Требования по непрерывности в контексте 161-ФЗ «О национальной платежной системе»

26.11.2012

Наряду с широко обсуждаемыми требованиями Банка России по информационной безопасности, предъявляемыми к участникам платежных систем, существует еще и Положение №379-П «О бесперебойности функционирования платежных систем и анализе рисков в платежных системах«.  Оно гораздо меньше на слуху,но тем не менее определяет достаточно много требований к обеспечению непрерывности деятельности субъектов платежных систем. К 1 января 2013 года во исполнение Положения №379-П должны появиться требования от операторов ПС для остальных субъектов ПС, но уже сейчас имеет смысл начинать готовиться к их появлению — инициировать проекты по непрерывности, проводить анализ рисков, анализ воздействия на бизнес — это позволит с большей вероятностью уложиться в сроки, объявленные операторами ПС (в первую очередь, Банком России).

Посмотрим внимательно, какие требования будут предъявляться к субъектам ПС.

В тексте будут активно использоваться сокращения:
БФПС — бесперебойность функционирования платежной системы;
ПС — платежная система.

Основные требования в 379-П предъявляются к операторам ПС — они должны к 1 января 2013 года:

  • обеспечить регламентацию порядка обеспечения БФПС;
  • организовать деятельность по реализации порядка обеспечения БФПС;
  • определить показатели БФПС и методики анализа рисков в ПС.

Сами субъекты ПС накроет уже второй волной, когда операторы ПС разработают все необходимые требования и регламенты.

Хотя  постановление и не определяет требований к субъектам ПС, зато оно определяет «требования к требованиям».

В разделе об управлении рисками (п.3) говорится о том, что оператор ПС должен:

1.  Установить приемлемый уровень рисков нарушения БФПС

2.  Проводить анализ рисков нарушения БФПС (по сути, анализ воздействия на бизнес)

3. Принимать меры по достижению приемлемого уровня рисков нарушения БФПС

4. Осуществлять мониторинг рисков нарушения БФПС

5. Взаимодействовать с субъектами ПС в части управления рисками БФПС.

Этот раздел, очевидно, касается самого оператора ПС.

Однако, уже в пп.4-7 говорится, какие требования оператор ПС должен сформировать для субъектов своих ПС, и это как раз те требования, которые, начиная с января 2013, будут предъявлены к субъектам ПС. Итак, к чему надо готовиться:

1. Организационные аспекты взаимодействия субъектов ПС при осуществлении деятельности по обеспечению БФПС:

  • Кто осуществляет координацию деятельности субъектов по обеспечению БФПС — сам оператор ПС или расчетный центр
  • Как осуществляется эта координация
  • Как осуществляется контроль за соблюдением порядка обеспечения БФПС
  • Обязанности операторов услуг платежной инфраструктуры
  • Разграничение ответственности и полномочий между субъектами ПС
  • Порядок оценки эффективности системы управления рисками ПС

2. Требования к содержанию деятельности по обеспечению БФПС, осуществляемой оператором ПС, операторами услуг платежной инфраструктуры и участниками платежной системы:

  • Детализация приемлемого уровня рисков нарушения БФПС в разрезе категорий субъектов ПС (т.е., к чему вам предстоит стремиться в зависимости от того, кем вы являетесь в рамках ПС)
  • Порядок разработки, применения и оценки эффективности методик анализа рисков (т.е., по сути, требования к методикам)
  • Порядок оценки качества и надежности функционирования ИС, операционных и технологических средств, применяемых операторами услуг платежной инфраструктуры (очень интересно, будет ли эта оценка осуществляться на основании анализа уже имевших место проблем, или же проактивно на основании аудита инфраструктуры)
  • Порядок выбора и реализации мероприятий и способов достижения и поддержания приемлемого уровня рисков нарушения БФПС, порядок их оценки и совершенствования (т.е., по сути, стратегия обеспечения непрерывности)
  • Требования к мониторингу рисков нарушения БФПС
  • Требования к планам обеспечения непрерывности и восстановления деятельности операторов услуг платежной инфраструктуры.

Тем самым, для субъектов ПС будут предъявлены требования практически по всем этапам создания системы обеспечения непрерывности бизнеса. В принципе, можно начинать готовиться, не дожидаясь 1 января, хотя бы на уровне проведения анализа рисков и анализа воздействия на бизнес.

Достаточно странным показался мне только тот момент, что требования к планам будут предъявлены только к операторам услуг платежной инфраструктуры. Было бы логично если бы требование наличия планов ОНиВД коснулось и остальных субъектов ПС, иначе мы рискуем получить большой объем работ, не приводящий к решению исходной задачи — бесперебойности функционирования ПС в целом.

3. Порядок информационного взаимодействия субъектов ПС и документационного обеспечения их деятельности.

Этот раздел касается определения требований как к внутренним документам субъекта ПС, касающимся БФПС, так и к отчетности перед оператором ПС.  Характерно, что первичная информация о функционировании ПС «может включать в себя» достаточно большое количество финансовых показателей о выполняемых транзакциях, остатках на счетах и проч. Будем считать, что это делается для облегчения оценки последствий инцидентов в ПС.

Следующий интересный раздел (пп.10-12) — показатели БФПС. Показатели — всегда хорошо, ибо крайне тяжело управлять и контролировать что-то неизмеримое. Показатели БФПС будут определяться оператором ПС, они могут быть как качественные, так и количественные.

Обязательными показателями БФПС являются уровни бесперебойности оказания операционных услуг, платежного клиринга и расчетных услуг.

Кроме них, в число показателей БФПС могут вводиться и иные, в частности — связанные с ликвидностью, провайдерами услуг, и т.п.

Соответственно, для каждого показателя должна быть определена методика его формирования.

Методики анализа рисков в ПС, которым посвящен пункт [13], судя по всему, будут относиться к анализу рисков, осуществляемому самим оператором ПС на основании собранной информации.

Как уже говорилось в начале, всю эту организационную работу операторы ПС, включая Банк России, должны завершить к 1 января 2013 года, после чего придет очередь поработать для субъектов ПС.

И, если в вашей организации еще нет полноценной системы обеспечения непрерывности бизнеса, это хороший шанс. Существенные ресурсы на удовлетворение требований регулятора все равно придется выделять, и было бы вполне логично сразу сделать честную и работающую систему.

Реклама

Один ответ to “Требования по непрерывности в контексте 161-ФЗ «О национальной платежной системе»”


  1. […] Банка России №397-П (как символично его созвучие с 379-П), определяющее порядок создания, ведения и хранения […]


Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход /  Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход /  Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход /  Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход /  Изменить )

Connecting to %s

%d такие блоггеры, как: