Зарегистрировано в Минюсте России 22 декабря 2017 г. N 49386
ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ
3 октября 2017 г. N 607-П
ПОЛОЖЕНИЕ
О ТРЕБОВАНИЯХ К ПОРЯДКУ ОБЕСПЕЧЕНИЯ БЕСПЕРЕБОЙНОСТИ ФУНКЦИОНИРОВАНИЯ ПЛАТЕЖНОЙ СИСТЕМЫ, ПОКАЗАТЕЛЯМ БЕСПЕРЕБОЙНОСТИ ФУНКЦИОНИРОВАНИЯ ПЛАТЕЖНОЙ СИСТЕМЫ И МЕТОДИКАМ АНАЛИЗА РИСКОВ В ПЛАТЕЖНОЙ СИСТЕМЕ, ВКЛЮЧАЯ ПРОФИЛИ РИСКОВ
(в ред. Указания ЦБ РФ от 09.01.2023 N 6352-У)
Настоящее Положение на основании пунктов 4 - 6 части 3 статьи 28 Федерального закона от 27 июня 2011 года N 161-ФЗ "О национальной платежной системе" (Собрание законодательства Российской Федерации, 2011, N 27, ст. 3872; 2012, N 53, ст. 7592; 2013, N 27, ст. 3477; N 30, ст. 4084; N 52, ст. 6968; 2014, N 19, ст. 2315, ст. 2317; N 43, ст. 5803; 2015, N 1, ст. 8, ст. 14; 2016, N 27, ст. 4221, ст. 4223; 2017, N 15, ст. 2134; N 18, ст. 2665; N 30, ст. 4456) (далее - Федеральный закон от 27 июня 2011 года N 161-ФЗ) устанавливает требования к порядку обеспечения бесперебойности функционирования платежной системы, показателям бесперебойности функционирования платежной системы и методикам анализа рисков в платежной системе, включая профили рисков.
Глава 1. Общие положения
1.1. Требования настоящего Положения применяются к оператору платежной системы при обеспечении бесперебойности функционирования платежной системы (далее - БФПС), которая достигается при условии оказания участникам платежной системы услуг платежной инфраструктуры (далее - УПИ) согласно требованиям Федерального закона от 27 июня 2011 года N 161-ФЗ и принятых в соответствии с ним нормативных актов Банка России, а также положениям правил платежной системы, договоров об оказании УПИ, документов оператора платежной системы и привлеченных им операторов УПИ (далее при совместном упоминании - требования к оказанию услуг) и (или) восстановления оказания УПИ, соответствующего требованиям к оказанию услуг, и восстановления оказания УПИ в случае приостановления их оказания в течение периодов времени, установленных оператором платежной системы в правилах платежной системы.
1.2. Оператор платежной системы должен обеспечивать БФПС путем осуществления скоординированной с операторами УПИ и участниками платежной системы деятельности:
по организации системы управления рисками в платежной системе, оценке и управлению рисками в платежной системе (далее при совместном упоминании - управление рисками в платежной системе);
по выявлению оказания УПИ, не соответствующего требованиям к оказанию услуг, обеспечению функционирования платежной системы в случае нарушения оказания УПИ, соответствующего требованиям к оказанию услуг, и восстановлению оказания УПИ, соответствующего требованиям к оказанию услуг, включая восстановление оказания УПИ в случае приостановления их оказания в течение периодов времени, установленных оператором платежной системы в правилах платежной системы (далее при совместном упоминании - управление непрерывностью функционирования платежной системы).
1.3. Порядок обеспечения БФПС должен определяться в правилах платежной системы, а также в разработанных в соответствии с ними документах оператора платежной системы и в документах привлеченных операторов УПИ, если такие документы предусмотрены правилами платежной системы.
1.4. Требования настоящего Положения не распространяются на Банк России при осуществлении им функций расчетного центра в платежных системах на основании заключенных договоров.
Глава 2. Требования к порядку обеспечения БФПС, показателям БФПС
2.1. Оператор платежной системы должен определять и соблюдать порядок обеспечения БФПС, который включает:
управление рисками в платежной системе;
управление непрерывностью функционирования платежной системы;
организацию взаимодействия оператора платежной системы, операторов УПИ и участников платежной системы (далее при совместном упоминании - субъекты платежной системы) по обеспечению БФПС;
контроль за соблюдением операторами УПИ и участниками платежной системы порядка обеспечения БФПС.
2.2. Оператор платежной системы должен управлять рисками в платежной системе с учетом следующих требований.
2.2.1. Оператор платежной системы должен организовать систему управления рисками в платежной системе с учетом организационной модели управления рисками в платежной системе, определенной в соответствии с требованиями части 2 статьи 28 Федерального закона от 27 июня 2011 года N 161-ФЗ. Система управления рисками в платежной системе может быть интегрирована в систему управления рисками деятельности оператора платежной системы, не связанной с функционированием платежной системы.
2.2.2. Пункт утратил силу. (в ред. Указания ЦБ РФ от 09.01.2023 N 6352-У)
2.2.3. Оператор платежной системы должен определять способы управления рисками в платежной системе, исходя из способов управления рисками, предусмотренных частью 5 статьи 28 Федерального закона от 27 июня 2011 года N 161-ФЗ (далее - способы управления рисками в платежной системе).
