Проект Положения Банка России "О требованиях к порядку обеспечения бесперебойности функционирования платежной системы, показателям бесперебойности функционирования платежной системы и методикам анализа рисков в платежной системе, включая профили рисков" (подготовлен Банком России 16.08.2017)

Проект Положения Банка России "О требованиях к порядку обеспечения бесперебойности функционирования платежной системы, показателям бесперебойности функционирования платежной системы и методикам анализа рисков в платежной системе, включая профили рисков"
(подготовлен Банком России 16.08.2017 г.)

Досье на проект

На основании пунктов 4 - 6 части 3 статьи 28 Федерального закона от 27 июня 2011 года N 161-ФЗ "О национальной платежной системе" (Собрание законодательства Российской Федерации, 2011, N 27, ст. 3872; 2012, N 53, ст. 7592; 2013, N 27, ст. 3477; N 30, ст. 4084; N 52, ст. 6968; 2014, N 19,ст. 2315, ст. 2317; N 43, ст. 5803; 2015, N 1, ст. 8, ст. 14; 2016, N 27, ст. 4221, ст. 4223, 2017, N 15, ст. 2134, N 18, ст. 2665) (далее - Федеральный закон N 161-ФЗ) Банк России устанавливает требования к порядку обеспечения бесперебойности функционирования платежной системы, показателям бесперебойности функционирования платежной системы и методикам анализа рисков в платежной системе, включая профили рисков.

Глава 1. Общие положения

1.1. Требования настоящего Положения применяются к оператору платежной системы при обеспечении бесперебойности функционирования платежной системы (далее - БФПС), которая достигается при условии:

оказания участникам платежной системы услуг платежной инфраструктуры в соответствии с Федеральным законом N 161-ФЗ, нормативными актами Банка России, правилами платежной системы, договорами об оказании услуг платежной инфраструктуры, документами оператора платежной системы и привлеченных им операторов услуг платежной инфраструктуры (далее - надлежащее оказание услуг платежной инфраструктуры) и (или)

восстановления надлежащего оказания услуг платежной инфраструктуры и восстановления оказания услуг платежной инфраструктуры в случае их приостановления в течение периодов времени, установленных оператором платежной системы в правилах платежной системы.

1.2. Оператор платежной системы обеспечивает БФПС путем осуществления скоординированной с операторами услуг платежной инфраструктуры и участниками платежной системы деятельности:

по организации системы управления рисками в платежной системе, оценке и управлению рисками в платежной системе (далее при совместном упоминании - управление рисками в платежной системе);

по выявлению нарушений надлежащего оказания услуг платежной инфраструктуры, обеспечению функционирования платежной системы в случае нарушения надлежащего оказания услуг платежной инфраструктуры и восстановлению надлежащего оказания услуг платежной инфраструктуры, включая восстановление оказания услуг платежной инфраструктуры в случае их приостановления, в течение периодов времени, установленных оператором платежной системы в правилах платежной системы (далее при совместном упоминании - управление непрерывностью функционирования платежной системы).

1.3. Порядок обеспечения БФПС определяется правилами платежной системы, а также документами оператора платежной системы и документами операторов услуг платежной инфраструктуры в случае, если это предусмотрено правилами платежной системы.

1.4. Требования настоящего Положения не распространяются на Банк России при осуществлении им функций расчетного центра в платежных системах на основании заключенных договоров.

Глава 2. Требования к порядку обеспечения бесперебойности функционирования платежной системы, показателям бесперебойности функционирования платежной системы

2.1. Оператор платежной системы определяет и выполняет порядок обеспечения БФПС с учетом особенностей функционирования платежной системы, в том числе осуществления процедур платежного клиринга и расчета, технологического обеспечения операторов услуг платежной инфраструктуры и других факторов, влияющих на БФПС, который должен включать:

управление рисками в платежной системе;

управление непрерывностью функционирования платежной системы;

организацию взаимодействия оператора платежной системы, операторов услуг платежной инфраструктуры и участников платежной системы (далее при совместном упоминании - субъекты платежной системы) по обеспечению БФПС;

контроль выполнения операторами услуг платежной инфраструктуры и участниками платежной системы порядка обеспечения БФПС.

2.2. Оператор платежной системы управляет рисками в платежной системе с учетом следующих требований.

2.2.1. Организует систему управления рисками в платежной системе с учетом определенной в соответствии с требованиями части 2 статьи 28 Федерального закона N 161-ФЗ организационной модели управления рисками в платежной системе. Система управления рисками в платежной системе может быть интегрирована в систему управления рисками деятельности оператора платежной системы, не связанной с функционированием платежной системы.

2.2.2. Проводит оценку рисков в платежной системе не реже одного раза в год с использованием методик анализа рисков в платежной системе, включая профили рисков, требования к которым определены в главе 3 настоящего Положения.

2.2.3. Определяет способы управления рисками в платежной системе из числа способов управления рисками, предусмотренных частью 5 статьи 28 Федерального закона N 161-ФЗ (далее - способы управления рисками в платежной системе).

