ГРАЖДАНСКОЕ ЗАКОНОДАТЕЛЬСТВО
ЗАКОНЫ КОММЕНТАРИИ СУДЕБНАЯ ПРАКТИКА
Гражданский кодекс часть 1
Глава 1. ГРАЖДАНСКОЕ ЗАКОНОДАТЕЛЬСТВО
Глава 2. ВОЗНИКНОВЕНИЕ ГРАЖДАНСКИХ ПРАВ И ОБЯЗАННОСТЕЙ, ОСУЩЕСТВЛЕНИЕ И ЗАЩИТА ГРАЖДАНСКИХ ПРАВ
Глава 3. ГРАЖДАНЕ (ФИЗИЧЕСКИЕ ЛИЦА)
Глава 4. ЮРИДИЧЕСКИЕ ЛИЦА
Глава 5. УЧАСТИЕ РОССИЙСКОЙ ФЕДЕРАЦИИ, СУБЪЕКТОВ РОССИЙСКОЙ ФЕДЕРАЦИИ, МУНИЦИПАЛЬНЫХ ОБРАЗОВАНИЙ В ОТНОШЕНИЯХ, РЕГУЛИРУЕМЫХ ГРАЖДАНСКИМ ЗАКОНОДАТЕЛЬСТВОМ
Глава 6. ОБЩИЕ ПОЛОЖЕНИЯ
Глава 7. ЦЕННЫЕ БУМАГИ
Глава 8. НЕМАТЕРИАЛЬНЫЕ БЛАГА И ИХ ЗАЩИТА
Глава 9. СДЕЛКИ
Глава 9.1. РЕШЕНИЯ СОБРАНИЙ
Глава 10. ПРЕДСТАВИТЕЛЬСТВО. ДОВЕРЕННОСТЬ
Глава 11. ИСЧИСЛЕНИЕ СРОКОВ
Глава 12. ИСКОВАЯ ДАВНОСТЬ
Глава 13. ОБЩИЕ ПОЛОЖЕНИЯ
Глава 14. ПРИОБРЕТЕНИЕ ПРАВА СОБСТВЕННОСТИ
Глава 15. ПРЕКРАЩЕНИЕ ПРАВА СОБСТВЕННОСТИ
Глава 16. ОБЩАЯ СОБСТВЕННОСТЬ
Глава 17. ПРАВО СОБСТВЕННОСТИ И ДРУГИЕ ВЕЩНЫЕ ПРАВА НА ЗЕМЛЮ
Глава 18. ПРАВО СОБСТВЕННОСТИ И ДРУГИЕ ВЕЩНЫЕ ПРАВА НА ЖИЛЫЕ ПОМЕЩЕНИЯ
Глава 19. ПРАВО ХОЗЯЙСТВЕННОГО ВЕДЕНИЯ, ПРАВО ОПЕРАТИВНОГО УПРАВЛЕНИЯ
Глава 20. ЗАЩИТА ПРАВА СОБСТВЕННОСТИ И ДРУГИХ ВЕЩНЫХ ПРАВ
Глава 21. ПОНЯТИЕ ОБЯЗАТЕЛЬСТВА
Глава 22. ИСПОЛНЕНИЕ ОБЯЗАТЕЛЬСТВ
Глава 23. ОБЕСПЕЧЕНИЕ ИСПОЛНЕНИЯ ОБЯЗАТЕЛЬСТВ
Глава 24. ПЕРЕМЕНА ЛИЦ В ОБЯЗАТЕЛЬСТВЕ
Глава 25. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ ОБЯЗАТЕЛЬСТВ
Глава 26. ПРЕКРАЩЕНИЕ ОБЯЗАТЕЛЬСТВ
Глава 27. ПОНЯТИЕ И УСЛОВИЯ ДОГОВОРА
Глава 28. ЗАКЛЮЧЕНИЕ ДОГОВОРА
Глава 29. ИЗМЕНЕНИЕ И РАСТОРЖЕНИЕ ДОГОВОРА
Гражданский кодекс часть 2
Глава 30. КУПЛЯ-ПРОДАЖА
Глава 31. МЕНА
Глава 32. ДАРЕНИЕ
Глава 33. РЕНТА И ПОЖИЗНЕННОЕ СОДЕРЖАНИЕ С ИЖДИВЕНИЕМ
Глава 34. АРЕНДА
Глава 35. НАЕМ ЖИЛОГО ПОМЕЩЕНИЯ
Глава 36. БЕЗВОЗМЕЗДНОЕ ПОЛЬЗОВАНИЕ
Глава 37. ПОДРЯД
Глава 38. ВЫПОЛНЕНИЕ НАУЧНО-ИССЛЕДОВАТЕЛЬСКИХ, ОПЫТНО-КОНСТРУКТОРСКИХ И ТЕХНОЛОГИЧЕСКИХ РАБОТ
Глава 39. ВОЗМЕЗДНОЕ ОКАЗАНИЕ УСЛУГ
Глава 40. ПЕРЕВОЗКА
Глава 41. ТРАНСПОРТНАЯ ЭКСПЕДИЦИЯ
Глава 42. ЗАЕМ И КРЕДИТ
Глава 43. ФИНАНСИРОВАНИЕ ПОД УСТУПКУ ДЕНЕЖНОГО ТРЕБОВАНИЯ
Глава 44. БАНКОВСКИЙ ВКЛАД
Глава 45. БАНКОВСКИЙ СЧЕТ
Глава 46. РАСЧЕТЫ
Глава 47. ХРАНЕНИЕ
Глава 47.1. УСЛОВНОЕ ДЕПОНИРОВАНИЕ (ЭСКРОУ)
Глава 48. СТРАХОВАНИЕ
Глава 49. ПОРУЧЕНИЕ
Глава 50. ДЕЙСТВИЯ В ЧУЖОМ ИНТЕРЕСЕ БЕЗ ПОРУЧЕНИЯ
Глава 51. КОМИССИЯ
