ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ
ПОЛОЖЕНИЕ
от 18 августа 2021 г. N 770-П
О ТРЕБОВАНИЯХ
К СИСТЕМЕ ВНУТРЕННЕГО КОНТРОЛЯ, СИСТЕМЕ УПРАВЛЕНИЯ РИСКАМИ
И ОБЕСПЕЧЕНИЮ НЕПРЕРЫВНОСТИ ДЕЯТЕЛЬНОСТИ БЮРО
КРЕДИТНЫХ ИСТОРИЙ
Настоящее Положение на основании частей 2.2 и 2.3 статьи 10 Федерального закона от 30 декабря 2004 года N 218-ФЗ "О кредитных историях" (Собрание законодательства Российской Федерации, 2005, N 1, ст. 44; 2020, N 31, ст. 5061) устанавливает:
требования к системе внутреннего контроля и системе управления рисками бюро кредитных историй;
требования к содержанию, порядок и сроки представления в Банк России плана обеспечения непрерывности деятельности бюро кредитных историй, вносимых в него изменений;
порядок оценки плана обеспечения непрерывности деятельности бюро кредитных историй Банком России;
порядок информирования бюро кредитных историй Банка России о наступлении в его деятельности событий, предусмотренных планом обеспечения непрерывности деятельности бюро кредитных историй, и принятии решения о начале реализации указанного плана;
требования к виду и характеру событий, предусмотренных планом обеспечения непрерывности деятельности бюро кредитных историй, о наступлении которых бюро кредитных историй обязано информировать Банк России.
Глава 1. Требования к системе внутреннего контроля бюро кредитных историй
1.1. В соответствии с частью 2.2 статьи 10 Федерального закона от 30 декабря 2004 года N 218-ФЗ "О кредитных историях" (далее - Федеральный закон "О кредитных историях") бюро кредитных историй (далее - бюро) обязано организовать систему внутреннего контроля бюро.
Система внутреннего контроля бюро должна быть направлена на соблюдение бюро требований законодательства Российской Федерации, нормативных актов Банка России, учредительных и внутренних документов бюро, включая:
обеспечение достоверности, полноты, объективности и своевременности составления и представления бюро бухгалтерской (финансовой) и иной отчетности;
обеспечение защиты информации бюро, включая предотвращение не контролируемого бюро распространения информации ограниченного доступа (далее - утечка информации);
обеспечение эффективности финансово-хозяйственной деятельности бюро;
исключение вовлечения бюро и его работников в осуществление противоправной и недобросовестной деятельности;
исключение конфликтов интересов, возникающих при осуществлении бюро своих функций, в том числе выявление и контроль конфликта интересов, а также предотвращение его последствий;
обеспечение качества предоставляемых бюро услуг, предусмотренных Федеральным законом "О кредитных историях", включая обеспечение соответствия сведений, содержащихся в кредитных историях, требованиям, определенным на основании части 5 статьи 10 Федерального закона "О кредитных историях", а также критериям достоверности и актуальности, установленным во внутренних документах бюро (далее - требования к качеству данных кредитных историй).
1.2. Система внутреннего контроля бюро должна обеспечивать:
разработку бюро мероприятий, направленных на предупреждение и предотвращение последствий реализации рисков, связанных с осуществляемой им деятельностью по формированию, обработке и хранению кредитных историй, а также по предоставлению кредитных отчетов и сопутствующих услуг, предусмотренных Федеральным законом "О кредитных историях" (далее - риски), управление рисками, а также реализацию и (или) контроль выполнения указанных мероприятий;
осуществление бюро процессов, направленных на выявление, анализ, оценку, мониторинг рисков, в том числе событий, связанных с возникновением у бюро расходов (убытков) и (или) иных неблагоприятных последствий в результате несоответствия его деятельности требованиям законодательства Российской Федерации, нормативных актов Банка России, учредительных и внутренних документов бюро и (или) применением в отношении бюро, его акционеров (участников) и лиц, под контролем или значительным влиянием которых находятся акционеры (участники) бюро, мер со стороны Банка России или органов исполнительной власти;
осуществление бюро процедур предотвращения конфликта интересов;
осуществление бюро контроля исполнения предписаний (требований) Банка России;
разработку бюро критериев и методов оценки достоверности и актуальности сведений, содержащихся в кредитных историях;
разработку и осуществление бюро мероприятий, направленных на обеспечение соответствия сведений, содержащихся в кредитных историях, требованиям к качеству данных кредитных историй, на выявление, анализ, оценку, мониторинг событий, связанных с несоответствием сведений, содержащихся в кредитных историях, требованиям к качеству данных кредитных историй, на предупреждение и предотвращение последствий несоответствия сведений, содержащихся в кредитных историях, требованиям к качеству данных кредитных историй, на осуществление бюро контроля за выполнением указанных мероприятий;
ведение электронных журналов (протоколов), учитывающих каждое действие бюро, связанное с осуществлением деятельности бюро, и содержащих:
дату и время (до секунд) выполнения каждого действия бюро;
идентификаторы источника формирования кредитной истории (далее - источник), пользователя кредитной истории (далее - пользователь), иного юридического лица или индивидуального предпринимателя, не являющегося пользователем, бюро, субъекта кредитной истории (далее - субъект) и лиц, указанных в пунктах 3 - 8 части 1 статьи 6 Федерального закона "О кредитных историях" (далее при совместном упоминании - взаимодействующие лица), определяемые в соответствии с внутренними документами бюро;
исходящие и входящие идентификаторы запроса и ответа, направляемых каждым взаимодействующим лицом, содержащие дату и время (до секунд) отправления (поступления) и номер запроса и ответа.
