"Положение о порядке обеспечения бесперебойности функционирования платежной системы Банка России в части сервиса срочного перевода денежных средств и сервиса несрочного перевода денежных средств при предоставлении распоряжений о переводе денежных средств
ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ
27 марта 2019 г. N 680-П
ПОЛОЖЕНИЕ
О ПОРЯДКЕ ОБЕСПЕЧЕНИЯ БЕСПЕРЕБОЙНОСТИ ФУНКЦИОНИРОВАНИЯ
ПЛАТЕЖНОЙ СИСТЕМЫ БАНКА РОССИИ В ЧАСТИ СЕРВИСА СРОЧНОГО
ПЕРЕВОДА ДЕНЕЖНЫХ СРЕДСТВ И СЕРВИСА НЕСРОЧНОГО ПЕРЕВОДА
ДЕНЕЖНЫХ СРЕДСТВ ПРИ ПРЕДОСТАВЛЕНИИ РАСПОРЯЖЕНИЙ О ПЕРЕВОДЕ
ДЕНЕЖНЫХ СРЕДСТВ В ЭЛЕКТРОННОМ ВИДЕ ПО КАНАЛАМ СВЯЗИ
Настоящее Положение на основании пункта 14 части 1 статьи 20 Федерального закона от 27 июня 2011 года N 161-ФЗ "О национальной платежной системе" (Собрание законодательства Российской Федерации, 2011, N 27, ст. 3872; 2012, N 53, ст. 7592; 2013, N 27, ст. 3477; N 30, ст. 4084; N 52, ст. 6968; 2014, N 19, ст. 2315, ст. 2317; N 43, ст. 5803; 2015, N 1, ст. 8, ст. 14; 2016, N 27, ст. 4221, ст. 4223; 2017, N 15, ст. 2134; N 18, ст. 2665; N 30, ст. 4456; 2018, N 27, ст. 3950, ст. 3952; N 32, ст. 5115, N 49, ст. 7524) (далее - Федеральный закон от 27 июня 2011 года N 161-ФЗ), а также в соответствии с Положением Банка России от 3 октября 2017 года N 607-П "О требованиях к порядку обеспечения бесперебойности функционирования платежной системы, показателям бесперебойности функционирования платежной системы и методикам анализа рисков в платежной системе, включая профили рисков", зарегистрированным в Министерстве юстиции Российской Федерации 22 декабря 2017 года N 49386, устанавливает порядок обеспечения бесперебойности функционирования платежной системы Банка России в части сервиса срочного перевода денежных средств и сервиса несрочного перевода денежных средств при предоставлении распоряжений о переводе денежных средств в электронном виде по каналам связи.
Глава 1. Общие положения
1.1. Термины, используемые в настоящем Положении, применяются в значениях, установленных Федеральным законом от 27 июня 2011 года N 161-ФЗ и Политикой управления рисками Банка России, введенной в действие 23 марта 2016 года.
1.2. Обеспечение бесперебойности функционирования платежной системы Банка России (далее - БФПС) достигается при условии оказания в платежной системе Банка России (далее - ПС) услуг платежной инфраструктуры (далее - УПИ) согласно требованиям Федерального закона от 27 июня 2011 года N 161-ФЗ и принятых в соответствии с ним нормативных актов Банка России, определяющих правила ПС, договоров банковского (корреспондентского) счета (субсчета) и договоров об обмене электронными сообщениями при переводе денежных средств через ПС (далее - надлежащее оказание УПИ) и (или) восстановления надлежащего оказания УПИ с момента выявления и регистрации риск-события, которое привело к нарушению надлежащего оказания УПИ (далее - инцидент), и восстановления оказания УПИ в случае приостановления их оказания с момента выявления и регистрации инцидента, который привел к приостановлению оказания соответствующей (соответствующих) УПИ.
Время восстановления оказания УПИ в случае приостановления их оказания, в том числе перехода на оказание УПИ с использованием резервных технологий и (или) резервных автоматизированных систем, составляет не более чем 2 часа. Время восстановления надлежащего оказания УПИ с учетом времени возврата на основное автоматизированное решение составляет не более чем 48 часов.
1.3. Надлежащим оказанием операционных услуг в части доступности операционного центра ПС признается оказание операционных услуг в течение временного интервала, не превышающего 2 минут.
Гарантированным уровнем бесперебойности оказания операционных услуг, характеризующим качество функционирования операционных и технологических средств платежной инфраструктуры, является доступность операционного центра ПС не менее чем на 99,00% в течение операционного дня.
1.4. Надлежащим оказанием УПИ в части обеспечения конфиденциальности информации о переводе денежных средств через ПС, ее целостности, а также ее доступности признается отсутствие в течение 1 календарного месяца переводов денежных средств через ПС со счетов участников ПС без их согласия вследствие результативных компьютерных атак на объекты платежной инфраструктуры ПС, эксплуатация которых осуществляется Банком России.
Гарантированным уровнем бесперебойности оказания УПИ, характеризующим качество функционирования операционных и технологических средств платежной инфраструктуры, в части обеспечения конфиденциальности, целостности и доступности информации о переводе денежных средств через ПС является:
соблюдение порогового уровня индикатора противодействия информационным угрозам в ПС, расчет которого приведен в подпункте 2.6 пункта 2 приложения 1 к настоящему Положению;
обеспечение соответствия мер защиты информации и полноты реализации процессов системы защиты информации в платежной инфраструктуре ПС требованиям, установленным национальным стандартом Российской Федерации ГОСТ Р 57580.1-2017 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер", утвержденным приказом Федерального агентства по техническому регулированию и метрологии от 8 августа 2017 года N 822-ст "Об утверждении национального стандарта" (М., ФГУП "Стандартинформ", 2017), четвертому уровню соответствия, установленному национальным стандартом Российской Федерации ГОСТ Р 57580.2-2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия", утвержденным приказом Федерального агентства по техническому регулированию и метрологии от 28 марта 2018 года N 156-ст "Об утверждении национального стандарта Российской Федерации" (М., ФГУП "Стандартинформ", 2018).
1.5. Деятельность Банка России по обеспечению БФПС включает:
организацию системы управления рисками в ПС, присущими бизнес-процессу, в рамках которого обеспечивается функционирование ПС (далее - бизнес-процесс), и управление рисками ликвидности, кредитными рисками, операционными рисками, включая правовые риски, в ПС, реализация которых способна оказать негативное воздействие на Банк России, предусмотренное критериями оценки воздействия риска, установленными в Банке России, и которые имеют потенциал к реализации в бизнес-процессе (далее - значимые риски), в том числе проведение анализа операций (шагов) бизнес-процесса с целью идентификации рисков, присущих бизнес-процессу, определение среди идентифицированных рисков значимых рисков, проведение оценки значимых рисков, определение и применение мер реагирования на значимые риски и мониторинг ключевых индикаторов рисков (далее при совместном упоминании - управление рисками в ПС);
выявление инцидентов, обеспечение функционирования ПС в условиях инцидента и восстановление надлежащего оказания УПИ, включая восстановление оказания УПИ в случае приостановления их оказания (далее при совместном упоминании - управление непрерывностью функционирования ПС);
организацию взаимодействия Банка России и участников ПС по обеспечению БФПС.
1.6. Банк России организует деятельность по обеспечению БФПС с учетом организационной модели управления рисками, предусматривающей самостоятельное управление Банком России рисками в ПС.
Деятельность по обеспечению БФПС осуществляется в том числе с использованием специализированного программного обеспечения.
1.7. Обеспечение БФПС осуществляется с учетом установленных в Банке России порядка и требований к реализации процессного управления.
Глава 2. Организационная структура, используемая Банком России при обеспечении БФПС
2.1. Организационная структура, используемая Банком России при обеспечении БФПС, формируется на основе принципа трех линий защиты:
первая линия защиты представлена подразделениями в составе структурных подразделений Банка России, которые выполняют бизнес-процесс (операцию, шаг) и управляют рисками в ПС, а также непрерывностью функционирования ПС (далее - ПУРиН), руководителями ПУРиН, владельцем бизнес-процесса, заместителем Председателя Банка России, курирующим вопросы организации и функционирования ПС (далее - курирующий руководитель Банка России), Председателем Банка России;
вторая линия защиты представлена уполномоченными структурными подразделениями Банка России - структурным подразделением центрального аппарата Банка России, реализующим полномочия оператора ПС (далее - подразделение, реализующее полномочия оператора ПС), и структурным подразделением центрального аппарата Банка России, ответственным за развитие системы управления рисками Банка России (далее - УРСУР), а также Комитетом по управлению рисками в ПС (далее - Комитет), которые выполняют методологические и (или) контрольные функции по обеспечению БФПС;
третья линия защиты представлена Службой главного аудитора Банка России, осуществляющей независимую оценку системы управления рисками в ПС (далее - СУР).
2.2. Субъектами организационной структуры, обеспечивающими БФПС, являются:
Председатель Банка России;
курирующий руководитель Банка России;
Комитет;
владелец бизнес-процесса - руководитель подразделения, реализующего полномочия оператора ПС, ответственный в соответствии с организационно-распорядительным документом Банка России за результаты выполнения бизнес-процесса;
руководители ПУРиН;
работники структурных подразделений Банка России, в состав которых в том числе входят ПУРиН (далее - работники структурных подразделений Банка России);
работники УРСУР, выполняющие методологические функции по управлению рисками, присущими бизнес-процессу (далее - работники УРСУР);
работники подразделения, реализующего полномочия оператора ПС, выполняющие методологические функции по управлению непрерывностью функционирования ПС (далее - работники оператора ПС);
работники подразделения, реализующего полномочия оператора ПС, назначенные владельцем бизнес-процесса для координации и выполнения работ по обеспечению БФПС исходя из имеющихся у них знаний о бизнес-процессе (операциях, шагах) и знаний в области обеспечения БФПС (далее - риск-координаторы бизнес-процесса);
работники ПУРиН, назначенные руководителем структурного подразделения Банка России для координации и выполнения работ по обеспечению БФПС в рамках компетенции данного структурного подразделения Банка России (далее - риск-координаторы ПУРиН).
