Подготовлена редакция документа с изменениями, не вступившими в силу

Глава 3. Требования к содержанию плана обеспечения непрерывности деятельности бюро кредитных историй, вносимых в него изменений, а также к виду и характеру событий, предусмотренных указанным планом, о наступлении которых бюро кредитных историй обязано информировать Банк России

3.1. В соответствии с частью 2.3 статьи 10 Федерального закона "О кредитных историях" бюро обязано разрабатывать План ОНД.

Разработанный бюро План ОНД должен содержать меры, направленные на обеспечение:

способности бюро осуществлять оказание услуг по формированию, обработке и хранению кредитных историй, а также по предоставлению кредитных отчетов и сопутствующих услуг, функционирования внутренних процессов бюро, приостановление которых влечет нарушение осуществления деятельности бюро, его контрагентов или клиентов, в том числе создает угрозу нарушения прав или неисполнения обязанностей со стороны источников формирования, пользователей, субъектов кредитных историй и иных бюро (далее - критически важные процессы), на приемлемом, заранее заданном бюро уровне, в том числе в условиях возникновения нестандартных и чрезвычайных ситуаций (далее - НЧС);

восстановления деятельности бюро в случае ее нарушения в результате возникновения НЧС.

3.2. При утверждении Плана ОНД (новой редакции Плана ОНД) бюро составляется аналитическая записка, которая является неотъемлемой частью Плана ОНД и должна содержать:

информацию о последнем проведенном бюро на момент утверждения Плана ОНД (новой редакции Плана ОНД) тестировании, указанном в абзаце тринадцатом пункта 3.3 настоящего Положения;

прогнозную оценку вероятных существенных изменений в деятельности бюро в период действия Плана ОНД, способных повлиять на возможность его реализации.

3.3. План ОНД должен содержать:

порядок и сроки осуществления бюро мероприятий по предотвращению, снижению влияния и ликвидации последствий возможного нарушения режима повседневного функционирования бюро, вызванного НЧС;

перечень событий, о наступлении в деятельности бюро которых бюро обязано информировать Банк России в соответствии с частью 2.3 статьи 10 Федерального закона "О кредитных историях" (далее - События). Вид и характер Событий должны быть сопряжены со спецификой и масштабом деятельности бюро, а также масштабом риска приостановления критически важных процессов, возникающего в деятельности бюро в результате НЧС и оцениваемого бюро исходя из возможного ущерба и негативных последствий для бюро, его контрагентов и клиентов вследствие нарушения непрерывности деятельности бюро, с учетом вероятности и времени возникновения указанных нарушений;

процедуры, выполнение которых бюро в режиме повседневного функционирования бюро необходимо для успешной реализации Плана ОНД, в том числе процедуры, направленные на обеспечение непрерывности функционирования программно-технических средств бюро и сетевых коммуникаций (далее - ПТС и сетевые коммуникации);

перечень критически важных процессов и ресурсов бюро (персонал, помещения, ПТС и сетевые коммуникации, данные, внешние поставщики и тому подобное), обеспечивающих непрерывность оказания услуг бюро, а также приоритеты их восстановления;

характеристики показателей надежности ПТС и сетевых коммуникаций, в том числе максимальное значение среднего времени до восстановления ПТС и сетевых коммуникаций, обеспечивающих выполнение критически важных процессов в условиях возникновения НЧС, определяемого в соответствии с пунктом 3.6.3.3 Межгосударственного стандарта ГОСТ 27.002-2015 "Надежность в технике. Термины и определения", введенного в действие приказом Федерального агентства по техническому регулированию и метрологии от 21 июня 2016 года N 654-ст "О введении в действие межгосударственного стандарта" (М., ФГУП "Стандартинформ", 2016) (далее - Межгосударственный стандарт ГОСТ 27.002-2015 "Надежность в технике. Термины и определения"), а также целевое значение коэффициента технического использования ПТС и сетевых коммуникаций, обеспечивающих выполнение критически важных процессов, определяемого в соответствии с пунктом 3.6.6.4 Межгосударственного стандарта ГОСТ 27.002-2015 "Надежность в технике. Термины и определения";

сценарии нарушения непрерывности деятельности бюро, а также восстановления деятельности бюро для каждого из критически важных процессов;

порядок проведения анализа факторов, вызвавших НЧС, и их изменений не реже одного раза в год и в случае необходимости пересмотра (актуализации) их состава;

