Подготовлена редакция документа с изменениями, не вступившими в силу

Порядок и сроки составления отчета по форме 0420523 "Сведения о показателях операционной надежности управляющей компании и применяемых ею информационных технологиях"

Порядок и сроки

составления отчета по форме 0420523 "Сведения о показателях

операционной надежности управляющей компании и применяемых

ею информационных технологиях"

1. Отчет по форме 0420523 "Сведения о показателях операционной надежности управляющей компании и применяемых ею информационных технологиях" (далее - отчет по форме 0420523) составляется управляющими компаниями инвестиционных фондов, паевых инвестиционных фондов и негосударственных пенсионных фондов, указанными в подпункте 1.4.4 пункта 1.4 Положения Банка России от 20 апреля 2021 года N 757-П "Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций" <1> (далее - управляющая компания), посредством формирования предусмотренных в нем показателей с учетом пунктов 14 - 24 приложения 2 к настоящему Указанию.

--------------------------------

<1> Зарегистрировано Минюстом России 15 июня 2021 года, регистрационный N 63880.

Отчет по форме 0420523 составляется управляющей компанией за первый квартал, первое полугодие, 9 месяцев, год (далее - отчетный период) по состоянию на последний календарный день отчетного периода включительно до квартала, предшествующего кварталу, в котором аннулирована (прекратила действие) лицензия на осуществление деятельности по управлению инвестиционными фондами, паевыми инвестиционными фондами и негосударственными пенсионными фондами (включительно).

В отчете по форме 0420523 за первый квартал, первое полугодие, 9 месяцев, заполняются:

показатель "Продолжительность времени работы (функционирования) технологического процесса" раздела I "Сведения о технологических процессах";

показатель "Суммарное время простоя и (или) деградации технологического процесса" раздела II "Показатели операционной надежности в рамках технологических процессов";

показатели разделов I - VI, за исключением показателей "Продолжительность времени работы (функционирования) технологического процесса" раздела I и "Суммарное время простоя и (или) деградации технологического процесса" раздела II, - в случае изменения значений таких показателей, представленных за период, предшествующий отчетному.

В отчете по форме 0420523 за отчетный год показатели заполняются в полном объеме.

2. В разделе I "Сведения о технологических процессах" указываются следующие сведения о технологических процессах, обеспечивающих осуществление деятельности управляющей компании в сфере финансовых рынков (далее - технологический процесс):

по показателю "Описание технологического процесса" - описание технологического процесса, в рамках которого управляющей компанией осуществляется эксплуатация автоматизированных систем, программного обеспечения, средств вычислительной техники, телекоммуникационного оборудования (далее - объекты информационной инфраструктуры) применяемых управляющей компанией при осуществлении деятельности в сфере финансовых рынков, в случае необходимости его детализации и уточнения;

по показателю "Продолжительность времени работы (функционирования) технологического процесса" - общее планируемое управляющей компанией количество часов работы (функционирования) технологического процесса в следующем отчетном периоде с учетом установленного режима работы (времени начала, времени окончания, продолжительности и последовательности процедур в рамках технологического процесса), в том числе выходных и нерабочих праздничных дней, признаваемых таковыми в соответствии со статьями 111 и 112 Трудового кодекса Российской Федерации <1>.

--------------------------------

<1> Собрание законодательства Российской Федерации, 2002, N 1, ст. 3; 2006, N 27, ст. 2878; 2012, N 18, ст. 2127.

