Глава 2. Организационная структура, используемая Банком России при обеспечении бесперебойности функционирования платежной системы Банка России

2.1. Организационная структура, используемая Банком России при обеспечении БФПС, должна включать три уровня:

на первом уровне управление рисками в ПС, а также управление непрерывностью функционирования ПС должно осуществляться структурными подразделениями подразделений Банка России при выполнении ими бизнес-процесса (далее - ПУРиН), руководителями ПУРиН, структурным подразделением Банка России, ответственным за определение требований к защите информации в ПС, структурным подразделением Банка России, ответственным за организацию и осуществление контроля за соблюдением требований к защите информации в ПС, руководителем структурного подразделения центрального аппарата Банка России, реализующего полномочия оператора ПС и ответственного за функционирование ПС в целом (далее - подразделение, реализующее полномочия оператора ПС), заместителем Председателя Банка России, курирующим вопросы организации и функционирования национальной платежной системы (далее - курирующий руководитель Банка России), Председателем Банка России, а также структурными подразделениями ОПКЦ внешней платежной системы, выполняющими бизнес-процесс в части оказания операционных услуг и услуг платежного клиринга при осуществлении перевода денежных средств с использованием СБП (далее - ПУРиН внешней платежной системы);

(в ред. Указания Банка России от 09.01.2024 N 6653-У)

(см. текст в предыдущей редакции)

на втором уровне координация и методологическая поддержка деятельности по обеспечению БФПС должны выполняться подразделением, реализующим полномочия оператора ПС, и структурным подразделением центрального аппарата Банка России, ответственным за развитие системы управления рисками Банка России (далее - УРСУР), Комитетом по управлению рисками в ПС (далее - Комитет), а также подразделением ОПКЦ внешней платежной системы, ответственным за контроль рисков в СБП (далее - УпКР);

на третьем уровне должны проводиться оценка системы управления рисками в ПС (далее - СУР) Службой главного аудитора Банка России, и оценка системы управления рисками ОПКЦ внешней платежной системы - подразделением, осуществляющим внутренний аудит ОПКЦ внешней платежной системы.

2.2. Обеспечение БФПС должно осуществляться следующими субъектами организационной структуры:

Председателем Банка России;

курирующим руководителем Банка России;

Комитетом;

руководителем подразделения, реализующего полномочия оператора ПС (далее - владелец бизнес-процесса);

руководителем ПУРиН;

работниками подразделений Банка России, в состав которых в том числе входят ПУРиН (далее - работники структурных подразделений Банка России);

работниками УРСУР, выполняющими методологические функции по управлению рисками, присущими бизнес-процессу (далее - работники УРСУР);

работниками структурного подразделения Банка России, реализующего полномочия оператора ПС, выполняющими методологические функции по управлению непрерывностью функционирования ПС (далее - работники оператора ПС);

(в ред. Указания Банка России от 09.01.2024 N 6653-У)

(см. текст в предыдущей редакции)

работниками структурного подразделения Банка России, реализующего полномочия оператора ПС, назначенными владельцем бизнес-процесса для координации и выполнения работ по обеспечению БФПС (далее - риск-координаторы бизнес-процесса);

(в ред. Указания Банка России от 09.01.2024 N 6653-У)

(см. текст в предыдущей редакции)

работниками ПУРиН, назначенными руководителем ПУРиН для координации и выполнения работ по обеспечению БФПС в рамках компетенции данного ПУРиН (далее - риск-координаторы ПУРиН);

работником ОПКЦ внешней платежной системы, назначенным руководителем ОПКЦ внешней платежной системы для координации и выполнения работ по обеспечению БФПС в части оказания операционных услуг и услуг платежного клиринга при осуществлении перевода денежных средств с использованием СБП (далее - риск-координатор СБП внешней платежной системы). Руководитель ОПКЦ внешней платежной системы может назначить нескольких работников ОПКЦ внешней платежной системы риск-координаторами СБП внешней платежной системы;

работниками ПУРиН внешней платежной системы, осуществляющими координацию и выполнение работ по обеспечению БФПС в части оказания операционных услуг и услуг платежного клиринга при осуществлении перевода денежных средств с использованием СБП в рамках компетенции данного структурного подразделения ОПКЦ внешней платежной системы (далее - риск-координаторы ПУРиН внешней платежной системы);

работниками структурного подразделения Банка России, ответственного за определение требований к защите информации в ПС (далее - работники, определяющие требования к защите информации);

(абзац введен Указанием Банка России от 09.01.2024 N 6653-У)

работниками структурного подразделения Банка России, ответственного за организацию и осуществление контроля за соблюдением требований к защите информации в ПС (далее - работники, осуществляющие контроль за соблюдением требований к защите информации).