Глава 52. АГЕНТИРОВАНИЕ
Глава 53. ДОВЕРИТЕЛЬНОЕ УПРАВЛЕНИЕ ИМУЩЕСТВОМ
Глава 54. КОММЕРЧЕСКАЯ КОНЦЕССИЯ
Глава 55. ПРОСТОЕ ТОВАРИЩЕСТВО
Глава 56. ПУБЛИЧНОЕ ОБЕЩАНИЕ НАГРАДЫ
Глава 57. ПУБЛИЧНЫЙ КОНКУРС
Глава 58. ПРОВЕДЕНИЕ ИГР И ПАРИ
Глава 59. ОБЯЗАТЕЛЬСТВА ВСЛЕДСТВИЕ ПРИЧИНЕНИЯ ВРЕДА
Глава 60. ОБЯЗАТЕЛЬСТВА ВСЛЕДСТВИЕ НЕОСНОВАТЕЛЬНОГО ОБОГАЩЕНИЯ
Гражданский кодекс часть 3
Глава 61. ОБЩИЕ ПОЛОЖЕНИЯ О НАСЛЕДОВАНИИ
Глава 62. НАСЛЕДОВАНИЕ ПО ЗАВЕЩАНИЮ
Глава 63. НАСЛЕДОВАНИЕ ПО ЗАКОНУ
Глава 64. ПРИОБРЕТЕНИЕ НАСЛЕДСТВА
Глава 65. НАСЛЕДОВАНИЕ ОТДЕЛЬНЫХ ВИДОВ ИМУЩЕСТВА
Глава 66. ОБЩИЕ ПОЛОЖЕНИЯ
Гражданский кодекс часть 4
Глава 69. ОБЩИЕ ПОЛОЖЕНИЯ
Глава 70. АВТОРСКОЕ ПРАВО
Глава 71. ПРАВА, СМЕЖНЫЕ С АВТОРСКИМИ
Глава 72. ПАТЕНТНОЕ ПРАВО
Глава 73. ПРАВО НА СЕЛЕКЦИОННОЕ ДОСТИЖЕНИЕ
Глава 74. ПРАВО НА ТОПОЛОГИИ ИНТЕГРАЛЬНЫХ МИКРОСХЕМ

Положение Банка России от 03.10.2017 N 607-П "О требованиях к порядку обеспечения бесперебойности функционирования платежной системы, показателям бесперебойности функционирования платежной системы и методикам анализа рисков в платежной системе, включая профили рисков" (Зарегистрировано в Минюсте России 22.12.2017 N 49386)

ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ
ПОЛОЖЕНИЕ
от 3 октября 2017 г. N 607-П
О ТРЕБОВАНИЯХ К ПОРЯДКУ ОБЕСПЕЧЕНИЯ БЕСПЕРЕБОЙНОСТИ
ФУНКЦИОНИРОВАНИЯ ПЛАТЕЖНОЙ СИСТЕМЫ, ПОКАЗАТЕЛЯМ
БЕСПЕРЕБОЙНОСТИ ФУНКЦИОНИРОВАНИЯ ПЛАТЕЖНОЙ СИСТЕМЫ
И МЕТОДИКАМ АНАЛИЗА РИСКОВ В ПЛАТЕЖНОЙ СИСТЕМЕ,
ВКЛЮЧАЯ ПРОФИЛИ РИСКОВ
Настоящее Положение на основании пунктов 4 - 6 части 3 статьи 28 Федерального закона от 27 июня 2011 года N 161-ФЗ "О национальной платежной системе" (Собрание законодательства Российской Федерации, 2011, N 27, ст. 3872; 2012, N 53, ст. 7592; 2013, N 27, ст. 3477; N 30, ст. 4084; N 52, ст. 6968; 2014, N 19, ст. 2315, ст. 2317; N 43, ст. 5803; 2015, N 1, ст. 8, ст. 14; 2016, N 27, ст. 4221, ст. 4223; 2017, N 15, ст. 2134; N 18, ст. 2665; N 30, ст. 4456) (далее - Федеральный закон от 27 июня 2011 года N 161-ФЗ) устанавливает требования к порядку обеспечения бесперебойности функционирования платежной системы, показателям бесперебойности функционирования платежной системы и методикам анализа рисков в платежной системе, включая профили рисков.