2.2.4. Оператор платежной системы должен определять в соответствии с требованиями, предусмотренными в приложении 1 к настоящему Положению, следующие показатели БФПС:
показатель продолжительности восстановления оказания УПИ (далее - показатель П1), характеризующий период времени восстановления оказания услуг операторами УПИ в случае приостановления оказания УПИ, в том числе вследствие нарушения требований к обеспечению защиты информации при осуществлении переводов денежных средств, установленных Банком России на основании части 3 статьи 27 Федерального закона от 27 июня 2011 года N 161-ФЗ (Собрание законодательства Российской Федерации, 2011, N 27, ст. 3872; 2022, N 29, ст. 5298); (в ред. Указания ЦБ РФ от 09.01.2023 N 6352-У)
показатель непрерывности оказания УПИ (далее - показатель П2), характеризующий период времени между двумя последовательно произошедшими в платежной системе событиями, которые привели к нарушению оказания УПИ, соответствующего требованиям к оказанию услуг, в том числе вследствие нарушений требований к обеспечению защиты информации при осуществлении переводов денежных средств (далее - инциденты), в результате которых приостанавливалось оказание УПИ. Приостановление (прекращение) участия в платежной системе в случаях, предусмотренных правилами платежной системы в соответствии с пунктом 4 части 1 статьи 20 Федерального закона от 27 июня 2011 года N 161-ФЗ, не рассматривается в целях настоящего Положения в качестве инцидентов;
показатель соблюдения регламента (далее - показатель П3), характеризующий соблюдение операторами УПИ времени начала, времени окончания, продолжительности и последовательности процедур, выполняемых операторами УПИ при оказании операционных услуг, услуг платежного клиринга и расчетных услуг, предусмотренных частями 3 и 4 статьи 17, частью 4 статьи 19 и частями 1 и 8 статьи 25 Федерального закона от 27 июня 2011 года N 161-ФЗ (далее - регламент выполнения процедур);
показатель доступности операционного центра платежной системы (далее - показатель П4), характеризующий оказание операционных услуг операционным центром платежной системы;
показатель изменения частоты инцидентов (далее - показатель П5), характеризующий темп прироста частоты инцидентов.
При определении иных показателей БФПС дополнительно к указанным данные показатели БФПС должны быть определены в правилах платежной системы, а также в разработанных в соответствии с ними документах оператора платежной системы и в документах привлеченных операторов УПИ, если такие документы предусмотрены правилами платежной системы.
2.2.4(1). Оператор платежной системы должен проводить плановую оценку рисков в платежной системе, а также внеплановые оценки рисков в платежной системе с использованием методик анализа рисков в платежной системе и составлением профилей рисков. (в ред. Указания ЦБ РФ от 09.01.2023 N 6352-У)
2.2.4(2). Оператор платежной системы должен проводить внеплановую оценку всех рисков в платежной системе при внесении изменений в один или несколько процессов, в рамках которых обеспечивается оказание УПИ (далее - бизнес-процесс), или в несколько бизнес-процессов. Проведение внеплановой оценки всех рисков в платежной системе должно быть завершено не позднее истечения шести месяцев со дня внесения указанных изменений. (в ред. Указания ЦБ РФ от 09.01.2023 N 6352-У)
2.2.4(3). Оператор платежной системы должен проводить внеплановую оценку отдельных рисков (отдельного риска) в платежной системе: (в ред. Указания ЦБ РФ от 09.01.2023 N 6352-У)
при возникновении события, реализация которого привела к приостановлению (прекращению) оказания УПИ и описание которого в профиле риска не предусмотрено, либо негативные последствия от его реализации превышают негативные последствия, предусмотренные для этого события в профиле риска; (в ред. Указания ЦБ РФ от 09.01.2023 N 6352-У)
при установлении по результатам проводимого оператором платежной системы мониторинга рисков факта приближения фактического уровня риска к уровню допустимого риска, при котором восстановление оказания УПИ, соответствующих требованиям к оказанию услуг, включая восстановление оказания УПИ в случае приостановления их оказания, осуществляется в течение периодов времени, установленных оператором платежной системы, и предполагаемый ущерб от которого оператор платежной системы готов принять без применения способов управления рисками в платежной системе; (в ред. Указания ЦБ РФ от 09.01.2023 N 6352-У)
при выявлении значимого риска в платежной системе, для которого уровень присущего риска до применения способов управления рисками в платежной системе может превысить или превысил уровень допустимого риска. (в ред. Указания ЦБ РФ от 09.01.2023 N 6352-У)
Проведение внеплановой оценки отдельных рисков (отдельного риска) в платежной системе должно быть завершено не позднее истечения четырех месяцев со дня возникновения событий, предусмотренных абзацами вторым и третьим настоящего подпункта, либо со дня выявления значимого риска в платежной системе, указанного в абзаце четвертом настоящего подпункта. (в ред. Указания ЦБ РФ от 09.01.2023 N 6352-У)
2.2.4(4). Плановая оценка всех рисков в платежной системе проводится оператором платежной системы не реже одного раза в три года с учетом сведений о событиях, которые произошли в платежной системе со дня завершения предыдущей плановой или внеплановой оценки всех рисков в платежной системе и привели к приостановлению (прекращению) оказания УПИ. (в ред. Указания ЦБ РФ от 09.01.2023 N 6352-У)
2.2.5. Оператор платежной системы должен устанавливать и пересматривать с использованием результатов оценки рисков в платежной системе пороговые уровни показателей БФПС.
Оператор платежной системы должен устанавливать пороговые уровни показателей БФПС с учетом следующих ограничений:
пороговый уровень показателя П1 должен быть не более 2 часов для каждого из операторов УПИ системно и социально значимых платежных систем и не более 6 часов для каждого из операторов УПИ платежных систем, не являющихся системно или социально значимыми;
пороговый уровень показателя П2 должен быть не менее 24 часов для каждого из операторов УПИ системно значимой платежной системы и не менее 12 часов для каждого из операторов УПИ социально значимой платежной системы;
пороговый уровень показателя П3 должен быть не менее 98,0% для операционного и платежного клирингового центров платежной системы и не менее 99,0% для расчетного центра платежной системы. Для платежных систем, в которых расчетный центр платежной системы одновременно предоставляет услуги операционного и (или) платежного клирингового центра, пороговый уровень показателя П3 должен быть не менее 98,0%;
пороговый уровень показателя П4 должен быть не менее 99,0% для системно значимой платежной системы, не менее 98,0% для социально значимой платежной системы и не менее 96,0% для платежных систем, не являющихся системно или социально значимыми.
2.2.6. Оператор платежной системы должен рассчитывать и анализировать значения показателей БФПС, в том числе путем их сравнения с пороговыми уровнями показателей БФПС, и использовать результаты указанного анализа при оценке системы управления рисками в платежной системе и при оценке влияния инцидентов на БФПС.
