Информационная безопасность
Перечень основных требований Положения 242-П.
С полной версией документа можно ознакомиться на сайте Консультант Плюс.
ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ
16 декабря 2003 г. N 242-П
ПОЛОЖЕНИЕ ОБ ОРГАНИЗАЦИИ ВНУТРЕННЕГО КОНТРОЛЯ В КРЕДИТНЫХ ОРГАНИЗАЦИЯХ И БАНКОВСКИХ ГРУППАХ
(в редакции Указаний ЦБ РФ от 05.03.2009 N 21У94-У)
2. Система органов внутреннего контроля
2.1. В уставе КО должны содержаться сведения о системе органов внутреннего контроля.
2.2. Внутренний контроль должны осуществлять:
- органы управления организации (см. ст.11.1 ФЗ «О банках и банковской деятельности»);
- ревизионная комиссия (ревизор);
- главный бухгалтер (его заместители) КО;
- руководитель и главный бухгалтер филиала КО;
- подразделения и служащие, осуществляющие внутренний контроль:
- 2.2.1. СВК.
- 2.2.2. Подразделение по противодействию легализации.
- 2.2.3. Иные подразделения и/или сотрудники.
3. Система внутреннего контроля
3.1. Система внутреннего контроля должна включать следующие направления:
- контроль за организацией деятельности;
- контроль за управлением банковскими рисками и оценка банковских рисков;
- контроль за распределением полномочий при совершении операций;
- контроль за управлением информационными потоками и обеспечением ИБ;
- мониторинг системы внутреннего контроля.
3.5. Контроль за управлением информационными потоками и обеспечением ИБ.
- 3.5.2. Внутренний контроль за АИС и техническими средствами состоит из общего контроля и программного контроля.
- 3.5.3. Общий контроль предусматривает контроль компьютерных систем с целью обеспечения бесперебойной и непрерывной работы.
- 3.5.4. Программный контроль обработки банковских операций осуществляется встроенными в прикладные программы процедурами.
- 3.5.5. КО устанавливает правила управления информационной деятельностью, включая порядок защиты от несанкционированного доступа и использования конфиденциальной информации.
3.7. КО необходимо обеспечить ОНиВД. КО должна иметь план ОНиВД, предусматривающий использование дублирующих (резервных) автоматизированных систем и/или устройств, а также восстановление критически важных для деятельности КО систем, поддерживаемых внешним поставщиком (провайдером) услуг. КО определяет порядок проверки возможности выполнения плана ОНиВД.
4. Служба внутреннего контроля
4.1. СВК КО создается для осуществления внутреннего контроля и содействия органам управления в обеспечении эффективного функционирования КО.
4.2. Внутренний документ, регулирующий деятельность СВК, должен определять:
- цели и сферу деятельности СВК;
- принципы (стандарты) и методы деятельности СВК;
- статус СВК в организационной структуре КО, ее задачи, полномочия, права и обязанности, а также взаимоотношения с другими подразделениями;
- подчиненность и подотчетность руководителя СВК;
- порядок участия СВК в разработке внутренних документов организации.
4.4. СВК осуществляет следующие функции:
- 4.4.1. Проверка и оценка эффективности системы внутреннего контроля.
- 4.4.2. Проверка полноты применения и эффективности методологии оценки банковских рисков и процедур управления банковскими рисками.
- 4.4.3. Проверка надежности функционирования системы внутреннего контроля за использованием АИС.
- 4.4.4. Проверка достоверности, полноты, объективности и своевременности бухгалтерского учета и отчетности и их тестирование.
- 4.4.6. Проверка применяемых способов (методов) обеспечения сохранности имущества КО.
- 4.4.7. Оценка экономической целесообразности и эффективности совершаемых КО операций.
- 4.4.8. Проверка соответствия внутренних документов КО требованиям законодательства и регуляторов.
- 4.4.9. Проверка процессов и процедур внутреннего контроля.
- 4.4.10. Проверка систем, созданных в целях соблюдения правовых требований, профессиональных кодексов поведения.
- 4.4.11. Оценка работы службы управления персоналом КО.
4.5. КО обязана обеспечить постоянство деятельности, независимость и беспристрастность СВК, профессиональную компетентность ее руководителя и служащих, создать условия для беспрепятственного и эффективного осуществления СВК своих функций.
4.7. Независимость СВК.
- 4.7.1. КО обеспечивает независимость СВК в соответствии с порядком, в котором должно быть установлено, что СВК:
- действует под непосредственным контролем СД;
- не осуществляет деятельность, подвергаемую проверкам;
- по собственной инициативе докладывает СД о возникающих вопросах и предложениях, раскрывает эту информацию исполнительному органу КО.
4.11. СВК осуществляется контроль эффективности принятых подразделениями и органами управления мер по результатам проверок.
ПРИЛОЖЕНИЕ №2 ПЕРЕЧЕНЬ ОСНОВНЫХ ВОПРОСОВ, СВЯЗАННЫХ С ОСУЩЕСТВЛЕНИЕМ ВНУТРЕННЕГО КОНТРОЛЯ, ПО КОТОРЫМ КРЕДИТНАЯ ОРГАНИЗАЦИЯ ДОЛЖНА ПРИНЯТЬ ВНУТРЕННИЕ ДОКУМЕНТЫ
- Учет (учетная политика).