1.3. Система внутреннего контроля бюро должна функционировать на постоянной основе.
1.4. В целях организации системы внутреннего контроля бюро должно разработать политику внутреннего контроля, содержащую основные принципы (подходы) к организации системы внутреннего контроля бюро, в том числе порядок осуществления внутреннего контроля, утверждаемую советом директоров (наблюдательным советом) бюро, а при его отсутствии - общим собранием акционеров (участников) бюро. По решению бюро политика внутреннего контроля может содержаться в одном или нескольких внутренних документах бюро.
Политика внутреннего контроля должна пересматриваться бюро не реже одного раза в год.
1.5. В рамках организации системы внутреннего контроля бюро обязано назначить контролера или сформировать отдельное структурное подразделение (далее - служба внутреннего контроля).
Контролер (служба внутреннего контроля) должен быть подотчетен (должна быть подотчетна):
в случае отсутствия принятого бюро (за исключением квалифицированного бюро) решения об организации и осуществлении внутреннего аудита в соответствии с абзацем вторым пункта 1.7 настоящего Положения - совету директоров (наблюдательному совету) бюро, а в случае его отсутствия - общему собранию акционеров (участников) бюро;
во всех остальных случаях - единоличному исполнительному органу бюро.
Контролер не должен одновременно являться контролером (работником службы внутреннего контроля) и (или) аудитором (работником службы внутреннего аудита) лиц, оказывающих профессиональные услуги на финансовом рынке, а также в некредитных финансовых организациях и (или) кредитных организациях.
Контролер (служба внутреннего контроля) выполняет функции, указанные в подпунктах 1.9.2 - 1.9.5 пункта 1.9 настоящего Положения, в случае отсутствия принятого бюро (за исключением квалифицированного бюро) решения об организации и осуществлении внутреннего аудита в соответствии абзацем вторым пункта 1.7 настоящего Положения.
1.6. В рамках осуществления внутреннего контроля контролер (служба внутреннего контроля) выполняет следующие функции:
1.6.1. осуществляет проверки по всем направлениям деятельности бюро, включая любые подразделения и их работников, а также бизнес-процессы и операции, выполняемые бюро;
1.6.2. выявляет конфликты интересов, анализирует соблюдение требований законодательства Российской Федерации к структуре собственности бюро и подготавливает предложения совету директоров (наблюдательному совету) бюро или общему собранию акционеров (участников) бюро по устранению выявленных нарушений и недостатков в части выявления конфликта интересов, соблюдения требований законодательства Российской Федерации к структуре собственности бюро;
1.6.3. организует процессы, направленные на выявление, анализ, оценку, мониторинг и управление рисками, в рамках которых разрабатывает и контролирует выполнение мероприятий, направленных на предупреждение и предотвращение последствий реализации рисков, в том числе организует проведение и контроль за выполнением мероприятий, указанных в абзацах шестом и седьмом пункта 1.2 настоящего Положения;
1.6.4. ведет учет событий, связанных с рисками;
1.6.5. определяет вероятность возникновения событий, связанных с рисками, и осуществляет количественную оценку возможных последствий, связанных с их возникновением;
1.6.6. осуществляет анализ новых сервисов и функций, внедряемых бюро, и планируемых способов их реализации на предмет наличия рисков;
1.6.7. осуществляет анализ соблюдения бюро прав взаимодействующих лиц в рамках осуществления деятельности бюро;
1.6.8. участвует в рассмотрении обращений (в том числе жалоб), запросов и заявлений, связанных с деятельностью бюро, в части выявления рисков, а также проводит анализ статистики указанных обращений, запросов и заявлений (при наличии);
1.6.9. осуществляет анализ проектов внутренних документов, связанных с осуществлением деятельности бюро, в целях выявления рисков;
1.6.10. информирует органы управления бюро, указанные в абзацах третьем и четвертом пункта 1.5 настоящего Положения, обо всех случаях, препятствующих осуществлению функций контролера (службы внутреннего контроля), и не реже одного раза в месяц - о проведенных мероприятиях, указанных в абзаце седьмом пункта 1.2 настоящего Положения.
1.7. В рамках организации системы внутреннего контроля квалифицированное бюро обязано организовать и осуществлять внутренний аудит путем назначения внутреннего аудитора, либо создания отдельного структурного подразделения, либо привлечения независимой внешней организации на основании договора (далее при совместном упоминании - Внутренний аудитор).
Бюро (за исключением квалифицированных бюро) вправе принять решение об организации и осуществлении внутреннего аудита путем назначения Внутреннего аудитора. При принятии такого решения внутренний аудит бюро осуществляется в порядке, предусмотренном для квалифицированных бюро в соответствии с пунктами 1.8 - 1.10, 1.12 настоящего Положения.
1.8. В рамках организации системы внутреннего контроля квалифицированное бюро должно обеспечить подчиненность и подотчетность Внутреннего аудитора совету директоров (наблюдательному совету) квалифицированного бюро, а в случае его отсутствия - общему собранию акционеров (участников) квалифицированного бюро.
Внутренний аудитор не должен принимать участие в проверке деятельности и функций, которые осуществлялись им в течение проверяемого периода и в течение двенадцати месяцев после завершения осуществления указанных деятельности и функций.
