Указание Банка России от 30.12.2016 N 4258-У
ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ
УКАЗАНИЕ
от 30 декабря 2016 г. N 4258-У
О ТРЕБОВАНИЯХ
К СОДЕРЖАНИЮ, ПОРЯДКЕ И СРОКАХ ПРЕДСТАВЛЕНИЯ В БАНК РОССИИ
ПЛАНА ОБЕСПЕЧЕНИЯ НЕПРЕРЫВНОСТИ ДЕЯТЕЛЬНОСТИ ЦЕНТРАЛЬНОГО
КОНТРАГЕНТА, ИЗМЕНЕНИЙ, ВНОСИМЫХ В НЕГО, О ПОРЯДКЕ ОЦЕНКИ
ПЛАНА ОБЕСПЕЧЕНИЯ НЕПРЕРЫВНОСТИ ДЕЯТЕЛЬНОСТИ ЦЕНТРАЛЬНОГО
КОНТРАГЕНТА, О ТРЕБОВАНИЯХ К ПРОГРАММНО-ТЕХНИЧЕСКИМ
СРЕДСТВАМ И СЕТЕВЫМ КОММУНИКАЦИЯМ ЦЕНТРАЛЬНОГО КОНТРАГЕНТА,
А ТАКЖЕ О ПОРЯДКЕ СОЗДАНИЯ, ВЕДЕНИЯ И ХРАНЕНИЯ БАЗ ДАННЫХ,
СОДЕРЖАЩИХ ИНФОРМАЦИЮ ОБ ИМУЩЕСТВЕ, ОБЯЗАТЕЛЬСТВАХ
ЦЕНТРАЛЬНОГО КОНТРАГЕНТА И ИХ ДВИЖЕНИИ
Настоящее Указание в соответствии с частью 25 статьи 5, частью 3 статьи 11.1, пунктом 9.3 части 1, частями 4, 6 статьи 25 Федерального закона от 7 февраля 2011 года N 7-ФЗ "О клиринге, клиринговой деятельности и центральном контрагенте" (Собрание законодательства Российской Федерации, 2011, N 7, ст. 904; N 48, ст. 6728; N 49, ст. 7040; ст. 7061; 2012, N 53, ст. 7607; 2013, N 30, ст. 4084; 2014, N 11, ст. 1098; 2015, N 27, ст. 4001; N 29, ст. 4357; 2016, N 1, ст. 23, ст. 47) (далее - Федеральный закон от 7 февраля 2011 года N 7-ФЗ) устанавливает требования к содержанию, порядок и сроки представления в Банк России плана обеспечения непрерывности деятельности центрального контрагента (далее - План ОНД), изменений, вносимых в него, порядок оценки Плана ОНД, требования к программно-техническим средствам (далее - ПТС) и сетевым коммуникациям центрального контрагента, а также порядок создания, ведения и хранения баз данных, содержащих информацию об имуществе, обязательствах центрального контрагента и их движении.
Глава 1. Требования к содержанию плана обеспечения непрерывности деятельности центрального контрагента
1.1. Разработанный центральным контрагентом План ОНД должен содержать эффективные и результативные меры, направленные на:
предупреждение возможного нарушения непрерывности оказания центральным контрагентом услуг в условиях режима повседневного функционирования;
восстановление способности центрального контрагента оказывать услуги в полном объеме в случае возникновения нестандартных и чрезвычайных ситуаций (далее - НЧС);
обеспечение оказания центральным контрагентом услуг в условиях НЧС.
