ПОЛОЖЕНИЕ
от 21 февраля 2013 года N 397-П
О порядке создания, ведения и хранения баз данных на электронных носителях
(с изменениями на 17 января 2018 года)
____________________________________________________________________
Документ с изменениями, внесенными:
указанием Банка России от 7 августа 2015 года N 3753-У (Вестник Банка России, N 71, 28.08.2015);
указанием Банка России от 14 сентября 2016 года N 4133-У (Официальный сайт Банка России www.cbr.ru, 14.10.2016);
указанием Банка России от 17 января 2018 года N 4689-У (Официальный сайт Банка России www.cbr.ru, 13.02.2018).
____________________________________________________________________
В соответствии с Федеральным законом "О банках и банковской деятельности" (в редакции Федерального закона от 3 февраля 1996 года N 17-ФЗ) (Ведомости Съезда народных депутатов РСФСР и Верховного Совета РСФСР, 1990, N 27, ст.357; Собрание законодательства Российской Федерации, 1996, N 6, ст.492; 1998, N 31, ст.3829; 1999, N 28, ст.3459, ст.3469; 2001, N 26, ст.2586; N 33, ст.3424; 2002, N 12, ст.1093; 2003, N 27, ст.2700; N 50, ст.4855; N 52, ст.5033, ст.5037; 2004, N 27, ст.2711; N 31, ст.3233; 2005, N 1, ст.18, ст.45; N 30, ст.3117; 2006, N 6, ст.636; N 19, ст.2061; N 31, ст.3439; N 52, ст.5497; 2007, N 1, ст.9; N 22, ст.2563; N 31, ст.4011; N 41, ст.4845; N 45, ст.5425; N 50, ст.6238; 2008, N 10, ст.895; N 15, ст.1447; 2009, N 1, ст.23; N 9, ст.1043; N 18, ст.2153; N 23, ст.2776; N 30, ст.3739; N 48, ст.5731; N 52, ст.6428; 2010, N 8, ст.775; N 19, ст.2291; N 27, ст.3432; N 30, ст.4012; N 31, ст.4193; N 47, ст.6028; 2011, N 7, ст.905; N 27, ст.3873, ст.3880; N 29, ст.4291; N 48, ст.6730; N 49, ст.7069; N 50, ст.7351; 2012, N 27, ст.3588; N 31, ст.4333; N 50, ст.6954; N 53, ст.7605, ст.7607) (далее - Федеральный закон "О банках и банковской деятельности") Банк России устанавливает порядок создания, ведения и хранения баз данных на электронных носителях, содержащих информацию об имуществе, обязательствах кредитной организации и их движении, а также порядок создания резервных копий баз данных на электронных носителях.
1.1. В целях хранения информации об имуществе, обязательствах кредитной организации и их движении кредитная организация обязана отражать в базах данных на электронных носителях (далее - электронные базы данных) операции и иные сделки, отраженные в регистрах аналитического и синтетического учета в соответствии с Положением Банка России от 16 июля 2012 года N 385-П "О правилах ведения бухгалтерского учета в кредитных организациях, расположенных на территории Российской Федерации", зарегистрированным Министерством юстиции Российской Федерации 3 сентября 2012 года N 25350, 15 октября 2012 года N 25670 ("Вестник Банка России" от 25 сентября 2012 года N 56-57, от 24 октября 2012 года N 62).
Кредитная организация обеспечивает возможность определения даты и времени осуществления операций и иных сделок, а также информации о лицевом счете, на котором отражена операция и сделка.
(Абзац в редакции, введенной в действие с 25 октября 2016 года указанием Банка России от 14 сентября 2016 года N 4133-У. - См. предыдущую редакцию)
В электронные базы данных должна включаться информация об имуществе, обязательствах кредитной организации и их движении, содержащаяся в определяемых кредитной организацией объектах файловых систем (электронные таблицы, базы данных, файлы электронных образов бумажных документов, текстовых документов, электронных документов и другие виды объектов), создаваемых и хранящихся в кредитной организации (в том числе в ее структурных подразделениях) на электронных носителях, в том числе на жестких дисках серверов, рабочих станциях и удаленных устройствах, а также на отчуждаемых (съемных) машинных носителях информации.
Кредитная организация обязана включать в электронные базы данных информацию о договорах и иных сделках, об иных документах, включая информацию о первичных учетных документах, отражающих совершение операций либо факты возникновения, изменения или прекращения прав или обязанностей кредитной организации, а также информацию о документах, определяющих права на имущество, основания возникновения, изменения, перехода, прекращения таких прав, их ограничениях (обременениях) и о реквизитах ценных бумаг, принадлежащих кредитной организации.
