Положение Банка России от 18.08.2021 N 770-П
ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ
ПОЛОЖЕНИЕ
от 18 августа 2021 г. N 770-П
О ТРЕБОВАНИЯХ
К СИСТЕМЕ ВНУТРЕННЕГО КОНТРОЛЯ, СИСТЕМЕ УПРАВЛЕНИЯ РИСКАМИ
И ОБЕСПЕЧЕНИЮ НЕПРЕРЫВНОСТИ ДЕЯТЕЛЬНОСТИ БЮРО
КРЕДИТНЫХ ИСТОРИЙ
Настоящее Положение на основании частей 2.2 и 2.3 статьи 10 Федерального закона от 30 декабря 2004 года N 218-ФЗ "О кредитных историях" (Собрание законодательства Российской Федерации, 2005, N 1, ст. 44; 2020, N 31, ст. 5061) устанавливает:
требования к системе внутреннего контроля и системе управления рисками бюро кредитных историй;
требования к содержанию, порядок и сроки представления в Банк России плана обеспечения непрерывности деятельности бюро кредитных историй, вносимых в него изменений;
порядок оценки плана обеспечения непрерывности деятельности бюро кредитных историй Банком России;
порядок информирования бюро кредитных историй Банка России о наступлении в его деятельности событий, предусмотренных планом обеспечения непрерывности деятельности бюро кредитных историй, и принятии решения о начале реализации указанного плана;
требования к виду и характеру событий, предусмотренных планом обеспечения непрерывности деятельности бюро кредитных историй, о наступлении которых бюро кредитных историй обязано информировать Банк России.
Глава 1. Требования к системе внутреннего контроля бюро кредитных историй
1.1. В соответствии с частью 2.2 статьи 10 Федерального закона от 30 декабря 2004 года N 218-ФЗ "О кредитных историях" (далее - Федеральный закон "О кредитных историях") бюро кредитных историй (далее - бюро) обязано организовать систему внутреннего контроля бюро.
Система внутреннего контроля бюро должна быть направлена на соблюдение бюро требований законодательства Российской Федерации, нормативных актов Банка России, учредительных и внутренних документов бюро, включая:
обеспечение достоверности, полноты, объективности и своевременности составления и представления бюро бухгалтерской (финансовой) и иной отчетности;
обеспечение защиты информации бюро, включая предотвращение не контролируемого бюро распространения информации ограниченного доступа (далее - утечка информации);
обеспечение эффективности финансово-хозяйственной деятельности бюро;
исключение вовлечения бюро и его работников в осуществление противоправной и недобросовестной деятельности;
исключение конфликтов интересов, возникающих при осуществлении бюро своих функций, в том числе выявление и контроль конфликта интересов, а также предотвращение его последствий.
1.2. Система внутреннего контроля бюро должна обеспечивать:
осуществление бюро мероприятий, направленных на выявление, анализ, оценку, мониторинг риска возникновения у бюро расходов (убытков) и (или) иных неблагоприятных последствий в результате несоответствия его деятельности требованиям законодательства Российской Федерации, нормативных актов Банка России, учредительных и внутренних документов бюро и (или) риска применения в отношении бюро, его акционеров (участников) и лиц, осуществляющих контроль в отношении акционеров (участников) бюро мер воздействия со стороны Банка России или органов исполнительной власти (далее - регуляторный риск), а также управление указанным риском;
разработку бюро мероприятий, направленных на предупреждение и предотвращение последствий реализации регуляторного риска, реализацию и (или) контроль выполнения указанных мероприятий;
осуществление бюро процедур предотвращения конфликта интересов;
осуществление бюро контроля исполнения предписаний (требований) Банка России;
ведение электронных журналов (протоколов), учитывающих каждое действие бюро, связанное с осуществлением деятельности бюро, и содержащих:
дату и время (до секунд) выполнения каждого действия бюро;
идентификаторы источника формирования кредитных историй, пользователя кредитных историй, бюро, субъекта кредитных историй и лиц, указанных в пунктах 3 - 7 части 1 статьи 6 Федерального закона "О кредитных историях" (Собрание законодательства Российской Федерации, 2005, N 1, ст. 44; 2020, N 31, ст. 5061) (далее при совместном упоминании - взаимодействующие лица), определяемые в соответствии с внутренними документами бюро;
исходящие и входящие идентификаторы запроса и ответа, направляемых каждым взаимодействующим лицом, содержащие дату и время (до секунд) отправления (поступления) и номер запроса и ответа.
1.3. Система внутреннего контроля бюро должна функционировать на постоянной основе.
1.4. В целях организации системы внутреннего контроля бюро должно разработать политику внутреннего контроля, содержащую основные принципы (подходы) к организации системы внутреннего контроля бюро, в том числе порядок осуществления внутреннего контроля, утверждаемую советом директоров (наблюдательным советом) бюро, а при его отсутствии - общим собранием акционеров (участников) бюро. По решению бюро политика внутреннего контроля может содержаться в одном или нескольких внутренних документах бюро.