2.2.1. Председатель Банка России:
рассматривает и утверждает ежегодный отчет об управлении рисками в ПС;
принимает решения о выделении ресурсов, необходимых для обеспечения БФПС;
принимает решения о реагировании на инциденты, последствия которых требуют перехода на резервную автоматизированную систему.
2.2.2. Курирующий руководитель Банка России:
осуществляет контроль за обеспечением БФПС;
рассматривает и согласовывает предложения владельца бизнес-процесса по мерам реагирования на значимые риски (далее - меры реагирования) в части, относящейся к его компетенции, и обеспечивает организацию выполнения принятых решений;
согласовывает ключевые индикаторы рисков (далее - КИР), предложенные владельцем бизнес-процесса в дополнение к указанным в приложении 1 к настоящему Положению (далее - дополнительные КИР), или отмену КИР;
утверждает план действий, направленных на обеспечение непрерывности деятельности и (или) восстановление деятельности Банка России как оператора ПС (далее - план ОНиВД);
принимает решения о применении мер, направленных на обеспечение непрерывности функционирования ПС в условиях инцидента (далее - обеспечивающие меры), приводящего к приостановлению оказания одной или нескольких УПИ в ПС более чем на 2 часа, в том числе об активации соответствующих сценариев плана ОНиВД;
принимает решения по спорным вопросам, возникающим при обеспечении БФПС, в том числе при отсутствии по ним согласованной позиции у курируемых структурных подразделений Банка России.
2.2.3. Комитет является действующим на постоянной основе коллегиальным органом по управлению рисками, присущими бизнес-процессу. Функции и полномочия Комитета, в том числе в части оценки СУР, определяются положением о Комитете, которое утверждается организационно-распорядительным документом Банка России.
2.2.4. Владелец бизнес-процесса в рамках предоставленных полномочий обеспечивает БФПС посредством выполнения следующих мероприятий.
В части управления значимыми рисками:
обеспечивает формирование и поддержание в актуальном состоянии описания бизнес-процесса;
совместно с руководителями ПУРиН обеспечивает идентификацию рисков, присущих бизнес-процессу, и утверждает перечень значимых рисков;
совместно с руководителями ПУРиН обеспечивает проведение оценки значимых рисков;
организует ведение профиля риска нарушения БФПС, содержащего информацию о значимых рисках (далее - единый профиль рисков в ПС), и утверждает единый профиль рисков в ПС, подготовленный по результатам проведенной оценки значимых рисков;
обеспечивает подготовку и направление курирующему руководителю Банка России предложений о реагировании на значимые риски, обеспечивает выполнение принятых решений по ним;
обеспечивает разработку дополнительных КИР или их отмену;
обеспечивает проведение мониторинга комбинации вероятности реализации риска и его воздействия (далее при совместном упоминании - уровень значимого риска) на предмет своевременного применения мер реагирования;
обеспечивает проведение оценки эффективности управления значимыми рисками и принимает меры, направленные на совершенствование бизнес-процесса, в том числе на решение проблем при обеспечении БФПС, затрагивающих несколько бизнес-процессов Банка России и (или) структурных подразделений Банка России (далее - системные проблемы);
обеспечивает подготовку ежегодного отчета об управлении рисками в ПС;
обеспечивает выполнение решений Комитета, сформированных по итогам проведенной оценки СУР;
обеспечивает непрерывность исполнения обязанностей, возложенных настоящим Положением на риск-координаторов бизнес-процесса и риск-координаторов ПУРиН, в том числе посредством назначения лиц, их замещающих.
В части управления непрерывностью функционирования ПС:
обеспечивает выявление, сбор и обработку сведений об инцидентах;
обеспечивает полноту и корректность данных об инцидентах;
обеспечивает проведение оценки влияния на БФПС каждого и всех в совокупности инцидентов, реализовавшихся в течение календарного месяца при выполнении бизнес-процесса;
обеспечивает подготовку проекта плана ОНиВД;
принимает решения о применении обеспечивающих мер, в том числе об активации сценариев плана ОНиВД, в отношении инцидентов, приводящих к приостановлению оказания одной или нескольких УПИ в ПС менее чем на 2 часа;
обеспечивает подготовку предложений о применении обеспечивающих мер, в том числе об активации сценариев плана ОНиВД, в отношении инцидентов, приводящих к приостановлению оказания одной или нескольких УПИ в ПС более чем на 2 часа и выполнение принятых решений;
обеспечивает тестирование и пересмотр плана ОНиВД;
обеспечивает проведение оценки эффективности управления непрерывностью функционирования ПС.
В части организации взаимодействия Банка России и участников ПС по обеспечению БФПС владелец бизнес-процесса обеспечивает информирование участников ПС о приостановлении и восстановлении оказания УПИ в ПС.
2.2.5. Руководители ПУРиН обеспечивают БФПС в части операций (шагов) бизнес-процесса, выполнение которых отнесено к компетенции ПУРиН, посредством выполнения следующих мероприятий.
В части управления значимыми рисками:
обеспечивают формирование и поддержание в актуальном состоянии описания выполняемых операций (шагов) бизнес-процесса, в том числе посредством направления предложений о внесении изменений в описание бизнес-процесса;
участвуют в идентификации рисков, присущих бизнес-процессу, и согласовывают перечень значимых рисков;
обеспечивают проведение оценки значимых рисков;
организуют ведение информации о значимых рисках в рамках единого профиля рисков в ПС в части операций (шагов) бизнес-процесса, выполнение которых отнесено к компетенции ПУРиН, и согласовывают содержание данной информации в едином профиле рисков в ПС по результатам оценки значимых рисков;
согласовывают предложения риск-координаторов ПУРиН о применении в отношении значимых рисков мер реагирования и обеспечивают выполнение принятых решений по ним;
обеспечивают подготовку предложений о разработке или отмене дополнительных КИР;
согласовывают предложенные риск-координаторами ПУРиН дополнительные КИР;
обеспечивают проведение мониторинга уровней значимых рисков на предмет своевременного применения мер реагирования;
обеспечивают проведение оценки эффективности управления значимыми рисками и принимают меры, направленные на совершенствование бизнес-процесса, в том числе обеспечивают подготовку предложений владельцу бизнес-процесса о реагировании на системные проблемы;
обеспечивают подготовку материалов для включения в ежегодный отчет об управлении рисками в ПС;
обеспечивают выполнение решений Комитета, сформированных по итогам проведенной оценки СУР;
обеспечивают осведомленность работников ПУРиН о значимых рисках и порядке управления ими;
В части управления непрерывностью функционирования ПС:
обеспечивают выявление, сбор и обработку сведений об инцидентах;
обеспечивают полноту и корректность данных об инцидентах;
обеспечивают проведение оценки влияния на БФПС каждого инцидента и всех в совокупности инцидентов, реализовавшихся в течение календарного месяца при выполнении бизнес-процесса, в части операций (шагов) бизнес-процесса, выполнение которых отнесено к компетенции ПУРиН;
обеспечивают подготовку предложений к проекту плана ОНиВД в части операций (шагов) бизнес-процесса, выполнение которых отнесено к компетенции ПУРиН;
принимают решения о применении обеспечивающих мер, в том числе об активации сценариев плана ОНиВД, в отношении инцидентов, приводящих к приостановлению оказания УПИ в ПС менее чем на 2 часа;
обеспечивают реализацию обеспечивающих мер, в том числе об активации сценариев плана ОНиВД, в отношении инцидентов, приводящих к приостановлению оказания УПИ в ПС более чем на 2 часа;
обеспечивают тестирование и пересмотр плана ОНиВД в части отдельных сценариев;
обеспечивают проведение оценки эффективности управления непрерывностью функционирования ПС.
В части организации взаимодействия Банка России и участников ПС по обеспечению БФПС руководители ПУРиН обеспечивают информирование участников ПС о приостановлении и восстановлении оказания УПИ в ПС, если такое информирование входит в состав операций (шагов) бизнес-процесса, выполнение которых отнесено к компетенции ПУРиН.
2.2.6. Работники структурных подразделений Банка России выполняют решения по обеспечению БФПС, принятые Председателем Банка России, курирующим руководителем Банка России, владельцем бизнес-процесса и руководителями соответствующих ПУРиН, а также информируют их и риск-координаторов ПУРиН об идентифицированных рисках, присущих бизнес-процессу, выявленных инцидентах и предоставляют необходимые документы и информацию по запросам риск-координаторов бизнес-процесса и риск-координаторов ПУРиН.
2.2.7. Работники УРСУР осуществляют общую координацию и методологическую поддержку деятельности по управлению рисками, присущими бизнес-процессу, в том числе:
осуществляют верификацию сведений о значимых рисках, сведений о связанных с ними инцидентах и сведений о дополнительных КИР;
разрабатывают и поддерживают в актуальном состоянии таксономии источников риска (риск-факторов), областей реализации рисков (риск-событий) и мер реагирования;
проводят анализ данных о значимых рисках и об управлении ими, в том числе на предмет выявления системных проблем, и при необходимости готовят предложения для структурных подразделений Банка России и (или) руководства Банка России, направленные на повышение эффективности управления рисками и совершенствование бизнес-процесса.
2.2.8. Работники оператора ПС осуществляют общую координацию деятельности и методологическую поддержку деятельности по управлению непрерывностью функционирования ПС, а также разрабатывают и поддерживают в актуальном состоянии классификаторы (структурированные перечни) рисков, риск-событий и причин риск-событий, которые применяются наряду с таксономиями, указанными в подпункте 2.2.7 настоящего пункта.
2.2.9. Риск-координаторы бизнес-процесса оказывают методологическую поддержку ПУРиН по вопросам обеспечения БФПС и выполняют следующие мероприятия.