(абзац введен Указанием Банка России от 09.01.2024 N 6653-У)

Работники структурных подразделений Банка России, выполняющие функции, указанные в абзацах девятом, десятом, одиннадцатом, четырнадцатом и пятнадцатом настоящего пункта, назначаются организационно-распорядительными документами Банка России.

(абзац введен Указанием Банка России от 09.01.2024 N 6653-У)

2.2.1. Председатель Банка России:

рассматривает и утверждает ежегодный отчет об управлении рисками в ПС;

абзац утратил силу с 1 октября 2024 года. - Указание Банка России от 09.01.2024 N 6653-У;

(см. текст в предыдущей редакции)

принимает решения о выделении ресурсов для обеспечения БФПС.

2.2.2. Курирующий руководитель Банка России:

осуществляет контроль за обеспечением БФПС;

согласовывает предложения владельца бизнес-процесса по мерам реагирования на значимые риски (далее - меры реагирования) III зоны карты рисков, представленной в приложении 3 к настоящему Положению, и обеспечивает организацию выполнения принятых решений;

согласовывает ключевые индикаторы рисков (далее - КИР), предложенные владельцем бизнес-процесса в дополнение к указанным в приложении 2 к настоящему Положению (далее - дополнительные КИР), или отмену дополнительных КИР;

(в ред. Указания Банка России от 09.01.2024 N 6653-У)

(см. текст в предыдущей редакции)

утверждает план действий, направленных на обеспечение непрерывности деятельности и (или) восстановление деятельности Банка России как оператора ПС (далее - план ОНиВД), за исключением плана ОНиВД ОПКЦ внешней платежной системы;

(в ред. Указания Банка России от 09.01.2024 N 6653-У)

(см. текст в предыдущей редакции)

принимает решения о применении мер реагирования, направленных на обеспечение непрерывности функционирования ПС в условиях инцидента (далее - ответные меры), приводящего к приостановлению оказания одной или нескольких УПИ более чем на два часа, в том числе о реализации соответствующей последовательности действий плана ОНиВД (далее - сценарий плана ОНиВД), а также принимает решения о реагировании на инциденты, воздействие которых требует перехода на оказание УПИ с использованием резервного комплекса программных и (или) технических средств;

(в ред. Указания Банка России от 09.01.2024 N 6653-У)

(см. текст в предыдущей редакции)

принимает решения по спорным вопросам, возникающим при обеспечении БФПС, в том числе при отсутствии по ним согласованной позиции у подразделений Банка России, обеспечивающих функционирование ПС.

2.2.3. Комитет является коллегиальным органом по управлению рисками, присущими бизнес-процессу. Функции, состав и полномочия Комитета, в том числе в части оценки СУР, определяются положением о Комитете, утвержденным организационно-распорядительным документом Банка России.

2.2.4. Владелец бизнес-процесса должен обеспечивать БФПС посредством выполнения следующих мероприятий.

В части управления рисками в ПС владелец бизнес-процесса должен:

обеспечивать формирование и поддержание в актуальном состоянии описания бизнес-процесса;

совместно с руководителями ПУРиН обеспечивать идентификацию значимых рисков, присущих бизнес-процессу;

утверждать перечень значимых рисков;

совместно с руководителями ПУРиН обеспечивать проведение оценки значимых рисков;

организовать ведение профиля значимых рисков, в том числе риска нарушения БФПС (далее - профиль рисков в ПС), и утверждать профиль рисков в ПС, подготовленный по результатам проведенной оценки значимых рисков, а также допустимые уровни значимых рисков;

(в ред. Указания Банка России от 22.09.2022 N 6254-У)

(см. текст в предыдущей редакции)

обеспечивать подготовку, направление курирующему руководителю Банка России предложений о реагировании на значимые риски III зоны карты рисков и выполнение принятых решений по ним;

рассматривать и согласовывать предложения риск-координаторов ПУРиН, риск-координаторов ПУРиН внешней платежной системы по мерам реагирования на значимые риски II зоны карты рисков, обеспечивать организацию выполнения принятых решений по ним;