По группе аналитических признаков "Код технологического процесса" указывается один из следующих кодов технологического процесса, обеспечивающего деятельность управляющей компании по доверительному управлению инвестиционными фондами, паевыми инвестиционными фондами и негосударственными пенсионными фондами (далее при совместном упоминании - фонды), в рамках которого осуществляется эксплуатация объектов информационной инфраструктуры, применяемой управляющей компанией при осуществлении деятельности в сфере финансовых рынков, в соответствии со значениями аналитических признаков для формирования показателей отчета по форме 0420523 части II настоящего приложения:

"ТПрНФО25" - технологический процесс, обеспечивающий доверительное управление имуществом фондов, в том числе осуществление прав, удостоверенных ценными бумагами, составляющими имущество фондов;

"ТПрНФО26" - технологический процесс, обеспечивающий реализацию прав владельцев инвестиционных паев;

"ТПрНФО27" - технологический процесс, обеспечивающий осуществление учета имущества фондов и контроля за распоряжением им, в том числе процесс взаимодействия со специализированным депозитарием.

3. В разделе II "Показатели операционной надежности в рамках технологических процессов" указываются следующие сведения о значениях показателей операционной надежности в рамках технологических процессов:

по показателю "Допустимое время простоя и (или) деградации технологического процесса" - предельно допустимое для управляющей компании время простоя и (или) деградации технологического процесса, определенное в соответствии с абзацем третьим пункта 1.3 Положения Банка России от 15 ноября 2021 года N 779-П "Об установлении обязательных для некредитных финансовых организаций требований к операционной надежности при осуществлении видов деятельности, предусмотренных частью первой статьи 76.1 Федерального закона от 10 июля 2002 года N 86-ФЗ "О Центральном банке Российской Федерации (Банке России)", в целях обеспечения непрерывности оказания финансовых услуг (за исключением банковских услуг)" <1> (далее - Положение Банка России N 779-П);

--------------------------------

<1> Зарегистрировано Минюстом России 28 марта 2022 года, регистрационный N 67961.

по показателю "Допустимая доля деградации технологического процесса" - допустимая доля деградации технологического процесса, определенная управляющей компанией в соответствии с абзацем вторым пункта 1.3 Положения Банка России N 779-П;

по показателю "Допустимое суммарное время простоя и (или) деградации технологического процесса" - предельно допустимое для управляющей компании суммарное время простоя и (или) деградации технологического процесса, определенное в соответствии с абзацем четвертым пункта 1.3 Положения Банка России N 779-П;

по показателю "Суммарное время простоя и (или) деградации технологического процесса" - фактическое значение суммарного времени простоя и (или) деградации технологического процесса за последние двенадцать календарных месяцев.

4. В разделе III "Сведения об объектах информатизации в рамках технологических процессов" указываются сведения об объектах информатизации в понимании, определенном в соответствии с пунктом 3.6 национального стандарта Российской Федерации ГОСТ Р 57580.1-2017 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер", утвержденного приказом Федерального агентства по техническому регулированию и метрологии от 8 августа 2017 года N 882-ст и введенного в действие 1 января 2018 года <1> (далее - ГОСТ Р 57580.1-2017), основных системных уровней информационной инфраструктуры в понимании, определенном в соответствии с подпунктом "а" пункта 6.2 ГОСТ Р 57580.1-2017, применяемые управляющей компанией для взаимодействия в информационно-телекоммуникационной сети "Интернет" (далее - сеть "Интернет") с ее клиентами и контрагентами при осуществлении деятельности в сфере финансовых рынков, в разрезе кодов технологических процессов, предусмотренных в пункте 2 настоящего Порядка, в разрезе наименования объекта информатизации, за исключением сведений, представляемых в разделе V отчета по форме 0420523.

--------------------------------

<1> М., ФГУП "Стандартинформ", 2017.