- Управление банковскими рисками.
- Кредитная и депозитная политика.
- Порядок осуществления кредитования связанных лиц.
- Открытие (закрытие) и ведение счетов и вкладов.
- Процентная политика.
- Осуществление расчетов (наличных, безналичных).
- Совершение операций с валютными ценностями.
- Осуществление валютного контроля.
- Совершение операций с ценными бумагами.
- Выдача банковских гарантий.
- Совершение кассовых операций, инкассация денежных средств и других ценностей.
- Правила внутреннего контроля в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма.
- Политика ИБ.
- ОНиВД.
ПРИЛОЖЕНИЕ №3 ОСНОВНЫЕ СПОСОБЫ (МЕТОДЫ) ОСУЩЕСТВЛЕНИЯ ПРОВЕРОК СЛУЖБОЙ ВНУТРЕННЕГО КОНТРОЛЯ
1. Основными способами (методами) осуществления проверок СВК являются:
- финансовая проверка;
- проверка соблюдения законодательства, требований регуляторов, внутренних документов КО;
- операционная проверка;
- проверка качества управления.
2. Руководитель и служащие СВК имеют право (при условии соблюдения действующих в КО требований):
- входить в помещения проверяемого подразделения, а также в помещения, используемые для хранения документов, наличных денег и ценностей, обработки и хранения данных;
- получать документы и копии с документов и иной информации, а также любых сведений, имеющихся в информационных системах КО, необходимых для осуществления контроля;
- привлекать при осуществлении проверок служащих КО и требовать от них обеспечения доступа к документам, иной информации, необходимой для проведения проверок.
3. План проведения проверок, осуществляемых СВК, должен включать график осуществления проверок и составляться исходя из методологии оценки управления банковскими рисками, учитывающей изменения в системе внутреннего контроля и новые направления деятельности КО.
4. Требуется разработка отдельной программы проверки каждого направления (вопроса) деятельности КО, содержащей цели проверки и определение ключевых банковских рисков и механизмов обеспечения полноты и эффективности контроля в проверяемом направлении банковской деятельности.
5. В рабочих документах проверок СВК отражаются этапы проверки и выполненные проверочные процедуры, данные о рассмотренных документах и иной полученной в ходе проверки информации.
6. Отчеты по результатам проверок должны содержать описание целей проверки, выполненных работ, выявленных нарушений, ошибок и недостатков в деятельности КО, рекомендации СВК по улучшению работы и устранению нарушений, ошибок и недостатков.
ПРИЛОЖЕНИЕ №5 РЕКОМЕНДАЦИИ ПО СТРУКТУРЕ И СОДЕРЖАНИЮ ПЛАНА ДЕЙСТВИЙ, НАПРАВЛЕННЫХ НА ОБЕСПЕЧЕНИЕ НЕПРЕРЫВНОСТИ ДЕЯТЕЛЬНОСТИ И (ИЛИ) ВОССТАНОВЛЕНИЕ ДЕЯТЕЛЬНОСТИ КРЕДИТНОЙ ОРГАНИЗАЦИИ В СЛУЧАЕ ВОЗНИКНОВЕНИЯ НЕПРЕДВИДЕННЫХ ОБСТОЯТЕЛЬСТВ, А ТАКЖЕ ПО ОРГАНИЗАЦИИ ПРОВЕРКИ ВОЗМОЖНОСТИ ЕГО ВЫПОЛНЕНИЯ
2. КО рекомендуется определить порядок разработки, согласования, утверждения, пересмотра и проверки (тестирования) Плана ОНиВД с указанием полномочий ее органов управления и подразделений.
3. Разработку Плана ОНиВД рекомендуется проводить с учетом анализа следующих факторов:
- 3.1. виды и характер возможных непредвиденных обстоятельств, связанные с ними виды и степени воздействия на деятельность КО, способные нарушить режим повседневного функционирования КО и способность выполнять свои обязательства;
- 3.2. перечень критически важных для повседневного функционирования КО внутренних банковских процессов, а также обеспечивающих их АИС;
- 3.3. показатели восстановления внутренних банковских процессов (в т.ч. срок восстановления, допустимые размеры материальных затрат и потерь информации).
4. Целями Плана ОНиВД рекомендуется определить в том числе:
- поддержание способности КО выполнять свои обязательства перед вкладчиками и кредиторами;
- предупреждение и предотвращение возможного нарушения режима повседневного функционирования КО;
- снижение тяжести последствий нарушения режима повседневного функционирования КО;
- сохранение уровня управления КО, позволяющего обеспечить условия для принятия и реализации оптимальных управленческих решений;
- обеспечение способности КО осуществлять расчеты в соответствии со своими обязательствами;
- обеспечение ИБ КО, в том числе ее расчетной системы;
- обеспечение благоприятных условий труда и безопасности служащих КО, безопасности лиц, находящихся в помещениях (посетителей) КО.