обеспечивать подготовку плана ОНиВД, его тестирование и пересмотр;

направлять курирующему руководителю Банка России при наличии предложения о разработке (отмене) дополнительных КИР и обеспечивать выполнение принятых решений по ним;

обеспечивать мониторинг уровней значимых рисков и их анализ, в том числе в режиме реального времени, посредством расчета с заданной периодичностью текущих значений КИР и сопоставления их в режиме реального времени с пороговыми значениями КИР (далее - мониторинг уровней значимых рисков), а также принимать решение о назначении ответственного ПУРиН за мониторинг уровней значимых рисков с использованием КИР 1 - КИР 5, расчет которых осуществляется в соответствии с пунктом 2 приложения 2 к настоящему Положению;

принимать меры, направленные на решение проблем, возникших у нескольких подразделений Банка России при обеспечении БФПС (далее - системные проблемы);

(в ред. Указания Банка России от 22.09.2022 N 6254-У)

(см. текст в предыдущей редакции)

обеспечивать подготовку ежегодного отчета об управлении рисками в ПС;

обеспечивать выполнение решений Комитета, в том числе сформированных по итогам проведенной оценки СУР;

обеспечивать непрерывность исполнения обязанностей, возложенных настоящим Положением на риск-координаторов бизнес-процесса и риск-координаторов ПУРиН, в период их отсутствия на рабочем месте более одного рабочего дня (для риск-координаторов ПУРиН с учетом графика работы ПУРиН).

В части управления непрерывностью функционирования ПС владелец бизнес-процесса должен:

обеспечивать выявление и регистрацию инцидентов;

обеспечивать полноту и корректность сведений о зарегистрированных инцидентах;

обеспечивать проведение оценки влияния на БФПС каждого и всех в совокупности инцидентов, реализовавшихся в течение календарного месяца при выполнении бизнес-процесса;

принимать решения о применении ответных мер, включая активацию сценариев плана ОНиВД в отношении инцидентов, приводящих к нарушению надлежащего оказания УПИ в ПС, за исключением решений, отнесенных к компетенции курирующего руководителя Банка России, руководителей ПУРиН;

(в ред. Указания Банка России от 09.01.2024 N 6653-У)

(см. текст в предыдущей редакции)

обеспечивать подготовку предложений о применении ответных мер, в том числе об активации сценариев плана ОНиВД, отнесенных к компетенции курирующего руководителя Банка России, и выполнение принятых решений о применении указанных мер;

(в ред. Указания Банка России от 09.01.2024 N 6653-У)

(см. текст в предыдущей редакции)

принимать меры, направленные на решение системных проблем.

(в ред. Указания Банка России от 22.09.2022 N 6254-У)

(см. текст в предыдущей редакции)

В части организации взаимодействия Банка России, ОПКЦ внешней платежной системы и участников ПС по обеспечению БФПС владелец бизнес-процесса должен обеспечивать:

информирование участников ПС о приостановлении и восстановлении оказания УПИ в ПС;

информирование ОПКЦ внешней платежной системы о приостановлении и восстановлении оказания Банком России УПИ в рамках СБП.

В части осуществления контроля за соблюдением ОПКЦ внешней платежной системы требований настоящего Положения по обеспечению БФПС владелец бизнес-процесса должен:

обеспечивать рассмотрение документов, определяющих деятельность ОПКЦ внешней платежной системы по обеспечению БФПС в части СБП;

утверждать подготовленные риск-координаторами бизнес-процесса результаты рассмотрения документов, определяющих деятельность ОПКЦ внешней платежной системы по обеспечению БФПС в части СБП.

2.2.5. Руководители ПУРиН должны обеспечивать БФПС в части компетенции ПУРиН посредством выполнения следующих мероприятий.