2.2.4. Определяет в соответствии с требованиями, предусмотренными в Приложении 1 к настоящему Положению, следующие показатели БФПС:

показатель продолжительности восстановления оказания услуг платежной инфраструктуры (показатель П1), характеризующий период времени восстановления оказания услуг операторами услуг платежной инфраструктуры в случае приостановления оказания услуг платежной инфраструктуры, в том числе вследствие нарушения требований к обеспечению защиты информации при осуществлении переводов денежных средств, определенных Положением Банка России от 9 июля 2012 года N 382-П "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств", зарегистрированным Министерством юстиции Российской Федерации 14 июня 2012 года N 24575, 1 июля 2013 года N 28930, 10 сентября 2014 года N 34017;

показатель непрерывности оказания услуг платежной инфраструктуры (показатель П2), характеризующий период времени между двумя последовательно произошедшими в платежной системе событиями, которые привели к нарушению надлежащего оказания услуг платежной инфраструктуры, в том числе вследствие нарушения требований к обеспечению защиты информации при осуществлении переводов денежных средств, (далее - инциденты) в результате которых приостанавливалось оказание услуг платежной инфраструктуры;

показатель соблюдения регламента (показатель П3), характеризующий соблюдение операторами услуг платежной инфраструктуры времени начала, времени окончания, продолжительности и последовательности процедур, выполняемых операторами услуг платежной инфраструктуры при оказании операционных услуг, услуг платежного клиринга и расчетных услуг, предусмотренных частями 3 и 4 статьи 17, частью 4 статьи 19 и частями 1 и 8 статьи 25 Федерального закона N 161-ФЗ (далее - регламент выполнения процедур);

показатель доступности операционного центра платежной системы (показатель П4), характеризующий оказание операционных услуг операционным центром платежной системы;

показатель изменения частоты инцидентов (показатель П5), характеризующий темп прироста частоты инцидентов.

Наряду с перечисленными показателями БФПС, допускается определять иные показатели, характеризующие бесперебойность оказания участникам платежной системы и их клиентам операционных услуг, услуг платежного клиринга и расчетных услуг, а также уровень риска нарушения БФПС, при условии их определения в правилах платежной системы или иных документах оператора платежной системы и операторов услуг платежной инфраструктуры в случае, если это предусмотрено правилами платежной системы.

2.2.5. Устанавливает и пересматривает с использованием результатов оценки рисков в платежной системе пороговые уровни показателей БФПС.

Пороговые уровни показателей БФПС устанавливаются с учетом следующих ограничений:

пороговый уровень показателя П1 должен быть не более 2 часов для каждого из операторов услуг платежной инфраструктуры системно и социально значимых платежных систем и не более 6 часов - для каждого из операторов услуг платежной инфраструктуры платежных систем, не являющихся системно или социально значимыми;

пороговый уровень показателя П2 должен быть не менее 24 часов для каждого из операторов услуг платежной инфраструктуры системно значимой платежной системы и не менее 12 часов - для каждого из операторов услуг платежной инфраструктуры социально значимой платежной системы;

пороговый уровень показателя П3 должен быть не менее 98,0% для операционного и платежного клирингового центров платежной системы и не менее 99,0% - для расчетного центра платежной системы. Для платежных систем, в которых расчетный центр платежной системы одновременно предоставляет услуги операционного и (или) платежного клирингового центра, пороговый уровень показателя П3 должен быть не менее 98,0%;

пороговый уровень показателя П4 должен быть не менее 99,0% для системно значимой платежной системы, не менее 98,0% - для социально значимой платежной системы и не менее 96,0% - для платежных систем, не являющихся системно или социально значимыми.

2.2.6. Проводит расчет и анализ значений показателей БФПС, в том числе путем сравнения с их пороговыми уровнями. Использует результаты указанного анализа при оценке системы управления рисками в платежной системе и при оценке влияния инцидентов на БФПС.

2.2.7. Проводит оценку системы управления рисками в платежной системе, в том числе используемых методов оценки рисков, результатов применения способов управления рисками в платежной системе не реже одного раза в два года и документально оформляет результаты указанной оценки. При наличии коллегиального органа по управлению рисками в платежной системе оценка системы управления рисками в платежной системе проводится данным органом.

2.2.8. Вносит изменения в систему управления рисками в платежной системе в случае, если действующая система управления рисками в платежной системе не позволила предотвратить нарушение надлежащего оказания услуг платежной инфраструктуры, а также восстановить надлежащее оказание услуг платежной инфраструктуры и (или) оказание услуг платежной инфраструктуры в случае их приостановления в течение периодов времени, установленных оператором платежной системы в правилах платежной системы.

2.3. Оператор платежной системы управляет непрерывностью функционирования платежной системы с учетом следующих требований.

2.3.1. Организует деятельность по управлению непрерывностью функционирования платежной системы, в том числе путем установления прав и обязанностей субъектов платежной системы по управлению непрерывностью функционирования платежной системы в зависимости от определенной в соответствии с требованиями части 2 статьи 28 Федерального закона N 161-ФЗ организационной модели управления рисками в платежной системе.

2.3.2. Устанавливает критерии отнесения событий, произошедших в платежной системе, к инцидентам и доводит установленные критерии до сведения участников платежной системы.

