Порядок и сроки составления отчета по форме 0420523 "Сведения о показателях операционной надежности управляющей компании и применяемых ею информационных технологиях"

Порядок и сроки

составления отчета по форме 0420523 "Сведения о показателях

операционной надежности управляющей компании и применяемых

ею информационных технологиях"

1. Отчет по форме 0420523 "Сведения о показателях операционной надежности управляющей компании и применяемых ею информационных технологиях" (далее - отчет по форме 0420523) составляется управляющими компаниями инвестиционных фондов, паевых инвестиционных фондов и негосударственных пенсионных фондов, указанными в подпункте 1.4.4 пункта 1.4 Положения Банка России от 20 апреля 2021 года N 757-П "Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций" <1> (далее - управляющая компания), посредством формирования предусмотренных в нем показателей с учетом пунктов 14 - 24 приложения 2 к настоящему Указанию.

--------------------------------

<1> Зарегистрировано Минюстом России 15 июня 2021 года, регистрационный N 63880.

Отчет по форме 0420523 составляется управляющей компанией за первый, второй, третий и четвертый кварталы (далее - отчетный период) по состоянию на последний календарный день отчетного периода включительно до квартала, предшествующего кварталу, в котором аннулирована (прекратила действие) лицензия на осуществление деятельности по управлению инвестиционными фондами, паевыми инвестиционными фондами и негосударственными пенсионными фондами (включительно).

В отчете по форме 0420523 за первый, второй и третий кварталы заполняются:

показатель "Продолжительность времени работы (функционирования) технологического процесса" раздела I "Сведения о технологических процессах";

показатель "Суммарное время простоя и (или) деградации технологического процесса" раздела II "Показатели операционной надежности в рамках технологических процессов";

показатели разделов I - VI, за исключением показателей "Продолжительность времени работы (функционирования) технологического процесса" раздела I и "Суммарное время простоя и (или) деградации технологического процесса" раздела II, - в случае изменения значений таких показателей, представленных за период, предшествующий отчетному.

В отчете по форме 0420523 за четвертый квартал показатели заполняются в полном объеме.

2. В разделе I "Сведения о технологических процессах" отражаются сведения по всем технологическим процессам, коды для которых предусмотрены настоящим пунктом. В разделе I указываются следующие сведения о технологических процессах, обеспечивающих осуществление деятельности управляющей компании в сфере финансовых рынков (далее - технологический процесс):

по показателю "Описание технологического процесса" - описание технологического процесса, в рамках которого управляющей компанией осуществляется эксплуатация автоматизированных систем, программного обеспечения, средств вычислительной техники, телекоммуникационного оборудования (далее - объекты информационной инфраструктуры) применяемых управляющей компанией при осуществлении деятельности в сфере финансовых рынков, в случае необходимости его детализации и уточнения;

по показателю "Продолжительность времени работы (функционирования) технологического процесса" - общее планируемое в отчетном периоде управляющей компанией время работы (функционирования) технологического процесса в следующем отчетном периоде с учетом установленного режима работы управляющей компании (времени начала, времени окончания, продолжительности и последовательности процедур в рамках технологического процесса), в том числе выходных и нерабочих праздничных дней, признаваемых таковыми в соответствии со статьями 111 и 112 Трудового кодекса Российской Федерации. В случае если в отчетном периоде технологический процесс не осуществляется управляющей компанией либо не планируется к осуществлению управляющей компанией в следующем отчетном периоде, по показателю "Продолжительность времени работы (функционирования) технологического процесса" указывается значение "0" (ноль).

--------------------------------

<1> Сноска исключена. - Указание Банка России от 18.06.2024 N 6761-У.

По группе аналитических признаков "Код технологического процесса" указывается один из следующих кодов технологического процесса, обеспечивающего деятельность управляющей компании по доверительному управлению инвестиционными фондами, паевыми инвестиционными фондами и негосударственными пенсионными фондами (далее при совместном упоминании - фонды), в рамках которого осуществляется эксплуатация объектов информационной инфраструктуры, применяемой управляющей компанией при осуществлении деятельности в сфере финансовых рынков, в соответствии со значениями аналитических признаков для формирования показателей отчета по форме 0420523 части II настоящего приложения:

"ТПрНФО25" - технологический процесс, обеспечивающий доверительное управление имуществом фондов, в том числе осуществление прав, удостоверенных ценными бумагами, составляющими имущество фондов;

"ТПрНФО26" - технологический процесс, обеспечивающий реализацию прав владельцев инвестиционных паев;

"ТПрНФО27" - технологический процесс, обеспечивающий осуществление учета имущества фондов и контроля за распоряжением им, в том числе процесс взаимодействия со специализированным депозитарием.