1.2. План ОНД должен содержать следующее:
указание на конфиденциальность сведений, составляющих План ОНД, а также порядок доступа работников центрального контрагента к указанным сведениям;
задачи по обеспечению непрерывности деятельности центрального контрагента, определенные в соответствии с мерами, указанными в пункте 1.1 настоящего Указания;
сведения о должностных лицах, ответственных за разработку (в том числе внесение изменений), анализ, пересмотр и реализацию Плана ОНД, подготовку отчета о непрерывности деятельности центрального контрагента, а также о лицах, исполняющих соответствующие обязанности в случае их отсутствия, с указанием их должностей, фамилий, имен и отчеств (при наличии), адресов телефонов и электронной почты;
перечень возможных НЧС, определяемый исходя из оценки вероятности их наступления, а также вероятности и характера возможных убытков и иных неблагоприятных последствий от НЧС (далее - перечень возможных НЧС);
перечень услуг, нарушение непрерывности оказания которых приведет к неблагоприятным последствиям для центрального контрагента;
перечень возможных сценариев, результатом реализации которых будет нарушение непрерывности деятельности центрального контрагента, включая количество ресурсов (финансовых, трудовых), необходимых для восстановления способности центрального контрагента оказывать услуги в полном объеме (далее - перечень возможных сценариев);
перечень используемых центральным контрагентом ПТС, требующих защиты от противоправных действий, требования к которым предусмотрены главой 3 настоящего Указания;
порядок принятия решения о переводе деятельности центрального контрагента в режим НЧС;
мероприятия, необходимые для восстановления способности центрального контрагента оказывать услуги в полном объеме в течение 2 часов, в том числе в режиме НЧС;
информацию о месте сбора работников центрального контрагента в случае возникновения НЧС;
адрес резервного комплекса ПТС центрального контрагента;
порядок осуществления бизнес-процессов, необходимых для оказания центральным контрагентом услуг в условиях возникновения НЧС, включая очередность и сроки их выполнения;
порядок взаимодействия между органами управления, структурными подразделениями и работниками центрального контрагента в условиях возникновения НЧС;
информацию о контактах экстренных оперативных служб (номера телефонов) и лиц, привлеченных к выполнению мер по восстановлению способности центрального контрагента оказывать услуги в полном объеме (номера телефонов, адреса электронной почты);
порядок и способ экстренного оповещения органов управления, подразделений и работников центрального контрагента о переводе деятельности центрального контрагента в режим НЧС;
инструкции для структурных подразделений и работников центрального контрагента с описанием действий, необходимых для поддержания и восстановления способности центрального контрагента оказывать услуги в полном объеме, порядок информирования совета директоров (наблюдательного совета), клиентов и контрагентов центрального контрагента, а также Банка России о возникновении НЧС и срок такого информирования, не превышающий 30 минут с момента возникновения НЧС;
порядок завершения работы в режиме НЧС и возврата в режим повседневного функционирования центрального контрагента;
программу (программы), тестирования Плана ОНД с учетом перечня возможных НЧС и перечня возможных сценариев, предусматривающую (предусматривающие) в том числе инструкции для структурных подразделений и работников центрального контрагента с описанием действий, необходимых для проведения тестирования Плана ОНД, утверждаемую (утверждаемые) единоличным исполнительным органом центрального контрагента (далее - программа (программы) тестирования Плана ОНД);
порядок тестирования Плана ОНД, проводимого в форме учений, не реже 1 раза в год, по программе (программам) тестирования Плана ОНД;
порядок подготовки и представления совету директоров (наблюдательному совету) центрального контрагента для рассмотрения и утверждения отчетов о результатах тестирования Плана ОНД, содержащих описание примененных в рамках тестирования Плана ОНД сценариев, выявленных недостатков Плана ОНД, а также предложения по их устранению и совершенствованию Плана ОНД (далее - отчеты о результатах тестирования Плана ОНД), в срок не позднее 30 календарных дней с даты окончания проведения тестирования Плана ОНД;
порядок принятия решений советом директоров (наблюдательным советом) центрального контрагента о внесении изменений в План ОНД, в том числе по результатам рассмотрения отчетов о результатах тестирования Плана ОНД;
порядок подготовки отчета о непрерывности деятельности центрального контрагента, в том числе включающего результаты расчета показателей оценки непрерывности деятельности центрального контрагента, приведенных в приложении к настоящему Указанию, а также порядок и сроки его представления совету директоров (наблюдательному совету) центрального контрагента, но не реже 1 раза в квартал.