Критерии устанавливаются с учетом особенностей функционирования платежной системы, в том числе осуществления процедур платежного клиринга и расчета, технологического обеспечения операторов услуг платежной инфраструктуры и других факторов, влияющих на БФПС.

Приостановление (прекращение) участия в платежной системе в случаях, предусмотренных правилами платежной системы в соответствии с пунктом 4 части 1 статьи 20 Федерального закона N 161-ФЗ, не рассматриваются в целях настоящего Положения в качестве инцидентов.

2.3.3. Определяет форму, порядок и сроки представления операторами услуг платежной инфраструктуры сведений, используемых для расчета показателей, установленных в подпункте 2.2.4 пункта 2.2 настоящей главы (далее - сведения по платежной системе), а также сведений об инцидентах, перечень которых определен в Приложении 2 к настоящему Положению.

2.3.4. Организует сбор и обработку сведений по платежной системе и сведений об инцидентах, а также хранит указанные сведения не менее трех лет с даты их представления операторами услуг платежной инфраструктуры.

2.3.5. Организует деятельность по разработке регламентов выполнения процедур и контролирует их выполнение.

2.3.6. Проводит оценку влияния на БФПС каждого произошедшего в платежной системе инцидента. Оценка влияния на БФПС инцидента проводится в течение 24 часов с момента его возникновения (выявления), а также в течение 24 часов после устранения инцидента (восстановления надлежащего оказания услуг платежной инфраструктуры).

В случае если вследствие произошедшего в платежной системе инцидента нарушен регламент выполнения процедур, но при этом не нарушен пороговый уровень для каждого из показателей П1, П2, данный инцидент признается непосредственно не влияющим на БФПС.

Произошедший в платежной системе инцидент признается влияющим на БФПС в случае, если вследствие данного инцидента реализовано хотя бы одно из следующих условий:

нарушен регламент выполнения процедур при одновременном нарушении порогового уровня для показателя П2;

нарушен пороговый уровень для показателя П1;

превышена продолжительность установленного оператором платежной системы времени, в течение которого должно быть восстановлено надлежащее оказание услуг платежной инфраструктуры.

В случае выявления дополнительных обстоятельств инцидента, оценка влияния которого на БФПС уже завершена, проводится повторная оценка произошедшего инцидента с учетом вновь выявленных обстоятельств.

2.3.7. Проводит оценку влияния на БФПС всех инцидентов, произошедших в платежной системе в течение календарного месяца. Оценка проводится в течение пяти рабочих дней после окончания календарного месяца, в котором возникли инциденты.

В случае если вследствие произошедших в платежной системе в течение календарного месяца инцидентов не нарушен пороговый уровень для показателя П4, рассчитанного по данным инцидентам, и одновременно нарушен пороговый уровень для показателя П3 и (или) показателя П5, рассчитанных по этим же инцидентам, то данные инциденты признаются непосредственно не влияющими на БФПС.

В случае если вследствие произошедших в платежной системе в течение календарного месяца инцидентов одновременно нарушены пороговые уровни для всех показателей П3, П4, П5, рассчитанных по данным инцидентам, то данные инциденты признаются влияющими на БФПС.

В случае выявления инцидентов или дополнительных обстоятельств инцидентов, произошедших в платежной системе в течение календарного месяца, за который уже проведена оценка их влияния на БФПС, проводится повторная оценка с учетом вновь выявленных обстоятельств в течение пяти рабочих дней после окончания календарного месяца, в котором выявлены инциденты или дополнительные обстоятельства.

2.3.8. Устанавливает в правилах платежной системы период времени, в течение которого должно быть восстановлено оказание услуг платежной инфраструктуры в случае их приостановления, и период времени, в течение которого должно быть восстановлено надлежащее оказание услуг платежной инфраструктуры в случае его нарушения.

2.3.9. Обеспечивает оказание услуг платежной инфраструктуры при возникновении инцидентов, а также организует восстановление оказания услуг операторами услуг платежной инфраструктуры в случае их приостановления и восстановление надлежащего оказания услуг платежной инфраструктуры в случае его нарушения в течение установленных периодов времени.

Оператор системно значимой платежной системы при возникновении инцидента обеспечивает в день его возникновения осуществление расчета в платежной системе до конца дня по распоряжениям участников платежной системы об осуществлении перевода денежных средств (далее - распоряжение участника платежной системы), поступившим в расчетный центр платежной системы и подлежащим исполнению в этот день в  соответствии с законодательством Российской Федерации, и договорами, включая правила платежной системы.

2.3.10. Устанавливает уровни оказания услуг платежной инфраструктуры, которые должны быть обеспечены операторами услуг платежной инфраструктуры.

2.3.11. Разрабатывает, проверяет (тестирует) и пересматривает план действий, направленных на обеспечение непрерывности деятельности и (или) восстановление деятельности оператора платежной системы, (далее - план ОНиВД) с периодичностью не реже одного раза в два года.

