Настоящее Положение в соответствии с пунктом 7 статьи 15.7 Федерального закона от 22 апреля 1996 года № 39-ФЗ «О рынке ценных бумаг» (Собрание законодательства Российской Федерации, 1996, № 17, ст. 1918; 1998, № 48, ст. 5857; 2001, № 33, ст. 3424; 2002, № 52, ст. 5141; 2004, № 27, ст. 2711; № 31, ст. 3225; 2005, № 11, ст. 900; № 25, ст. 2426; 2006, № 1, ст. 5; № 2, ст. 172; № 17, ст. 1780; № 31, ст. 3437; 2007, № 1, ст. 45; № 18, ст. 2117; № 22, ст. 2563; № 41, ст. 4845; № 50, ст. 6247, 6249; 2008, № 44, ст. 4982; 2009, № 18, ст. 2154; № 48, ст. 5731; 2010, № 17, ст. 1988; № 31, ст. 4193; № 41, ст. 5193; 2011, № 7, ст. 905; № 23, ст. 3262; № 27, ст. 3873; № 29, ст. 4291; № 48, ст. 6728; № 49, ст. 7040; № 50, ст. 7357; 2012, № 25, ст. 3269; № 53, ст. 7607; 2013, № 26, ст. 3207; № 30, ст. 4084; № 51, ст. 6699; 2014, № 30, ст. 4219; 2015, № 1, ст. 13; № 27, ст. 4001; № 29, ст. 4349, 4357; № 1, ст. 50, ст. 81) устанавливает порядок разработки и утверждения репозитарием плана обеспечения непрерывности деятельности (далее - План ОНД) и плана обеспечения финансовой устойчивости (далее - План ОФУ).

Глава 1. Общие положения

1.1. План ОНД разрабатывается репозитарием в целях определения порядка и способов осуществления мероприятий по предотвращению и недопущению нарушения непрерывности оказания репозитарием услуг, приостановление или прекращение оказания которых по оценке репозитария может существенно повлиять на нормальное осуществление деятельности репозитария, его клиентов и (или) контрагентов (далее - значимые услуги), а также порядка, способов и сроков осуществления мероприятий по восстановлению способности репозитария оказывать значимые услуги в полном объеме в случае возникновения нестандартных и чрезвычайных ситуаций (далее - НЧС).

План ОФУ разрабатывается репозитарием в целях определения мер по обеспечению финансовой устойчивости в случае угрозы существенного ухудшения его финансового состояния в результате проблем с достаточностью финансовых ресурсов при развитии событий по нескольким неблагоприятным для него сценариям за счет возможностей, не связанных с привлечением средств бюджетов всех уровней бюджетной системы Российской Федерации, а также Банка России и (или) государственной корпорации «Агентство по страхованию вкладов».

1.2. План ОНД и План ОФУ утверждается советом директоров (наблюдательным советом) репозитария, а при его отсутствии - высшим органом управления репозитария.

1.3. Предусматриваемые Планом ОНД и Планом ОФУ мероприятия по обеспечению непрерывности оказания репозитарием значимых услуг и его финансовой устойчивости должны обеспечивать соблюдение требований законодательства Российской Федерации и нормативных актов Банка России, внутренних документов репозитария, а также быть практически реализуемыми, достаточными и возможными для достижения планируемых (ожидаемых) результатов от реализации мероприятий, предусмотренных в Плане ОНД и Плане ОФУ.

1.4. В целях разработки, актуализации и реализации Плана ОНД в репозитарии должно быть назначено должностное лицо, ответственное за обеспечение непрерывности деятельности репозитария (далее - Должностное лицо), которое подотчетно совету директоров (наблюдательному совету) репозитария, а при его отсутствии - высшему органу управления репозитария. Должностное лицо назначается при условии, что репозитарий (группа компаний, включающая репозитарий) является для него основным местом работы.

При выборе претендента на осуществление функций Должностного лица, включая временное осуществление этих функций, репозитарий должен учитывать наличие у него высшего образования, а также сертификата по международному стандарту ИСО в области осуществления непрерывности деятельности организации, полученного в системе добровольной сертификации, включенной в единый реестр Федерального агентства по техническому регулированию и метрологии, и (или) опыта работы по принятию (подготовке) решений по вопросам обеспечения непрерывности деятельности общей продолжительностью не менее двух лет в организациях, осуществляющих деятельность на финансовом рынке.

