Глава 3. Требования к процессам и мероприятиям, осуществляемым организатором торговли в рамках управления отдельными видами рисков организатора торговли

3.1. Организатор торговли в рамках управления операционным риском организатора торговли помимо процессов и мероприятий, предусмотренных главой 2 настоящего Указания, должен обеспечить осуществление следующих мероприятий:

3.1.1. Распределение ответственности и полномочий между советом директоров (наблюдательным советом), коллегиальным исполнительным органом и структурными подразделениями организатора торговли, а также принятие мер, направленных на предотвращение случаев дублирования (частичного дублирования) их полномочий.

3.1.2. Определение перечня программно-технических средств, ошибки в функционировании которых влекут за собой нарушение критически важных процессов (далее - критически важные программно-технические средства), включая программно-технические средства, с помощью которых обеспечивается проведение организованных торгов (далее - средства проведения торгов), и не реже одного раза в год проведение анализа необходимости пересмотра перечня критически важных программно-технических средств.

3.1.3. Определение перечня и реализация мер по защите информации, осуществляемых в рамках направлений, указанных в подпункте 4.1.1 пункта 4.1 Положения Банка России от 17 октября 2014 года N 437-П "О деятельности по проведению организованных торгов", зарегистрированного Министерством юстиции Российской Федерации 30 декабря 2014 года N 35494, 16 февраля 2018 года N 50066 (далее - Положение о деятельности по проведению организованных торгов).

3.1.4. Осуществление идентификации угроз, которые по оценке организатора торговли могут привести к неработоспособности критически важных программно-технических средств, а также постоянного мониторинга текущего состояния критически важных программно-технических средств, в том числе на предмет необходимости их обновления.

3.1.5. Осуществление контроля прав доступа работников организатора торговли к программно-техническим средствам организатора торговли.

3.1.6. Определение перечня и реализация мер, направленных на обеспечение предоставления организатору торговли участниками торгов и их клиентами, а также иными контрагентами организатора торговли информации о событиях операционного риска участников торгов и их клиентов, связанных с их участием в организованных торгах.

3.1.7. Осуществление мониторинга использования участниками торгов средств проведения торгов.

3.1.8. Определение перечня требований к программно-техническим средствам, используемым участниками торгов и их клиентами при подключении к средствам проведения торгов.

3.1.9. Проведение испытательных работ в отношении критически важных программно-технических средств при их введении в эксплуатацию, в том числе при их обновлении, с учетом возможного изменения объемов проводимых операций, а также подготовка отчета по итогам проведенных испытательных работ и устранение недостатков, выявленных в работе критически важных программно-технических средств, по итогам проведенных испытательных работ.

3.1.10. Ведение базы данных о событиях операционного риска организатора торговли (далее - база событий) по следующим видам событий операционного риска организатора торговли:

событие, влекущее за собой приостановление осуществления критически важных процессов, а также иные события операционного риска, соответствующие критериям существенности события операционного риска, установленным решением организатора торговли (далее - существенные события операционного риска);

событие, не относящееся к существенным событиям операционного риска, но оказывающее негативное влияние на осуществление критически важных процессов, а также иные события операционного риска, соответствующие критериям значимости события операционного риска, установленным решением организатора торговли (далее - значимые события операционного риска);

событие, не являющееся существенным событием операционного риска или значимым событием операционного риска.

3.1.11. Ведение базы событий по следующим источникам возникновения события операционного риска:

несовершенство внутренних бизнес-процессов организатора торговли;

действия (бездействие) работников организатора торговли;

ошибки в функционировании программно-технических средств организатора торговли;

внешние события и (или) действия или бездействие третьих лиц.

3.1.12. Ведение базы событий, содержащей следующую информацию:

фамилия, имя, отчество (при наличии), должность работника организатора торговли, внесшего запись о событии операционного риска в базу событий;

уникальный идентификационный номер события операционного риска, а также события операционного риска, связанного с выявленным событием операционного риска (в случае если данная связь установлена);

дата и время регистрации события операционного риска в базе событий (дата и время регистрации);

дата, когда произошло (началось) событие операционного риска (дата реализации);

дата (и время в случае, если характер события операционного риска это предусматривает), когда организатору торговли стало известно о событии операционного риска (дата выявления);

структурное подразделение организатора торговли, в котором произошло событие операционного риска (при наличии), а также структурное подразделение организатора торговли, выявившее событие операционного риска (при наличии);

описание события операционного риска, а также его связи с другими видами рисков организатора торговли (при наличии);