В части управления рисками в ПС руководители ПУРиН должны:

обеспечивать формирование и поддержание в актуальном состоянии описания выполняемых шагов (операций) бизнес-процесса, в том числе посредством направления владельцу бизнес-процесса предложений о внесении изменений в их описание;

обеспечивать идентификацию значимых рисков, присущих бизнес-процессу, и осуществлять согласование перечня значимых рисков, подготовленного риск-координаторами ПУРиН;

обеспечивать проведение оценки значимых рисков;

организовывать ведение информации о значимых рисках в рамках профиля рисков в ПС в части компетенции ПУРиН и согласовывать содержание данной информации, подготовленной риск-координаторами ПУРиН, в профиле рисков в ПС по результатам оценки значимых рисков;

обеспечивать подготовку, направление владельцу бизнес-процесса предложений о реагировании на значимые риски III и II зоны карты рисков и выполнение принятых решений по ним;

обеспечивать подготовку плана ОНиВД, его тестирование и пересмотр в части компетенции ПУРиН;

рассматривать предложения риск-координаторов ПУРиН об установлении (отмене) дополнительных КИР, вносить предложения об установлении (отмене) дополнительных КИР владельцу бизнес-процесса и обеспечивать выполнение принятых решений по ним;

обеспечивать проведение мониторинга уровней значимых рисков на предмет своевременного применения мер реагирования;

обеспечивать подготовку материалов для включения в ежегодный отчет об управлении рисками в ПС;

обеспечивать выполнение решений Комитета, в том числе сформированных по итогам проведенной оценки СУР;

обеспечивать осведомленность работников ПУРиН о значимых рисках и порядке управления ими.

В части управления непрерывностью функционирования ПС руководители ПУРиН должны:

обеспечивать выявление и регистрацию инцидентов;

обеспечивать полноту и корректность сведений о зарегистрированных инцидентах;

обеспечивать проведение оценки влияния на БФПС каждого инцидента и всех в совокупности инцидентов, реализовавшихся в течение календарного месяца при выполнении бизнес-процесса, в части компетенции ПУРиН;

принимать решения о применении ответных мер, за исключением решений, отнесенных к компетенции курирующего руководителя Банка России, владельца бизнес-процесса;

(в ред. Указания Банка России от 09.01.2024 N 6653-У)

(см. текст в предыдущей редакции)

обеспечивать реализацию ответных мер, в том числе по активации сценариев плана ОНиВД, в отношении инцидентов, приводящих к приостановлению оказания УПИ более чем на два часа.

В части организации взаимодействия Банка России, ОПКЦ внешней платежной системы и участников ПС по обеспечению БФПС руководители ПУРиН должны обеспечивать:

информирование участников ПС о приостановлении и восстановлении оказания УПИ, если такое информирование отнесено к компетенции ПУРиН;

информирование ОПКЦ внешней платежной системы о приостановлении и восстановлении оказания Банком России УПИ в СБП, если такое информирование отнесено к компетенции ПУРиН.

2.2.6. Работники подразделений Банка России должны выполнять решения по обеспечению БФПС, принятые Председателем Банка России, курирующим руководителем Банка России, владельцем бизнес-процесса и руководителями соответствующих ПУРиН, а также информировать риск-координаторов ПУРиН своего подразделения Банка России об идентифицированных рисках, присущих бизнес-процессу, и выявленных инцидентах, представлять документы и информацию по запросам риск-координаторов бизнес-процесса и риск-координаторов ПУРиН своего подразделения Банка России.

2.2.7. Работники УРСУР должны осуществлять координацию и методологическую поддержку деятельности по управлению рисками, присущими бизнес-процессу, в том числе:

осуществлять верификацию сведений о значимых рисках и сведений о дополнительных КИР;

разрабатывать и поддерживать в актуальном состоянии структурированные справочники источников риска (риск-факторов), областей реализации рисков (риск-событий) и мер реагирования;

проводить анализ данных о значимых рисках и об управлении ими, в том числе на предмет выявления системных проблем, и при их выявлении готовить предложения для подразделений Банка России и (или) руководства Банка России, направленные на урегулирование системных проблем.

(в ред. Указания Банка России от 22.09.2022 N 6254-У)

(см. текст в предыдущей редакции)

2.2.8. Работники оператора ПС должны осуществлять координацию и методологическую поддержку деятельности по управлению непрерывностью функционирования ПС.

2.2.9. Работники УпКР должны осуществлять координацию и методологическую поддержку деятельности работников ПУРиН внешней платежной системы по вопросам обеспечения БФПС в части оказания операционных услуг и услуг платежного клиринга при осуществлении перевода денежных средств с использованием СБП.

2.2.10. Риск-координаторы бизнес-процесса должны оказывать методологическую поддержку руководителям ПУРиН, риск-координаторам ПУРиН и другим работникам ПУРиН, а также риск-координатору СБП внешней платежной системы по вопросам обеспечения БФПС и выполнять следующие мероприятия.