Глава 1. Общие положения
1.1. Требования настоящего Положения применяются к оператору платежной системы при обеспечении бесперебойности функционирования платежной системы (далее - БФПС), которая достигается при условии оказания участникам платежной системы услуг платежной инфраструктуры (далее - УПИ) согласно требованиям Федерального закона от 27 июня 2011 года N 161-ФЗ и принятых в соответствии с ним нормативных актов Банка России, а также положениям правил платежной системы, договоров об оказании УПИ, документов оператора платежной системы и привлеченных им операторов УПИ (далее при совместном упоминании - требования к оказанию услуг) и (или) восстановления оказания УПИ, соответствующего требованиям к оказанию услуг, и восстановления оказания УПИ в случае приостановления их оказания в течение периодов времени, установленных оператором платежной системы в правилах платежной системы.
1.2. Оператор платежной системы должен обеспечивать БФПС путем осуществления скоординированной с операторами УПИ и участниками платежной системы деятельности:
по организации системы управления рисками в платежной системе, оценке и управлению рисками в платежной системе (далее при совместном упоминании - управление рисками в платежной системе);
по выявлению оказания УПИ, не соответствующего требованиям к оказанию услуг, обеспечению функционирования платежной системы в случае нарушения оказания УПИ, соответствующего требованиям к оказанию услуг, и восстановлению оказания УПИ, соответствующего требованиям к оказанию услуг, включая восстановление оказания УПИ в случае приостановления их оказания в течение периодов времени, установленных оператором платежной системы в правилах платежной системы (далее при совместном упоминании - управление непрерывностью функционирования платежной системы).
1.3. Порядок обеспечения БФПС должен определяться в правилах платежной системы, а также в разработанных в соответствии с ними документах оператора платежной системы и в документах привлеченных операторов УПИ, если такие документы предусмотрены правилами платежной системы.
1.4. Требования настоящего Положения не распространяются на Банк России при осуществлении им функций расчетного центра в платежных системах на основании заключенных договоров.
Глава 2. Требования к порядку обеспечения БФПС, показателям БФПС
2.1. Оператор платежной системы должен определять и соблюдать порядок обеспечения БФПС, который включает:
управление рисками в платежной системе;
управление непрерывностью функционирования платежной системы;
организацию взаимодействия оператора платежной системы, операторов УПИ и участников платежной системы (далее при совместном упоминании - субъекты платежной системы) по обеспечению БФПС;
контроль за соблюдением операторами УПИ и участниками платежной системы порядка обеспечения БФПС.
2.2. Оператор платежной системы должен управлять рисками в платежной системе с учетом следующих требований.
2.2.1. Оператор платежной системы должен организовать систему управления рисками в платежной системе с учетом организационной модели управления рисками в платежной системе, определенной в соответствии с требованиями части 2 статьи 28 Федерального закона от 27 июня 2011 года N 161-ФЗ. Система управления рисками в платежной системе может быть интегрирована в систему управления рисками деятельности оператора платежной системы, не связанной с функционированием платежной системы.
2.2.2. Оператор платежной системы должен проводить оценку рисков в платежной системе не реже одного раза в год с использованием методик анализа рисков в платежной системе, включая профили рисков, требования к которым определены в главе 3 настоящего Положения.
2.2.3. Оператор платежной системы должен определять способы управления рисками в платежной системе, исходя из способов управления рисками, предусмотренных частью 5 статьи 28 Федерального закона от 27 июня 2011 года N 161-ФЗ (далее - способы управления рисками в платежной системе).