2.2.7. Оператор платежной системы должен проводить оценку системы управления рисками в платежной системе, в том числе используемых методов оценки рисков в платежной системе, результатов применения способов управления рисками в платежной системе, не реже одного раза в три года и документально оформлять результаты указанной оценки. При наличии коллегиального органа по управлению рисками в платежной системе оценка системы управления рисками в платежной системе должна проводиться данным органом. (в ред. Указания ЦБ РФ от 09.01.2023 N 6352-У)
2.2.8. Оператор платежной системы должен вносить изменения в систему управления рисками в платежной системе, в случае если действующая система управления рисками в платежной системе не обеспечила три и более раза в течение календарного года возможность восстановления оказания УПИ в течение периодов времени, установленных оператором платежной системы в правилах платежной системы, при их приостановлении. (в ред. Указания ЦБ РФ от 09.01.2023 N 6352-У)
2.2.9. Оператор платежной системы должен при управлении рисками в платежной системе оценивать риски, возникающие в связи с привлечением поставщиков (провайдеров), предоставляющих услуги в сфере информационных технологий в целях оказания оператором УПИ услуг платежной инфраструктуры и (или) предоставляющих услуги обмена информацией при осуществлении операций с использованием электронных средств платежа между операторами по переводу денежных средств и их клиентами и (или) между операторами по переводу денежных средств и иностранными поставщиками платежных услуг, предусмотренные пунктом 33 статьи 3 Федерального закона от 27 июня 2011 года N 161-ФЗ (Собрание законодательства Российской Федерации, 2011, N 27, ст. 3872; 2019, N 31, ст. 4423) (далее - поставщики услуг), в том числе обусловленные вероятностью невыполнения поставщиками услуг своих обязательств, включая возникновение отказов и (или) нарушений функционирования автоматизированных систем, программного обеспечения, средств вычислительной техники, телекоммуникационного оборудования поставщиков услуг. (в ред. Указания ЦБ РФ от 09.01.2023 N 6352-У)
2.3. Оператор платежной системы должен управлять непрерывностью функционирования платежной системы с учетом следующих требований.
2.3.1. Оператор платежной системы должен организовать деятельность по управлению непрерывностью функционирования платежной системы, в том числе путем установления прав и обязанностей субъектов платежной системы по управлению непрерывностью функционирования платежной системы в зависимости от организационной модели управления рисками в платежной системе, определенной в соответствии с требованиями части 2 статьи 28 Федерального закона от 27 июня 2011 года N 161-ФЗ.
2.3.2. Оператор платежной системы должен организовать сбор и обработку сведений, в том числе от привлеченных операторов УПИ, используемых для расчета показателей БФПС, указанных в подпункте 2.2.4 пункта 2.2 настоящего Положения (далее - сведения по платежной системе), а также следующих сведений об инцидентах:
время и дата возникновения инцидента (в случае невозможности установить время возникновения инцидента указывается время его выявления);
краткое описание инцидента (характеристика произошедшего события и его последствия);
наименование одного или нескольких бизнес-процессов, в ходе которых произошел инцидент; (в ред. Указания ЦБ РФ от 09.01.2023 N 6352-У)
наименование одного или нескольких бизнес-процессов, на которые инцидент оказал влияние; (в ред. Указания ЦБ РФ от 09.01.2023 N 6352-У)
наличие (отсутствие) факта приостановления (прекращения) оказания УПИ в результате инцидента;
влияние инцидента на БФПС, определяемое с учетом требований, предусмотренных подпунктом 2.3.5 пункта 2.3 настоящего Положения;
степень влияния инцидента на функционирование платежной системы в зависимости от количества операторов УПИ, и (или) количества и значимости участников платежной системы, на которых оказал непосредственное влияние инцидент, и (или) количества и суммы неисполненных, и (или) несвоевременно исполненных, и (или) ошибочно исполненных распоряжений участников платежной системы, и иных факторов;
время и дата восстановления оказания УПИ в случае приостановления их оказания;
мероприятия по устранению неблагоприятных последствий инцидента с указанием планируемой и фактической продолжительности проведения данных мероприятий; (в ред. Указания ЦБ РФ от 09.01.2023 N 6352-У)
дата восстановления оказания УПИ, соответствующего требованиям к оказанию услуг;
неблагоприятные последствия инцидента по субъектам платежной системы, в том числе:
сумма денежных средств, уплаченных оператором платежной системы и (или) взысканных с оператора платежной системы,
сумма денежных средств, уплаченных оператором (операторами) УПИ и (или) взысканных с оператора (операторов) УПИ,
количество и сумма неисполненных, и (или) несвоевременно исполненных, и (или) ошибочно исполненных распоряжений участников платежной системы, на исполнение которых оказал влияние инцидент,
продолжительность приостановления оказания УПИ.
2.3.3. Оператор платежной системы должен обеспечить хранение сведений по платежной системе и сведений об инцидентах не менее пяти лет с даты получения указанных сведений. (в ред. Указания ЦБ РФ от 09.01.2023 N 6352-У)
2.3.4. Оператор платежной системы должен организовать деятельность по разработке регламентов выполнения процедур и контролировать их соблюдение.
2.3.5. Оператор платежной системы должен проводить оценку влияния на БФПС каждого произошедшего в платежной системе инцидента в срок не позднее окончания рабочего дня, следующего за днем возникновения (выявления) инцидента, а также в срок не позднее окончания рабочего дня, следующего за днем устранения последствий инцидента (восстановления оказания УПИ, соответствующих требованиям к оказанию услуг). (в ред. Указания ЦБ РФ от 09.01.2023 N 6352-У)
В случае если вследствие произошедшего в платежной системе инцидента нарушен регламент выполнения процедур, но при этом не нарушен пороговый уровень каждого из показателей П1, П2, данный инцидент признается непосредственно не влияющим на БФПС.
Произошедший в платежной системе инцидент признается влияющим на БФПС в случае, если вследствие данного инцидента реализовано хотя бы одно из следующих условий:
нарушен регламент выполнения процедур при одновременном нарушении порогового уровня показателя П2;
нарушен пороговый уровень показателя П1;
превышена продолжительность установленного оператором платежной системы времени, в течение которого должно быть восстановлено оказание УПИ, соответствующее требованиям к оказанию услуг.
В случае выявления дополнительных обстоятельств инцидента, оценка влияния которого на БФПС уже завершена, проводится повторная оценка произошедшего инцидента с учетом вновь выявленных обстоятельств.
2.3.6. Оператор платежной системы должен проводить оценку влияния на БФПС всех инцидентов, произошедших в платежной системе в течение календарного месяца. Оценка влияния на БФПС данных инцидентов должна проводиться в течение пяти рабочих дней после дня окончания календарного месяца, в котором возникли инциденты.