В части управления значимыми рисками:
контролируют актуальность описания бизнес-процесса;
идентифицируют риски, присущие бизнес-процессу, и формируют перечень значимых рисков;
согласовывают подготовленные ПУРиН результаты оценки значимых рисков и составляют единый профиль рисков в ПС;
согласовывают предложения ПУРиН о применении в отношении значимых рисков мер реагирования;
осуществляют контроль за своевременным выполнением ПУРиН решений о применении в отношении значимых рисков мер реагирования, принятых курирующим руководителем Банка России и владельцем бизнес-процесса, в том числе посредством направления запросов о предоставлении информации и документов руководителям ПУРиН, риск-координаторам ПУРиН и другим работникам ПУРиН;
подготавливают предложения по дополнительным КИР или их отмене и представляют их на рассмотрение владельцу бизнес-процесса;
согласовывают разработанные риск-координаторами ПУРиН дополнительные КИР, а также предложения по их отмене;
проводят мониторинг уровней значимых рисков;
проводят оценку эффективности управления значимыми рисками и подготавливают предложения для владельца бизнес-процесса по принятию мер, направленных на совершенствование бизнес-процесса;
осуществляют подготовку ежегодного отчета об управлении рисками в ПС;
подготавливают предложения для владельца бизнес-процесса по реализации решений Комитета, сформированных по итогам проведенной оценки СУР.
В части управления непрерывностью функционирования ПС:
согласовывают сведения о выявленных риск-координаторами ПУРиН инцидентах;
согласовывают результаты оценки влияния на БФПС каждого инцидента, совокупности инцидентов, реализовавшихся в течение календарного месяца при выполнении бизнес-процесса;
подготавливают проект плана ОНиВД;
согласовывают предложения риск-координаторов ПУРиН о применении в отношении инцидентов, реализовавшихся при выполнении бизнес-процесса, обеспечивающих мер, в том числе сценариев плана ОНиВД;
осуществляют контроль за своевременным выполнением работниками ПУРиН решений о применении обеспечивающих мер, в том числе посредством направления запросов о предоставлении информации и документов руководителям ПУРиН, риск-координаторам ПУРиН и другим работникам ПУРиН;
участвуют в тестировании и пересмотре плана ОНиВД;
проводят оценку эффективности управления непрерывностью функционирования ПС.
В части организации взаимодействия Банка России и участников ПС по обеспечению БФПС риск-координаторы бизнес-процесса совместно с риск-координаторами ПУРиН контролируют исполнение мероприятий по информированию участников ПС о приостановлении и восстановлении оказания УПИ в ПС.
2.2.10. Риск-координаторы ПУРиН оказывают методологическую поддержку работникам ПУРиН по вопросам обеспечения БФПС и проводят следующие мероприятия в части операций (шагов) бизнес-процесса, выполнение которых отнесено к компетенции ПУРиН.
В части управления значимыми рисками:
контролируют актуальность описания бизнес-процесса;
участвуют в идентификации значимых рисков и формировании перечня значимых рисков;
проводят оценку значимых рисков и заполняют единый профиль рисков в ПС в части значимых рисков, присущих операциям (шагам) бизнес-процесса, выполнение которых отнесено к компетенции ПУРиН;
подготавливают предложения о применении в отношении значимых рисков мер реагирования и согласовывают их с руководителями ПУРиН;
осуществляют контроль за своевременным выполнением ПУРиН решений, принятых курирующим руководителем Банка России, владельцем бизнес-процесса и руководителями ПУРиН в части, относящейся к компетенции ПУРиН, о применении мер реагирования, в том числе посредством направления запросов о предоставлении информации и документов работникам ПУРиН;
разрабатывают по решению руководителей ПУРиН дополнительные КИР, а также предложения по их отмене;
проводят мониторинг уровней значимых рисков;
проводят оценку эффективности управления значимыми рисками, в том числе на предмет выявления системных проблем, и подготавливают предложения для руководителей ПУРиН по принятию мер, направленных на совершенствование бизнес-процесса;
участвуют в подготовке материалов для включения в ежегодный отчет об управлении рисками в ПС;
подготавливают предложения для руководителей ПУРиН по реализации решений Комитета, сформированных по итогам проведенной оценки СУР.
В части управления непрерывностью функционирования ПС:
выявляют инциденты, а также осуществляют сбор и обработку сведений об инцидентах;
проводят оценку влияния на БФПС каждого инцидента, совокупности инцидентов, реализовавшихся в течение календарного месяца при выполнении бизнес-процесса, в части операций (шагов) бизнес-процесса, выполнение которых отнесено к компетенции ПУРиН, и направляют результаты оценки на согласование риск-координаторам бизнес-процесса;
подготавливают предложения к проекту плана ОНиВД по отдельным сценариям в части операций (шагов) бизнес-процесса, выполнение которых отнесено к компетенции ПУРиН;
подготавливают предложения для руководителей ПУРиН о применении в отношении выявленных инцидентов обеспечивающих мер, в том числе сценариев плана ОНиВД;
осуществляют контроль за своевременным выполнением работниками ПУРиН решений о применении обеспечивающих мер, в том числе посредством направления запросов о предоставлении информации и документов работникам ПУРиН;
участвуют в тестировании отдельных сценариев плана ОНиВД и пересмотре плана ОНиВД в части отдельных сценариев;
проводят оценку эффективности управления непрерывностью функционирования ПС.
В части организации взаимодействия Банка России и участников ПС по обеспечению БФПС риск-координаторы ПУРиН совместно с риск-координаторами бизнес-процесса контролируют выполнение мероприятий по информированию участников ПС о приостановлении и восстановлении оказания УПИ в ПС, если такое информирование входит в состав операций (шагов) бизнес-процесса, выполнение которых отнесено к компетенции ПУРиН.
2.3. Распределение обязанностей между субъектами организационной структуры при выполнении ими деятельности по управлению значимыми рисками, предусмотренной главой 3 настоящего Положения, и деятельности по управлению непрерывностью функционирования ПС, предусмотренной главой 4 настоящего Положения, осуществляется в порядке, установленном в Банке России.
Глава 3. Управление рисками в ПС
3.1. Управление рисками в ПС выполняется посредством идентификации значимых рисков, проведения оценки указанных рисков и мер реагирования (далее при совместном упоминании - самооценка), принятия решений о реагировании на значимые риски после применения существующих мер реагирования (далее - остаточный риск) и мониторинга КИР.
3.2. Самооценка выполняется с применением методик анализа рисков, включающих порядок управления операционными рисками Банка России и следующие мероприятия.
3.2.1. Для идентификации значимых рисков последовательно применяются следующие способы с последующим сопоставлением их результатов:
"снизу вверх" - способ, при котором значимые риски идентифицируются риск-координаторами бизнес-процесса совместно с руководителями ПУРиН, риск-координаторами ПУРиН и отдельными работниками структурных подразделений Банка России, обладающими необходимым профессиональным опытом и знаниями о бизнес-процессе;
"сверху вниз" - способ, при котором значимые риски идентифицируются владельцем бизнес-процесса.
3.2.2. Для обеспечения эффективного управления значимыми рисками, в том числе выявления системных проблем, идентификации подлежат как значимые риски в рамках одного бизнес-процесса, так и значимые риски в рамках нескольких бизнес-процессах Банка России, реализация которых является источником рисков (риск-фактором) бизнес-процесса (далее - связанные риски).
3.2.3. Для определения уровня значимого риска осуществляется оценка значимого риска с использованием критериев оценки воздействия риска и оценки вероятности реализации риска, установленных в Банке России, с учетом следующего:
очень сильное воздействие - недостижение целей, невыполнение (ненадлежащее выполнение) функций, вследствие которого оцениваемое время восстановления оказания УПИ превысит 4 часа в случае приостановления их оказания и (или) оцениваемое время восстановления надлежащего оказания УПИ превысит 48 часов в случае восстановления их надлежащего оказания (с учетом времени перехода на резервную автоматизированную систему и возврата на основное автоматизированное решение);
сильное воздействие - задержки, вследствие реализации которых оцениваемое время восстановления оказания УПИ не превысит 4 часов в случае приостановления их оказания и (или) оцениваемое время восстановления надлежащего оказания УПИ не превысит 48 часов в случае восстановления их надлежащего оказания (с учетом времени перехода на резервную автоматизированную систему и возврата на основное автоматизированное решение);
среднее воздействие - нарушения, вследствие реализации которых оцениваемое время восстановления оказания УПИ не превысит 2 часов в случае приостановления их оказания и (или) оцениваемое время восстановления надлежащего оказания УПИ не превысит 36 часов в случае восстановления их надлежащего оказания (с учетом времени перехода на резервную автоматизированную систему и возврата на основное автоматизированное решение);
низкое воздействие - перебои, вследствие реализации которых оцениваемое время восстановления оказания УПИ не превысит 1 часа в случае приостановления их оказания и (или) оцениваемое время восстановления надлежащего оказания УПИ не превысит 12 часов в случае восстановления их надлежащего оказания (с учетом времени перехода на резервную автоматизированную систему и возврата на основное автоматизированное решение);
незначительное воздействие - перебои, вследствие реализации которых оцениваемое время восстановления оказания УПИ не превысит 0,5 часа в случае приостановления их оказания и (или) оцениваемое время восстановления надлежащего оказания УПИ не превысит 6 часов в случае восстановления их надлежащего оказания (с учетом времени перехода на резервную автоматизированную систему и возврата на основное автоматизированное решение).
3.2.4. Для принятия решения о реагировании на остаточные риски используются критерии реагирования на значимые риски, установленные в Банке России.
3.2.5. Для выполнения самооценки используется следующая информация:
экспертные мнения работников Банка России, основанные на их профессиональном опыте и знаниях о бизнес-процессе;
результаты мониторинга КИР;
результаты анализа эффективности управления значимыми рисками и эффективности управления непрерывностью функционирования ПС;
сведения (данные) об инцидентах;
результаты независимой оценки СУР и иных процедур внутреннего аудита, проведенных Службой главного аудитора Банка России;
результаты мероприятий, проведенных внешними контролирующими органами.
