"Методические рекомендации по обеспечению непрерывности деятельности системно значимых инфраструктурных организаций финансового рынка"
ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ
27 июля 2015 г. N 20-МР
МЕТОДИЧЕСКИЕ РЕКОМЕНДАЦИИ
ПО ОБЕСПЕЧЕНИЮ НЕПРЕРЫВНОСТИ ДЕЯТЕЛЬНОСТИ СИСТЕМНО ЗНАЧИМЫХ
ИНФРАСТРУКТУРНЫХ ОРГАНИЗАЦИЙ ФИНАНСОВОГО РЫНКА
1. Банк России в целях обеспечения непрерывности деятельности рекомендует системно значимым инфраструктурным организациям финансового рынка (далее - СЗИОФР), информация о которых размещена на официальном сайте Банка России в информационно-телекоммуникационной сети "Интернет" в разделе "Системно значимые инфраструктурные организации финансового рынка", использовать настоящие методические рекомендации.
Настоящие методические рекомендации подготовлены с учетом международных подходов, определенных в документе "Восстановление финансовой устойчивости инфраструктурных организаций финансового рынка", разработанном Комитетом по платежам и рыночным инфраструктурам совместно с Международной организацией комиссий по ценным бумагам в октябре 2014 года. Указанный документ на английском языке ("Recovery of financial market infrastructures", October, 2014, CPMI-IOSCO) доступен на сайте Банка международных расчетов (www.bis.org/publ/d121.htm).
2. Под обеспечением непрерывности деятельности в целях настоящих методических рекомендаций понимается способность СЗИОФР оказывать услуги, приостановление или прекращение оказания которых по оценке СЗИОФР может существенно повлиять на финансовое положение СЗИОФР и (или) клиентов СЗИОФР (далее - значимые услуги) в полном объеме в условиях нестандартных и чрезвычайных ситуаций (далее - НЧС). СЗИОФР рекомендуется определить перечень возможных НЧС самостоятельно, исходя из оценки возможного ущерба вследствие нарушения обеспечения непрерывности деятельности с учетом вероятности и времени возникновения нарушений, а также специфики и масштаба деятельности СЗИОФР.
3. Совету директоров (наблюдательному совету) СЗИОФР рекомендуется утвердить должностное лицо, ответственное за обеспечение непрерывности деятельности (далее - Должностное лицо), при условии, что СЗИОФР (группа компаний, включающая СЗИОФР) является для него основным местом работы, а также сформировать из сотрудников СЗИОФР коллегиальный орган, уполномоченный определять приоритеты восстановления деятельности СЗИОФР в условиях НЧС и осуществлять координацию действий подразделений и отдельных сотрудников СЗИОФР в условиях НЧС (далее - Коллегиальный орган).
СЗИОФР рекомендуется разработать внутренние документы, утверждаемые органами управления СЗИОФР, регламентирующие обязанности и ответственность Должностного лица и Коллегиального органа.
СЗИОФР рекомендуется включить Должностное лицо в состав Коллегиального органа и наделить его функциями по координации деятельности Коллегиального органа.
В Коллегиальный орган рекомендуется включать в том числе руководителей структурных подразделений, осуществляющих оказание значимых услуг.
4. При выборе претендента на осуществление функций Должностного лица, включая временное осуществление этих функций, СЗИОФР рекомендуется учитывать наличие у него высшего образования, а также сертификата по международному стандарту ИСО в области осуществления непрерывности деятельности организации, полученного в системе добровольной сертификации, включенной в единый реестр Федерального агентства по техническому регулированию и метрологии, и (или) опыта работы по принятию (подготовке) решений по вопросам обеспечения непрерывности деятельности общей продолжительностью не менее двух лет в организациях, осуществляющих деятельность на финансовом рынке.
5. СЗИОФР во внутренних документах рекомендуется предусмотреть подотчетность Должностного лица совету директоров (наблюдательному совету) СЗИОФР, в том числе в качестве координатора деятельности Коллегиального органа.
6. СЗИОФР во внутренних документах рекомендуется предусмотреть составление и представление Должностным лицом совету директоров (наблюдательному совету) СЗИОФР не реже одного раза в квартал отчета о непрерывности деятельности СЗИОФР, в том числе включающего результаты расчета показателей оценки непрерывности деятельности СЗИОФР в соответствии с Приложением к настоящим методическим рекомендациям.