2.3.12.  Разрабатывает и включает в план ОНиВД мероприятия, направленные на управление непрерывностью функционирования платежной системы в случае возникновения инцидентов, связанных с приостановлением оказания услуг платежной инфраструктуры или нарушением установленных уровней оказания услуг платежной инфраструктуры, в том числе:

при наличии в платежной системе двух и более операционных и (или) платежных клиринговых и (или) расчетных центров - мероприятий по обеспечению взаимозаменяемости операторов услуг платежной инфраструктуры;

при наличии в платежной системе одного операционного и (или) платежного клирингового и (или) расчетного центров - мероприятий по привлечению другого оператора услуг платежной инфраструктуры и по переходу участников платежной системы на обслуживание к вновь привлеченному оператору услуг платежной инфраструктуры в течение срока, установленного правилами платежной системы, в случаях:

превышения оператором услуг платежной инфраструктуры времени восстановления оказания услуг платежной инфраструктуры в случае их приостановления более двух раз в течение трех месяцев подряд;

нарушения правил платежной системы, выразившегося в отказе оператора услуг платежной инфраструктуры в одностороннем порядке от оказания услуг участнику (участникам) платежной системы, не связанного с приостановлением (прекращением) участия в платежной системе в случаях, предусмотренных правилами платежной системы.

2.3.13. Обеспечивает реализацию мероприятий, предусмотренных подпунктом 2.3.12 пункта 2.3 настоящей главы.

2.3.14. Организует разработку и контролирует наличие планов ОНиВД у операторов услуг платежной инфраструктуры, проведение ими проверки (тестирования) и пересмотра планов ОНиВД с периодичностью не реже одного раза в два года.

2.3.15. В случае если оператор платежной системы, оператор услуг платежной инфраструктуры является кредитной организацией, разработка, проверка (тестирование) и пересмотр плана ОНиВД осуществляется в порядке, предусмотренном Положением Банка России от 16 декабря 2003 года N 242-П "Об организации внутреннего контроля в кредитных организациях и банковских группах", зарегистрированным Министерством юстиции Российской Федерации 27 января 2004 года N 5489, 22 декабря 2004 года N 6222, 20 марта 2009 года N 13547, 30 июня 2014 года N 32913 (далее - Положение Банка России N 242-П) с учетом требований к плану ОНиВД, содержащихся в подпункте 2.3.11 настоящего пункта.

2.3.16. Анализирует эффективность мероприятий по восстановлению надлежащего оказания услуг платежной инфраструктуры и использует полученные результаты при управлении рисками в платежной системе.

2.4. Оператор платежной системы может передать все или часть функций по реализации мероприятий, предусмотренных пунктами 2.2 и 2.3 настоящей главы, операторам услуг платежной инфраструктуры и участникам платежной системы при использовании в платежной системе организационной модели управления рисками в платежной системе, предусмотренной пунктом 2 части 2 статьи 28 Федерального закона N 161-ФЗ, или расчетному центру при использовании в платежной системе организационной модели управления рисками в платежной системе, предусмотренной пунктом 3 части 2 статьи 28 Федерального закона N 161-ФЗ.

2.5. Оператор платежной системы организует взаимодействие субъектов платежной системы по обеспечению БФПС с учетом следующих требований.

2.5.1. Определяет в правилах платежной системы порядок взаимодействия субъектов платежной системы при обеспечении БФПС, предусмотренного пунктами 2.2, 2.3 и 2.4 настоящей главы.

2.5.2. Определяет функции, выполняемые субъектами платежной системы по оперативному информированию о нарушении надлежащего оказания услуг платежной инфраструктуры, при котором превышено время восстановления оказания услуг платежной инфраструктуры в случае их приостановления и (или) время восстановления надлежащего оказания услуг платежной инфраструктуры (далее - нарушение БФПС), оператора платежной системы, а также расчетного центра платежной системы при использовании в платежной системе организационной модели управления рисками в платежной системе, предусмотренной пунктом 3 части 2 статьи 28 Федерального закона N 161-ФЗ.

2.5.3. Информирует о случаях и причинах приостановления (прекращения) оказания услуг платежной инфраструктуры:

Банк России и участников платежной системы в порядке, установленном Указанием Банка России от 11 июня 2014 года N 3280-У "О порядке информирования оператором платежной системы Банка России, участников платежной системы о случаях и причинах приостановления (прекращения) оказания услуг платежной инфраструктуры", зарегистрированным Министерством юстиции Российской Федерации 20 июня 2014 года N 32821 (далее - Указание Банка России N 3280-У);

операторов услуг платежной инфраструктуры в порядке, аналогичном установленному Указанием Банка России N 3280-У для участников платежной системы.

2.6. Оператор платежной системы в рамках осуществления контроля за соблюдением правил платежной системы контролирует выполнение операторами услуг платежной инфраструктуры и участниками платежной системы порядка обеспечения БФПС с учетом следующих требований.

2.6.1. Определяет в правилах платежной системы порядок проведения контроля за соблюдением операторами услуг платежной инфраструктуры и участниками платежной системы порядка обеспечения БФПС.

