Откройте актуальную версию документа прямо сейчас
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
Купить систему ГАРАНТ
Получить демо-доступ
Узнать стоимость
Информационный банк
Подобрать комплект
Семинары
- Главная
- Положение Банка России от 3 октября 2017 г. N 607-П "О требованиях к порядку обеспечения бесперебойности функционирования платежной системы, показателям бесперебойности функционирования платежной системы и методикам анализа рисков в платежной системе, включая профили рисков" (с изменениями и дополнениями)
- Глава 2. Требования к порядку обеспечения БФПС, показателям БФПС
Глава 2. Требования к порядку обеспечения БФПС, показателям БФПС
Глава 2. Требования к порядку обеспечения БФПС, показателям БФПС
2.1. Оператор платежной системы должен определять и соблюдать порядок обеспечения БФПС, который включает:
управление рисками в платежной системе;
управление непрерывностью функционирования платежной системы;
организацию взаимодействия оператора платежной системы, операторов УПИ и участников платежной системы (далее при совместном упоминании - субъекты платежной системы) по обеспечению БФПС;
контроль за соблюдением операторами УПИ и участниками платежной системы порядка обеспечения БФПС.
2.2. Оператор платежной системы должен управлять рисками в платежной системе с учетом следующих требований.
2.2.1. Оператор платежной системы должен организовать систему управления рисками в платежной системе с учетом организационной модели управления рисками в платежной системе, определенной в соответствии с требованиями части 2 статьи 28 Федерального закона от 27 июня 2011 года N 161-ФЗ. Система управления рисками в платежной системе может быть интегрирована в систему управления рисками деятельности оператора платежной системы, не связанной с функционированием платежной системы.
2.2.2. Оператор платежной системы должен проводить оценку рисков в платежной системе не реже одного раза в год с использованием методик анализа рисков в платежной системе, включая профили рисков, требования к которым определены в главе 3 настоящего Положения.
2.2.3. Оператор платежной системы должен определять способы управления рисками в платежной системе, исходя из способов управления рисками, предусмотренных частью 5 статьи 28 Федерального закона от 27 июня 2011 года N 161-ФЗ (далее - способы управления рисками в платежной системе).
2.2.4. Оператор платежной системы должен определять в соответствии с требованиями, предусмотренными в приложении 1 к настоящему Положению, следующие показатели БФПС:
показатель продолжительности восстановления оказания УПИ (далее - показатель П1), характеризующий период времени восстановления оказания услуг операторами УПИ в случае приостановления оказания УПИ, в том числе вследствие нарушения требований к обеспечению защиты информации при осуществлении переводов денежных средств, установленных Положением Банка России от 9 июля 2012 года N 382-П "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств", зарегистрированным Министерством юстиции Российской Федерации 14 июня 2012 года N 24575, 1 июля 2013 года N 28930, 10 сентября 2014 года N 34017;
ГАРАНТ:
По-видимому, в тексте предыдущего абзаца допущена опечатка. Дату названного Положения следует читать как "9 июня 2012 г."
показатель непрерывности оказания УПИ (далее - показатель П2), характеризующий период времени между двумя последовательно произошедшими в платежной системе событиями, которые привели к нарушению оказания УПИ, соответствующего требованиям к оказанию услуг, в том числе вследствие нарушений требований к обеспечению защиты информации при осуществлении переводов денежных средств (далее - инциденты), в результате которых приостанавливалось оказание УПИ. Приостановление (прекращение) участия в платежной системе в случаях, предусмотренных правилами платежной системы в соответствии с пунктом 4 части 1 статьи 20 Федерального закона от 27 июня 2011 года N 161-ФЗ, не рассматривается в целях настоящего Положения в качестве инцидентов;
показатель соблюдения регламента (далее - показатель П3), характеризующий соблюдение операторами УПИ времени начала, времени окончания, продолжительности и последовательности процедур, выполняемых операторами УПИ при оказании операционных услуг, услуг платежного клиринга и расчетных услуг, предусмотренных частями 3 и 4 статьи 17, частью 4 статьи 19 и частями 1 и 8 статьи 25 Федерального закона от 27 июня 2011 года N 161-ФЗ (далее - регламент выполнения процедур);
показатель доступности операционного центра платежной системы (далее - показатель П4), характеризующий оказание операционных услуг операционным центром платежной системы;
показатель изменения частоты инцидентов (далее - показатель П5), характеризующий темп прироста частоты инцидентов.