2.2.4. Оператор платежной системы должен определять в соответствии с требованиями, предусмотренными в приложении 1 к настоящему Положению, следующие показатели БФПС:
показатель продолжительности восстановления оказания УПИ (далее - показатель П1), характеризующий период времени восстановления оказания услуг операторами УПИ в случае приостановления оказания УПИ, в том числе вследствие нарушения требований к обеспечению защиты информации при осуществлении переводов денежных средств, установленных Положением Банка России от 9 июля 2012 года N 382-П "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств", зарегистрированным Министерством юстиции Российской Федерации 14 июня 2012 года N 24575, 1 июля 2013 года N 28930, 10 сентября 2014 года N 34017;
показатель непрерывности оказания УПИ (далее - показатель П2), характеризующий период времени между двумя последовательно произошедшими в платежной системе событиями, которые привели к нарушению оказания УПИ, соответствующего требованиям к оказанию услуг, в том числе вследствие нарушений требований к обеспечению защиты информации при осуществлении переводов денежных средств (далее - инциденты), в результате которых приостанавливалось оказание УПИ. Приостановление (прекращение) участия в платежной системе в случаях, предусмотренных правилами платежной системы в соответствии с пунктом 4 части 1 статьи 20 Федерального закона от 27 июня 2011 года N 161-ФЗ, не рассматривается в целях настоящего Положения в качестве инцидентов;
показатель соблюдения регламента (далее - показатель П3), характеризующий соблюдение операторами УПИ времени начала, времени окончания, продолжительности и последовательности процедур, выполняемых операторами УПИ при оказании операционных услуг, услуг платежного клиринга и расчетных услуг, предусмотренных частями 3 и 4 статьи 17, частью 4 статьи 19 и частями 1 и 8 статьи 25 Федерального закона от 27 июня 2011 года N 161-ФЗ (далее - регламент выполнения процедур);
показатель доступности операционного центра платежной системы (далее - показатель П4), характеризующий оказание операционных услуг операционным центром платежной системы;
показатель изменения частоты инцидентов (далее - показатель П5), характеризующий темп прироста частоты инцидентов.
При определении иных показателей БФПС дополнительно к указанным данные показатели БФПС должны быть определены в правилах платежной системы, а также в разработанных в соответствии с ними документах оператора платежной системы и в документах привлеченных операторов УПИ, если такие документы предусмотрены правилами платежной системы.
2.2.5. Оператор платежной системы должен устанавливать и пересматривать с использованием результатов оценки рисков в платежной системе пороговые уровни показателей БФПС.
Оператор платежной системы должен устанавливать пороговые уровни показателей БФПС с учетом следующих ограничений:
пороговый уровень показателя П1 должен быть не более 2 часов для каждого из операторов УПИ системно и социально значимых платежных систем и не более 6 часов для каждого из операторов УПИ платежных систем, не являющихся системно или социально значимыми;
пороговый уровень показателя П2 должен быть не менее 24 часов для каждого из операторов УПИ системно значимой платежной системы и не менее 12 часов для каждого из операторов УПИ социально значимой платежной системы;
пороговый уровень показателя П3 должен быть не менее 98,0% для операционного и платежного клирингового центров платежной системы и не менее 99,0% для расчетного центра платежной системы. Для платежных систем, в которых расчетный центр платежной системы одновременно предоставляет услуги операционного и (или) платежного клирингового центра, пороговый уровень показателя П3 должен быть не менее 98,0%;
пороговый уровень показателя П4 должен быть не менее 99,0% для системно значимой платежной системы, не менее 98,0% для социально значимой платежной системы и не менее 96,0% для платежных систем, не являющихся системно или социально значимыми.
2.2.6. Оператор платежной системы должен рассчитывать и анализировать значения показателей БФПС, в том числе путем их сравнения с пороговыми уровнями показателей БФПС, и использовать результаты указанного анализа при оценке системы управления рисками в платежной системе и при оценке влияния инцидентов на БФПС.
2.2.7. Оператор платежной системы должен проводить оценку системы управления рисками в платежной системе, в том числе используемых методов оценки рисков в платежной системе, результатов применения способов управления рисками в платежной системе, не реже одного раза в два года и документально оформлять результаты указанной оценки. При наличии коллегиального органа по управлению рисками в платежной системе оценка системы управления рисками в платежной системе должна проводиться данным органом.
2.2.8. Оператор платежной системы должен вносить изменения в систему управления рисками в платежной системе в случае, если действующая система управления рисками в платежной системе не позволила предотвратить нарушение оказания УПИ, соответствующего требованиям к оказанию услуг, а также восстановить оказание УПИ, соответствующее требованиям к оказанию услуг, и (или) восстановить оказание УПИ в случае приостановления их оказания в течение периодов времени, установленных оператором платежной системы в правилах платежной системы.
2.3. Оператор платежной системы должен управлять непрерывностью функционирования платежной системы с учетом следующих требований.
2.3.1. Оператор платежной системы должен организовать деятельность по управлению непрерывностью функционирования платежной системы, в том числе путем установления прав и обязанностей субъектов платежной системы по управлению непрерывностью функционирования платежной системы в зависимости от организационной модели управления рисками в платежной системе, определенной в соответствии с требованиями части 2 статьи 28 Федерального закона от 27 июня 2011 года N 161-ФЗ.