2.6.2. Контролирует соответствие документов операторов услуг платежной инфраструктуры порядку обеспечения БФПС, в случае если такие документы предусмотрены правилами платежной системы. При выявлении несоответствия документов операторов услуг платежной инфраструктуры порядку обеспечения БФПС направляет рекомендации операторам услуг платежной инфраструктуры по устранению выявленных несоответствий.

2.6.3. При выявлении нарушения порядка обеспечения БФПС операторами услуг платежной инфраструктуры и участниками платежной системы:

информирует операторов услуг платежной инфраструктуры и участников платежной системы о выявленных в их деятельности нарушениях и устанавливает сроки их устранения;

осуществляет проверку результатов устранения нарушений и информирует операторов услуг платежной инфраструктуры и участников платежной системы, в деятельности которых выявлены нарушения, о результатах проведенной проверки.

2.6.4. Определяет ответственность операторов услуг платежной инфраструктуры и участников платежной системы за неисполнение порядка обеспечения БФПС.

Глава 3. Требования к методикам анализа рисков в платежной системе, включая профили рисков

3.1. Оператор платежной системы в целях управления рисками в платежной системе разрабатывает методики анализа рисков в платежной системе, включая риск нарушения БФПС.

3.2. Методики анализа рисков в платежной системе должны обеспечивать:

выявление и анализ рисков в платежной системе, включая выявление событий, реализация которых может привести к возникновению инцидента, (далее - риск-события) и определение для каждого из выявленных риск-событий величины риска, характеризуемого вероятностью наступления риск-событий и величиной возможных последствий их реализации (далее - уровень риска);

определение для каждого из выявленных рисков в платежной системе уровня риска, имеющегося до применения способов управления рисками в платежной системе (далее - уровень присущего риска), а также максимального значения уровня риска, при котором восстановление надлежащего оказания услуг платежной инфраструктуры, включая восстановление оказания услуг платежной инфраструктуры в случае их приостановления, осуществляется в течение периодов времени, установленных оператором платежной системы, и предполагаемый ущерб от которого оператор платежной системы готов принять без применения способов управления рисками в платежной системе (далее - уровень допустимого риска);

определение рисков в платежной системе, для которых уровень присущего риска выше уровня допустимого риска (далее - значимые для платежной системы риски);

определение уровня каждого из значимых для платежной системы рисков после применения способов управления рисками в платежной системе (далее - уровень остаточного риска).

3.3. Методики анализа рисков в платежной системе должны предусматривать выполнение следующих мероприятий:

формирование и поддержание в актуальном состоянии перечней взаимосвязанных последовательных технологических процедур, выполняемых при оказании услуг платежной инфраструктуры (далее - бизнес-процессы);

разработку и поддержание в актуальном состоянии классификаторов (структурированных перечней) рисков в платежной системе, риск-событий, причин риск-событий;

проведение анализа всех бизнес-процессов в платежной системе, включая анализ и оценку технологического обеспечения операторов услуг платежной инфраструктуры и других факторов, влияющих на БФПС;

формирование перечня возможных риск-событий для каждого бизнес-процесса с указанием причин риск-событий и их последствий;

определение уровня присущего риска для каждого из выявленных рисков в платежной системе и установление уровня допустимого риска;

сопоставление определенного уровня присущего риска и установленного уровня допустимого риска по каждому из выявленных рисков в платежной системе для выделения значимых для платежной системы рисков;

применение способов управления рисками в платежной системе для каждого из значимых для платежной системы рисков и последующее определение уровня остаточного риска для каждого из значимых для платежной системы рисков;

сопоставление уровней остаточного риска и допустимого риска для каждого из значимых для платежной системы рисков и принятие решения о необходимости применения других способов управления рисками в платежной системе в дополнение к ранее примененным способам;

мониторинг рисков в платежной системе, в том числе уровней остаточных рисков в платежной системе, их соответствия уровню допустимого риска;

составление и пересмотр (актуализацию) по результатам оценки рисков в платежной системе и анализа эффективности мероприятий по восстановлению надлежащего оказания услуг платежной инфраструктуры профиля каждого из выявленных рисков в платежной системе и профиля риска нарушения БФПС (далее - профили рисков).

3.4. Профили рисков должны соответствовать следующим требованиям:

содержать сведения, перечисленные в Приложении 3 к настоящему Положению;

пересматриваться не реже одного раза в год. В случае возникновения инцидента, приведшего к приостановлению оказания услуг платежной инфраструктуры, который не отражен в профилях рисков как риск-событие, профили рисков подлежат пересмотру (актуализации) в срок, не превышающий три месяца с момента возникновения данного инцидента;

сведения, содержащиеся в профилях рисков, должны храниться не менее двух лет с момента составления или пересмотра (актуализации) профилей рисков.

Глава 4. Заключительные положения

4.1. Настоящее Положение подлежит официальному опубликованию и в соответствии с решением Совета директоров Банка России (протокол заседания Совета директоров Банка России от ____________2017 года N____) вступает в силу по истечении 12 месяцев после дня его официального опубликования.

4.2. Со дня вступления в силу настоящего Положения признать утратившим силу Положение Банка России от 31 мая 2012 года N 379-П "О бесперебойности функционирования платежных систем и анализе рисков в платежных системах", зарегистрированное Министерством юстиции Российской Федерации 13 июня 2012 года N 24544.

