Глава 3. Дополнительные рекомендации в отношении процедур, документов и органов управления

3.1. Финансовой организации рекомендуется установить плановое (целевое) время возобновления деятельности и восстановления критически важных процессов (RTO) на основе максимально приемлемого периода нарушения деятельности организации. Для отдельных видов услуг рекомендуется учитывать плановое (целевое) время восстановления процессов, указанное в Приложении 3 к настоящим методическим рекомендациям.

3.2. Финансовой организации рекомендуется иметь утвержденный советом директоров (наблюдательным советом), а в случае его отсутствия единоличным исполнительным органом (далее - уполномоченный орган управления) финансовой организации план обеспечения непрерывности деятельности и (или) восстановления деятельности финансовой организации в случае возникновения чрезвычайных ситуаций (далее - План непрерывности деятельности).

Финансовым организациям рекомендуется разработать План непрерывности в форме отдельного документа. При этом в случае осуществления нескольких видов деятельности финансовая организация может разработать как единый План непрерывности деятельности, так и несколько скоординированных Планов непрерывности деятельности для каждого отдельного вида деятельности финансовой организации.

Финансовой организации, являющейся клиринговой организацией, рекомендуется дополнить правила управления рисками положениями, основанными на настоящих методических рекомендациях, в том числе касающихся Плана непрерывности деятельности.

3.3. Финансовой организации в случае возникновения чрезвычайной ситуации рекомендуется следовать утвержденному Плану непрерывности деятельности.

3.4. В План непрерывности деятельности финансовой организации рекомендуется включить:

цели, приоритеты и задачи, решаемые в рамках Плана непрерывности деятельности;

порядок, способы, требуемые ресурсы и сроки осуществления мероприятий по предотвращению, снижению влияния и ликвидации последствий возможного нарушения режима повседневного функционирования финансовой организации, вызванного чрезвычайными ситуациями;

перечень факторов и порядок активации Плана непрерывности деятельности при воздействии каждого из факторов;

процедуры, выполнение которых в режиме повседневного функционирования финансовой организации необходимо для успешной реализации Плана непрерывности деятельности (в том числе процедуры, направленные на обеспечение безопасности информационных систем);

сценарии нарушения непрерывности деятельности, а также восстановления деятельности и критически важных процессов;

перечень критически важных процессов, а также приоритеты их восстановления;

плановое (целевое) время восстановления каждого из критически важных процессов;

порядок осуществления критически важных процессов в условиях чрезвычайных ситуаций, если они подвергаются изменению под воздействием чрезвычайных ситуаций;

порядок взаимодействия между органами управления и сотрудниками финансовой организации в условиях чрезвычайных ситуаций, в том числе с учетом взаимозаменяемости сотрудников финансовой организации;

порядок экстренного оповещения и способ связи между органами управления, подразделениями и сотрудниками финансовой организации;

информацию о контактах экстренных оперативных служб (телефонные номера) и внутренние контакты (телефонные номера, адреса электронной почты) лиц, ответственных за выполнение мер по восстановлению нормального функционирования критически важных процессов;

порядок информирования клиентов и контрагентов финансовой организации, а также Банка России о возникновении и возможных последствиях чрезвычайных ситуаций;

полномочия органов управления, подразделений и сотрудников финансовой организации по реализации мероприятий в рамках Плана непрерывности деятельности.

3.5. Финансовой организации рекомендуется:

не реже одного раза в два года проводить пересмотр (актуализацию) Плана непрерывности деятельности;

ознакомить с утвержденным (актуализированным) Планом непрерывности деятельности сотрудников, ответственных за его исполнение;

включать в должностные инструкции сотрудников организации, участвующих в процессе обеспечения непрерывности деятельности, необходимые положения, отражающие их роли и обязанности в рамках исполнения Плана непрерывности деятельности.

3.6. В части обеспечения непрерывности функционирования информационных систем финансовой организации также рекомендуется:

осуществлять ежедневное резервное копирование информации и баз данных, обслуживающих критически важные процессы, на резервные машинные носители информации для возобновления указанных процессов в случае утраты или повреждения информации или баз данных вследствие возникновения чрезвычайных ситуаций;

обеспечить фиксацию и регистрацию изменений в факторах, вызвавших чрезвычайную ситуацию, а также действий по устранению последствий ее наступления;

обеспечить регулярное обучение сотрудников финансовой организации, ответственных за обслуживание критически важных процессов, по вопросам обеспечения безопасности и непрерывности функционирования указанных процессов;

обеспечить управление доступом к информационным системам, обслуживающим критически важные процессы, в том числе управление правами и привилегиями пользователей информационных систем, разграничение доступа к указанным системам на основе совокупности установленных в них правил разграничения доступа, а также контроль соблюдения этих правил.

3.7. Финансовой организации во внутренних документах рекомендуется предусмотреть составление и представление определенному в указанных документах уполномоченному органу управления не реже одного раза в год отчета о непрерывности деятельности финансовой организации.

Финансовой организации рекомендуется учитывать указанный отчет при принятии управленческих решений, включая стратегическое развитие финансовой организации.