2.3.2. Оператор платежной системы должен организовать сбор и обработку сведений, в том числе от привлеченных операторов УПИ, используемых для расчета показателей БФПС, указанных в подпункте 2.2.4 пункта 2.2 настоящего Положения (далее - сведения по платежной системе), а также следующих сведений об инцидентах:
время и дата возникновения инцидента (в случае невозможности установить время возникновения инцидента указывается время его выявления);
краткое описание инцидента (характеристика произошедшего события и его последствия);
наименование взаимосвязанных последовательных технологических процедур, выполняемых при оказании УПИ (далее - бизнес-процесс), в ходе которых произошел инцидент;
наименование бизнес-процесса, на который оказал влияние инцидент;
наличие (отсутствие) факта приостановления (прекращения) оказания УПИ в результате инцидента;
влияние инцидента на БФПС, определяемое с учетом требований, предусмотренных подпунктом 2.3.5 пункта 2.3 настоящего Положения;
степень влияния инцидента на функционирование платежной системы в зависимости от количества операторов УПИ, и (или) количества и значимости участников платежной системы, на которых оказал непосредственное влияние инцидент, и (или) количества и суммы неисполненных, и (или) несвоевременно исполненных, и (или) ошибочно исполненных распоряжений участников платежной системы, и иных факторов;
время и дата восстановления оказания УПИ в случае приостановления их оказания;
мероприятия по устранению инцидента и его неблагоприятных последствий с указанием планируемой и фактической продолжительности проведения данных мероприятий;
дата восстановления оказания УПИ, соответствующего требованиям к оказанию услуг;
неблагоприятные последствия инцидента по субъектам платежной системы, в том числе:
сумма денежных средств, уплаченных оператором платежной системы и (или) взысканных с оператора платежной системы,
сумма денежных средств, уплаченных оператором (операторами) УПИ и (или) взысканных с оператора (операторов) УПИ,
количество и сумма неисполненных, и (или) несвоевременно исполненных, и (или) ошибочно исполненных распоряжений участников платежной системы, на исполнение которых оказал влияние инцидент,
продолжительность приостановления оказания УПИ.
2.3.3. Оператор платежной системы должен обеспечить хранение сведений по платежной системе и сведений об инцидентах не менее трех лет с даты получения указанных сведений.
2.3.4. Оператор платежной системы должен организовать деятельность по разработке регламентов выполнения процедур и контролировать их соблюдение.
2.3.5. Оператор платежной системы должен проводить оценку влияния на БФПС каждого произошедшего в платежной системе инцидента в течение 24 часов с момента его возникновения (выявления), а также в течение 24 часов после устранения инцидента (восстановления оказания УПИ, соответствующего требованиям к оказанию услуг).
В случае если вследствие произошедшего в платежной системе инцидента нарушен регламент выполнения процедур, но при этом не нарушен пороговый уровень каждого из показателей П1, П2, данный инцидент признается непосредственно не влияющим на БФПС.
Произошедший в платежной системе инцидент признается влияющим на БФПС в случае, если вследствие данного инцидента реализовано хотя бы одно из следующих условий:
нарушен регламент выполнения процедур при одновременном нарушении порогового уровня показателя П2;
нарушен пороговый уровень показателя П1;
превышена продолжительность установленного оператором платежной системы времени, в течение которого должно быть восстановлено оказание УПИ, соответствующее требованиям к оказанию услуг.
В случае выявления дополнительных обстоятельств инцидента, оценка влияния которого на БФПС уже завершена, проводится повторная оценка произошедшего инцидента с учетом вновь выявленных обстоятельств.
2.3.6. Оператор платежной системы должен проводить оценку влияния на БФПС всех инцидентов, произошедших в платежной системе в течение календарного месяца. Оценка влияния на БФПС данных инцидентов должна проводиться в течение пяти рабочих дней после дня окончания календарного месяца, в котором возникли инциденты.
В случае если вследствие произошедших в платежной системе в течение календарного месяца инцидентов не нарушен пороговый уровень показателя П4, рассчитанного по данным инцидентам, и одновременно нарушен пороговый уровень показателя П3 и (или) показателя П5, рассчитанных по этим же инцидентам, данные инциденты признаются непосредственно не влияющими на БФПС.
В случае если вследствие произошедших в платежной системе в течение календарного месяца инцидентов одновременно нарушены пороговые уровни всех показателей П3, П4, П5, рассчитанных по данным инцидентам, данные инциденты признаются влияющими на БФПС.
В случае выявления инцидентов или дополнительных обстоятельств инцидентов, произошедших в платежной системе в течение календарного месяца, за который уже проведена оценка их влияния на БФПС, оператор платежной системы должен проводить повторную оценку влияния на БФПС этих инцидентов с учетом вновь выявленных обстоятельств в течение пяти рабочих дней после дня окончания календарного месяца, в котором выявлены инциденты или дополнительные обстоятельства.
2.3.7. Оператор платежной системы должен установить в правилах платежной системы период времени, в течение которого должно быть восстановлено оказание УПИ в случае приостановления их оказания, и период времени, в течение которого должно быть восстановлено оказание УПИ, соответствующее требованиям к оказанию услуг, в случае нарушения указанных требований.