При определении иных показателей БФПС дополнительно к указанным данные показатели БФПС должны быть определены в правилах платежной системы, а также в разработанных в соответствии с ними документах оператора платежной системы и в документах привлеченных операторов УПИ, если такие документы предусмотрены правилами платежной системы.
2.2.5. Оператор платежной системы должен устанавливать и пересматривать с использованием результатов оценки рисков в платежной системе пороговые уровни показателей БФПС.
Оператор платежной системы должен устанавливать пороговые уровни показателей БФПС с учетом следующих ограничений:
пороговый уровень показателя П1 должен быть не более 2 часов для каждого из операторов УПИ системно и социально значимых платежных систем и не более 6 часов для каждого из операторов УПИ платежных систем, не являющихся системно или социально значимыми;
пороговый уровень показателя П2 должен быть не менее 24 часов для каждого из операторов УПИ системно значимой платежной системы и не менее 12 часов для каждого из операторов УПИ социально значимой платежной системы;
пороговый уровень показателя П3 должен быть не менее 98,0% для операционного и платежного клирингового центров платежной системы и не менее 99,0% для расчетного центра платежной системы. Для платежных систем, в которых расчетный центр платежной системы одновременно предоставляет услуги операционного и (или) платежного клирингового центра, пороговый уровень показателя П3 должен быть не менее 98,0%;
пороговый уровень показателя П4 должен быть не менее 99,0% для системно значимой платежной системы, не менее 98,0% для социально значимой платежной системы и не менее 96,0% для платежных систем, не являющихся системно или социально значимыми.
2.2.6. Оператор платежной системы должен рассчитывать и анализировать значения показателей БФПС, в том числе путем их сравнения с пороговыми уровнями показателей БФПС, и использовать результаты указанного анализа при оценке системы управления рисками в платежной системе и при оценке влияния инцидентов на БФПС.
2.2.7. Оператор платежной системы должен проводить оценку системы управления рисками в платежной системе, в том числе используемых методов оценки рисков в платежной системе, результатов применения способов управления рисками в платежной системе, не реже одного раза в два года и документально оформлять результаты указанной оценки. При наличии коллегиального органа по управлению рисками в платежной системе оценка системы управления рисками в платежной системе должна проводиться данным органом.
2.2.8. Оператор платежной системы должен вносить изменения в систему управления рисками в платежной системе в случае, если действующая система управления рисками в платежной системе не позволила предотвратить нарушение оказания УПИ, соответствующего требованиям к оказанию услуг, а также восстановить оказание УПИ, соответствующее требованиям к оказанию услуг, и (или) восстановить оказание УПИ в случае приостановления их оказания в течение периодов времени, установленных оператором платежной системы в правилах платежной системы.
2.3. Оператор платежной системы должен управлять непрерывностью функционирования платежной системы с учетом следующих требований.
2.3.1. Оператор платежной системы должен организовать деятельность по управлению непрерывностью функционирования платежной системы, в том числе путем установления прав и обязанностей субъектов платежной системы по управлению непрерывностью функционирования платежной системы в зависимости от организационной модели управления рисками в платежной системе, определенной в соответствии с требованиями части 2 статьи 28 Федерального закона от 27 июня 2011 года N 161-ФЗ.
