Положение Банка России от 03.10.2017 N 607-П (ред. от 09.01.2023) О требованиях к порядку обеспечения бесперебойности функционирования платежной системы, показателям бесперебойности функционирования платежной системы и методикам анализа рисков в платежной системе, включая профили рисков
ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ
от 3 октября 2017 г. N 607-П
О ТРЕБОВАНИЯХ К ПОРЯДКУ ОБЕСПЕЧЕНИЯ БЕСПЕРЕБОЙНОСТИ
ФУНКЦИОНИРОВАНИЯ ПЛАТЕЖНОЙ СИСТЕМЫ, ПОКАЗАТЕЛЯМ
БЕСПЕРЕБОЙНОСТИ ФУНКЦИОНИРОВАНИЯ ПЛАТЕЖНОЙ СИСТЕМЫ
И МЕТОДИКАМ АНАЛИЗА РИСКОВ В ПЛАТЕЖНОЙ СИСТЕМЕ,
ВКЛЮЧАЯ ПРОФИЛИ РИСКОВ
Настоящее Положение на основании пунктов 4 - 6 части 3 статьи 28 Федерального закона от 27 июня 2011 года N 161-ФЗ "О национальной платежной системе" (Собрание законодательства Российской Федерации, 2011, N 27, ст. 3872; 2012, N 53, ст. 7592; 2013, N 27, ст. 3477; N 30, ст. 4084; N 52, ст. 6968; 2014, N 19, ст. 2315, ст. 2317; N 43, ст. 5803; 2015, N 1, ст. 8, ст. 14; 2016, N 27, ст. 4221, ст. 4223; 2017, N 15, ст. 2134; N 18, ст. 2665; N 30, ст. 4456) (далее - Федеральный закон от 27 июня 2011 года N 161-ФЗ) устанавливает требования к порядку обеспечения бесперебойности функционирования платежной системы, показателям бесперебойности функционирования платежной системы и методикам анализа рисков в платежной системе, включая профили рисков.
1.1. Требования настоящего Положения применяются к оператору платежной системы при обеспечении бесперебойности функционирования платежной системы (далее - БФПС), которая достигается при условии оказания участникам платежной системы услуг платежной инфраструктуры (далее - УПИ) согласно требованиям Федерального закона от 27 июня 2011 года N 161-ФЗ и принятых в соответствии с ним нормативных актов Банка России, а также положениям правил платежной системы, договоров об оказании УПИ, документов оператора платежной системы и привлеченных им операторов УПИ (далее при совместном упоминании - требования к оказанию услуг) и (или) восстановления оказания УПИ, соответствующего требованиям к оказанию услуг, и восстановления оказания УПИ в случае приостановления их оказания в течение периодов времени, установленных оператором платежной системы в правилах платежной системы.
1.2. Оператор платежной системы должен обеспечивать БФПС путем осуществления скоординированной с операторами УПИ и участниками платежной системы деятельности:
по организации системы управления рисками в платежной системе, оценке и управлению рисками в платежной системе (далее при совместном упоминании - управление рисками в платежной системе);
по выявлению оказания УПИ, не соответствующего требованиям к оказанию услуг, обеспечению функционирования платежной системы в случае нарушения оказания УПИ, соответствующего требованиям к оказанию услуг, и восстановлению оказания УПИ, соответствующего требованиям к оказанию услуг, включая восстановление оказания УПИ в случае приостановления их оказания в течение периодов времени, установленных оператором платежной системы в правилах платежной системы (далее при совместном упоминании - управление непрерывностью функционирования платежной системы).
1.3. Порядок обеспечения БФПС должен определяться в правилах платежной системы, а также в разработанных в соответствии с ними документах оператора платежной системы и в документах привлеченных операторов УПИ, если такие документы предусмотрены правилами платежной системы.
1.4. Требования настоящего Положения не распространяются на Банк России при осуществлении им функций расчетного центра в платежных системах на основании заключенных договоров.
Глава 2. Требования к порядку обеспечения БФПС, показателям БФПС
2.1. Оператор платежной системы должен определять и соблюдать порядок обеспечения БФПС, который включает:
управление рисками в платежной системе;
управление непрерывностью функционирования платежной системы;
организацию взаимодействия оператора платежной системы, операторов УПИ и участников платежной системы (далее при совместном упоминании - субъекты платежной системы) по обеспечению БФПС;
контроль за соблюдением операторами УПИ и участниками платежной системы порядка обеспечения БФПС.
2.2. Оператор платежной системы должен управлять рисками в платежной системе с учетом следующих требований.
2.2.1. Оператор платежной системы должен организовать систему управления рисками в платежной системе с учетом организационной модели управления рисками в платежной системе, определенной в соответствии с требованиями части 2 статьи 28 Федерального закона от 27 июня 2011 года N 161-ФЗ. Система управления рисками в платежной системе может быть интегрирована в систему управления рисками деятельности оператора платежной системы, не связанной с функционированием платежной системы.
2.2.2. Утратил силу с 1 октября 2023 года. - Указание Банка России от 09.01.2023 N 6352-У.
2.2.3. Оператор платежной системы должен определять способы управления рисками в платежной системе, исходя из способов управления рисками, предусмотренных частью 5 статьи 28 Федерального закона от 27 июня 2011 года N 161-ФЗ (далее - способы управления рисками в платежной системе).