указание на то, что событие операционного риска является событием операционного риска, связанным с нарушением операционной надежности, регистрируемым в соответствии с пунктом 1.14 Положения Банка России от 15 ноября 2021 года N 779-П "Об установлении обязательных для некредитных финансовых организаций требований к операционной надежности при осуществлении видов деятельности, предусмотренных частью первой статьи 76.1 Федерального закона от 10 июля 2002 года N 86-ФЗ "О Центральном банке Российской Федерации (Банке России)", в целях обеспечения непрерывности оказания финансовых услуг (за исключением банковских услуг)" (зарегистрировано Минюстом России 28 марта 2022 года, регистрационный N 67961) (при наличии);

указание на то, что событие операционного риска является инцидентом защиты информации, регистрируемым в соответствии с пунктом 1.14 Положения Банка России от 20 апреля 2021 года N 757-П "Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций" (зарегистрировано Минюстом России 15 июня 2021 года, регистрационный N 63880) (при наличии);

влияние события операционного риска на критически важные процессы (в случае если выявленное событие операционного риска влияет на критически важные процессы);

указание на критически важные программно-технические средства, которые подверглись негативному воздействию события операционного риска или послужили причиной возникновения события операционного риска (в случае если критически важные программно-технические средства подверглись указанному негативному воздействию события операционного риска или послужили причиной возникновения события операционного риска);

меры, направленные на устранение последствий реализации события операционного риска, а также на недопущение повторной реализации события операционного риска, которые были приняты в связи с выявлением события операционного риска;

убытки вследствие реализации события операционного риска (при наличии).

3.1.13. Осуществление мероприятий по замене или улучшению (обновлению) программно-технических средств организатора торговли в случае выявления их несоответствия характеру и объему совершаемых организатором торговли операций.

3.1.14. Обучение работников организатора торговли по вопросам управления операционным риском организатора торговли.

3.1.15. Проведение оценки осуществляемой деятельности в целях выявления операционного риска, при которой должны осуществляться:

выявление и оценка структурными подразделениями организатора торговли операционного риска, возникающего в деятельности структурного подразделения и (или) в деятельности организатора торговли, путем определения вероятности реализации и негативного влияния от реализации операционного риска, а также подготовка отчета по итогам проведенной оценки;

моделирование сценариев реализации операционного риска, включающее в себя оценку источников возникновения событий операционного риска и их негативного влияния на деятельность организатора торговли вследствие реализации указанных сценариев, а также подготовка отчета по итогам проведенного моделирования.

3.1.16. Определение и ежеквартальный анализ в целях определения необходимости актуализации контрольных показателей операционного риска, позволяющих отслеживать их изменения (далее - контрольные показатели операционного риска), а также количественных показателей, направленных на измерение и контроль операционного риска в определенный момент времени (далее - ключевые индикаторы операционного риска).

3.1.17. Утверждение определенным организатором торговли органом управления значений контрольных показателей операционного риска и ключевых индикаторов операционного риска на плановый годовой период в разрезе процессов организатора торговли, при достижении которых:

проводится реализация мер, направленных на устранение превышения фактического значения показателя над данным значением;

информация доводится до совета директоров (наблюдательного совета) организатора торговли и коллегиального исполнительного органа организатора торговли.

3.2. Организатор торговли в рамках управления операционным риском организатора торговли должен разработать систему мер, направленных на обеспечение условий для бесперебойного функционирования программно-технических средств организатора торговли, а также для восстановления осуществляемой организатором торговли деятельности в случае реализации событий операционного риска организатора торговли, включающую в себя следующие мероприятия:

3.2.1. Определение перечня критически важных процессов организатора торговли, а также процессов участников торгов и (или) контрагентов организатора торговли, приостановление или прекращение которых влечет за собой нарушение порядка осуществления организатором торговли деятельности по организации торгов, в том числе приостановление или прекращение организованных торгов, как в отношении отдельного финансового инструмента, иностранной валюты, товара, так и в отношении всех указанных инструментов.

3.2.2. Выявление чрезвычайных ситуаций и проведение анализа обстоятельств возникновения чрезвычайных ситуаций.

3.2.3. Обеспечение контроля за бесперебойным функционированием средств проведения торгов, в том числе посредством обеспечения контроля за недопущением превышения объема поступающих заявок участников торгов и частоты их поступления, в результате которого произойдет приостановление или прекращение оказания услуг по проведению организованных торгов в полном или неполном объеме.

3.2.4. Определение перечня потенциальных чрезвычайных ситуаций исходя из оценки организатором торговли возможных расходов (убытков) организатора торговли, участников торгов и их клиентов, а также иных его контрагентов вследствие нарушения непрерывности осуществления деятельности организатора торговли, вероятности и времени возможного возникновения такого нарушения, а также характера и объема совершаемых организатором торговли операций.