2.3.2. Оператор платежной системы должен организовать сбор и обработку сведений, в том числе от привлеченных операторов УПИ, используемых для расчета показателей БФПС, указанных в подпункте 2.2.4 пункта 2.2 настоящего Положения (далее - сведения по платежной системе), а также следующих сведений об инцидентах:
время и дата возникновения инцидента (в случае невозможности установить время возникновения инцидента указывается время его выявления);
краткое описание инцидента (характеристика произошедшего события и его последствия);
наименование взаимосвязанных последовательных технологических процедур, выполняемых при оказании УПИ (далее - бизнес-процесс), в ходе которых произошел инцидент;
наименование бизнес-процесса, на который оказал влияние инцидент;
наличие (отсутствие) факта приостановления (прекращения) оказания УПИ в результате инцидента;
влияние инцидента на БФПС, определяемое с учетом требований, предусмотренных подпунктом 2.3.5 пункта 2.3 настоящего Положения;
степень влияния инцидента на функционирование платежной системы в зависимости от количества операторов УПИ, и (или) количества и значимости участников платежной системы, на которых оказал непосредственное влияние инцидент, и (или) количества и суммы неисполненных, и (или) несвоевременно исполненных, и (или) ошибочно исполненных распоряжений участников платежной системы, и иных факторов;
время и дата восстановления оказания УПИ в случае приостановления их оказания;
мероприятия по устранению инцидента и его неблагоприятных последствий с указанием планируемой и фактической продолжительности проведения данных мероприятий;
дата восстановления оказания УПИ, соответствующего требованиям к оказанию услуг;
неблагоприятные последствия инцидента по субъектам платежной системы, в том числе:
сумма денежных средств, уплаченных оператором платежной системы и (или) взысканных с оператора платежной системы,
сумма денежных средств, уплаченных оператором (операторами) УПИ и (или) взысканных с оператора (операторов) УПИ,
количество и сумма неисполненных, и (или) несвоевременно исполненных, и (или) ошибочно исполненных распоряжений участников платежной системы, на исполнение которых оказал влияние инцидент,
продолжительность приостановления оказания УПИ.
2.3.3. Оператор платежной системы должен обеспечить хранение сведений по платежной системе и сведений об инцидентах не менее трех лет с даты получения указанных сведений.
2.3.4. Оператор платежной системы должен организовать деятельность по разработке регламентов выполнения процедур и контролировать их соблюдение.
2.3.5. Оператор платежной системы должен проводить оценку влияния на БФПС каждого произошедшего в платежной системе инцидента в течение 24 часов с момента его возникновения (выявления), а также в течение 24 часов после устранения инцидента (восстановления оказания УПИ, соответствующего требованиям к оказанию услуг).
В случае если вследствие произошедшего в платежной системе инцидента нарушен регламент выполнения процедур, но при этом не нарушен пороговый уровень каждого из показателей П1, П2, данный инцидент признается непосредственно не влияющим на БФПС.
Произошедший в платежной системе инцидент признается влияющим на БФПС в случае, если вследствие данного инцидента реализовано хотя бы одно из следующих условий:
нарушен регламент выполнения процедур при одновременном нарушении порогового уровня показателя П2;
нарушен пороговый уровень показателя П1;
превышена продолжительность установленного оператором платежной системы времени, в течение которого должно быть восстановлено оказание УПИ, соответствующее требованиям к оказанию услуг.
В случае выявления дополнительных обстоятельств инцидента, оценка влияния которого на БФПС уже завершена, проводится повторная оценка произошедшего инцидента с учетом вновь выявленных обстоятельств.
2.3.6. Оператор платежной системы должен проводить оценку влияния на БФПС всех инцидентов, произошедших в платежной системе в течение календарного месяца. Оценка влияния на БФПС данных инцидентов должна проводиться в течение пяти рабочих дней после дня окончания календарного месяца, в котором возникли инциденты.
В случае если вследствие произошедших в платежной системе в течение календарного месяца инцидентов не нарушен пороговый уровень показателя П4, рассчитанного по данным инцидентам, и одновременно нарушен пороговый уровень показателя П3 и (или) показателя П5, рассчитанных по этим же инцидентам, данные инциденты признаются непосредственно не влияющими на БФПС.
В случае если вследствие произошедших в платежной системе в течение календарного месяца инцидентов одновременно нарушены пороговые уровни всех показателей П3, П4, П5, рассчитанных по данным инцидентам, данные инциденты признаются влияющими на БФПС.
