- Главная
- Положение Банка России от 27 октября 2020 г. N 738-П "О порядке обеспечения бесперебойности функционирования платежной системы Банка России" (с изменениями и дополнениями)
- Глава 2. Организационная структура, используемая Банком России при обеспечении бесперебойности функционирования платежной системы Банка России
Глава 2. Организационная структура, используемая Банком России при обеспечении бесперебойности функционирования платежной системы Банка России
Глава 2. Организационная структура, используемая Банком России при обеспечении бесперебойности функционирования платежной системы Банка России
Информация об изменениях:
Пункт 2.1 изменен с 1 октября 2024 г. - Указание Банка России от 9 января 2024 г. N 6653-У
2.1. Организационная структура, используемая Банком России при обеспечении БФПС, должна включать три уровня:
на первом уровне управление рисками в ПС, а также управление непрерывностью функционирования ПС должно осуществляться структурными подразделениями подразделений Банка России при выполнении ими бизнес-процесса (далее - ПУРиН), руководителями ПУРиН, структурным подразделением Банка России, ответственным за определение требований к защите информации в ПС, структурным подразделением Банка России, ответственным за организацию и осуществление контроля за соблюдением требований к защите информации в ПС, руководителем структурного подразделения центрального аппарата Банка России, реализующего полномочия оператора ПС и ответственного за функционирование ПС в целом (далее - подразделение, реализующее полномочия оператора ПС), заместителем Председателя Банка России, курирующим вопросы организации и функционирования национальной платежной системы (далее - курирующий руководитель Банка России), Председателем Банка России, а также структурными подразделениями ОПКЦ внешней платежной системы, выполняющими бизнес-процесс в части оказания операционных услуг и услуг платежного клиринга при осуществлении перевода денежных средств с использованием СБП (далее - ПУРиН внешней платежной системы);
на втором уровне координация и методологическая поддержка деятельности по обеспечению БФПС должны выполняться подразделением, реализующим полномочия оператора ПС, и структурным подразделением центрального аппарата Банка России, ответственным за развитие системы управления рисками Банка России (далее - УРСУР), Комитетом по управлению рисками в ПС (далее - Комитет), а также подразделением ОПКЦ внешней платежной системы, ответственным за контроль рисков в СБП (далее - УпКР);
на третьем уровне должны проводиться оценка системы управления рисками в ПС (далее - СУР) Службой главного аудитора Банка России, и оценка системы управления рисками ОПКЦ внешней платежной системы - подразделением, осуществляющим внутренний аудит ОПКЦ внешней платежной системы.
Информация об изменениях:
Пункт 2.2 изменен с 1 октября 2024 г. - Указание Банка России от 9 января 2024 г. N 6653-У
2.2. Обеспечение БФПС должно осуществляться следующими субъектами организационной структуры:
Председателем Банка России;
курирующим руководителем Банка России;
Комитетом;
руководителем подразделения, реализующего полномочия оператора ПС (далее - владелец бизнес-процесса);
руководителем ПУРиН;
работниками подразделений Банка России, в состав которых в том числе входят ПУРиН (далее - работники структурных подразделений Банка России);
работниками УРСУР, выполняющими методологические функции по управлению рисками, присущими бизнес-процессу (далее - работники УРСУР);
работниками структурного подразделения Банка России, реализующего полномочия оператора ПС, выполняющими методологические функции по управлению непрерывностью функционирования ПС (далее - работники оператора ПС);
работниками структурного подразделения Банка России, реализующего полномочия оператора ПС, назначенными владельцем бизнес-процесса для координации и выполнения работ по обеспечению БФПС (далее - риск-координаторы бизнес-процесса);
работниками ПУРиН, назначенными руководителем ПУРиН для координации и выполнения работ по обеспечению БФПС в рамках компетенции данного ПУРиН (далее - риск-координаторы ПУРиН);
работником ОПКЦ внешней платежной системы, назначенным руководителем ОПКЦ внешней платежной системы для координации и выполнения работ по обеспечению БФПС в части оказания операционных услуг и услуг платежного клиринга при осуществлении перевода денежных средств с использованием СБП (далее - риск-координатор СБП внешней платежной системы). Руководитель ОПКЦ внешней платежной системы может назначить нескольких работников ОПКЦ внешней платежной системы риск-координаторами СБП внешней платежной системы;
работниками ПУРиН внешней платежной системы, осуществляющими координацию и выполнение работ по обеспечению БФПС в части оказания операционных услуг и услуг платежного клиринга при осуществлении перевода денежных средств с использованием СБП в рамках компетенции данного структурного подразделения ОПКЦ внешней платежной системы (далее - риск-координаторы ПУРиН внешней платежной системы);
работниками структурного подразделения Банка России, ответственного за определение требований к защите информации в ПС (далее - работники, определяющие требования к защите информации);
работниками структурного подразделения Банка России, ответственного за организацию и осуществление контроля за соблюдением требований к защите информации в ПС (далее - работники, осуществляющие контроль за соблюдением требований к защите информации).