2.2.4. Оператор платежной системы должен определять в соответствии с требованиями, предусмотренными в приложении 1 к настоящему Положению, следующие показатели БФПС:
показатель продолжительности восстановления оказания УПИ (далее - показатель П1), характеризующий период времени восстановления оказания услуг операторами УПИ в случае приостановления оказания УПИ, в том числе вследствие нарушения требований к обеспечению защиты информации при осуществлении переводов денежных средств, установленных Банком России на основании части 3 статьи 27 Федерального закона от 27 июня 2011 года N 161-ФЗ (Собрание законодательства Российской Федерации, 2011, N 27, ст. 3872; 2022, N 29, ст. 5298);
показатель непрерывности оказания УПИ (далее - показатель П2), характеризующий период времени между двумя последовательно произошедшими в платежной системе событиями, которые привели к нарушению оказания УПИ, соответствующего требованиям к оказанию услуг, в том числе вследствие нарушений требований к обеспечению защиты информации при осуществлении переводов денежных средств (далее - инциденты), в результате которых приостанавливалось оказание УПИ. Приостановление (прекращение) участия в платежной системе в случаях, предусмотренных правилами платежной системы в соответствии с пунктом 4 части 1 статьи 20 Федерального закона от 27 июня 2011 года N 161-ФЗ, не рассматривается в целях настоящего Положения в качестве инцидентов;
показатель соблюдения регламента (далее - показатель П3), характеризующий соблюдение операторами УПИ времени начала, времени окончания, продолжительности и последовательности процедур, выполняемых операторами УПИ при оказании операционных услуг, услуг платежного клиринга и расчетных услуг, предусмотренных частями 3 и 4 статьи 17, частью 4 статьи 19 и частями 1 и 8 статьи 25 Федерального закона от 27 июня 2011 года N 161-ФЗ (далее - регламент выполнения процедур);
показатель доступности операционного центра платежной системы (далее - показатель П4), характеризующий оказание операционных услуг операционным центром платежной системы;
показатель изменения частоты инцидентов (далее - показатель П5), характеризующий темп прироста частоты инцидентов.
При определении иных показателей БФПС дополнительно к указанным данные показатели БФПС должны быть определены в правилах платежной системы, а также в разработанных в соответствии с ними документах оператора платежной системы и в документах привлеченных операторов УПИ, если такие документы предусмотрены правилами платежной системы.
2.2.4(1). Оператор платежной системы должен проводить плановую оценку рисков в платежной системе, а также внеплановые оценки рисков в платежной системе с использованием методик анализа рисков в платежной системе и составлением профилей рисков.
2.2.4(2). Оператор платежной системы должен проводить внеплановую оценку всех рисков в платежной системе при внесении изменений в один или несколько процессов, в рамках которых обеспечивается оказание УПИ (далее - бизнес-процесс), или в несколько бизнес-процессов. Проведение внеплановой оценки всех рисков в платежной системе должно быть завершено не позднее истечения шести месяцев со дня внесения указанных изменений.
2.2.4(3). Оператор платежной системы должен проводить внеплановую оценку отдельных рисков (отдельного риска) в платежной системе:
при возникновении события, реализация которого привела к приостановлению (прекращению) оказания УПИ и описание которого в профиле риска не предусмотрено, либо негативные последствия от его реализации превышают негативные последствия, предусмотренные для этого события в профиле риска;
при установлении по результатам проводимого оператором платежной системы мониторинга рисков факта приближения фактического уровня риска к уровню допустимого риска, при котором восстановление оказания УПИ, соответствующих требованиям к оказанию услуг, включая восстановление оказания УПИ в случае приостановления их оказания, осуществляется в течение периодов времени, установленных оператором платежной системы, и предполагаемый ущерб от которого оператор платежной системы готов принять без применения способов управления рисками в платежной системе;
при выявлении значимого риска в платежной системе, для которого уровень присущего риска до применения способов управления рисками в платежной системе может превысить или превысил уровень допустимого риска.
Проведение внеплановой оценки отдельных рисков (отдельного риска) в платежной системе должно быть завершено не позднее истечения четырех месяцев со дня возникновения событий, предусмотренных абзацами вторым и третьим настоящего подпункта, либо со дня выявления значимого риска в платежной системе, указанного в абзаце четвертом настоящего подпункта.
2.2.4(4). Плановая оценка всех рисков в платежной системе проводится оператором платежной системы не реже одного раза в три года с учетом сведений о событиях, которые произошли в платежной системе со дня завершения предыдущей плановой или внеплановой оценки всех рисков в платежной системе и привели к приостановлению (прекращению) оказания УПИ.
2.2.5. Оператор платежной системы должен устанавливать и пересматривать с использованием результатов оценки рисков в платежной системе пороговые уровни показателей БФПС.
Оператор платежной системы должен устанавливать пороговые уровни показателей БФПС с учетом следующих ограничений:
пороговый уровень показателя П1 должен быть не более 2 часов для каждого из операторов УПИ системно и социально значимых платежных систем и не более 6 часов для каждого из операторов УПИ платежных систем, не являющихся системно или социально значимыми;
пороговый уровень показателя П2 должен быть не менее 24 часов для каждого из операторов УПИ системно значимой платежной системы и не менее 12 часов для каждого из операторов УПИ социально значимой платежной системы;
пороговый уровень показателя П3 должен быть не менее 98,0% для операционного и платежного клирингового центров платежной системы и не менее 99,0% для расчетного центра платежной системы. Для платежных систем, в которых расчетный центр платежной системы одновременно предоставляет услуги операционного и (или) платежного клирингового центра, пороговый уровень показателя П3 должен быть не менее 98,0%;
пороговый уровень показателя П4 должен быть не менее 99,0% для системно значимой платежной системы, не менее 98,0% для социально значимой платежной системы и не менее 96,0% для платежных систем, не являющихся системно или социально значимыми.
2.2.6. Оператор платежной системы должен рассчитывать и анализировать значения показателей БФПС, в том числе путем их сравнения с пороговыми уровнями показателей БФПС, и использовать результаты указанного анализа при оценке системы управления рисками в платежной системе и при оценке влияния инцидентов на БФПС.
2.2.7. Оператор платежной системы должен проводить оценку системы управления рисками в платежной системе, в том числе используемых методов оценки рисков в платежной системе, результатов применения способов управления рисками в платежной системе, не реже одного раза в три года и документально оформлять результаты указанной оценки. При наличии коллегиального органа по управлению рисками в платежной системе оценка системы управления рисками в платежной системе должна проводиться данным органом.