6. План ОНиВД рекомендуется разрабатывать применительно к крупномасштабным непредвиденным обстоятельствам. При этом рекомендуется предусмотреть возможность реализации отдельных автономных частей (модулей) Плана ОНиВД в случае непредвиденных обстоятельств меньшего масштаба.
9. Содержание Плана ОНиВД.
- 9.1. В План ОНиВД рекомендуется включать:
- порядок его реализации, включая порядок принятия решения о переводе деятельности КО в чрезвычайный режим, а также порядок управления КО в чрезвычайном режиме;
- перераспределение обязанностей и полномочий как между подразделениями, так и между служащими КО в условиях чрезвычайного режима с учетом взаимозаменяемости служащих в случае отсутствия (недоступности) ответственных и/или уполномоченных служащих;
- перечень установленных в КО процедур, выполнение которых в режиме повседневного функционирования КО необходимо для успешной реализации Плана ОНиВД, а также очередность и сроки их выполнения;
- порядок взаимодействия, в том числе порядок экстренного оповещения и связи, между органами управления, подразделениями и служащими КО при возникновении непредвиденных обстоятельств;
- порядок информирования и взаимодействия с заинтересованными лицами по вопросам ОНиВД КО;
- детальные инструкции для подразделений и служащих КО, содержащие описание действий, необходимых для поддержания или своевременного возобновления функционирования критически важных для деятельности КО внутренних банковских процессов и АИС;
- порядок завершения работы в чрезвычайном режиме и возврата в режим повседневного функционирования.
- 9.2. В целях обеспечения способности КО выполнять свои обязательства и минимизировать возможные негативные последствия непредвиденных обстоятельств, в Плане ОНиВД рекомендуется определить порядок осуществления внутренних банковских процессов в чрезвычайном режиме.
- 9.2.1. Для каждого внутреннего банковского процесса рекомендуется определить уровень его осуществления, в том числе:
- осуществление в режиме повседневного функционирования;
- осуществление на сниженном (заданном) уровне по сравнению с уровнем режима повседневного функционирования в течение заданного периода времени;
- прекращение его осуществления (планомерное или максимально быстрое и безопасное).
- 9.2.2. Для каждого критически важного для деятельности КО внутреннего банковского процесса рекомендуется дополнительно определить:
- критерии непрерывности осуществления;
- развернутый перечень ресурсов — кадровых, финансовых, материальных, информационных, средств связи, необходимых для его поддержания в чрезвычайном режиме;
- помещения, предназначенные для осуществления процесса в чрезвычайном режиме в случае недоступности помещений, используемых в режиме повседневного функционирования;
- возможность получения услуг, необходимых для осуществления процесса, в случае отказа поставщика указанных услуг (провайдера) от исполнения договорных обязательств.
- 9.2.3. В Плане ОНиВД рекомендуется предусмотреть периодичность и способы создания резервных копий информации. Рекомендуется определить места хранения и способы доставки резервных копий до мест хранения, а также способы и сроки восстановления информации.
- В Плане ОНиВД рекомендуется определить порядок хранения документированной информации, а также порядок восстановления документов в случае утраты их оригиналов.
- 9.2.4. В Плане ОНиВД рекомендуется предусмотреть способы экстренного поддержания ликвидности на случай непредвиденных обстоятельств.
- 9.2.5. В инструкциях для подразделений и служащих КО рекомендуется определять:
- порядок действий при возникновении непредвиденных обстоятельств или появлении реальной угрозы их возникновения;
- процедуры перевода работы в чрезвычайный режим;
- порядок осуществления критически важных для деятельности КО внутренних банковских процессов в чрезвычайном режиме, описание изменений в технологиях их осуществления;
- порядок доступа к ресурсам, необходимым для работы в чрезвычайном режиме.
- 9.2.6. В Плане ОНиВД рекомендуется предусмотреть порядок восстановления нарушенных внутренних банковских процессов после ликвидации последствий непредвиденных обстоятельств, критерии, позволяющие принять решение о завершении работы в чрезвычайном режиме, и порядок принятия такого решения, а также порядок возврата в режим повседневного функционирования.
11. Порядок проверки (тестирования) и пересмотра Плана ОНиВД.
- 11.1. Рекомендуется предусмотреть проведение проверок Плана ОНиВД с периодичностью не реже 1 раза в 2 года.
- 11.2. Решение о проведении проверки Плана ОНиВД рекомендуется оформлять в соответствии с установленным в КО порядком. При этом рекомендуется определить:
- программу, форму и сроки проведения проверки Плана ОНиВД;
- перечень подразделений и служащих КО, участвующих в проверке Плана ОНиВД;
- перечень проверяемых модулей Плана ОНиВД;
- перечень ресурсов, предполагаемых для использования при проверке Плана ОНиВД;
- состав и обязанности группы наблюдателей (контролеров);
- сроки и порядок оформления результатов проверки Плана ОНиВД.