2.3.8. Оператор платежной системы должен обеспечить оказание УПИ при возникновении инцидентов, а также организовать в течение установленных периодов времени восстановление оказания услуг операторами УПИ в случае приостановления их оказания и восстановление оказания УПИ, соответствующего требованиям к оказанию услуг, в случае нарушения указанных требований.
Оператор системно значимой платежной системы при возникновении инцидента должен обеспечить в день его возникновения осуществление расчета в платежной системе до конца дня по распоряжениям участников платежной системы об осуществлении перевода денежных средств (далее - распоряжение участника платежной системы), поступившим в расчетный центр платежной системы и подлежащим исполнению в этот день в соответствии с законодательством Российской Федерации, и (или) правилами платежной системы, и (или) договорами банковского счета, заключенными участниками платежной системы с расчетным центром платежной системы.
2.3.9. Оператор платежной системы должен установить уровни оказания УПИ, характеризующие качество функционирования операционных и технологических средств платежной инфраструктуры, которые должны быть обеспечены операторами УПИ.
2.3.10. Оператор платежной системы должен разрабатывать, проверять (тестировать) и пересматривать план действий, направленных на обеспечение непрерывности деятельности и (или) восстановление деятельности (далее - план ОНиВД) оператора платежной системы, с периодичностью не реже одного раза в два года.
2.3.11. Оператор платежной системы должен разрабатывать и включать в план ОНиВД мероприятия, направленные на управление непрерывностью функционирования платежной системы в случае возникновения инцидентов, связанных с приостановлением оказания УПИ или нарушением установленных уровней оказания УПИ, в том числе:
при наличии в платежной системе двух и более операционных, и (или) платежных клиринговых, и (или) расчетных центров - мероприятия по обеспечению взаимозаменяемости операторов УПИ;
при наличии в платежной системе одного операционного, и (или) платежного клирингового, и (или) расчетного центров - мероприятия по привлечению другого оператора УПИ и по переходу участников платежной системы на обслуживание к вновь привлеченному оператору УПИ в течение срока, установленного правилами платежной системы, в случаях:
превышения оператором УПИ времени восстановления оказания УПИ при приостановлении их оказания более двух раз в течение трех месяцев подряд,
нарушения правил платежной системы, выразившегося в отказе оператора УПИ в одностороннем порядке от оказания услуг участнику (участникам) платежной системы, не связанного с приостановлением (прекращением) участия в платежной системе в случаях, предусмотренных правилами платежной системы.
2.3.12. Оператор платежной системы должен обеспечить реализацию мероприятий, предусмотренных подпунктом 2.3.11 настоящего пункта.
2.3.13. Оператор платежной системы должен организовать разработку и контролировать наличие планов ОНиВД у операторов УПИ, проведение ими проверки (тестирования) и пересмотра планов ОНиВД с периодичностью не реже одного раза в два года.
2.3.14. В случае если оператор платежной системы и (или) оператор УПИ являются кредитными организациями, разработка, проверка (тестирование) и пересмотр плана ОНиВД должны осуществляться в порядке, предусмотренном Положением Банка России от 16 декабря 2003 года N 242-П "Об организации внутреннего контроля в кредитных организациях и банковских группах", зарегистрированным Министерством юстиции Российской Федерации 27 января 2004 года N 5489, 22 декабря 2004 года N 6222, 20 марта 2009 года N 13547, 30 июня 2014 года N 32913 (далее - Положение Банка России N 242-П), с учетом требований к плану ОНиВД, содержащихся в подпунктах 2.3.10 и 2.3.11 настоящего пункта.
2.3.15. Оператор платежной системы должен анализировать эффективность мероприятий по восстановлению оказания УПИ, соответствующего требованиям к оказанию услуг, и использовать полученные результаты при управлении рисками в платежной системе.
2.4. Оператор платежной системы должен передать часть функций или все функции по реализации мероприятий, предусмотренных пунктами 2.2 и 2.3 настоящего Положения, операторам УПИ и участникам платежной системы при использовании в платежной системе организационной модели управления рисками в платежной системе, предусмотренной пунктом 2 части 2 статьи 28 Федерального закона от 27 июня 2011 года N 161-ФЗ, или расчетному центру при использовании в платежной системе организационной модели управления рисками в платежной системе, предусмотренной пунктом 3 части 2 статьи 28 Федерального закона от 27 июня 2011 года N 161-ФЗ.
2.5. Оператор платежной системы должен организовать взаимодействие субъектов платежной системы по обеспечению БФПС с учетом следующих требований.
2.5.1. Оператор платежной системы должен определить в правилах платежной системы с учетом организационной модели управления рисками в платежной системе, определенной в соответствии с требованиями части 2 статьи 28 Федерального закона от 27 июня 2011 года N 161-ФЗ, порядок взаимодействия субъектов платежной системы при реализации мероприятий, предусмотренных пунктами 2.2 и 2.3 настоящего Положения.