1.3. План ОНД должен учитывать требования пункта 3.7 Положения Банка России от 16 декабря 2003 года N 242-П "Об организации внутреннего контроля в кредитных организациях и банковских группах", зарегистрированного Министерством юстиции Российской Федерации 27 января 2004 года N 5489, 22 декабря 2004 года N 6222, 20 марта 2009 года N 13547, 30 июня 2014 года N 32913 ("Вестник Банка России" от 4 февраля 2004 года N 7, от 31 декабря 2004 года N 74, от 1 апреля 2009 года N 21, от 9 июля 2014 года N 63), предъявляемые к небанковской кредитной организации, а также меры, обеспечиваемые клиринговой организацией в соответствии с абзацем шестым пункта 4.1 Положения Банка России от 12 марта 2015 года N 463-П "О требованиях, направленных на снижение рисков осуществления клиринговой деятельности, и требованиях к документу (документам), определяющему (определяющим) меры, направленные на снижение кредитных, операционных и иных рисков, в том числе рисков, связанных с совмещением клиринговой деятельности с иными видами деятельности", зарегистрированного Министерством юстиции Российской Федерации 30 апреля 2015 года N 37079 ("Вестник Банка России" от 14 мая 2015 года N 42).
1.4. План ОНД может являться частью иных внутренних документов центрального контрагента, направленных на обеспечение непрерывности его деятельности как небанковской кредитной организации и (или) направленных на обеспечение непрерывности его деятельности как клиринговой организации.
Глава 2. Порядок и сроки представления в Банк России Плана ОНД и порядок оценки Плана ОНД
2.1. План ОНД представляется центральным контрагентом для его оценки в Банк России (Департамент финансовой стабильности Банка России) (далее - уполномоченное структурное подразделение).
При наличии в Плане ОНД ссылок на иные внутренние документы центрального контрагента, к Плану ОНД прилагаются копии таких документов, утвержденные уполномоченными органами центрального контрагента.
В случае представления для оценки Плана ОНД, содержащего изменения в положения последнего оцененного Плана ОНД, к Плану ОНД прилагается также полный перечень таких изменений в План ОНД (далее - перечень изменений), представленный в табличном виде, с указанием номера структурной единицы (например, главы, статьи, раздела, пункта, подпункта) последнего оцененного Плана ОНД, в который вносятся изменения (номера добавленной структурной единицы - в случае дополнения Плана ОНД новой структурной единицей), ее действующей редакции (в случае, если вносятся изменения в структурную единицу последнего оцененного Плана ОНД), новой редакции соответствующей структурной единицы (редакции новой структурной единицы - в случае дополнения Плана ОНД новой структурной единицей) и причин внесения изменений.
2.2. План ОНД вместе с приложениями в предусмотренных пунктом 2.1 настоящего Указания случаях представляется на бумажном носителе или в форме электронных документов, подписанных усиленной квалифицированной электронной подписью в соответствии с требованиями Федерального закона от 6 апреля 2011 года N 63-ФЗ "Об электронной подписи" (Собрание законодательства Российской Федерации, 2011, N 15, ст. 2036; N 27, ст. 3880; 2012, N 29, ст. 3988; 2013, N 14, ст. 1668; N 27, ст. 3463, ст. 3477; 2014, N 11, ст. 1098; N 26, ст. 3390; 2016, N 1, ст. 65; N 26, ст. 3889), с соблюдением требований, предусмотренных пунктами 2.3 - 2.4 настоящего Указания.
2.3. План ОНД в форме электронного документа представляется на съемном электронном носителе в виде файла, имеющего формат, обеспечивающий возможность его сохранения на технических средствах и допускающий после сохранения возможность поиска и копирования произвольного фрагмента текста средствами для просмотра (doc, docx, rtf).
План ОНД на бумажном носителе, состоящий более чем из 1 листа, должен быть пронумерован, прошит и скреплен, должен иметь на оборотной стороне последнего листа оттиск печати центрального контрагента (при ее наличии) и заверительную надпись с указанием цифрами и прописью количества листов, подписанную ее составителем с указанием его должности, фамилии, имени, отчества (при наличии последнего) и даты заверения.
2.4. План ОНД должен быть направлен заказным почтовым отправлением в Банк России или представлен в экспедицию Банка России в течение 5 рабочих дней со дня его утверждения советом директоров (наблюдательным советом) центрального контрагента. Днем получения Плана ОНД является день его регистрации в Банке России.