- 11.2.1. Проверку Плана ОНиВД рекомендуется проводить по заранее разработанной и утвержденной исполнительным органом КО программе, предусматривающей вводные данные, подробное описание действий служащих в соответствии с проверяемым Планом ОНиВД или модулем Плана ОНиВД, требования по срокам завершения промежуточных этапов выполнения Плана ОНиВД.
- 11.2.2. Для проведения проверки (тестирования) Плана ОНиВД рекомендуется определить группу наблюдателей (контролеров), на которую возложить контроль выполнения предусмотренных Планом ОНиВД мероприятий, составление протокола проверки и отчета о проведении проверки Плана ОНиВД.
- 11.2.3. Протокол проверки Плана ОНиВД рекомендуется вести по установленной внутренними документами КО форме. При этом в протоколе рекомендуется указывать:
- список наблюдателей (контролеров), присутствующих при проверке;
- перечень всех процедур, выполняемых в рамках тестируемых модулей Плана ОНиВД, с отметками о соответствии результатов их выполнения Плану ОНиВД;
- время, затраченное на завершение промежуточных этапов и реализацию проверяемых модулей Плана ОНиВД;
- описание выявленных недостатков Плана ОНиВД или подготовки служащих.
12. План ОНиВД рекомендуется не реже 1 раза в 2 года пересматривать с целью обеспечения его соответствия организационной структуре, характеру и масштабам деятельности КО, утвержденной стратегии развития деятельности КО, условиям мест нахождения КО (ее подразделений), а также для устранения недостатков, выявленных в ходе проверок Плана ОНиВД, и учета вновь выявленных факторов, которые могут привести к нарушению повседневного функционирования КО.
Указание Банка России от 05.03.2009 N 2194-У «О внесении изменений в Положение Банка России от 16 декабря 2003 года N 242-П «Об организации внутреннего контроля в кредитных организациях и банковских группах» (Зарегистрировано в Минюсте РФ 20.03.2009 N 13547)
ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ
УКАЗАНИЕ
от 5 марта 2009 г. N 2194-У
О ВНЕСЕНИИ ИЗМЕНЕНИЙ
В ПОЛОЖЕНИЕ БАНКА РОССИИ ОТ 16 ДЕКАБРЯ 2003 ГОДА N 242-П
«ОБ ОРГАНИЗАЦИИ ВНУТРЕННЕГО КОНТРОЛЯ В КРЕДИТНЫХ
ОРГАНИЗАЦИЯХ И БАНКОВСКИХ ГРУППАХ»
1. В соответствии с решением Совета директоров Банка России (протокол заседания Совета директоров Банка России от 27 февраля 2009 года N 5) внести в Положение Банка России от 16 декабря 2003 года N 242-П «Об организации внутреннего контроля в кредитных организациях и банковских группах», зарегистрированное Министерством юстиции Российской Федерации 27 января 2004 года N 5489, 22 декабря 2004 года N 6222 («Вестник Банка России» от 4 февраля 2004 года N 7, от 31 декабря 2004 года N 74), следующие изменения.
1.1. Подпункт 2.2.2 пункта 2.2 изложить в следующей редакции:
«2.2.2. Ответственного сотрудника (структурное подразделение) по противодействию легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма, назначаемого (создаваемого) и осуществляющего свою деятельность в соответствии с пунктом 2 статьи 7 Федерального закона от 7 августа 2001 года N 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма» (Собрание законодательства Российской Федерации, 2001, N 33, ст. 3418; 2002, N 44, ст. 4296; 2004, N 31, ст. 3224; 2006, N 31, ст. 3446; 2007, N 16, ст. 1831; N 49, ст. 6036).».
1.2. Пункт 3.7 изложить в следующей редакции:
«3.7. Кредитной организации необходимо обеспечить непрерывность деятельности и (или) восстановление деятельности, нарушенной в результате непредвиденных обстоятельств. В указанных целях кредитная организация должна иметь план действий, направленных на обеспечение непрерывности деятельности и (или) восстановление деятельности в случае возникновения непредвиденных обстоятельств, предусматривающий использование дублирующих (резервных) автоматизированных систем и (или) устройств, а также восстановление критически важных для деятельности кредитной организации систем, поддерживаемых внешним поставщиком (провайдером) услуг. Кредитная организация определяет порядок проверки возможности выполнения плана действий, направленных на обеспечение непрерывности деятельности и (или) восстановление деятельности в случае возникновения непредвиденных обстоятельств.
Рекомендации по структуре и содержанию плана действий, направленных на обеспечение непрерывности деятельности и (или) восстановление деятельности кредитной организации в случае возникновения непредвиденных обстоятельств, а также по организации проверки возможности его выполнения приведены в приложении 5 к настоящему Положению.».
1.3. В подпункте 4.4.3 пункта 4.4 слова «наличие планов действий на случай непредвиденных обстоятельств» заменить словами «с учетом мер, принятых на случай непредвиденных обстоятельств в соответствии с планом действий, направленных на обеспечение непрерывности деятельности и (или) восстановление деятельности кредитной организации в случае возникновения непредвиденных обстоятельств».