Председатель Центрального банка Российской Федерации

Э. С. Набиуллина

Приложение 1
к Положению Банка России
от "___" __________ N ____
"О требованиях к порядку обеспечения бесперебойности функционирования платежной системы,
показателям бесперебойности функционирования платежной системы и методикам анализа рисков
в платежной системе, включая профили рисков"

Требования к определению показателей БФПС

1. Показатель продолжительности восстановления оказания услуг платежной инфраструктуры (показатель П1) должен рассчитываться по каждому инциденту, повлекшему приостановление оказания услуг платежной инфраструктуры, каждым из операторов услуг платежной инфраструктуры как период времени с момента приостановления оказания услуг платежной инфраструктуры и до момента восстановления оказания услуг платежной инфраструктуры. Показатель П1 рассчитывается в часах/минутах/секундах.

При возникновении инцидентов, повлекших приостановление оказания услуг платежной инфраструктуры одновременно у двух и более операторов услуг платежной инфраструктуры, показатель П1 определяется как период времени с момента приостановления оказания услуг платежной инфраструктуры в результате первого из возникших инцидентов и до момента восстановления оказания услуг платежной инфраструктуры всеми операторами услуг платежной инфраструктуры, у которых возникли инциденты.

2. Показатель непрерывности оказания услуг платежной инфраструктуры (показатель П2) рассчитывается как период времени между двумя инцидентами, последовательно произошедшими у оператора услуг платежной инфраструктуры, в результате которых приостанавливалось оказание услуг платежной инфраструктуры, с момента устранения первого инцидента и до момента возникновения следующего.

Показатель П2 должен рассчитываться при возникновении каждого из инцидентов в часах/минутах/секундах по каждому из операторов услуг платежной инфраструктуры.

В платежных системах, в которых оператор услуг платежной инфраструктуры оказывает более одного вида услуг платежной инфраструктуры одновременно, показатель П2 рассчитывается одновременно по всем видам услуг платежной инфраструктуры, оказываемым данным оператором услуг платежной инфраструктуры.

3. Показатель соблюдения регламента (показатель П3) должен определяться по каждому оператору услуг платежной инфраструктуры.

Для операционного центра показатель П3 определяется как отношение количества распоряжений участников платежной системы (их клиентов), в отношении которых в течение календарного месяца были оказаны операционные услуги без нарушения регламента выполнения процедур, к общему количеству распоряжений участников платежной системы (их клиентов), в отношении которых были оказаны операционные услуги в течение календарного месяца, рассчитываемое по следующей формуле:

,

где:

Nоц - количество распоряжений участников платежной системы (их клиентов), в отношении которых в течение календарного месяца были оказаны операционные услуги без нарушения регламента выполнения процедур,

- общее количество распоряжений участников платежной системы (их клиентов), в отношении которых были оказаны операционные услуги в течение календарного месяца.

Для платежного клирингового центра показатель П3 определяется как отношение количества распоряжений участников платежной системы (их клиентов), в отношении которых в течение календарного месяца были оказаны услуги платежного клиринга без нарушения регламента выполнения процедур, к общему количеству распоряжений участников платежной системы (их клиентов), в отношении которых были оказаны услуги платежного клиринга в течение календарного месяца, рассчитываемое по следующей формуле:

,

где:

Nпкц - количество распоряжений участников платежной системы (их клиентов), в отношении которых в течение календарного месяца были оказаны услуги платежного клиринга без нарушения регламента выполнения процедур,

- общее количество распоряжений участников платежной системы (их клиентов), в отношении которых были оказаны услуги платежного клиринга в течение календарного месяца.

Для расчетного центра показатель П3 определяется как отношение количества распоряжений участников платежной системы и (или) платежного клирингового центра, в отношении которых в течение календарного месяца были оказаны расчетные услуги без нарушения регламента выполнения процедур, к общему количеству распоряжений участников платежной системы и (или) платежного клирингового центра, в отношении которых были оказаны расчетные услуги в течение календарного месяца, рассчитываемое по следующей формуле:

,

где:

Nрц - количество распоряжений участников платежной системы и (или) платежного клирингового центра, в отношении которых в течение календарного месяца были оказаны расчетные услуги без нарушения регламента выполнения процедур,

- общее количество распоряжений участников платежной системы и (или) платежного клирингового центра, в отношении которых были оказаны расчетные услуги в течение календарного месяца.

Показатель П3 должен рассчитываться ежемесячно в процентах с точностью до двух знаков после запятой (с округлением по математическому методу).

Значение показателя П3 по платежной системе в целом принимается равным наименьшему из значений данного показателя, определенных по всем операторам услуг платежной инфраструктуры в отношении всех видов оказываемых им услуг.

В платежных системах, в которых оператор услуг платежной инфраструктуры оказывает более одного вида услуг платежной инфраструктуры одновременно, показатель П3 рассчитывается по данному оператору услуг платежной инфраструктуры в отношении всех видов оказываемых им услуг.

