

порядок экстренного оповещения и способ связи между органами управления, подразделениями и сотрудниками бюро;

информацию о контактах экстренных оперативных служб (телефонные номера) и внутренние контакты (телефонные номера, адреса электронной почты) лиц, ответственных за выполнение мер по восстановлению функционирования критически важных процессов;

полномочия органов управления, подразделений и сотрудников бюро по реализации мероприятий в рамках Плана ОНД;

максимально допустимый период для возобновления критически важных процессов в случае возникновения НЧС, по истечении которого существует угроза окончательного прекращения деятельности бюро;

минимальный уровень оказания услуг, предоставляемых бюро, а также функционирования внутренних критически важных процессов бюро;

порядок информирования клиентов, контрагентов бюро и Банка России о возникновении и возможных последствиях НЧС.

При утверждении Плана ОНД (новой редакции Плана ОНД) составляется аналитическая записка, которая является неотъемлемой частью Плана ОНД, и содержит:

информацию о последнем проведенном бюро на момент утверждения Плана ОНД (новой редакции Плана ОНД) тестировании предусмотренных им мероприятий;

прогнозную оценку вероятных существенных изменений в деятельности бюро в период действия Плана ОНД, способных повлиять на возможность его реализации.

3.4. Планом ОНД определяется перечень возможных чрезвычайных ситуаций с учетом норм Федерального закона от 21 декабря 1994 года N 68-ФЗ "О защите населения и территорий от чрезвычайных ситуаций природного и техногенного характера" (Собрание законодательства Российской Федерации, 1994, 2016, N 26, ст. 3887), а также в соответствии с классификацией, установленной Постановлением Правительства Российской Федерации от 21 мая 2007 года N 304 "О классификации чрезвычайных ситуаций природного и техногенного характера" (Собрание законодательства Российской Федерации, 2007, N 22, ст. 2640).

3.5. План ОНД должен быть разработан применительно к крупномасштабным НЧС, сопоставимым по длительности и силе воздействия, размерам возможных материальных потерь и негативным последствиям нематериального характера с чрезвычайной ситуацией муниципального характера, или, в зависимости от характера, масштабов и условий деятельности бюро, - межмуниципального, регионального или межрегионального характера в соответствии с классификацией, установленной Постановлением Правительства Российской Федерации от 21 мая 2007 года N 304 "О классификации чрезвычайных ситуаций природного и техногенного характера".

План ОНД должен предусматривать возможность реализации отдельных его автономных частей в случае НЧС меньшего масштаба, связанных с проявлением (по отдельности или в сочетаниях) таких факторов, как выход из строя технических средств, сбои и отказы в работе ПТС, нарушение коммунальной инфраструктуры, перебои в электроснабжении, отказ организаций-контрагентов (в том числе поставщиков услуг (провайдеров) бюро) от исполнения своих обязательств.

3.6. План ОНД должен предусматривать мероприятия по осуществлению контроля и поддержанию непрерывности функционирования критически важных процессов, в том числе:

ознакомление с утвержденным (актуализированным) Планом ОНД сотрудников, ответственных за его исполнение;

включение в должностные инструкции сотрудников бюро, участвующих в процессе обеспечения непрерывности деятельности бюро, необходимых положений, отражающих их роли и обязанности в рамках исполнения Плана ОНД;

обеспечение регулярного обучения сотрудников бюро, ответственных за обслуживание критически важных процессов, по вопросам обеспечения непрерывности функционирования указанных процессов.

3.7. План ОНД должен предусматривать, что при привлечении к осуществлению критически важных процессов сторонних организаций бюро должно убедиться, что указанные организации принимают меры для обеспечения непрерывности собственной деятельности и (или) что предоставление такими сторонними организациями сервисов и услуг в случае сбоев и (или) нарушений в их предоставлении, может быть восстановлено или произведена замена сторонней организации при обеспечении соблюдения требований настоящего Положения.