1.4. В абзаце четвертом пункта 1 приложения 1 слова «должностным лицом (ответственным сотрудником, структурным подразделением) по противодействию легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма,» исключить.
1.5. Приложение 2 дополнить пунктом 15 следующего содержания:
«15. Обеспечение непрерывности деятельности и (или) восстановления деятельности кредитной организации на случай непредвиденных обстоятельств.».
1.6. Дополнить приложением 5 в редакции приложения к настоящему Указанию.
2. Настоящее Указание вступает в силу по истечении 10 дней после дня его официального опубликования в «Вестнике Банка России».
Председатель Центрального банка
Российской Федерации
С.М.ИГНАТЬЕВ
Приложение
к Указанию Банка России
от 5 марта 2009 года N 2194-У
«О внесении изменений
в Положение Банка России
от 16 декабря 2003 года N 242-П
«Об организации
внутреннего контроля
в кредитных организациях
и банковских группах»
«Приложение 5
к Положению Банка России
от 16 декабря 2003 года N 242-П
«Об организации
внутреннего контроля
в кредитных организациях
и банковских группах»
РЕКОМЕНДАЦИИ
ПО СТРУКТУРЕ И СОДЕРЖАНИЮ ПЛАНА ДЕЙСТВИЙ,
НАПРАВЛЕННЫХ НА ОБЕСПЕЧЕНИЕ НЕПРЕРЫВНОСТИ ДЕЯТЕЛЬНОСТИ
И (ИЛИ) ВОССТАНОВЛЕНИЕ ДЕЯТЕЛЬНОСТИ КРЕДИТНОЙ ОРГАНИЗАЦИИ
В СЛУЧАЕ ВОЗНИКНОВЕНИЯ НЕПРЕДВИДЕННЫХ ОБСТОЯТЕЛЬСТВ,
А ТАКЖЕ ПО ОРГАНИЗАЦИИ ПРОВЕРКИ ВОЗМОЖНОСТИ
ЕГО ВЫПОЛНЕНИЯ
1. План действий, направленных на обеспечение непрерывности деятельности и (или) восстановление деятельности кредитной организации в случае возникновения непредвиденных обстоятельств (далее — План ОНиВД) — внутренний документ (комплект документов) кредитной организации, определяющий цели, задачи, порядок, способы и сроки осуществления комплекса мероприятий по предотвращению или своевременной ликвидации последствий возможного нарушения режима повседневного функционирования кредитной организации (ее подразделений), вызванного непредвиденными обстоятельствами (возникновением чрезвычайной ситуации или иным событием, наступление которого возможно, но трудно предсказуемо и связано с угрозой существенных материальных потерь или иных последствий, препятствующих выполнению кредитной организацией принятых на себя обязательств).
2. Кредитной организации рекомендуется определить порядок разработки, согласования, утверждения, пересмотра и проверки (тестирования) Плана ОНиВД с указанием полномочий ее органов управления и подразделений.
3. Разработку Плана ОНиВД рекомендуется проводить с учетом анализа следующих факторов:
3.1. виды и характер возможных непредвиденных обстоятельств, связанные с ними виды и степени воздействия на деятельность кредитной организации, способные нарушить режим повседневного функционирования кредитной организации и способность выполнять принятые на себя обязательства;
3.2. перечень критически важных с точки зрения обеспечения режима повседневного функционирования кредитной организации внутренних банковских процессов (совокупности последовательных и законченных действий по осуществлению банковских операций и сделок), а также автоматизированных информационных систем, обеспечивающих их осуществление;
3.3. показатели восстановления внутренних банковских процессов, в том числе такие, как: срок восстановления, допустимый размер материальных затрат, допустимый размер потерь информации.
Указанные показатели, а также устанавливаемые на их основе критерии непрерывности осуществления внутренних банковских процессов рекомендуется определять с учетом необходимости соблюдения кредитной организацией требований законодательства Российской Федерации, в том числе нормативных актов Банка России, и выполнения принятых на себя обязательств.
4. Целями Плана ОНиВД рекомендуется определить в том числе:
поддержание способности кредитной организации выполнять принятые на себя обязательства перед вкладчиками и кредиторами, в том числе перед Банком России (по кредитам Банка России, уплате процентов по ним и другим денежным обязательствам перед Банком России);
предупреждение и предотвращение возможного нарушения режима повседневного функционирования кредитной организации;
снижение тяжести последствий нарушения режима повседневного функционирования кредитной организации (в том числе размера материальных потерь, потерь информации, потери деловой репутации);
сохранение уровня управления кредитной организацией, позволяющего обеспечить условия для принятия обоснованных и оптимальных управленческих решений, их своевременную и полную реализацию;
обеспечение способности кредитной организации осуществлять расчеты в соответствии с принятыми на себя обязательствами, в том числе по кредитам Банка России, процентам по ним и другим денежным обязательствам перед Банком России;
обеспечение информационной безопасности кредитной организации, в том числе ее расчетной системы;
обеспечение благоприятных условий труда и безопасности служащих кредитной организации, безопасности лиц, находящихся в помещениях (посетителей) кредитной организации.