Совету директоров (наблюдательному совету) СЗИОФР рекомендуется учитывать указанный отчет при принятии управленческих решений, включая стратегическое развитие обеспечения непрерывности деятельности СЗИОФР.
7. СЗИОФР рекомендуется выявлять и проводить анализ факторов возникновения нестандартных и чрезвычайных ситуаций (далее - факторы НЧС), которые способны привести к нарушениям оказания значимых услуг.
8. Анализ факторов НЧС может включать следующие процессы:
оценку вероятности наступления фактора НЧС;
определение степени и характера влияния факторов НЧС на обеспечение непрерывности деятельности СЗИОФР.
СЗИОФР рекомендуется для определения перечня значимых услуг включать в анализ факторов НЧС оценку возможного ущерба от реализации НЧС, включая косвенные (финансовые, операционные и репутационные) последствия, по возможным сценариям нарушения обеспечения непрерывности деятельности.
9. СЗИОФР рекомендуется проводить анализ факторов НЧС не реже одного раза в шесть месяцев и в случае необходимости пересматривать (актуализировать) факторы НЧС.
СЗИОФР во внутренних документах рекомендуется предусмотреть подготовку и представление Должностным лицом совету директоров (наблюдательному совету) СЗИОФР отчета, содержащего результаты пересмотра (актуализации) факторов НЧС.
10. СЗИОФР, за исключением кредитных организаций, рекомендуется иметь утвержденный советом директоров (наблюдательным советом) СЗИОФР план обеспечения непрерывности и восстановления деятельности (далее - План ОНиВД). При этом в составе Плана ОНиВД целесообразно наличие специализированных планов обеспечения непрерывности и восстановления деятельности в зависимости от решений, принятых в этом отношении органами управления СЗИОФР.
СЗИОФР, являющийся кредитной организацией и разработавший План ОНиВД в соответствии с Положением Банка России от 16 декабря 2003 года N 242-П "Об организации внутреннего контроля в кредитных организациях и банковских группах", зарегистрированным Министерством юстиции Российской Федерации 27 января 2004 года N 5489, 22 декабря 2004 года N 6222, 20 марта 2009 года N 13547, 30 июня 2014 года N 32913 ("Вестник Банка России" от 4 февраля 2004 года N 7, от 31 декабря 2004 года N 74, от 1 апреля 2009 года N 21, от 9 июля 2014 года N 63), рекомендуется дополнить План ОНиВД положениями, основанными на настоящих методических рекомендациях.
11. В План ОНиВД рекомендуется включить следующее:
цели, приоритеты и задачи, решаемые в рамках Плана ОНиВД;
перечень факторов НЧС;
возможные сценарии нарушения обеспечения непрерывности деятельности;
перечень значимых услуг, восстановление нормальной деятельности по оказанию которых необходимо обеспечивать в первую очередь, с указанием сроков их восстановления;
порядок осуществления внутренних процессов, необходимых для оказания значимых услуг в условиях возникновения НЧС, включая очередность и сроки их выполнения;
порядок взаимодействия между Должностным лицом, членами Коллегиального органа и сотрудниками СЗИОФР в условиях возникновения НЧС, в том числе с учетом взаимозаменяемости сотрудников СЗИОФР;
порядок экстренного оповещения и способ связи между Должностным лицом, членами Коллегиального органа, органами управления, подразделениями и сотрудниками СЗИОФР;
меры по восстановлению нормальной деятельности по оказанию значимых услуг после наступления НЧС в срок, определенный в Плане ОНиВД;
информацию о контактах экстренных оперативных служб (телефонные номера) и внутренние контакты (телефонные номера, адреса электронной почты) лиц, привлеченных к выполнению мер по восстановлению нормальной деятельности по оказанию значимых услуг;
порядок информирования клиентов и контрагентов СЗИОФР, а также Банка России о возникновении НЧС;
инструкции для подразделений и сотрудников СЗИОФР, содержащие описание действий, необходимых для поддержания или своевременного восстановления нормальной деятельности по оказанию значимых услуг;
порядок активации Плана ОНиВД, завершения работы в режиме НЧС и возврата СЗИОФР к нормальной деятельности;
адрес резервного офиса СЗИОФР (далее - резервный офис);
места сбора сотрудников СЗИОФР в случае возникновения НЧС;
необходимые процедуры для оказания значимых услуг в сроки, не превышающие время окончания операционного дня, при возникновении нарушения обеспечения непрерывности деятельности, в том числе в режиме НЧС;
обязанности и ответственность Должностного лица и членов Коллегиального органа.