1.9. В рамках осуществления внутреннего контроля Внутренний аудитор выполняет следующие функции:
1.9.1. осуществляет оценку качества и эффективности функционирования системы внутреннего контроля и системы управления рисками квалифицированного бюро, требования к которой установлены главой 2 настоящего Положения;
1.9.2. осуществляет проверку и тестирование достоверности, полноты и своевременности бухгалтерского учета и отчетности, предусмотренной законодательством Российской Федерации и нормативными актами Банка России, а также надежности (включая достоверность, полноту и своевременность) сбора и представления указанной отчетности;
1.9.3. осуществляет оценку экономической целесообразности и эффективности новых сервисов и функций в рамках осуществляемой квалифицированным бюро деятельности по итогам их внедрения (установления);
1.9.4. осуществляет оценку полноты и точности информации, отраженной в базе событий, указанной в подпункте 2.6.1 пункта 2.6 настоящего Положения, а также корректности ведения указанной базы;
1.9.5. осуществляет валидацию и верификацию информации, предоставляемой совету директоров (наблюдательному совету), а в случае его отсутствия - общему собранию акционеров (участников) квалифицированного бюро, в целях контроля за реализацией мероприятий в рамках организации системы управления рисками.
1.10. Для выполнения в рамках системы внутреннего контроля функций, установленных пунктом 1.9 настоящего Положения, Внутренний аудитор:
составляет план проведения проверок (внутреннего аудита) с учетом оценки рисков, изменений в системе внутреннего контроля квалифицированного бюро, системе управления рисками квалифицированного бюро, требования к которой установлены главой 2 настоящего Положения, а также с учетом периодичности проведения проверок направлений деятельности и (или) бизнес-процессов, и (или) структурных подразделений квалифицированного бюро, содержащий в том числе перечень объектов внутреннего аудита, подлежащих проверке, предмет проверок (если планом проведения проверок (внутреннего аудита) предполагается определить отдельные направления оценки объекта внутреннего аудита), календарный график проведения проверок;
составляет акты о результатах проведенных проверок (внутреннего аудита), в которых должны быть отражены основания проведения проверок (внутреннего аудита), сроки их проведения, выводы и рекомендации Внутреннего аудитора (в том числе в части определения сроков реализации рекомендаций по совершенствованию деятельности квалифицированного бюро и ответственных за реализацию указанных рекомендаций лиц);
составляет и направляет не реже одного раза в год отчеты о проведенных проверках (проведенном внутреннем аудите) квалифицированного бюро и ходе выполнения органами управления квалифицированного бюро рекомендаций по совершенствованию деятельности такого бюро (при наличии указанных рекомендаций), а также о случаях, препятствующих осуществлению Внутренним аудитором своих функций (при наличии указанных случаев), членам совета директоров (наблюдательного совета) квалифицированного бюро, а при отсутствии совета директоров (наблюдательного совета) - общему собранию акционеров (участников) квалифицированного бюро.
В рамках организации системы внутреннего контроля квалифицированное бюро должно обеспечить хранение указанных в абзацах втором - четвертом настоящего пункта документов в течение не менее пяти лет с даты их составления.
1.11. Система внутреннего контроля бюро должна предусматривать хранение:
форм подтверждения пользователями наличия согласия субъекта на получение его кредитного отчета - не менее одного года со дня их получения бюро;
кредитных отчетов, предоставляемых по запросу пользователей (включая передаваемые сведения о среднемесячных платежах, индивидуальные рейтинги и скоринги субъектов), - не менее одного года со дня их формирования;
электронных журналов (протоколов), указанных в абзацах восьмом - одиннадцатом пункта 1.2 настоящего Положения, в электронном виде - не менее трех лет со дня формирования электронного журнала (протокола) по каждому действию;
документов, содержащих сведения, включая дополнительную информацию, предусмотренные статьей 4 Федерального закона "О кредитных историях", полученных от источников, - не менее одного года со дня их получения бюро;
запросов кредитных отчетов, включая запрос сведений о среднемесячных платежах, индивидуальных рейтингов, скорингов субъектов, поступивших от пользователей, - не менее одного года со дня их получения бюро;
документов, поступивших в бюро от источников и субъектов, - не менее одного года со дня их получения бюро, а также документов, направленных бюро источникам и субъектам, - не менее одного года со дня их регистрации бюро в рамках оспаривания субъектом информации, содержащейся в его кредитной истории, в соответствии с частью 3 статьи 8 Федерального закона "О кредитных историях";
отчетов о проведенных мероприятиях, направленных на обеспечение качества данных кредитных историй, разрабатываемых и проводимых бюро в соответствии с абзацем седьмым пункта 1.2 настоящего Положения, - не менее одного года со дня их формирования.
1.11(1). Система внутреннего контроля квалифицированного бюро помимо хранения документов, указанных в абзацах втором - восьмом пункта 1.11 настоящего Положения, должна также предусматривать:
хранение заявлений о внесении в кредитную историю сведений о запрете (снятии запрета) на заключение договоров потребительского займа (кредита), подаваемых субъектами кредитных историй - физическими лицами в соответствии со статьей 5.1 Федерального закона "О кредитных историях" (далее соответственно - заявление о запрете, заявление о снятии запрета). Заявление о запрете хранится в квалифицированном бюро на постоянной основе или не менее семи лет со дня снятия такого запрета, заявление о снятии запрета хранится в квалифицированном бюро не менее семи лет;
хранение сведений, направленных в адрес источников, пользователей, бюро, других квалифицированных бюро, субъектов при предоставлении квалифицированным бюро услуг в соответствии с Федеральным законом "О кредитных историях" и (или) принятыми в соответствии с ним нормативными актами Банка России, в электронном виде - не менее одного года со дня направления сведений.