В разделе III отчета по форме 0420523 указываются:

по показателю "Полное фирменное наименование или фамилия, имя, отчество (последнее - при наличии) оператора связи" - полное фирменное наименование оператора связи (для юридического лица), фамилия, имя, отчество (последнее - при наличии) оператора связи (для индивидуального предпринимателя), с которым управляющей компанией заключен договор об оказании услуги связи в целях взаимодействия в сети "Интернет" с ее клиентами и контрагентами (далее - оператор связи);

по показателю "Идентификационный номер налогоплательщика (ИНН)" - идентификационный номер налогоплательщика (ИНН) для оператора связи - резидента;

по показателю "Идентификационный номер налогоплательщика - иностранной организации (или его аналог) в стране регистрации (Tax Identification Number, TIN)" - идентификационный номер налогоплательщика иностранной организации (или его аналог) в стране регистрации (Tax Identification Number, TIN) (далее - TIN) для оператора связи - нерезидента;

по показателю "IP-адрес или пул IP-адресов в формате протокола IPv4" - маршрутизируемый IP-адрес или пул IP-адресов в формате протокола IPv4 с указанием подсети в формате CIDR <1>, внешних по отношению к объекту информатизации, применяемому управляющей компанией для взаимодействия в сети "Интернет" с ее клиентами и контрагентами;

--------------------------------

<1> Механизм бесклассовой внутренней маршрутизации (Classless Inter-Domian Routing, CIDR).

по показателю "IP-адрес или пул IP-адресов в формате протокола IPv6" - маршрутизируемый IP-адрес или пул IP-адресов в формате протокола IPv6 с указанием префикса, внешних по отношению к объекту информатизации, применяемому управляющей компанией для взаимодействия в сети "Интернет" с ее клиентами и контрагентами;

по показателю "Номер автономной системы" - номер автономной системы, применяемой управляющей компанией для взаимодействия в сети "Интернет" с ее клиентами и контрагентами, если номер присвоен оператором связи, обеспечивающим функционирование автономной системы. В ином случае указанный показатель не заполняется;

по группе аналитических признаков "Идентификатор оператора связи" - идентификатор оператора связи, позволяющий выделить одного оператора связи из других операторов связи, отраженных в разделе III. Значение идентификатора оператора связи формируется управляющей компанией самостоятельно;

по группе аналитических признаков "Код технологического участка" в целях составления отчета по форме 0420523 - один из следующих кодов для идентификации, аутентификации и авторизации своих клиентов в целях осуществления финансовых операций, формирования (подготовки), передаче и приеме электронных сообщений, удостоверения права клиентов распоряжаться денежными средствами, ценными бумагами или иным имуществом, осуществления финансовой операции, учета результатов ее осуществления (при наличии учета), хранения электронных сообщений и информации об осуществленных финансовых операциях (далее при совместном упоминании - технологические участки), в рамках которого применяется объект информатизации при осуществлении деятельности в сфере финансовых рынков, в соответствии со значениями аналитических признаков для формирования показателей отчета по форме 0420523 части II настоящего приложения:

"ИАА" - идентификация, аутентификация и авторизация клиентов в целях осуществления финансовых операций;

"ФПП" - формирование (подготовка), передача и прием электронных сообщений;

"УП" - удостоверение права клиентов распоряжаться денежными средствами, ценными бумагами или иным имуществом;

"ОУ" - осуществление финансовой операции, учет результатов ее осуществления (при наличии учета);

"ХИ" - хранение электронных сообщений и информации об осуществленных финансовых операциях.

По группе аналитических признаков "Наименование объекта информатизации" указывается наименование объекта информатизации.

5. В разделе IV "Электронные адреса веб-сервисов (информационных ресурсов) и номера телефонов" указываются следующие сведения об электронных адресах веб-сервисов (информационных ресурсов) и номерах телефонов, используемых управляющей компанией для взаимодействия с ее клиентами и контрагентами в разрезе доменного имени электронного адреса информационного ресурса и унифицированных идентификаторов информационного ресурса (URI-адрес), применяемых управляющей компанией для взаимодействия в сети "Интернет" с ее клиентами и контрагентами:

по показателю "IP-адрес или пул IP-адресов в формате протокола IPv4" - маршрутизируемый IP-адрес или пул IP-адресов информационного ресурса в формате протокола IPv4 с указанием подсети в формате CIDR, применяемых управляющей компанией для взаимодействия в сети "Интернет" с ее клиентами и контрагентами;