При проведении самооценки возможно использование иной информации о ПС, любой комбинации вышеуказанных источников информации о ПС.
3.2.6. Выполнение самооценки начинается в сроки, установленные нормативными актами Банка России (далее - плановая самооценка), или по решению владельца бизнес-процесса (далее - внеплановая самооценка).
3.2.7. Внеплановая полная самооценка выполняется в отношении всех значимых рисков в случаях, требующих оперативного пересмотра единого профиля рисков в ПС, уровней значимых рисков и мер реагирования, в том числе при существенных изменениях в бизнес-процессе и (или) во внешней и внутренней среде, а также в случае возникновения инцидента, для которого не предусмотрено описание значимого риска в едином профиле рисков в ПС и реализация которого привела к приостановлению оказания УПИ. О принятом решении о проведении внеплановой полной самооценки владелец бизнес-процесса информирует работников УРСУР не позднее рабочего дня, следующего за датой ее начала.
3.2.8. Внеплановая частичная самооценка выполняется в отношении отдельных значимых рисков в случаях, требующих оперативного пересмотра отдельных значимых рисков, в том числе когда результаты мониторинга КИР свидетельствуют о более высоком уровне риска по сравнению с данными последней самооценки, о неэффективности (недостаточности) применяемых мер реагирования или о наличии значимых рисков, которые в ходе последней самооценки не были идентифицированы как значимые.
3.2.9. Владелец бизнес-процесса принимает решения о проведении внеплановой полной самооценки (внеплановой частичной самооценки) в случаях, указанных в подпунктах 3.2.7 и 3.2.8 настоящего пункта. Внеплановая полная или частичная самооценка проводится в срок, не превышающий 6 месяцев со дня принятия соответствующего решения владельцем бизнес-процесса.
3.2.10. По результатам проведенной самооценки (как плановой, так и внеплановой) риск-координаторами ПУРиН заполняется единый профиль рисков в ПС в части своей компетенции, а риск-координаторами бизнес-процесса составляется единый профиль рисков в ПС в соответствии с приложением 2 к настоящему Положению и с использованием таксономий в порядке, устанавливаемом в Банке России.
Единый профиль рисков в ПС, а также допустимые (приемлемые) уровни значимых рисков согласовываются владельцем бизнес-процесса и утверждаются Комитетом.
Единый профиль рисков в ПС хранится не менее чем 2 года со дня его составления и (или) пересмотра (актуализации).
3.3. Мониторинг и анализ значимых рисков, в том числе в режиме реального времени (далее - мониторинг значимых рисков), направлены на выявление существенных изменений уровней остаточных рисков, в том числе с применением специализированного программного обеспечения.
Мониторинг значимых рисков проводится в соответствии с приложением 1 к настоящему Положению, а также на основе следующих мероприятий.
3.3.1. Мониторинг КИР направлен на раннее предупреждение руководителей всех уровней в Банке России в части, относящейся к их компетенции, о повышении уровней остаточных рисков до и выше допустимого (приемлемого).
3.3.2. Дополнительные КИР согласовываются курирующим руководителем Банка России, в том числе на основании предложений риск-координаторов ПУРиН, риск-координаторов бизнес-процесса, владельца бизнес-процесса, работников УРСУР и других заинтересованных структурных подразделений Банка России, а также следующей информации:
требований законодательства Российской Федерации, нормативных и иных актов Банка России, регламентирующих функционирование ПС;
данных последних самооценок;
сведений (данных) об инцидентах;
результатов мониторинга КИР;
другой информации, свидетельствующей о целесообразности (необходимости) разработки (отмены) КИР.
3.3.3. КИР могут быть разработаны для мониторинга уровня одного значимого риска или одновременного мониторинга уровней нескольких значимых рисков. Для мониторинга уровня одного значимого риска может быть разработано несколько КИР.
3.3.4. Перечень дополнительных КИР, а также их пороговые значения (одновременно являющиеся пороговыми уровнями) утверждается Комитетом.
3.4. В целях управления значимыми рисками используются следующие меры реагирования, являющиеся также способами управления рисками:
осуществление расчета в ПС до конца операционного дня;
осуществление перевода за счет денежных средств, находящихся на счетах участников ПС, в том числе с учетом лимита внутридневного кредита и кредита овернайт, а также за счет денежных средств, объединенных в пул ликвидности;
изменение последовательности расположения распоряжений участников ПС во внутридневной очереди;
обеспечение возможности предоставления внутридневного кредита и кредита овернайт.
Риск-координаторы бизнес-процесса, риск-координаторы ПУРиН могут применять дополнительные меры реагирования, направленные на обеспечение эффективности управления значимыми рисками, с учетом следующего:
применение новой меры реагирования не должно уменьшать положительный эффект от применения ранее используемых мер реагирования;
положительный эффект от вновь применяемой меры реагирования не должен быть меньше положительного эффекта от последовательного или одновременного применения вновь применяемой и ранее использованных мер реагирования;
положительный эффект от применения одной или нескольких мер реагирования, направленных на обеспечение эффективности управления значимыми рисками, должен быть соразмерен затратам на реализацию указанных мер с учетом риск-аппетита Банка России.
Эффект от применения меры реагирования признается положительным в случае, если уровень воздействия от реализации значимого риска ниже уровня воздействия до применения рассматриваемой меры реагирования или если вероятность реализации значимого риска ниже вероятности реализации до применения рассматриваемой меры реагирования.
3.5. При управлении значимыми рисками должны быть осуществлены в том числе следующие мероприятия.
3.5.1. Взаимодействие владельца бизнес-процесса и участников ПС в спорных, нестандартных и чрезвычайных ситуациях, включая случаи системных сбоев, осуществляется в соответствии с требованиями нормативных актов Банка России, определяющими правила ПС, а также положениями договоров банковского (корреспондентского) счета (субсчета) и договоров об обмене электронными сообщениями при переводе денежных средств через ПС.
3.5.2. Изменения операционных и технологических средств и процедур, обеспечивающих функционирование ПС, осуществляются в соответствии с нормативными и иными актами Банка России.
3.5.3. Оценка качества функционирования операционных и технологических средств ПС, информационных систем, используемых для обеспечения функционирования ПС, осуществляется Банком России в соответствии с нормативными и иными актами Банка России, определяющими проведение внутреннего контроля.
3.6. Оценка эффективности управления значимыми рисками и эффективности управления непрерывностью функционирования ПС осуществляется посредством сопоставления времени восстановления оказания УПИ в случае приостановления их оказания и (или) времени восстановления надлежащего оказания УПИ, установленного в пункте 1.2 настоящего Положения, с фактическим временем за период с даты окончания последней плановой (полной внеплановой) самооценки.
При двукратном и более превышении установленного в пункте 1.2 настоящего Положения времени восстановления оказания УПИ в случае приостановления их оказания и (или) времени восстановления надлежащего оказания УПИ управление значимыми рисками и управление непрерывностью функционирования ПС признаются неэффективными. В иных случаях управление значимыми рисками и управление непрерывностью функционирования ПС признаются эффективными.
При признании управления значимыми рисками и управления непрерывностью функционирования ПС неэффективными подготавливаются меры, направленные на повышение эффективности и на совершенствование бизнес-процесса.
При оценке эффективности управления значимыми рисками и эффективности управления непрерывностью функционирования ПС могут быть использованы иные критерии сопоставления, отличные от времени восстановления оказания УПИ в случае приостановления их оказания и времени восстановления надлежащего оказания УПИ.
Глава 4. Управление непрерывностью функционирования ПС
4.1. Управление непрерывностью функционирования ПС осуществляется посредством выявления сведений (данных) об инцидентах, регистрации инцидентов, определения влияния их на БФПС, разработки обеспечивающих мер, включая план ОНиВД, тестирования и поддержания плана ОНиВД в актуальном состоянии, а также применения обеспечивающих мер, в том числе сценариев плана ОНиВД, в отношении инцидентов.
4.2. Выявление сведений (данных) об инцидентах осуществляется риск-координаторами ПУРиН на основании информации о нарушении надлежащего оказания УПИ, полученной от работников ПУРиН, в том числе в части обеспечения конфиденциальности информации о переводе денежных средств через ПС, ее целостности и доступности.
Работники ПУРиН осуществляют контроль выполнения процедур приема к исполнению, определения платежных клиринговых позиций и исполнения распоряжений участников ПС в соответствии с Регламентом выполнения процедур (приложение 3 к настоящему Положению).
4.3. Регистрация инцидентов осуществляется в отношении всех значимых рисков. При регистрации осуществляется сбор и обработка инцидентов, повлекших наступление негативных последствий для Банка России, инцидентов, наступление негативных последствий от которых возможно в будущем, а также инцидентов, наступления негативных последствий от которых удалось избежать.
При регистрации выявленных инцидентов указываются в том числе следующих сведения:
время и дата возникновения инцидента (в случае невозможности установить время возникновения инцидента указывается время его выявления);
краткое описание инцидента (характеристика произошедшего инцидента и его последствия);
наименование взаимосвязанных последовательных технологических процедур, выполняемых при оказании УПИ, в ходе которых произошел инцидент;
наименование бизнес-процесса, на который оказал влияние инцидент;
наличие (отсутствие) факта приостановления (прекращения) оказания УПИ в результате инцидента;
влияние инцидента на БФПС;
степень влияния инцидента на функционирование ПС в зависимости от количества и значимости участников ПС, на которых оказал непосредственное влияние инцидент, и (или) количества и суммы неисполненных, и (или) несвоевременно исполненных, и (или) ошибочно исполненных распоряжений участников ПС, и иных факторов;
время и дата восстановления оказания УПИ в случае приостановления их оказания;
мероприятия по устранению инцидента и его негативных последствий с указанием планируемой и фактической продолжительности проведения данных мероприятий;
дата восстановления оказания УПИ, соответствующего требованиям к оказанию услуг;
негативные последствия инцидента по субъектам ПС, в том числе:
сумма денежных средств, уплаченных оператором ПС и (или) взысканных с оператора ПС,
сумма денежных средств, уплаченных оператором УПИ и (или) взысканных с оператора УПИ,
количество и сумма неисполненных, и (или) несвоевременно исполненных, и (или) ошибочно исполненных распоряжений участников ПС, на исполнение которых оказал влияние инцидент,
продолжительность приостановления оказания УПИ.