(Абзац в редакции, введенной в действие с 25 октября 2016 года указанием Банка России от 14 сентября 2016 года N 4133-У. - См. предыдущую редакцию)
В состав информации об имуществе, обязательствах кредитной организации и их движении включаются сведения о принятии органами управления кредитной организации решений о совершении сделок, если принятие таких решений предусмотрено федеральными законами.
Кредитной организации рекомендуется включать в электронные базы данных сведения:
о системе органов управления кредитной организации, в том числе исполнительных органов, о порядке их образования и их полномочиях, а также принятых ими решениях;
о распределении полномочий между советом директоров (наблюдательным советом), коллегиальным исполнительным органом и единоличным исполнительным органом;
о внутренних документах кредитной организации, принятие которых предусмотрено нормативными актами Банка России, в том числе при формировании резервов на возможные потери и резервов на возможные потери по ссудам, по ссудной и приравненной к ней задолженности;
об образовании и полномочиях подразделений (комитетов) кредитной организации, в компетенцию которых входит принятие решений о совершении сделок, и принятых ими решениях;
об учетной политике, принятой кредитной организацией.
Сведения, указанные в настоящем пункте, включаются в электронные базы данных путем отражения информации о соответствующих документах с указанием реквизитов, обеспечивающих их идентификацию и поиск в определенном кредитной организацией месте хранения (хранилище, архиве) документов кредитной организации на бумажных носителях или в электронном виде, либо посредством размещения электронного образа такого документа.
1.2. Способ отражения в электронных базах данных информации должен обеспечить её хранение не менее чем пять лет с даты включения в электронные базы данных и обеспечить возможность доступа к такой информации по состоянию на каждый операционный день.
Кредитная организация обязана обеспечивать размещение электронных баз данных на территории Российской Федерации.
(Абзац дополнительно включен с 8 сентября 2015 года указанием Банка России от 7 августа 2015 года N 3753-У)
2.1. Кредитная организация должна разработать внутренние документы (распоряжения, приказы, решения, правила, положения, методики, регламенты, должностные инструкции и иные документы) по вопросам создания, ведения и хранения электронных баз данных.
2.1.1. Распорядительными актами и внутренними документами кредитной организации для лиц, осуществляющих действия по созданию, ведению, хранению электронных баз данных, должны быть определены полномочия и ответственность, в том числе за обеспечение соответствия информации, включаемой в электронные базы данных, первичным документам бухгалтерского учета, а также по защите информации и электронных носителей при их хранении и использовании.
(Подпункт в редакции, введенной в действие с 8 сентября 2015 года указанием Банка России от 7 августа 2015 года N 3753-У. - См. предыдущую редакцию)
2.1.2. Внутренними документами кредитной организации должны быть определены способы создания, ведения и хранения электронных баз данных, включая хранение версий программного обеспечения систем и подсистем, используемых при создании электронных баз данных, а при необходимости и аппаратных средств.
2.1.3. Внутренними документами кредитной организации должны быть определены способы хранения информации по учету изменений, вносимых в электронные базы данных.
Способы хранения информации по учету изменений, вносимых в электронные базы данных, должны обеспечивать возможность восстановления временной последовательности событий и действий пользователей по внесению изменений в электронные базы данных, а также возможность идентификации лиц, которые вносили данные изменения.
2.2. Порядок создания, ведения и хранения электронных баз данных должен обеспечивать поддержание электронных баз данных в актуальном состоянии, возможность восстановления информации из электронных баз данных, в том числе при наступлении обстоятельств непреодолимой силы, а также исключать возникновение условий для их порчи, утраты, заражения вредоносными кодами, несанкционированного изменения содержащейся в них информации или доступа неуполномоченных лиц.
2.3. Определение способов и средств по обеспечению информационной безопасности при создании, ведении и хранении электронных баз данных осуществляется кредитной организацией самостоятельно, за исключением случаев, когда требования к указанным способам и средствам в отношении определенной информации определены законодательством Российской Федерации.
3.1. В целях обеспечения хранения информации, содержащейся в электронных базах данных, кредитная организация создает резервные копии электронных баз данных, содержащие информацию, предусмотренную главой 1 настоящего Положения, и обеспечивает их хранение и защиту на носителях или средствах вычислительной техники, отличных от тех, на которых осуществляется оперативное ведение и хранение электронных баз данных.
3.2. Кредитная организация хранит резервные копии электронных баз данных способом, позволяющим обеспечить возможность оперативного восстановления информации, содержащейся в электронных базах данных.