В части управления рисками в ПС риск-координаторы бизнес-процесса должны:

контролировать актуальность описания бизнес-процесса;

идентифицировать риски, присущие бизнес-процессу, и формировать перечень значимых рисков;

согласовывать подготовленные ПУРиН результаты оценки значимых рисков и составлять профиль рисков в ПС;

рассматривать предложения ПУРиН, ПУРиН внешней платежной системы о применении мер реагирования в отношении значимых рисков III и II зоны карты рисков;

осуществлять контроль за своевременным выполнением ПУРиН решений о применении в отношении значимых рисков мер реагирования, принятых курирующим руководителем Банка России и владельцем бизнес-процесса, в том числе посредством направления запросов о представлении информации и документов руководителям ПУРиН, риск-координаторам ПУРиН и другим работникам ПУРиН;

абзац утратил силу с 1 октября 2024 года. - Указание Банка России от 09.01.2024 N 6653-У;

(см. текст в предыдущей редакции)

обеспечивать подготовку плана ОНиВД, участвовать в его тестировании и пересмотре;

согласовывать разработанные риск-координаторами ПУРиН дополнительные КИР, а также предложения по их отмене;

подготавливать предложения для владельца бизнес-процесса по назначению ответственного ПУРиН за мониторинг уровней значимых рисков с использованием КИР 1 - КИР 5 и подготавливать предложения для владельца бизнес-процесса по принятию мер, направленных на совершенствование бизнес-процесса;

(в ред. Указания Банка России от 22.09.2022 N 6254-У)

(см. текст в предыдущей редакции)

осуществлять подготовку ежегодного отчета об управлении рисками в ПС;

доводить до сведения риск-координатора СБП внешней платежной системы информацию о владельце бизнес-процесса и риск-координаторах бизнес-процесса, осуществляющих координацию деятельности по обеспечению БФПС с ОПКЦ внешней платежной системы;

подготавливать предложения для владельца бизнес-процесса по реализации решений Комитета, сформированных по итогам проведенной оценки СУР.

В части управления непрерывностью функционирования ПС риск-координаторы бизнес-процесса должны:

согласовывать сведения о выявленных риск-координаторами ПУРиН инцидентах;

согласовывать результаты оценки влияния на БФПС каждого инцидента и всех в совокупности инцидентов, реализовавшихся в течение календарного месяца при выполнении бизнес-процесса;

согласовывать предложения риск-координаторов ПУРиН о применении в отношении инцидентов, реализовавшихся при выполнении бизнес-процесса, ответных мер, в том числе сценариев плана ОНиВД;

осуществлять контроль за своевременным выполнением работниками ПУРиН решений о применении ответных мер, в том числе посредством направления запросов о представлении информации и документов руководителям ПУРиН, риск-координаторам ПУРиН и другим работникам ПУРиН;

абзац утратил силу. - Указание Банка России от 22.09.2022 N 6254-У.

(см. текст в предыдущей редакции)

В части осуществления контроля за соблюдением ОПКЦ внешней платежной системы порядка обеспечения БФПС риск-координаторы бизнес-процесса должны:

анализировать документы, определяющие деятельность ОПКЦ внешней платежной системы по обеспечению БФПС в части СБП, на их соответствие настоящему Положению, в том числе с использованием подготовленного риск-координатором СБП внешней платежной системы заключения о соответствии документов ОПКЦ внешней платежной системы настоящему Положению (далее - заключение о соответствии);

формировать предложения по устранению выявленных несоответствий в документах ОПКЦ внешней платежной системы по обеспечению БФПС в части СБП;

направлять на утверждение владельцу бизнес-процесса сформированные предложения по устранению выявленных несоответствий в документах ОПКЦ внешней платежной системы по обеспечению БФПС в части СБП.

2.2.11. Риск-координаторы ПУРиН, риск-координаторы ПУРиН внешней платежной системы должны оказывать методологическую поддержку работникам ПУРиН, работникам ПУРиН внешней платежной системы соответственно по вопросам обеспечения БФПС и проводить следующие мероприятия в части компетенции ПУРиН, ПУРиН внешней платежной системы.