2.2.8. Оператор платежной системы должен вносить изменения в систему управления рисками в платежной системе, в случае если действующая система управления рисками в платежной системе не обеспечила три и более раза в течение календарного года возможность восстановления оказания УПИ в течение периодов времени, установленных оператором платежной системы в правилах платежной системы, при их приостановлении.
2.2.9. Оператор платежной системы должен при управлении рисками в платежной системе оценивать риски, возникающие в связи с привлечением поставщиков (провайдеров), предоставляющих услуги в сфере информационных технологий в целях оказания оператором УПИ услуг платежной инфраструктуры и (или) предоставляющих услуги обмена информацией при осуществлении операций с использованием электронных средств платежа между операторами по переводу денежных средств и их клиентами и (или) между операторами по переводу денежных средств и иностранными поставщиками платежных услуг, предусмотренные пунктом 33 статьи 3 Федерального закона от 27 июня 2011 года N 161-ФЗ (Собрание законодательства Российской Федерации, 2011, N 27, ст. 3872; 2019, N 31, ст. 4423) (далее - поставщики услуг), в том числе обусловленные вероятностью невыполнения поставщиками услуг своих обязательств, включая возникновение отказов и (или) нарушений функционирования автоматизированных систем, программного обеспечения, средств вычислительной техники, телекоммуникационного оборудования поставщиков услуг.
2.3. Оператор платежной системы должен управлять непрерывностью функционирования платежной системы с учетом следующих требований.
2.3.1. Оператор платежной системы должен организовать деятельность по управлению непрерывностью функционирования платежной системы, в том числе путем установления прав и обязанностей субъектов платежной системы по управлению непрерывностью функционирования платежной системы в зависимости от организационной модели управления рисками в платежной системе, определенной в соответствии с требованиями части 2 статьи 28 Федерального закона от 27 июня 2011 года N 161-ФЗ.
2.3.2. Оператор платежной системы должен организовать сбор и обработку сведений, в том числе от привлеченных операторов УПИ, используемых для расчета показателей БФПС, указанных в подпункте 2.2.4 пункта 2.2 настоящего Положения (далее - сведения по платежной системе), а также следующих сведений об инцидентах:
время и дата возникновения инцидента (в случае невозможности установить время возникновения инцидента указывается время его выявления);
краткое описание инцидента (характеристика произошедшего события и его последствия);
наименование одного или нескольких бизнес-процессов, в ходе которых произошел инцидент;
наименование одного или нескольких бизнес-процессов, на которые инцидент оказал влияние;
наличие (отсутствие) факта приостановления (прекращения) оказания УПИ в результате инцидента;
влияние инцидента на БФПС, определяемое с учетом требований, предусмотренных подпунктом 2.3.5 пункта 2.3 настоящего Положения;
степень влияния инцидента на функционирование платежной системы в зависимости от количества операторов УПИ, и (или) количества и значимости участников платежной системы, на которых оказал непосредственное влияние инцидент, и (или) количества и суммы неисполненных, и (или) несвоевременно исполненных, и (или) ошибочно исполненных распоряжений участников платежной системы, и иных факторов;
время и дата восстановления оказания УПИ в случае приостановления их оказания;
мероприятия по устранению неблагоприятных последствий инцидента с указанием планируемой и фактической продолжительности проведения данных мероприятий;
дата восстановления оказания УПИ, соответствующего требованиям к оказанию услуг;
неблагоприятные последствия инцидента по субъектам платежной системы, в том числе:
сумма денежных средств, уплаченных оператором платежной системы и (или) взысканных с оператора платежной системы,
сумма денежных средств, уплаченных оператором (операторами) УПИ и (или) взысканных с оператора (операторов) УПИ,
количество и сумма неисполненных, и (или) несвоевременно исполненных, и (или) ошибочно исполненных распоряжений участников платежной системы, на исполнение которых оказал влияние инцидент,
продолжительность приостановления оказания УПИ.
2.3.3. Оператор платежной системы должен обеспечить хранение сведений по платежной системе и сведений об инцидентах не менее пяти лет с даты получения указанных сведений.
2.3.4. Оператор платежной системы должен организовать деятельность по разработке регламентов выполнения процедур и контролировать их соблюдение.
2.3.5. Оператор платежной системы должен проводить оценку влияния на БФПС каждого произошедшего в платежной системе инцидента в срок не позднее окончания рабочего дня, следующего за днем возникновения (выявления) инцидента, а также в срок не позднее окончания рабочего дня, следующего за днем устранения последствий инцидента (восстановления оказания УПИ, соответствующих требованиям к оказанию услуг).
В случае если вследствие произошедшего в платежной системе инцидента нарушен регламент выполнения процедур, но при этом не нарушен пороговый уровень каждого из показателей П1, П2, данный инцидент признается непосредственно не влияющим на БФПС.
Произошедший в платежной системе инцидент признается влияющим на БФПС в случае, если вследствие данного инцидента реализовано хотя бы одно из следующих условий:
нарушен регламент выполнения процедур при одновременном нарушении порогового уровня показателя П2;
нарушен пороговый уровень показателя П1;
превышена продолжительность установленного оператором платежной системы времени, в течение которого должно быть восстановлено оказание УПИ, соответствующее требованиям к оказанию услуг.
В случае выявления дополнительных обстоятельств инцидента, оценка влияния которого на БФПС уже завершена, проводится повторная оценка произошедшего инцидента с учетом вновь выявленных обстоятельств.
2.3.6. Оператор платежной системы должен проводить оценку влияния на БФПС всех инцидентов, произошедших в платежной системе в течение календарного месяца. Оценка влияния на БФПС данных инцидентов должна проводиться в течение пяти рабочих дней после дня окончания календарного месяца, в котором возникли инциденты.