по показателю "IP-адрес или пул IP-адресов в формате протокола IPv6" - маршрутизируемый IP-адрес или пул IP-адресов информационного ресурса в формате протокола IPv6 с указанием префикса, применяемых управляющей компанией для взаимодействия в сети "Интернет" с ее клиентами и контрагентами;

по показателю "Номера телефонов, используемые отчитывающейся организацией для взаимодействия с клиентами" - номер телефона, используемый управляющей компанией для взаимодействия с ее клиентами и контрагентами и размещенный на официальном сайте управляющей компании в сети "Интернет".

При наличии более одного номера телефона управляющей компании номера телефонов указываются через символ ";" (точка с запятой) с отступом (пробелом).

По группе аналитических признаков "Доменное имя электронного адреса информационного ресурса" указывается доменное имя электронного адреса информационного ресурса, применяемого управляющей компанией для взаимодействия в сети "Интернет" с клиентами и контрагентами.

6. В разделе V "Сведения об автоматизированных системах и приложениях" указываются сведения об автоматизированных системах и приложениях, предусмотренных подпунктом "б" пункта 6.2 ГОСТ Р 57580.1-2017, применяемых управляющей компанией при осуществлении деятельности в сфере финансовых рынков (далее - автоматизированные системы и приложения), воздействие на которые или нарушение функционирования которых может привести к событию операционного риска, указанному в абзаце втором пункта 1.3 Положения Банка России N 779-П (далее - событие операционного риска), за исключением сведений, представляемых в разделе VI отчета по форме 0420523.

По показателю "Информация об автоматизированных системах и приложениях" указывается информация обо всех автоматизированных системах и приложениях в разрезе кода технологического процесса, указанного в пункте 2 настоящего Порядка, и кода технологического участка, указанного в пункте 4 настоящего Порядка.

7. В разделе VI "Сведения об облачных решениях, предоставляемых поставщиками услуг" указываются сведения о применении управляющей компанией облачных решений, предоставляемых поставщиками услуг, предусмотренными абзацем шестым пункта 1.4 Положения Банка России N 779-П, в рамках технологических процессов, обеспечивающих деятельность в сфере финансовых рынков, воздействие на которые или нарушение функционирования которых может привести к событиям операционного риска.

Информация по показателям раздела VI раскрывается в разрезе кода технологического процесса, указанного в пункте 2 настоящего Порядка, кода технологического участка, указанного в пункте 4 настоящего Порядка и полного фирменного наименования оператора центра обработки данных, оказывающего услуги управляющей компании (далее - центр обработки данных), в соответствии с его данными по месту регистрации.

В случае если управляющая компания не применяет облачные решения, показатели раздела VI отчета по форме 0420523 не заполняются.

В разделе VI отчета по форме 0420523 указываются:

по показателю "Код функциональности (возможностей), получаемой (получаемых) отчитывающейся организацией в рамках облачных решений, предоставляемых поставщиком услуг" - один из следующих кодов функциональности (возможностей), получаемой (получаемых) управляющей компанией в рамках облачных решений, в соответствии со значениями отдельных показателей для формирования отчета по форме 0420523 части III настоящего приложения:

"ФПр" - функциональность приложений (предоставляет управляющей компании возможность использовать приложения поставщика услуг облачных решений);

"ФИИ" - функциональность информационной инфраструктуры (предоставляет управляющей компании возможность получать и использовать вычислительные ресурсы, ресурсы для хранения данных или сетевые ресурсы);

"ФПл" - функциональность платформы (предоставляет управляющей компании возможность использовать приложения, созданные или приобретенные ею, с использованием одного или нескольких языков программирования и одной или более сред выполнения, поддерживаемых поставщиком услуг облачных решений);