5. Разработку и принятие Плана ОНиВД рекомендуется осуществлять с учетом норм Федерального закона от 21 декабря 1994 года N 68-ФЗ «О защите населения и территорий от чрезвычайных ситуаций природного и техногенного характера» (Собрание законодательства Российской Федерации, 1994, N 35, ст. 3648; 2002, N 44, ст. 4294; 2004, N 35, ст. 3607; 2006, N 50, ст. 5284; N 52, ст. 5498; 2007, N 45, ст. 5418; 2009, N 1, ст. 17), в том числе в рамках мероприятий по выполнению требований статьи 14 указанного Федерального закона.
6. План ОНиВД рекомендуется разрабатывать применительно к крупномасштабным непредвиденным обстоятельствам, сопоставимым по длительности и силе воздействия, размерам возможных материальных потерь и негативным последствиям нематериального характера с чрезвычайной ситуацией муниципального характера, или, в зависимости от характера, масштабов и условий деятельности кредитной организации, — межмуниципального, регионального или межрегионального характера в соответствии с классификацией, установленной Постановлением Правительства Российской Федерации от 21 мая 2007 года N 304 «О классификации чрезвычайных ситуаций природного и техногенного характера» (Собрание законодательства Российской Федерации, 2007, N 22, ст. 2640).
При этом рекомендуется предусмотреть возможность реализации отдельных автономных частей Плана ОНиВД (далее — модули Плана ОНиВД) в случае непредвиденных обстоятельств меньшего масштаба, связанных с проявлением (по отдельности или в сочетаниях) таких факторов, как выход из строя технических средств, сбои в работе автоматизированных информационных систем кредитной организации, нарушение коммунальной инфраструктуры, перебои в электроснабжении, непредвиденный дефицит ликвидности кредитной организации, в том числе по причине потери деловой репутации, отказ кредитных организаций-корреспондентов и (или) организаций-контрагентов, в том числе поставщиков услуг (провайдеров) кредитной организации, от исполнения своих обязательств.
7. При разработке Плана ОНиВД рекомендуется уделять внимание вопросам своевременного информирования клиентов, участников (акционеров), контрагентов, в том числе поставщиков услуг (провайдеров) кредитной организации, органов государственной власти и местного самоуправления, Банка России, других государственных органов, в пределах своей компетенции осуществляющих функции регулирования и (или) надзора в отношении кредитной организации, средств массовой информации и других заинтересованных лиц (далее — заинтересованные лица) о возникновении непредвиденных обстоятельств, а также порядку взаимодействия с заинтересованными лицами по вопросам обеспечения непрерывности и (или) восстановления деятельности кредитной организации.
8. Кредитным организациям банковской группы рекомендуется обеспечить единство подходов при разработке Планов ОНиВД и осуществлять совместные действия в целях обеспечения непрерывности своей деятельности и (или) ее восстановления.
9. Содержание Плана ОНиВД.
9.1. В План ОНиВД рекомендуется включать:
порядок его реализации, включая порядок принятия решения о переводе деятельности кредитной организации в режим, предусмотренный Планом ОНиВД (далее — чрезвычайный режим), а также порядок управления кредитной организацией в чрезвычайном режиме;
перераспределение обязанностей и полномочий как между подразделениями, так и между служащими кредитной организации в условиях чрезвычайного режима с учетом взаимозаменяемости служащих в случае отсутствия (недоступности) ответственных и (или) уполномоченных служащих;
перечень установленных в кредитной организации процедур, выполнение которых в режиме повседневного функционирования кредитной организации необходимо для успешной реализации Плана ОНиВД (например, резервное копирование информации, заключение договоров с контрагентами на оказание услуг (работ), обеспечивающих реализацию Плана ОНиВД), а также очередность и сроки их выполнения;
порядок взаимодействия, в том числе порядок экстренного оповещения и связи, между органами управления, подразделениями и служащими кредитной организации при возникновении непредвиденных обстоятельств;
порядок информирования заинтересованных лиц о возникновении непредвиденных обстоятельств, порядок взаимодействия с заинтересованными лицами, в том числе с Банком России, по вопросам обеспечения непрерывности и (или) восстановления деятельности кредитной организации;
детальные инструкции для подразделений и служащих кредитной организации, содержащие описание действий, необходимых для поддержания или своевременного возобновления функционирования критически важных для деятельности кредитной организации внутренних банковских процессов и автоматизированных информационных систем;
порядок завершения работы в чрезвычайном режиме и возврата в режим повседневного функционирования.
9.2. В целях обеспечения способности кредитной организации выполнять принятые на себя обязательства и минимизировать возможные негативные последствия непредвиденных обстоятельств в Плане ОНиВД рекомендуется определить порядок осуществления внутренних банковских процессов в чрезвычайном режиме.