В случае если вследствие произошедших в платежной системе в течение календарного месяца инцидентов не нарушен пороговый уровень показателя П4, рассчитанного по данным инцидентам, и одновременно нарушен пороговый уровень показателя П3 и (или) показателя П5, рассчитанных по этим же инцидентам, данные инциденты признаются непосредственно не влияющими на БФПС.
В случае если вследствие произошедших в платежной системе в течение календарного месяца инцидентов одновременно нарушены пороговые уровни всех показателей П3, П4, П5, рассчитанных по данным инцидентам, данные инциденты признаются влияющими на БФПС.
В случае выявления инцидентов или дополнительных обстоятельств инцидентов, произошедших в платежной системе в течение календарного месяца, за который уже проведена оценка их влияния на БФПС, оператор платежной системы должен проводить повторную оценку влияния на БФПС этих инцидентов с учетом вновь выявленных обстоятельств в течение пяти рабочих дней после дня окончания календарного месяца, в котором выявлены инциденты или дополнительные обстоятельства.
2.3.7. Оператор платежной системы должен определить в правилах платежной системы:
критерии отнесения событий, реализовавшихся при оказании УПИ в платежной системе, к событиям приостановления оказания УПИ, за исключением событий, следствием которых является приостановление оказания УПИ в связи с проведением технологических и (или) регламентных работ, в случае если оператор УПИ заранее уведомил об этом оператора платежной системы и участников платежной системы в соответствии с правилами платежной системы и (или) иными документами оператора платежной системы и (или) привлеченных операторов УПИ;
период времени, в течение которого должно быть восстановлено оказание УПИ в случае приостановления их оказания;
период времени, в течение которого должно быть восстановлено оказание УПИ, соответствующее требованиям к оказанию услуг, в случае нарушения указанных требований.
2.3.8. Оператор платежной системы должен обеспечить оказание УПИ при возникновении инцидентов, а также организовать в течение установленных периодов времени восстановление оказания услуг операторами УПИ в случае приостановления их оказания и восстановление оказания УПИ, соответствующего требованиям к оказанию услуг, в случае нарушения указанных требований.
Оператор системно значимой платежной системы при возникновении инцидента должен обеспечить в день его возникновения осуществление расчета в платежной системе до конца дня по распоряжениям участников платежной системы об осуществлении перевода денежных средств (далее - распоряжение участника платежной системы), поступившим в расчетный центр платежной системы и подлежащим исполнению в этот день в соответствии с законодательством Российской Федерации, и (или) правилами платежной системы, и (или) договорами банковского счета, заключенными участниками платежной системы с расчетным центром платежной системы.
2.3.9. Оператор платежной системы должен установить уровни оказания УПИ, характеризующие качество функционирования операционных и технологических средств платежной инфраструктуры, которые должны быть обеспечены операторами УПИ.
2.3.10. Оператор платежной системы должен разрабатывать, проверять (тестировать) и пересматривать план действий, направленных на обеспечение непрерывности деятельности и (или) восстановление деятельности (далее - план ОНиВД) оператора платежной системы, с периодичностью не реже одного раза в два года.
2.3.11. Оператор платежной системы должен разрабатывать и включать в план ОНиВД мероприятия, направленные на управление непрерывностью функционирования платежной системы в случае возникновения инцидентов, связанных с приостановлением оказания УПИ или нарушением установленных уровней оказания УПИ, в том числе:
при совмещении в платежной системе функций оператора платежной системы и операционного, и (или) платежного клирингового, и (или) расчетного центров - мероприятия по переходу на резервный комплекс программных и (или) технических средств, а также мероприятия, осуществляемые в случае неработоспособности систем и сервисов поставщиков услуг, нарушение предоставления которых способно привести к приостановлению оказания УПИ;
при наличии в платежной системе двух и более операционных, и (или) платежных клиринговых, и (или) расчетных центров - мероприятия по обеспечению взаимозаменяемости операторов УПИ;
при наличии в платежной системе одного привлеченного операционного, и (или) платежного клирингового, и (или) расчетного центров - мероприятия по привлечению другого оператора УПИ и по переходу участников платежной системы на обслуживание к вновь привлеченному оператору УПИ в течение срока, установленного правилами платежной системы, в случаях:
превышения оператором УПИ времени восстановления оказания УПИ при приостановлении их оказания более двух раз в течение трех месяцев подряд;
нарушения правил платежной системы, выразившегося в отказе оператора УПИ в одностороннем порядке от оказания услуг участнику (участникам) платежной системы, не связанного с приостановлением (прекращением) участия в платежной системе в случаях, предусмотренных правилами платежной системы.
2.3.12. Оператор платежной системы должен обеспечить реализацию мероприятий, предусмотренных подпунктом 2.3.11 настоящего пункта.
2.3.13. Оператор платежной системы должен организовать разработку и контролировать наличие планов ОНиВД у операторов УПИ, проведение ими проверки (тестирования) и пересмотра планов ОНиВД с периодичностью не реже одного раза в два года.
Операторы УПИ должны включать в планы ОНиВД мероприятия по переходу на резервный комплекс программных и (или) технических средств оператора УПИ в случае приостановления оказания УПИ и (или) нарушения установленных уровней оказания УПИ, а также мероприятия, осуществляемые в случае неработоспособности систем и сервисов поставщиков услуг, нарушение предоставления которых способно привести к приостановлению оказания УПИ.
2.3.14. В случае если оператор платежной системы и (или) оператор УПИ являются кредитными организациями, разработка, проверка (тестирование) и пересмотр плана ОНиВД должны осуществляться в порядке, предусмотренном Положением Банка России от 16 декабря 2003 года N 242-П "Об организации внутреннего контроля в кредитных организациях и банковских группах", зарегистрированным Министерством юстиции Российской Федерации 27 января 2004 года N 5489, 22 декабря 2004 года N 6222, 20 марта 2009 года N 13547, 30 июня 2014 года N 32913 (далее - Положение Банка России N 242-П), с учетом требований к плану ОНиВД, содержащихся в подпунктах 2.3.10 и 2.3.11 настоящего пункта.
