Зарегистрировано в Минюсте России 22 декабря 2017 г. N 49386
ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ
3 октября 2017 г. N 607-П
ПОЛОЖЕНИЕ
О ТРЕБОВАНИЯХ К ПОРЯДКУ ОБЕСПЕЧЕНИЯ БЕСПЕРЕБОЙНОСТИ ФУНКЦИОНИРОВАНИЯ ПЛАТЕЖНОЙ СИСТЕМЫ, ПОКАЗАТЕЛЯМ БЕСПЕРЕБОЙНОСТИ ФУНКЦИОНИРОВАНИЯ ПЛАТЕЖНОЙ СИСТЕМЫ И МЕТОДИКАМ АНАЛИЗА РИСКОВ В ПЛАТЕЖНОЙ СИСТЕМЕ, ВКЛЮЧАЯ ПРОФИЛИ РИСКОВ
Настоящее Положение на основании пунктов 4 - 6 части 3 статьи 28 Федерального закона от 27 июня 2011 года N 161-ФЗ "О национальной платежной системе" (Собрание законодательства Российской Федерации, 2011, N 27, ст. 3872; 2012, N 53, ст. 7592; 2013, N 27, ст. 3477; N 30, ст. 4084; N 52, ст. 6968; 2014, N 19, ст. 2315, ст. 2317; N 43, ст. 5803; 2015, N 1, ст. 8, ст. 14; 2016, N 27, ст. 4221, ст. 4223; 2017, N 15, ст. 2134; N 18, ст. 2665; N 30, ст. 4456) (далее - Федеральный закон от 27 июня 2011 года N 161-ФЗ) устанавливает требования к порядку обеспечения бесперебойности функционирования платежной системы, показателям бесперебойности функционирования платежной системы и методикам анализа рисков в платежной системе, включая профили рисков.
Глава 1. Общие положения
1.1. Требования настоящего Положения применяются к оператору платежной системы при обеспечении бесперебойности функционирования платежной системы (далее - БФПС), которая достигается при условии оказания участникам платежной системы услуг платежной инфраструктуры (далее - УПИ) согласно требованиям Федерального закона от 27 июня 2011 года N 161-ФЗ и принятых в соответствии с ним нормативных актов Банка России, а также положениям правил платежной системы, договоров об оказании УПИ, документов оператора платежной системы и привлеченных им операторов УПИ (далее при совместном упоминании - требования к оказанию услуг) и (или) восстановления оказания УПИ, соответствующего требованиям к оказанию услуг, и восстановления оказания УПИ в случае приостановления их оказания в течение периодов времени, установленных оператором платежной системы в правилах платежной системы.
1.2. Оператор платежной системы должен обеспечивать БФПС путем осуществления скоординированной с операторами УПИ и участниками платежной системы деятельности:
по организации системы управления рисками в платежной системе, оценке и управлению рисками в платежной системе (далее при совместном упоминании - управление рисками в платежной системе);
по выявлению оказания УПИ, не соответствующего требованиям к оказанию услуг, обеспечению функционирования платежной системы в случае нарушения оказания УПИ, соответствующего требованиям к оказанию услуг, и восстановлению оказания УПИ, соответствующего требованиям к оказанию услуг, включая восстановление оказания УПИ в случае приостановления их оказания в течение периодов времени, установленных оператором платежной системы в правилах платежной системы (далее при совместном упоминании - управление непрерывностью функционирования платежной системы).
1.3. Порядок обеспечения БФПС должен определяться в правилах платежной системы, а также в разработанных в соответствии с ними документах оператора платежной системы и в документах привлеченных операторов УПИ, если такие документы предусмотрены правилами платежной системы.
1.4. Требования настоящего Положения не распространяются на Банк России при осуществлении им функций расчетного центра в платежных системах на основании заключенных договоров.
Глава 2. Требования к порядку обеспечения БФПС, показателям БФПС
2.1. Оператор платежной системы должен определять и соблюдать порядок обеспечения БФПС, который включает:
управление рисками в платежной системе;
управление непрерывностью функционирования платежной системы;
организацию взаимодействия оператора платежной системы, операторов УПИ и участников платежной системы (далее при совместном упоминании - субъекты платежной системы) по обеспечению БФПС;
контроль за соблюдением операторами УПИ и участниками платежной системы порядка обеспечения БФПС.
2.2. Оператор платежной системы должен управлять рисками в платежной системе с учетом следующих требований.
2.2.1. Оператор платежной системы должен организовать систему управления рисками в платежной системе с учетом организационной модели управления рисками в платежной системе, определенной в соответствии с требованиями части 2 статьи 28 Федерального закона от 27 июня 2011 года N 161-ФЗ. Система управления рисками в платежной системе может быть интегрирована в систему управления рисками деятельности оператора платежной системы, не связанной с функционированием платежной системы.
2.2.2. Оператор платежной системы должен проводить оценку рисков в платежной системе не реже одного раза в год с использованием методик анализа рисков в платежной системе, включая профили рисков, требования к которым определены в главе 3 настоящего Положения.
2.2.3. Оператор платежной системы должен определять способы управления рисками в платежной системе, исходя из способов управления рисками, предусмотренных частью 5 статьи 28 Федерального закона от 27 июня 2011 года N 161-ФЗ (далее - способы управления рисками в платежной системе).
2.2.4. Оператор платежной системы должен определять в соответствии с требованиями, предусмотренными в приложении 1 к настоящему Положению, следующие показатели БФПС:
показатель продолжительности восстановления оказания УПИ (далее - показатель П1), характеризующий период времени восстановления оказания услуг операторами УПИ в случае приостановления оказания УПИ, в том числе вследствие нарушения требований к обеспечению защиты информации при осуществлении переводов денежных средств, установленных Положением Банка России от 9 июля 2012 года N 382-П "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств", зарегистрированным Министерством юстиции Российской Федерации 14 июня 2012 года N 24575, 1 июля 2013 года N 28930, 10 сентября 2014 года N 34017;
показатель непрерывности оказания УПИ (далее - показатель П2), характеризующий период времени между двумя последовательно произошедшими в платежной системе событиями, которые привели к нарушению оказания УПИ, соответствующего требованиям к оказанию услуг, в том числе вследствие нарушений требований к обеспечению защиты информации при осуществлении переводов денежных средств (далее - инциденты), в результате которых приостанавливалось оказание УПИ. Приостановление (прекращение) участия в платежной системе в случаях, предусмотренных правилами платежной системы в соответствии с пунктом 4 части 1 статьи 20 Федерального закона от 27 июня 2011 года N 161-ФЗ, не рассматривается в целях настоящего Положения в качестве инцидентов;
показатель соблюдения регламента (далее - показатель П3), характеризующий соблюдение операторами УПИ времени начала, времени окончания, продолжительности и последовательности процедур, выполняемых операторами УПИ при оказании операционных услуг, услуг платежного клиринга и расчетных услуг, предусмотренных частями 3 и 4 статьи 17, частью 4 статьи 19 и частями 1 и 8 статьи 25 Федерального закона от 27 июня 2011 года N 161-ФЗ (далее - регламент выполнения процедур);
показатель доступности операционного центра платежной системы (далее - показатель П4), характеризующий оказание операционных услуг операционным центром платежной системы;
показатель изменения частоты инцидентов (далее - показатель П5), характеризующий темп прироста частоты инцидентов.
При определении иных показателей БФПС дополнительно к указанным данные показатели БФПС должны быть определены в правилах платежной системы, а также в разработанных в соответствии с ними документах оператора платежной системы и в документах привлеченных операторов УПИ, если такие документы предусмотрены правилами платежной системы.
2.2.5. Оператор платежной системы должен устанавливать и пересматривать с использованием результатов оценки рисков в платежной системе пороговые уровни показателей БФПС.
Оператор платежной системы должен устанавливать пороговые уровни показателей БФПС с учетом следующих ограничений:
пороговый уровень показателя П1 должен быть не более 2 часов для каждого из операторов УПИ системно и социально значимых платежных систем и не более 6 часов для каждого из операторов УПИ платежных систем, не являющихся системно или социально значимыми;
пороговый уровень показателя П2 должен быть не менее 24 часов для каждого из операторов УПИ системно значимой платежной системы и не менее 12 часов для каждого из операторов УПИ социально значимой платежной системы;
пороговый уровень показателя П3 должен быть не менее 98,0% для операционного и платежного клирингового центров платежной системы и не менее 99,0% для расчетного центра платежной системы. Для платежных систем, в которых расчетный центр платежной системы одновременно предоставляет услуги операционного и (или) платежного клирингового центра, пороговый уровень показателя П3 должен быть не менее 98,0%;
пороговый уровень показателя П4 должен быть не менее 99,0% для системно значимой платежной системы, не менее 98,0% для социально значимой платежной системы и не менее 96,0% для платежных систем, не являющихся системно или социально значимыми.
2.2.6. Оператор платежной системы должен рассчитывать и анализировать значения показателей БФПС, в том числе путем их сравнения с пороговыми уровнями показателей БФПС, и использовать результаты указанного анализа при оценке системы управления рисками в платежной системе и при оценке влияния инцидентов на БФПС.
2.2.7. Оператор платежной системы должен проводить оценку системы управления рисками в платежной системе, в том числе используемых методов оценки рисков в платежной системе, результатов применения способов управления рисками в платежной системе, не реже одного раза в два года и документально оформлять результаты указанной оценки. При наличии коллегиального органа по управлению рисками в платежной системе оценка системы управления рисками в платежной системе должна проводиться данным органом.
2.2.8. Оператор платежной системы должен вносить изменения в систему управления рисками в платежной системе в случае, если действующая система управления рисками в платежной системе не позволила предотвратить нарушение оказания УПИ, соответствующего требованиям к оказанию услуг, а также восстановить оказание УПИ, соответствующее требованиям к оказанию услуг, и (или) восстановить оказание УПИ в случае приостановления их оказания в течение периодов времени, установленных оператором платежной системы в правилах платежной системы.
2.3. Оператор платежной системы должен управлять непрерывностью функционирования платежной системы с учетом следующих требований.
2.3.1. Оператор платежной системы должен организовать деятельность по управлению непрерывностью функционирования платежной системы, в том числе путем установления прав и обязанностей субъектов платежной системы по управлению непрерывностью функционирования платежной системы в зависимости от организационной модели управления рисками в платежной системе, определенной в соответствии с требованиями части 2 статьи 28 Федерального закона от 27 июня 2011 года N 161-ФЗ.
2.3.2. Оператор платежной системы должен организовать сбор и обработку сведений, в том числе от привлеченных операторов УПИ, используемых для расчета показателей БФПС, указанных в подпункте 2.2.4 пункта 2.2 настоящего Положения (далее - сведения по платежной системе), а также следующих сведений об инцидентах:
время и дата возникновения инцидента (в случае невозможности установить время возникновения инцидента указывается время его выявления);
краткое описание инцидента (характеристика произошедшего события и его последствия);
наименование взаимосвязанных последовательных технологических процедур, выполняемых при оказании УПИ (далее - бизнес-процесс), в ходе которых произошел инцидент;
наименование бизнес-процесса, на который оказал влияние инцидент;
наличие (отсутствие) факта приостановления (прекращения) оказания УПИ в результате инцидента;
влияние инцидента на БФПС, определяемое с учетом требований, предусмотренных подпунктом 2.3.5 пункта 2.3 настоящего Положения;
степень влияния инцидента на функционирование платежной системы в зависимости от количества операторов УПИ, и (или) количества и значимости участников платежной системы, на которых оказал непосредственное влияние инцидент, и (или) количества и суммы неисполненных, и (или) несвоевременно исполненных, и (или) ошибочно исполненных распоряжений участников платежной системы, и иных факторов;
время и дата восстановления оказания УПИ в случае приостановления их оказания;
мероприятия по устранению инцидента и его неблагоприятных последствий с указанием планируемой и фактической продолжительности проведения данных мероприятий;
дата восстановления оказания УПИ, соответствующего требованиям к оказанию услуг;
неблагоприятные последствия инцидента по субъектам платежной системы, в том числе:
сумма денежных средств, уплаченных оператором платежной системы и (или) взысканных с оператора платежной системы,
сумма денежных средств, уплаченных оператором (операторами) УПИ и (или) взысканных с оператора (операторов) УПИ,
количество и сумма неисполненных, и (или) несвоевременно исполненных, и (или) ошибочно исполненных распоряжений участников платежной системы, на исполнение которых оказал влияние инцидент,
продолжительность приостановления оказания УПИ.
2.3.3. Оператор платежной системы должен обеспечить хранение сведений по платежной системе и сведений об инцидентах не менее трех лет с даты получения указанных сведений.
2.3.4. Оператор платежной системы должен организовать деятельность по разработке регламентов выполнения процедур и контролировать их соблюдение.
2.3.5. Оператор платежной системы должен проводить оценку влияния на БФПС каждого произошедшего в платежной системе инцидента в течение 24 часов с момента его возникновения (выявления), а также в течение 24 часов после устранения инцидента (восстановления оказания УПИ, соответствующего требованиям к оказанию услуг).
В случае если вследствие произошедшего в платежной системе инцидента нарушен регламент выполнения процедур, но при этом не нарушен пороговый уровень каждого из показателей П1, П2, данный инцидент признается непосредственно не влияющим на БФПС.
Произошедший в платежной системе инцидент признается влияющим на БФПС в случае, если вследствие данного инцидента реализовано хотя бы одно из следующих условий:
нарушен регламент выполнения процедур при одновременном нарушении порогового уровня показателя П2;
нарушен пороговый уровень показателя П1;
превышена продолжительность установленного оператором платежной системы времени, в течение которого должно быть восстановлено оказание УПИ, соответствующее требованиям к оказанию услуг.
В случае выявления дополнительных обстоятельств инцидента, оценка влияния которого на БФПС уже завершена, проводится повторная оценка произошедшего инцидента с учетом вновь выявленных обстоятельств.
2.3.6. Оператор платежной системы должен проводить оценку влияния на БФПС всех инцидентов, произошедших в платежной системе в течение календарного месяца. Оценка влияния на БФПС данных инцидентов должна проводиться в течение пяти рабочих дней после дня окончания календарного месяца, в котором возникли инциденты.
В случае если вследствие произошедших в платежной системе в течение календарного месяца инцидентов не нарушен пороговый уровень показателя П4, рассчитанного по данным инцидентам, и одновременно нарушен пороговый уровень показателя П3 и (или) показателя П5, рассчитанных по этим же инцидентам, данные инциденты признаются непосредственно не влияющими на БФПС.
В случае если вследствие произошедших в платежной системе в течение календарного месяца инцидентов одновременно нарушены пороговые уровни всех показателей П3, П4, П5, рассчитанных по данным инцидентам, данные инциденты признаются влияющими на БФПС.
В случае выявления инцидентов или дополнительных обстоятельств инцидентов, произошедших в платежной системе в течение календарного месяца, за который уже проведена оценка их влияния на БФПС, оператор платежной системы должен проводить повторную оценку влияния на БФПС этих инцидентов с учетом вновь выявленных обстоятельств в течение пяти рабочих дней после дня окончания календарного месяца, в котором выявлены инциденты или дополнительные обстоятельства.
2.3.7. Оператор платежной системы должен установить в правилах платежной системы период времени, в течение которого должно быть восстановлено оказание УПИ в случае приостановления их оказания, и период времени, в течение которого должно быть восстановлено оказание УПИ, соответствующее требованиям к оказанию услуг, в случае нарушения указанных требований.
2.3.8. Оператор платежной системы должен обеспечить оказание УПИ при возникновении инцидентов, а также организовать в течение установленных периодов времени восстановление оказания услуг операторами УПИ в случае приостановления их оказания и восстановление оказания УПИ, соответствующего требованиям к оказанию услуг, в случае нарушения указанных требований.
Оператор системно значимой платежной системы при возникновении инцидента должен обеспечить в день его возникновения осуществление расчета в платежной системе до конца дня по распоряжениям участников платежной системы об осуществлении перевода денежных средств (далее - распоряжение участника платежной системы), поступившим в расчетный центр платежной системы и подлежащим исполнению в этот день в соответствии с законодательством Российской Федерации, и (или) правилами платежной системы, и (или) договорами банковского счета, заключенными участниками платежной системы с расчетным центром платежной системы.
2.3.9. Оператор платежной системы должен установить уровни оказания УПИ, характеризующие качество функционирования операционных и технологических средств платежной инфраструктуры, которые должны быть обеспечены операторами УПИ.
2.3.10. Оператор платежной системы должен разрабатывать, проверять (тестировать) и пересматривать план действий, направленных на обеспечение непрерывности деятельности и (или) восстановление деятельности (далее - план ОНиВД) оператора платежной системы, с периодичностью не реже одного раза в два года.
2.3.11. Оператор платежной системы должен разрабатывать и включать в план ОНиВД мероприятия, направленные на управление непрерывностью функционирования платежной системы в случае возникновения инцидентов, связанных с приостановлением оказания УПИ или нарушением установленных уровней оказания УПИ, в том числе:
при наличии в платежной системе двух и более операционных, и (или) платежных клиринговых, и (или) расчетных центров - мероприятия по обеспечению взаимозаменяемости операторов УПИ;
при наличии в платежной системе одного операционного, и (или) платежного клирингового, и (или) расчетного центров - мероприятия по привлечению другого оператора УПИ и по переходу участников платежной системы на обслуживание к вновь привлеченному оператору УПИ в течение срока, установленного правилами платежной системы, в случаях:
превышения оператором УПИ времени восстановления оказания УПИ при приостановлении их оказания более двух раз в течение трех месяцев подряд,
нарушения правил платежной системы, выразившегося в отказе оператора УПИ в одностороннем порядке от оказания услуг участнику (участникам) платежной системы, не связанного с приостановлением (прекращением) участия в платежной системе в случаях, предусмотренных правилами платежной системы.
2.3.12. Оператор платежной системы должен обеспечить реализацию мероприятий, предусмотренных подпунктом 2.3.11 настоящего пункта.
2.3.13. Оператор платежной системы должен организовать разработку и контролировать наличие планов ОНиВД у операторов УПИ, проведение ими проверки (тестирования) и пересмотра планов ОНиВД с периодичностью не реже одного раза в два года.
2.3.14. В случае если оператор платежной системы и (или) оператор УПИ являются кредитными организациями, разработка, проверка (тестирование) и пересмотр плана ОНиВД должны осуществляться в порядке, предусмотренном Положением Банка России от 16 декабря 2003 года N 242-П "Об организации внутреннего контроля в кредитных организациях и банковских группах", зарегистрированным Министерством юстиции Российской Федерации 27 января 2004 года N 5489, 22 декабря 2004 года N 6222, 20 марта 2009 года N 13547, 30 июня 2014 года N 32913 (далее - Положение Банка России N 242-П), с учетом требований к плану ОНиВД, содержащихся в подпунктах 2.3.10 и 2.3.11 настоящего пункта.
2.3.15. Оператор платежной системы должен анализировать эффективность мероприятий по восстановлению оказания УПИ, соответствующего требованиям к оказанию услуг, и использовать полученные результаты при управлении рисками в платежной системе.
2.4. Оператор платежной системы должен передать часть функций или все функции по реализации мероприятий, предусмотренных пунктами 2.2 и 2.3 настоящего Положения, операторам УПИ и участникам платежной системы при использовании в платежной системе организационной модели управления рисками в платежной системе, предусмотренной пунктом 2 части 2 статьи 28 Федерального закона от 27 июня 2011 года N 161-ФЗ, или расчетному центру при использовании в платежной системе организационной модели управления рисками в платежной системе, предусмотренной пунктом 3 части 2 статьи 28 Федерального закона от 27 июня 2011 года N 161-ФЗ.
2.5. Оператор платежной системы должен организовать взаимодействие субъектов платежной системы по обеспечению БФПС с учетом следующих требований.
2.5.1. Оператор платежной системы должен определить в правилах платежной системы с учетом организационной модели управления рисками в платежной системе, определенной в соответствии с требованиями части 2 статьи 28 Федерального закона от 27 июня 2011 года N 161-ФЗ, порядок взаимодействия субъектов платежной системы при реализации мероприятий, предусмотренных пунктами 2.2 и 2.3 настоящего Положения.
2.5.2. Оператор платежной системы должен определить функции, выполняемые операторами УПИ по оперативному информированию оператора платежной системы о нарушении оказания УПИ, соответствующего требованиям к оказанию услуг, при котором превышено время восстановления оказания УПИ в случае их приостановления и (или) время восстановления оказания УПИ, соответствующего требованиям к оказанию услуг, а также по оперативному информированию расчетного центра платежной системы при использовании в платежной системе организационной модели управления рисками в платежной системе, предусмотренной пунктом 3 части 2 статьи 28 Федерального закона от 27 июня 2011 года N 161-ФЗ.
2.5.3. Оператор платежной системы должен информировать о случаях и причинах приостановления (прекращения) оказания УПИ:
Банк России и участников платежной системы в порядке, установленном Указанием Банка России от 11 июня 2014 года N 3280-У "О порядке информирования оператором платежной системы Банка России, участников платежной системы о случаях и причинах приостановления (прекращения) оказания услуг платежной инфраструктуры", зарегистрированным Министерством юстиции Российской Федерации 20 июня 2014 года N 32821, 27 ноября 2017 года N 49025 (далее - Указание Банка России N 3280-У);
операторов УПИ в порядке, аналогичном установленному Указанием Банка России N 3280-У для участников платежной системы.
2.6. Оператор платежной системы в рамках осуществления контроля за соблюдением правил платежной системы должен проверять соблюдение операторами УПИ и участниками платежной системы порядка обеспечения БФПС с учетом следующих требований.
2.6.1. Оператор платежной системы должен определить в правилах платежной системы порядок проведения контроля за соблюдением операторами УПИ и участниками платежной системы порядка обеспечения БФПС.
2.6.2. Оператор платежной системы должен контролировать соответствие документов операторов УПИ порядку обеспечения БФПС, если такие документы предусмотрены правилами платежной системы, и при выявлении несоответствия документов операторов УПИ порядку обеспечения БФПС должен направлять рекомендации операторам УПИ по устранению выявленных несоответствий.
2.6.3. Оператор платежной системы при выявлении нарушения порядка обеспечения БФПС операторами УПИ и участниками платежной системы должен:
информировать операторов УПИ и участников платежной системы о выявленных в их деятельности нарушениях и устанавливать сроки устранения нарушений;
осуществлять проверку результатов устранения нарушений и информировать операторов УПИ и участников платежной системы, в деятельности которых выявлены нарушения, о результатах проведенной проверки.
2.6.4. Оператор платежной системы должен определять ответственность операторов УПИ и участников платежной системы за неисполнение порядка обеспечения БФПС.
Глава 3. Требования к методикам анализа рисков в платежной системе, включая профили рисков
3.1. Оператор платежной системы в целях управления рисками в платежной системе должен разрабатывать методики анализа рисков в платежной системе, включая риск нарушения БФПС.
3.2. Методики анализа рисков в платежной системе должны обеспечивать:
выявление и анализ рисков в платежной системе, включая выявление событий, реализация которых может привести к возникновению инцидента (далее - риск-события), и определение для каждого из выявленных риск-событий величины риска, характеризуемого вероятностью наступления риск-событий и величиной возможных последствий их реализации (далее - уровень риска);
определение для каждого из выявленных рисков в платежной системе уровня риска, имеющегося до применения способов управления рисками в платежной системе (далее - уровень присущего риска), а также максимального уровня риска, при котором восстановление оказания УПИ, соответствующего требованиям к оказанию услуг, включая восстановление оказания УПИ в случае приостановления их оказания, осуществляется в течение периодов времени, установленных оператором платежной системы, и предполагаемый ущерб от которого оператор платежной системы готов принять без применения способов управления рисками в платежной системе (далее - уровень допустимого риска);
определение рисков в платежной системе, для которых уровень присущего риска выше уровня допустимого риска (далее - значимые для платежной системы риски);
определение уровня каждого из значимых для платежной системы рисков после применения способов управления рисками в платежной системе (далее - уровень остаточного риска).
3.3. Методики анализа рисков в платежной системе должны предусматривать выполнение следующих мероприятий:
формирование и поддержание в актуальном состоянии перечней бизнес-процессов;
разработку и поддержание в актуальном состоянии классификаторов (структурированных перечней) рисков в платежной системе, риск-событий, причин риск-событий;
проведение анализа бизнес-процессов в платежной системе, включая анализ и оценку технологического обеспечения операторов УПИ и других факторов, влияющих на БФПС;
формирование перечня возможных риск-событий для каждого бизнес-процесса с указанием причин риск-событий и их последствий;
определение уровня присущего риска для каждого из выявленных рисков в платежной системе и установление уровня допустимого риска;
сопоставление определенного уровня присущего риска и установленного уровня допустимого риска по каждому из выявленных рисков в платежной системе для выделения значимых для платежной системы рисков;
применение способов управления рисками в платежной системе для каждого из значимых для платежной системы рисков и последующее определение уровня остаточного риска для каждого из значимых для платежной системы рисков;
сопоставление уровней остаточного риска и допустимого риска для каждого из значимых для платежной системы рисков и принятие решения о необходимости применения других способов управления рисками в платежной системе в дополнение к ранее примененным способам;
мониторинг рисков в платежной системе, в том числе уровней остаточных рисков в платежной системе, их соответствия уровню допустимого риска;
составление и пересмотр (актуализацию) по результатам оценки рисков в платежной системе и анализа эффективности мероприятий по восстановлению оказания УПИ, соответствующего требованиям к оказанию услуг, профиля каждого из выявленных рисков в платежной системе, включая профиль риска нарушения БФПС (далее - профили рисков).
3.4. Оператор платежной системы должен составлять профили рисков в соответствии с требованиями, предусмотренными в приложении 2 к настоящему Положению, и пересматривать (актуализировать) их не реже одного раза в год.
В случае возникновения инцидента, приведшего к приостановлению оказания УПИ, который не отражен в профилях рисков как риск-событие, профили рисков должны пересматриваться (актуализироваться) в срок, не превышающий трех месяцев со дня возникновения данного инцидента.
3.5. Оператор платежной системы должен хранить сведения, содержащиеся в профилях рисков, не менее двух лет со дня составления и пересмотра (актуализации) профилей рисков.
Глава 4. Заключительные положения
4.1. Настоящее Положение подлежит официальному опубликованию <1> и в соответствии с решением Совета директоров Банка России (протокол заседания Совета директоров Банка России от 27 сентября 2017 года N 26) вступает в силу по истечении 12 месяцев после дня его официального опубликования.
<1> Официально опубликовано на сайте Банка России 29.12.2017.
4.2. Со дня вступления в силу настоящего Положения признать утратившими силу:
Положение Банка России от 31 мая 2012 года N 379-П "О бесперебойности функционирования платежных систем и анализе рисков в платежных системах", зарегистрированное Министерством юстиции Российской Федерации 13 июня 2012 года N 24544;
Указание Банка России от 10 июля 2014 года N 3317-У "О внесении изменений в Положение Банка России от 31 мая 2012 года N 379-П "О бесперебойности функционирования платежных систем и анализе рисков в платежных системах", зарегистрированное Министерством юстиции Российской Федерации 11 августа 2014 года N 33532.
Председатель Центрального банка
Российской Федерации
Э.С. НАБИУЛЛИНА
Приложение 1
к Положению Банка России
от 3 октября 2017 года N 607-П
"О требованиях к порядку
обеспечения бесперебойности
функционирования платежной системы,
показателям бесперебойности
функционирования платежной системы
и методикам анализа рисков
в платежной системе, включая
профили рисков"
ТРЕБОВАНИЯ К ОПРЕДЕЛЕНИЮ ПОКАЗАТЕЛЕЙ БФПС
1. Показатель П1 должен рассчитываться по каждому из операторов УПИ и по каждому из инцидентов, повлекших приостановление оказания УПИ, как период времени с момента приостановления оказания УПИ вследствие инцидента, произошедшего у оператора УПИ, и до момента восстановления оказания УПИ.
При возникновении инцидентов, повлекших приостановление оказания УПИ одновременно двумя и более операторами УПИ, показатель П1 должен рассчитываться как период времени с момента приостановления оказания УПИ в результате первого из возникших инцидентов и до момента восстановления оказания УПИ всеми операторами УПИ, у которых возникли инциденты.
Показатель П1 должен рассчитываться в часах/минутах/секундах.
2. Показатель П2 должен рассчитываться по каждому из операторов УПИ при возникновении каждого из инцидентов, повлекших приостановление оказания УПИ, как период времени между двумя последовательно произошедшими у оператора УПИ инцидентами, в результате которых приостанавливалось оказание УПИ, с момента устранения первого инцидента и до момента возникновения следующего.
В платежных системах, в которых оператор УПИ оказывает более одного вида УПИ одновременно, показатель П2 должен рассчитываться одновременно по всем видам УПИ, оказываемым данным оператором УПИ.