В части управления рисками в ПС риск-координаторы ПУРиН, риск-координаторы ПУРиН внешней платежной системы должны:

контролировать актуальность описания бизнес-процесса (для риск-координаторов ПУРиН);

контролировать актуальность документов ОПКЦ внешней платежной системы, устанавливающих порядок взаимодействия участника СБП, ОПКЦ внешней платежной системы и Банка России (далее - стандарты ОПКЦ внешней платежной системы) (для риск-координаторов ПУРиН внешней платежной системы);

участвовать в идентификации значимых рисков и формировании перечня значимых рисков;

проводить оценку значимых рисков и заполнять профиль рисков в ПС в части значимых рисков бизнес-процесса, управление которыми отнесено к компетенции ПУРиН;

проводить оценку значимых рисков и заполнять профиль рисков в ПС в части значимых рисков бизнес-процесса, управление которыми отнесено к ПУРиН внешней платежной системы (для риск-координаторов ПУРиН);

подготавливать предложения о применении в отношении значимых рисков III и II зоны карты рисков мер реагирования и согласовывать их с руководителями ПУРиН (для риск-координаторов ПУРиН), риск-координатором СБП внешней платежной системы (для риск-координаторов ПУРиН внешней платежной системы);

осуществлять контроль за своевременным выполнением ПУРиН решений, принятых курирующим руководителем Банка России (владельцем бизнес-процесса, руководителями ПУРиН в части, относящейся к компетенции ПУРиН), о применении мер реагирования, в том числе посредством направления запросов о представлении информации и документов работникам ПУРиН;

осуществлять контроль за своевременным выполнением ПУРиН внешней платежной системы решений, принятых риск-координатором СБП внешней платежной системы в части, относящейся к компетенции ПУРиН внешней платежной системы, о применении мер реагирования, в том числе посредством направления запросов о представлении информации и документов работникам ПУРиН внешней платежной системы;

подготавливать предложения к плану ОНиВД, участвовать в тестировании плана ОНиВД и пересмотре плана ОНиВД;

подготавливать по результатам оценки значимых рисков предложения по дополнительным КИР или их отмене (при наличии предложений);

проводить мониторинг уровней значимых рисков;

участвовать в подготовке материалов для включения в ежегодный отчет об управлении рисками в ПС.

В части управления непрерывностью функционирования ПС риск-координаторы ПУРиН, риск-координаторы ПУРиН внешней платежной системы должны:

выявлять инциденты и регистрировать инциденты;

проводить оценку влияния на БФПС каждого инцидента и всех в совокупности инцидентов, реализовавшихся в течение календарного месяца, управление которыми отнесено к компетенции ПУРиН, ПУРиН внешней платежной системы, и направлять результаты оценки на согласование риск-координаторам бизнес-процесса (для риск-координаторов ПУРиН), риск-координатору СБП внешней платежной системы (для риск-координаторов ПУРиН внешней платежной системы);

подготавливать предложения для руководителей ПУРиН, риск-координатора СБП внешней платежной системы о применении в отношении выявленных инцидентов ответных мер, в том числе сценариев плана ОНиВД;

осуществлять контроль за своевременным выполнением работниками ПУРиН, работниками ПУРиН внешней платежной системы решений о применении ответных мер, в том числе посредством направления запросов о представлении информации и документов работникам ПУРиН, работникам ПУРиН внешней платежной системы;

В части организации взаимодействия Банка России, ОПКЦ внешней платежной системы и участников ПС по обеспечению БФПС:

риск-координаторы ПУРиН должны контролировать выполнение мероприятий по информированию:

участников ПС о приостановлении и восстановлении оказания УПИ, если такое информирование отнесено к компетенции ПУРиН;

ОПКЦ внешней платежной системы о приостановлении и восстановлении оказания Банком России УПИ в рамках СБП, если такое информирование отнесено к компетенции ПУРиН;

риск-координаторы ПУРиН внешней платежной системы должны контролировать выполнение мероприятий по информированию Банка России и участников ПС о приостановлении и восстановлении оказания УПИ в рамках СБП, если такое информирование отнесено к компетенции ПУРиН внешней платежной системы.

2.2.12. Риск-координатор СБП внешней платежной системы должен обеспечивать БФПС в рамках СБП в части функций ОПКЦ внешней платежной системы и проводить следующие мероприятия.