Политика внутреннего контроля должна пересматриваться бюро не реже одного раза в год.
1.5. В рамках организации системы внутреннего контроля бюро обязано назначить контролера или сформировать отдельное структурное подразделение (далее - служба внутреннего контроля).
Контролер (служба внутреннего контроля) должен быть подотчетен (должна быть подотчетна):
в случае отсутствия принятого бюро (за исключением квалифицированного бюро) решения об организации и осуществлении внутреннего аудита в соответствии с абзацем вторым пункта 1.7 настоящего Положения - совету директоров (наблюдательному совету) бюро, а в случае его отсутствия - общему собранию акционеров (участников) бюро;
во всех остальных случаях - единоличному исполнительному органу бюро.
Контролер не должен одновременно являться контролером (работником службы внутреннего контроля) и (или) аудитором (работником службы внутреннего аудита) лиц, оказывающих профессиональные услуги на финансовом рынке, а также в некредитных финансовых организациях и (или) кредитных организациях.
Контролер (служба внутреннего контроля) выполняет функции, указанные в подпунктах 1.9.2 - 1.9.5 пункта 1.9 настоящего Положения, в случае отсутствия принятого бюро (за исключением квалифицированного бюро) решения об организации и осуществлении внутреннего аудита в соответствии абзацем вторым пункта 1.7 настоящего Положения.
1.6. В рамках осуществления внутреннего контроля контролер (служба внутреннего контроля) выполняет следующие функции:
1.6.1. осуществляет проверки по всем направлениям деятельности бюро, включая любые подразделения и их работников, а также бизнес-процессы и операции, выполняемые бюро;
1.6.2. выявляет конфликты интересов, анализирует соблюдение требований законодательства Российской Федерации к структуре собственности бюро и подготавливает предложения совету директоров (наблюдательному совету) бюро или общему собранию акционеров (участников) бюро по устранению выявленных нарушений и недостатков в части выявления конфликта интересов, соблюдения требований законодательства Российской Федерации к структуре собственности бюро;
1.6.3. организует процессы, направленные на выявление, анализ, оценку, мониторинг и управление регуляторным риском, в том числе разрабатывает и контролирует выполнение мероприятий, направленных на предупреждение и предотвращение последствий реализации регуляторного риска;
1.6.4. ведет учет событий, связанных с регуляторным риском;
1.6.5. определяет вероятность возникновения событий, связанных с регуляторным риском, и осуществляет количественную оценку возможных последствий, связанных с их возникновением;
1.6.6. осуществляет анализ новых сервисов и функций, внедряемых бюро, и планируемых способов их реализации на предмет наличия регуляторного риска;
1.6.7. осуществляет анализ соблюдения бюро прав взаимодействующих лиц в рамках осуществления деятельности бюро;
1.6.8. участвует в рассмотрении обращений (в том числе жалоб), запросов и заявлений, связанных с деятельностью бюро, в части выявления регуляторного риска, а также проводит анализ статистики указанных обращений, запросов и заявлений (при наличии);
1.6.9. осуществляет анализ проектов внутренних документов, связанных с осуществлением деятельности бюро, в целях выявления регуляторного риска;
1.6.10. информирует органы управления бюро, указанные в абзацах третьем и четвертом пункта 1.5 настоящего Положения, обо всех случаях, препятствующих осуществлению функций контролера (службы внутреннего контроля).
1.7. В рамках организации системы внутреннего контроля квалифицированное бюро обязано организовать и осуществлять внутренний аудит путем назначения внутреннего аудитора, либо создания отдельного структурного подразделения, либо привлечения независимой внешней организации на основании договора (далее при совместном упоминании - Внутренний аудитор).
Бюро (за исключением квалифицированных бюро) вправе принять решение об организации и осуществлении внутреннего аудита путем назначения Внутреннего аудитора. При принятии такого решения внутренний аудит бюро осуществляется в порядке, предусмотренном для квалифицированных бюро в соответствии с пунктами 1.8 - 1.10, 1.12 настоящего Положения.
1.8. В рамках организации системы внутреннего контроля квалифицированное бюро должно обеспечить подчиненность и подотчетность Внутреннего аудитора совету директоров (наблюдательному совету) квалифицированного бюро, а в случае его отсутствия - общему собранию акционеров (участников) квалифицированного бюро.
Внутренний аудитор не должен принимать участие в проверке деятельности и функций, которые осуществлялись им в течение проверяемого периода и в течение двенадцати месяцев после завершения осуществления указанных деятельности и функций.