Работники структурных подразделений Банка России, выполняющие функции, указанные в абзацах девятом, десятом, одиннадцатом, четырнадцатом и пятнадцатом настоящего пункта, назначаются организационно-распорядительными документами Банка России.
2.2.1. Председатель Банка России:
рассматривает и утверждает ежегодный отчет об управлении рисками в ПС;
абзац утратил силу с 1 октября 2024 г. - Указание Банка России от 9 января 2024 г. N 6653-У
Информация об изменениях:
принимает решения о выделении ресурсов для обеспечения БФПС.
Информация об изменениях:
Пункт 2.2.2 изменен с 1 октября 2024 г. - Указание Банка России от 9 января 2024 г. N 6653-У
2.2.2. Курирующий руководитель Банка России:
осуществляет контроль за обеспечением БФПС;
согласовывает предложения владельца бизнес-процесса по мерам реагирования на значимые риски (далее - меры реагирования) III зоны карты рисков, представленной в приложении 3 к настоящему Положению, и обеспечивает организацию выполнения принятых решений;
согласовывает ключевые индикаторы рисков (далее - КИР), предложенные владельцем бизнес-процесса в дополнение к указанным в приложении 2 к настоящему Положению (далее - дополнительные КИР), или отмену дополнительных КИР;
утверждает план действий, направленных на обеспечение непрерывности деятельности и (или) восстановление деятельности Банка России как оператора ПС (далее - план ОНиВД), за исключением плана ОНиВД ОПКЦ внешней платежной системы;
принимает решения о применении мер реагирования, направленных на обеспечение непрерывности функционирования ПС в условиях инцидента (далее - ответные меры), приводящего к приостановлению оказания одной или нескольких УПИ более чем на два часа, в том числе о реализации соответствующей последовательности действий плана ОНиВД (далее - сценарий плана ОНиВД), а также принимает решения о реагировании на инциденты, воздействие которых требует перехода на оказание УПИ с использованием резервного комплекса программных и (или) технических средств;
принимает решения по спорным вопросам, возникающим при обеспечении БФПС, в том числе при отсутствии по ним согласованной позиции у подразделений Банка России, обеспечивающих функционирование ПС.
2.2.3. Комитет является коллегиальным органом по управлению рисками, присущими бизнес-процессу. Функции, состав и полномочия Комитета, в том числе в части оценки СУР, определяются положением о Комитете, утвержденным организационно-распорядительным документом Банка России.
Информация об изменениях:
Пункт 2.2.4 изменен с 1 октября 2024 г. - Указание Банка России от 9 января 2024 г. N 6653-У
2.2.4. Владелец бизнес-процесса должен обеспечивать БФПС посредством выполнения следующих мероприятий.