1.12. В рамках организации системы внутреннего контроля бюро должно обеспечивать выполнение контролером (службой внутреннего контроля) и Внутренним аудитором своих функций и решение поставленных задач без вмешательства со стороны иных структурных подразделений и работников бюро, исполнение структурными подразделениями и должностными лицами бюро требований контролера (службы внутреннего контроля) и Внутреннего аудитора, связанных с выполнением их функций, а также обеспечивать контролера (службу внутреннего контроля) и Внутреннего аудитора:
ресурсами (материальными, техническими, кадровыми), необходимыми и достаточными для достижения поставленных перед ними задач;
доступом к информации, необходимой для осуществления ими своих функций.
Глава 2. Требования к системе управления рисками бюро кредитных историй
2.1. В соответствии с частью 2.2 статьи 10 Федерального закона "О кредитных историях" бюро обязано организовать систему управления рисками, предусматривающую совокупность действий органов управления бюро и сотрудников бюро по разработке и реализации стратегии управления рисками, включающей принятие бюро организационно-технических мер по идентификации рисков, их анализу и оценке, определению приемлемого сочетания и уровня принимаемых рисков, а также мер по поддержанию рисков на приемлемом уровне, мониторингу и контролю процессов управления рисками (далее соответственно - стратегия управления рисками, система управления рисками).
2.2. В рамках разработки и реализации стратегии управления рисками органы управления бюро должны обеспечивать соответствие действий, которые бюро планирует осуществить для достижения поставленных целей, финансовых (бюджетных) планов или бизнес-планов бюро, организационной структуры бюро, штатной численности бюро и размера собственных средств квалифицированного бюро характеру и масштабу его деятельности, уровню и сочетанию рисков.
2.3. В целях организации системы управления рисками совет директоров (наблюдательный совет) бюро, а при его отсутствии - общее собрание акционеров (участников) бюро утверждает и осуществляет контроль за реализацией мероприятий в рамках организации системы управления рисками, в том числе утверждает стратегию управления рисками, содержащую основные принципы выявления (подходы к выявлению) рисков, организации процесса управления рисками, измерения и оценки рисков, и при необходимости иные внутренние документы в отношении системы управления рисками. По решению бюро стратегия управления рисками может содержаться в одном или нескольких внутренних документах бюро.
Стратегия управления рисками должна пересматриваться бюро не реже одного раза в год.
2.4. Ответственным за организацию системы управления рисками и за соответствие деятельности бюро стратегии управления рисками должно быть определено лицо, осуществляющее функции единоличного исполнительного органа бюро.
2.5. Система управления рисками должна позволять бюро идентифицировать все риски, в том числе связанные с наступлением следующих событий:
возникновение расходов (убытков) бюро вследствие неисполнения, несвоевременного либо неполного исполнения контрагентом финансовых обязательств перед бюро в соответствии с условиями заключаемого бюро договора об оказании информационных услуг или договора о размещении временно свободных средств бюро;
возникновение расходов (убытков) бюро вследствие несовершенства или ошибочности внутренних процессов бюро, действий или бездействия работников бюро, несоразмерности (недостаточности) функциональных возможностей применяемых бюро информационных, технологических и других систем объемам оказываемых бюро услуг и (или) отказов (нарушений функционирования) указанных систем, а также в результате воздействия внешних событий или неправомерных действий третьих лиц (далее - событие операционного риска). Система управления рисками должна позволять бюро в составе события операционного риска идентифицировать события, связанные с утечками информации;
возникновение расходов (убытков) бюро в результате ухудшения способности бюро поддерживать существующие и устанавливать новые деловые отношения и поддерживать на постоянной основе доступ к финансовым ресурсам вследствие формирования негативного представления о бюро со стороны клиентов, контрагентов, акционеров (участников), инвесторов, надзорных органов;
возникновение у бюро расходов (убытков) и (или) иных неблагоприятных последствий в результате несоответствия его деятельности требованиям законодательства Российской Федерации, нормативных актов Банка России, учредительных и внутренних документов бюро и (или) применения в отношении бюро, его акционеров (участников) и лиц, под контролем или значительным влиянием которых находятся акционеры (участники) бюро, мер со стороны Банка России или органов исполнительной власти;
несоответствие сведений, содержащихся в кредитных историях, требованиям к качеству данных кредитных историй.