1.5. Репозитарий должен сформировать из сотрудников репозитария, включая руководителей подразделений, осуществляющих оказание значимых услуг, коллегиальный орган, уполномоченный определять приоритеты восстановления деятельности в условиях НЧС и осуществлять координацию действий подразделений и отдельных сотрудников репозитария в условиях НЧС (далее - Коллегиальный орган). Должностное лицо должно осуществлять координацию деятельности Коллегиального органа .

1.6. Должностное лицо должно не реже одного раза в квартал составлять отчет о непрерывности деятельности репозитария, в том числе включающий результаты расчета показателей оценки непрерывности деятельности репозитария в соответствии с Приложением 1 к настоящему Положению, и представлять его совету директоров (наблюдательному совету), а при его отсутствии - высшему органу управления репозитария, в целях его использования советом директоров (наблюдательным советом), а при его отсутствии - высшим органом управления репозитария при принятии управленческих решений, включая стратегическое развитие обеспечения непрерывности деятельности репозитария.

1.7. Репозитарий в течение одного часа с момента возникновения НЧС должен информировать клиентов, контрагентов и Банк России о возникновении НЧС.

1.8. Репозитарий должен назначить ответственных лиц за принятие решения о начале реализации Плана ОФУ, за его непосредственную реализацию, своевременное информирование Банка России в соответствии с пунктом 1.10 настоящего Положения, а также лицо, несущее общую ответственность за разработку и поддержание Плана ОФУ в актуальном состоянии.

1.9. Репозитарий должен обеспечивать поддержание Плана ОФУ в актуальном состоянии, не реже одного раза в год его пересматривать и при необходимости вносить в него изменения, а также в случае существенных институциональных или финансово-экономических изменений, в том числе в случае наступления событий в его деятельности, способных повлиять на возможность реализации Плана ОФУ.

1.10. Репозитарий должен информировать Банк России о возникновении оснований для начала реализации Плана ОФУ и принятии решения о начале его реализации не позднее рабочего дня, следующего за днем принятия решения о начале реализации Плана ОФУ.

Глава 2. Требования к содержанию Плана обеспечения непрерывности деятельности репозитария

2.1. Репозитарий, являющийся кредитной организацией, при разработке Плана ОНД руководствуется настоящим Положением и Положением Банка России от 16 декабря 2003 года № 242-П «Об организации внутреннего контроля в кредитных организациях и банковских группах», зарегистрированным Министерством юстиции Российской Федерации 27 января 2004 года № 5489, 22 декабря 2004 года № 6222, 20 марта 2009 года № 13547, 30 июня 2014 года № 32913 («Вестник Банка России» от 4 февраля 2004 года № 7, от 31 декабря 2004 года № 74, от 1 апреля 2009 года № 21, от 9 июля 2014 года № 63).

2.2. Репозитарий, являющийся биржей, при разработке Плана ОНД руководствуется настоящим Положением и Приказом ФСФР России от 25.06.2013 № 13-53/пз-н «Об утверждении требований к деятельности организатора торговли в части организации системы управления рисками и порядка осуществления внутреннего контроля, а также к отдельным внутренним документам организатора торговли», зарегистрированным Министерством юстиции Российской Федерации 22 августа 2013 года № 29760 («Вестник Банка России» от 14 мая 2015 года № 42).

2.3. План ОНД должен содержать:

сведения о репозитарии, включая его наименование, местонахождение (адрес) постоянно действующего исполнительного органа репозитария, описание организационной структуры и структуры органов управления;

цели и задачи обеспечения непрерывности деятельности;

перечень значимых услуг;

необходимые процедуры для восстановления оказания значимых услуг в течение двух часов, в том числе в режиме НЧС;

перечень возможных НЧС;

анализ системных последствий для финансового рынка Российской Федерации или его отдельных сегментов от возможного прекращения деятельности репозитария через определение роли предоставляемых им значимых услуг в деятельности его клиентов и (или) контрагентов;

перечень возможных сценариев, результатом реализации которых будет нарушение обеспечения непрерывности деятельности, включая количество ресурсов необходимых для восстановления значимых услуг;

адрес резервного комплекса программно-технических средств репозитария;

информацию о месте сбора сотрудников репозитария в случае возникновения НЧС;

порядок осуществления внутренних процессов, необходимых для оказания значимых услуг в условиях возникновения НЧС, включая очередность и сроки их выполнения;