Сведения о неосуществляемом управляющей компанией технологическом процессе указываются по показателю "Описание технологического процесса" по соответствующему аналитическому признаку группы аналитических признаков "Код технологического процесса", а по показателю "Продолжительность времени работы (функционирования) технологического процесса" по соответствующему аналитическому признаку группы аналитических признаков "Код технологического процесса" указывается значение "0" (ноль). В разделах II - VI отчета по форме 0420523 при раскрытии информации в разрезе группы аналитических признаков "Код технологического процесса" аналитический признак, указанный в разделе I отчета по форме 0420523 в отношении неосуществляемого управляющей компанией технологического процесса, не используется.

3. В разделе II "Показатели операционной надежности в рамках технологических процессов" указываются следующие сведения о значениях показателей операционной надежности в рамках технологических процессов:

по показателю "Допустимое время простоя и (или) деградации технологического процесса" - предельно допустимое для управляющей компании время простоя и (или) деградации технологического процесса, определенное в соответствии с абзацем третьим пункта 1.3 Положения Банка России от 15 ноября 2021 года N 779-П "Об установлении обязательных для некредитных финансовых организаций требований к операционной надежности при осуществлении видов деятельности, предусмотренных частью первой статьи 76.1 Федерального закона от 10 июля 2002 года N 86-ФЗ "О Центральном банке Российской Федерации (Банке России)", в целях обеспечения непрерывности оказания финансовых услуг (за исключением банковских услуг)" <1> (далее - Положение Банка России N 779-П);

--------------------------------

<1> Зарегистрировано Минюстом России 28 марта 2022 года, регистрационный N 67961.

по показателю "Допустимая доля деградации технологического процесса" - допустимая доля деградации технологического процесса, определенная управляющей компанией в соответствии с абзацем вторым пункта 1.3 Положения Банка России N 779-П;

по показателю "Допустимое суммарное время простоя и (или) деградации технологического процесса" - предельно допустимое для управляющей компании суммарное время простоя и (или) деградации технологического процесса, определенное в соответствии с абзацем четвертым пункта 1.3 Положения Банка России N 779-П;

по показателю "Суммарное время простоя и (или) деградации технологического процесса" - фактическое значение суммарного времени простоя и (или) деградации технологического процесса за последние двенадцать календарных месяцев, предшествующих дате окончания отчетного периода. При отсутствии за указанный период фактов простоя и (или) деградации технологического процесса по показателю "Суммарное время простоя и (или) деградации технологического процесса" указывается значение "0" (ноль).

4. В разделе III "Сведения об объектах информатизации в рамках технологических процессов" указываются сведения об объектах информатизации в понимании, определенном в соответствии с пунктом 3.6 национального стандарта Российской Федерации ГОСТ Р 57580.1-2017 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер", утвержденного приказом Федерального агентства по техническому регулированию и метрологии от 8 августа 2017 года N 882-ст и введенного в действие 1 января 2018 года <1> (далее - ГОСТ Р 57580.1-2017), основных системных уровней информационной инфраструктуры в понимании, определенном в соответствии с подпунктом "а" пункта 6.2 ГОСТ Р 57580.1-2017, применяемые управляющей компанией для взаимодействия в информационно-телекоммуникационной сети "Интернет" (далее - сеть "Интернет") с ее клиентами и контрагентами при осуществлении деятельности в сфере финансовых рынков, в разрезе кодов технологических процессов, предусмотренных в пункте 2 настоящего Порядка, в разрезе наименования объекта информатизации, за исключением сведений, представляемых в разделе V отчета по форме 0420523.

--------------------------------

<1> М., ФГУП "Стандартинформ", 2017.