9.2.1. Для каждого внутреннего банковского процесса рекомендуется определить уровень его осуществления, в том числе:
осуществление на уровне, соответствующем уровню осуществления внутреннего банковского процесса в режиме повседневного функционирования;
осуществление на заданном (сниженном по сравнению с уровнем режима повседневного функционирования) уровне в течение заданного периода времени;
прекращение его осуществления (планомерное или максимально быстрое и безопасное).
9.2.2. Для каждого критически важного для деятельности кредитной организации внутреннего банковского процесса рекомендуется дополнительно определить:
критерии непрерывности осуществления;
развернутый перечень ресурсов — кадровых, финансовых, материальных, информационных (включая вычислительную технику, другие технические средства, программное обеспечение), средств связи, необходимых для его поддержания в чрезвычайном режиме;
помещения, предназначенные для осуществления процесса в чрезвычайном режиме в случае недоступности помещений, используемых в режиме повседневного функционирования. Для этих целей рекомендуется определить запасные помещения, территориально удаленные от мест основного расположения кредитной организации и поддерживаемые в состоянии готовности для использования в чрезвычайном режиме, либо помещения, находящиеся в местах основного расположения кредитной организации (ее филиала или иного территориально обособленного структурного подразделения), исходя из возможности увеличения интенсивности использования или изменения назначения указанных помещений в чрезвычайном режиме;
возможность получения услуг, необходимых для осуществления процесса, в случае отказа поставщика указанных услуг (провайдера) кредитной организации от исполнения договорных обязательств, в том числе использование услуг другого поставщика (провайдера) или переход на самообслуживание.
9.2.3. В Плане ОНиВД рекомендуется предусмотреть периодичность и способы создания резервных копий информации, необходимой для осуществления внутренних банковских процессов, с учетом установленных для них критериев непрерывности. Рекомендуется определить места хранения и способы доставки резервных копий до мест хранения, а также способы и сроки восстановления информации.
В Плане ОНиВД рекомендуется определить порядок хранения документированной информации (в том числе данных бухгалтерского и депозитарного учета, реестров обязательств кредитной организации перед вкладчиками), а также порядок восстановления документов в случае утраты их оригиналов.
9.2.4. В Плане ОНиВД рекомендуется предусмотреть способы экстренного поддержания ликвидности на случай непредвиденных обстоятельств с указанием лиц, с которыми заключены договоры об оказании финансовой помощи на случай непредвиденных обстоятельств (в том числе участников (акционеров) кредитной организации, организаций банковской группы, кредитных организаций — партнеров), способов связи с ними.
9.2.5. В инструкциях для подразделений и служащих кредитной организации рекомендуется определять:
порядок действий при возникновении непредвиденных обстоятельств или появлении реальной угрозы их возникновения;
процедуры перевода работы в чрезвычайный режим;
порядок осуществления критически важных для деятельности кредитной организации внутренних банковских процессов в чрезвычайном режиме, описание изменений в технологиях их осуществления, если Планом ОНиВД предусмотрены такие изменения;
порядок доступа к ресурсам, необходимым для работы в чрезвычайном режиме.
9.2.6. В Плане ОНиВД рекомендуется предусмотреть порядок восстановления нарушенных внутренних банковских процессов после ликвидации последствий непредвиденных обстоятельств, критерии, позволяющие принять решение о завершении работы в чрезвычайном режиме, и порядок принятия такого решения, а также порядок возврата в режим повседневного функционирования.
10. В целях реализации Плана ОНиВД и сохранения уровня управления кредитной организацией в условиях непредвиденных обстоятельств при необходимости возможно предусмотреть передачу полномочий по оперативному руководству деятельностью кредитной организации органу чрезвычайного управления.
С учетом определенных кредитной организацией порядка создания органа чрезвычайного управления, его полномочий и сроков их действия Планом ОНиВД возможно предусмотреть осуществление указанным органом следующих функций:
определение степени влияния непредвиденных обстоятельств на деятельность кредитной организации, составление перечня потерь, оценка размера нанесенного ущерба;
координация работ по обеспечению непрерывности и (или) восстановления деятельности кредитной организации, принятие решений о реализации модулей Плана ОНиВД;
информирование заинтересованных лиц о ходе восстановления деятельности кредитной организации и (или) мерах, принятых для обеспечения ее непрерывности;
взаимодействие с Банком России в целях координации совместных действий по обеспечению своевременного проведения расчетов по поручениям клиентов и по обязательствам кредитной организации, а также с другими заинтересованными лицами по вопросам обеспечения непрерывности и (или) восстановления деятельности;
взаимодействие с правоохранительными органами, аварийными и специализированными службами (в том числе с органами внутренних дел, пожарной охраной, аварийно-спасательными службами, учреждениями здравоохранения, органами, осуществляющими государственный санитарно-эпидемиологический надзор);
взаимодействие с коммунальными службами, в том числе по вопросам обеспечения электро-, тепло- и водоснабжения, с поставщиками услуг телефонной и других видов связи;
организация необходимой помощи служащим кредитной организации и членам их семей.
11. Порядок проверки (тестирования) и пересмотра Плана ОНиВД.