1.9. В рамках осуществления внутреннего контроля Внутренний аудитор выполняет следующие функции:
1.9.1. осуществляет оценку качества и эффективности функционирования системы внутреннего контроля и системы управления рисками квалифицированного бюро, требования к которой установлены главой 2 настоящего Положения;
1.9.2. осуществляет проверку и тестирование достоверности, полноты и своевременности бухгалтерского учета и отчетности, предусмотренной законодательством Российской Федерации и нормативными актами Банка России, а также надежности (включая достоверность, полноту и своевременность) сбора и представления указанной отчетности;
1.9.3. осуществляет оценку экономической целесообразности и эффективности новых сервисов и функций в рамках осуществляемой квалифицированным бюро деятельности по итогам их внедрения (установления);
1.9.4. осуществляет оценку полноты и точности информации, отраженной в базе событий, указанной в подпункте 2.6.1 пункта 2.6 настоящего Положения, а также корректности ведения указанной базы;
1.9.5. осуществляет валидацию и верификацию информации, предоставляемой совету директоров (наблюдательному совету), а в случае его отсутствия - общему собранию акционеров (участников) квалифицированного бюро, в целях контроля за реализацией мероприятий в рамках организации системы управления рисками.
1.10. Для выполнения в рамках системы внутреннего контроля функций, установленных пунктом 1.9 настоящего Положения, Внутренний аудитор:
составляет план проведения проверок (внутреннего аудита) с учетом оценки рисков, изменений в системе внутреннего контроля квалифицированного бюро, системе управления рисками квалифицированного бюро, требования к которой установлены главой 2 настоящего Положения, а также с учетом периодичности проведения проверок направлений деятельности и (или) бизнес-процессов, и (или) структурных подразделений квалифицированного бюро, содержащий в том числе перечень объектов внутреннего аудита, подлежащих проверке, предмет проверок (если планом проведения проверок (внутреннего аудита) предполагается определить отдельные направления оценки объекта внутреннего аудита), календарный график проведения проверок;
составляет акты о результатах проведенных проверок (внутреннего аудита), в которых должны быть отражены основания проведения проверок (внутреннего аудита), сроки их проведения, выводы и рекомендации Внутреннего аудитора (в том числе в части определения сроков реализации рекомендаций по совершенствованию деятельности квалифицированного бюро и ответственных за реализацию указанных рекомендаций лиц);
составляет и направляет не реже одного раза в год отчеты о проведенных проверках (проведенном внутреннем аудите) квалифицированного бюро и ходе выполнения органами управления квалифицированного бюро рекомендаций по совершенствованию деятельности такого бюро (при наличии указанных рекомендаций), а также о случаях, препятствующих осуществлению Внутренним аудитором своих функций (при наличии указанных случаев), членам совета директоров (наблюдательного совета) квалифицированного бюро, а при отсутствии совета директоров (наблюдательного совета) - общему собранию акционеров (участников) квалифицированного бюро.
В рамках организации системы внутреннего контроля квалифицированное бюро должно обеспечить хранение указанных в абзацах втором - четвертом настоящего пункта документов в течение не менее пяти лет с даты их составления.
1.11. Система внутреннего контроля бюро должна предусматривать хранение в течение трех лет следующих документов:
форм подтверждения пользователями кредитной истории наличия согласия субъекта кредитной истории на получение его кредитного отчета со дня их получения бюро;
кредитных отчетов, предоставляемых по запросу пользователей кредитной истории (включая передаваемые сведения о среднемесячных платежах, индивидуальные рейтинги и скоринги субъектов кредитных историй) со дня их формирования;
электронных журналов (протоколов), указанных в абзацах шестом - девятом пункта 1.2 настоящего Положения, в электронном виде и в формате, определенном бюро в своих внутренних документах, со дня формирования электронного журнала (протокола) по каждому действию.
1.12. В рамках организации системы внутреннего контроля бюро должно обеспечивать выполнение контролером (службой внутреннего контроля) и Внутренним аудитором своих функций и решение поставленных задач без вмешательства со стороны иных структурных подразделений и работников бюро, исполнение структурными подразделениями и должностными лицами бюро требований контролера (службы внутреннего контроля) и Внутреннего аудитора, связанных с выполнением их функций, а также обеспечивать контролера (службу внутреннего контроля) и Внутреннего аудитора:
ресурсами (материальными, техническими, кадровыми), необходимыми и достаточными для достижения поставленных перед ними задач;
доступом к информации, необходимой для осуществления ими своих функций.
Глава 2. Требования к системе управления рисками бюро кредитных историй
2.1. В соответствии с частью 2.2 статьи 10 Федерального закона "О кредитных историях" бюро обязано организовать систему управления рисками бюро, связанными с осуществляемой им деятельностью по формированию, обработке и хранению кредитных историй, а также по предоставлению кредитных отчетов и сопутствующих услуг, предусматривающую совокупность действий органов управления бюро и сотрудников бюро по разработке и реализации стратегии управления рисками бюро, включающей принятие бюро организационно-технических мер по идентификации рисков, присущих деятельности бюро, их анализу и оценке, определению приемлемого сочетания и уровня принимаемых рисков, а также мер по поддержанию рисков на приемлемом уровне, мониторингу и контролю процессов управления рисками (далее соответственно - стратегия управления рисками, система управления рисками).