2.6. В рамках организации системы управления рисками бюро должно:
2.6.1. организовать ведение аналитической базы событий операционного риска и риска информационной безопасности (далее - БС) в целях их регистрации в соответствии с порядком ведения БС, определенном в стратегии управления рисками. В целях регистрации событий риска информационной безопасности допускается ведение бюро отдельной базы событий риска информационной безопасности. В случае если бюро ведет отдельную базу событий риска информационной безопасности должна обеспечиваться согласованность указанной базы с базой событий операционного риска;
2.6.2. организовать процесс идентификации риска, позволяющий составлять перечень и описание элементов риска (определение риск-факторов, риск-событий, в том числе и риска информационной безопасности путем анализа БС, их последствий, возможности наступления указанных последствий, а также отнесение риска к определенному виду), которому может быть подвержено бюро;
2.6.3. организовать процесс анализа рисков, который должен включать в себя процесс изучения природы и характера рисков и определения их уровня;
2.6.4. организовать процесс оценки рисков, позволяющий определить приемлемость риска, выявленного в ходе процесса анализа риска;
2.6.5. предусмотреть утверждение методов оценки рисков в рамках стратегии управления рисками;
2.6.6. организовать процесс воздействия на риски, который должен включать:
определение необходимости воздействия на риск;
определение и оценку мер воздействия на риск;
определение приемлемости уровня риска после воздействия на риск, а также определение и оценку новых мер воздействия на риск, если уровень риска остается неприемлемым;
2.6.7. документально фиксировать факты возникновения рисков, риск-событий и факты воздействия на них, а также обеспечить хранение информации об указанных фактах в течение не менее трех лет со дня их возникновения;
2.6.8. организовать мониторинг рисков, который должен включать в себя процесс наблюдения за рисками, в том числе за их соответствием допустимому (приемлемому) уровню, внедрением мер реагирования на риски и контрольных процедур, эффективностью данных мер и процедур, а также анализа внешней среды;
2.6.9. организовать мониторинг и контроль процессов управления рисками, которые должны распространяться на все процессы управления рисками и обеспечивать проверку:
предположений, на которых основана оценка риска;
соответствия результатов оценки риска фактической информации о риске;
соответствия применения методов оценки риска принципам стратегии управления рисками;
эффективности процесса воздействия бюро на риск;
2.6.10. организовать осуществление мероприятий по восстановлению непрерывности деятельности бюро в объемах и сроки, которые предусмотрены планом обеспечения непрерывности деятельности бюро (далее - План ОНД), требования к содержанию, порядок и сроки представления которого бюро в Банк России установлены главами 3 и 4 настоящего Положения соответственно;
2.6.11. предусмотреть порядок обмена информацией между работниками и органами управления бюро, обеспечивающий распределение ответственности и полномочий по управлению рисками, в том числе в случае возникновения непредвиденных обстоятельств, а также порядок обмена бюро информацией, необходимой для управления рисками, со своими контрагентами и надзорными органами;
2.6.12. предусмотреть порядок взаимодействия бюро с источником, направленный на приведение сведений, представляемых источником в бюро, в соответствие с требованиями к качеству данных кредитных историй, включая порядок уведомления бюро источника о каждом случае несоответствия сведений, содержащихся в кредитных историях, требованиям к качеству данных кредитных историй и порядок направления бюро источнику не реже одного раза в месяц отчета о качестве данных, содержащего информацию обо всех записях и (или) иных данных кредитных историй, не соответствующих требованиям к качеству данных кредитных историй (если в течение отчетного месяца источнику хотя бы один раз направлялось уведомление о несоответствии сведений, содержащихся в кредитных историях, требованиям к качеству данных кредитных историй).
Глава 3. Требования к содержанию плана обеспечения непрерывности деятельности бюро кредитных историй, вносимых в него изменений, а также к виду и характеру событий, предусмотренных указанным планом, о наступлении которых бюро кредитных историй обязано информировать Банк России
3.1. В соответствии с частью 2.3 статьи 10 Федерального закона "О кредитных историях" бюро обязано разрабатывать План ОНД.
Разработанный бюро План ОНД должен содержать меры, направленные на обеспечение:
способности бюро осуществлять оказание услуг по формированию, обработке и хранению кредитных историй, а также по предоставлению кредитных отчетов и сопутствующих услуг, функционирования внутренних процессов бюро, приостановление которых влечет нарушение осуществления деятельности бюро, его контрагентов или клиентов, в том числе создает угрозу нарушения прав или неисполнения обязанностей со стороны источников, пользователей, субъектов и иных бюро (далее - критически важные процессы), на приемлемом, заранее заданном бюро уровне, в том числе в условиях возникновения нестандартных и чрезвычайных ситуаций (далее - НЧС);
восстановления деятельности бюро в случае ее нарушения в результате возникновения НЧС.
3.2. При утверждении Плана ОНД (новой редакции Плана ОНД) бюро составляется аналитическая записка, которая является неотъемлемой частью Плана ОНД и должна содержать:
информацию о последнем проведенном бюро на момент утверждения Плана ОНД (новой редакции Плана ОНД) тестировании, указанном в абзаце тринадцатом пункта 3.3 настоящего Положения;
прогнозную оценку вероятных существенных изменений в деятельности бюро в период действия Плана ОНД, способных повлиять на возможность его реализации.
3.3. План ОНД должен содержать:
порядок и сроки осуществления бюро мероприятий по предотвращению, снижению влияния и ликвидации последствий возможного нарушения режима повседневного функционирования бюро, вызванного НЧС;
перечень событий, о наступлении в деятельности бюро которых бюро обязано информировать Банк России в соответствии с частью 2.3 статьи 10 Федерального закона "О кредитных историях" (далее - События). Вид и характер Событий должны быть сопряжены со спецификой и масштабом деятельности бюро, а также масштабом события, связанного с приостановлением критически важных процессов, возникающего в деятельности бюро в результате НЧС и оцениваемого бюро исходя из возможного ущерба и негативных последствий для бюро, его контрагентов и клиентов вследствие нарушения непрерывности деятельности бюро, с учетом вероятности и времени возникновения указанных нарушений;
процедуры, выполнение которых бюро в режиме повседневного функционирования бюро необходимо для успешной реализации Плана ОНД, в том числе процедуры, направленные на обеспечение непрерывности функционирования программно-технических средств бюро и сетевых коммуникаций (далее - ПТС и сетевые коммуникации);
перечень критически важных процессов и ресурсов бюро (персонал, помещения, ПТС и сетевые коммуникации, данные, внешние поставщики и тому подобное), обеспечивающих непрерывность оказания услуг бюро, а также приоритеты их восстановления;
характеристики показателей надежности ПТС и сетевых коммуникаций, в том числе максимальное значение среднего времени восстановления ПТС и сетевых коммуникаций, обеспечивающих выполнение критически важных процессов в условиях возникновения НЧС, определяемого в соответствии с пунктом 100 национального стандарта Российской Федерации ГОСТ Р 27.102-2021 "Надежность в технике. Надежность объекта. Термины и определения" < 1 > , а также целевое значение коэффициента технического использования ПТС и сетевых коммуникаций, обеспечивающих выполнение критически важных процессов, определяемого в соответствии с пунктом 109 указанного национального стандарта;
< 1 > Утвержден приказом Федерального агентства по техническому регулированию и метрологии от 8 октября 2021 года N 1104-ст (М., ФГБУ "РСТ", 2021) и введен в действие 1 января 2022 года.
