Указание Банка России от 09.01.2023 N 6352-У
ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ
УКАЗАНИЕ
от 9 января 2023 г. N 6352-У
О ВНЕСЕНИИ ИЗМЕНЕНИЙ
В ПОЛОЖЕНИЕ БАНКА РОССИИ ОТ 3 ОКТЯБРЯ 2017 ГОДА N 607-П
"О ТРЕБОВАНИЯХ К ПОРЯДКУ ОБЕСПЕЧЕНИЯ БЕСПЕРЕБОЙНОСТИ
ФУНКЦИОНИРОВАНИЯ ПЛАТЕЖНОЙ СИСТЕМЫ, ПОКАЗАТЕЛЯМ
БЕСПЕРЕБОЙНОСТИ ФУНКЦИОНИРОВАНИЯ ПЛАТЕЖНОЙ СИСТЕМЫ
И МЕТОДИКАМ АНАЛИЗА РИСКОВ В ПЛАТЕЖНОЙ СИСТЕМЕ,
ВКЛЮЧАЯ ПРОФИЛИ РИСКОВ"
На основании пунктов 4 - 6 части 3 статьи 28 Федерального закона от 27 июня 2011 года N 161-ФЗ "О национальной платежной системе" <1>:
--------------------------------
<1> Собрание законодательства Российской Федерации, 2011, N 27, ст. 3872.
1. Внести в Положение Банка России от 3 октября 2017 года N 607-П "О требованиях к порядку обеспечения бесперебойности функционирования платежной системы, показателям бесперебойности функционирования платежной системы и методикам анализа рисков в платежной системе, включая профили рисков" <2> следующие изменения:
--------------------------------
<2> Зарегистрировано Минюстом России 22 декабря 2017 года, регистрационный N 49386.
1.1. В пункте 2.2:
подпункт 2.2.2 признать утратившим силу;
в подпункте 2.2.4:
абзац второй изложить в следующей редакции:
"показатель продолжительности восстановления оказания УПИ (далее - показатель П1), характеризующий период времени восстановления оказания услуг операторами УПИ в случае приостановления оказания УПИ, в том числе вследствие нарушения требований к обеспечению защиты информации при осуществлении переводов денежных средств, установленных Банком России на основании части 3 статьи 27 Федерального закона от 27 июня 2011 года N 161-ФЗ (Собрание законодательства Российской Федерации, 2011, N 27, ст. 3872; 2022, N 29, ст. 5298);";
дополнить подпунктами 2.2.4(1) - 2.2.4(4) следующего содержания:
"2.2.4(1). Оператор платежной системы должен проводить плановую оценку рисков в платежной системе, а также внеплановые оценки рисков в платежной системе с использованием методик анализа рисков в платежной системе и составлением профилей рисков.
2.2.4(2). Оператор платежной системы должен проводить внеплановую оценку всех рисков в платежной системе при внесении изменений в один или несколько процессов, в рамках которых обеспечивается оказание УПИ (далее - бизнес-процесс), или в несколько бизнес-процессов. Проведение внеплановой оценки всех рисков в платежной системе должно быть завершено не позднее истечения шести месяцев со дня внесения указанных изменений.
2.2.4(3). Оператор платежной системы должен проводить внеплановую оценку отдельных рисков (отдельного риска) в платежной системе:
при возникновении события, реализация которого привела к приостановлению (прекращению) оказания УПИ и описание которого в профиле риска не предусмотрено, либо негативные последствия от его реализации превышают негативные последствия, предусмотренные для этого события в профиле риска;
при установлении по результатам проводимого оператором платежной системы мониторинга рисков факта приближения фактического уровня риска к уровню допустимого риска, при котором восстановление оказания УПИ, соответствующих требованиям к оказанию услуг, включая восстановление оказания УПИ в случае приостановления их оказания, осуществляется в течение периодов времени, установленных оператором платежной системы, и предполагаемый ущерб от которого оператор платежной системы готов принять без применения способов управления рисками в платежной системе;
при выявлении значимого риска в платежной системе, для которого уровень присущего риска до применения способов управления рисками в платежной системе может превысить или превысил уровень допустимого риска.
Проведение внеплановой оценки отдельных рисков (отдельного риска) в платежной системе должно быть завершено не позднее истечения четырех месяцев со дня возникновения событий, предусмотренных абзацами вторым и третьим настоящего подпункта, либо со дня выявления значимого риска в платежной системе, указанного в абзаце четвертом настоящего подпункта.