2.5. В случае выявления нарушения центральным контрагентом требований к оформлению и (или) к комплектности документов, установленных пунктами 2.1 - 2.3 настоящего Указания, уполномоченное структурное подразделение не позднее 7 календарных дней со дня представления Плана ОНД в Банк России направляет центральному контрагенту уведомление с указанием выявленных нарушений требований к оформлению документов и (или) к комплектности документов, а также перечня недостающих документов (далее - уведомление о представлении документов). Уведомление о представлении документов направляется по адресу, указанному в едином государственном реестре юридических лиц, заказным почтовым отправлением на бумажном носителе с уведомлением о вручении или посредством электронных каналов связи, или иным способом, подтверждающим факт и дату получения уведомления о представлении документов.
В случае направления центральному контрагенту уведомления о представлении документов срок, предусмотренный пунктом 2.6 настоящего Указания для проведения Банком России оценки Плана ОНД, исчисляется со дня представления центральным контрагентом в Банк России документов в соответствии с уведомлением о представлении документов.
В случае непредставления центральным контрагентом документов в Банк России в соответствии с уведомлением о представлении документов в течение 7 календарных дней со дня его получения, Банк России в срок, предусмотренный пунктом 2.6 настоящего Указания для проведения Банком России оценки Плана ОНД, в рамках оценки Плана ОНД принимает решение о его несоответствии требованиям настоящего Указания.
2.6. Уполномоченное структурное подразделение в срок, не превышающий 30 дней со дня поступления в Банк России Плана ОНД, соответствующего требованиям пунктов 2.1 - 2.3 настоящего Указания, осуществляет оценку Плана ОНД на предмет его соответствия требованиям настоящего Указания, результаты которой оформляются решением о соответствии или несоответствии Плана ОНД требованиям настоящего Указания и доводятся до сведения центрального контрагента.
2.7. В случае принятия решения о несоответствии Плана ОНД требованиям настоящего Указания уполномоченное структурное подразделение направляет предписание об устранении выявленных в Плане ОНД нарушений, содержащее основания его направления и сроки устранения выявленных нарушений (далее - предписание).
После устранения выявленных в Плане ОНД нарушений в соответствии с предписанием План ОНД представляется в Банк России с соблюдением требований, предусмотренных пунктами 2.1 - 2.4 настоящего Указания.
2.8. Уполномоченное структурное подразделение запрашивает у центрального контрагента (в случае необходимости) для принятия решения о соответствии или несоответствии Плана ОНД требованиям настоящего Указания дополнительную информацию с указанием срока ее представления.
В случае если указанный срок превышает один рабочий день, срок, предусмотренный пунктом 2.6 настоящего Указания для проведения Банком России оценки Плана ОНД, приостанавливается до дня представления центральным контрагентом запрошенной информации в уполномоченное структурное подразделение.
Глава 3. Требования к ПТС и сетевым коммуникациям центрального контрагента
3.1. ПТС и сетевые коммуникации центрального контрагента, в том числе предоставленные центральному контрагенту в пользование третьими лицами, должны располагаться на территории Российской Федерации в основном и резервном комплексах ПТС центрального контрагента, функционально дублирующих друг друга и территориально удаленных друг от друга на расстояние, обеспечивающее возможность восстановления способности центрального контрагента оказывать услуги в полном объеме в срок, предусмотренный абзацем десятым пункта 1.2 настоящего Указания, и соответствовать требованиям, установленным пунктами 3.2 - 3.5 настоящего Указания.