В части управления рисками в ПС владелец бизнес-процесса должен:
обеспечивать формирование и поддержание в актуальном состоянии описания бизнес-процесса;
совместно с руководителями ПУРиН обеспечивать идентификацию значимых рисков, присущих бизнес-процессу;
утверждать перечень значимых рисков;
совместно с руководителями ПУРиН обеспечивать проведение оценки значимых рисков;
организовать ведение профиля значимых рисков, в том числе риска нарушения БФПС (далее - профиль рисков в ПС), и утверждать профиль рисков в ПС, подготовленный по результатам проведенной оценки значимых рисков, а также допустимые уровни значимых рисков;
обеспечивать подготовку, направление курирующему руководителю Банка России предложений о реагировании на значимые риски III зоны карты рисков и выполнение принятых решений по ним;
рассматривать и согласовывать предложения риск-координаторов ПУРиН, риск-координаторов ПУРиН внешней платежной системы по мерам реагирования на значимые риски II зоны карты рисков, обеспечивать организацию выполнения принятых решений по ним;
обеспечивать подготовку плана ОНиВД, его тестирование и пересмотр;
направлять курирующему руководителю Банка России при наличии предложения о разработке (отмене) дополнительных КИР и обеспечивать выполнение принятых решений по ним;
обеспечивать мониторинг уровней значимых рисков и их анализ, в том числе в режиме реального времени, посредством расчета с заданной периодичностью текущих значений КИР и сопоставления их в режиме реального времени с пороговыми значениями КИР (далее - мониторинг уровней значимых рисков), а также принимать решение о назначении ответственного ПУРиН за мониторинг уровней значимых рисков с использованием КИР 1 - КИР 5, расчет которых осуществляется в соответствии с пунктом 2 приложения 2 к настоящему Положению;
принимать меры, направленные на решение проблем, возникших у нескольких подразделений Банка России при обеспечении БФПС (далее -системные проблемы);
обеспечивать подготовку ежегодного отчета об управлении рисками в ПС;
обеспечивать выполнение решений Комитета, в том числе сформированных по итогам проведенной оценки СУР;
обеспечивать непрерывность исполнения обязанностей, возложенных настоящим Положением на риск-координаторов бизнес-процесса и риск-координаторов ПУРиН, в период их отсутствия на рабочем месте более одного рабочего дня (для риск-координаторов ПУРиН с учетом графика работы ПУРиН).
В части управления непрерывностью функционирования ПС владелец бизнес-процесса должен:
обеспечивать выявление и регистрацию инцидентов;
обеспечивать полноту и корректность сведений о зарегистрированных инцидентах;
обеспечивать проведение оценки влияния на БФПС каждого и всех в совокупности инцидентов, реализовавшихся в течение календарного месяца при выполнении бизнес-процесса;
принимать решения о применении ответных мер, включая активацию сценариев плана ОНиВД в отношении инцидентов, приводящих к нарушению надлежащего оказания УПИ в ПС, за исключением решений, отнесенных к компетенции курирующего руководителя Банка России, руководителей ПУРиН;
обеспечивать подготовку предложений о применении ответных мер, в том числе об активации сценариев плана ОНиВД, отнесенных к компетенции курирующего руководителя Банка России, и выполнение принятых решений о применении указанных мер;
принимать меры, направленные на решение системных проблем.
В части организации взаимодействия Банка России, ОПКЦ внешней платежной системы и участников ПС по обеспечению БФПС владелец бизнес-процесса должен обеспечивать:
информирование участников ПС о приостановлении и восстановлении оказания УПИ в ПС;
информирование ОПКЦ внешней платежной системы о приостановлении и восстановлении оказания Банком России УПИ в рамках СБП.
В части осуществления контроля за соблюдением ОПКЦ внешней платежной системы требований настоящего Положения по обеспечению БФПС владелец бизнес-процесса должен:
обеспечивать рассмотрение документов, определяющих деятельность ОПКЦ внешней платежной системы по обеспечению БФПС в части СБП;
утверждать подготовленные риск-координаторами бизнес-процесса результаты рассмотрения документов, определяющих деятельность ОПКЦ внешней платежной системы по обеспечению БФПС в части СБП.
Информация об изменениях:
Пункт 2.2.5 изменен с 1 октября 2024 г. - Указание Банка России от 9 января 2024 г. N 6653-У
2.2.5. Руководители ПУРиН должны обеспечивать БФПС в части компетенции ПУРиН посредством выполнения следующих мероприятий.