2.2.4(4). Плановая оценка всех рисков в платежной системе проводится оператором платежной системы не реже одного раза в три года с учетом сведений о событиях, которые произошли в платежной системе со дня завершения предыдущей плановой или внеплановой оценки всех рисков в платежной системе и привели к приостановлению (прекращению) оказания УПИ.";
в подпункте 2.2.7 слово "два" заменить словом "три";
подпункт 2.2.8 изложить в следующей редакции:
"2.2.8. Оператор платежной системы должен вносить изменения в систему управления рисками в платежной системе, в случае если действующая система управления рисками в платежной системе не обеспечила три и более раза в течение календарного года возможность восстановления оказания УПИ в течение периодов времени, установленных оператором платежной системы в правилах платежной системы, при их приостановлении.";
дополнить подпунктом 2.2.9 следующего содержания:
"2.2.9. Оператор платежной системы должен при управлении рисками в платежной системе оценивать риски, возникающие в связи с привлечением поставщиков (провайдеров), предоставляющих услуги в сфере информационных технологий в целях оказания оператором УПИ услуг платежной инфраструктуры и (или) предоставляющих услуги обмена информацией при осуществлении операций с использованием электронных средств платежа между операторами по переводу денежных средств и их клиентами и (или) между операторами по переводу денежных средств и иностранными поставщиками платежных услуг, предусмотренные пунктом 33 статьи 3 Федерального закона от 27 июня 2011 года N 161-ФЗ (Собрание законодательства Российской Федерации, 2011, N 27, ст. 3872; 2019, N 31, ст. 4423) (далее - поставщики услуг), в том числе обусловленные вероятностью невыполнения поставщиками услуг своих обязательств, включая возникновение отказов и (или) нарушений функционирования автоматизированных систем, программного обеспечения, средств вычислительной техники, телекоммуникационного оборудования поставщиков услуг.".
1.2. В пункте 2.3:
в подпункте 2.3.2:
абзацы четвертый и пятый изложить в следующей редакции:
"наименование одного или нескольких бизнес-процессов, в ходе которых произошел инцидент;
наименование одного или нескольких бизнес-процессов, на которые инцидент оказал влияние;";
в абзаце десятом слова "инцидента и его" исключить, после слова "последствий" дополнить словом "инцидента";
в подпункте 2.3.3 слово "трех" заменить словом "пяти";
абзац первый подпункта 2.3.5 изложить в следующей редакции:
"2.3.5. Оператор платежной системы должен проводить оценку влияния на БФПС каждого произошедшего в платежной системе инцидента в срок не позднее окончания рабочего дня, следующего за днем возникновения (выявления) инцидента, а также в срок не позднее окончания рабочего дня, следующего за днем устранения последствий инцидента (восстановления оказания УПИ, соответствующих требованиям к оказанию услуг).";
подпункт 2.3.7 изложить в следующей редакции:
"2.3.7. Оператор платежной системы должен определить в правилах платежной системы:
критерии отнесения событий, реализовавшихся при оказании УПИ в платежной системе, к событиям приостановления оказания УПИ, за исключением событий, следствием которых является приостановление оказания УПИ в связи с проведением технологических и (или) регламентных работ, в случае если оператор УПИ заранее уведомил об этом оператора платежной системы и участников платежной системы в соответствии с правилами платежной системы и (или) иными документами оператора платежной системы и (или) привлеченных операторов УПИ;
период времени, в течение которого должно быть восстановлено оказание УПИ в случае приостановления их оказания;
период времени, в течение которого должно быть восстановлено оказание УПИ, соответствующее требованиям к оказанию услуг, в случае нарушения указанных требований.";
подпункт 2.3.11 изложить в следующей редакции:
"2.3.11. Оператор платежной системы должен разрабатывать и включать в план ОНиВД мероприятия, направленные на управление непрерывностью функционирования платежной системы в случае возникновения инцидентов, связанных с приостановлением оказания УПИ или нарушением установленных уровней оказания УПИ, в том числе:
при совмещении в платежной системе функций оператора платежной системы и операционного, и (или) платежного клирингового, и (или) расчетного центров - мероприятия по переходу на резервный комплекс программных и (или) технических средств, а также мероприятия, осуществляемые в случае неработоспособности систем и сервисов поставщиков услуг, нарушение предоставления которых способно привести к приостановлению оказания УПИ;
при наличии в платежной системе двух и более операционных, и (или) платежных клиринговых, и (или) расчетных центров - мероприятия по обеспечению взаимозаменяемости операторов УПИ;
при наличии в платежной системе одного привлеченного операционного, и (или) платежного клирингового, и (или) расчетного центров - мероприятия по привлечению другого оператора УПИ и по переходу участников платежной системы на обслуживание к вновь привлеченному оператору УПИ в течение срока, установленного правилами платежной системы, в случаях:
превышения оператором УПИ времени восстановления оказания УПИ при приостановлении их оказания более двух раз в течение трех месяцев подряд;
нарушения правил платежной системы, выразившегося в отказе оператора УПИ в одностороннем порядке от оказания услуг участнику (участникам) платежной системы, не связанного с приостановлением (прекращением) участия в платежной системе в случаях, предусмотренных правилами платежной системы.";
подпункт 2.3.13 дополнить абзацем следующего содержания:
"Операторы УПИ должны включать в планы ОНиВД мероприятия по переходу на резервный комплекс программных и (или) технических средств оператора УПИ в случае приостановления оказания УПИ и (или) нарушения установленных уровней оказания УПИ, а также мероприятия, осуществляемые в случае неработоспособности систем и сервисов поставщиков услуг, нарушение предоставления которых способно привести к приостановлению оказания УПИ.".
1.3. Пункт 3.2 изложить в следующей редакции:
"3.2. Методики анализа рисков в платежной системе должны обеспечивать:
выполнение процедур выявления оператором платежной системы рисков в платежной системе не реже одного раза в год;
проведение анализа рисков в платежной системе;
выявление событий, реализация которых может привести к возникновению инцидента (далее - риск-события), и определение для каждого из выявленных риск-событий уровня риска, характеризуемого вероятностью наступления риск-событий и величиной возможных последствий их реализации;
определение для каждого из выявленных рисков в платежной системе уровня присущего риска до применения способов управления рисками в платежной системе, а также уровня допустимого риска, указанного в абзаце третьем подпункта 2.2.4(3) пункта 2.2 настоящего Положения;
определение значимых рисков в платежной системе, указанных в абзаце четвертом подпункта 2.2.4(3) пункта 2.2 настоящего Положения;
определение для каждого из значимых рисков в платежной системе, указанных в абзаце четвертом подпункта 2.2.4(3) пункта 2.2 настоящего Положения, уровня остаточного риска после применения способов управления рисками в платежной системе.".
1.4. Пункт 3.3 изложить в следующей редакции:
"3.3. Методики анализа рисков в платежной системе должны предусматривать выполнение следующих мероприятий:
формирование и поддержание в актуальном состоянии перечней бизнес-процессов;
разработку и поддержание в актуальном состоянии классификаторов (структурированных перечней) рисков в платежной системе, риск-событий, причин риск-событий;
проведение анализа бизнес-процессов в платежной системе, в том числе анализа программных и (или) технических средств операторов УПИ, учитывая факт привлечения ими поставщиков услуг, и других факторов, влияющих на БФПС;
формирование перечня возможных риск-событий для каждого бизнес-процесса с указанием причин риск-событий и их последствий;
определение для каждого из выявленных рисков в платежной системе уровня присущего риска до применения способов управления рисками в платежной системе и установление уровня допустимого риска, указанного в абзаце третьем подпункта 2.2.4(3) пункта 2.2 настоящего Положения;
сопоставление уровня присущего риска до применения способов управления рисками в платежной системе и уровня допустимого риска, указанного в абзаце третьем подпункта 2.2.4(3) пункта 2.2 настоящего Положения, по каждому из выявленных рисков в платежной системе для определения значимых рисков в платежной системе, указанных в абзаце четвертом подпункта 2.2.4(3) пункта 2.2 настоящего Положения;
применение способов управления рисками в платежной системе для каждого из значимых рисков в платежной системе, указанных в абзаце четвертом подпункта 2.2.4(3) пункта 2.2 настоящего Положения, и последующее определение для них уровня остаточного риска после применения способов управления рисками в платежной системе;
сопоставление уровня остаточного риска после применения способов управления рисками в платежной системе и уровня допустимого риска, указанного в абзаце третьем подпункта 2.2.4(3) пункта 2.2 настоящего Положения, для каждого из значимых рисков в платежной системе, указанных в абзаце четвертом подпункта 2.2.4(3) пункта 2.2 настоящего Положения, и принятие решения о необходимости применения других способов управления рисками в платежной системе в дополнение к ранее примененным способам;
мониторинг рисков в платежной системе, в том числе уровня остаточного риска после применения способов управления рисками в платежной системе, его соответствия уровню допустимого риска, указанного в абзаце третьем подпункта 2.2.4(3) пункта 2.2 настоящего Положения;
составление и пересмотр (актуализацию) профиля каждого из значимых рисков в платежной системе, указанных в абзаце четвертом подпункта 2.2.4(3) пункта 2.2 настоящего Положения, включая профиль риска нарушения БФПС.".