порядок проведения оценки вероятности возникновения НЧС и определения характера и степени влияния НЧС на непрерывность деятельности бюро;

плановую (целевую) точку восстановления каждого из критически важных процессов в условиях возникновения НЧС (которая не может быть определена реже, чем один раз в сутки);

порядок осуществления бюро критически важных процессов в условиях возникновения НЧС, если они подвергаются изменению под воздействием НЧС;

программу (программы) тестирования Плана ОНД (мероприятий Плана ОНД) с учетом перечня возможных НЧС и перечня возможных сценариев, предусматривающую (предусматривающие) в том числе инструкции для структурных подразделений и работников бюро с описанием действий, необходимых для проведения тестирования Плана ОНД;

порядок тестирования Плана ОНД, проводимого не реже одного раза в год по программе (программам) тестирования Плана ОНД (мероприятий Плана ОНД), предусматривающего моделирование потенциальных НЧС и привлечение сотрудников бюро;

порядок подготовки и представления совету директоров (наблюдательному совету) бюро, а при отсутствии совета директоров (наблюдательного совета) - общему собранию акционеров (участников) бюро не реже одного раза в год отчета о результатах тестирования ПТС и сетевых коммуникаций;

порядок составления и представления совету директоров (наблюдательному совету) бюро, а при отсутствии совета директоров (наблюдательного совета) - общему собранию акционеров (участников) бюро не реже одного раза в год отчета о реализации мер по обеспечению непрерывности деятельности бюро (далее - отчет о реализации мер по ОНД), содержащего результаты расчетов фактических значений показателей коэффициента технического использования и среднего времени до восстановления ПТС и сетевых коммуникаций, указанных в абзаце шестом настоящего пункта, обеспечивающих выполнение критически важных процессов;

порядок принятия решений советом директоров (наблюдательным советом) бюро, а при отсутствии совета директоров (наблюдательного совета) - общим собранием акционеров (участников) бюро о внесении изменений в План ОНД, в том числе по результатам рассмотрения отчетов о результатах тестирования Плана ОНД;

порядок взаимодействия между органами управления и сотрудниками бюро в условиях НЧС, в том числе с учетом взаимозаменяемости сотрудников бюро;

порядок экстренного оповещения и способ связи между органами управления, подразделениями и сотрудниками бюро;

информацию о контактах экстренных оперативных служб (телефонные номера) и внутренние контакты (телефонные номера, адреса электронной почты) лиц, ответственных за выполнение мер по восстановлению функционирования критически важных процессов;

перечень полномочий органов управления, подразделений и сотрудников бюро по реализации мероприятий в рамках Плана ОНД;

сведения о максимально допустимом периоде для возобновления критически важных процессов в случае возникновения НЧС, по истечении которого существует угроза прекращения деятельности бюро;

сведения о минимальном уровне оказания услуг, предоставляемых бюро в условиях НЧС, а также о функционировании критически важных процессов;

порядок информирования бюро клиентов, контрагентов и Банка России о возникновении и возможных последствиях НЧС.

3.4. Для целей оценки возможных расходов (убытков) бюро, а также его контрагентов в Плане ОНД должен быть определен перечень возможных чрезвычайных ситуаций с соблюдением требований Федерального закона от 21 декабря 1994 года N 68-ФЗ "О защите населения и территорий от чрезвычайных ситуаций природного и техногенного характера" (Собрание законодательства Российской Федерации, 1994, N 35, ст. 3648; 2021, N 24, ст. 4188).

3.5. План ОНД должен быть разработан бюро применительно к НЧС, сопоставимым по размерам возможных материальных потерь и негативным последствиям нематериального характера с чрезвычайной ситуацией муниципального характера или, в зависимости от характера, масштабов и условий деятельности бюро, - с чрезвычайной ситуацией межмуниципального, регионального или межрегионального характера в соответствии с классификацией чрезвычайных ситуаций, установленной постановлением Правительства Российской Федерации от 21 мая 2007 года N 304 "О классификации чрезвычайных ситуаций природного и техногенного характера" (Собрание законодательства Российской Федерации, 2007, N 22, ст. 2640; 2019, N 52, ст. 7981).

План ОНД должен предусматривать возможность реализации бюро отдельных частей Плана ОНД в случае НЧС меньшего масштаба, связанных с проявлением (по отдельности или в сочетаниях) таких факторов, как выход из строя технических средств, сбои и отказы в работе ПТС и сетевых коммуникаций, нарушение коммунальной инфраструктуры, перебои в электроснабжении, отказ организаций-контрагентов (в том числе поставщиков услуг бюро) от исполнения своих обязательств.