В части управления рисками в ПС руководители ПУРиН должны:
обеспечивать формирование и поддержание в актуальном состоянии описания выполняемых шагов (операций) бизнес-процесса, в том числе посредством направления владельцу бизнес-процесса предложений о внесении изменений в их описание;
обеспечивать идентификацию значимых рисков, присущих бизнес-процессу, и осуществлять согласование перечня значимых рисков, подготовленного риск-координаторами ПУРиН;
обеспечивать проведение оценки значимых рисков;
организовывать ведение информации о значимых рисках в рамках профиля рисков в ПС в части компетенции ПУРиН и согласовывать содержание данной информации, подготовленной риск-координаторами ПУРиН, в профиле рисков в ПС по результатам оценки значимых рисков;
обеспечивать подготовку, направление владельцу бизнес-процесса предложений о реагировании на значимые риски III и II зоны карты рисков и выполнение принятых решений по ним;
обеспечивать подготовку плана ОНиВД, его тестирование и пересмотр в части компетенции ПУРиН;
рассматривать предложения риск-координаторов ПУРиН об установлении (отмене) дополнительных КИР, вносить предложения об установлении (отмене) дополнительных КИР владельцу бизнес-процесса и обеспечивать выполнение принятых решений по ним;
обеспечивать проведение мониторинга уровней значимых рисков на предмет своевременного применения мер реагирования;
обеспечивать подготовку материалов для включения в ежегодный отчет об управлении рисками в ПС;
обеспечивать выполнение решений Комитета, в том числе сформированных по итогам проведенной оценки СУР;
обеспечивать осведомленность работников ПУРиН о значимых рисках и порядке управления ими.
В части управления непрерывностью функционирования ПС руководители ПУРиН должны:
обеспечивать выявление и регистрацию инцидентов;
обеспечивать полноту и корректность сведений о зарегистрированных инцидентах;
обеспечивать проведение оценки влияния на БФПС каждого инцидента и всех в совокупности инцидентов, реализовавшихся в течение календарного месяца при выполнении бизнес-процесса, в части компетенции ПУРиН;
принимать решения о применении ответных мер, за исключением решений, отнесенных к компетенции курирующего руководителя Банка России, владельца бизнес-процесса;
обеспечивать реализацию ответных мер, в том числе по активации сценариев плана ОНиВД, в отношении инцидентов, приводящих к приостановлению оказания УПИ более чем на два часа.
В части организации взаимодействия Банка России, ОПКЦ внешней платежной системы и участников ПС по обеспечению БФПС руководители ПУРиН должны обеспечивать:
информирование участников ПС о приостановлении и восстановлении оказания УПИ, если такое информирование отнесено к компетенции ПУРиН;
информирование ОПКЦ внешней платежной системы о приостановлении и восстановлении оказания Банком России УПИ в СБП, если такое информирование отнесено к компетенции ПУРиН.
2.2.6. Работники подразделений Банка России должны выполнять решения по обеспечению БФПС, принятые Председателем Банка России, курирующим руководителем Банка России, владельцем бизнес-процесса и руководителями соответствующих ПУРиН, а также информировать риск-координаторов ПУРиН своего подразделения Банка России об идентифицированных рисках, присущих бизнес-процессу, и выявленных инцидентах, представлять документы и информацию по запросам риск-координаторов бизнес-процесса и риск-координаторов ПУРиН своего подразделения Банка России.
Информация об изменениях:
Пункт 2.2.7 изменен с 30 сентября 2022 г. - Указание Банка России от 22 сентября 2022 г. N 6254-У
2.2.7. Работники УРСУР должны осуществлять координацию и методологическую поддержку деятельности по управлению рисками, присущими бизнес-процессу, в том числе:
осуществлять верификацию сведений о значимых рисках и сведений о дополнительных КИР;
разрабатывать и поддерживать в актуальном состоянии структурированные справочники источников риска (риск-факторов), областей реализации рисков (риск-событий) и мер реагирования;
проводить анализ данных о значимых рисках и об управлении ими, в том числе на предмет выявления системных проблем, и при их выявлении готовить предложения для подразделений Банка России и (или) руководства Банка России, направленные на урегулирование системных проблем.
2.2.8. Работники оператора ПС должны осуществлять координацию и методологическую поддержку деятельности по управлению непрерывностью функционирования ПС.
2.2.9. Работники УпКР должны осуществлять координацию и методологическую поддержку деятельности работников ПУРиН внешней платежной системы по вопросам обеспечения БФПС в части оказания операционных услуг и услуг платежного клиринга при осуществлении перевода денежных средств с использованием СБП.
Информация об изменениях:
Пункт 2.2.10 изменен с 30 сентября 2022 г. - Указание Банка России от 22 сентября 2022 г. N 6254-У
2.2.10. Риск-координаторы бизнес-процесса должны оказывать методологическую поддержку руководителям ПУРиН, риск-координаторам ПУРиН и другим работникам ПУРиН, а также риск-координатору СБП внешней платежной системы по вопросам обеспечения БФПС и выполнять следующие мероприятия.