порядок взаимодействия между органами управления, подразделениями и сотрудниками репозитария в условиях возникновения НЧС, в том числе с учетом взаимозаменяемости сотрудников репозитария;

порядок экстренного оповещения и способ связи между органами управления, подразделениями и сотрудниками репозитария;

информацию о контактах экстренных оперативных служб (телефонные номера) и внутренние контакты (телефонные номера, адреса электронной почты) лиц, привлеченных к выполнению мер по восстановлению нормальной деятельности по оказанию значимых услуг;

инструкции для подразделений и сотрудников репозитария, содержащие действия, необходимые для поддержания или своевременного восстановления нормальной деятельности по оказанию значимых услуг;

порядок завершения работы в режиме НЧС и возврата в режим нормальной деятельности.

2.4. Репозитарий должен определить перечень возможных НЧС исходя из оценки вероятности и времени возникновения нарушений обеспечения непрерывности деятельности.

Репозитарий должен выявлять факторы возникновения НЧС (далее - факторы НЧС), способные привести к нарушениям оказания значимых услуг, и проводить их анализ, в том числе посредством оценки вероятности наступления фактора НЧС и определения степени и характера влияния факторов НЧС на обеспечение непрерывности деятельности репозитария. Для определения перечня значимых услуг репозитарий должен включать в анализ факторов НЧС оценку возможного ущерба от реализации НЧС, включая косвенные (финансовые, операционные и репутационные) последствия, по возможным сценариям нарушения обеспечения непрерывности деятельности.

Репозитарий должен проводить анализ факторов НЧС не реже одного раза в год и в случае необходимости пересматривать (актуализировать) факторы НЧС. По итогам проведенного анализа Должностное лицо должно представлять совету директоров (наблюдательному совету) репозитария, а при его отсутствии - высшему органу управления репозитария отчет, содержащий результаты пересмотра (актуализации) факторов НЧС.

2.5. Репозитарий должен обеспечить обучение сотрудников по вопросам, связанным с обеспечением непрерывности оказания значимых услуг репозитария. Репозитарий должен иметь резервный комплекс программно-технических средств, который функционально дублирует работу основного комплекса программно-технических средств репозитария в части оказания значимых услуг и обеспечивать непрерывность деятельности путем оперативного переключения управления на него в случае невозможности оказания значимых услуг основным комплексом программно-технических средств. Репозитарий должен обеспечить соблюдение следующих условий функционирования основного и резервного комплексов программно-технических средств:расположить резервный комплекс программно-технических средств в достаточной территориальной отдаленности от основного комплекса программно-технических средств с учетом возможности сотрудников основного комплекса программно-технических средств продолжить работу в резервном комплексе программно-технических средств в сроки, определенные в Плане ОНД;обеспечить наличие независимых генераторов электричества в основном и резервном комплексах программно-технических средств;использовать не менее двух независимых поставщиков телекоммуникационных услуг для основного и резервного комплексов программно-технических средств;определить количество рабочих мест и техническое оснащение резервного офиса, достаточное для восстановления возможности осуществления нормальной деятельности по оказанию значимых услуг в сроки, определенные в Плане ОНД;обеспечить нахождение в резервном комплексе программно-технических средств сотрудников репозитария на постоянной основе для обеспечения начала функционирования резервного комплекса программно-технических средств после возникновения НЧС, в том числе возобновления в нем оказания значимых услуг, и подготовки резервного комплекса программно-технических средств к переезду сотрудников из основного комплекса программно-технических средств;поддерживать техническое состояние, технологическое и методологическое сопровождение резервного комплекса программно-технических средств на уровне, достаточном для обеспечения возможности оказания всех значимых услуг и процессов репозитария и обеспечения возможности поддержания оказания этих услуг и процессов в течение 15 календарных дней с момента возникновения НЧС. Репозитарий должен обеспечить защиту информационных систем и программно-технических средств, предназначенных для оказания им значимых услуг, с учетом следующих требований:обеспечить возможность незамедлительного начала работы по переносу бизнес-процессов, осуществляемых с использованием программно-технических средств репозитария из основного комплекса программно-технических средств в резервный комплекс программно-технических средств;обеспечить непрерывное резервное копирование информации с целью обеспечения возобновления оказания значимых услуг, в том числе из резервного комплекса программно-технических средств, в случае НЧС и выполнения положений Плана ОФУ;определить перечень используемых информационных систем, требующих защиты от противоправных действий;обеспечить безопасность сетей репозитария посредством проектирования, внедрения и использования внутренней сети и сети для взаимодействия с клиентами и (или) контрагентами;обеспечить внедрение, настройку и защиту информационных систем и программно-технических средств;разработать комплексные принципы защиты и на постоянной основе осуществлять информационную защиту программно-технических средств;регулярно, но не реже одного раза в год проводить идентификацию угроз, которые могут привести к неработоспособности программно-технических средств;проводить постоянный мониторинг текущего состояния программно-технических средств, контроль пользовательских прав и регламентов сотрудников репозитария с целью принятия своевременных мер по устранению выявленных недостатков; проводить мониторинг подозрительной внутрисетевой активности;обеспечивать наличие достаточной пропускной способности программно-технических средств и возможность ее наращивания для обработки возросших объемов оказываемых значимых услуг в периоды повышенной нагрузки, в том числе путем проведения нагрузочного тестирования;ежедневно осуществлять резервное копирование баз данных с обеспечением сохранности копий в случае утраты (повреждения) баз данных репозитария;обеспечить управление доступом к информационным системам и программно-техническим средствам на основе установленных правил разграничения доступа, а также контроль соблюдения указанных правил;обеспечить инструктаж работников репозитария в части типовых методов заражения вредоносными программами, в частности, с использованием электронных почтовых сообщений;обеспечить рабочие места сотрудников репозитария средствами двухфакторной аутентификации. Репозитарий должен проводить тестирование программно-технических средств основного и резервного комплексов программно-технических средств с учетом выявленных факторов НЧС не реже одного раза в год, по итогам которого Должностное лицо формирует соответствующий отчет для представления совету директоров (наблюдательному совету) репозитария, а при его отсутствии - высшему органу управления репозитария. К проведению указанного тестирования репозитарий вправе привлекать клиентов.