2.2. В рамках разработки и реализации стратегии управления рисками органы управления бюро должны обеспечивать соответствие действий, которые бюро планирует осуществить для достижения поставленных целей, финансовых (бюджетных) планов или бизнес-планов бюро, организационной структуры бюро, штатной численности бюро и размера собственных средств квалифицированного бюро характеру и масштабу его деятельности, уровню и сочетанию рисков, присущих деятельности бюро.
2.3. В целях организации системы управления рисками совет директоров (наблюдательный совет) бюро, а при его отсутствии - общее собрание акционеров (участников) бюро утверждает и осуществляет контроль за реализацией мероприятий в рамках организации системы управления рисками, в том числе утверждает стратегию управления рисками, содержащую основные принципы выявления (подходы к выявлению) рисков, организации процесса управления рисками, измерения и оценки рисков, и при необходимости иные внутренние документы в отношении системы управления рисками. По решению бюро стратегия управления рисками может содержаться в одном или нескольких внутренних документах бюро.
Стратегия управления рисками должна пересматриваться бюро не реже одного раза в год.
2.4. Ответственным за организацию системы управления рисками и за соответствие деятельности бюро стратегии управления рисками должно быть определено лицо, осуществляющее функции единоличного исполнительного органа бюро.
2.5. Система управления рисками должна позволять бюро идентифицировать все риски, присущие его деятельности, включая следующие виды рисков, но не ограничиваясь ими:
риск возникновения расходов (убытков) бюро вследствие неисполнения, несвоевременного либо неполного исполнения контрагентом финансовых обязательств перед бюро в соответствии с условиями заключаемого бюро договора об оказании информационных услуг или договора о размещении временно свободных средств бюро;
риск возникновения расходов (убытков) бюро вследствие несовершенства или ошибочности внутренних процессов бюро, действий или бездействия работников бюро, несоразмерности (недостаточности) функциональных возможностей применяемых бюро информационных, технологических и других систем объемам оказываемых бюро услуг и (или) отказов (нарушений функционирования) указанных систем, а также в результате воздействия внешних событий или неправомерных действий третьих лиц (далее - операционный риск). Система управления рисками должна позволять бюро в составе операционного риска идентифицировать риск информационной безопасности, связанный с утечками информации;
риск возникновения расходов (убытков) бюро в результате ухудшения способности бюро поддерживать существующие и устанавливать новые деловые отношения и поддерживать на постоянной основе доступ к финансовым ресурсам вследствие формирования негативного представления о бюро со стороны клиентов, контрагентов, акционеров (участников), инвесторов, надзорных органов;
регуляторный риск.
2.6. В рамках организации системы управления рисками бюро должно:
2.6.1. организовать ведение аналитической базы событий операционного риска и риска информационной безопасности (далее - БС) в целях их регистрации в соответствии с порядком ведения БС, определенном в стратегии управления рисками. В целях регистрации событий риска информационной безопасности допускается ведение бюро отдельной базы событий риска информационной безопасности. В случае если бюро ведет отдельную базу событий риска информационной безопасности должна обеспечиваться согласованность указанной базы с базой событий операционного риска;
2.6.2. организовать процесс идентификации риска, позволяющий составлять перечень и описание элементов риска (определение риск-факторов, риск-событий, в том числе и риска информационной безопасности путем анализа БС, их последствий, возможности наступления указанных последствий, а также отнесение риска к определенному виду), которому может быть подвержено бюро;
2.6.3. организовать процесс анализа рисков, который должен включать в себя процесс изучения природы и характера рисков и определения их уровня;
2.6.4. организовать процесс оценки рисков, позволяющий определить приемлемость риска, выявленного в ходе процесса анализа риска;
2.6.5. предусмотреть утверждение методов оценки рисков в рамках стратегии управления рисками;
2.6.6. организовать процесс воздействия на риски, который должен включать:
определение необходимости воздействия на риск;
определение и оценку мер воздействия на риск;
определение приемлемости уровня риска после воздействия на риск (далее - остаточный риск), а также определение и оценку новых мер воздействия на риск, если уровень остаточного риска неприемлем;
2.6.7. документально фиксировать факты возникновения рисков, риск-событий и факты воздействия на них, а также обеспечить хранение информации об указанных фактах в течение не менее трех лет со дня их возникновения;
2.6.8. организовать мониторинг рисков, который должен включать в себя процесс наблюдения за рисками бюро, в том числе за их соответствием допустимому (приемлемому) уровню, внедрением мер реагирования на риски и контрольных процедур, эффективностью данных мер и процедур, а также анализа внешней среды;
2.6.9. организовать мониторинг и контроль процессов управления рисками, которые должны распространяться на все процессы управления рисками и обеспечивать проверку:
предположений, на которых основана оценка риска;
соответствия результатов оценки риска фактической информации о риске;
соответствия применения методов оценки риска принципам стратегии управления рисками;
эффективности процесса воздействия бюро на риск;
2.6.10. организовать осуществление мероприятий по восстановлению непрерывности деятельности бюро в объемах и сроки, которые предусмотрены планом обеспечения непрерывности деятельности бюро (далее - План ОНД), требования к содержанию, порядок и сроки представления которого бюро в Банк России установлены главами 3 и 4 настоящего Положения соответственно;
2.6.11. предусмотреть порядок обмена информацией между работниками и органами управления бюро, обеспечивающий распределение ответственности и полномочий по управлению рисками, в том числе в случае возникновения непредвиденных обстоятельств, а также порядок обмена бюро информацией, необходимой для управления рисками, со своими контрагентами и надзорными органами.