2.3.15. Оператор платежной системы должен анализировать эффективность мероприятий по восстановлению оказания УПИ, соответствующего требованиям к оказанию услуг, и использовать полученные результаты при управлении рисками в платежной системе.
2.4. Оператор платежной системы должен передать часть функций или все функции по реализации мероприятий, предусмотренных пунктами 2.2 и 2.3 настоящего Положения, операторам УПИ и участникам платежной системы при использовании в платежной системе организационной модели управления рисками в платежной системе, предусмотренной пунктом 2 части 2 статьи 28 Федерального закона от 27 июня 2011 года N 161-ФЗ, или расчетному центру при использовании в платежной системе организационной модели управления рисками в платежной системе, предусмотренной пунктом 3 части 2 статьи 28 Федерального закона от 27 июня 2011 года N 161-ФЗ.
2.5. Оператор платежной системы должен организовать взаимодействие субъектов платежной системы по обеспечению БФПС с учетом следующих требований.
2.5.1. Оператор платежной системы должен определить в правилах платежной системы с учетом организационной модели управления рисками в платежной системе, определенной в соответствии с требованиями части 2 статьи 28 Федерального закона от 27 июня 2011 года N 161-ФЗ, порядок взаимодействия субъектов платежной системы при реализации мероприятий, предусмотренных пунктами 2.2 и 2.3 настоящего Положения.
2.5.2. Оператор платежной системы должен определить функции, выполняемые операторами УПИ по оперативному информированию оператора платежной системы о нарушении оказания УПИ, соответствующего требованиям к оказанию услуг, при котором превышено время восстановления оказания УПИ в случае их приостановления и (или) время восстановления оказания УПИ, соответствующего требованиям к оказанию услуг, а также по оперативному информированию расчетного центра платежной системы при использовании в платежной системе организационной модели управления рисками в платежной системе, предусмотренной пунктом 3 части 2 статьи 28 Федерального закона от 27 июня 2011 года N 161-ФЗ.
2.5.3. Оператор платежной системы должен информировать о случаях и причинах приостановления (прекращения) оказания УПИ:
Банк России и участников платежной системы в порядке, установленном Указанием Банка России от 11 июня 2014 года N 3280-У "О порядке информирования оператором платежной системы Банка России, участников платежной системы о случаях и причинах приостановления (прекращения) оказания услуг платежной инфраструктуры", зарегистрированным Министерством юстиции Российской Федерации 20 июня 2014 года N 32821, 27 ноября 2017 года N 49025 (далее - Указание Банка России N 3280-У);
операторов УПИ в порядке, аналогичном установленному Указанием Банка России N 3280-У для участников платежной системы.
2.6. Оператор платежной системы в рамках осуществления контроля за соблюдением правил платежной системы должен проверять соблюдение операторами УПИ и участниками платежной системы порядка обеспечения БФПС с учетом следующих требований.
2.6.1. Оператор платежной системы должен определить в правилах платежной системы порядок проведения контроля за соблюдением операторами УПИ и участниками платежной системы порядка обеспечения БФПС.
2.6.2. Оператор платежной системы должен контролировать соответствие документов операторов УПИ порядку обеспечения БФПС, если такие документы предусмотрены правилами платежной системы, и при выявлении несоответствия документов операторов УПИ порядку обеспечения БФПС должен направлять рекомендации операторам УПИ по устранению выявленных несоответствий.
2.6.3. Оператор платежной системы при выявлении нарушения порядка обеспечения БФПС операторами УПИ и участниками платежной системы должен:
информировать операторов УПИ и участников платежной системы о выявленных в их деятельности нарушениях и устанавливать сроки устранения нарушений;
осуществлять проверку результатов устранения нарушений и информировать операторов УПИ и участников платежной системы, в деятельности которых выявлены нарушения, о результатах проведенной проверки.
2.6.4. Оператор платежной системы должен определять ответственность операторов УПИ и участников платежной системы за неисполнение порядка обеспечения БФПС.
Глава 3. Требования к методикам анализа рисков в платежной системе, включая профили рисков
3.1. Оператор платежной системы в целях управления рисками в платежной системе должен разрабатывать методики анализа рисков в платежной системе, включая риск нарушения БФПС.
3.2. Методики анализа рисков в платежной системе должны обеспечивать:
выполнение процедур выявления оператором платежной системы рисков в платежной системе не реже одного раза в год;
проведение анализа рисков в платежной системе;
выявление событий, реализация которых может привести к возникновению инцидента (далее - риск-события), и определение для каждого из выявленных риск-событий уровня риска, характеризуемого вероятностью наступления риск-событий и величиной возможных последствий их реализации;
определение для каждого из выявленных рисков в платежной системе уровня присущего риска до применения способов управления рисками в платежной системе, а также уровня допустимого риска, указанного в абзаце третьем подпункта 2.2.4(3) пункта 2.2 настоящего Положения;
определение значимых рисков в платежной системе, указанных в абзаце четвертом подпункта 2.2.4(3) пункта 2.2 настоящего Положения;
определение для каждого из значимых рисков в платежной системе, указанных в абзаце четвертом подпункта 2.2.4(3) пункта 2.2 настоящего Положения, уровня остаточного риска после применения способов управления рисками в платежной системе.