3.3. Периодичность обновления кредитной организацией информации, включаемой в резервные копии электронных баз данных, определяется внутренними документами кредитной организации исходя из необходимости обеспечения возможности восстановления информации, содержащейся в резервных копиях электронных баз данных, по состоянию на каждый операционный день.
3.4. Организация работы с резервными копиями электронных баз данных, а также полномочия и ответственность лиц, осуществляющих действия по созданию и защите резервных копий электронных баз данных и их электронных носителей, определяются кредитной организацией в порядке, аналогичном установленному в главе 2 настоящего Положения в отношении электронных баз данных.
3.5. В целях обеспечения сохранности резервных копий электронных баз данных и их безопасности, в том числе при возникновении обстоятельств непреодолимой силы, резервные копии электронных баз данных размещаются в местах, отличных от мест размещения носителей электронных баз данных.
3.6. Порядок создания, ведения и хранения резервных копий электронных баз данных должен обеспечивать возможность исполнения кредитной организацией требований настоящего Положения к созданию и передаче в Банк России резервных копий электронных баз данных, а также размещение резервных копий электронных баз данных на территории Российской Федерации.
4.1. Решение о направлении в кредитную организацию требования о создании и передаче на хранение в Банк России резервных копий электронных баз данных в случаях, предусмотренных статьей 40_1 Федерального закона "О банках и банковской деятельности", принимается Председателем (заместителем Председателя) Комитета банковского надзора Банка России.
4.1.1. В случае возникновения у кредитной организации оснований для отзыва лицензии на осуществление банковских операций, предусмотренных статьей 20 Федерального закона "О банках и банковской деятельности", Председатель (заместитель Председателя) Комитета банковского надзора Банка России принимает решение о направлении в кредитную организацию требования о создании и передаче на хранение в Банк России резервных копий электронных баз данных по предложению Департамента банковского надзора Банка России.
(Подпункт в редакции, введенной в действие с 24 февраля 2018 года указанием Банка России от 17 января 2018 года N 4689-У. - См. предыдущую редакцию)
4.1.2. Председатель (заместитель Председателя) Комитета банковского надзора Банка России вправе принять решение о направлении в кредитную организацию требования о создании и передаче на хранение в Банк России резервных копий электронных баз данных в следующих случаях:
в случае введения в соответствии со статьей 48 Федерального закона от 23 декабря 2003 года N 177-ФЗ "О страховании вкладов физических лиц в банках Российской Федерации" (Собрание законодательства Российской Федерации, 2003, N 52, ст.5029; 2004, N 34, ст.3521; 2005, N 1, ст.23; N 43, ст.4351; 2006, N 31, ст.3449; 2007, N 12, ст.1350; 2008, N 42, ст.4699; N 52, ст.6225; 2011, N 1, ст.49; N 27, ст.3873; N 29, ст.4262; N 49, ст.7069; 2013, N 19, ст.2308; N 27, ст.3438; N 49, ст.6336; N 52, ст.6975; 2014, N 14, ст.1533; N 30, ст.4219; N 52, ст.7543; 2015, N 1, ст.4, ст.14; N 27, ст.3958; N 29, ст.4355; 2016, N 27, ст.4297) запрета на привлечение во вклады денежных средств физических лиц и на открытие и ведение банковских счетов физических лиц, а также в случае принятия решения о направлении в кредитную организацию представителей Банка России и государственной корпорации "Агентство по страхованию вкладов" (далее - Агентство) в целях проведения анализа финансового положения кредитной организации для решения вопроса о целесообразности направления в Агентство предложения Банка России об участии Агентства в осуществлении мер по предупреждению банкротства или урегулировании обязательств кредитной организации в соответствии со статьей 189_47 Федерального закона от 26 октября 2002 года N 127-ФЗ "О несостоятельности (банкротстве)" (Собрание