3.8. В целях обеспечения непрерывности функционирования ПТС Планом ОНД должно быть предусмотрено следующее:

перечень ПТС и обрабатываемой информации, используемых для обслуживания критически важных процессов;

необходимость внедрения и настройки ПТС с целью их бесперебойного функционирования;

необходимость проведения постоянного мониторинга текущего состояния ПТС и применения своевременных мер по устранению выявленных недостатков;

осуществление ежедневного резервного копирования информации и баз данных, обслуживающих критически важные процессы, с периодом, обеспечивающим определенную для них точку восстановления, на резервные машинные носители информации для возобновления указанных процессов в случае утраты или повреждения информации или баз данных вследствие возникновения НЧС;

возможность поддержки непрерывной работы ПТС и синхронизации информационной базы данных между резервными компонентами, а также автоматической синхронизации времени во всех компонентах ПТС;

оценка пропускной способности линий связи и коммуникационного оборудования, а также быстродействия ПТС, в том числе путем проведения нагрузочного тестирования;

необходимость наличия достаточной пропускной способности линий связи и коммуникационного оборудования, а также достаточного быстродействия ПТС, и возможности их наращивания для обработки возросших объемов операций в периоды повышенной нагрузки.

3.9. В плане ОНД должна быть отражена обязанность бюро организовать непрерывное и бесперебойное функционирование своих ПТС, обеспечивающих выполнение критически важных процессов, с возможностью отключения ПТС на время простоя. Квалифицированные бюро при определении времени простоя должны соблюдать требования, установленные Банком России на основании части 1 статьи 15.1 Федерального закона "О кредитных историях".

3.10. Планом ОНД должна быть предусмотрена необходимость логирования (протоколирования) всех критически важных процессов бюро в ходе его операционной деятельности, выполняемого в соответствии с пунктом 1.15 настоящего Положения.

3.11. План ОНД должен предусматривать обязанность бюро по обеспечению регулярного контроля и информирования уполномоченного органа управления (совета директоров (наблюдательного совета) или собрания акционеров (участников) общества) бюро и иных заинтересованных сторон о выполнении мероприятий по ОНД в соответствии с внутренними документами бюро, в том числе:

проведение анализа факторов, вызвавших НЧС, и их изменений не реже одного раза в год и в случае необходимости пересмотр (актуализация) их состава;

проведение оценки вероятности возникновения НЧС и определение характера и степени влияния НЧС на непрерывность деятельности бюро;

проведение тестирования Плана ОНД не реже одного раза в год с моделированием потенциальных НЧС и привлечением сотрудников бюро;

проведение тестирования ПТС с учетом выявленных факторов не реже одного раза в год на предмет соответствия требованиям настоящей главы;

подготовка и представление уполномоченному органу управления бюро и заинтересованным сторонам не реже одного раза в год отчета, содержащего результаты тестирования ПТС;

составление и представление уполномоченному органу управления и заинтересованным сторонам не реже одного раза в год отчета о непрерывности деятельности бюро (далее - отчет об ОНД);

включение в отчет об ОНД результатов расчетов фактических значений показателей коэффициента технического использования и среднего времени до восстановления ПТС, обеспечивающих выполнение критически важных процессов.

Глава 4. Порядок и сроки представления в Банк России плана обеспечения непрерывности деятельности бюро кредитных историй и вносимых в него изменений

4.1. План ОНД представляется бюро в Банк России (структурное подразделение Банка России, к полномочиям которого относится осуществление регулирования и контроля деятельности бюро) (далее - уполномоченное структурное подразделение), в течение 3 месяцев с даты включения бюро в государственный реестр бюро кредитных историй и ежегодно не позднее 1 апреля.

Изменения в План ОНД представляются бюро в уполномоченное структурное подразделение в течение 5 рабочих дней с даты утверждения указанных изменений уполномоченным органом бюро.

В случае представления Плана ОНД, содержащего изменения, к Плану ОНД прилагается также полный перечень таких изменений в План ОНД, представленный в табличном виде, с указанием номера структурной единицы (например, главы, статьи, раздела, пункта, подпункта) Плана ОНД, в который вносятся изменения (номера добавленной структурной единицы - в случае дополнения Плана ОНД новой структурной единицей), ее действующей редакции, новой редакции соответствующей структурной единицы (редакции новой структурной единицы - в случае дополнения Плана ОНД новой структурной единицей) и причин внесения изменений.