В разделе III отчета по форме 0420523 указываются:

по показателю "Полное наименование (полное фирменное наименование) или фамилия, имя, отчество (при наличии) оператора связи" - полное наименование (для некоммерческой организации), или полное фирменное наименование (для коммерческой организации), или фамилия, имя, отчество (при наличии) (для индивидуального предпринимателя) оператора связи, с которым управляющей компанией заключен договор об оказании услуги связи в целях взаимодействия в сети "Интернет" с ее клиентами и контрагентами (далее - оператор связи);

по показателю "Идентификационный номер налогоплательщика (ИНН)" - идентификационный номер налогоплательщика (ИНН) для оператора связи - резидента;

по показателю "Идентификационный номер налогоплательщика - иностранной организации (или его аналог) в стране регистрации (Tax Identification Number, TIN)" - идентификационный номер налогоплательщика иностранной организации (или его аналог) в стране регистрации (Tax Identification Number, TIN) (далее - TIN) для оператора связи - нерезидента;

по показателю "IP-адрес или пул IP-адресов в формате протокола IPv4" - маршрутизируемый IP-адрес или пул IP-адресов в формате протокола IPv4 с указанием подсети в формате CIDR <1>, внешних по отношению к объекту информатизации, применяемому управляющей компанией для взаимодействия в сети "Интернет" с ее клиентами и контрагентами;

--------------------------------

<1> Механизм бесклассовой внутренней маршрутизации (Classless Inter-Domian Routing, CIDR).

по показателю "IP-адрес или пул IP-адресов в формате протокола IPv6" - маршрутизируемый IP-адрес или пул IP-адресов в формате протокола IPv6 с указанием префикса, внешних по отношению к объекту информатизации, применяемому управляющей компанией для взаимодействия в сети "Интернет" с ее клиентами и контрагентами;

по показателю "Номер автономной системы" - номер автономной системы, применяемой управляющей компанией для взаимодействия в сети "Интернет" с ее клиентами и контрагентами, если номер присвоен оператором связи, обеспечивающим функционирование автономной системы. В ином случае указанный показатель не заполняется;

по группе аналитических признаков "Идентификатор оператора связи" - идентификатор оператора связи, позволяющий выделить одного оператора связи из других операторов связи, отраженных в разделе III. Значение идентификатора оператора связи формируется управляющей компанией самостоятельно;

по группе аналитических признаков "Код технологического участка" в целях составления отчета по форме 0420523 - один из следующих кодов для идентификации, аутентификации и авторизации своих клиентов в целях осуществления финансовых операций, формирования (подготовки), передаче и приеме электронных сообщений, удостоверения права клиентов распоряжаться денежными средствами, ценными бумагами или иным имуществом, осуществления финансовой операции, учета результатов ее осуществления (при наличии учета), хранения электронных сообщений и информации об осуществленных финансовых операциях (далее при совместном упоминании - технологические участки), в рамках которого применяется объект информатизации при осуществлении деятельности в сфере финансовых рынков, в соответствии со значениями аналитических признаков для формирования показателей отчета по форме 0420523 части II настоящего приложения:

"ИАА" - идентификация, аутентификация и авторизация клиентов в целях осуществления финансовых операций;

"ФПП" - формирование (подготовка), передача и прием электронных сообщений;

"УП" - удостоверение права клиентов распоряжаться денежными средствами, ценными бумагами или иным имуществом;

"ОУ" - осуществление финансовой операции, учет результатов ее осуществления (при наличии учета);

"ХИ" - хранение электронных сообщений и информации об осуществленных финансовых операциях.

По группе аналитических признаков "Наименование объекта информатизации" указывается наименование объекта информатизации.

5. В разделе IV "Электронные адреса веб-сервисов (информационных ресурсов) и номера телефонов" указываются следующие сведения об электронных адресах веб-сервисов (информационных ресурсов) и номерах телефонов, используемых управляющей компанией для взаимодействия с ее клиентами и контрагентами в разрезе доменного имени электронного адреса информационного ресурса и унифицированных идентификаторов информационного ресурса (URI-адрес), применяемых управляющей компанией для взаимодействия в сети "Интернет" с ее клиентами и контрагентами:

по показателю "IP-адрес или пул IP-адресов в формате протокола IPv4" - маршрутизируемый IP-адрес или пул IP-адресов информационного ресурса в формате протокола IPv4 с указанием подсети в формате CIDR, применяемых управляющей компанией для взаимодействия в сети "Интернет" с ее клиентами и контрагентами;

по показателю "IP-адрес или пул IP-адресов в формате протокола IPv6" - маршрутизируемый IP-адрес или пул IP-адресов информационного ресурса в формате протокола IPv6 с указанием префикса, применяемых управляющей компанией для взаимодействия в сети "Интернет" с ее клиентами и контрагентами;

по показателю "Номера телефонов, используемые отчитывающейся организацией для взаимодействия с клиентами" - номер телефона, используемый управляющей компанией для взаимодействия с ее клиентами и контрагентами и размещенный на официальном сайте управляющей компании в сети "Интернет".