3.3. Методики анализа рисков в платежной системе должны предусматривать выполнение следующих мероприятий:
формирование и поддержание в актуальном состоянии перечней бизнес-процессов;
разработку и поддержание в актуальном состоянии классификаторов (структурированных перечней) рисков в платежной системе, риск-событий, причин риск-событий;
проведение анализа бизнес-процессов в платежной системе, в том числе анализа программных и (или) технических средств операторов УПИ, учитывая факт привлечения ими поставщиков услуг, и других факторов, влияющих на БФПС;
формирование перечня возможных риск-событий для каждого бизнес-процесса с указанием причин риск-событий и их последствий;
определение для каждого из выявленных рисков в платежной системе уровня присущего риска до применения способов управления рисками в платежной системе и установление уровня допустимого риска, указанного в абзаце третьем подпункта 2.2.4(3) пункта 2.2 настоящего Положения;
сопоставление уровня присущего риска до применения способов управления рисками в платежной системе и уровня допустимого риска, указанного в абзаце третьем подпункта 2.2.4(3) пункта 2.2 настоящего Положения, по каждому из выявленных рисков в платежной системе для определения значимых рисков в платежной системе, указанных в абзаце четвертом подпункта 2.2.4(3) пункта 2.2 настоящего Положения;
применение способов управления рисками в платежной системе для каждого из значимых рисков в платежной системе, указанных в абзаце четвертом подпункта 2.2.4(3) пункта 2.2 настоящего Положения, и последующее определение для них уровня остаточного риска после применения способов управления рисками в платежной системе;
сопоставление уровня остаточного риска после применения способов управления рисками в платежной системе и уровня допустимого риска, указанного в абзаце третьем подпункта 2.2.4(3) пункта 2.2 настоящего Положения, для каждого из значимых рисков в платежной системе, указанных в абзаце четвертом подпункта 2.2.4(3) пункта 2.2 настоящего Положения, и принятие решения о необходимости применения других способов управления рисками в платежной системе в дополнение к ранее примененным способам;
мониторинг рисков в платежной системе, в том числе уровня остаточного риска после применения способов управления рисками в платежной системе, его соответствия уровню допустимого риска, указанного в абзаце третьем подпункта 2.2.4(3) пункта 2.2 настоящего Положения;
составление и пересмотр (актуализацию) профиля каждого из значимых рисков в платежной системе, указанных в абзаце четвертом подпункта 2.2.4(3) пункта 2.2 настоящего Положения, включая профиль риска нарушения БФПС.
3.4. Оператор платежной системы должен составлять профили рисков в соответствии с требованиями, предусмотренными в приложении 2 к настоящему Положению, и пересматривать (актуализировать) их по результатам плановой или внеплановой оценки всех рисков в платежной системе, а также внеплановой оценки отдельных рисков (отдельного риска) в платежной системе.
Абзац утратил силу с 1 октября 2023 года. - Указание Банка России от 09.01.2023 N 6352-У.
3.5. Оператор платежной системы должен хранить сведения, содержащиеся в профилях рисков, не менее пяти лет со дня составления и пересмотра (актуализации) профилей рисков.
Глава 4. Заключительные положения
4.1. Настоящее Положение подлежит официальному опубликованию <1> и в соответствии с решением Совета директоров Банка России (протокол заседания Совета директоров Банка России от 27 сентября 2017 года N 26) вступает в силу по истечении 12 месяцев после дня его официального опубликования.
--------------------------------
<1> Официально опубликовано на сайте Банка России 29.12.2017.
4.2. Со дня вступления в силу настоящего Положения признать утратившими силу:
Положение Банка России от 31 мая 2012 года N 379-П "О бесперебойности функционирования платежных систем и анализе рисков в платежных системах", зарегистрированное Министерством юстиции Российской Федерации 13 июня 2012 года N 24544;
Указание Банка России от 10 июля 2014 года N 3317-У "О внесении изменений в Положение Банка России от 31 мая 2012 года N 379-П "О бесперебойности функционирования платежных систем и анализе рисков в платежных системах", зарегистрированное Министерством юстиции Российской Федерации 11 августа 2014 года N 33532.
Председатель Центрального банка
Российской Федерации
Э.С.НАБИУЛЛИНА
к Положению Банка России
от 3 октября 2017 года N 607-П
"О требованиях к порядку
обеспечения бесперебойности
функционирования платежной системы,
показателям бесперебойности
функционирования платежной системы
и методикам анализа рисков
в платежной системе, включая
профили рисков"
ТРЕБОВАНИЯ К ОПРЕДЕЛЕНИЮ ПОКАЗАТЕЛЕЙ БФПС
1. Показатель П1 должен рассчитываться по каждому из операторов УПИ и по каждому из инцидентов, повлекших приостановление оказания УПИ, как период времени с момента возникновения события, приведшего к приостановлению оказания УПИ в результате первого из возникших инцидентов, и до момента восстановления оказания УПИ.
При возникновении инцидентов, повлекших приостановление оказания УПИ одновременно двумя и более операторами УПИ, показатель П1 должен рассчитываться как период времени с момента возникновения события, приведшего к приостановлению оказания УПИ в результате первого из возникших инцидентов, и до момента восстановления оказания УПИ всеми операторами УПИ, у которых возникли инциденты.
Показатель П1 должен рассчитываться в часах/минутах/секундах.
2. Показатель П2 должен рассчитываться по каждому из операторов УПИ при возникновении каждого из инцидентов, повлекших приостановление оказания УПИ, как период времени между двумя последовательно произошедшими у оператора УПИ инцидентами, в результате которых приостанавливалось оказание УПИ, с момента восстановления оказания УПИ, приостановленных в результате первого инцидента, и до момента возникновения события, приведшего к приостановлению оказания УПИ в результате следующего инцидента.
В платежных системах, в которых оператор УПИ оказывает более одного вида УПИ одновременно, показатель П2 должен рассчитываться одновременно по всем видам УПИ, оказываемым данным оператором УПИ.
Показатель П2 должен рассчитываться в часах/минутах/секундах.
3. Показатель П3 должен рассчитываться по каждому оператору УПИ.