Глава 3. Требования к содержанию плана обеспечения непрерывности деятельности бюро кредитных историй, вносимых в него изменений, а также к виду и характеру событий, предусмотренных указанным планом, о наступлении которых бюро кредитных историй обязано информировать Банк России
3.1. В соответствии с частью 2.3 статьи 10 Федерального закона "О кредитных историях" бюро обязано разрабатывать План ОНД.
Разработанный бюро План ОНД должен содержать меры, направленные на обеспечение:
способности бюро осуществлять оказание услуг по формированию, обработке и хранению кредитных историй, а также по предоставлению кредитных отчетов и сопутствующих услуг, функционирования внутренних процессов бюро, приостановление которых влечет нарушение осуществления деятельности бюро, его контрагентов или клиентов, в том числе создает угрозу нарушения прав или неисполнения обязанностей со стороны источников формирования, пользователей, субъектов кредитных историй и иных бюро (далее - критически важные процессы), на приемлемом, заранее заданном бюро уровне, в том числе в условиях возникновения нестандартных и чрезвычайных ситуаций (далее - НЧС);
восстановления деятельности бюро в случае ее нарушения в результате возникновения НЧС.
3.2. При утверждении Плана ОНД (новой редакции Плана ОНД) бюро составляется аналитическая записка, которая является неотъемлемой частью Плана ОНД и должна содержать:
информацию о последнем проведенном бюро на момент утверждения Плана ОНД (новой редакции Плана ОНД) тестировании, указанном в абзаце тринадцатом пункта 3.3 настоящего Положения;
прогнозную оценку вероятных существенных изменений в деятельности бюро в период действия Плана ОНД, способных повлиять на возможность его реализации.
3.3. План ОНД должен содержать:
порядок и сроки осуществления бюро мероприятий по предотвращению, снижению влияния и ликвидации последствий возможного нарушения режима повседневного функционирования бюро, вызванного НЧС;
перечень событий, о наступлении в деятельности бюро которых бюро обязано информировать Банк России в соответствии с частью 2.3 статьи 10 Федерального закона "О кредитных историях" (далее - События). Вид и характер Событий должны быть сопряжены со спецификой и масштабом деятельности бюро, а также масштабом риска приостановления критически важных процессов, возникающего в деятельности бюро в результате НЧС и оцениваемого бюро исходя из возможного ущерба и негативных последствий для бюро, его контрагентов и клиентов вследствие нарушения непрерывности деятельности бюро, с учетом вероятности и времени возникновения указанных нарушений;
процедуры, выполнение которых бюро в режиме повседневного функционирования бюро необходимо для успешной реализации Плана ОНД, в том числе процедуры, направленные на обеспечение непрерывности функционирования программно-технических средств бюро и сетевых коммуникаций (далее - ПТС и сетевые коммуникации);
перечень критически важных процессов и ресурсов бюро (персонал, помещения, ПТС и сетевые коммуникации, данные, внешние поставщики и тому подобное), обеспечивающих непрерывность оказания услуг бюро, а также приоритеты их восстановления;
характеристики показателей надежности ПТС и сетевых коммуникаций, в том числе максимальное значение среднего времени до восстановления ПТС и сетевых коммуникаций, обеспечивающих выполнение критически важных процессов в условиях возникновения НЧС, определяемого в соответствии с пунктом 3.6.3.3 Межгосударственного стандарта ГОСТ 27.002-2015 "Надежность в технике. Термины и определения", введенного в действие приказом Федерального агентства по техническому регулированию и метрологии от 21 июня 2016 года N 654-ст "О введении в действие межгосударственного стандарта" (М., ФГУП "Стандартинформ", 2016) (далее - Межгосударственный стандарт ГОСТ 27.002-2015 "Надежность в технике. Термины и определения"), а также целевое значение коэффициента технического использования ПТС и сетевых коммуникаций, обеспечивающих выполнение критически важных процессов, определяемого в соответствии с пунктом 3.6.6.4 Межгосударственного стандарта ГОСТ 27.002-2015 "Надежность в технике. Термины и определения";
сценарии нарушения непрерывности деятельности бюро, а также восстановления деятельности бюро для каждого из критически важных процессов;
порядок проведения анализа факторов, вызвавших НЧС, и их изменений не реже одного раза в год и в случае необходимости пересмотра (актуализации) их состава;
порядок проведения оценки вероятности возникновения НЧС и определения характера и степени влияния НЧС на непрерывность деятельности бюро;
плановую (целевую) точку восстановления каждого из критически важных процессов в условиях возникновения НЧС (которая не может быть определена реже, чем один раз в сутки);
порядок осуществления бюро критически важных процессов в условиях возникновения НЧС, если они подвергаются изменению под воздействием НЧС;