сценарии нарушения непрерывности деятельности бюро, а также восстановления деятельности бюро для каждого из критически важных процессов;
порядок проведения анализа факторов, вызвавших НЧС, и их изменений не реже одного раза в год и в случае необходимости пересмотра (актуализации) их состава;
порядок проведения оценки вероятности возникновения НЧС и определения характера и степени влияния НЧС на непрерывность деятельности бюро;
плановую (целевую) точку восстановления каждого из критически важных процессов в условиях возникновения НЧС (которая не может быть определена реже, чем один раз в сутки);
порядок осуществления бюро критически важных процессов в условиях возникновения НЧС, если они подвергаются изменению под воздействием НЧС;
программу (программы) тестирования Плана ОНД (мероприятий Плана ОНД) с учетом перечня возможных НЧС и перечня возможных сценариев, предусматривающую (предусматривающие) в том числе инструкции для структурных подразделений и работников бюро с описанием действий, необходимых для проведения тестирования Плана ОНД;
порядок тестирования Плана ОНД, проводимого не реже одного раза в год по программе (программам) тестирования Плана ОНД (мероприятий Плана ОНД), предусматривающего моделирование потенциальных НЧС и привлечение сотрудников бюро;
порядок подготовки и представления совету директоров (наблюдательному совету) бюро, а при отсутствии совета директоров (наблюдательного совета) - общему собранию акционеров (участников) бюро не реже одного раза в год отчета о результатах тестирования ПТС и сетевых коммуникаций;
порядок составления и представления совету директоров (наблюдательному совету) бюро, а при отсутствии совета директоров (наблюдательного совета) - общему собранию акционеров (участников) бюро не реже одного раза в год отчета о реализации мер по обеспечению непрерывности деятельности бюро (далее - отчет о реализации мер по ОНД), содержащего результаты расчетов фактических значений показателей коэффициента технического использования и среднего времени до восстановления ПТС и сетевых коммуникаций, указанных в абзаце шестом настоящего пункта, обеспечивающих выполнение критически важных процессов;
порядок принятия решений советом директоров (наблюдательным советом) бюро, а при отсутствии совета директоров (наблюдательного совета) - общим собранием акционеров (участников) бюро о внесении изменений в План ОНД, в том числе по результатам рассмотрения отчетов о результатах тестирования Плана ОНД;
порядок взаимодействия между органами управления и сотрудниками бюро в условиях НЧС, в том числе с учетом взаимозаменяемости сотрудников бюро;
порядок экстренного оповещения и способ связи между органами управления, подразделениями и сотрудниками бюро;
информацию о контактах экстренных оперативных служб (телефонные номера) и внутренние контакты (телефонные номера, адреса электронной почты) лиц, ответственных за выполнение мер по восстановлению функционирования критически важных процессов;
перечень полномочий органов управления, подразделений и сотрудников бюро по реализации мероприятий в рамках Плана ОНД;
сведения о максимально допустимом периоде для возобновления критически важных процессов в случае возникновения НЧС, по истечении которого существует угроза прекращения деятельности бюро;
сведения о минимальном уровне оказания услуг, предоставляемых бюро в условиях НЧС, а также о функционировании критически важных процессов;
порядок информирования бюро клиентов, контрагентов и Банка России о возникновении и возможных последствиях НЧС.
3.4. Для целей оценки возможных расходов (убытков) бюро, а также его контрагентов в Плане ОНД должен быть определен перечень возможных чрезвычайных ситуаций с соблюдением требований Федерального закона от 21 декабря 1994 года N 68-ФЗ "О защите населения и территорий от чрезвычайных ситуаций природного и техногенного характера" (Собрание законодательства Российской Федерации, 1994, N 35, ст. 3648; 2021, N 24, ст. 4188).
3.5. План ОНД должен быть разработан бюро применительно к НЧС, сопоставимым по размерам возможных материальных потерь и негативным последствиям нематериального характера с чрезвычайной ситуацией муниципального характера или, в зависимости от характера, масштабов и условий деятельности бюро, - с чрезвычайной ситуацией межмуниципального, регионального или межрегионального характера в соответствии с классификацией чрезвычайных ситуаций, установленной постановлением Правительства Российской Федерации от 21 мая 2007 года N 304 "О классификации чрезвычайных ситуаций природного и техногенного характера" (Собрание законодательства Российской Федерации, 2007, N 22, ст. 2640; 2019, N 52, ст. 7981).