4.4. Оценка влияния на БФПС каждого инцидента, приведшего к нарушению Регламента выполнения процедур, проводится в течение 24 часов с момента его возникновения (выявления), а также в течение 24 часов после устранения инцидента (восстановления надлежащего оказания УПИ в ПС).
4.4.1. Инцидент, приведший к нарушению Регламента выполнения процедур, признается непосредственно не влияющим на БФПС (влияющим опосредованно) в случае, если не нарушен пороговый уровень индикатора продолжительности восстановления оказания УПИ (далее - КИР 1) и индикатора непрерывности оказания УПИ (далее - КИР 2).
4.4.2. Инцидент, приведший к нарушению Регламента выполнения процедур, признается влияющим на БФПС в случае, если вследствие данного инцидента реализовано хотя бы одно из следующих условий:
нарушен Регламент выполнения процедур при одновременном нарушении порогового уровня КИР 2;
нарушен пороговый уровень КИР 1;
превышена установленная продолжительность восстановления надлежащего оказания УПИ в ПС.
4.4.3. В случае выявления дополнительных обстоятельств в отношении инцидента, приведшего к нарушению Регламента выполнения процедур, оценка влияния на БФПС которого уже завершена, проводится повторная оценка влияния произошедшего инцидента на БФПС с учетом вновь выявленных обстоятельств с последующей актуализацией сведений, указанных в пункте 4.3 настоящего Положения.
4.5. Оценка влияния на БФПС всех инцидентов, приведших к нарушению Регламента выполнения процедур, проводится на ежемесячной основе не позднее 5 рабочих дней после окончания календарного месяца.
4.5.1. Инциденты, приведшие к нарушению Регламента выполнения процедур и произошедшие в отчетном месяце, признаются непосредственно не влияющими на БФПС (влияющими опосредованно), если хотя бы одно расчетное значение индикатора соблюдения Регламента выполнения процедур (далее - КИР 3), индикатора доступности операционного центра ПС (далее - КИР 4), индикатора изменения частоты инцидентов, произошедших в ПС (далее - КИР 5), нарушает пороговый уровень за отчетный месяц, за исключением случая, когда расчетные значения КИР 3, КИР 4, КИР 5 за этот период одновременно нарушают пороговые уровни.
4.5.2. Инциденты, приведшие к нарушению Регламента выполнения процедур и произошедшие в отчетном месяце, признаются влияющими на БФПС, если расчетные значения КИР 3, КИР 4, КИР 5 за этот период одновременно нарушают пороговые уровни.
4.5.3. В случае выявления инцидентов, приведших к нарушению Регламента выполнения процедур, или дополнительных обстоятельств в отношении указанных инцидентов, произошедших в ПС в течение календарного месяца, за который уже проведена оценка их влияния на БФПС, инициируется повторная оценка влияния произошедших инцидентов на БФПС с учетом вновь выявленных обстоятельств с последующей актуализацией сведений, указанных в пункте 4.3 настоящего Положения.
4.6. Разработка и применение обеспечивающих мер, в том числе сценариев плана ОНиВД, в отношении инцидентов осуществляются для:
локализации и предотвращения развития негативных последствий реализации риска, в отношении которых обеспечивающие меры необходимо применять незамедлительно;
восстановления оказания УПИ в ПС в случае их приостановления;
восстановления надлежащего оказания УПИ.
4.7. Обеспечивающие меры, в том числе сценарии плана ОНиВД, в отношении инцидентов должны содержать критерии их активации, а также описание процесса принятия решения об активации и их реализации в зависимости от уровня реализовавшегося значимого риска с момента выявления инцидента работником ПУРиН до момента доведения принятого решения до работников ПУРиН, имеющих компетенцию на реализацию соответствующих обеспечивающих мер.
4.8. При разработке обеспечивающих мер, в том числе сценариев плана ОНиВД, в отношении инцидентов определяется состав мероприятий, выполнение которых позволит получить промежуточный результат по реализации обеспечивающих мер или будет завершено в следующие временные интервалы с момента выявления инцидента: 15 минут, 45 минут, 120 минут, 240 минут.
4.9. План ОНиВД должен разрабатываться в соответствии с требованиями, приведенными в приложении 4 к настоящему Положению.
Сценарии, включенные в план ОНиВД, разрабатываются в отношении значимых операционных рисков, для которых в качестве мер реагирования предусматривается разработка плана ОНиВД.
4.10. В плане ОНиВД должны быть определены порядок и сроки тестирования и пересмотра (актуализации) плана ОНиВД, включающего планы ОНиВД подразделений и компоненты программно-технического комплекса (далее - ПТК), обеспечивающие функционирование ПС.
4.11. Управление непрерывностью функционирования ПС осуществляется с даты утверждения владельцем бизнес-процесса единого профиля рисков в ПС при первичной плановой самооценке.
Глава 5. Организация взаимодействия Банка России и участников ПС по обеспечению БФПС
5.1. Банк России информирует участников ПС о приостановлении и восстановлении оказания УПИ в ПС в сроки, определенные договором об обмене электронными сообщениями при переводе денежных средств через ПС.
5.2. Информирование участников ПС о случаях, указанных в пункте 5.1 настоящего Положения, осуществляется посредством в том числе системы взаимодействия с клиентом.
Глава 6. Заключительные положения
6.1. Настоящее Положение в соответствии с решением Совета директоров Банка России (протокол заседания Совета директоров Банка России от 22 марта 2019 года N 6) вступает в силу по истечении 10 дней после дня его официального опубликования, за исключением абзаца четвертого пункта 1.4 и пунктов 3.3, 4.4 и 4.5 настоящего Положения.
Абзац четвертый пункта 1.4, пункты 3.3, 4.4 и 4.5 настоящего Положения вступают в силу с 1 января 2021 года.
Председатель Центрального банка
Российской Федерации
Э.С.НАБИУЛЛИНА
Приложение 1
к Положению Банка России
от 27 марта 2019 года N 680-П
"О порядке обеспечения
бесперебойности функционирования
платежной системы Банка России
в части сервиса срочного перевода
денежных средств и сервиса
несрочного перевода денежных
средств при предоставлении
распоряжений о переводе денежных
средств в электронном виде
по каналам связи"
МОНИТОРИНГ ЗНАЧИМЫХ РИСКОВ
1. Мониторинг значимых рисков осуществляется посредством:
расчета КИР, дополнительных КИР;
сопоставления расчетного значения КИР с пороговым уровнем;
разработки дополнительных КИР;
отмены дополнительных КИР.
2. В ПС применяются следующие показатели БФПС:
индикатор продолжительности восстановления оказания УПИ (КИР 1);
индикатор непрерывности оказания УПИ (КИР 2);
индикатор соблюдения Регламента выполнения процедур (КИР 3);
индикатор доступности операционного центра ПС (КИР 4);
индикатор изменения частоты инцидентов, произошедших в ПС (КИР 5),
индикатор противодействия информационным угрозам в ПС (КИР 6),
дополнительные КИР.
2.1. КИР 1 рассчитывается по каждому из инцидентов, повлекших приостановление оказания УПИ, как период времени с момента приостановления оказания операционных услуг, и (или) услуг платежного клиринга, и (или) расчетных услуг и до момента восстановления оказания всех УПИ в ПС (далее - момент устранения последствий инцидента).
Пороговый уровень КИР 1 равен 2 часам.
Если значение КИР 1 превышает 2 часа, то произошло нарушение порогового уровня КИР 1.
2.2. КИР 2 рассчитывается по каждому из инцидентов, повлекших приостановление оказания УПИ, как период времени между двумя последовательно произошедшими инцидентами, в результате которых приостанавливалось оказание УПИ, с момента устранения последствий первого инцидента и до момента выявления следующего инцидента.
Пороговый уровень КИР 2 равен 24 часам.
Если значение КИР 2 менее 24 часов, то произошло нарушение порогового уровня КИР 2.
2.3. КИР 3 рассчитывается ежемесячно по формуле:
КИР 3 = (N / Nобщ) x 100%,
где:
N - количество распоряжений участников ПС (их клиентов), по которым были оказаны УПИ в рамках временного интервала, указанного в приложении 3 к настоящему Положению для сервиса срочного перевода денежных средств через ПС (далее - сервис срочного перевода ПС) (сервиса несрочного перевода денежных средств через ПС (далее - сервис несрочного перевода ПС), в течение оцениваемого календарного месяца;
Nобщ - общее количество распоряжений участников ПС (их клиентов), по которым были оказаны УПИ в рамках сервиса срочного перевода ПС (сервиса несрочного перевода ПС), в течение оцениваемого календарного месяца.
КИР 3 для сервиса срочного перевода ПС и сервиса несрочного перевода ПС рассчитывается отдельно.
Пороговый уровень КИР 3 равен 99,73%.
Если значение КИР 3 менее 99,73%, то произошло нарушение порогового уровня КИР 3.
2.4. КИР 4 рассчитывается ежемесячно как среднее значение коэффициента доступности операционного центра ПС за оцениваемый календарный месяц по формуле:
где:
k = {1 ... K} - k-ый рабочий день в отчетном году;
K - количество рабочих дней в отчетном году;
Kavk - коэффициент доступности услуг операционного центра ПС в k-ый рабочий день, рассчитываемый по формуле:
где:
Dk - общая продолжительность всех приостановлений оказания операционных услуг операционным центром ПС в течение k-го рабочего дня в минутах;
- общая продолжительность времени оказания операционных услуг в течение k-го рабочего дня в минутах в соответствии с Регламентом выполнения процедур в части оказания операционных услуг.