3.2.5. Распределение ответственности и полномочий между структурными подразделениями организатора торговли и их работниками в случае возникновения существенных событий операционного риска.

3.2.6. Разработка и утверждение документа, определяющего меры, принимаемые организатором торговли в чрезвычайных ситуациях и направленные на обеспечение непрерывности осуществления деятельности по организации торгов (далее - план непрерывности деятельности).

3.2.7. Оценка плана непрерывности деятельности в целях определения достаточности содержащихся в нем мер для обеспечения непрерывности осуществления деятельности по организации торгов исходя из характера осуществляемой организатором торговли деятельности и объема совершаемых операций, в случае выявления недостаточности указанных мер для обеспечения непрерывности осуществления деятельности по организации торгов - осуществление пересмотра плана непрерывности деятельности.

3.2.8. Организация функционирования резервного комплекса критически важных программно-технических средств, функционально дублирующего основной комплекс критически важных программно-технических средств (далее - резервный офис), удовлетворяющего следующим требованиям:

расположение резервного офиса в отдельном здании (вне основного комплекса критически важных программно-технических средств);

территориальное удаление резервного офиса от основного комплекса критически важных программно-технических средств на расстояние, обеспечивающее возможность работников организатора торговли продолжить работу в резервном офисе в течение двух часов с момента возникновения чрезвычайной ситуации;

проведение мероприятий по поддержанию постоянного функционирования резервного офиса и возможности переключения управления на него в случае невозможности осуществления критически важных процессов организатора торговли в основном комплексе критически важных программно-технических средств.

3.2.9. Создание резервных копий информации, содержащейся в реестрах, ведение которых организатор торговли должен осуществлять в соответствии с требованиями части 14 статьи 5, части 2 статьи 11, части 5 статьи 18 Федерального закона "Об организованных торгах", в порядке, объемах и в сроки, определенные организатором торговли (но не реже одного раза в день), и хранение указанных копий в течение пяти лет со дня их создания.

3.2.10. Проверка наличия и техническое обслуживание независимых генераторов электричества в основном комплексе критически важных программно-технических средств и резервном офисе, предоставляющих мощность, обеспечивающую осуществление критически важных процессов организатора торговли в течение всего периода восстановления организатором торговли функционирования программно-технических средств основного комплекса критически важных программно-технических средств.

3.2.11. Создание и поддержание технического оснащения резервного офиса на уровне, обеспечивающем восстановление критически важных процессов организатора торговли и возможность начала работы по переносу критически важных процессов организатора торговли, осуществляемых с использованием критически важных программно-технических средств, из основного комплекса критически важных программно-технических средств в резервный офис в порядке и в сроки, установленные организатором торговли.

3.2.12. Мероприятия, обеспечивающие возможность оказания услуг, необходимых для функционирования основного комплекса критически важных программно-технических средств и резервного офиса, как минимум двумя независимыми поставщиками телекоммуникационных услуг.

3.2.13. Поддержание резервного офиса на уровне, обеспечивающем возможность функционирования всех критически важных процессов организатора торговли, и поддержание таких процессов в течение не менее одного месяца с момента возникновения чрезвычайной ситуации.

3.3. Организатор торговли в рамках управления риском потери деловой репутации организатора торговли должен организовать сбор и анализ отзывов о деятельности организатора торговли в средствах массовой информации, в том числе с использованием специализированных автоматизированных информационных систем.

3.4. Организатор торговли в рамках управления стратегическим риском организатора торговли должен обеспечить проведение оценки должностным лицом (руководителем отдельного структурного подразделения), ответственным за организацию системы управления рисками, следующих мероприятий (в случае их осуществления организатором торговли) в целях выявления потенциальных источников возникновения рисков:

3.4.1. Разработка проектов изменений в порядок осуществления деятельности по проведению организованных торгов или связанной с проведением организованных торгов деятельности, предоставления дополнительных услуг, допуска к организованным торгам новых финансовых инструментов, иностранной валюты, товара, а также иных организационных и (или) технологических изменений (далее - проекты изменений).

3.4.2. Анализ целесообразности внедрения проектов изменений.

3.4.3. Анализ эффективности реализованных организатором торговли проектов изменений по итогам их введения в деятельность, осуществляемую организатором торговли.

3.4.4. Мероприятия по планированию развития деятельности организатора торговли, в том числе посредством разработки стратегии развития организатора торговли на срок, соответствующий характеру осуществляемой деятельности организатора торговли и объему совершаемых операций.

3.4.5. Оценка стратегии развития организатора торговли на предмет определения возможности и целесообразности ее реализации, а также внесение изменений в стратегию развития организатора торговли в случае принятия организатором торговли указанного решения.