В случае если вследствие произошедших в платежной системе в течение календарного месяца инцидентов не нарушен пороговый уровень показателя П4, рассчитанного по данным инцидентам, и одновременно нарушен пороговый уровень показателя П3 и (или) показателя П5, рассчитанных по этим же инцидентам, данные инциденты признаются непосредственно не влияющими на БФПС.
В случае если вследствие произошедших в платежной системе в течение календарного месяца инцидентов одновременно нарушены пороговые уровни всех показателей П3, П4, П5, рассчитанных по данным инцидентам, данные инциденты признаются влияющими на БФПС.
В случае выявления инцидентов или дополнительных обстоятельств инцидентов, произошедших в платежной системе в течение календарного месяца, за который уже проведена оценка их влияния на БФПС, оператор платежной системы должен проводить повторную оценку влияния на БФПС этих инцидентов с учетом вновь выявленных обстоятельств в течение пяти рабочих дней после дня окончания календарного месяца, в котором выявлены инциденты или дополнительные обстоятельства.
2.3.7. Оператор платежной системы должен определить в правилах платежной системы: (в ред. Указания ЦБ РФ от 09.01.2023 N 6352-У)
критерии отнесения событий, реализовавшихся при оказании УПИ в платежной системе, к событиям приостановления оказания УПИ, за исключением событий, следствием которых является приостановление оказания УПИ в связи с проведением технологических и (или) регламентных работ, в случае если оператор УПИ заранее уведомил об этом оператора платежной системы и участников платежной системы в соответствии с правилами платежной системы и (или) иными документами оператора платежной системы и (или) привлеченных операторов УПИ; (в ред. Указания ЦБ РФ от 09.01.2023 N 6352-У)
период времени, в течение которого должно быть восстановлено оказание УПИ в случае приостановления их оказания; (в ред. Указания ЦБ РФ от 09.01.2023 N 6352-У)
период времени, в течение которого должно быть восстановлено оказание УПИ, соответствующее требованиям к оказанию услуг, в случае нарушения указанных требований. (в ред. Указания ЦБ РФ от 09.01.2023 N 6352-У)
2.3.8. Оператор платежной системы должен обеспечить оказание УПИ при возникновении инцидентов, а также организовать в течение установленных периодов времени восстановление оказания услуг операторами УПИ в случае приостановления их оказания и восстановление оказания УПИ, соответствующего требованиям к оказанию услуг, в случае нарушения указанных требований.
Оператор системно значимой платежной системы при возникновении инцидента должен обеспечить в день его возникновения осуществление расчета в платежной системе до конца дня по распоряжениям участников платежной системы об осуществлении перевода денежных средств (далее - распоряжение участника платежной системы), поступившим в расчетный центр платежной системы и подлежащим исполнению в этот день в соответствии с законодательством Российской Федерации, и (или) правилами платежной системы, и (или) договорами банковского счета, заключенными участниками платежной системы с расчетным центром платежной системы.
2.3.9. Оператор платежной системы должен установить уровни оказания УПИ, характеризующие качество функционирования операционных и технологических средств платежной инфраструктуры, которые должны быть обеспечены операторами УПИ.
2.3.10. Оператор платежной системы должен разрабатывать, проверять (тестировать) и пересматривать план действий, направленных на обеспечение непрерывности деятельности и (или) восстановление деятельности (далее - план ОНиВД) оператора платежной системы, с периодичностью не реже одного раза в два года.
2.3.11. Оператор платежной системы должен разрабатывать и включать в план ОНиВД мероприятия, направленные на управление непрерывностью функционирования платежной системы в случае возникновения инцидентов, связанных с приостановлением оказания УПИ или нарушением установленных уровней оказания УПИ, в том числе: (в ред. Указания ЦБ РФ от 09.01.2023 N 6352-У)
при совмещении в платежной системе функций оператора платежной системы и операционного, и (или) платежного клирингового, и (или) расчетного центров - мероприятия по переходу на резервный комплекс программных и (или) технических средств, а также мероприятия, осуществляемые в случае неработоспособности систем и сервисов поставщиков услуг, нарушение предоставления которых способно привести к приостановлению оказания УПИ; (в ред. Указания ЦБ РФ от 09.01.2023 N 6352-У)
при наличии в платежной системе двух и более операционных, и (или) платежных клиринговых, и (или) расчетных центров - мероприятия по обеспечению взаимозаменяемости операторов УПИ; (в ред. Указания ЦБ РФ от 09.01.2023 N 6352-У)
при наличии в платежной системе одного привлеченного операционного, и (или) платежного клирингового, и (или) расчетного центров - мероприятия по привлечению другого оператора УПИ и по переходу участников платежной системы на обслуживание к вновь привлеченному оператору УПИ в течение срока, установленного правилами платежной системы, в случаях: (в ред. Указания ЦБ РФ от 09.01.2023 N 6352-У)
превышения оператором УПИ времени восстановления оказания УПИ при приостановлении их оказания более двух раз в течение трех месяцев подряд; (в ред. Указания ЦБ РФ от 09.01.2023 N 6352-У)
нарушения правил платежной системы, выразившегося в отказе оператора УПИ в одностороннем порядке от оказания услуг участнику (участникам) платежной системы, не связанного с приостановлением (прекращением) участия в платежной системе в случаях, предусмотренных правилами платежной системы. (в ред. Указания ЦБ РФ от 09.01.2023 N 6352-У)
2.3.12. Оператор платежной системы должен обеспечить реализацию мероприятий, предусмотренных подпунктом 2.3.11 настоящего пункта.
2.3.13. Оператор платежной системы должен организовать разработку и контролировать наличие планов ОНиВД у операторов УПИ, проведение ими проверки (тестирования) и пересмотра планов ОНиВД с периодичностью не реже одного раза в два года.