программу (программы) тестирования Плана ОНД (мероприятий Плана ОНД) с учетом перечня возможных НЧС и перечня возможных сценариев, предусматривающую (предусматривающие) в том числе инструкции для структурных подразделений и работников бюро с описанием действий, необходимых для проведения тестирования Плана ОНД;
порядок тестирования Плана ОНД, проводимого не реже одного раза в год по программе (программам) тестирования Плана ОНД (мероприятий Плана ОНД), предусматривающего моделирование потенциальных НЧС и привлечение сотрудников бюро;
порядок подготовки и представления совету директоров (наблюдательному совету) бюро, а при отсутствии совета директоров (наблюдательного совета) - общему собранию акционеров (участников) бюро не реже одного раза в год отчета о результатах тестирования ПТС и сетевых коммуникаций;
порядок составления и представления совету директоров (наблюдательному совету) бюро, а при отсутствии совета директоров (наблюдательного совета) - общему собранию акционеров (участников) бюро не реже одного раза в год отчета о реализации мер по обеспечению непрерывности деятельности бюро (далее - отчет о реализации мер по ОНД), содержащего результаты расчетов фактических значений показателей коэффициента технического использования и среднего времени до восстановления ПТС и сетевых коммуникаций, указанных в абзаце шестом настоящего пункта, обеспечивающих выполнение критически важных процессов;
порядок принятия решений советом директоров (наблюдательным советом) бюро, а при отсутствии совета директоров (наблюдательного совета) - общим собранием акционеров (участников) бюро о внесении изменений в План ОНД, в том числе по результатам рассмотрения отчетов о результатах тестирования Плана ОНД;
порядок взаимодействия между органами управления и сотрудниками бюро в условиях НЧС, в том числе с учетом взаимозаменяемости сотрудников бюро;
порядок экстренного оповещения и способ связи между органами управления, подразделениями и сотрудниками бюро;
информацию о контактах экстренных оперативных служб (телефонные номера) и внутренние контакты (телефонные номера, адреса электронной почты) лиц, ответственных за выполнение мер по восстановлению функционирования критически важных процессов;
перечень полномочий органов управления, подразделений и сотрудников бюро по реализации мероприятий в рамках Плана ОНД;
сведения о максимально допустимом периоде для возобновления критически важных процессов в случае возникновения НЧС, по истечении которого существует угроза прекращения деятельности бюро;
сведения о минимальном уровне оказания услуг, предоставляемых бюро в условиях НЧС, а также о функционировании критически важных процессов;
порядок информирования бюро клиентов, контрагентов и Банка России о возникновении и возможных последствиях НЧС.
3.4. Для целей оценки возможных расходов (убытков) бюро, а также его контрагентов в Плане ОНД должен быть определен перечень возможных чрезвычайных ситуаций с соблюдением требований Федерального закона от 21 декабря 1994 года N 68-ФЗ "О защите населения и территорий от чрезвычайных ситуаций природного и техногенного характера" (Собрание законодательства Российской Федерации, 1994, N 35, ст. 3648; 2021, N 24, ст. 4188).
3.5. План ОНД должен быть разработан бюро применительно к НЧС, сопоставимым по размерам возможных материальных потерь и негативным последствиям нематериального характера с чрезвычайной ситуацией муниципального характера или, в зависимости от характера, масштабов и условий деятельности бюро, - с чрезвычайной ситуацией межмуниципального, регионального или межрегионального характера в соответствии с классификацией чрезвычайных ситуаций, установленной постановлением Правительства Российской Федерации от 21 мая 2007 года N 304 "О классификации чрезвычайных ситуаций природного и техногенного характера" (Собрание законодательства Российской Федерации, 2007, N 22, ст. 2640; 2019, N 52, ст. 7981).
План ОНД должен предусматривать возможность реализации бюро отдельных частей Плана ОНД в случае НЧС меньшего масштаба, связанных с проявлением (по отдельности или в сочетаниях) таких факторов, как выход из строя технических средств, сбои и отказы в работе ПТС и сетевых коммуникаций, нарушение коммунальной инфраструктуры, перебои в электроснабжении, отказ организаций-контрагентов (в том числе поставщиков услуг бюро) от исполнения своих обязательств.
3.6. План ОНД должен предусматривать мероприятия по осуществлению бюро контроля и поддержанию непрерывности функционирования критически важных процессов, в том числе:
ознакомление с утвержденным Планом ОНД сотрудников, ответственных за его исполнение;
включение в должностные инструкции сотрудников бюро, участвующих в процессе обеспечения непрерывности деятельности бюро, необходимых положений, отражающих их роли и обязанности в рамках исполнения Плана ОНД;
обеспечение регулярного обучения сотрудников бюро, ответственных за обслуживание критически важных процессов, по вопросам обеспечения непрерывности функционирования указанных процессов.