В части управления рисками в ПС риск-координаторы бизнес-процесса должны:
контролировать актуальность описания бизнес-процесса;
идентифицировать риски, присущие бизнес-процессу, и формировать перечень значимых рисков;
согласовывать подготовленные ПУРиН результаты оценки значимых рисков и составлять профиль рисков в ПС;
рассматривать предложения ПУРиН, ПУРиН внешней платежной системы о применении мер реагирования в отношении значимых рисков III и II зоны карты рисков;
осуществлять контроль за своевременным выполнением ПУРиН решений о применении в отношении значимых рисков мер реагирования, принятых курирующим руководителем Банка России и владельцем бизнес-процесса, в том числе посредством направления запросов о представлении информации и документов руководителям ПУРиН, риск-координаторам ПУРиН и другим работникам ПУРиН;
абзац тратил силу с 1 октября 2024 г. - Указание Банка России от 9 января 2024 г. N 6653-У
Информация об изменениях:
обеспечивать подготовку плана ОНиВД, участвовать в его тестировании и пересмотре;
согласовывать разработанные риск-координаторами ПУРиН дополнительные КИР, а также предложения по их отмене;
подготавливать предложения для владельца бизнес-процесса по назначению ответственного ПУРиН за мониторинг уровней значимых рисков с использованием КИР 1 - КИР 5 и подготавливать предложения для владельца бизнес-процесса по принятию мер, направленных на совершенствование бизнес-процесса;
осуществлять подготовку ежегодного отчета об управлении рисками в ПС;
доводить до сведения риск-координатора СБП внешней платежной системы информацию о владельце бизнес-процесса и риск-координаторах бизнес-процесса, осуществляющих координацию деятельности по обеспечению БФПС с ОПКЦ внешней платежной системы;
подготавливать предложения для владельца бизнес-процесса по реализации решений Комитета, сформированных по итогам проведенной оценки СУР.
В части управления непрерывностью функционирования ПС риск-координаторы бизнес-процесса должны:
согласовывать сведения о выявленных риск-координаторами ПУРиН инцидентах;
согласовывать результаты оценки влияния на БФПС каждого инцидента и всех в совокупности инцидентов, реализовавшихся в течение календарного месяца при выполнении бизнес-процесса;
согласовывать предложения риск-координаторов ПУРиН о применении в отношении инцидентов, реализовавшихся при выполнении бизнес-процесса, ответных мер, в том числе сценариев плана ОНиВД;
осуществлять контроль за своевременным выполнением работниками ПУРиН решений о применении ответных мер, в том числе посредством направления запросов о представлении информации и документов руководителям ПУРиН, риск-координаторам ПУРиН и другим работникам ПУРиН;
утратил силу с 30 сентября 2022 г. - Указание Банка России от 22 сентября 2022 г. N 6254-У
Информация об изменениях:
В части осуществления контроля за соблюдением ОПКЦ внешней платежной системы порядка обеспечения БФПС риск-координаторы бизнес-процесса должны:
анализировать документы, определяющие деятельность ОПКЦ внешней платежной системы по обеспечению БФПС в части СБП, на их соответствие настоящему Положению, в том числе с использованием подготовленного риск-координатором СБП внешней платежной системы заключения о соответствии документов ОПКЦ внешней платежной системы настоящему Положению (далее - заключение о соответствии);
формировать предложения по устранению выявленных несоответствий в документах ОПКЦ внешней платежной системы по обеспечению БФПС в части СБП;
направлять на утверждение владельцу бизнес-процесса сформированные предложения по устранению выявленных несоответствий в документах ОПКЦ внешней платежной системы по обеспечению БФПС в части СБП.
2.2.11. Риск-координаторы ПУРиН, риск-координаторы ПУРиН внешней платежной системы должны оказывать методологическую поддержку работникам ПУРиН, работникам ПУРиН внешней платежной системы соответственно по вопросам обеспечения БФПС и проводить следующие мероприятия в части компетенции ПУРиН, ПУРиН внешней платежной системы.