Операторы УПИ должны включать в планы ОНиВД мероприятия по переходу на резервный комплекс программных и (или) технических средств оператора УПИ в случае приостановления оказания УПИ и (или) нарушения установленных уровней оказания УПИ, а также мероприятия, осуществляемые в случае неработоспособности систем и сервисов поставщиков услуг, нарушение предоставления которых способно привести к приостановлению оказания УПИ. (в ред. Указания ЦБ РФ от 09.01.2023 N 6352-У)
2.3.14. В случае если оператор платежной системы и (или) оператор УПИ являются кредитными организациями, разработка, проверка (тестирование) и пересмотр плана ОНиВД должны осуществляться в порядке, предусмотренном Положением Банка России от 16 декабря 2003 года N 242-П "Об организации внутреннего контроля в кредитных организациях и банковских группах", зарегистрированным Министерством юстиции Российской Федерации 27 января 2004 года N 5489, 22 декабря 2004 года N 6222, 20 марта 2009 года N 13547, 30 июня 2014 года N 32913 (далее - Положение Банка России N 242-П), с учетом требований к плану ОНиВД, содержащихся в подпунктах 2.3.10 и 2.3.11 настоящего пункта.
2.3.15. Оператор платежной системы должен анализировать эффективность мероприятий по восстановлению оказания УПИ, соответствующего требованиям к оказанию услуг, и использовать полученные результаты при управлении рисками в платежной системе.
2.4. Оператор платежной системы должен передать часть функций или все функции по реализации мероприятий, предусмотренных пунктами 2.2 и 2.3 настоящего Положения, операторам УПИ и участникам платежной системы при использовании в платежной системе организационной модели управления рисками в платежной системе, предусмотренной пунктом 2 части 2 статьи 28 Федерального закона от 27 июня 2011 года N 161-ФЗ, или расчетному центру при использовании в платежной системе организационной модели управления рисками в платежной системе, предусмотренной пунктом 3 части 2 статьи 28 Федерального закона от 27 июня 2011 года N 161-ФЗ.
2.5. Оператор платежной системы должен организовать взаимодействие субъектов платежной системы по обеспечению БФПС с учетом следующих требований.
2.5.1. Оператор платежной системы должен определить в правилах платежной системы с учетом организационной модели управления рисками в платежной системе, определенной в соответствии с требованиями части 2 статьи 28 Федерального закона от 27 июня 2011 года N 161-ФЗ, порядок взаимодействия субъектов платежной системы при реализации мероприятий, предусмотренных пунктами 2.2 и 2.3 настоящего Положения.
2.5.2. Оператор платежной системы должен определить функции, выполняемые операторами УПИ по оперативному информированию оператора платежной системы о нарушении оказания УПИ, соответствующего требованиям к оказанию услуг, при котором превышено время восстановления оказания УПИ в случае их приостановления и (или) время восстановления оказания УПИ, соответствующего требованиям к оказанию услуг, а также по оперативному информированию расчетного центра платежной системы при использовании в платежной системе организационной модели управления рисками в платежной системе, предусмотренной пунктом 3 части 2 статьи 28 Федерального закона от 27 июня 2011 года N 161-ФЗ.
2.5.3. Оператор платежной системы должен информировать о случаях и причинах приостановления (прекращения) оказания УПИ:
Банк России и участников платежной системы в порядке, установленном Указанием Банка России от 11 июня 2014 года N 3280-У "О порядке информирования оператором платежной системы Банка России, участников платежной системы о случаях и причинах приостановления (прекращения) оказания услуг платежной инфраструктуры", зарегистрированным Министерством юстиции Российской Федерации 20 июня 2014 года N 32821, 27 ноября 2017 года N 49025 (далее - Указание Банка России N 3280-У);
операторов УПИ в порядке, аналогичном установленному Указанием Банка России N 3280-У для участников платежной системы.
2.6. Оператор платежной системы в рамках осуществления контроля за соблюдением правил платежной системы должен проверять соблюдение операторами УПИ и участниками платежной системы порядка обеспечения БФПС с учетом следующих требований.
2.6.1. Оператор платежной системы должен определить в правилах платежной системы порядок проведения контроля за соблюдением операторами УПИ и участниками платежной системы порядка обеспечения БФПС.
2.6.2. Оператор платежной системы должен контролировать соответствие документов операторов УПИ порядку обеспечения БФПС, если такие документы предусмотрены правилами платежной системы, и при выявлении несоответствия документов операторов УПИ порядку обеспечения БФПС должен направлять рекомендации операторам УПИ по устранению выявленных несоответствий.
2.6.3. Оператор платежной системы при выявлении нарушения порядка обеспечения БФПС операторами УПИ и участниками платежной системы должен:
информировать операторов УПИ и участников платежной системы о выявленных в их деятельности нарушениях и устанавливать сроки устранения нарушений;
осуществлять проверку результатов устранения нарушений и информировать операторов УПИ и участников платежной системы, в деятельности которых выявлены нарушения, о результатах проведенной проверки.
2.6.4. Оператор платежной системы должен определять ответственность операторов УПИ и участников платежной системы за неисполнение порядка обеспечения БФПС.
Глава 3. Требования к методикам анализа рисков в платежной системе, включая профили рисков
3.1. Оператор платежной системы в целях управления рисками в платежной системе должен разрабатывать методики анализа рисков в платежной системе, включая риск нарушения БФПС.