законодательства Российской Федерации, 2002, N 43, ст.4190; 2004, N 35, ст.3607; 2005, N 1, ст.18, ст.46; N 44, ст.4471; 2006, N 30, ст.3292; N 52, ст.5497; 2007, N 7, ст.834; N 18, ст.2117; N 30, ст.3754; N 41, ст.4845; N 49, ст.6079; 2008, N 30, ст.3616; N 49, ст.5748; 2009, N 1, ст.4, ст.14; N 18, ст.2153; N 29, ст.3632; N 51, ст.6160; N 52, ст.6450; 2010, N 17, ст.1988; N 31, ст.4188, ст.4196; 2011, N 1, ст.41; N 7, ст.905; N 19, ст.2708; N 27, ст.3880; N 29, ст.4301; N 30, ст.4576; N 48, ст.6728; N 49, ст.7015, ст.7024, ст.7040, ст.7061, ст.7068; N 50, ст.7351, ст.7357; 2012; N 31, ст.4333; N 53, ст.7607, ст.7619; 2013, N 23, ст.2871; N 26, ст.3207; N 27, ст.3477, ст.3481; N 30, ст.4084; N 51, ст.6699; N 52, ст.6975, ст.6984; 2014, N 11, ст.1095, ст.1098; N 30, ст.4217; N 49, ст.6914; N 52, ст.7543; 2015, N 1, ст.10, ст.11, ст.35; N 27, ст.3495, ст.3958, ст.3967, ст.3977; N 29, ст.4350, ст.4355, ст.4362; 2016, N 1, ст.11, ст.27, ст.29; N 23, ст.3296; N 26, ст.3891; N 27, ст.4225, ст.4293) (далее - Федеральный закон "О несостоятельности (банкротстве)"), по предложению Департамента банковского надзора Банка России;
(Абзац в редакции, введенной в действие с 24 февраля 2018 года указанием Банка России от 17 января 2018 года N 4689-У. - См. предыдущую редакцию)
в случае введения в соответствии со статьей 74 Федерального закона от 10 июля 2002 года N 86-ФЗ "О Центральном банке Российской Федерации (Банке России)" (Собрание законодательства Российской Федерации, 2002, N 28, ст.2790; 2003, N 2, ст.157; N 52, ст.5032; 2004, N 27, ст.2711; N 31, ст.3233; 2005, N 25, ст.2426; N 30, ст.3101; 2006, N 19, ст.2061; N 25, ст.2648; 2007, N 1, ст.9, ст.10; N 10, ст.1151; N 18, ст.2117; 2008, N 42, ст.4696, ст.4699; N 44, ст.4982; N 52, ст.6229, ст.6231; 2009, N 1, ст.25; N 29, ст.3629; N 48, ст.5731; 2010, N 45, ст.5756; 2011, N 7, ст.907; N 27, ст.3873; N 43, ст.5973; N 48, ст.6728; 2012, N 50, ст.6954; N 53, ст.7591, ст.7607; 2013, N 11, ст.1076; N 14, ст.1649; N 19, ст.2329; N 27, ст.3438, ст.3476, ст.3477; N 30, ст.4084; N 49, ст.6336; N 51, ст.6695, ст.6699; N 52, ст.6975; 2014, N 19, ст.2311, ст.2317; N 27, ст.3634; N 30, ст.4219; N 40, ст.5318; N 45, ст.6154; N 52, ст.7543; 2015, N 1, ст.4, ст.37; N 27, ст.3958, ст.4001; N 29, ст.4348, ст.4357; N 41, ст.5639; N 48, ст.6699; 2016, N 1, ст.23, ст.46, ст.50; N 27, ст.4225, ст.4273, ст.4295) ограничения на осуществление кредитной организацией отдельных операций и (или) запрета на осуществление отдельных банковских операций, а также в случае возникновения оснований для осуществления мер по предупреждению банкротства кредитной организации, установленных статьей 189_10 Федерального закона "О несостоятельности (банкротстве)", по предложению Департамента надзора за системно значимыми кредитными организациями Банка России в отношении кредитной организации, надзор за которой осуществляет данный департамент, а в отношении кредитной организации, надзор за которой осуществляет иное структурное подразделение Банка России, - по предложению Департамента банковского надзора Банка России.
(Пункт 4.1 в редакции, введенной в действие с 25 октября 2016 года указанием Банка России от 14 сентября 2016 года N 4133-У. - См. предыдущую редакцию)
4.2. В случае если решение о предъявлении требования Банка России о создании и передаче на хранение в Банк России резервных копий электронных баз данных принято по предложению Департамента банковского надзора Банка России, Департамент банковского надзора Банка России доводит информацию о принятом решении до сведения территориального учреждения Банка России, осуществляющего надзор за деятельностью кредитной организации, либо Службы текущего банковского надзора Банка России, в случае если надзор за деятельностью кредитной организации осуществляется Службой текущего банковского надзора Банка России, либо Департамента надзора за системно значимыми кредитными организациями Банка России не позднее рабочего дня, следующего за днем его принятия.