Глава 3. Требования к содержанию Плана обеспечения финансовой устойчивости репозитария

3.1. План ОФУ должен содержать:

сведения о репозитарии, включая его наименование, местонахождение (адрес) постоянно действующего исполнительного органа репозитария, описание организационной структуры и структуры органов управления;

перечень значимых услуг репозитария;

описание бизнес-модели и стратегических задач репозитария;

описание системы управления рисками репозитария;

анализ финансового состояния репозитария на ближайшую отчетную дату, предшествующую дате утверждения Плана ОФУ;

перечень структурных подразделений значимых для репозитария, с точки зрения обеспечения его финансовой устойчивости, осуществления ключевых направлений деятельности и поддержания внутренних операционных процессов;

описание существенных рисков и угроз при взаимодействии репозитария с участниками финансового рынка и иными организациями;

указание периода, на который разрабатывается План ОФУ;

актуальную контактную информацию о назначенных лицах, ответственных за начало и непосредственно реализацию Плана ОФУ, а также лице, несущем общую ответственность за разработку и поддержание Плана ОФУ в актуальном состоянии;

описание взаимодействия внутри репозитария при принятии решения о начале реализации Плана ОФУ и после принятия такого решения, включая распределение функций, полномочий и ответственности лиц, а также схема взаимодействия различных подразделений репозитария (систем), вовлеченных в процесс реализации Плана ОФУ;

порядок информирования Банка России о возникновении оснований для начала реализации Плана ОФУ и принятии решения о начале его реализации;

описание индикаторов, которые отражают возможную угрозу финансовой устойчивости репозитария с указанием уровня пороговых значений, при достижении которых начинается реализация мер по восстановлению финансовой устойчивости репозитария (примеры индикаторов реализации мер по восстановлению финансовой устойчивости репозитария представлены в Приложении 2);

определение и описание предположений и сценариев, отражающих потенциальные риски, с которыми может столкнуться репозитарий;

описание мер по восстановлению финансовой устойчивости, финансовых ресурсов репозитария, предназначенных для покрытия возможных потерь, включая привлечение дополнительных внешних и внутренних источников средств (например, финансовая помощь акционеров (учредителей репозитария) и (или) клиентов репозитария).

3.2. Репозитарий при разработке Плана ОФУ руководствуется настоящим Положением, нормативными и иными актами Банка России, касающимися восстановления финансовой устойчивости юридических лиц, имеющих право осуществлять репозитарную деятельность.