12. СЗИОФР рекомендуется:
разработать процедуры активизации Плана ОНиВД в случае возникновения факторов НЧС;
не реже одного раза в год проводить пересмотр (актуализацию) Плана ОНиВД;
тестировать План ОНиВД не реже одного раза в шесть месяцев с моделированием потенциальных НЧС и привлечением сотрудников СЗИОФР.
13. СЗИОФР во внутренних документах рекомендуется предусмотреть подготовку и представление Должностным лицом совету директоров (наблюдательному совету) СЗИОФР отчета, содержащего результаты тестирования Плана ОНиВД.
14. Утвержденный советом директоров (наблюдательным советом) СЗИОФР План ОНиВД, в том числе после его пересмотра (актуализации), рекомендуется направлять в Департамент финансовой стабильности Банка России.
15. СЗИОФР, являющейся клиринговой организацией и разработавшей правила управления рисками в соответствии с Положением Банка России от 12 марта 2015 года N 463-П "О требованиях, направленных на снижение рисков осуществления клиринговой деятельности, и требованиях к документу (документам), определяющему (определяющим) меры, направленные на снижение кредитных, операционных и иных рисков, в том числе рисков, связанных с совмещением клиринговой деятельности с иными видами деятельности", зарегистрированным Министерством юстиции Российской Федерации 30 апреля 2015 года N 37079 ("Вестник Банка России" от 14 мая 2015 года N 42), рекомендуется дополнить правила управления рисками положениями, основанными на настоящих методических рекомендациях.
16. СЗИОФР рекомендуется иметь резервный офис, который функционально мог бы дублировать работу основного офиса СЗИОФР (далее - основной офис) в части оказания значимых услуг и обеспечивать непрерывность деятельности путем оперативного переключения управления на него в случае невозможности оказания значимых услуг основным офисом.
17. СЗИОФР рекомендуется:
расположить резервный офис на территории Российской Федерации в достаточной территориальной отдаленности от основного офиса с учетом возможности сотрудников основного офиса продолжить работу в резервном офисе в течение одного часа с момента возникновения НЧС;
обеспечить наличие независимых генераторов электричества в основном и резервном офисах;
использовать не менее двух поставщиков телекоммуникационных услуг для основного и резервного офисов;
определить количество рабочих мест и техническое оснащение резервного офиса, достаточное для восстановления нормальной деятельности по оказанию значимых услуг в сроки, определенные в Плане ОНиВД;
обеспечить постоянное нахождение в резервном офисе минимально необходимого количества сотрудников СЗИОФР для обеспечения начала функционирования резервного офиса в кратчайшие сроки после возникновения НЧС, в том числе возобновления в нем оказания значимых услуг в сроки, установленные Планом ОНиВД, и подготовки резервного офиса к переезду сотрудников из основного офиса;
поддерживать техническое состояние, технологическое и методологическое сопровождение резервного офиса на уровне, достаточном для обеспечения возможности оказания всех значимых услуг и процессов СЗИОФР и обеспечения возможности поддержания оказания этих услуг и процессов в течение одного месяца с момента возникновения НЧС.