3.2. Методики анализа рисков в платежной системе должны обеспечивать: (в ред. Указания ЦБ РФ от 09.01.2023 N 6352-У)
выполнение процедур выявления оператором платежной системы рисков в платежной системе не реже одного раза в год; (в ред. Указания ЦБ РФ от 09.01.2023 N 6352-У)
проведение анализа рисков в платежной системе; (в ред. Указания ЦБ РФ от 09.01.2023 N 6352-У)
выявление событий, реализация которых может привести к возникновению инцидента (далее - риск-события), и определение для каждого из выявленных риск-событий уровня риска, характеризуемого вероятностью наступления риск-событий и величиной возможных последствий их реализации; (в ред. Указания ЦБ РФ от 09.01.2023 N 6352-У)
определение для каждого из выявленных рисков в платежной системе уровня присущего риска до применения способов управления рисками в платежной системе, а также уровня допустимого риска, указанного в абзаце третьем подпункта 2.2.4(3) пункта 2.2 настоящего Положения; (в ред. Указания ЦБ РФ от 09.01.2023 N 6352-У)
определение значимых рисков в платежной системе, указанных в абзаце четвертом подпункта 2.2.4(3) пункта 2.2 настоящего Положения; (в ред. Указания ЦБ РФ от 09.01.2023 N 6352-У)
определение для каждого из значимых рисков в платежной системе, указанных в абзаце четвертом подпункта 2.2.4(3) пункта 2.2 настоящего Положения, уровня остаточного риска после применения способов управления рисками в платежной системе. (в ред. Указания ЦБ РФ от 09.01.2023 N 6352-У)
3.3. Методики анализа рисков в платежной системе должны предусматривать выполнение следующих мероприятий: (в ред. Указания ЦБ РФ от 09.01.2023 N 6352-У)
формирование и поддержание в актуальном состоянии перечней бизнес-процессов; (в ред. Указания ЦБ РФ от 09.01.2023 N 6352-У)
разработку и поддержание в актуальном состоянии классификаторов (структурированных перечней) рисков в платежной системе, риск-событий, причин риск-событий; (в ред. Указания ЦБ РФ от 09.01.2023 N 6352-У)
проведение анализа бизнес-процессов в платежной системе, в том числе анализа программных и (или) технических средств операторов УПИ, учитывая факт привлечения ими поставщиков услуг, и других факторов, влияющих на БФПС; (в ред. Указания ЦБ РФ от 09.01.2023 N 6352-У)
формирование перечня возможных риск-событий для каждого бизнес-процесса с указанием причин риск-событий и их последствий; (в ред. Указания ЦБ РФ от 09.01.2023 N 6352-У)
определение для каждого из выявленных рисков в платежной системе уровня присущего риска до применения способов управления рисками в платежной системе и установление уровня допустимого риска, указанного в абзаце третьем подпункта 2.2.4(3) пункта 2.2 настоящего Положения; (в ред. Указания ЦБ РФ от 09.01.2023 N 6352-У)
сопоставление уровня присущего риска до применения способов управления рисками в платежной системе и уровня допустимого риска, указанного в абзаце третьем подпункта 2.2.4(3) пункта 2.2 настоящего Положения, по каждому из выявленных рисков в платежной системе для определения значимых рисков в платежной системе, указанных в абзаце четвертом подпункта 2.2.4(3) пункта 2.2 настоящего Положения; (в ред. Указания ЦБ РФ от 09.01.2023 N 6352-У)
применение способов управления рисками в платежной системе для каждого из значимых рисков в платежной системе, указанных в абзаце четвертом подпункта 2.2.4(3) пункта 2.2 настоящего Положения, и последующее определение для них уровня остаточного риска после применения способов управления рисками в платежной системе; (в ред. Указания ЦБ РФ от 09.01.2023 N 6352-У)
сопоставление уровня остаточного риска после применения способов управления рисками в платежной системе и уровня допустимого риска, указанного в абзаце третьем подпункта 2.2.4(3) пункта 2.2 настоящего Положения, для каждого из значимых рисков в платежной системе, указанных в абзаце четвертом подпункта 2.2.4(3) пункта 2.2 настоящего Положения, и принятие решения о необходимости применения других способов управления рисками в платежной системе в дополнение к ранее примененным способам; (в ред. Указания ЦБ РФ от 09.01.2023 N 6352-У)
мониторинг рисков в платежной системе, в том числе уровня остаточного риска после применения способов управления рисками в платежной системе, его соответствия уровню допустимого риска, указанного в абзаце третьем подпункта 2.2.4(3) пункта 2.2 настоящего Положения; (в ред. Указания ЦБ РФ от 09.01.2023 N 6352-У)
составление и пересмотр (актуализацию) профиля каждого из значимых рисков в платежной системе, указанных в абзаце четвертом подпункта 2.2.4(3) пункта 2.2 настоящего Положения, включая профиль риска нарушения БФПС. (в ред. Указания ЦБ РФ от 09.01.2023 N 6352-У)
3.4. Оператор платежной системы должен составлять профили рисков в соответствии с требованиями, предусмотренными в приложении 2 к настоящему Положению, и пересматривать (актуализировать) их по результатам плановой или внеплановой оценки всех рисков в платежной системе, а также внеплановой оценки отдельных рисков (отдельного риска) в платежной системе. (в ред. Указания ЦБ РФ от 09.01.2023 N 6352-У)
Абзац второй. - Утратил силу. (в ред. Указания ЦБ РФ от 09.01.2023 N 6352-У)
3.5. Оператор платежной системы должен хранить сведения, содержащиеся в профилях рисков, не менее пяти лет со дня составления и пересмотра (актуализации) профилей рисков. (в ред. Указания ЦБ РФ от 09.01.2023 N 6352-У)
Глава 4. Заключительные положения
4.1. Настоящее Положение подлежит официальному опубликованию <1> и в соответствии с решением Совета директоров Банка России (протокол заседания Совета директоров Банка России от 27 сентября 2017 года N 26) вступает в силу по истечении 12 месяцев после дня его официального опубликования.
<1> Официально опубликовано на сайте Банка России 29.12.2017.
4.2. Со дня вступления в силу настоящего Положения признать утратившими силу:
Положение Банка России от 31 мая 2012 года N 379-П "О бесперебойности функционирования платежных систем и анализе рисков в платежных системах", зарегистрированное Министерством юстиции Российской Федерации 13 июня 2012 года N 24544;
Указание Банка России от 10 июля 2014 года N 3317-У "О внесении изменений в Положение Банка России от 31 мая 2012 года N 379-П "О бесперебойности функционирования платежных систем и анализе рисков в платежных системах", зарегистрированное Министерством юстиции Российской Федерации 11 августа 2014 года N 33532.
Председатель Центрального банка
Российской Федерации
Э.С. НАБИУЛЛИНА
Приложение 1
к Положению Банка России
от 3 октября 2017 года N 607-П
"О требованиях к порядку
обеспечения бесперебойности
функционирования платежной системы,
показателям бесперебойности
функционирования платежной системы
и методикам анализа рисков
в платежной системе, включая
профили рисков"
ТРЕБОВАНИЯ К ОПРЕДЕЛЕНИЮ ПОКАЗАТЕЛЕЙ БФПС
(в ред. Указания ЦБ РФ от 09.01.2023 N 6352-У)
1. Показатель П1 должен рассчитываться по каждому из операторов УПИ и по каждому из инцидентов, повлекших приостановление оказания УПИ, как период времени с момента возникновения события, приведшего к приостановлению оказания УПИ в результате первого из возникших инцидентов, и до момента восстановления оказания УПИ. (в ред. Указания ЦБ РФ от 09.01.2023 N 6352-У)
При возникновении инцидентов, повлекших приостановление оказания УПИ одновременно двумя и более операторами УПИ, показатель П1 должен рассчитываться как период времени с момента возникновения события, приведшего к приостановлению оказания УПИ в результате первого из возникших инцидентов, и до момента восстановления оказания УПИ всеми операторами УПИ, у которых возникли инциденты. (в ред. Указания ЦБ РФ от 09.01.2023 N 6352-У)
Показатель П1 должен рассчитываться в часах/минутах/секундах.