Глава 4. Заключительные положения

4.1. Настоящее Положение вступает в силу со дня его официального опубликования.

4.2. Репозитарии, осуществляющие свою деятельность на день вступления в силу настоящего Положения, должны привести свою деятельность в соответствие с настоящим Положением в срок до 1 января 2017 года.

Председатель Центрального банка Российской Федерации

Приложение 1
к Положению Банка России
от _________________ № __________
«О порядке разработки и утверждения плана обеспечения
непрерывности деятельности и плана обеспечения
финансовой устойчивости репозитария»

Показатели оценки непрерывности деятельности репозитария

1. Показатель Д0 определяет уровень устойчивости программно-технических средств к отказам в работе и рассчитывается как отношение фактической продолжительности рабочего времени программно-технических средств к суммарной продолжительности рабочего времени программно-технических средств:

,

где:

t - суммарная продолжительность рабочего времени программно-технических средств, предусмотренная в соответствии с временным регламентом его функционирования за последние четыре квартала, рассчитанная в часах;

e - суммарная продолжительность простоя при нарушениях в работе программно-технических средств за последние четыре квартала, рассчитанная в часах.

2. Показатель определяет максимальное время восстановления работоспособности программно-технических средств после нарушений в работе.

3. Показатель определяет среднее время восстановления работоспособности программно-технических средств после нарушений в работе и рассчитывается как среднее арифметическое времени восстановления при нарушениях работоспособности:

где:

- время восстановления при i-м нарушении работоспособности программно-технических средств, рассчитанное в часах;

N - количество фактов нарушений работоспособности программно-технических средств за отчетный квартал, рассчитанное в штуках.

Показатель рассчитывается для каждой значимой услуги.

Приложение 2
к Положению Банка России
от _________________ № __________
«О порядке разработки и утверждения плана обеспечения
непрерывности деятельности и плана обеспечения
финансовой устойчивости репозитария»

Примеры индикаторов реализации мер по восстановлению финансовой устойчивости репозитария

1. Индикаторы операционного риска репозитария:

1.1. Рост отношения величины понесенных потерь репозитария в результате реализации операционного риска к сумме собственных средств репозитария;

1.2. Недостатки операционной деятельности репозитария, выявленные в результате проведения внутреннего и (или) внешнего аудита его операционной деятельности, которые могут привести к снижению финансовой устойчивости и (или) невозможности оказания значимых услуг;

1.3. Увеличение количества нарушений работы репозитария, случаев нарушений сотрудниками репозитария правил и требований, регламентирующих осуществление значимых услуг и (или) суммы расходов (убытков) репозитария вследствие таких нарушений;

1.4. Увеличение количества нарушений бесперебойной работы программно-технических средств репозитария;

1.5. Рост количества операций, осуществление которых может потребовать максимальной или приближенной к максимальной нагрузке на программно-технические средства репозитария;

2. Индикаторы риска потери деловой репутации репозитария и иные индикаторы:

2.1. Снижение величины собственных средств (капитала) репозитария более, чем на 20% в результате нарушения требований законодательства Российской Федерации;

2.2. Снижение отношения размера прибыли от операционной деятельности репозитария к размеру затрат по операционной деятельности, понесенных им, не вызванное проводимой репозитарием политикой;

2.3. Рост количества случаев обращений (запросов) судебных органов, а также предписаний Банка России по операциям (сделкам) репозитария.

Пояснительная записка
к проекту Положения Банка России «О порядке разработки и утверждения плана обеспечения непрерывности деятельности и плана обеспечения финансовой устойчивости репозитария»

Банк России представляет проект положения Банка России «О порядке разработки и утверждения плана обеспечения непрерывности деятельности и плана обеспечения финансовой устойчивости репозитария» (далее - Проект).

Проект устанавливает порядок разработки и утверждения репозитарием плана обеспечения непрерывности деятельности и плана обеспечения финансовой устойчивости, предусмотренных пунктом 7 статьи 15.7 Федерального закона от 22.04.1996 № 39-ФЗ «О рынке ценных бумаг».

Проект вступает в силу со дня его официального опубликования. При этом, репозитарии должны привести свою деятельность в соответствие с Проектом в срок до 1 января 2017 года

Предложения и замечания по Проекту, направляемые в рамках публичного обсуждения, принимаются до 11 апреля 2016.

Проект подготовлен Департаментом финансовой стабильности Банка России.