2.5.2. Оператор платежной системы должен определить функции, выполняемые операторами УПИ по оперативному информированию оператора платежной системы о нарушении оказания УПИ, соответствующего требованиям к оказанию услуг, при котором превышено время восстановления оказания УПИ в случае их приостановления и (или) время восстановления оказания УПИ, соответствующего требованиям к оказанию услуг, а также по оперативному информированию расчетного центра платежной системы при использовании в платежной системе организационной модели управления рисками в платежной системе, предусмотренной пунктом 3 части 2 статьи 28 Федерального закона от 27 июня 2011 года N 161-ФЗ.
2.5.3. Оператор платежной системы должен информировать о случаях и причинах приостановления (прекращения) оказания УПИ:
Банк России и участников платежной системы в порядке, установленном Указанием Банка России от 11 июня 2014 года N 3280-У "О порядке информирования оператором платежной системы Банка России, участников платежной системы о случаях и причинах приостановления (прекращения) оказания услуг платежной инфраструктуры", зарегистрированным Министерством юстиции Российской Федерации 20 июня 2014 года N 32821, 27 ноября 2017 года N 49025 (далее - Указание Банка России N 3280-У);
операторов УПИ в порядке, аналогичном установленному Указанием Банка России N 3280-У для участников платежной системы.
2.6. Оператор платежной системы в рамках осуществления контроля за соблюдением правил платежной системы должен проверять соблюдение операторами УПИ и участниками платежной системы порядка обеспечения БФПС с учетом следующих требований.
2.6.1. Оператор платежной системы должен определить в правилах платежной системы порядок проведения контроля за соблюдением операторами УПИ и участниками платежной системы порядка обеспечения БФПС.
2.6.2. Оператор платежной системы должен контролировать соответствие документов операторов УПИ порядку обеспечения БФПС, если такие документы предусмотрены правилами платежной системы, и при выявлении несоответствия документов операторов УПИ порядку обеспечения БФПС должен направлять рекомендации операторам УПИ по устранению выявленных несоответствий.
2.6.3. Оператор платежной системы при выявлении нарушения порядка обеспечения БФПС операторами УПИ и участниками платежной системы должен:
информировать операторов УПИ и участников платежной системы о выявленных в их деятельности нарушениях и устанавливать сроки устранения нарушений;
осуществлять проверку результатов устранения нарушений и информировать операторов УПИ и участников платежной системы, в деятельности которых выявлены нарушения, о результатах проведенной проверки.
2.6.4. Оператор платежной системы должен определять ответственность операторов УПИ и участников платежной системы за неисполнение порядка обеспечения БФПС.
Глава 3. Требования к методикам анализа рисков в платежной системе, включая профили рисков
3.1. Оператор платежной системы в целях управления рисками в платежной системе должен разрабатывать методики анализа рисков в платежной системе, включая риск нарушения БФПС.
3.2. Методики анализа рисков в платежной системе должны обеспечивать:
выявление и анализ рисков в платежной системе, включая выявление событий, реализация которых может привести к возникновению инцидента (далее - риск-события), и определение для каждого из выявленных риск-событий величины риска, характеризуемого вероятностью наступления риск-событий и величиной возможных последствий их реализации (далее - уровень риска);
определение для каждого из выявленных рисков в платежной системе уровня риска, имеющегося до применения способов управления рисками в платежной системе (далее - уровень присущего риска), а также максимального уровня риска, при котором восстановление оказания УПИ, соответствующего требованиям к оказанию услуг, включая восстановление оказания УПИ в случае приостановления их оказания, осуществляется в течение периодов времени, установленных оператором платежной системы, и предполагаемый ущерб от которого оператор платежной системы готов принять без применения способов управления рисками в платежной системе (далее - уровень допустимого риска);
определение рисков в платежной системе, для которых уровень присущего риска выше уровня допустимого риска (далее - значимые для платежной системы риски);
определение уровня каждого из значимых для платежной системы рисков после применения способов управления рисками в платежной системе (далее - уровень остаточного риска).