2. Показатель П2 должен рассчитываться по каждому из операторов УПИ при возникновении каждого из инцидентов, повлекших приостановление оказания УПИ, как период времени между двумя последовательно произошедшими у оператора УПИ инцидентами, в результате которых приостанавливалось оказание УПИ, с момента восстановления оказания УПИ, приостановленных в результате первого инцидента, и до момента возникновения события, приведшего к приостановлению оказания УПИ в результате следующего инцидента. (в ред. Указания ЦБ РФ от 09.01.2023 N 6352-У)
В платежных системах, в которых оператор УПИ оказывает более одного вида УПИ одновременно, показатель П2 должен рассчитываться одновременно по всем видам УПИ, оказываемым данным оператором УПИ.
Показатель П2 должен рассчитываться в часах/минутах/секундах.
3. Показатель П3 должен рассчитываться по каждому оператору УПИ.
Для операционного центра показатель П3 должен рассчитываться как отношение количества распоряжений участников платежной системы (их клиентов), по которым в течение календарного месяца были оказаны операционные услуги без нарушения регламента выполнения процедур, к общему количеству распоряжений участников платежной системы (их клиентов), по которым были оказаны операционные услуги в течение календарного месяца, рассчитываемое по следующей формуле:
,
где:
- количество распоряжений участников платежной системы (их клиентов), по которым в течение календарного месяца были оказаны операционные услуги без нарушения регламента выполнения процедур,
- общее количество распоряжений участников платежной системы (их клиентов), по которым были оказаны операционные услуги в течение календарного месяца.
Для платежного клирингового центра показатель П3 должен рассчитываться как отношение количества распоряжений участников платежной системы (их клиентов), по которым в течение календарного месяца были оказаны услуги платежного клиринга без нарушения регламента выполнения процедур, к общему количеству распоряжений участников платежной системы (их клиентов), по которым были оказаны услуги платежного клиринга в течение календарного месяца, рассчитываемое по следующей формуле:
,
где:
- количество распоряжений участников платежной системы (их клиентов), по которым в течение календарного месяца были оказаны услуги платежного клиринга без нарушения регламента выполнения процедур,
- общее количество распоряжений участников платежной системы (их клиентов), по которым были оказаны услуги платежного клиринга в течение календарного месяца.
Для расчетного центра показатель П3 должен рассчитываться как отношение количества распоряжений участников платежной системы и (или) платежного клирингового центра, по которым в течение календарного месяца были оказаны расчетные услуги без нарушения регламента выполнения процедур, к общему количеству распоряжений участников платежной системы и (или) платежного клирингового центра, по которым были оказаны расчетные услуги в течение календарного месяца, рассчитываемое по следующей формуле:
,
где:
- количество распоряжений участников платежной системы и (или) платежного клирингового центра, по которым в течение календарного месяца были оказаны расчетные услуги без нарушения регламента выполнения процедур,
- общее количество распоряжений участников платежной системы и (или) платежного клирингового центра, по которым были оказаны расчетные услуги в течение календарного месяца.
Показатель П3 должен рассчитываться ежемесячно в процентах с точностью до двух знаков после запятой (с округлением по математическому методу).
Значение показателя П3 по платежной системе в целом принимается равным наименьшему из значений данного показателя, рассчитанных по всем операторам УПИ в отношении всех видов оказываемых ими услуг.
В платежных системах, в которых оператор УПИ оказывает более одного вида УПИ одновременно, показатель П3 должен рассчитываться по данному оператору УПИ в отношении всех видов оказываемых им услуг.
4. Показатель П4 должен рассчитываться как среднее значение коэффициента доступности операционного центра платежной системы за календарный месяц, рассчитываемое по следующей формуле:
,
где:
M - количество рабочих дней платежной системы в месяце,
- общая продолжительность всех приостановлений оказания операционных услуг операционным центром платежной системы за i-ый рабочий день месяца в минутах,
- общая продолжительность времени оказания операционных услуг в течение i-го рабочего дня в минутах, установленная в соответствии с временным регламентом функционирования платежной системы.
Показатель П4 должен рассчитываться ежемесячно в процентах с точностью до двух знаков после запятой (с округлением по математическому методу).
Для платежных систем с несколькими операционными центрами показатель П4 должен рассчитываться для каждого операционного центра платежной системы.
Значение показателя П4 по платежной системе в целом принимается равным наименьшему из значений данного показателя, рассчитанных по всем операционным центрам платежной системы.
5. Показатель П5 должен рассчитываться по платежной системе в целом и для каждого оператора УПИ в отдельности как темп прироста среднедневного количества инцидентов за оцениваемый календарный месяц по отношению к среднедневному количеству инцидентов за предыдущие 12 календарных месяцев, включая оцениваемый календарный месяц, рассчитываемый по следующей формуле:
- количество инцидентов в течение i-го рабочего дня платежной системы оцениваемого календарного месяца,
M - количество рабочих дней платежной системы в оцениваемом календарном месяце,
N - количество рабочих дней платежной системы за 12 предыдущих календарных месяцев, включая оцениваемый месяц.
Показатель П5 должен рассчитываться ежемесячно в процентах с точностью до одного знака после запятой (с округлением по математическому методу). В случае если за предыдущие 12 календарных месяцев, включая оцениваемый месяц, инцидентов не было, значение показателя признается равным нулю.
В платежных системах, в которых оператор УПИ оказывает более одного вида УПИ одновременно, показатель П5 должен рассчитываться по данному оператору УПИ в отношении всех видов оказываемых им услуг.