3.7. План ОНД должен предусматривать, что при привлечении бюро к осуществлению критически важных процессов сторонних организаций бюро должно убедиться, что указанные организации принимают меры для обеспечения непрерывности собственной деятельности и (или) что предоставление сторонними организациями сервисов и услуг в случае сбоев и (или) нарушений в их предоставлении может быть восстановлено, или что может быть произведена замена сторонней организации при обеспечении соблюдения требований настоящего Положения.
3.8. В целях обеспечения бесперебойного функционирования ПТС и сетевых коммуникаций Планом ОНД должны быть предусмотрены:
перечень ПТС и сетевых коммуникаций и обрабатываемой информации, используемых для обслуживания критически важных процессов;
необходимость внедрения и настройки ПТС и сетевых коммуникаций с целью их бесперебойного функционирования;
необходимость проведения постоянного мониторинга текущего состояния ПТС и сетевых коммуникаций и применения своевременных мер по устранению выявленных недостатков;
осуществление ежедневного резервного копирования информации и баз данных, обслуживающих критически важные процессы, с периодом, обеспечивающим определенную точку их восстановления, на резервные машинные носители информации для возобновления указанных процессов в случае утраты или повреждения информации или баз данных вследствие возникновения НЧС;
возможность поддержки непрерывной работы ПТС и сетевых коммуникаций и синхронизации баз данных бюро между резервными машинными носителями, а также автоматической синхронизации времени во всех компонентах ПТС и сетевых коммуникаций;
оценка пропускной способности линий связи и коммуникационного оборудования, а также быстродействия ПТС и сетевых коммуникаций, в том числе путем проведения нагрузочного тестирования;
необходимость наличия достаточной пропускной способности линий связи и коммуникационного оборудования, а также достаточного быстродействия ПТС и сетевых коммуникаций и возможность их наращивания для обработки в случае увеличения объемов операций, совершаемых бюро в рамках оказания услуг, в периоды повышенной нагрузки.
3.9. В плане ОНД должна быть отражена обязанность бюро организовать непрерывное и бесперебойное функционирование своих ПТС и сетевых коммуникаций, обеспечивающих выполнение критически важных процессов, с возможностью отключения ПТС и сетевых коммуникаций на время простоя, обусловленного техническим обслуживанием и ремонтом.
3.10. Планом ОНД должна быть предусмотрена необходимость ведения электронных журналов (протоколирования) бюро всех критически важных процессов в соответствии с абзацами шестым - девятым пункта 1.2 настоящего Положения.
3.11. План ОНД должен предусматривать обязанность бюро по обеспечению регулярного контроля выполнения мероприятий Плана ОНД и информирования совета директоров (наблюдательного совета) бюро, а при отсутствии совета директоров (наблюдательного совета) - общего собрания акционеров (участников) бюро о выполнении мероприятий по Плану ОНД, в том числе:
о проведении анализа факторов, вызвавших НЧС, и их изменений;
о проведении оценки вероятности возникновения НЧС и об определении характера и степени влияния НЧС на непрерывность деятельности бюро;
о проведении тестирования Плана ОНД;
о проведении тестирования ПТС и сетевых коммуникаций с учетом выявленных факторов;
о подготовке отчета о результатах тестирования ПТС и сетевых коммуникаций;
о составлении отчета о реализации мер по ОНД.
3.12. План ОНД должен быть утвержден советом директоров (наблюдательным советом) бюро, а при отсутствии совета директоров (наблюдательного совета) - общим собранием акционеров (участников) бюро.
При необходимости внесения изменений в План ОНД он должен быть утвержден в новой редакции.
Глава 4. Порядок и сроки представления в Банк России плана обеспечения непрерывности деятельности бюро кредитных историй, вносимых в него изменений
4.1. План ОНД представляется бюро в Банк России (структурное подразделение Банка России, к полномочиям которого относится осуществление регулирования и контроля деятельности бюро (далее - уполномоченное структурное подразделение), в течение 3 месяцев с даты внесения записи о бюро в государственный реестр бюро кредитных историй и ежегодно не позднее 1 апреля.
В случае утверждения Плана ОНД в новой редакции План ОНД представляется бюро в уполномоченное структурное подразделение в течение 5 рабочих дней с даты утверждения новой редакции Плана ОНД.
В случае представления в уполномоченное структурное подразделение Плана ОНД в новой редакции к Плану ОНД прилагается полный перечень внесенных бюро изменений в План ОНД, представленный в табличном виде, с указанием номера структурной единицы (например, главы, статьи, раздела, пункта, подпункта) Плана ОНД, утверждаемого в новой редакции (номера добавленной структурной единицы - в случае дополнения Плана ОНД новой структурной единицей), ее действующей редакции, новой редакции соответствующей структурной единицы (редакции новой структурной единицы - в случае дополнения Плана ОНД новой структурной единицей) и причин утверждения новой редакции Плана ОНД.