3.3. Методики анализа рисков в платежной системе должны предусматривать выполнение следующих мероприятий:
формирование и поддержание в актуальном состоянии перечней бизнес-процессов;
разработку и поддержание в актуальном состоянии классификаторов (структурированных перечней) рисков в платежной системе, риск-событий, причин риск-событий;
проведение анализа бизнес-процессов в платежной системе, включая анализ и оценку технологического обеспечения операторов УПИ и других факторов, влияющих на БФПС;
формирование перечня возможных риск-событий для каждого бизнес-процесса с указанием причин риск-событий и их последствий;
определение уровня присущего риска для каждого из выявленных рисков в платежной системе и установление уровня допустимого риска;
сопоставление определенного уровня присущего риска и установленного уровня допустимого риска по каждому из выявленных рисков в платежной системе для выделения значимых для платежной системы рисков;
применение способов управления рисками в платежной системе для каждого из значимых для платежной системы рисков и последующее определение уровня остаточного риска для каждого из значимых для платежной системы рисков;
сопоставление уровней остаточного риска и допустимого риска для каждого из значимых для платежной системы рисков и принятие решения о необходимости применения других способов управления рисками в платежной системе в дополнение к ранее примененным способам;
мониторинг рисков в платежной системе, в том числе уровней остаточных рисков в платежной системе, их соответствия уровню допустимого риска;
составление и пересмотр (актуализацию) по результатам оценки рисков в платежной системе и анализа эффективности мероприятий по восстановлению оказания УПИ, соответствующего требованиям к оказанию услуг, профиля каждого из выявленных рисков в платежной системе, включая профиль риска нарушения БФПС (далее - профили рисков).
3.4. Оператор платежной системы должен составлять профили рисков в соответствии с требованиями, предусмотренными в приложении 2 к настоящему Положению, и пересматривать (актуализировать) их не реже одного раза в год.
В случае возникновения инцидента, приведшего к приостановлению оказания УПИ, который не отражен в профилях рисков как риск-событие, профили рисков должны пересматриваться (актуализироваться) в срок, не превышающий трех месяцев со дня возникновения данного инцидента.
3.5. Оператор платежной системы должен хранить сведения, содержащиеся в профилях рисков, не менее двух лет со дня составления и пересмотра (актуализации) профилей рисков.
Глава 4. Заключительные положения
4.1. Настоящее Положение подлежит официальному опубликованию <1> и в соответствии с решением Совета директоров Банка России (протокол заседания Совета директоров Банка России от 27 сентября 2017 года N 26) вступает в силу по истечении 12 месяцев после дня его официального опубликования.
--------------------------------
<1> Официально опубликовано на сайте Банка России 29.12.2017.
4.2. Со дня вступления в силу настоящего Положения признать утратившими силу:
Положение Банка России от 31 мая 2012 года N 379-П "О бесперебойности функционирования платежных систем и анализе рисков в платежных системах", зарегистрированное Министерством юстиции Российской Федерации 13 июня 2012 года N 24544;
Указание Банка России от 10 июля 2014 года N 3317-У "О внесении изменений в Положение Банка России от 31 мая 2012 года N 379-П "О бесперебойности функционирования платежных систем и анализе рисков в платежных системах", зарегистрированное Министерством юстиции Российской Федерации 11 августа 2014 года N 33532.
Председатель Центрального банка
Российской Федерации
Э.С.НАБИУЛЛИНА
Приложение 1
к Положению Банка России
от 3 октября 2017 года N 607-П
"О требованиях к порядку
обеспечения бесперебойности
функционирования платежной системы,
показателям бесперебойности
функционирования платежной системы
и методикам анализа рисков
в платежной системе, включая
профили рисков"
ТРЕБОВАНИЯ К ОПРЕДЕЛЕНИЮ ПОКАЗАТЕЛЕЙ БФПС
1. Показатель П1 должен рассчитываться по каждому из операторов УПИ и по каждому из инцидентов, повлекших приостановление оказания УПИ, как период времени с момента приостановления оказания УПИ вследствие инцидента, произошедшего у оператора УПИ, и до момента восстановления оказания УПИ.
При возникновении инцидентов, повлекших приостановление оказания УПИ одновременно двумя и более операторами УПИ, показатель П1 должен рассчитываться как период времени с момента приостановления оказания УПИ в результате первого из возникших инцидентов и до момента восстановления оказания УПИ всеми операторами УПИ, у которых возникли инциденты.
Показатель П1 должен рассчитываться в часах/минутах/секундах.
2. Показатель П2 должен рассчитываться по каждому из операторов УПИ при возникновении каждого из инцидентов, повлекших приостановление оказания УПИ, как период времени между двумя последовательно произошедшими у оператора УПИ инцидентами, в результате которых приостанавливалось оказание УПИ, с момента устранения первого инцидента и до момента возникновения следующего.
В платежных системах, в которых оператор УПИ оказывает более одного вида УПИ одновременно, показатель П2 должен рассчитываться одновременно по всем видам УПИ, оказываемым данным оператором УПИ.
Показатель П2 должен рассчитываться в часах/минутах/секундах.
3. Показатель П3 должен рассчитываться по каждому оператору УПИ.
Для операционного центра показатель П3 должен рассчитываться как отношение количества распоряжений участников платежной системы (их клиентов), по которым в течение календарного месяца были оказаны операционные услуги без нарушения регламента выполнения процедур, к общему количеству распоряжений участников платежной системы (их клиентов), по которым были оказаны операционные услуги в течение календарного месяца, рассчитываемое по следующей формуле: