2.1. Оператор платежной системы должен определять и соблюдать порядок обеспечения БФПС, который включает:
управление рисками в платежной системе;
управление непрерывностью функционирования платежной системы;
организацию взаимодействия оператора платежной системы, операторов УПИ и участников платежной системы (далее при совместном упоминании - субъекты платежной системы) по обеспечению БФПС;
контроль за соблюдением операторами УПИ и участниками платежной системы порядка обеспечения БФПС.
2.2. Оператор платежной системы должен управлять рисками в платежной системе с учетом следующих требований.
2.2.1. Оператор платежной системы должен организовать систему управления рисками в платежной системе с учетом организационной модели управления рисками в платежной системе, определенной в соответствии с требованиями части 2 статьи 28 Федерального закона от 27 июня 2011 года N 161-ФЗ. Система управления рисками в платежной системе может быть интегрирована в систему управления рисками деятельности оператора платежной системы, не связанной с функционированием платежной системы.
2.2.2. Подпункт утратил силу с 1 октября 2023 года - указание Банка России от 9 января 2023 года N 6352-У. - См. предыдущую редакцию.
2.2.3. Оператор платежной системы должен определять способы управления рисками в платежной системе, исходя из способов управления рисками, предусмотренных частью 5 статьи 28 Федерального закона от 27 июня 2011 года N 161-ФЗ (далее - способы управления рисками в платежной системе).
2.2.4. Оператор платежной системы должен определять в соответствии с требованиями, предусмотренными в приложении 1 к настоящему Положению, следующие показатели БФПС:
показатель продолжительности восстановления оказания УПИ (далее - показатель П1), характеризующий период времени восстановления оказания услуг операторами УПИ в случае приостановления оказания УПИ, в том числе вследствие нарушения требований к обеспечению защиты информации при осуществлении переводов денежных средств, установленных Банком России на основании части 3 статьи 27 Федерального закона от 27 июня 2011 года N 161-ФЗ (Собрание законодательства Российской Федерации, 2011, N 27, ст.3872; 2022, N 29, ст.5298);
(Абзац в редакции, введенной в действие с 1 октября 2023 года указанием Банка России от 9 января 2023 года N 6352-У. - См. предыдущую редакцию)
показатель непрерывности оказания УПИ (далее - показатель П2), характеризующий период времени между двумя последовательно произошедшими в платежной системе событиями, которые привели к нарушению оказания УПИ, соответствующего требованиям к оказанию услуг, в том числе вследствие нарушений требований к обеспечению защиты информации при осуществлении переводов денежных средств (далее - инциденты), в результате которых приостанавливалось оказание УПИ. Приостановление (прекращение) участия в платежной системе в случаях, предусмотренных правилами платежной системы в соответствии с пунктом 4 части 1 статьи 20 Федерального закона от 27 июня 2011 года N 161-ФЗ, не рассматривается в целях настоящего Положения в качестве инцидентов;
показатель соблюдения регламента (далее - показатель П3), характеризующий соблюдение операторами УПИ времени начала, времени окончания, продолжительности и последовательности процедур, выполняемых операторами УПИ при оказании операционных услуг, услуг платежного клиринга и расчетных услуг, предусмотренных частями 3 и 4 статьи 17, частью 4 статьи 19 и частями 1 и 8 статьи 25 Федерального закона от 27 июня 2011 года N 161-ФЗ (далее - регламент выполнения процедур);
показатель доступности операционного центра платежной системы (далее - показатель П4), характеризующий оказание операционных услуг операционным центром платежной системы;
показатель изменения частоты инцидентов (далее - показатель П5), характеризующий темп прироста частоты инцидентов.
При определении иных показателей БФПС дополнительно к указанным данные показатели БФПС должны быть определены в правилах платежной системы, а также в разработанных в соответствии с ними документах оператора платежной системы и в документах привлеченных операторов УПИ, если такие документы предусмотрены правилами платежной системы.
2.2.4_1. Оператор платежной системы должен проводить плановую оценку рисков в платежной системе, а также внеплановые оценки рисков в платежной системе с использованием методик анализа рисков в платежной системе и составлением профилей рисков.
(Подпункт дополнительно включен с 1 октября 2023 года указанием Банка России от 9 января 2023 года N 6352-У)
2.2.4_2. Оператор платежной системы должен проводить внеплановую оценку всех рисков в платежной системе при внесении изменений в один или несколько процессов, в рамках которых обеспечивается оказание УПИ (далее - бизнес-процесс), или в несколько бизнес-процессов. Проведение внеплановой оценки всех рисков в платежной системе должно быть завершено не позднее истечения шести месяцев со дня внесения указанных изменений.
(Подпункт дополнительно включен с 1 октября 2023 года указанием Банка России от 9 января 2023 года N 6352-У)
2.2.4_3. Оператор платежной системы должен проводить внеплановую оценку отдельных рисков (отдельного риска) в платежной системе:
при возникновении события, реализация которого привела к приостановлению (прекращению) оказания УПИ и описание которого в профиле риска не предусмотрено, либо негативные последствия от его реализации превышают негативные последствия, предусмотренные для этого события в профиле риска;
при установлении по результатам проводимого оператором платежной системы мониторинга рисков факта приближения фактического уровня риска к уровню допустимого риска, при котором восстановление оказания УПИ, соответствующих требованиям к оказанию услуг, включая восстановление оказания УПИ в случае приостановления их оказания, осуществляется в течение периодов времени, установленных оператором платежной системы, и предполагаемый ущерб от которого оператор платежной системы готов принять без применения способов управления рисками в платежной системе;
при выявлении значимого риска в платежной системе, для которого уровень присущего риска до применения способов управления рисками в платежной системе может превысить или превысил уровень допустимого риска.
Проведение внеплановой оценки отдельных рисков (отдельного риска) в платежной системе должно быть завершено не позднее истечения четырех месяцев со дня возникновения событий, предусмотренных абзацами вторым и третьим настоящего подпункта, либо со дня выявления значимого риска в платежной системе, указанного в абзаце четвертом настоящего подпункта.
(Подпункт дополнительно включен с 1 октября 2023 года указанием Банка России от 9 января 2023 года N 6352-У)
2.2.4_4. Плановая оценка всех рисков в платежной системе проводится оператором платежной системы не реже одного раза в три года с учетом сведений о событиях, которые произошли в платежной системе со дня завершения предыдущей плановой или внеплановой оценки всех рисков в платежной системе и привели к приостановлению (прекращению) оказания УПИ.