В части управления рисками в ПС риск-координаторы ПУРиН, риск-координаторы ПУРиН внешней платежной системы должны:
контролировать актуальность описания бизнес-процесса (для риск-координаторов ПУРиН);
контролировать актуальность документов ОПКЦ внешней платежной системы, устанавливающих порядок взаимодействия участника СБП, ОПКЦ внешней платежной системы и Банка России (далее - стандарты ОПКЦ внешней платежной системы) (для риск-координаторов ПУРиН внешней платежной системы);
участвовать в идентификации значимых рисков и формировании перечня значимых рисков;
проводить оценку значимых рисков и заполнять профиль рисков в ПС в части значимых рисков бизнес-процесса, управление которыми отнесено к компетенции ПУРиН;
проводить оценку значимых рисков и заполнять профиль рисков в ПС в части значимых рисков бизнес-процесса, управление которыми отнесено к ПУРиН внешней платежной системы (для риск-координаторов ПУРиН);
подготавливать предложения о применении в отношении значимых рисков III и II зоны карты рисков мер реагирования и согласовывать их с руководителями ПУРиН (для риск-координаторов ПУРиН), риск-координатором СБП внешней платежной системы (для риск-координаторов ПУРиН внешней платежной системы);
осуществлять контроль за своевременным выполнением ПУРиН решений, принятых курирующим руководителем Банка России (владельцем бизнес-процесса, руководителями ПУРиН в части, относящейся к компетенции ПУРиН), о применении мер реагирования, в том числе посредством направления запросов о представлении информации и документов работникам ПУРиН;
осуществлять контроль за своевременным выполнением ПУРиН внешней платежной системы решений, принятых риск-координатором СБП внешней платежной системы в части, относящейся к компетенции ПУРиН внешней платежной системы, о применении мер реагирования, в том числе посредством направления запросов о представлении информации и документов работникам ПУРиН внешней платежной системы;
подготавливать предложения к плану ОНиВД, участвовать в тестировании плана ОНиВД и пересмотре плана ОНиВД;
подготавливать по результатам оценки значимых рисков предложения по дополнительным КИР или их отмене (при наличии предложений);
проводить мониторинг уровней значимых рисков;
участвовать в подготовке материалов для включения в ежегодный отчет об управлении рисками в ПС.
В части управления непрерывностью функционирования ПС риск-координаторы ПУРиН, риск-координаторы ПУРиН внешней платежной системы должны:
выявлять инциденты и регистрировать инциденты;
проводить оценку влияния на БФПС каждого инцидента и всех в совокупности инцидентов, реализовавшихся в течение календарного месяца, управление которыми отнесено к компетенции ПУРиН, ПУРиН внешней платежной системы, и направлять результаты оценки на согласование риск-координаторам бизнес-процесса (для риск-координаторов ПУРиН), риск-координатору СБП внешней платежной системы (для риск-координаторов ПУРиН внешней платежной системы);
подготавливать предложения для руководителей ПУРиН, риск-координатора СБП внешней платежной системы о применении в отношении выявленных инцидентов ответных мер, в том числе сценариев плана ОНиВД;
осуществлять контроль за своевременным выполнением работниками ПУРиН, работниками ПУРиН внешней платежной системы решений о применении ответных мер, в том числе посредством направления запросов о представлении информации и документов работникам ПУРиН, работникам ПУРиН внешней платежной системы;
В части организации взаимодействия Банка России, ОПКЦ внешней платежной системы и участников ПС по обеспечению БФПС:
риск-координаторы ПУРиН должны контролировать выполнение мероприятий по информированию:
участников ПС о приостановлении и восстановлении оказания УПИ, если такое информирование отнесено к компетенции ПУРиН;
ОПКЦ внешней платежной системы о приостановлении и восстановлении оказания Банком России УПИ в рамках СБП, если такое информирование отнесено к компетенции ПУРиН;
риск-координаторы ПУРиН внешней платежной системы должны контролировать выполнение мероприятий по информированию Банка России и участников ПС о приостановлении и восстановлении оказания УПИ в рамках СБП, если такое информирование отнесено к компетенции ПУРиН внешней платежной системы.
Информация об изменениях:
Пункт 2.2.12 изменен с 1 октября 2024 г. - Указание Банка России от 9 января 2024 г. N 6653-У
2.2.12. Риск-координатор СБП внешней платежной системы должен обеспечивать БФПС в рамках СБП в части функций ОПКЦ внешней платежной системы и проводить следующие мероприятия.