1.5. В пункте 3.4:
в абзаце первом слова "не реже одного раза в год" заменить словами "по результатам плановой или внеплановой оценки всех рисков в платежной системе, а также внеплановой оценки отдельных рисков (отдельного риска) в платежной системе";
абзац второй признать утратившим силу.
1.6. В пункте 3.5 слово "двух" заменить словом "пяти".
1.7. В приложении 1:
в пункте 1:
в абзаце первом слова "приостановления оказания УПИ вследствие инцидента, произошедшего у оператора УПИ" заменить словами "возникновения события, приведшего к приостановлению оказания УПИ в результате первого из возникших инцидентов";
в абзаце втором слова "с момента приостановления оказания УПИ в результате первого из возникших инцидентов" заменить словами "с момента возникновения события, приведшего к приостановлению оказания УПИ в результате первого из возникших инцидентов,";
в абзаце первом пункта 2 слова "с момента устранения первого инцидента и до момента возникновения следующего" заменить словами "с момента восстановления оказания УПИ, приостановленных в результате первого инцидента, и до момента возникновения события, приведшего к приостановлению оказания УПИ в результате следующего инцидента".
1.8. В приложении 2:
в абзаце первом пункта 1 слова "выявленным рискам в платежной системе" заменить словами "значимым рискам в платежной системе, указанным в абзаце четвертом подпункта 2.2.4(3) пункта 2.2 настоящего Положения";
в пункте 2:
в абзаце первом слова "выявленных рисков в платежной системе" заменить словами "значимых рисков в платежной системе, указанных в абзаце четвертом подпункта 2.2.4(3) пункта 2.2 настоящего Положения";
абзац второй изложить в следующей редакции:
"описание риск-событий, выявленных с применением не менее чем одного метода из числа предусмотренных таблицей А.2 приложения А к национальному стандарту Российской Федерации ГОСТ Р 58771-2019 "Менеджмент риска. Технологии оценки риска", утвержденному и введенному в действие приказом Федерального агентства по техническому регулированию и метрологии от 17 декабря 2019 года N 1405-ст "Об утверждении национального стандарта Российской Федерации" (М., ФГУП "Стандартинформ", 2020) (далее - Стандарт). Риск-события отражаются в профиле каждого из значимых рисков в платежной системе, указанных в абзаце четвертом подпункта 2.2.4(3) пункта 2.2 настоящего Положения;";
в абзаце четвертом слова "оператора платежной системы и операторов УПИ" исключить;
абзацы восьмой - одиннадцатый изложить в следующей редакции:
"уровень присущего риска до применения способов управления рисками в платежной системе;
уровень допустимого риска, указанный в абзаце третьем подпункта 2.2.4(3) пункта 2.2 настоящего Положения;
уровень остаточного риска после применения способов управления рисками в платежной системе;
перечень способов управления рисками в платежной системе.";
пункт 3 изложить в следующей редакции:
"3. Профиль риска нарушения БФПС должен составляться как сводный профиль в отношении всех значимых рисков в платежной системе, указанных в абзаце четвертом подпункта 2.2.4(3) пункта 2.2 настоящего Положения.".
2. Настоящее Указание подлежит официальному опубликованию и в соответствии с решением Совета директоров Банка России (протокол заседания Совета директоров Банка России от 23 декабря 2022 года N ПСД-78) вступает в силу с 1 октября 2023 года.
Председатель Центрального банка
Российской Федерации
Э.С.НАБИУЛЛИНА