Не позднее рабочего дня, следующего за днем поступления из Департамента банковского надзора Банка России информации о принятом решении, территориальное учреждение Банка России, осуществляющее надзор за деятельностью кредитной организации, либо Служба текущего банковского надзора Банка России, либо Департамент надзора за системно значимыми кредитными организациями Банка России направляет в кредитную организацию требование Банка России о создании и передаче на хранение в Банк России резервных копий электронных баз данных на отчуждаемых машинных носителях информации
(Пункт в редакции, введенной в действие с 24 февраля 2018 года указанием Банка России от 17 января 2018 года N 4689-У. - См. предыдущую редакцию)
4.2_1. В случае если решение о предъявлении требования Банка России о создании и передаче на хранение в Банк России резервных копий электронных баз данных принято по предложению Департамента надзора за системно значимыми кредитными организациями Банка России, указанный департамент направляет в кредитную организацию требование Банка России о создании и передаче на хранение в Банк России резервных копий электронных баз данных на отчуждаемых машинных носителях информации не позднее рабочего дня, следующего за днем принятия данного решения.
(Пункт дополнительно включен с 25 октября 2016 года указанием Банка России от 14 сентября 2016 года N 4133-У)
4.3. Резервные копии электронных баз данных представляются в территориальное учреждение Банка России, осуществляющее надзор за деятельностью кредитной организации, либо в Службу текущего банковского надзора Банка России, либо в Департамент надзора за системно значимыми кредитными организациями Банка России в течение трех рабочих дней, следующих за днем получения кредитной организацией требования Банка России.
(Пункт в редакции, введенной в действие с 8 сентября 2015 года указанием Банка России от 7 августа 2015 года N 3753-У; в редакции, введенной в действие с 24 февраля 2018 года указанием Банка России от 17 января 2018 года N 4689-У. - См. предыдущую редакцию)
4.4. В требовании Банка России указывается дата, на которую должны быть созданы резервные копии электронных баз данных, и место их представления.
4.5. Резервные копии электронных баз данных, представляемые в территориальное учреждение Банка России, осуществляющее надзор за деятельностью кредитной организации, либо в Службу текущего банковского надзора Банка России, либо Департамент надзора за системно значимыми кредитными организациями Банка России, размещаются на одном или нескольких отчуждаемых машинных носителях информации.
(Абзац в редакции, введенной в действие с 8 сентября 2015 года указанием Банка России от 7 августа 2015 года N 3753-У; в редакции, введенной в действие с 24 февраля 2018 года указанием Банка России от 17 января 2018 года N 4689-У. - См. предыдущую редакцию)
Если резервные копии электронных баз данных размещаются на нескольких отчуждаемых машинных носителях информации, то используемые носители последовательно нумеруются.
4.6. К резервным копиям электронных баз данных, представляемым в территориальное учреждение Банка России, осуществляющее надзор за деятельностью кредитной организации, либо в Службу текущего банковского надзора Банка России, либо Департамент надзора за системно значимыми кредитными организациями Банка России, прикладывается паспорт резервных копий электронных баз данных на бумажном носителе, подписанный руководителем кредитной организации или уполномоченным лицом кредитной организации, указанным в доверенности кредитной организации (далее - уполномоченное лицо), а также лицом (лицами), непосредственно осуществившим (осуществившими) создание резервных копий электронных баз данных и их размещение на отчуждаемых машинных носителях информации (далее - ответственное лицо).
(Абзац в редакции, введенной в действие с 8 сентября 2015 года указанием Банка России от 7 августа 2015 года N 3753-У; в редакции, введенной в действие с 25 октября 2016 года указанием Банка России от 14 сентября 2016 года N 4133-У; в редакции, введенной в действие с 24 февраля 2018 года указанием Банка России от 17 января 2018 года N 4689-У. - См. предыдущую редакцию)
Паспорт резервных копий электронных баз данных должен содержать информацию о включенных в электронные базы данных сведениях и их структуре, сведения о способе и порядке получения доступа к информации, содержащейся в электронных базах данных, о необходимом оборудовании, версиях системного и дополнительного программного обеспечения, об используемых программных и аппаратных средствах защиты, о разработчике программного обеспечения, а также иную информацию, необходимую для обеспечения возможности восстановления электронных баз данных из резервных копий электронных баз данных. Электронная копия указанного паспорта размещается в корневом каталоге (директории) отчуждаемого машинного носителя информации (первого отчуждаемого машинного носителя информации при размещении резервных копий электронных баз данных на нескольких носителях). В случае если создание резервных копий электронных баз данных и их размещение на отчуждаемых машинных носителях информации осуществлялось несколькими ответственными лицами, паспорт резервных копий электронных баз данных должен содержать информацию о том, какие именно действия по созданию резервных копий электронных баз данных и по размещению их на отчуждаемых машинных носителях информации были совершены непосредственно каждым ответственным лицом.