В части управления рисками в ПС риск-координатор СБП внешней платежной системы должен:

контролировать актуальность стандартов ОПКЦ внешней платежной системы;

идентифицировать значимые риски ОПКЦ внешней платежной системы и формировать перечень значимых рисков ОПКЦ внешней платежной системы, подготовленный риск-координаторами ПУРиН внешней платежной системы;

обеспечивать проведение риск-координаторами ПУРиН внешней платежной системы оценки значимых рисков ОПКЦ внешней платежной системы;

составлять профиль рисков ОПКЦ внешней платежной системы, подготовленный риск-координаторами ПУРиН внешней платежной системы, и направлять профиль рисков ОПКЦ внешней платежной системы владельцу бизнес-процесса;

обеспечивать подготовку предложений риск-координаторами ПУРиН внешней платежной системы о применении дополнительных мер реагирования в отношении значимых рисков ОПКЦ внешней платежной системы III и II зоны карты рисков, согласовывать их;

составлять план реализации дополнительных мер реагирования, указанных в профиле рисков ОПКЦ внешней платежной системы, и направлять его владельцу бизнес-процесса;

осуществлять контроль за своевременным выполнением ПУРиН внешней платежной системы решений о применении в отношении значимых рисков ОПКЦ внешней платежной системы дополнительных мер реагирования;

обеспечивать подготовку плана ОНиВД ОПКЦ внешней платежной системы, участвовать в его тестировании и пересмотре;

рассматривать предложения риск-координаторов ПУРиН внешней платежной системы по дополнительным КИР или их отмене;

направлять при наличии предложения о разработке или отмене дополнительных КИР риск-координаторам бизнес-процесса;

обеспечивать проведение мониторинга уровней значимых рисков ОПКЦ внешней платежной системы;

абзац утратил силу. - Указание Банка России от 22.09.2022 N 6254-У;

(см. текст в предыдущей редакции)

обеспечивать подготовку и направление риск-координатору бизнес-процесса информации для включения в ежегодный отчет об управлении рисками в ПС;

обеспечивать выполнение решений Комитета, сформированных по итогам проведенной оценки СУР и оценки системы управления рисками ОПКЦ внешней платежной системы.

В части управления непрерывностью функционирования ПС риск-координатор СБП внешней платежной системы должен:

обеспечивать выявление и регистрацию инцидентов, согласовывать сведения о выявленных риск-координаторами ПУРиН внешней платежной системы инцидентах и направлять указанные сведения риск-координаторам бизнес-процесса;

обеспечивать полноту и корректность данных о зарегистрированных инцидентах;

обеспечивать проведение оценки влияния на БФПС каждого инцидента и всех в совокупности инцидентов, реализовавшихся в течение календарного месяца, а также согласовать результаты указанной оценки с риск-координаторами бизнес-процесса;

осуществлять контроль за своевременным выполнением работниками ПУРиН внешней платежной системы решений о применении ответных мер, в том числе посредством направления запросов о представлении информации и документов руководителям ПУРиН внешней платежной системы, риск-координаторам ПУРиН внешней платежной системы и другим работникам ПУРиН внешней платежной системы;

абзац утратил силу. - Указание Банка России от 22.09.2022 N 6254-У.

(см. текст в предыдущей редакции)

организовать проведение оценки соответствия текущего уровня защиты информации объектов информационной инфраструктуры ОПКЦ внешней платежной системы, обеспечивающих функционирование ПС, уровням, определенным пунктом 6.7 раздела 6 национального стандарта Российской Федерации ГОСТ Р 57580.1-2017 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер" (утвержден приказом Федерального агентства по техническому регулированию и метрологии от 8 августа 2017 года N 822-ст (М., ФГУП "Стандартинформ", 2017) и введен в действие 1 января 2018 года) (далее - ГОСТ Р 57580.1-2017), согласно методике оценки соответствия защиты информации, определенной в разделе 6 национального стандарта Российской Федерации ГОСТ Р 57580.2-2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия" (утвержден приказом Федерального агентства по техническому регулированию и метрологии от 28 марта 2018 года N 156-ст (М., ФГУП "Стандартинформ", 2018) и введен в действие 1 сентября 2018 года) (далее - ГОСТ Р 57580.2-2018).

(в ред. Указания Банка России от 09.01.2024 N 6653-У)

(см. текст в предыдущей редакции)

В части организации взаимодействия Банка России, ОПКЦ внешней платежной системы и участников ПС по обеспечению БФПС риск-координатор СБП внешней платежной системы должен контролировать выполнение мероприятий по информированию Банка России и участников ПС о приостановлении и восстановлении оказания УПИ.