Пороговый уровень КИР 4 равен 99,00%.
Если значение КИР 4 менее 99,00%, то произошло нарушение порогового уровня КИР 4.
2.5. КИР 5 рассчитывается ежемесячно как темп прироста среднедневного количества инцидентов за оцениваемый календарный месяц по отношению к среднедневному количеству инцидентов за предыдущие 12 календарных месяцев, включая оцениваемый календарный месяц, по формуле:
где:
КИi - количество инцидентов в течение i-го рабочего дня ПС;
M - количество рабочих дней ПС в оцениваемом календарном месяце;
КИj - количество инцидентов в течение j-го рабочего дня ПС;
N - количество рабочих дней ПС за 12 предыдущих календарных месяцев, включая оцениваемый месяц.
КИР 5 рассчитывается в процентах с точностью до одного знака после запятой (с округлением по математическому методу). В случае если за предыдущие 12 календарных месяцев, включая оцениваемый месяц, инцидентов не было, значение показателя признается равным нулю.
Пороговый уровень КИР 5 равен 80,0%.
Если значение КИР 5 более 80,0%, то произошло нарушение порогового уровня КИР 5.
2.6. КИР 6 рассчитывается ежемесячно по формуле:
КИР 6 = (S / Sобщ) x 100%,
где:
S - сумма денежных средств, в отношении которой получены уведомления от участников ПС о списании денежных средств с их банковских счетов без их согласия, за исключением случаев, предусмотренных законодательством Российской Федерации или договором банковского (корреспондентского) счета (субсчета), за оцениваемый календарный месяц;
Sобщ - сумма денежных средств по операциям списания со счетов участников ПС за оцениваемый календарный месяц.
КИР 6 рассчитывается в процентах с точностью до четырех знаков после запятой (с округлением по математическому методу).
Пороговый уровень КИР 6 равен 0,005%.
Если значение КИР 6 более 0,005%, то произошло нарушение порогового уровня КИР 6.
3. Сопоставление расчетного значения КИР, дополнительного КИР (далее при совместном упоминании в целях настоящего пункта - КИР) с пороговым уровнем осуществляется следующим образом.
3.1. В случае нарушения порогового уровня КИР:
работники ПУРиН реализуют меры реагирования при нарушении порогового уровня КИР;
структурные подразделения Банка России, ответственные согласно параметрам КИР за принятие мер реагирования при достижении (выполнении) КИР порогового уровня, реализуют указанные меры;
риск-координаторы бизнес-процесса (риск-координаторы ПУРиН), осуществляющие сопоставление расчетного значения КИР, не позднее 5 рабочего дня, следующего за датой выявления нарушения порогового уровня КИР, после согласования с владельцем бизнес-процесса (руководителями ПУРиН и руководителями структурных подразделений Банка России) регистрируют информацию о причинах нарушения порогового уровня КИР и принятых мерах реагирования в соответствии с приложением 5 к настоящему Положению.
3.2. Актуализация информации о причинах нарушения порогового уровня КИР и принятых мерах реагирования проводится риск-координаторами бизнес-процесса (риск-координаторами ПУРиН и руководителями структурных подразделений Банка России), осуществляющими мониторинг КИР согласно параметрам КИР, после согласования с владельцем бизнес-процесса (руководителями ПУРиН) и при необходимости с руководителями соответствующих структурных подразделений Банка России не позднее 5 рабочего дня, следующего за датой появления в структурном подразделении Банка России соответствующей информации.
3.3. Работники структурных подразделений Банка России представляют риск-координаторам бизнес-процесса (риск-координаторам ПУРиН), осуществляющим мониторинг КИР согласно параметрам КИР, необходимые документы и информацию для регистрации и актуализации данных о причинах нарушения порогового уровня КИР и принятых мерах реагирования в сроки, предусмотренные подпунктами 3.1 и 3.2 настоящего пункта.
4. Разработка дополнительных КИР осуществляется следующим образом.
4.1. Риск-координаторы ПУРиН разрабатывают дополнительные КИР уровня операций (шагов) бизнес-процесса, выполнение которых отнесено к компетенции ПУРиН, осуществляя следующие мероприятия.
4.1.1. Риск-координаторы ПУРиН на основании принятого руководителем ПУРиН решения разрабатывают дополнительные КИР и определяют их параметры в соответствии с приложением 6 к настоящему Положению.
4.1.2. Риск-координаторы ПУРиН передают параметры разработанных дополнительных КИР после согласования с руководителями ПУРиН и руководителями структурных подразделений Банка России на согласование риск-координаторам бизнес-процесса.
Согласование параметров разработанных дополнительных КИР осуществляется риск-координаторами бизнес-процесса в течение 5 рабочих дней с даты поступления указанных параметров дополнительных КИР от риск-координаторов ПУРиН.
4.2. Риск-координаторы бизнес-процесса разрабатывают дополнительные КИР уровня бизнес-процесса и определяют их параметры в соответствии с приложением 6 к настоящему Положению.
4.3. Риск-координаторы бизнес-процесса направляют разработанные в соответствии с подпунктами 4.1 и 4.2 настоящего пункта дополнительные КИР на согласование в заинтересованные структурные подразделения Банка России, в том числе:
в структурные подразделения Банка России, обладающие информацией, необходимой для определения текущих значений дополнительных КИР, - в части наличия, возможности и порядка предоставления указанной информации;
в структурные подразделения Банка России, ответственные согласно параметрам дополнительных КИР за принятие мер при достижении (выполнении) дополнительных КИР порогового уровня, - в части возможности и порядка принятия соответствующих мер;
в структурные подразделения Банка России, осуществляющие согласно параметрам дополнительных КИР мониторинг дополнительных КИР, - в части применимости параметров дополнительных КИР целям их разработки.
4.4. Риск-координаторы бизнес-процесса осуществляют оценку применимости разработанных дополнительных КИР для целей мониторинга существенных изменений уровней остаточных рисков, присущих бизнес-процессу. В отношении дополнительных КИР уровня операций (шагов) бизнес-процесса оценка применимости проводится риск-координаторами бизнес-процесса с привлечением риск-координаторов ПУРиН.
4.5. При положительном результате оценки применимости дополнительных КИР риск-координаторы бизнес-процесса направляют параметры дополнительных КИР на верификацию работникам УРСУР.
Работники УРСУР не позднее 5 рабочего дня, следующего за датой получения параметров КИР от риск-координаторов бизнес-процесса, согласовывают параметры дополнительных КИР или дают по ним замечания риск-координаторам бизнес-процесса.
Повторные верификации осуществляются не позднее 2 рабочего дня, следующего за датой получения от риск-координаторов бизнес-процесса уточненных параметров дополнительных КИР.
4.6. Риск-координаторы бизнес-процесса не позднее 2 рабочего дня, следующего за датой получения замечаний от работников УРСУР, вносят уточнения в параметры дополнительных КИР и направляют их на повторную оценку применимости дополнительных КИР, осуществляемую в соответствии с подпунктом 4.4 настоящего пункта, за исключением случаев, когда для уточнения параметров дополнительных КИР требуются более длительные сроки, в том числе при необходимости проведения дополнительных согласований параметров дополнительных КИР с заинтересованными структурными подразделениями Банка России.
При положительном результате верификации риск-координаторы бизнес-процесса не позднее 2 рабочих дней с даты завершения УРСУР верификации параметров дополнительных КИР направляют владельцу бизнес-процесса предложение о параметрах дополнительных КИР.
4.7. Владелец бизнес-процесса не позднее 5 рабочего дня с даты представления предложения о параметрах дополнительных КИР направляет на согласование указанное предложение курирующему руководителю Банка России или возвращает его риск-координаторам бизнес-процесса с указанием причин несогласия с указанным предложением.
4.8. Риск-координаторы бизнес-процесса не позднее 2 рабочего дня, следующего за датой получения замечаний от курирующего руководителя Банка России (владельца бизнес-процесса), вносят уточнения в параметры дополнительных КИР с последующим направлением их на оценку применимости дополнительных КИР, осуществляемую в соответствии с подпунктом 4.4 настоящего пункта, за исключением случаев, когда для уточнения параметров дополнительных КИР требуются более длительные сроки, в том числе при необходимости проведения дополнительных согласований параметров дополнительных КИР с заинтересованными структурными подразделениями Банка России.
4.9. Владелец бизнес-процесса не позднее 5 рабочего дня, следующего за датой согласования курирующим руководителем Банка России параметров дополнительных КИР, обеспечивает доведение до структурных подразделений Банка России, указанных в подпункте 4.3 настоящего пункта, информации о параметрах дополнительных КИР.
4.10. Хранение информации о КИР и их параметрах осуществляется с использованием специализированного программного обеспечения.
5. Отмена дополнительных КИР осуществляется следующим образом.
При согласовании курирующим руководителем Банка России отмены дополнительного КИР владелец бизнес-процесса обеспечивает доведение до структурных подразделений Банка России соответствующей информации не позднее 5 рабочего дня, следующего за датой согласования.