Для операционного центра показатель П3 должен рассчитываться как отношение количества распоряжений участников платежной системы (их клиентов), по которым в течение календарного месяца были оказаны операционные услуги без нарушения регламента выполнения процедур, к общему количеству распоряжений участников платежной системы (их клиентов), по которым были оказаны операционные услуги в течение календарного месяца, рассчитываемое по следующей формуле:
- количество распоряжений участников платежной системы (их клиентов), по которым в течение календарного месяца были оказаны операционные услуги без нарушения регламента выполнения процедур,
- общее количество распоряжений участников платежной системы (их клиентов), по которым были оказаны операционные услуги в течение календарного месяца.
Для платежного клирингового центра показатель П3 должен рассчитываться как отношение количества распоряжений участников платежной системы (их клиентов), по которым в течение календарного месяца были оказаны услуги платежного клиринга без нарушения регламента выполнения процедур, к общему количеству распоряжений участников платежной системы (их клиентов), по которым были оказаны услуги платежного клиринга в течение календарного месяца, рассчитываемое по следующей формуле:
- количество распоряжений участников платежной системы (их клиентов), по которым в течение календарного месяца были оказаны услуги платежного клиринга без нарушения регламента выполнения процедур,
- общее количество распоряжений участников платежной системы (их клиентов), по которым были оказаны услуги платежного клиринга в течение календарного месяца.
Для расчетного центра показатель П3 должен рассчитываться как отношение количества распоряжений участников платежной системы и (или) платежного клирингового центра, по которым в течение календарного месяца были оказаны расчетные услуги без нарушения регламента выполнения процедур, к общему количеству распоряжений участников платежной системы и (или) платежного клирингового центра, по которым были оказаны расчетные услуги в течение календарного месяца, рассчитываемое по следующей формуле:
- количество распоряжений участников платежной системы и (или) платежного клирингового центра, по которым в течение календарного месяца были оказаны расчетные услуги без нарушения регламента выполнения процедур,
- общее количество распоряжений участников платежной системы и (или) платежного клирингового центра, по которым были оказаны расчетные услуги в течение календарного месяца.
Показатель П3 должен рассчитываться ежемесячно в процентах с точностью до двух знаков после запятой (с округлением по математическому методу).
Значение показателя П3 по платежной системе в целом принимается равным наименьшему из значений данного показателя, рассчитанных по всем операторам УПИ в отношении всех видов оказываемых ими услуг.
В платежных системах, в которых оператор УПИ оказывает более одного вида УПИ одновременно, показатель П3 должен рассчитываться по данному оператору УПИ в отношении всех видов оказываемых им услуг.
4. Показатель П4 должен рассчитываться как среднее значение коэффициента доступности операционного центра платежной системы за календарный месяц, рассчитываемое по следующей формуле:
- количество рабочих дней платежной системы в месяце,
- общая продолжительность всех приостановлений оказания операционных услуг операционным центром платежной системы за i-ый рабочий день месяца в минутах,
- общая продолжительность времени оказания операционных услуг в течение i-го рабочего дня в минутах, установленная в соответствии с временным регламентом функционирования платежной системы.
Показатель П4 должен рассчитываться ежемесячно в процентах с точностью до двух знаков после запятой (с округлением по математическому методу).
Для платежных систем с несколькими операционными центрами показатель П4 должен рассчитываться для каждого операционного центра платежной системы.
Значение показателя П4 по платежной системе в целом принимается равным наименьшему из значений данного показателя, рассчитанных по всем операционным центрам платежной системы.
5. Показатель П5 должен рассчитываться по платежной системе в целом и для каждого оператора УПИ в отдельности как темп прироста среднедневного количества инцидентов за оцениваемый календарный месяц по отношению к среднедневному количеству инцидентов за предыдущие 12 календарных месяцев, включая оцениваемый календарный месяц, рассчитываемый по следующей формуле:
- количество инцидентов в течение i-го рабочего дня платежной системы оцениваемого календарного месяца,
- количество рабочих дней платежной системы в оцениваемом календарном месяце,
- количество рабочих дней платежной системы за 12 предыдущих календарных месяцев, включая оцениваемый месяц.
Показатель П5 должен рассчитываться ежемесячно в процентах с точностью до одного знака после запятой (с округлением по математическому методу). В случае если за предыдущие 12 календарных месяцев, включая оцениваемый месяц, инцидентов не было, значение показателя признается равным нулю.
В платежных системах, в которых оператор УПИ оказывает более одного вида УПИ одновременно, показатель П5 должен рассчитываться по данному оператору УПИ в отношении всех видов оказываемых им услуг.
к Положению Банка России
от 3 октября 2017 года N 607-П
"О требованиях к порядку
обеспечения бесперебойности
функционирования платежной системы,
показателям бесперебойности
функционирования платежной системы
и методикам анализа рисков
в платежной системе, включая
профили рисков"
1. Профили рисков должны составляться по всем значимым рискам в платежной системе, указанным в абзаце четвертом подпункта 2.2.4(3) пункта 2.2 настоящего Положения, в том числе по следующим рискам:
по риску оказания УПИ, не соответствующего требованиям к оказанию услуг, вследствие несоблюдения субъектами платежной системы требований законодательства Российской Федерации, правил платежной системы, договоров, заключенных между субъектами платежной системы, документов оператора платежной системы и документов операторов УПИ либо вследствие наличия правовых коллизий и (или) правовой неопределенности в законодательстве Российской Федерации, нормативных актах Банка России, правилах платежной системы и договорах, заключенных между субъектами платежной системы, а также вследствие нахождения операторов УПИ и участников платежной системы под юрисдикцией различных государств (далее - правовой риск платежной системы);
по риску оказания УПИ, не соответствующего требованиям к оказанию услуг, вследствие возникновения у субъектов платежной системы сбоев, отказов и аварий в работе информационных и технологических систем, недостатков в организации и выполнении технологических и управленческих процессов, ошибок или противоправных действий персонала субъектов платежной системы либо вследствие воздействия событий, причины возникновения которых не связаны с деятельностью субъектов платежной системы, включая чрезвычайные ситуации, ошибочные или противоправные действия третьих лиц (операционный риск платежной системы);
по риску оказания УПИ, не соответствующего требованиям к оказанию услуг, центральным платежным клиринговым контрагентом или расчетным центром платежной системы вследствие невыполнения участниками платежной системы договорных обязательств перед указанными организациями в установленный срок или в будущем (далее - кредитный риск платежной системы);
по риску оказания УПИ, не соответствующего требованиям к оказанию услуг, вследствие отсутствия у центрального платежного клирингового контрагента и (или) у участников платежной системы денежных средств, достаточных для своевременного выполнения их обязательств перед другими субъектами платежной системы (далее - риск ликвидности платежной системы);
по риску оказания УПИ, не соответствующего требованиям к оказанию услуг, вследствие ухудшения финансового состояния оператора платежной системы и (или) операторов УПИ, не связанного с реализацией кредитного риска платежной системы и риска ликвидности платежной системы (общий коммерческий риск платежной системы).