В случае выявления инцидентов или дополнительных обстоятельств инцидентов, произошедших в платежной системе в течение календарного месяца, за который уже проведена оценка их влияния на БФПС, оператор платежной системы должен проводить повторную оценку влияния на БФПС этих инцидентов с учетом вновь выявленных обстоятельств в течение пяти рабочих дней после дня окончания календарного месяца, в котором выявлены инциденты или дополнительные обстоятельства.
2.3.7. Оператор платежной системы должен установить в правилах платежной системы период времени, в течение которого должно быть восстановлено оказание УПИ в случае приостановления их оказания, и период времени, в течение которого должно быть восстановлено оказание УПИ, соответствующее требованиям к оказанию услуг, в случае нарушения указанных требований.
2.3.8. Оператор платежной системы должен обеспечить оказание УПИ при возникновении инцидентов, а также организовать в течение установленных периодов времени восстановление оказания услуг операторами УПИ в случае приостановления их оказания и восстановление оказания УПИ, соответствующего требованиям к оказанию услуг, в случае нарушения указанных требований.
Оператор системно значимой платежной системы при возникновении инцидента должен обеспечить в день его возникновения осуществление расчета в платежной системе до конца дня по распоряжениям участников платежной системы об осуществлении перевода денежных средств (далее - распоряжение участника платежной системы), поступившим в расчетный центр платежной системы и подлежащим исполнению в этот день в соответствии с законодательством Российской Федерации, и (или) правилами платежной системы, и (или) договорами банковского счета, заключенными участниками платежной системы с расчетным центром платежной системы.
2.3.9. Оператор платежной системы должен установить уровни оказания УПИ, характеризующие качество функционирования операционных и технологических средств платежной инфраструктуры, которые должны быть обеспечены операторами УПИ.
2.3.10. Оператор платежной системы должен разрабатывать, проверять (тестировать) и пересматривать план действий, направленных на обеспечение непрерывности деятельности и (или) восстановление деятельности (далее - план ОНиВД) оператора платежной системы, с периодичностью не реже одного раза в два года.
2.3.11. Оператор платежной системы должен разрабатывать и включать в план ОНиВД мероприятия, направленные на управление непрерывностью функционирования платежной системы в случае возникновения инцидентов, связанных с приостановлением оказания УПИ или нарушением установленных уровней оказания УПИ, в том числе:
при наличии в платежной системе двух и более операционных, и (или) платежных клиринговых, и (или) расчетных центров - мероприятия по обеспечению взаимозаменяемости операторов УПИ;
при наличии в платежной системе одного операционного, и (или) платежного клирингового, и (или) расчетного центров - мероприятия по привлечению другого оператора УПИ и по переходу участников платежной системы на обслуживание к вновь привлеченному оператору УПИ в течение срока, установленного правилами платежной системы, в случаях:
превышения оператором УПИ времени восстановления оказания УПИ при приостановлении их оказания более двух раз в течение трех месяцев подряд,
нарушения правил платежной системы, выразившегося в отказе оператора УПИ в одностороннем порядке от оказания услуг участнику (участникам) платежной системы, не связанного с приостановлением (прекращением) участия в платежной системе в случаях, предусмотренных правилами платежной системы.
2.3.12. Оператор платежной системы должен обеспечить реализацию мероприятий, предусмотренных подпунктом 2.3.11 настоящего пункта.
2.3.13. Оператор платежной системы должен организовать разработку и контролировать наличие планов ОНиВД у операторов УПИ, проведение ими проверки (тестирования) и пересмотра планов ОНиВД с периодичностью не реже одного раза в два года.
2.3.14. В случае если оператор платежной системы и (или) оператор УПИ являются кредитными организациями, разработка, проверка (тестирование) и пересмотр плана ОНиВД должны осуществляться в порядке, предусмотренном Положением Банка России от 16 декабря 2003 года N 242-П "Об организации внутреннего контроля в кредитных организациях и банковских группах", зарегистрированным Министерством юстиции Российской Федерации 27 января 2004 года N 5489, 22 декабря 2004 года N 6222, 20 марта 2009 года N 13547, 30 июня 2014 года N 32913 (далее - Положение Банка России N 242-П), с учетом требований к плану ОНиВД, содержащихся в подпунктах 2.3.10 и 2.3.11 настоящего пункта.