План ОНД должен предусматривать возможность реализации бюро отдельных частей Плана ОНД в случае НЧС меньшего масштаба, связанных с проявлением (по отдельности или в сочетаниях) таких факторов, как выход из строя технических средств, сбои и отказы в работе ПТС и сетевых коммуникаций, нарушение коммунальной инфраструктуры, перебои в электроснабжении, отказ организаций-контрагентов (в том числе поставщиков услуг бюро) от исполнения своих обязательств.
3.6. План ОНД должен предусматривать мероприятия по осуществлению бюро контроля и поддержанию непрерывности функционирования критически важных процессов, в том числе:
ознакомление с утвержденным Планом ОНД сотрудников, ответственных за его исполнение;
включение в должностные инструкции сотрудников бюро, участвующих в процессе обеспечения непрерывности деятельности бюро, необходимых положений, отражающих их роли и обязанности в рамках исполнения Плана ОНД;
обеспечение регулярного обучения сотрудников бюро, ответственных за обслуживание критически важных процессов, по вопросам обеспечения непрерывности функционирования указанных процессов.
3.7. План ОНД должен предусматривать, что при привлечении бюро к осуществлению критически важных процессов сторонних организаций бюро должно убедиться, что указанные организации принимают меры для обеспечения непрерывности собственной деятельности и (или) что предоставление сторонними организациями сервисов и услуг в случае сбоев и (или) нарушений в их предоставлении может быть восстановлено, или что может быть произведена замена сторонней организации при обеспечении соблюдения требований настоящего Положения.
3.8. В целях обеспечения бесперебойного функционирования ПТС и сетевых коммуникаций Планом ОНД должны быть предусмотрены:
перечень ПТС и сетевых коммуникаций и обрабатываемой информации, используемых для обслуживания критически важных процессов;
необходимость внедрения и настройки ПТС и сетевых коммуникаций с целью их бесперебойного функционирования;
необходимость проведения постоянного мониторинга текущего состояния ПТС и сетевых коммуникаций и применения своевременных мер по устранению выявленных недостатков;
осуществление ежедневного резервного копирования информации и баз данных, обслуживающих критически важные процессы, с периодом, обеспечивающим определенную точку их восстановления, на резервные машинные носители информации для возобновления указанных процессов в случае утраты или повреждения информации или баз данных вследствие возникновения НЧС;
возможность поддержки непрерывной работы ПТС и сетевых коммуникаций и синхронизации баз данных бюро между резервными машинными носителями, а также автоматической синхронизации времени во всех компонентах ПТС и сетевых коммуникаций;
оценка пропускной способности линий связи и коммуникационного оборудования, а также быстродействия ПТС и сетевых коммуникаций, в том числе путем проведения нагрузочного тестирования;
необходимость наличия достаточной пропускной способности линий связи и коммуникационного оборудования, а также достаточного быстродействия ПТС и сетевых коммуникаций и возможность их наращивания для обработки в случае увеличения объемов операций, совершаемых бюро в рамках оказания услуг, в периоды повышенной нагрузки.
3.9. В плане ОНД должна быть отражена обязанность бюро организовать непрерывное и бесперебойное функционирование своих ПТС и сетевых коммуникаций, обеспечивающих выполнение критически важных процессов, с возможностью отключения ПТС и сетевых коммуникаций на время простоя, обусловленного техническим обслуживанием и ремонтом.
3.10. Планом ОНД должна быть предусмотрена необходимость ведения электронных журналов (протоколирования) бюро всех критически важных процессов в соответствии с абзацами восьмым - одиннадцатым пункта 1.2 настоящего Положения.
3.11. План ОНД должен предусматривать обязанность бюро по обеспечению регулярного контроля выполнения мероприятий Плана ОНД и информирования совета директоров (наблюдательного совета) бюро, а при отсутствии совета директоров (наблюдательного совета) - общего собрания акционеров (участников) бюро о выполнении мероприятий по Плану ОНД, в том числе:
о проведении анализа факторов, вызвавших НЧС, и их изменений;
о проведении оценки вероятности возникновения НЧС и об определении характера и степени влияния НЧС на непрерывность деятельности бюро;
о проведении тестирования Плана ОНД;
о проведении тестирования ПТС и сетевых коммуникаций с учетом выявленных факторов;
о подготовке отчета о результатах тестирования ПТС и сетевых коммуникаций;
о составлении отчета о реализации мер по ОНД.
3.12. План ОНД должен быть утвержден советом директоров (наблюдательным советом) бюро, а при отсутствии совета директоров (наблюдательного совета) - общим собранием акционеров (участников) бюро.
При необходимости внесения изменений в План ОНД он должен быть утвержден в новой редакции.
Глава 4. Порядок и сроки представления в Банк России плана обеспечения непрерывности деятельности бюро кредитных историй, вносимых в него изменений
4.1. План ОНД представляется бюро в Банк России (структурное подразделение Банка России, к полномочиям которого относится осуществление регулирования и контроля деятельности бюро (далее - уполномоченное структурное подразделение), в течение 3 месяцев с даты внесения записи о бюро в государственный реестр бюро кредитных историй и ежегодно не позднее 1 апреля.
В случае утверждения Плана ОНД в новой редакции План ОНД представляется бюро в уполномоченное структурное подразделение в течение 5 рабочих дней с даты утверждения новой редакции Плана ОНД.