4. Показатель доступности операционного центра платежной системы (показатель П4) определяется как среднее значение коэффициента доступности операционного центра платежной системы за календарный месяц, рассчитываемое по следующей формуле:

,

где:

M - количество рабочих дней платежной системы в месяце,

Di - общая продолжительность всех приостановлений оказания операционных услуг операционным центром платежной системы за i-ый рабочий день месяца в минутах,

Ti - общая продолжительность времени оказания операционных услуг в течение i-го рабочего дня в минутах, установленная в соответствии с временным регламентом функционирования платежной системы.

Показатель П4 должен рассчитываться ежемесячно в процентах с точностью до двух знаков после запятой (с округлением по математическому методу).

Для платежных систем с несколькими операционными центрами показатель П4 должен рассчитываться для каждого операционного центра платежной системы.

Значение показателя П4 по платежной системе в целом принимается равным наименьшему из значений данного показателя, определенных по всем операционным центрам платежной системы.

5. Показатель изменения частоты инцидентов (показатель П5) должен определяться в целом по платежной системе и для каждого оператора услуг платежной инфраструктуры отдельно как темп прироста среднедневного количества инцидентов за оцениваемый календарный месяц по отношению к среднедневному количеству инцидентов за предыдущие 12 календарных месяцев, включая оцениваемый календарный месяц, рассчитываемый по следующей формуле:

,

где:

КИi - количество инцидентов в течение i-го рабочего дня платежной системы оцениваемого календарного месяца,

M - количество рабочих дней платежной системы в оцениваемом календарном месяце,

N - количество рабочих дней платежной системы за 12 предыдущих календарных месяцев, включая оцениваемый месяц.

Показатель П5 должен рассчитываться ежемесячно в процентах с точностью до одного знака после запятой (с округлением по математическому методу). В случае если за предыдущие 12 календарных месяцев, включая оцениваемый месяц, инцидентов не было, значение показателя признается равным нулю.

В платежных системах, в которых оператор услуг платежной инфраструктуры оказывает более одного вида услуг платежной инфраструктуры одновременно, показатель П5 рассчитывается по данному оператору услуг платежной инфраструктуры в отношении всех видов оказываемых им услуг.

Приложение 2
к Положению Банка России
от "___" __________ N ____
"О требованиях к порядку обеспечения бесперебойности функционирования платежной системы,
показателям бесперебойности функционирования платежной системы и методикам анализа рисков
в платежной системе, включая профили рисков"

Перечень сведений об инцидентах

Сведения об инцидентах включают:

уникальный номер инцидента, позволяющий однозначно определять данный инцидент;

время и дату возникновения инцидента (в случае невозможности установить время возникновения инцидента, указывается время его выявления);

наименование риск-события по классификатору риск-событий, разработка которого предусмотрена пунктом 3.3 главы 3 настоящего Положения, реализацией которого является инцидент и которое включено в профиль риска нарушения БФПС. При отсутствии в профиле риска нарушения БФПС риск-события, соответствующего инциденту, указывается, что данный инцидент является реализацией риск-события, которое не содержится в профиле риска нарушения БФПС;

краткое описание инцидента (характеристика произошедшего события и описание его проявлений);

наименование бизнес-процесса, в котором произошел инцидент;

наименование бизнес-процесса, на который оказал влияние инцидент;

причину возникновения инцидента в соответствии с классификатором причин риск-событий, разработка которого предусмотрена пунктом 3.3 главы 3 настоящего Положения;

информацию о факте приостановления (прекращения) оказания услуг платежной инфраструктуры в результате инцидента;

информацию о влиянии инцидента на БФПС, определяемом с учетом требований, предусмотренных подпунктом 2.3.6 пункта 2.3 главы 2 настоящего Положения;

степень влияния инцидента на функционирование платежной системы в зависимости от количества операторов услуг платежной инфраструктуры и (или) количества и значимости участников платежной системы, на которых оказал непосредственное влияние инцидент, и (или) количества и суммы неисполненных и (или) несвоевременно исполненных и (или) ошибочно исполненных распоряжений участников платежной системы и иных факторов;

время и дату восстановления оказания услуг платежной инфраструктуры в случае их приостановления;

информацию о мероприятиях по устранению инцидента и его неблагоприятных последствий, в том числе информацию о планируемой и фактической продолжительности проведения указанных мероприятий и о лицах, ответственных за выполнение этих мероприятий;

дату восстановления надлежащего оказания услуг платежной инфраструктуры;

информацию о неблагоприятных последствиях инцидента по субъектам платежной системы, в том числе информацию:

о сумме денежных средств, уплаченных оператором платежной системы и (или) взысканных с оператора платежной системы,

о сумме денежных средств, уплаченных оператором (операторами) услуг платежной инфраструктуры и (или) взысканных с оператора (операторов) услуг платежной инфраструктуры,

о количестве и сумме распоряжений участников платежной системы, на исполнение которых в рамках платежной системы оказал влияние инцидент: неисполненные и (или) несвоевременно исполненные и (или) ошибочно исполненные распоряжения участников платежной системы,

о продолжительности приостановления оказания услуг платежной инфраструктуры.