2.3.15. Оператор платежной системы должен анализировать эффективность мероприятий по восстановлению оказания УПИ, соответствующего требованиям к оказанию услуг, и использовать полученные результаты при управлении рисками в платежной системе.
2.4. Оператор платежной системы должен передать часть функций или все функции по реализации мероприятий, предусмотренных пунктами 2.2 и 2.3 настоящего Положения, операторам УПИ и участникам платежной системы при использовании в платежной системе организационной модели управления рисками в платежной системе, предусмотренной пунктом 2 части 2 статьи 28 Федерального закона от 27 июня 2011 года N 161-ФЗ, или расчетному центру при использовании в платежной системе организационной модели управления рисками в платежной системе, предусмотренной пунктом 3 части 2 статьи 28 Федерального закона от 27 июня 2011 года N 161-ФЗ.
2.5. Оператор платежной системы должен организовать взаимодействие субъектов платежной системы по обеспечению БФПС с учетом следующих требований.
2.5.1. Оператор платежной системы должен определить в правилах платежной системы с учетом организационной модели управления рисками в платежной системе, определенной в соответствии с требованиями части 2 статьи 28 Федерального закона от 27 июня 2011 года N 161-ФЗ, порядок взаимодействия субъектов платежной системы при реализации мероприятий, предусмотренных пунктами 2.2 и 2.3 настоящего Положения.
2.5.2. Оператор платежной системы должен определить функции, выполняемые операторами УПИ по оперативному информированию оператора платежной системы о нарушении оказания УПИ, соответствующего требованиям к оказанию услуг, при котором превышено время восстановления оказания УПИ в случае их приостановления и (или) время восстановления оказания УПИ, соответствующего требованиям к оказанию услуг, а также по оперативному информированию расчетного центра платежной системы при использовании в платежной системе организационной модели управления рисками в платежной системе, предусмотренной пунктом 3 части 2 статьи 28 Федерального закона от 27 июня 2011 года N 161-ФЗ.
2.5.3. Оператор платежной системы должен информировать о случаях и причинах приостановления (прекращения) оказания УПИ:
Банк России и участников платежной системы в порядке, установленном Указанием Банка России от 11 июня 2014 года N 3280-У "О порядке информирования оператором платежной системы Банка России, участников платежной системы о случаях и причинах приостановления (прекращения) оказания услуг платежной инфраструктуры", зарегистрированным Министерством юстиции Российской Федерации 20 июня 2014 года N 32821, 27 ноября 2017 года N 49025 (далее - Указание Банка России N 3280-У);
операторов УПИ в порядке, аналогичном установленному Указанием Банка России N 3280-У для участников платежной системы.
2.6. Оператор платежной системы в рамках осуществления контроля за соблюдением правил платежной системы должен проверять соблюдение операторами УПИ и участниками платежной системы порядка обеспечения БФПС с учетом следующих требований.
2.6.1. Оператор платежной системы должен определить в правилах платежной системы порядок проведения контроля за соблюдением операторами УПИ и участниками платежной системы порядка обеспечения БФПС.
2.6.2. Оператор платежной системы должен контролировать соответствие документов операторов УПИ порядку обеспечения БФПС, если такие документы предусмотрены правилами платежной системы, и при выявлении несоответствия документов операторов УПИ порядку обеспечения БФПС должен направлять рекомендации операторам УПИ по устранению выявленных несоответствий.
2.6.3. Оператор платежной системы при выявлении нарушения порядка обеспечения БФПС операторами УПИ и участниками платежной системы должен:
информировать операторов УПИ и участников платежной системы о выявленных в их деятельности нарушениях и устанавливать сроки устранения нарушений;
осуществлять проверку результатов устранения нарушений и информировать операторов УПИ и участников платежной системы, в деятельности которых выявлены нарушения, о результатах проведенной проверки.
2.6.4. Оператор платежной системы должен определять ответственность операторов УПИ и участников платежной системы за неисполнение порядка обеспечения БФПС.