(в ред. Указания Банка России от 09.01.2024 N 6653-У)

(см. текст в предыдущей редакции)

В части осуществления контроля за соблюдением ОПКЦ внешней платежной системы порядка обеспечения БФПС риск-координатор СБП внешней платежной системы должен:

(в ред. Указания Банка России от 09.01.2024 N 6653-У)

(см. текст в предыдущей редакции)

обеспечивать разработку и поддержание в актуальном состоянии документов ОПКЦ внешней платежной системы, определяющих деятельность ОПКЦ внешней платежной системы по обеспечению БФПС в части СБП, соответствующих требованиям настоящего Положения по обеспечению БФПС;

(в ред. Указания Банка России от 09.01.2024 N 6653-У)

(см. текст в предыдущей редакции)

направлять владельцу бизнес-процесса на рассмотрение документы, определяющие деятельность ОПКЦ внешней платежной системы по обеспечению БФПС в части СБП, и заключение о соответствии;

(в ред. Указания Банка России от 09.01.2024 N 6653-У)

(см. текст в предыдущей редакции)

контролировать соблюдение требований документов, определяющих деятельность ОПКЦ внешней платежной системы по обеспечению БФПС в части СБП, работниками ПУРиН внешней платежной системы.

(абзац введен Указанием Банка России от 09.01.2024 N 6653-У)

2.2.13. Работники, определяющие требования к защите информации, должны:

проводить мониторинг уровня риска информационной безопасности в ПС на основе КИР 6, КИР 7, КИР 8 и КИР 9, определенных в приложении 2 к настоящему Положению;

предоставлять риск-координаторам бизнес-процесса результаты мониторинга уровня риска информационной безопасности в ПС в части КИР 6, КИР 7, КИР 8 и КИР 9 для включения в ежегодный отчет об управлении рисками в ПС;

разрабатывать и предоставлять риск-координаторам бизнес-процесса сценарии плана ОНиВД в отношении инцидентов защиты информации в ПС.

(пп. 2.2.13 введен Указанием Банка России от 09.01.2024 N 6653-У)

2.2.14. Работники, осуществляющие контроль за соблюдением требований к защите информации, должны:

организовать контроль за соблюдением требований к защите информации в ПС;

организовать проведение оценки соответствия текущего уровня защиты информации объектов информационной инфраструктуры Банка России, обеспечивающих функционирование ПС, уровням, определенным пунктом 6.7 раздела 6 ГОСТ Р 57580.1-2017, согласно методике оценки соответствия защиты информации, определенной в разделе 6 ГОСТ Р 57580.2-2018;

проводить мониторинг уровня риска информационной безопасности в ПС на основе КИР 10, КИР 11, определенных в приложении 2 к настоящему Положению;

предоставлять риск-координаторам бизнес-процесса результаты мониторинга уровня риска информационной безопасности в ПС в части КИР 10 и КИР 11 для включения в ежегодный отчет об управлении рисками в ПС;

разрабатывать и предоставлять риск-координаторам бизнес-процесса сценарии плана ОНиВД в отношении инцидентов защиты информации в ПС в части КИР 10 и КИР 11;

организовывать применение в отношении инцидентов защиты информации в ПС в части КИР 10 и КИР 11, реализовавшихся при выполнении бизнес-процесса, ответных мер;

информировать структурное подразделение Банка России, ответственное за определение требований к защите информации в ПС, и риск-координаторов бизнес-процесса о выявленных инцидентах защиты информации в ПС в случае, если нарушения пороговых значений КИР 10 и КИР 11 приводят к инцидентам защиты информации в ПС.

(пп. 2.2.14 введен Указанием Банка России от 09.01.2024 N 6653-У)

2.3. Обязанности субъектов организационной структуры при выполнении ими деятельности по управлению значимыми рисками, предусмотренной главой 3 настоящего Положения, и деятельности по управлению непрерывностью функционирования ПС, предусмотренной главой 4 настоящего Положения, также определяются договором о взаимодействии платежных систем, заключенным между Банком России и оператором внешней платежной системы в соответствии с частью 37 статьи 15 Федерального закона "О национальной платежной системе" (Собрание законодательства Российской Федерации, 2011, N 27, ст. 3872; 2019, N 31, ст. 4423).