Приложение 3
к Положению Банка России
от "___" __________ N ____
"О требованиях к порядку обеспечения бесперебойности функционирования платежной системы,
показателям бесперебойности функционирования платежной системы и методикам анализа рисков
в платежной системе, включая профили рисков"

Требования к сведениям, содержащимся в профилях рисков

1. Профили рисков в платежной системе должны содержать сведения по всем выявленным рискам в платежной системе, в том числе по следующим рискам:

по риску ненадлежащего оказания услуг платежной инфраструктуры вследствие несоблюдения субъектами платежной системы требований законодательства Российской Федерации, нормативных актов Банка России, правил платежной системы, договоров, заключенных между субъектами платежной системы, документов оператора платежной системы и документов операторов услуг платежной инфраструктуры, либо вследствие наличия правовых коллизий и (или) правовой неопределенности в законодательстве Российской Федерации, нормативных актах Банка России, правилах платежной системы и договорах, заключенных между субъектами платежной системы, а также вследствие нахождения операторов услуг платежной инфраструктуры и участников платежной системы под юрисдикцией различных государств (правовой риск платежной системы);

по риску ненадлежащего оказания услуг платежной инфраструктуры вследствие возникновения у субъектов платежной системы сбоев, отказов и аварий в работе информационных и технологических систем, недостатков в организации и выполнении технологических и управленческих процессов, ошибок или противоправных действий персонала субъектов платежной системы, либо вследствие воздействия событий, причины возникновения которых не связаны с деятельностью субъектов платежной системы, в том числе включая чрезвычайные ситуации, катастрофы, ошибочные или противоправные действия третьих лиц (операционный риск платежной системы);

по риску ненадлежащего оказания услуг платежной инфраструктуры центральным платежным клиринговым контрагентом или расчетным центром платежной системы вследствие невыполнения участниками платежной системы договорных обязательств перед указанными организациями в установленный срок или в будущем (кредитный риск платежной системы);

по риску ненадлежащего оказания услуг платежной инфраструктуры вследствие отсутствия у центрального платежного клирингового контрагента и (или) у участников платежной системы денежных средств, достаточных для своевременного выполнения их обязательств перед другими субъектами платежной системы (риск ликвидности платежной системы);

по риску ненадлежащего оказания услуг платежной инфраструктуры вследствие ухудшения финансового состояния оператора платежной системы и (или) операторов услуг платежной инфраструктуры, не связанного с реализацией кредитного риска и риска ликвидности платежной системы (общий коммерческий риск платежной системы).

Составление профиля правового риска платежной системы в части вопросов несоблюдения законодательства Российской Федерации, нормативных актов Банка России, правил платежной системы осуществляется службой внутреннего контроля (комплаенс-службой) в рамках управления регуляторным риском в соответствии с Положением Банка России N 242-П, если в соответствии с подпунктом 2.2.1 пункта 2.2 главы 2 настоящего Положения система управления рисками в платежной системе интегрирована оператором платежной системы, являющимся кредитной организацией, в его системы управления рисками и капиталом, а также внутреннего контроля, организованные в соответствии с Указанием Банка России от 15 апреля 2015 года N 3624-У "О требованиях к системе управления рисками и капиталом кредитной организации и банковской группы", зарегистрированным Министерством юстиции Российской Федерации 26 мая 2015 года N 37388, 28 декабря 2015 года N 40325, и Положением Банка России N 242-П.

2. Профиль каждого из выявленных рисков в платежной системе должен содержать следующие сведения:

описание риск-событий, выявленных с применением не менее одного из числа методов, предусмотренных Национальным стандартом Российской Федерации ГОСТ Р ИСО/МЭК 31010-2011 "Менеджмент риска. Методы оценки риска" (далее - Стандарт). Допускается использование иных методов выявления риск-событий, не противоречащих национальным и международным стандартам, при условии их определения, содержательного раскрытия и установления порядка применения в методиках анализа рисков. Риск-события отражаются в профиле каждого из выявленных рисков в платежной системе;

причину возникновения каждого из риск-событий;

описание бизнес-процессов оператора платежной системы и операторов услуг платежной инфраструктуры, в которых могут произойти риск-события;

вероятность наступления риск-событий. Определение вероятности наступления риск-событий осуществляется с применением не менее одного из числа методов, предусмотренных Стандартом. Допускается использование иных методов анализа рисков, не противоречащих национальным и международным стандартам, при условии их определения, содержательного раскрытия и установления порядка применения в методиках анализа рисков;

описание и оценку возможных неблагоприятных последствий каждого риск-события. Если риск-событие имеет несколько возможных неблагоприятных последствий, то указываются все неблагоприятные последствия данного риск-события. Определение неблагоприятных последствий риск-событий осуществляется с применением методов из числа предусмотренных Стандартом с учетом результатов анализа сведений об инцидентах;

описание бизнес-процессов и перечень субъектов платежной системы, на которые влияет риск-событие;

уровень присущего риска;

уровень допустимого риска;

уровень остаточного риска;

перечень способов управления рисками в платежной системе, позволяющие снизить уровень присущего или остаточного риска.

3. Профиль риска нарушения БФПС составляется в отношении значимых для платежной системы рисков.