Приложение 2
к Положению Банка России
от 27 марта 2019 года N 680-П
"О порядке обеспечения
бесперебойности функционирования
платежной системы Банка России
в части сервиса срочного перевода
денежных средств и сервиса
несрочного перевода денежных
средств при предоставлении
распоряжений о переводе денежных
средств в электронном виде
по каналам связи"
Единый профиль рисков в ПС
Общая информация о риске
Оценка присущего риска
Риск
Источники риска (риск-факторы)
Область реализации риска (риск-событий)
Последствия
Оценка вероятности
Оценка воздействия
Уровень риска
Описание риска
Бизнес-процесс
Подразделение, возглавляемое владельцем бизнес-процесса
Владелец риска
Риск-факторы (источники риска)
Связанные риски
Последствия
Связанные риски
1
2
3
4
5
6
7
8
9
10
11
12
Применяемые меры реагирования
Оценка остаточного риска
Решение о дальнейшей работе с риском
Дата регистрации (актуализации)
Оценка вероятности
Оценка воздействия
Уровень риска
Способ реагирования
Меры реагирования
Ответственный за реализацию мер реагирования
Установленный срок реализации мер реагирования
Фактический срок реализации мер реагирования
13
14
15
16
17
18
19
20
21
22
Порядок заполнения единого профиля рисков в ПС
1. В графе 1 приводится описание значимого риска (информация о том, какое может произойти конкретное событие, которое может иметь негативные последствия для Банка России).
2. В графе 2 указывается бизнес-процесс с уточнением операции (шага), на которой (котором) идентифицирован значимый риск.
3. В графе 3 указывается структурное подразделение Банка России, возглавляемое владельцем бизнес-процесса.
4. В графе 4 указывается ПУРиН или коллегиальный орган, являющийся владельцем значимого риска.
5. В графе 5 указываются источники значимого риска (риск-факторы) с использованием таксономии источников риска (риск-факторов), используемых в Банке России. Если источник риска (риск-фактор) связан с системами и оборудованием, то дополнительно указывается соответствующая система или оборудование, в том числе ИТ-решение.
6. В графе 6 указываются связанные риски (при наличии) с кратким описанием взаимосвязи. При отсутствии информации об идентифицированных ранее связанных рисках указывается бизнес-процесс (операция, шаг), которому присущ связанный риск, выполняющее его структурное подразделение Банка России, коллегиальный орган и краткое описание взаимосвязи.
7. В графе 7 указываются области реализации значимого риска (риск-события) с использованием таксономии областей реализации рисков (риск-событий).
8. В графе 8 указывается вид негативных последствий реализации значимого риска и краткое обоснование соответствующего воздействия.
9. В графе 9 указываются связанные риски (при наличии), реализация которых возможна вследствие реализации рассматриваемого риска. При отсутствии информации об идентифицированных ранее связанных рисках указывается бизнес-процесс (операция, шаг), которому присущ связанный риск, выполняющее его структурное подразделение Банка России, коллегиальный орган и краткое описание взаимосвязи.
10. В графе 10 приводится оценка вероятности реализации присущего риска.
11. В графе 11 приводится оценка воздействия присущего риска по каждому из видов негативных последствий, указанных в графе 8.
12. В графе 12 указывается уровень присущего риска.
13. В графе 13 указываются применяемые меры реагирования на значимый риск с использованием таксономии мер реагирования на риски.
14. В графе 14 приводится оценка вероятности реализации остаточного риска.
15. В графе 15 приводится оценка воздействия остаточного риска по каждому из видов негативных последствий, указанных в графе 8.
16. В графе 16 указывается уровень остаточного рисков.
17. В графе 17 указывается принятое решение (предложение) о способе реагирования на остаточный риск и его краткое обоснование, а также должностное лицо (должность, фамилия, имя, отчество), принявшее решение (подготовившее предложение).
18. В графе 18 приводится краткое описание разрабатываемых, реализуемых и предлагаемых мер реагирования на остаточный риск (включая информацию о документах, в которых зафиксировано решение о мерах реагирования, и других документах, имеющих отношение к принятому решению) (при наличии).
19. В графе 19 по каждой мере реагирования, включенной в графу 18, указываются структурное подразделение Банка России и при необходимости конкретный работник, ответственные за реализацию мер реагирования.
20. В графах 20 и 21 по каждой мере реагирования, включенной в графу 18, указываются установленный (предлагаемый) и фактический сроки реализации мер реагирования. После реализации мер реагирования информация о них в рамках повторной самооценки подлежит отражению в графе 13.
21. В графе 22 указывается дата регистрации (актуализации) данных о значимом риске.
Приложение 3
к Положению Банка России
от 27 марта 2019 года N 680-П
"О порядке обеспечения
бесперебойности функционирования
платежной системы Банка России
в части сервиса срочного перевода
денежных средств и сервиса
несрочного перевода денежных
средств при предоставлении
распоряжений о переводе денежных
средств в электронном виде
по каналам связи"
РЕГЛАМЕНТ ВЫПОЛНЕНИЯ ПРОЦЕДУР
Наименование услуги платежной инфраструктуры
Наименование процедуры
Код процедуры
Время выполнения процедур УПИ (в части сервиса срочного перевода ПС при достаточности денежных средств), минуты <1>
Время выполнения процедур УПИ (в части сервиса срочного перевода ПС), минуты <2>
Время выполнения процедур УПИ (в части сервиса несрочного перевода ПС при достаточности денежных средств), минуты <3>
Время выполнения процедур УПИ (в части сервиса несрочного перевода ПС), минуты <4>
1
2
3
4
5
6
7
Операционная услуга
Передача распоряжений участников ПС/подтверждений об исполнении распоряжений участников ПС в электронном виде через транспортную систему Банка России
1
не более 2
не более 2
не более 2
не более 2
Услуга платежного клиринга
Прием к исполнению распоряжений участников ПС, включая:
2
не более 4
не более 4
не более 30
не более 30
процедуру удостоверения права распоряжения денежными средствами
контроль целостности распоряжений
структурный контроль распоряжений
контроль дублирования распоряжений
контроль значений реквизитов распоряжений
контроль лимитов
контроль достаточности денежных средств
Определение платежных клиринговых позиций - определение с учетом результатов контроля достаточности денежных средств распоряжения для исполнения на индивидуальной основе (или в период времени, установленный регламентом функционирования ПС)
Расчетная услуга
Исполнение распоряжений участников ПС
3
не более 1
не более 24
не более 6
не более 24
Подтверждение об исполнении распоряжений
Надлежащим оказанием УПИ признается выполнение всех процедур за временной период
5
25
35
55
--------------------------------
<1> Надлежащим оказанием УПИ для сервиса срочного перевода ПС признается оказание УПИ при переводе денежных средств через ПС на основании распоряжения, по которому процедуры приема к исполнению, включая контроль достаточности денежных средств, находящихся на банковском (корреспондентском) счете (субсчете) (на нескольких банковских (корреспондентских) счетах (субсчетах), денежные средства на которых объединены в пул ликвидности) участника ПС (далее - контроль достаточности денежных средств) (при этом отсутствует необходимость помещения распоряжения во внутридневную очередь, в очередь распоряжений, ожидающих разрешения на проведение операций, в очередь распоряжений, ожидающих проверки, и в очередь распоряжений, требующих выполнения условий перевода денежных средств), процедура определения платежных клиринговых позиций завершены положительно в течение временного интервала, не превышающего 5 минут.
<2> Надлежащим оказанием УПИ для сервиса срочного перевода ПС признается оказание УПИ при переводе денежных средств через ПС на основании распоряжения, по которому процедуры приема к исполнению, за исключением контроля достаточности денежных средств, и процедура определения платежных клиринговых позиций завершены положительно в течение временного интервала, не превышающего 25 минут (максимальное время на осуществление обмена электронными сообщениями, выполнение процедур приема к исполнению и исполнение распоряжения участника ПС, в том числе на направление участнику ПС извещения о списании денежных средств), без учета времени нахождения указанного распоряжения во внутридневной очереди, в очереди распоряжений, ожидающих разрешения на проведение операций, в очереди распоряжений, ожидающих проверки, и в очереди распоряжений, требующих выполнения условий перевода денежных средств.
<3> Надлежащим оказанием УПИ для сервиса несрочного перевода ПС признается оказание УПИ при переводе денежных средств через ПС на основании распоряжения, по которому процедуры приема к исполнению, включая контроль достаточности денежных средств, с учетом времени нахождения указанного распоряжения во внутридневной очереди до начала ближайшего несрочного рейса (при этом отсутствует необходимость помещения распоряжения в очередь распоряжений, ожидающих разрешения на проведение операций, в очередь распоряжений, ожидающих проверки, и в очередь не исполненных в срок распоряжений), процедура определения платежных клиринговых позиций завершены положительно в течение временного интервала, не превышающего 35 минут.
<4> Надлежащим оказанием УПИ для сервиса несрочного перевода ПС признается оказание УПИ при переводе денежных средств через ПС на основании распоряжения, по которому процедуры приема к исполнению, за исключением контроля достаточности денежных средств, с учетом времени нахождения указанного распоряжения во внутридневной очереди до начала ближайшего несрочного рейса, но без учета времени нахождения указанного распоряжения во внутридневной очереди по иным причинам, в очереди распоряжений, ожидающих разрешения на проведение операций, в очереди распоряжений, ожидающих проверки, и в очереди не исполненных в срок распоряжений, процедура определения платежных клиринговых позиций завершены положительно в течение временного интервала, не превышающего 55 минут (максимальное время на осуществление обмена электронными сообщениями, выполнение процедур приема к исполнению и исполнение распоряжения участника ПС, в том числе на направление участнику ПС извещения о списании денежных средств).
Приложение 4
к Положению Банка России
от 27 марта 2019 года N 680-П
"О порядке обеспечения
бесперебойности функционирования
платежной системы Банка России
в части сервиса срочного перевода
денежных средств и сервиса
несрочного перевода денежных
средств при предоставлении
распоряжений о переводе денежных
средств в электронном виде
по каналам связи"
ТРЕБОВАНИЯ К СОДЕРЖАНИЮ ПЛАНА ОНИВД
1. План ОНиВД должен представлять собой комплекс мер, реализуемых ПУРиН до, во время и после реализации риска, потенциально влияющего на БФПС.