3.2. ПТС и сетевые коммуникации центрального контрагента, находящиеся в основном и резервном комплексах ПТС центрального контрагента, должны обладать техническими характеристиками, а также должны быть оснащены необходимым программным обеспечением, обеспечивающим выполнение следующих требований:
обеспечение непрерывности деятельности центрального контрагента, в том числе в случае невозможности обеспечения непрерывности деятельности центрального контрагента с использованием ПТС и сетевых коммуникаций основного комплекса ПТС, при помощи ПТС и сетевых коммуникаций резервного комплекса ПТС центрального контрагента, при соблюдении мероприятий, предусмотренных абзацем десятым пункта 1.2 настоящего Указания;
осуществление деятельности центрального контрагента соразмерно объему и характеру совершаемых им операций, в том числе в условиях увеличения объемов оказываемых центральным контрагентом услуг и (или) НЧС;
обеспечение возможности использования 2 независимых друг от друга генераторов электричества в основном и резервном комплексах ПТС;
обеспечение технической возможности незамедлительного начала работы по переносу бизнес-процессов, осуществляемых с использованием ПТС, из основного комплекса ПТС в резервный комплекс ПТС;
обеспечение возможности использования ПТС центрального контрагента для создания, ведения и хранения баз данных, содержащих информацию об имуществе, обязательствах центрального контрагента и их движении;
регулярное проведение, но не реже 1 раза в год, идентификации угроз, способных привести к сбоям в работе или к неработоспособности ПТС и (или) сетевых коммуникаций центрального контрагента;
постоянный мониторинг случаев нарушения информационной безопасности и подозрительной внутрисетевой активности, в частности, нетипичных обращений во внутренней сети центрального контрагента;
доступ к ПТС и сетевым коммуникациям центрального контрагента на основе установленных центральным контрагентом правил предоставления и прекращения доступа к ПТС и сетевым коммуникациям, предусматривающих в том числе порядок работы с ПТС и сетевыми коммуникациями, и контроль за соблюдением указанных правил;
исключение возможности несанкционированного доступа к ПТС и сетевым коммуникациям центрального контрагента;
защита информации при управлении доступом и регистрацией в ПТС центрального контрагента;
обеспечение ПТС средствами антивирусной защиты;
защита информации при взаимодействии ПТС с информационно-телекоммуникационной сетью "Интернет";
обеспечение возможности электронного информирования, том числе в условиях необходимости экстренного оповещения, работников центрального контрагента о необходимости принятия мер по выполнению требований к обеспечению информационной безопасности;
обеспечение возможности составления отчетов по итогам проведения оценки обеспечения защиты информации не реже 1 раза в год;
наличие средств двухфакторной аутентификации для работников центрального контрагента.
3.3. ПТС и сетевые коммуникации центрального контрагента, находящиеся в основном и резервном комплексах ПТС центрального контрагента, должны проходить регулярное, но не реже 1 раза в год, тестирование и обеспечивать возможность составления отчета по итогам указанного тестирования.
3.4. Сетевые коммуникации центрального контрагента, находящиеся в основном и резервном комплексах ПТС, должны быть разделены на внутренние сетевые коммуникации центрального контрагента и сетевые коммуникации для взаимодействия с клиентами и (или) контрагентами (внешние сетевые коммуникации).
3.5. Сетевые коммуникации центрального контрагента, находящиеся в основном и резервном комплексах ПТС, должны обеспечивать возможность обслуживания центрального контрагента как минимум 2 независимыми поставщиками телекоммуникационных услуг.
Глава 4. Порядок создания, ведения и хранения баз данных, содержащих информацию об имуществе, обязательствах центрального контрагента и их движении
4.1. В целях хранения информации об имуществе, обязательствах центрального контрагента и их движении центральный контрагент создает базы данных об имуществе, обязательствах центрального контрагента и их движении (далее - базы данных).
4.2. Центральный контрагент обеспечивает создание, ведение и хранение баз данных при помощи ПТС и сетевых коммуникаций, отвечающих требованиям главы 3 настоящего Указания.
4.3. В целях сохранности баз данных центральный контрагент обеспечивает также их ежедневное резервное копирование на электронные, оптические или иные носители информации, на которые не оказывают воздействия нарушения работы ПТС и нарушения ведения и хранения баз данных, или средства вычислительной техники, размещаемые на территории Российской Федерации.
4.4. Базы данных должны поддерживаться в актуальном состоянии, обеспечивать возможность восстановления из них информации, в том числе в условиях НЧС, а также исключать возникновение условий для их порчи, утраты, заражения вредоносными кодами, несанкционированного изменения содержащейся в них информации или доступа к ним неуполномоченных лиц.