4.2. При наличии в Плане ОНД ссылок на иные внутренние документы бюро к Плану ОНД прилагаются копии таких документов, утвержденные уполномоченным органом бюро.

4.3. План ОНД, прилагаемые к нему документы (предусмотренные в пунктах 4.1, 4.2 Положения), направляемые бюро, представляются в форме электронных документов в порядке определенном на основании статьи 76.9 Федерального закона от 10.07.2002 N 86-ФЗ "О Центральном банке Российской Федерации (Банке России)" (Собрание законодательства Российской Федерации, 2002, 28, ст. 2790; 2020, N 31, ст. 5018) (далее - личный кабинет).

4.4. План ОНД с приложениями представляется в виде файла в формате, обеспечивающем возможность его сохранения на технических средствах и допускающем после сохранения возможность поиска и копирования произвольного фрагмента текста средствами для просмотра (файл с расширением "doc", "docx", "rtf").

4.5. В случае выявления нарушения бюро требований к оформлению и (или) комплектности документов, установленных пунктами 4.1 - 4.4 настоящего Положения, уполномоченное структурное подразделение не позднее 5 рабочих дней со дня представления Плана ОНД в Банк России направляет бюро уведомление с указанием выявленных нарушений требований к оформлению и (или) комплектности документов, а также перечня недостающих документов (далее - уведомление о представлении документов).

В случае направления бюро уведомления о представлении документов срок, предусмотренный пунктом 5.1 настоящего Положения для проведения Банком России оценки Плана ОНД, исчисляется со дня представления бюро в Банк России документов в соответствии с уведомлением о представлении документов.

4.6. В случае если в течение 5 рабочих дней со дня получения уведомления о представлении документов бюро не представило в Банк России соответствующие документы, уполномоченное структурное подразделение направляет бюро предписание об устранении нарушения порядка представления Плана ОНД, содержащее основания его направления и срок для его исполнения.

В случае ненадлежащего исполнения бюро указанного предписания (а именно - нарушения срока его исполнения и (или) повторного нарушения требований к оформлению и (или) комплектности документов) Банк России в срок, предусмотренный пунктом 5.1 настоящего Положения для проведения оценки Плана ОНД, принимает решение о несоответствии Плана ОНД требованиям настоящего Положения.

4.7. Уведомления и предписания Банка России представляются бюро в форме электронных документов посредством личного кабинета.

Глава 5. Порядок оценки Банком России плана обеспечения непрерывности деятельности бюро кредитных историй

5.1. Уполномоченное структурное подразделение в срок, не превышающий 20 рабочих дней со дня поступления в Банк России Плана ОНД, соответствующего требованиям к порядку предоставления и оформлению, установленным главой 4 настоящего Положения, осуществляет оценку Плана ОНД.

5.2. Оценка Банком России Плана ОНД осуществляется на основании:

анализа соответствия Плана ОНД требованиям настоящего Положения;

анализа достаточности и реализуемости мероприятий, предусмотренных Планом ОНД и проводимых бюро;

результатов тестирования и иной существенной информации, содержащейся в аналитической записке к Плану ОНД в соответствии с пунктом 3.3 настоящего Положения.

Результаты оценки оформляются решением о соответствии или несоответствии Плана ОНД требованиям настоящего Положения, а также о достаточности и реализуемости мероприятий, предусмотренных Планом ОНД и доводятся до сведения бюро через личный кабинет.

5.3. При наличии замечаний по составу, и (или) содержанию Плана ОНД, и (или) документов и информации бюро, предусмотренных пунктом 4.1-4.2 настоящего Положения, Банк России должен направить бюро запрос о представлении доработанных и (или) недостающих документов и информации бюро.

5.4. В случае если по результатам оценки Плана ОНД выявлены несоответствия Плана ОНД требованиям настоящего Положения и (или) недостаточность и нереализуемость мероприятий Плана ОНД, уполномоченное структурное подразделение направляет бюро предписание об устранении выявленных в Плане ОНД нарушений, содержащее перечень выявленных несоответствий и (или) недостатков и сроки для их устранения/доработки Плана ОНД.