2. План ОНиВД должен состоять из иерархически взаимосвязанных планов, каждый из которых регламентирует деятельность ПУРиН или подразделения, руководителем которого является владелец бизнес-процесса, в пределах их компетенции при обеспечении надлежащего оказания УПИ. В состав указанных планов входят в том числе планы ОНиВД для автоматизированных систем (далее - АС), ПТК, систем телекоммуникаций (далее - СТ) и систем инженерного обеспечения, применяемых для обеспечения функционирования ПС.
3. В плане ОНиВД должны быть приведены сведения о структурном подразделении Банка России, на которое возложены полномочия и обязанности по разработке, пересмотру и контролю исполнения плана ОНиВД, а также сведения о должностных лицах, ответственных за разработку (в том числе внесение изменений), анализ и пересмотр указанного плана.
4. Планом ОНиВД определяются следующие объекты:
персонал, эксплуатирующий, обслуживающий и сопровождающий ПТК и СТ, автоматизированные рабочие места (далее - АРМ), системы инженерного обеспечения, используемые для обеспечения функционирования ПС, а также персонал, использующий информационные ресурсы АС при выполнении должностных обязанностей;
помещения (здания), в которых размещен персонал и АРМ, расположены ПТК и СТ, используемые для обеспечения функционирования ПС;
АС с входящими в их состав информационными ресурсами, используемые для обеспечения функционирования ПС;
системы инженерного обеспечения, предназначенные для поддержки надлежащих условий работы персонала и среды функционирования ПТК, СТ, АРМ, используемых для обеспечения функционирования ПС.
5. План ОНиВД должен содержать перечень АС, ПТК, СТ, АРМ и состав персонала как для обеспечения надлежащего оказания УПИ, так и при оказании УПИ.
6. Планом ОНиВД может быть предусмотрено выполнение одного сценария в отношении нескольких реализовавшихся значимых рисков одной группы.
7. При формировании сценариев для плана ОНиВД необходимо руководствоваться следующей классификацией групп значимых рисков:
значимые риски, которые могут привести к значительным потерям ПТК, потере более 30% персонала на период от 6 месяцев, способного обеспечивать надлежащее оказания УПИ, разрушению помещений (зданий) в результате стихийных бедствий, таких как землетрясение, наводнение, либо террористического акта, пожара, объявления в стране эпидемии смертельно опасного заболевания (риск 1-й группы);
значимые риски, угрожающие жизни персонала (например, пожар в здании, отказ систем отопления, вентиляции, кондиционирования, водоснабжения и канализации, пожаротушения и пожарной сигнализации, охраны зданий), связанные с отказом ПТК или СТ, в том числе вследствие воздействия вредоносного программного обеспечения, и приведшие к длительному простою и невозможности устранения последствий реализовавшихся рисков персоналом, обеспечивающим функционирование ПС (отказ системы энергоснабжения квартала или здания, где размещены критически значимые компоненты ПТК, угроза террористического акта, пожар в отдельных помещениях здания, в которых размещены элементы ПТК) (риск 2-й группы);
значимые риски, которые могут привести к невозможности персонала выполнять свои функциональные обязанности из-за сбоев в работе ПТК или СТ, систем инженерного обеспечения, ликвидация которых возможна силами персонала (риск 3-й группы). Риски 3-й группы устраняются собственными силами персонала путем обнаружения и устранения причины сбоя в ПТК или в системе инженерного обеспечения, а также перехода на резервные средства ПТК, источники бесперебойного электропитания;
значимые риски, которые не могут привести к приостановлению оказания УПИ и не влияют на возможность персонала выполнять свои функциональные обязанности, связанные с обеспечением функционирования ПС (риск 4-й группы).
8. Планом ОНиВД в отношении значимых рисков любого уровня должны быть определены уполномоченные лица ПУРиН, которыми контролируется надлежащее оказание УПИ в части их компетенции, выявляются и фиксируются инциденты, а также доводится до руководителей ПУРиН и риск-координаторов ПУРиН информация об инцидентах.
План ОНиВД должен содержать схемы оповещения должностными лицами указанного органа управления заинтересованных лиц при реализации значимых рисков. Состав заинтересованных лиц необходимо определять исходя из присвоенного значимому риску уровня.
При реализации рисков 3-й и 4-й групп для принятия решения по активации соответствующего сценария плана ОНиВД достаточно решения руководителей ПУРиН, к компетенции которых относится управление непрерывностью для данного риска.
При реализации риска 2-й группы для принятия решения активации соответствующего сценария плана ОНиВД достаточно решения владельца бизнес-процесса.
При реализации риска 1-й группы для принятия решения активации соответствующего сценария плана ОНиВД необходимо решение курирующего руководителя Банка России.
9. Планом ОНиВД любой группы должно быть предусмотрено назначение уполномоченных лиц из состава ПУРиН, на которых возлагаются обязанности по принятию решения об активации плана ОНиВД, по координации деятельности работников данного и иных ПУРиН по выполнению мероприятий соответствующего сценария.
Приложение 5
к Положению Банка России
от 27 марта 2019 года N 680-П
"О порядке обеспечения
бесперебойности функционирования
платежной системы Банка России
в части сервиса срочного перевода
денежных средств и сервиса
несрочного перевода денежных
средств при предоставлении
распоряжений о переводе денежных
средств в электронном виде
по каналам связи"
Форма для мониторинга КИР
Наименование КИР
Подразделение, осуществляющее мониторинг КИР
Расчетное значение
Нарушение порогового значения (уровня)
Уровень риска
Дата, по состоянию на которую выполнена проверка
1
2
3
4
5
6
Причина нарушения порогового значения (уровня)
Принятые меры реагирования
Ответственный за реализацию мер реагирования
Установленный срок реализации мер реагирования
Фактический срок реализации мер реагирования
7
8
9
10
11
Порядок заполнения формы для мониторинга КИР
1. В графе 1 указывается краткое наименование КИР.
2. В графе 2 указывается структурное подразделение Банка России (ПУРиН), осуществляющее мониторинг КИР.
3. В графе 3 указывается расчетное значение КИР.
4. В графе 4 приводится информация о нарушении КИР порогового значения (уровня).
5. В графе 5 указываются уровни рисков, соответствующие расчетному значению КИР.
6. В графе 6 указывается дата, по состоянию на которую выполнена проверка на предмет нарушения КИР порогового значения (уровня).
7. В графе 7 указываются причины нарушения КИР порогового значения (уровня), а также документы (при наличии), имеющие отношение к нарушению КИР порогового значения (уровня).
8. В графе 8 описываются принятые меры реагирования при нарушении КИР порогового значения (уровня), в том числе документы (при наличии), которыми они зафиксированы (оформлены, установлены).
9. В графе 9 указываются структурное подразделение Банка России (ПУРиН), должностное лицо или коллегиальный орган, ответственные за реализацию мер реагирования.
10. В графах 10 и 11 указываются установленный и фактический сроки реализации мер реагирования.
Приложение 6
к Положению Банка России
от 27 марта 2019 года N 680-П
"О порядке обеспечения
бесперебойности функционирования
платежной системы Банка России
в части сервиса срочного перевода
денежных средств и сервиса
несрочного перевода денежных
средств при предоставлении
распоряжений о переводе денежных
средств в электронном виде
по каналам связи"
Параметры КИР
Наименование КИР
Описание КИР
Структурное подразделение Банка России, разработавшее КИР
Риск (риски)
Подразделение, возглавляемое владельцем бизнес процесса
Подразделение, осуществляющее мониторинг КИР
Порядок определения расчетных значений КИР
Источники информации
Порядок предоставления информации
1
2
3
4
5
6
7
8
9
Периодичность мониторинга
Пороговое значение (уровень)
Вероятность риска при достижении порогового значения (уровня)
Уровень риска при достижении порогового значения (уровня)
Обоснование порогового значения (уровня)
Меры реагирования
Дата начала мониторинга
Дата согласования/отмены КИР
10
11
12
13
14
15
16
17
Порядок заполнения параметров КИР
1. В графе 1 указывается краткое наименование КИР.
2. В графе 2 приводится описание того, что характеризует КИР (смысловое описание КИР).
3. В графе 3 указывается структурное подразделение Банка России, разработавшее КИР.
4. В графе 4 указывается значимый (значимые) риск (риски), мониторинг уровня (уровней) которого (которых) осуществляется с использованием КИР.
5. В графе 5 указывается структурное подразделение Банка России, возглавляемое владельцем бизнес-процесса.
6. В графе 6 указывается структурное подразделение Банка России (ПУРиН), осуществляющее мониторинг КИР.
7. В графе 7 указывается порядок определения расчетных значений (уровней) КИР (формула, алгоритм расчета или текстовое описание порядка определения расчетных значений КИР).
8. В графе 8 указываются источники информации для определения расчетных значений (уровней) КИР (данные информационных систем Банка России, информация структурных подразделений Банка России, другие данные).
9. В графе 9 указываются структурные подразделения Банка России, предоставляющие необходимую информацию, и порядок (в том числе сроки и форма) ее предоставления.
10. В графе 10 указывается периодичность актуализации расчетных значений (уровней) КИР (в режиме реального времени, по состоянию на определенную дату (определенное время), другое).
11. В графе 11 указывается пороговое значение (уровень) КИР.
12. В графе 12 указывается вероятность реализации значимого риска, соответствующая пороговому значению (уровню) КИР.
13. В графе 13 указываются уровни значимых рисков, соответствующие достижению КИР порогового значения (уровня).
14. В графе 14 указывается обоснование установленного порогового значения (уровня) КИР.
15. В графе 15 приводится информация о планируемых мерах реагирования при достижении КИР порогового значения (уровня), в том числе о принимающих их структурных подразделениях Банка России (ПУРиН) и порядке принятия мер.
16. В графе 16 указывается дата начала мониторинга КИР, которая устанавливается с учетом необходимого заинтересованным структурным подразделениям Банка России времени для начала мониторинга КИР и времени, необходимого для доведения до них информации об утвержденных параметрах КИР.
17. В графе 17 указывается дата согласования (отмены) КИР.