В случае представления в уполномоченное структурное подразделение Плана ОНД в новой редакции к Плану ОНД прилагается полный перечень внесенных бюро изменений в План ОНД, представленный в табличном виде, с указанием номера структурной единицы (например, главы, статьи, раздела, пункта, подпункта) Плана ОНД, утверждаемого в новой редакции (номера добавленной структурной единицы - в случае дополнения Плана ОНД новой структурной единицей), ее действующей редакции, новой редакции соответствующей структурной единицы (редакции новой структурной единицы - в случае дополнения Плана ОНД новой структурной единицей) и причин утверждения новой редакции Плана ОНД.
4.2. При наличии в Плане ОНД ссылок на внутренние документы бюро к Плану ОНД прилагаются копии внутренних документов.
4.3. План ОНД, прилагаемые к нему документы, указанные в абзаце третьем пункта 4.1, пункте 4.2 настоящего Положения (при наличии), представляются бюро в форме электронных документов в соответствии с порядком взаимодействия Банка России с лицами, оказывающими профессиональные услуги на финансовом рынке, определенным на основании частей первой и восьмой статьи 76.9-11 Федерального закона от 10 июля 2002 года N 86-ФЗ "О Центральном банке Российской Федерации (Банке России)" (Собрание законодательства Российской Федерации, 2002, 28, ст. 2790; 2021, N 27, ст. 5187) (далее - личный кабинет).
4.4. План ОНД с приложениями (при наличии) представляется бюро в виде файла в формате, обеспечивающем возможность его сохранения на технических средствах и допускающем после сохранения возможность поиска и копирования произвольного фрагмента текста средствами для просмотра (файл с расширением "*.doc", "*.docx", "*.rtf").
4.5. В случае выявления нарушения бюро требований к оформлению и (или) комплектности документов, установленных пунктами 4.1 - 4.4 настоящего Положения, уполномоченное структурное подразделение не позднее 5 рабочих дней со дня представления Плана ОНД и прилагаемых к нему документов (при наличии) в Банк России направляет бюро посредством личного кабинета уведомление с указанием выявленных нарушений требований к оформлению и (или) комплектности документов, перечня недостающих документов, а также срока их представления (далее - уведомление о представлении документов).
В случае направления бюро уведомления о представлении документов срок, предусмотренный пунктом 5.1 настоящего Положения для проведения Банком России оценки Плана ОНД, исчисляется со дня представления бюро в Банк России документов в соответствии с уведомлением о представлении документов.
Глава 5. Порядок оценки Банком России плана обеспечения непрерывности деятельности бюро кредитных историй
5.1. Уполномоченное структурное подразделение в срок, не превышающий 20 рабочих дней со дня поступления в Банк России Плана ОНД и прилагаемых к нему документов (при наличии), осуществляет оценку Плана ОНД.
5.2. Оценка Банком России Плана ОНД осуществляется посредством:
анализа соответствия Плана ОНД требованиям настоящего Положения;
анализа достаточности и реализуемости мероприятий, предусмотренных Планом ОНД;
анализа результатов тестирования и иной существенной информации, содержащейся в аналитической записке к Плану ОНД, указанной в пункте 3.2 настоящего Положения.
Результаты оценки оформляются решением о соответствии или несоответствии Плана ОНД требованиям настоящего Положения и доводятся уполномоченным структурным подразделением до сведения бюро посредством личного кабинета в течение 5 рабочих дней со дня окончания оценки Плана ОНД.
5.3. Уполномоченное структурное подразделение запрашивает у бюро (в случае необходимости) для принятия решения о соответствии или несоответствии Плана ОНД требованиям настоящего Положения дополнительную информацию с указанием срока ее представления.
В случае если указанный срок превышает 1 рабочий день, срок, предусмотренный пунктом 5.1 настоящего Положения для проведения Банком России оценки Плана ОНД, приостанавливается до дня представления бюро запрошенной информации в уполномоченное структурное подразделение.
5.4. В случае непредставления бюро документов в Банк России в соответствии с уведомлением о представлении документов (либо непредставления документов в сроки, указанные в уведомлении о представлении документов) Банк России в срок, предусмотренный пунктом 5.1 настоящего Положения для проведения оценки Плана ОНД, принимает решение о несоответствии Плана ОНД требованиям настоящего Положения.
Глава 6. Порядок информирования бюро кредитных историй Банка России о наступлении в его деятельности событий, предусмотренных планом обеспечения непрерывности деятельности бюро кредитных историй, и принятии решения о начале реализации указанного плана
6.1. Бюро должно направлять в уполномоченное структурное подразделение информационные сообщения о наступлении в деятельности бюро Событий, а также о принятии бюро решения о начале реализации Плана ОНД (далее - сообщения) в течение одного рабочего дня, следующего за днем наступления Событий (принятия бюро решения о начале реализации Плана ОНД).
Сообщения должны направляться бюро посредством личного кабинета.
6.2. В сообщениях бюро должно указывать Событие (его вид и характер) и время его наступления, сведения о принятии бюро решения о начале реализации Плана ОНД, а также перечень проведенных бюро мероприятий, направленных на восстановление непрерывности деятельности бюро, с указанием сроков их реализации.
Глава 7. Заключительные положения
7.1. Настоящее Положение подлежит официальному опубликованию и в соответствии с решением Совета директоров Банка России (протокол заседания Совета директоров Банка России от 13 августа 2021 года N ПСД-19) вступает в силу с 1 января 2022 года.
И.о. Председателя Центрального банка
Российской Федерации
Д.В.ТУЛИН