4.2. При наличии в Плане ОНД ссылок на внутренние документы бюро к Плану ОНД прилагаются копии внутренних документов.
4.3. План ОНД, прилагаемые к нему документы, указанные в абзаце третьем пункта 4.1, пункте 4.2 настоящего Положения (при наличии), представляются бюро в форме электронных документов в соответствии с порядком взаимодействия Банка России с лицами, оказывающими профессиональные услуги на финансовом рынке, определенным на основании частей первой и восьмой статьи 76.9-11 Федерального закона от 10 июля 2002 года N 86-ФЗ "О Центральном банке Российской Федерации (Банке России)" (Собрание законодательства Российской Федерации, 2002, 28, ст. 2790; 2021, N 27, ст. 5187) (далее - личный кабинет).
4.4. План ОНД с приложениями (при наличии) представляется бюро в виде файла в формате, обеспечивающем возможность его сохранения на технических средствах и допускающем после сохранения возможность поиска и копирования произвольного фрагмента текста средствами для просмотра (файл с расширением "*.doc", "*.docx", "*.rtf").
4.5. В случае выявления нарушения бюро требований к оформлению и (или) комплектности документов, установленных пунктами 4.1 - 4.4 настоящего Положения, уполномоченное структурное подразделение не позднее 5 рабочих дней со дня представления Плана ОНД и прилагаемых к нему документов (при наличии) в Банк России направляет бюро посредством личного кабинета уведомление с указанием выявленных нарушений требований к оформлению и (или) комплектности документов, перечня недостающих документов, а также срока их представления (далее - уведомление о представлении документов).
В случае направления бюро уведомления о представлении документов срок, предусмотренный пунктом 5.1 настоящего Положения для проведения Банком России оценки Плана ОНД, исчисляется со дня представления бюро в Банк России документов в соответствии с уведомлением о представлении документов.
Глава 5. Порядок оценки Банком России плана обеспечения непрерывности деятельности бюро кредитных историй
5.1. Уполномоченное структурное подразделение в срок, не превышающий 20 рабочих дней со дня поступления в Банк России Плана ОНД и прилагаемых к нему документов (при наличии), осуществляет оценку Плана ОНД.
5.2. Оценка Банком России Плана ОНД осуществляется посредством:
анализа соответствия Плана ОНД требованиям настоящего Положения;
анализа достаточности и реализуемости мероприятий, предусмотренных Планом ОНД;
анализа результатов тестирования и иной существенной информации, содержащейся в аналитической записке к Плану ОНД, указанной в пункте 3.2 настоящего Положения.
Результаты оценки оформляются решением о соответствии или несоответствии Плана ОНД требованиям настоящего Положения и доводятся уполномоченным структурным подразделением до сведения бюро посредством личного кабинета в течение 5 рабочих дней со дня окончания оценки Плана ОНД.
5.3. Уполномоченное структурное подразделение запрашивает у бюро (в случае необходимости) для принятия решения о соответствии или несоответствии Плана ОНД требованиям настоящего Положения дополнительную информацию с указанием срока ее представления.
В случае если указанный срок превышает 1 рабочий день, срок, предусмотренный пунктом 5.1 настоящего Положения для проведения Банком России оценки Плана ОНД, приостанавливается до дня представления бюро запрошенной информации в уполномоченное структурное подразделение.
5.4. В случае непредставления бюро документов в Банк России в соответствии с уведомлением о представлении документов (либо непредставления документов в сроки, указанные в уведомлении о представлении документов) Банк России в срок, предусмотренный пунктом 5.1 настоящего Положения для проведения оценки Плана ОНД, принимает решение о несоответствии Плана ОНД требованиям настоящего Положения.
Глава 6. Порядок информирования бюро кредитных историй Банка России о наступлении в его деятельности событий, предусмотренных планом обеспечения непрерывности деятельности бюро кредитных историй, и принятии решения о начале реализации указанного плана
6.1. Бюро должно направлять в уполномоченное структурное подразделение информационные сообщения о наступлении в деятельности бюро Событий, а также о принятии бюро решения о начале реализации Плана ОНД (далее - сообщения) в течение одного рабочего дня, следующего за днем наступления Событий (принятия бюро решения о начале реализации Плана ОНД).
Сообщения должны направляться бюро посредством личного кабинета.
6.2. В сообщениях бюро должно указывать Событие (его вид и характер) и время его наступления, сведения о принятии бюро решения о начале реализации Плана ОНД, а также перечень проведенных бюро мероприятий, направленных на восстановление непрерывности деятельности бюро, с указанием сроков их реализации.
Глава 7. Заключительные положения
7.1. Настоящее Положение подлежит официальному опубликованию и в соответствии с решением Совета директоров Банка России (протокол заседания Совета директоров Банка России от 13 августа 2021 года N ПСД-19) вступает в силу с 1 января 2022 года.
И.о. Председателя Центрального банка
Российской Федерации
Д.В.ТУЛИН