18. СЗИОФР рекомендуется:
обеспечить возможность незамедлительного начала работы по переносу бизнес-процессов, осуществляемых с использованием программно-технических средств СЗИОФР, предназначенных для осуществления оказания значимых услуг (далее - программно-технические средства), из основного офиса в резервный офис;
обеспечить непрерывное резервное копирование информации с целью обеспечения возобновления оказания значимых услуг, в том числе из резервного офиса, в случае НЧС и выполнения положений Плана ОНиВД;
определить перечень используемых информационных систем, требующих защиты от противоправных действий;
обеспечить внедрение, настройку и защиту информационных систем программно-технических средств;
разработать комплексные принципы защиты и на постоянной основе осуществлять информационную защиту программно-технических средств;
регулярно, но не реже одного раза в шесть месяцев проводить идентификацию угроз, которые могут привести к неработоспособности программно-технических средств;
проводить постоянный мониторинг текущего состояния программно-технических средств, контроль пользовательских прав и регламентов сотрудников СЗИОФР с целью принятия своевременных мер по устранению выявленных недостатков;
обеспечивать наличие достаточной пропускной способности программно-технических средств и возможности ее наращивания для обработки возросших объемов операций в периоды повышенной нагрузки, в том числе проведением нагрузочного тестирования;
ежедневно осуществлять резервное копирование баз данных с обеспечением их хранения отдельно от основной системы СЗИОФР;
обеспечить рабочие места сотрудников средствами двухфакторной аутентификации.
19. СЗИОФР рекомендуется проводить тестирование программно-технических средств основного и резервного офисов с учетом выявленных факторов НЧС не реже одного раза в шесть месяцев.
СЗИОФР во внутренних документах рекомендуется предусмотреть подготовку и представление Должностным лицом совету директоров (наблюдательному совету) СЗИОФР отчета, содержащего результаты тестирования программно-технических средств.
20. Настоящие методические рекомендации подлежат опубликованию в "Вестнике Банка России".
Первый заместитель
Председателя Банка России
К.В.ЮДАЕВА
Приложение
к Методическим рекомендациям
по обеспечению непрерывности
деятельности системно значимых
инфраструктурных организаций
финансового рынка
РЕКОМЕНДУЕМЫЕ ПОКАЗАТЕЛИ
ОЦЕНКИ НЕПРЕРЫВНОСТИ ДЕЯТЕЛЬНОСТИ СЗИОФР
Показатели оценки непрерывности деятельности СЗИОФР рекомендуется рассчитывать на основании следующих показателей.
1. Показатель Д0 определяет уровень устойчивости программно-технических средств к отказам в работе и рассчитывается как отношение фактической продолжительности рабочего времени программно-технических средств к суммарной продолжительности рабочего времени программно-технических средств:
,
где:
t - суммарная продолжительность рабочего времени программно-технических средств, предусмотренная в соответствии с временным регламентом его функционирования за последние четыре квартала, рассчитанная в часах;
e - суммарная продолжительность простоя при нарушениях в работе программно-технических средств за последние четыре квартала, рассчитанная в часах.
При расчете t и e используется время оказания значимых услуг при функционировании СЗИОФР в качестве всех видов инфраструктурных организаций финансового рынка, информация о которых размещена на официальном сайте Банка России в информационно-телекоммуникационной сети "Интернет" в разделе "Системно значимые инфраструктурные организации финансового рынка".
2. Показатель F определяет уровень максимальной интенсивности вероятных нарушений в работе программно-технических средств и рассчитывается как отношение минимального промежутка рабочего времени между нарушениями в работе программно-технических средств к количеству нарушений в работе программно-технических средств в отчетном периоде:
,
где:
m - минимальный промежуток рабочего времени между двумя нарушениями в работе программно-технических средств в отчетном периоде, рассчитанный в часах;
n - количество нарушений в работе программно-технических средств в отчетном периоде, рассчитанный в штуках.
В случае если n равно 0, то показатель F не рассчитывается.
В случае если n равно 1, то расчет m проводится от последнего нарушения в работе программно-технических средств предыдущего периода до нарушения в работе программно-технических средств в отчетном периоде.
Значение показателя F считается удовлетворительным, если F больше 2.
3. Показатель определяет среднее время восстановления работоспособности программно-технических средств после нарушений в работе и рассчитывается как среднее арифметическое времени восстановления при нарушениях работоспособности:
,
где:
- время восстановления при i-м нарушении работоспособности программно-технических средств, рассчитанное в часах;
N - количество фактов нарушений работоспособности программно-технических средств за отчетный квартал, рассчитанное в штуках.
Показатель рассчитывается для каждой значимой услуги.