3.6. План ОНД должен предусматривать мероприятия по осуществлению бюро контроля и поддержанию непрерывности функционирования критически важных процессов, в том числе:

ознакомление с утвержденным Планом ОНД сотрудников, ответственных за его исполнение;

включение в должностные инструкции сотрудников бюро, участвующих в процессе обеспечения непрерывности деятельности бюро, необходимых положений, отражающих их роли и обязанности в рамках исполнения Плана ОНД;

обеспечение регулярного обучения сотрудников бюро, ответственных за обслуживание критически важных процессов, по вопросам обеспечения непрерывности функционирования указанных процессов.

3.7. План ОНД должен предусматривать, что при привлечении бюро к осуществлению критически важных процессов сторонних организаций бюро должно убедиться, что указанные организации принимают меры для обеспечения непрерывности собственной деятельности и (или) что предоставление сторонними организациями сервисов и услуг в случае сбоев и (или) нарушений в их предоставлении может быть восстановлено, или что может быть произведена замена сторонней организации при обеспечении соблюдения требований настоящего Положения.

3.8. В целях обеспечения бесперебойного функционирования ПТС и сетевых коммуникаций Планом ОНД должны быть предусмотрены:

перечень ПТС и сетевых коммуникаций и обрабатываемой информации, используемых для обслуживания критически важных процессов;

необходимость внедрения и настройки ПТС и сетевых коммуникаций с целью их бесперебойного функционирования;

необходимость проведения постоянного мониторинга текущего состояния ПТС и сетевых коммуникаций и применения своевременных мер по устранению выявленных недостатков;

осуществление ежедневного резервного копирования информации и баз данных, обслуживающих критически важные процессы, с периодом, обеспечивающим определенную точку их восстановления, на резервные машинные носители информации для возобновления указанных процессов в случае утраты или повреждения информации или баз данных вследствие возникновения НЧС;

возможность поддержки непрерывной работы ПТС и сетевых коммуникаций и синхронизации баз данных бюро между резервными машинными носителями, а также автоматической синхронизации времени во всех компонентах ПТС и сетевых коммуникаций;

оценка пропускной способности линий связи и коммуникационного оборудования, а также быстродействия ПТС и сетевых коммуникаций, в том числе путем проведения нагрузочного тестирования;

необходимость наличия достаточной пропускной способности линий связи и коммуникационного оборудования, а также достаточного быстродействия ПТС и сетевых коммуникаций и возможность их наращивания для обработки в случае увеличения объемов операций, совершаемых бюро в рамках оказания услуг, в периоды повышенной нагрузки.

3.9. В плане ОНД должна быть отражена обязанность бюро организовать непрерывное и бесперебойное функционирование своих ПТС и сетевых коммуникаций, обеспечивающих выполнение критически важных процессов, с возможностью отключения ПТС и сетевых коммуникаций на время простоя, обусловленного техническим обслуживанием и ремонтом.

3.10. Планом ОНД должна быть предусмотрена необходимость ведения электронных журналов (протоколирования) бюро всех критически важных процессов в соответствии с абзацами шестым - девятым пункта 1.2 настоящего Положения.

3.11. План ОНД должен предусматривать обязанность бюро по обеспечению регулярного контроля выполнения мероприятий Плана ОНД и информирования совета директоров (наблюдательного совета) бюро, а при отсутствии совета директоров (наблюдательного совета) - общего собрания акционеров (участников) бюро о выполнении мероприятий по Плану ОНД, в том числе:

о проведении анализа факторов, вызвавших НЧС, и их изменений;

о проведении оценки вероятности возникновения НЧС и об определении характера и степени влияния НЧС на непрерывность деятельности бюро;

о проведении тестирования Плана ОНД;

о проведении тестирования ПТС и сетевых коммуникаций с учетом выявленных факторов;

о подготовке отчета о результатах тестирования ПТС и сетевых коммуникаций;

о составлении отчета о реализации мер по ОНД.

3.12. План ОНД должен быть утвержден советом директоров (наблюдательным советом) бюро, а при отсутствии совета директоров (наблюдательного совета) - общим собранием акционеров (участников) бюро.

При необходимости внесения изменений в План ОНД он должен быть утвержден в новой редакции.