4.5. Порядок создания, ведения и хранения баз данных должен быть отражен во внутренних документах центрального контрагента и предусматривать в том числе следующие мероприятия:
определение обязанностей лиц, ответственных за создание, ведение и хранение баз данных, в том числе обеспечение соответствия информации, включаемой в базы данных, данным, на основе которых указанная информация включается в базы данных, включая первичные документы бухгалтерского учета;
определение обязанностей лиц, ответственных за защиту информации, составляющей базы данных, в том числе находящейся на электронных носителях, при ее хранении и использовании;
непрерывное резервное копирование информации с целью обеспечения возобновления оказания услуг, в том числе из резервного комплекса ПТС центрального контрагента, в случае осуществления деятельности в условиях НЧС;
определение способов создания, ведения и хранения баз данных, включая хранение версий программного обеспечения систем и подсистем, используемых при создании баз данных, а при необходимости хранение и аппаратных средств;
перевод бизнес-процессов, связанных с ведением баз данных, осуществляемых с использованием ПТС и сетевых коммуникаций центрального контрагента основного комплекса центрального контрагента, в резервный комплекс ПТС центрального контрагента в случае невозможности деятельности центрального контрагента с использованием ПТС и сетевых коммуникаций основного комплекса ПТС;
определение способов хранения информации по учету изменений, вносимых в базы данных, с учетом возможности обеспечения восстановления временной последовательности событий и действий пользователей по внесению изменений в базы данных, а также возможности идентификации лиц, которые вносили данные изменения.
Глава 5. Заключительные положения
5.1. Настоящее Указание применяется в отношении юридических лиц, которым Банком России присвоен статус центрального контрагента в соответствии со статьей 27.1 Федерального закона от 7 февраля 2011 года N 7-ФЗ.
5.2. Настоящее Указание вступает в силу по истечении 10 дней после дня его официального опубликования.
И.о. Председателя
Центрального банка
Российской Федерации
Д.В.ТУЛИН
Приложение
к Указанию Банка России
от 30 декабря 2016 г. N 4258-У
"О требованиях к содержанию,
порядке и сроках представления
в Банк России плана обеспечения
непрерывности деятельности
центрального контрагента, изменений,
вносимых в него, о порядке оценки
плана обеспечения непрерывности
деятельности центрального контрагента,
о требованиях к программно-техническим
средствам и сетевым коммуникациям
центрального контрагента, а также
о порядке создания, ведения и хранения
баз данных, содержащих информацию
об имуществе, обязательствах
центрального контрагента
и их движении"
ПОКАЗАТЕЛИ
ОЦЕНКИ НЕПРЕРЫВНОСТИ ДЕЯТЕЛЬНОСТИ ЦЕНТРАЛЬНОГО КОНТРАГЕНТА
1. Показатель Д0 определяет уровень устойчивости ПТС центрального контрагента к отказам в его работе и рассчитывается как отношение фактической продолжительности рабочего времени ПТС центрального контрагента к суммарной продолжительности рабочего времени ПТС центрального контрагента:
,
где:
t - суммарная продолжительность рабочего времени ПТС центрального контрагента, предусмотренная в соответствии с временным регламентом функционирования центрального контрагента за последние четыре квартала, рассчитанная в часах;
e - суммарная продолжительность простоя при нарушениях в работе ПТС центрального контрагента за последние четыре квартала, рассчитанная в часах.
2. Показатель TMAX определяет максимальное время простоя вследствие нарушения непрерывности оказания центральным контрагентом услуг:
ТMAX = max(T1, T2, ..., Tk),
где:
Tk - время простоя при k-м нарушении непрерывности оказания центральным контрагентом услуги, рассчитанное в часах.
Показатель Tmax рассчитывается отдельно по каждой услуге, определенной в Плане ОНД в соответствии с абзацем шестым пункта 1.2 настоящего Указания.
3. Показатель Tср определяет среднее время восстановления работоспособности ПТС центрального контрагента после нарушений в его работе и рассчитывается как среднее арифметическое времени восстановления при нарушениях работоспособности:
,
где:
Ti - время восстановления при i-м нарушении работоспособности ПТС центрального контрагента в квартале, предшествующем дате расчета, рассчитанное в часах;
N - количество фактов нарушений работоспособности ПТС центрального контрагента за квартал, предшествующий дате расчета, рассчитанное в штуках.