по показателю "Код категории облачных решений, предоставляемых поставщиком услуг" - один из следующих кодов категории облачных решений, предоставляемых поставщиком услуг, в соответствии со значениями отдельных показателей для формирования отчета по форме 0420523 части III настоящего приложения:

"ОИ" - для облачных решений, предоставляемых поставщиком услуг, в которых управляющей компании предоставляются возможности, связанные со взаимодействием в реальном времени и совместной работой;

"Вычисления" - для облачных решений, предоставляемых поставщиком услуг, в которых управляющей компании предоставляются возможности, связанные с получением и использованием вычислительных ресурсов, необходимых для развертывания и выполнения прикладного программного обеспечения;

"ХД" - для облачных решений, предоставляемых поставщиком услуг, в которых управляющей компании предоставляются возможности, связанные с предоставлением и использованием ресурсов для хранения данных;

"ИИИ" - для облачных решений, предоставляемых поставщиком услуг, в которых управляющей компании предоставляются возможности, связанные с функциональностью информационной инфраструктуры);

"Сеть" - для облачных решений, предоставляемых поставщиком услуг, в которых управляющей компании предоставляются возможности, связанные с транспортной связностью, и связанные с ней сетевые возможности;

"Платформа" - для облачных решений, предоставляемых поставщиком услуг, в которых управляющей компании предоставляются возможности, связанные с функциональностью платформы;

"ППО" - для облачных решений, предоставляемых поставщиком услуг, в которых управляющей компании предоставляются возможности, связанные с функциональностью автоматизированных систем и приложений);

"БД" - для облачных решений, предоставляемых поставщиком услуг, в которых управляющей компании предоставляются возможности, связанные с функциональностью базы данных, где установка и обслуживание баз данных выполняются поставщиком услуг облачных решений;

по показателю "Адрес места фактического нахождения центра обработки данных, предоставляющего услуги отчитывающейся организации" - адрес центра обработки данных в пределах места нахождения центра обработки данных, указанный в едином государственном реестре юридических лиц (ЕГРЮЛ), или адрес места фактического нахождения центра обработки данных, определяемый основным местом ведения деятельности центра обработки данных, в случае если он не совпадает с адресом места нахождения, указанным в ЕГРЮЛ;

по показателю "Идентификационный номер налогоплательщика (ИНН)" - идентификационный номер налогоплательщика (ИНН) - резидента, являющегося оператором центра обработки данных;

по показателю "Идентификационный номер налогоплательщика - иностранной организации (или его аналог) в стране регистрации (Tax Identification Number, TIN)" - TIN оператора центра обработки данных, являющегося нерезидентом;

по показателю "Сведения о наличии у центра обработки данных сертификации" - уровень сертификации центра обработки данных на соответствие требованиям, предъявляемым к уровню качества предоставляемых сервисов (SLA) центром обработки данных и требованиям к инфраструктуре центра обработки данных. В случае если центр обработки данных не проходил сертификацию, указывается значение "Отсутствует";

по показателю "Информация о наличии соглашения, определяющего требования, предъявляемые к уровню качества предоставляемых сервисов (SLA), между отчитывающейся организацией и оператором центра обработки данных" в случае наличия соглашения, определяющего требования, предъявляемые к уровню качества предоставляемых сервисов, между управляющей компанией и оператором центра обработки данных (далее - соглашение) - значение "Да". В ином случае указывается значение "Нет";

по показателю "Параметры надежности и отказоустойчивости, согласованные между управляющей компанией и оператором центра обработки данных" в случае наличия соглашения - параметры надежности и отказоустойчивости, предусмотренные соглашением;

по показателю "Информация об автоматизированных системах и приложениях" - сведения об автоматизированных системах и приложениях, применяемых управляющей компанией в рамках облачных решений при осуществлении деятельности в сфере финансовых рынков, учет которых осуществляется в соответствии с абзацем четвертым пункта 1.4 Положения Банка России N 779-П.