Показатель П2 должен рассчитываться в часах/минутах/секундах.
3. Показатель П3 должен рассчитываться по каждому оператору УПИ.
Для операционного центра показатель П3 должен рассчитываться как отношение количества распоряжений участников платежной системы (их клиентов), по которым в течение календарного месяца были оказаны операционные услуги без нарушения регламента выполнения процедур, к общему количеству распоряжений участников платежной системы (их клиентов), по которым были оказаны операционные услуги в течение календарного месяца, рассчитываемое по следующей формуле:
,
где:
- количество распоряжений участников платежной системы (их клиентов), по которым в течение календарного месяца были оказаны операционные услуги без нарушения регламента выполнения процедур,
- общее количество распоряжений участников платежной системы (их клиентов), по которым были оказаны операционные услуги в течение календарного месяца.
Для платежного клирингового центра показатель П3 должен рассчитываться как отношение количества распоряжений участников платежной системы (их клиентов), по которым в течение календарного месяца были оказаны услуги платежного клиринга без нарушения регламента выполнения процедур, к общему количеству распоряжений участников платежной системы (их клиентов), по которым были оказаны услуги платежного клиринга в течение календарного месяца, рассчитываемое по следующей формуле:
,
где:
- количество распоряжений участников платежной системы (их клиентов), по которым в течение календарного месяца были оказаны услуги платежного клиринга без нарушения регламента выполнения процедур,
- общее количество распоряжений участников платежной системы (их клиентов), по которым были оказаны услуги платежного клиринга в течение календарного месяца.
Для расчетного центра показатель П3 должен рассчитываться как отношение количества распоряжений участников платежной системы и (или) платежного клирингового центра, по которым в течение календарного месяца были оказаны расчетные услуги без нарушения регламента выполнения процедур, к общему количеству распоряжений участников платежной системы и (или) платежного клирингового центра, по которым были оказаны расчетные услуги в течение календарного месяца, рассчитываемое по следующей формуле:
,
где:
- количество распоряжений участников платежной системы и (или) платежного клирингового центра, по которым в течение календарного месяца были оказаны расчетные услуги без нарушения регламента выполнения процедур,
- общее количество распоряжений участников платежной системы и (или) платежного клирингового центра, по которым были оказаны расчетные услуги в течение календарного месяца.
Показатель П3 должен рассчитываться ежемесячно в процентах с точностью до двух знаков после запятой (с округлением по математическому методу).
Значение показателя П3 по платежной системе в целом принимается равным наименьшему из значений данного показателя, рассчитанных по всем операторам УПИ в отношении всех видов оказываемых ими услуг.
В платежных системах, в которых оператор УПИ оказывает более одного вида УПИ одновременно, показатель П3 должен рассчитываться по данному оператору УПИ в отношении всех видов оказываемых им услуг.
4. Показатель П4 должен рассчитываться как среднее значение коэффициента доступности операционного центра платежной системы за календарный месяц, рассчитываемое по следующей формуле:
,
где:
M - количество рабочих дней платежной системы в месяце,
- общая продолжительность всех приостановлений оказания операционных услуг операционным центром платежной системы за i-ый рабочий день месяца в минутах,
- общая продолжительность времени оказания операционных услуг в течение i-го рабочего дня в минутах, установленная в соответствии с временным регламентом функционирования платежной системы.
Показатель П4 должен рассчитываться ежемесячно в процентах с точностью до двух знаков после запятой (с округлением по математическому методу).
Для платежных систем с несколькими операционными центрами показатель П4 должен рассчитываться для каждого операционного центра платежной системы.
Значение показателя П4 по платежной системе в целом принимается равным наименьшему из значений данного показателя, рассчитанных по всем операционным центрам платежной системы.
5. Показатель П5 должен рассчитываться по платежной системе в целом и для каждого оператора УПИ в отдельности как темп прироста среднедневного количества инцидентов за оцениваемый календарный месяц по отношению к среднедневному количеству инцидентов за предыдущие 12 календарных месяцев, включая оцениваемый календарный месяц, рассчитываемый по следующей формуле:
- количество инцидентов в течение i-го рабочего дня платежной системы оцениваемого календарного месяца,
M - количество рабочих дней платежной системы в оцениваемом календарном месяце,
N - количество рабочих дней платежной системы за 12 предыдущих календарных месяцев, включая оцениваемый месяц.
Показатель П5 должен рассчитываться ежемесячно в процентах с точностью до одного знака после запятой (с округлением по математическому методу). В случае если за предыдущие 12 календарных месяцев, включая оцениваемый месяц, инцидентов не было, значение показателя признается равным нулю.
В платежных системах, в которых оператор УПИ оказывает более одного вида УПИ одновременно, показатель П5 должен рассчитываться по данному оператору УПИ в отношении всех видов оказываемых им услуг.
