Наряду с широко обсуждаемыми требованиями Банка России по информационной безопасности, предъявляемыми к участникам платежных систем , существует еще и Положение 379-П “ О бесперебойности функционирования платежных систем и анализе рисков в платежных системах “. PОно гораздо меньше на слуху,но тем не менее определяет достаточно много требований к обеспечению непрерывности деятельности субъектов платежных систем. К 1 января 2013 года во исполнение Положения 379-П должны появиться требования от операторов ПС для остальных субъектов ПС, но уже сейчас имеет смысл начинать готовиться к их появлению – инициировать проекты по непрерывности, проводить анализ рисков, анализ воздействия на бизнес – это позволит с большей вероятностью уложиться в сроки, объявленные операторами ПС (в первую очередь, Банком России).
Посмотрим внимательно, какие требования будут предъявляться к субъектам ПС.
В тексте будут активно использоваться сокращения:
БФПС – бесперебойность функционирования платежной системы;
ПС – платежная система.
Основные требования в 379-П предъявляются к операторам ПС – они должны к 1 января 2013 года:
- обеспечить регламентацию порядка обеспечения БФПС;
- организовать деятельность по реализации порядка обеспечения БФПС;
- определить показатели БФПС и методики анализа рисков в ПС.
Сами субъекты ПС накроет уже второй волной, когда операторы ПС разработают все необходимые требования и регламенты.
Хотя Pпостановление и не определяет требований к субъектам ПС, зато оно определяет “требования к требованиям”.
В разделе об управлении рисками (п.3) говорится о том, что оператор ПС должен:
1. PУстановить приемлемый уровень рисков нарушения БФПС
2. PПроводить анализ рисков нарушения БФПС (по сути, анализ воздействия на бизнес)
3. Принимать меры по достижению приемлемого уровня рисков нарушения БФПС
4. Осуществлять мониторинг рисков нарушения БФПС
5. Взаимодействовать с субъектами ПС в части управления рисками БФПС.
Этот раздел, очевидно, касается самого оператора ПС.
Однако, уже в пп.4-7 говорится, какие требования оператор ПС должен сформировать для субъектов своих ПС, и это как раз те требования, которые, начиная с января 2013, будут предъявлены к субъектам ПС. Итак, к чему надо готовиться:
1. Организационные аспекты взаимодействия субъектов ПС при осуществлении деятельности по обеспечению БФПС:
- Кто осуществляет координацию деятельности субъектов по обеспечению БФПС – сам оператор ПС или расчетный центр
- Как осуществляется эта координация
- Как осуществляется контроль за соблюдением порядка обеспечения БФПС
- Обязанности операторов услуг платежной инфраструктуры
- Разграничение ответственности и полномочий между субъектами ПС
- Порядок оценки эффективности системы управления рисками ПС
2. Требования к содержанию деятельности по обеспечению БФПС, осуществляемой оператором ПС, операторами услуг платежной инфраструктуры и участниками платежной системы:
- Детализация приемлемого уровня рисков нарушения БФПС в разрезе категорий субъектов ПС (т.е., к чему вам предстоит стремиться в зависимости от того, кем вы являетесь в рамках ПС)
- Порядок разработки, применения и оценки эффективности методик анализа рисков (т.е., по сути, требования к методикам)
- Порядок оценки качества и надежности функционирования ИС, операционных и технологических средств, применяемых операторами услуг платежной инфраструктуры (очень интересно, будет ли эта оценка осуществляться на основании анализа уже имевших место проблем, или же проактивно на основании аудита инфраструктуры)
- Порядок выбора и реализации мероприятий и способов достижения и поддержания приемлемого уровня рисков нарушения БФПС, порядок их оценки и совершенствования (т.е., по сути, стратегия обеспечения непрерывности)
- Требования к мониторингу рисков нарушения БФПС
- Требования к планам обеспечения непрерывности и восстановления деятельности операторов услуг платежной инфраструктуры.
Тем самым, для субъектов ПС будут предъявлены требования практически по всем этапам создания системы обеспечения непрерывности бизнеса. В принципе, можно начинать готовиться, не дожидаясь 1 января, хотя бы на уровне проведения анализа рисков и анализа воздействия на бизнес.
Достаточно странным показался мне только тот момент, что требования к планам будут предъявлены только кPоператорам услуг платежной инфраструктуры. Было бы логично если бы требование наличия планов ОНиВД коснулось и остальных субъектов ПС, иначе мы рискуем получить большой объем работ, не приводящий к решению исходной задачи – бесперебойности функционирования ПС в целом.
3. Порядок информационного взаимодействия субъектов ПС и документационного обеспечения их деятельности.
Этот раздел касается определения требований как к внутренним документам субъекта ПС, касающимся БФПС, так и к отчетности перед оператором ПС. PХарактерно, что первичная информация о функционировании ПС “может включать в себя” достаточно большое количество финансовых показателей о выполняемых транзакциях, остатках на счетах и проч. Будем считать, что это делается для облегчения оценки последствий инцидентов в ПС.
Следующий интересный раздел (пп.10-12) – показатели БФПС. Показатели – всегда хорошо, ибо крайне тяжело управлять и контролировать что-то неизмеримое.PПоказатели БФПС будут определяться оператором ПС, они могут быть как качественные, так и количественные.
Обязательными показателями БФПС являются уровни бесперебойности оказания операционных услуг, платежного клиринга и расчетных услуг.
Кроме них, в число показателей БФПС могут вводиться и иные, в частности – связанные с ликвидностью, провайдерами услуг, и т.п.
Соответственно, для каждого показателя должна быть определена методика его формирования.
Методики анализа рисков в ПС, которым посвящен пункт [13], судя по всему, будут относиться к анализу рисков, осуществляемому самим оператором ПС на основании собранной информации.
Как уже говорилось в начале, всю эту организационную работу операторы ПС, включая Банк России, должны завершить к 1 января 2013 года, после чего придет очередь поработать для субъектов ПС.
И, если в вашей организации еще нет полноценной системы обеспечения непрерывности бизнеса, это хороший шанс. Существенные ресурсы на удовлетворение требований регулятора все равно придется выделять, и было бы вполне логично сразу сделать честную и работающую систему.