Составление профиля правового риска платежной системы в части вопросов несоблюдения законодательства Российской Федерации, нормативных актов Банка России, правил платежной системы осуществляется службой внутреннего контроля (комплаенс-службой) оператора платежной системы в рамках управления регуляторным риском в соответствии с Положением Банка России N 242-П, если в соответствии с подпунктом 2.2.1 пункта 2.2 настоящего Положения система управления рисками в платежной системе интегрирована оператором платежной системы, являющимся кредитной организацией, в его системы управления рисками и капиталом, а также внутреннего контроля, организованные в соответствии с Указанием Банка России от 15 апреля 2015 года N 3624-У "О требованиях к системе управления рисками и капиталом кредитной организации и банковской группы", зарегистрированным Министерством юстиции Российской Федерации 26 мая 2015 года N 37388, 28 декабря 2015 года N 40325, и Положением Банка России N 242-П.
2. Профиль каждого из значимых рисков в платежной системе, указанных в абзаце четвертом подпункта 2.2.4(3) пункта 2.2 настоящего Положения должен содержать:
описание риск-событий, выявленных с применением не менее чем одного метода из числа предусмотренных таблицей А.2 приложения А к национальному стандарту Российской Федерации ГОСТ Р 58771-2019 "Менеджмент риска. Технологии оценки риска", утвержденному и введенному в действие приказом Федерального агентства по техническому регулированию и метрологии от 17 декабря 2019 года N 1405-ст "Об утверждении национального стандарта Российской Федерации" (М., ФГУП "Стандартинформ", 2020) (далее - Стандарт). Риск-события отражаются в профиле каждого из значимых рисков в платежной системе, указанных в абзаце четвертом подпункта 2.2.4(3) пункта 2.2 настоящего Положения;
описание причины возникновения каждого из риск-событий;
описание бизнес-процессов, в которых могут произойти риск-события;
вероятность наступления риск-событий. Определение вероятности наступления риск-событий осуществляется с применением не менее одного метода из числа предусмотренных Стандартом;
описание и оценку возможных неблагоприятных последствий каждого риск-события. Если риск-событие имеет несколько возможных неблагоприятных последствий, то указываются все неблагоприятные последствия данного риск-события. Определение неблагоприятных последствий риск-событий осуществляется с применением методов из числа предусмотренных Стандартом с учетом результатов анализа сведений об инцидентах;
описание бизнес-процессов и перечень субъектов платежной системы, на которые влияет риск-событие;
уровень присущего риска до применения способов управления рисками в платежной системе;
уровень допустимого риска, указанный в абзаце третьем подпункта 2.2.4(3) пункта 2.2 настоящего Положения;
уровень остаточного риска после применения способов управления рисками в платежной системе;
перечень способов управления рисками в платежной системе.
3. Профиль риска нарушения БФПС должен составляться как сводный профиль в отношении всех значимых рисков в платежной системе, указанных в абзаце четвертом подпункта 2.2.4(3) пункта 2.2 настоящего Положения.
ФЗ о страховых пенсиях
ФЗ о пожарной безопасности
ФЗ об ОСАГО
ФЗ об образовании
ФЗ о государственной гражданской службе
ФЗ о государственном оборонном заказе
О защите прав потребителей
ФЗ о противодействии коррупции
ФЗ о рекламе
ФЗ об охране окружающей среды
ФЗ о полиции
ФЗ о бухгалтерском учете
ФЗ о защите конкуренции
ФЗ о лицензировании отдельных видов деятельности
ФЗ об ООО
ФЗ о закупках товаров, работ, услуг отдельными видами юридических лиц
ФЗ о прокуратуре
ФЗ о несостоятельности (банкротстве)
ФЗ о персональных данных
ФЗ о госзакупках
ФЗ об исполнительном производстве
ФЗ о воинской службе
ФЗ о банках и банковской деятельности
Уменьшение неустойки
Проценты по денежному обязательству
Ответственность за неисполнение денежного обязательства
Уклонение от исполнения административного наказания
Расторжение трудового договора по инициативе работодателя
Предоставление субсидий юридическим лицам, индивидуальным предпринимателям, физическим лицам
Управление транспортным средством водителем, находящимся в состоянии опьянения, передача управления транспортным средством лицу, находящемуся в состоянии опьянения
Особенности правового положения казенных учреждений
Общие основания прекращения трудового договора
Порядок рассмотрения сообщения о преступлении
Судебный порядок рассмотрения жалоб
Основания отказа в возбуждении уголовного дела или прекращения уголовного дела
Документы, прилагаемые к исковому заявлению
Изменение основания или предмета иска, изменение размера исковых требований, отказ от иска, признание иска, мировое соглашение
Форма и содержание искового заявления