Приложение 2
к Положению Банка России
от 3 октября 2017 года N 607-П
"О требованиях к порядку
обеспечения бесперебойности
функционирования платежной системы,
показателям бесперебойности
функционирования платежной системы
и методикам анализа рисков
в платежной системе, включая
профили рисков"
ТРЕБОВАНИЯ К ПРОФИЛЯМ РИСКОВ
(в ред. Указания ЦБ РФ от 09.01.2023 N 6352-У)
1. Профили рисков должны составляться по всем значимым рискам в платежной системе, указанным в абзаце четвертом подпункта 2.2.4(3) пункта 2.2 настоящего Положения, в том числе по следующим рискам: (в ред. Указания ЦБ РФ от 09.01.2023 N 6352-У)
по риску оказания УПИ, не соответствующего требованиям к оказанию услуг, вследствие несоблюдения субъектами платежной системы требований законодательства Российской Федерации, правил платежной системы, договоров, заключенных между субъектами платежной системы, документов оператора платежной системы и документов операторов УПИ либо вследствие наличия правовых коллизий и (или) правовой неопределенности в законодательстве Российской Федерации, нормативных актах Банка России, правилах платежной системы и договорах, заключенных между субъектами платежной системы, а также вследствие нахождения операторов УПИ и участников платежной системы под юрисдикцией различных государств (далее - правовой риск платежной системы);
по риску оказания УПИ, не соответствующего требованиям к оказанию услуг, вследствие возникновения у субъектов платежной системы сбоев, отказов и аварий в работе информационных и технологических систем, недостатков в организации и выполнении технологических и управленческих процессов, ошибок или противоправных действий персонала субъектов платежной системы либо вследствие воздействия событий, причины возникновения которых не связаны с деятельностью субъектов платежной системы, включая чрезвычайные ситуации, ошибочные или противоправные действия третьих лиц (операционный риск платежной системы);
по риску оказания УПИ, не соответствующего требованиям к оказанию услуг, центральным платежным клиринговым контрагентом или расчетным центром платежной системы вследствие невыполнения участниками платежной системы договорных обязательств перед указанными организациями в установленный срок или в будущем (далее - кредитный риск платежной системы);
по риску оказания УПИ, не соответствующего требованиям к оказанию услуг, вследствие отсутствия у центрального платежного клирингового контрагента и (или) у участников платежной системы денежных средств, достаточных для своевременного выполнения их обязательств перед другими субъектами платежной системы (далее - риск ликвидности платежной системы);
по риску оказания УПИ, не соответствующего требованиям к оказанию услуг, вследствие ухудшения финансового состояния оператора платежной системы и (или) операторов УПИ, не связанного с реализацией кредитного риска платежной системы и риска ликвидности платежной системы (общий коммерческий риск платежной системы).
Составление профиля правового риска платежной системы в части вопросов несоблюдения законодательства Российской Федерации, нормативных актов Банка России, правил платежной системы осуществляется службой внутреннего контроля (комплаенс-службой) оператора платежной системы в рамках управления регуляторным риском в соответствии с Положением Банка России N 242-П, если в соответствии с подпунктом 2.2.1 пункта 2.2 настоящего Положения система управления рисками в платежной системе интегрирована оператором платежной системы, являющимся кредитной организацией, в его системы управления рисками и капиталом, а также внутреннего контроля, организованные в соответствии с Указанием Банка России от 15 апреля 2015 года N 3624-У "О требованиях к системе управления рисками и капиталом кредитной организации и банковской группы", зарегистрированным Министерством юстиции Российской Федерации 26 мая 2015 года N 37388, 28 декабря 2015 года N 40325, и Положением Банка России N 242-П.
2. Профиль каждого из значимых рисков в платежной системе, указанных в абзаце четвертом подпункта 2.2.4(3) пункта 2.2 настоящего Положения должен содержать: (в ред. Указания ЦБ РФ от 09.01.2023 N 6352-У)
описание риск-событий, выявленных с применением не менее чем одного метода из числа предусмотренных таблицей А.2 приложения А к национальному стандарту Российской Федерации ГОСТ Р 58771-2019 "Менеджмент риска. Технологии оценки риска", утвержденному и введенному в действие приказом Федерального агентства по техническому регулированию и метрологии от 17 декабря 2019 года N 1405-ст "Об утверждении национального стандарта Российской Федерации" (М., ФГУП "Стандартинформ", 2020) (далее - Стандарт). Риск-события отражаются в профиле каждого из значимых рисков в платежной системе, указанных в абзаце четвертом подпункта 2.2.4(3) пункта 2.2 настоящего Положения; (в ред. Указания ЦБ РФ от 09.01.2023 N 6352-У)
описание причины возникновения каждого из риск-событий;
описание бизнес-процессов, в которых могут произойти риск-события; (в ред. Указания ЦБ РФ от 09.01.2023 N 6352-У)
вероятность наступления риск-событий. Определение вероятности наступления риск-событий осуществляется с применением не менее одного метода из числа предусмотренных Стандартом;
описание и оценку возможных неблагоприятных последствий каждого риск-события. Если риск-событие имеет несколько возможных неблагоприятных последствий, то указываются все неблагоприятные последствия данного риск-события. Определение неблагоприятных последствий риск-событий осуществляется с применением методов из числа предусмотренных Стандартом с учетом результатов анализа сведений об инцидентах;
описание бизнес-процессов и перечень субъектов платежной системы, на которые влияет риск-событие;
уровень присущего риска до применения способов управления рисками в платежной системе; (в ред. Указания ЦБ РФ от 09.01.2023 N 6352-У)
уровень допустимого риска, указанный в абзаце третьем подпункта 2.2.4(3) пункта 2.2 настоящего Положения; (в ред. Указания ЦБ РФ от 09.01.2023 N 6352-У)
уровень остаточного риска после применения способов управления рисками в платежной системе; (в ред. Указания ЦБ РФ от 09.01.2023 N 6352-У)
перечень способов управления рисками в платежной системе. (в ред. Указания ЦБ РФ от 09.01.2023 N 6352-У)
3. Профиль риска нарушения БФПС должен составляться как сводный профиль в отношении всех значимых рисков в платежной системе, указанных в абзаце четвертом подпункта 2.2.4(3) пункта 2.2 настоящего Положения. (в ред. Указания ЦБ РФ от 09.01.2023 N 6352-У)