Приложение 2
к Положению Банка России
от 3 октября 2017 года N 607-П
"О требованиях к порядку
обеспечения бесперебойности
функционирования платежной системы,
показателям бесперебойности
функционирования платежной системы
и методикам анализа рисков
в платежной системе, включая
профили рисков"
ТРЕБОВАНИЯ К ПРОФИЛЯМ РИСКОВ
1. Профили рисков должны составляться по всем выявленным рискам в платежной системе, в том числе по следующим рискам:
по риску оказания УПИ, не соответствующего требованиям к оказанию услуг, вследствие несоблюдения субъектами платежной системы требований законодательства Российской Федерации, правил платежной системы, договоров, заключенных между субъектами платежной системы, документов оператора платежной системы и документов операторов УПИ либо вследствие наличия правовых коллизий и (или) правовой неопределенности в законодательстве Российской Федерации, нормативных актах Банка России, правилах платежной системы и договорах, заключенных между субъектами платежной системы, а также вследствие нахождения операторов УПИ и участников платежной системы под юрисдикцией различных государств (далее - правовой риск платежной системы);
по риску оказания УПИ, не соответствующего требованиям к оказанию услуг, вследствие возникновения у субъектов платежной системы сбоев, отказов и аварий в работе информационных и технологических систем, недостатков в организации и выполнении технологических и управленческих процессов, ошибок или противоправных действий персонала субъектов платежной системы либо вследствие воздействия событий, причины возникновения которых не связаны с деятельностью субъектов платежной системы, включая чрезвычайные ситуации, ошибочные или противоправные действия третьих лиц (операционный риск платежной системы);
по риску оказания УПИ, не соответствующего требованиям к оказанию услуг, центральным платежным клиринговым контрагентом или расчетным центром платежной системы вследствие невыполнения участниками платежной системы договорных обязательств перед указанными организациями в установленный срок или в будущем (далее - кредитный риск платежной системы);
по риску оказания УПИ, не соответствующего требованиям к оказанию услуг, вследствие отсутствия у центрального платежного клирингового контрагента и (или) у участников платежной системы денежных средств, достаточных для своевременного выполнения их обязательств перед другими субъектами платежной системы (далее - риск ликвидности платежной системы);
по риску оказания УПИ, не соответствующего требованиям к оказанию услуг, вследствие ухудшения финансового состояния оператора платежной системы и (или) операторов УПИ, не связанного с реализацией кредитного риска платежной системы и риска ликвидности платежной системы (общий коммерческий риск платежной системы).
Составление профиля правового риска платежной системы в части вопросов несоблюдения законодательства Российской Федерации, нормативных актов Банка России, правил платежной системы осуществляется службой внутреннего контроля (комплаенс-службой) оператора платежной системы в рамках управления регуляторным риском в соответствии с Положением Банка России N 242-П, если в соответствии с подпунктом 2.2.1 пункта 2.2 настоящего Положения система управления рисками в платежной системе интегрирована оператором платежной системы, являющимся кредитной организацией, в его системы управления рисками и капиталом, а также внутреннего контроля, организованные в соответствии с Указанием Банка России от 15 апреля 2015 года N 3624-У "О требованиях к системе управления рисками и капиталом кредитной организации и банковской группы", зарегистрированным Министерством юстиции Российской Федерации 26 мая 2015 года N 37388, 28 декабря 2015 года N 40325, и Положением Банка России N 242-П.
2. Профиль каждого из выявленных рисков в платежной системе должен содержать:
описание риск-событий, выявленных с применением не менее одного метода из числа предусмотренных национальным стандартом Российской Федерации ГОСТ Р ИСО/МЭК 31010-2011 "Менеджмент риска. Методы оценки риска", утвержденным приказом Федерального агентства по техническому регулированию и метрологии от 1 декабря 2011 года N 680-ст "Об утверждении национального стандарта" (М., ФГУП "Стандартиформ", 2012) (далее - Стандарт). Риск-события отражаются в профиле каждого из выявленных рисков в платежной системе;
описание причины возникновения каждого из риск-событий;
описание бизнес-процессов оператора платежной системы и операторов УПИ, в которых могут произойти риск-события;
вероятность наступления риск-событий. Определение вероятности наступления риск-событий осуществляется с применением не менее одного метода из числа предусмотренных Стандартом;
описание и оценку возможных неблагоприятных последствий каждого риск-события. Если риск-событие имеет несколько возможных неблагоприятных последствий, то указываются все неблагоприятные последствия данного риск-события. Определение неблагоприятных последствий риск-событий осуществляется с применением методов из числа предусмотренных Стандартом с учетом результатов анализа сведений об инцидентах;
описание бизнес-процессов и перечень субъектов платежной системы, на которые влияет риск-событие;
уровень присущего риска;
уровень допустимого риска;
уровень остаточного риска;
перечень способов управления рисками в платежной системе, позволяющих снизить уровень присущего или остаточного риска.
3. Профиль риска нарушения БФПС должен составляться в отношении значимых для платежной системы рисков.