При наличии более одного номера телефона управляющей компании номера телефонов указываются через символ ";" (точка с запятой) с отступом (пробелом).

По группе аналитических признаков "Доменное имя электронного адреса информационного ресурса" указывается доменное имя электронного адреса информационного ресурса, применяемого управляющей компанией для взаимодействия в сети "Интернет" с клиентами и контрагентами.

6. В разделе V "Сведения об автоматизированных системах и приложениях" указываются сведения об автоматизированных системах и приложениях, предусмотренных подпунктом "б" пункта 6.2 ГОСТ Р 57580.1-2017, применяемых управляющей компанией при осуществлении деятельности в сфере финансовых рынков (далее - автоматизированные системы и приложения), воздействие на которые или нарушение функционирования которых может привести к событию операционного риска, указанному в абзаце втором пункта 1.3 Положения Банка России N 779-П (далее - событие операционного риска), за исключением сведений, представляемых в разделе VI отчета по форме 0420523.

По показателю "Информация об автоматизированных системах и приложениях" указывается информация обо всех автоматизированных системах и приложениях в разрезе кода технологического процесса, указанного в пункте 2 настоящего Порядка, кода технологического участка, указанного в пункте 4 настоящего Порядка, и идентификатора автоматизированных систем и приложений. Значение идентификатора автоматизированных систем и приложений, позволяющее выделить одни автоматизированные системы и приложения из других автоматизированных систем и приложений, отраженных в разделе V отчета по форме 0420523, формируется управляющей компанией самостоятельно.

7. В разделе VI "Сведения об облачных решениях, предоставляемых поставщиками услуг" указываются сведения о применении управляющей компанией облачных решений, предоставляемых поставщиками услуг, предусмотренными абзацем шестым пункта 1.4 Положения Банка России N 779-П, в рамках технологических процессов, обеспечивающих деятельность в сфере финансовых рынков, воздействие на которые или нарушение функционирования которых может привести к событиям операционного риска.

Информация по показателям раздела VI раскрывается в разрезе кода технологического процесса, указанного в пункте 2 настоящего Порядка, кода технологического участка, указанного в пункте 4 настоящего Порядка, полного наименования (полного фирменного наименования) или фамилии, имени, отчества (при наличии) оператора центра обработки данных, оказывающего услуги управляющей компании (далее - центр обработки данных), и идентификаторов автоматизированных систем и приложений. Значение идентификатора автоматизированных систем и приложений, позволяющее выделить одни автоматизированные системы и приложения из других автоматизированных систем и приложений, отраженных в разделе VI отчета по форме 0420523, формируется управляющей компанией самостоятельно.

В случае если управляющая компания не применяет облачные решения, показатели раздела VI отчета по форме 0420523 не заполняются.

В разделе VI отчета по форме 0420523 указываются:

по показателю "Код функциональности (возможностей), получаемой (получаемых) отчитывающейся организацией в рамках облачных решений, предоставляемых поставщиком услуг" - один из следующих кодов функциональности (возможностей), получаемой (получаемых) управляющей компанией в рамках облачных решений, в соответствии со значениями отдельных показателей для формирования отчета по форме 0420523 части III настоящего приложения:

"ФПр" - функциональность приложений (предоставляет управляющей компании возможность использовать приложения поставщика услуг облачных решений);

"ФИИ" - функциональность информационной инфраструктуры (предоставляет управляющей компании возможность получать и использовать вычислительные ресурсы, ресурсы для хранения данных или сетевые ресурсы);

"ФПл" - функциональность платформы (предоставляет управляющей компании возможность использовать приложения, созданные или приобретенные ею, с использованием одного или нескольких языков программирования и одной или более сред выполнения, поддерживаемых поставщиком услуг облачных решений);