В части управления рисками в ПС риск-координатор СБП внешней платежной системы должен:
контролировать актуальность стандартов ОПКЦ внешней платежной системы;
идентифицировать значимые риски ОПКЦ внешней платежной системы и формировать перечень значимых рисков ОПКЦ внешней платежной системы, подготовленный риск-координаторами ПУРиН внешней платежной системы;
обеспечивать проведение риск-координаторами ПУРиН внешней платежной системы оценки значимых рисков ОПКЦ внешней платежной системы;
составлять профиль рисков ОПКЦ внешней платежной системы, подготовленный риск-координаторами ПУРиН внешней платежной системы, и направлять профиль рисков ОПКЦ внешней платежной системы владельцу бизнес-процесса;
обеспечивать подготовку предложений риск-координаторами ПУРиН внешней платежной системы о применении дополнительных мер реагирования в отношении значимых рисков ОПКЦ внешней платежной системы III и II зоны карты рисков, согласовывать их;
составлять план реализации дополнительных мер реагирования, указанных в профиле рисков ОПКЦ внешней платежной системы, и направлять его владельцу бизнес-процесса;
осуществлять контроль за своевременным выполнением ПУРиН внешней платежной системы решений о применении в отношении значимых рисков ОПКЦ внешней платежной системы дополнительных мер реагирования;
обеспечивать подготовку плана ОНиВД ОПКЦ внешней платежной системы, участвовать в его тестировании и пересмотре;
рассматривать предложения риск-координаторов ПУРиН внешней платежной системы по дополнительным КИР или их отмене;
направлять при наличии предложения о разработке или отмене дополнительных КИР риск-координаторам бизнес-процесса;
обеспечивать проведение мониторинга уровней значимых рисков ОПКЦ внешней платежной системы;
утратил силу с 30 сентября 2022 г. - Указание Банка России от 22 сентября 2022 г. N 6254-У
Информация об изменениях:
обеспечивать подготовку и направление риск-координатору бизнес-процесса информации для включения в ежегодный отчет об управлении рисками в ПС;
обеспечивать выполнение решений Комитета, сформированных по итогам проведенной оценки СУР и оценки системы управления рисками ОПКЦ внешней платежной системы.
В части управления непрерывностью функционирования ПС риск-координатор СБП внешней платежной системы должен:
обеспечивать выявление и регистрацию инцидентов, согласовывать сведения о выявленных риск-координаторами ПУРиН внешней платежной системы инцидентах и направлять указанные сведения риск-координаторам бизнес-процесса;
обеспечивать полноту и корректность данных о зарегистрированных инцидентах;
обеспечивать проведение оценки влияния на БФПС каждого инцидента и всех в совокупности инцидентов, реализовавшихся в течение календарного месяца, а также согласовать результаты указанной оценки с риск-координаторами бизнес-процесса;
осуществлять контроль за своевременным выполнением работниками ПУРиН внешней платежной системы решений о применении ответных мер, в том числе посредством направления запросов о представлении информации и документов руководителям ПУРиН внешней платежной системы, риск-координаторам ПУРиН внешней платежной системы и другим работникам ПУРиН внешней платежной системы;
утратил силу с 30 сентября 2022 г. - Указание Банка России от 22 сентября 2022 г. N 6254-У
Информация об изменениях:
организовать проведение оценки соответствия текущего уровня защиты информации объектов информационной инфраструктуры ОПКЦ внешней платежной системы, обеспечивающих функционирование ПС, уровням, определенным пунктом 6.7 раздела 6 национального стандарта Российской Федерации ГОСТ Р 57580.1-2017 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер" (утвержден приказом Федерального агентства по техническому регулированию и метрологии от 8 августа 2017 года N 822-ст (М., ФГУП "Стандартинформ", 2017) и введен в действие 1 января 2018 года) (далее - ГОСТ Р 57580.1-2017), согласно методике оценки соответствия защиты информации, определенной в разделе 6 национального стандарта Российской Федерации ГОСТ Р 57580.2-2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия" (утвержден приказом Федерального агентства по техническому регулированию и метрологии от 28 марта 2018 года N 156-ст (М., ФГУП "Стандартинформ", 2018) и введен в действие 1 сентября 2018 года) (далее - ГОСТ Р 57580.2-2018).