После устранения выявленных в Плане ОНД нарушений и (или) недостатков в соответствии с указанным предписанием бюро представляет в Банк России доработанный План ОНД с соблюдением требований к оформлению и комплектности, предусмотренных главой 4 настоящего Положения.

Глава 6. Порядок информирования Банка России о наступлении в деятельности бюро кредитных историй событий, предусмотренных планом обеспечения непрерывности его деятельности, а также о принятии бюро кредитных историй решения о начале реализации им указанного плана

6.1. Бюро направляет в Банк России (уполномоченное структурное подразделение) информационные сообщения о наступлении в деятельности бюро событий, предусмотренных пунктом 3.3 настоящего Положения (далее - сообщения), а также о начале реализации плана ОНД в течение одного рабочего дня, следующего за днем наступления указанных событий (принятия решения о начале реализации Плана ОНД).

Сообщения направляются бюро в уполномоченное структурное подразделение через личный кабинет.

6.2. В сообщениях указываются событие (его вид и характер) и время его наступления, перечень мероприятий по восстановлению непрерывности деятельности бюро и сроки их реализации.

Глава 7. Заключительные положения

7.1. Настоящее Положение подлежит официальному опубликованию и в соответствии с решением Совета директоров Банка России (протокол заседания Совета директоров Банка России от __ _______ 20___ года N __) вступает в силу с 1 января 2022 года.

7.2. Бюро разрабатывает и представляет План ОНД в соответствии с требованиями настоящего Положения в течение 3 месяцев со дня вступления его в силу.

Председатель Центрального банка Российской Федерации

Пояснительная записка
к проекту Положения Банка России "О требованиях к системе внутреннего контроля и системе управления рисками бюро кредитных историй, о требованиях к содержанию, порядке и сроках представления в Банк России плана обеспечения непрерывности деятельности бюро кредитных историй, изменений, вносимых в него, о порядке оценки плана обеспечения непрерывности деятельности бюро кредитных историй, о порядке информирования Банка России о наступлении в деятельности бюро кредитных историй событий, предусмотренных указанным планом, и принятии решения о его реализации, а также о требованиях к виду и характеру событий, о наступлении которых бюро кредитных историй обязано информировать Банк России"
(далее - Проект)

Банк России разработал Проект в целях повышения эффективности организации системы внутреннего контроля и системы управления рисками бюро кредитных историй (далее - бюро), а также в целях повышения эффективности взаимодействия бюро и Банка России по вопросу обеспечения непрерывности деятельности бюро. Для достижения указанной цели проектом определены процессуальный порядок такого взаимодействия и наиболее важные требования к указанным системам. Их закрепление в нормативном акте повысит стандарты, применяемые к эффективности и надежности для бюро, и обеспечит более точное применение правил всеми участниками взаимодействия.

Действие Проекта распространяется на Банк России и бюро.

Проект устанавливает:

1) требования к системе внутреннего контроля и системе управления рисками бюро кредитных историй;

2) требования к содержанию плана обеспечения непрерывности деятельности бюро кредитных историй и вносимых в него изменений;

3) порядок оценки плана обеспечения непрерывности деятельности бюро кредитных историй Банком России;

4) порядок информирования бюро кредитных историй Банка России о наступлении в деятельности бюро кредитных историй событий, предусмотренных планом обеспечения непрерывности деятельности бюро кредитных историй, и принятии решения о начале реализации указанного плана;

5) требования к виду и характеру событий, предусмотренных планом обеспечения непрерывности деятельности, о наступлении которых бюро кредитных историй информирует Банк России.

Планируемый срок вступления в силу - с 1 января 2022 года. Предложения и замечания по Проекту, направляемые в рамках публичного обсуждения для оценки регулирующего воздействия, принимаются по адресу электронной почты zrnichm@mail.cbr.ru в период с 14 мая по 28 мая 2021 года. Ответственное за подготовку Проекта структурное подразделение Банка России - Департамент управления данными.