11.1. С целью определения возможности выполнения Плана ОНиВД в случае возникновения непредвиденных обстоятельств рекомендуется предусмотреть проведение проверок (тестирования) Плана ОНиВД с периодичностью не реже одного раза в два года. При проверке (тестировании) отдельных модулей Плана ОНиВД рекомендуется обеспечить проверку (тестирование) каждого из них с соблюдением периодичности, установленной для Плана ОНиВД в целом.
Для обеспечения постоянной готовности служащих к действиям на случай непредвиденных обстоятельств рекомендуется организовать изучение Плана ОНиВД на регулярной основе всеми служащими кредитной организации в соответствии со специально разработанной для этих целей программой, включающей проведение учений. Учения рекомендуется планировать таким образом, чтобы оценить реальное время, необходимое для выполнения каждого модуля Плана ОНиВД, и степень подготовленности служащих кредитной организации к работе в чрезвычайном режиме.
При подготовке проверки (тестирования) Плана ОНиВД в форме учений рекомендуется учитывать возможные проблемы, в том числе психологического характера, связанные с необычностью ситуации, ставить перед участниками учений цели по выявлению недостатков Плана ОНиВД и мотивировать их на его совершенствование.
11.2. Решение о проведении проверки (тестирования) Плана ОНиВД рекомендуется оформлять в соответствии с установленным в кредитной организации порядком. При этом рекомендуется определить:
программу, форму и сроки проведения проверки (тестирования) Плана ОНиВД;
перечень подразделений и служащих кредитной организации, участвующих в проверке (тестировании) Плана ОНиВД;
перечень проверяемых (тестируемых) модулей Плана ОНиВД;
перечень ресурсов, предполагаемых для использования при проверке (тестировании) Плана ОНиВД;
состав и обязанности группы наблюдателей (контролеров);
сроки и порядок оформления результатов проверки (тестирования) Плана ОНиВД.
11.2.1. Проверку (тестирование) Плана ОНиВД рекомендуется проводить по заранее разработанной и утвержденной исполнительным органом кредитной организации программе, предусматривающей вводные данные (описание сценариев возникновения непредвиденных обстоятельств и связанных с ними факторов нарушения режима повседневного функционирования), подробное описание действий служащих в соответствии с проверяемым (тестируемым) Планом ОНиВД или модулем Плана ОНиВД, требования по срокам завершения промежуточных этапов выполнения Плана ОНиВД.
11.2.2. Для проведения проверки (тестирования) Плана ОНиВД рекомендуется определить группу наблюдателей (контролеров), на которую возложить контроль выполнения предусмотренных Планом ОНиВД мероприятий, составление протокола проверки (тестирования) и отчета о проведении проверки (тестирования) Плана ОНиВД.
Для работы в составе группы наблюдателей (контролеров) рекомендуется привлекать служащих кредитной организации, ответственных за разработку Плана ОНиВД, служащих службы внутреннего контроля, а при необходимости — независимых специалистов из организаций, специализирующихся на оказании консультационных услуг в сфере обеспечения непрерывности деятельности и информационной безопасности кредитных организаций.
11.2.3. Протокол проверки (тестирования) Плана ОНиВД рекомендуется вести по установленной внутренними документами кредитной организации форме. При этом в протоколе рекомендуется указывать:
список наблюдателей (контролеров), присутствующих при проведении проверки (тестирования) с указанием лица, ответственного за ведение протокола;
перечень всех процедур, выполняемых в рамках тестируемых модулей Плана ОНиВД, с отметками о соответствии результатов их выполнения Плану ОНиВД;
время, затраченное на завершение промежуточных этапов и реализацию проверяемых (тестируемых) модулей Плана ОНиВД;
описание выявленных недостатков Плана ОНиВД или подготовки служащих — участников проверки.
Протокол проверки (тестирования) Плана ОНиВД рекомендуется согласовывать с руководителями задействованных в проверке (тестировании) Плана ОНиВД подразделений кредитной организации.
11.2.4. Отчет по итогам проведения проверки (тестирования) Плана ОНиВД рекомендуется составлять на основании согласованного протокола проверки (тестирования) Плана ОНиВД. В отчет рекомендуется включать анализ результатов проверки (тестирования) Плана ОНиВД, предложения по устранению выявленных недостатков и совершенствованию Плана ОНиВД.
11.3. К участию в проверке (тестировании) Плана ОНиВД рекомендуется при необходимости привлекать контрагентов, в том числе поставщиков услуг (провайдеров) кредитной организации, от деятельности которых зависит непрерывность осуществления критически важных для деятельности кредитной организации внутренних банковских процессов и (или) сроки их восстановления.
12. План ОНиВД рекомендуется не реже одного раза в два года пересматривать с целью обеспечения его соответствия организационной структуре, характеру и масштабам деятельности кредитной организации, утвержденной стратегии развития деятельности кредитной организации, условиям мест нахождения кредитной организации (ее подразделений), а также для устранения недостатков, выявленных в ходе проверок (тестирования) Плана ОНиВД, и учета вновь выявленных факторов, которые могут привести к нарушению повседневного функционирования кредитной организации.».