В части организации взаимодействия Банка России, ОПКЦ внешней платежной системы и участников ПС по обеспечению БФПС риск-координатор СБП внешней платежной системы должен контролировать выполнение мероприятий по информированию Банка России и участников ПС о приостановлении и восстановлении оказания УПИ.
В части осуществления контроля за соблюдением ОПКЦ внешней платежной системы порядка обеспечения БФПС риск-координатор СБП внешней платежной системы должен:
обеспечивать разработку и поддержание в актуальном состоянии документов ОПКЦ внешней платежной системы, определяющих деятельность ОПКЦ внешней платежной системы по обеспечению БФПС в части СБП, соответствующих требованиям настоящего Положения по обеспечению БФПС;
направлять владельцу бизнес-процесса на рассмотрение документы, определяющие деятельность ОПКЦ внешней платежной системы по обеспечению БФПС в части СБП, и заключение о соответствии;
контролировать соблюдение требований документов, определяющих деятельность ОПКЦ внешней платежной системы по обеспечению БФПС в части СБП, работниками ПУРиН внешней платежной системы.
Информация об изменениях:
Пункт 2.2 дополнен подпунктом 2.2.13 с 1 октября 2024 г. - Указание Банка России от 9 января 2024 г. N 6653-У
2.2.13. Работники, определяющие требования к защите информации, должны:
проводить мониторинг уровня риска информационной безопасности в ПС на основе КИР 6, КИР 7, КИР 8 и КИР 9, определенных в приложении 2 к настоящему Положению;
предоставлять риск-координаторам бизнес-процесса результаты мониторинга уровня риска информационной безопасности в ПС в части КИР 6, КИР 7, КИР 8 и КИР 9 для включения в ежегодный отчет об управлении рисками в ПС;
разрабатывать и предоставлять риск-координаторам бизнес-процесса сценарии плана ОНиВД в отношении инцидентов защиты информации в ПС.
Информация об изменениях:
Пункт 2.2 дополнен подпунктом 2.2.14 с 1 октября 2024 г. - Указание Банка России от 9 января 2024 г. N 6653-У
2.2.14. Работники, осуществляющие контроль за соблюдением требований к защите информации, должны:
организовать контроль за соблюдением требований к защите информации в ПС;
организовать проведение оценки соответствия текущего уровня защиты информации объектов информационной инфраструктуры Банка России, обеспечивающих функционирование ПС, уровням, определенным пунктом 6.7 раздела 6 ГОСТ Р 57580.1-2017, согласно методике оценки соответствия защиты информации, определенной в разделе 6 ГОСТ Р 57580.2-2018;
проводить мониторинг уровня риска информационной безопасности в ПС на основе КИР 10, КИР 11, определенных в приложении 2 к настоящему Положению;
предоставлять риск-координаторам бизнес-процесса результаты мониторинга уровня риска информационной безопасности в ПС в части КИР 10 и КИР 11 для включения в ежегодный отчет об управлении рисками в ПС;
разрабатывать и предоставлять риск-координаторам бизнес-процесса сценарии плана ОНиВД в отношении инцидентов защиты информации в ПС в части КИР 10 и КИР 11;
организовывать применение в отношении инцидентов защиты информации в ПС в части КИР 10 и КИР 11, реализовавшихся при выполнении бизнес-процесса, ответных мер;
информировать структурное подразделение Банка России, ответственное за определение требований к защите информации в ПС, и риск-координаторов бизнес-процесса о выявленных инцидентах защиты информации в ПС в случае, если нарушения пороговых значений КИР 10 и КИР 11 приводят к инцидентам защиты информации в ПС.
2.3. Обязанности субъектов организационной структуры при выполнении ими деятельности по управлению значимыми рисками, предусмотренной главой 3 настоящего Положения, и деятельности по управлению непрерывностью функционирования ПС, предусмотренной главой 4 настоящего Положения, также определяются договором о взаимодействии платежных систем, заключенным между Банком России и оператором внешней платежной системы в соответствии с частью 37 статьи 15 Федерального закона "О национальной платежной системе" (Собрание законодательства Российской Федерации, 2011, N 27, ст. 3872; 2019, N 31, ст. 4423).
Открыть документ в системе ГАРАНТ