по показателю "Код категории облачных решений, предоставляемых поставщиком услуг" - один из следующих кодов категории облачных решений, предоставляемых поставщиком услуг, в соответствии со значениями отдельных показателей для формирования отчета по форме 0420523 части III настоящего приложения:

"ОИ" - для облачных решений, предоставляемых поставщиком услуг, в которых управляющей компании предоставляются возможности, связанные со взаимодействием в реальном времени и совместной работой;

"Вычисления" - для облачных решений, предоставляемых поставщиком услуг, в которых управляющей компании предоставляются возможности, связанные с получением и использованием вычислительных ресурсов, необходимых для развертывания и выполнения прикладного программного обеспечения;

"ХД" - для облачных решений, предоставляемых поставщиком услуг, в которых управляющей компании предоставляются возможности, связанные с предоставлением и использованием ресурсов для хранения данных;

"ИИИ" - для облачных решений, предоставляемых поставщиком услуг, в которых управляющей компании предоставляются возможности, связанные с функциональностью информационной инфраструктуры);

"Сеть" - для облачных решений, предоставляемых поставщиком услуг, в которых управляющей компании предоставляются возможности, связанные с транспортной связностью, и связанные с ней сетевые возможности;

"Платформа" - для облачных решений, предоставляемых поставщиком услуг, в которых управляющей компании предоставляются возможности, связанные с функциональностью платформы;

"ППО" - для облачных решений, предоставляемых поставщиком услуг, в которых управляющей компании предоставляются возможности, связанные с функциональностью автоматизированных систем и приложений);

"БД" - для облачных решений, предоставляемых поставщиком услуг, в которых управляющей компании предоставляются возможности, связанные с функциональностью базы данных, где установка и обслуживание баз данных выполняются поставщиком услуг облачных решений;

по показателю "Адрес места фактического нахождения центра обработки данных, предоставляющего услуги отчитывающейся организации" - адрес центра обработки данных в пределах места нахождения центра обработки данных, указанный в едином государственном реестре юридических лиц (ЕГРЮЛ), или адрес места фактического нахождения центра обработки данных, определяемый основным местом ведения деятельности центра обработки данных, в случае если он не совпадает с адресом места нахождения, указанным в ЕГРЮЛ;

по показателю "Идентификационный номер налогоплательщика (ИНН)" - идентификационный номер налогоплательщика (ИНН) - резидента, являющегося оператором центра обработки данных;

по показателю "Идентификационный номер налогоплательщика - иностранной организации (или его аналог) в стране регистрации (Tax Identification Number, TIN)" - TIN оператора центра обработки данных, являющегося нерезидентом;

по показателю "Сведения о наличии у центра обработки данных сертификации" - уровень сертификации центра обработки данных на соответствие требованиям, предъявляемым к уровню качества предоставляемых сервисов (SLA) центром обработки данных и требованиям к инфраструктуре центра обработки данных. В случае если центр обработки данных не проходил сертификацию, указывается значение "Отсутствует";

по показателю "Информация о наличии соглашения, определяющего требования, предъявляемые к уровню качества предоставляемых сервисов (SLA), между отчитывающейся организацией и оператором центра обработки данных" в случае наличия соглашения, определяющего требования, предъявляемые к уровню качества предоставляемых сервисов, между управляющей компанией и оператором центра обработки данных (далее - соглашение) - значение "Да". В ином случае указывается значение "Нет";

по показателю "Параметры надежности и отказоустойчивости, согласованные между управляющей компанией и оператором центра обработки данных" в случае наличия соглашения - параметры надежности и отказоустойчивости, предусмотренные соглашением;

по показателю "Информация об автоматизированных системах и приложениях" - сведения об автоматизированных системах и приложениях, применяемых управляющей компанией в рамках облачных решений при осуществлении деятельности в сфере финансовых рынков, учет которых осуществляется в соответствии с абзацем четвертым пункта 1.4 Положения Банка России N 779-П.

По группе аналитических признаков "Полное наименование (полное фирменное наименование) или фамилия, имя, отчество (при наличии) оператора центра обработки данных" указывается полное наименование оператора центра обработки данных (для некоммерческой организации), или полное фирменное наименование оператора центра обработки данных (для коммерческой организации), или фамилия, имя, отчество (при наличии) (для индивидуального предпринимателя) оператора центра обработки данных.