Система обеспечения непрерывности банковского бизнеса типовой план онивд
План ОНиВД – совокупность мероприятий, направленных на обеспечение непрерывности и/или восстановление деятельности кредитной организации в случае возникновения непредвиденных обстоятельств. Это внутренний документ банка, который определяет комплекс действий по предотвращению или своевременной ликвидации последствий нарушения режима работы финансового учреждения, вызванного возникновением чрезвычайной ситуации или иным событием, препятствующим выполнению кредитной организацией принятых на себя обязательств.
Рекомендации по структуре и содержанию плана, а также по организации проверки возможности его выполнения приведены в приложении 5 к положению ЦБ РФ от 16 декабря 2003 года № 242-П «Об организации внутреннего контроля в кредитных организациях и банковских группах».
Работы банка по составлению и поддержке плана ОНиВД в актуальном состоянии можно разделить на три этапа: разработка, которая в себя также включает согласование и утверждение плана, а также пересмотр и проверка.
При разработке плана анализируются следующие факторы:
– виды и характер возможных непредвиденных обстоятельств и степень их воздействия на деятельность кредитной организации;
– перечень критически важных внутренних банковских процессов, а также автоматизированных информационных систем, обеспечивающих их осуществление;
– показатели восстановления внутренних банковских процессов, в т. ч. такие, как срок восстановления, допустимый размер материальных затрат и потерь информации.
В план рекомендуется включать:
– порядок его реализации;
– перераспределение обязанностей и полномочий между подразделениями и служащими банка в случае возникновения непредвиденных обстоятельств;
– перечень установленных в кредитной организации процедур, выполнение которых необходимо для успешной реализации плана ОНиВД, а также очередность и сроки их выполнения. Например, резервное копирование информации, заключение договоров с контрагентами на оказание услуг, обеспечивающих реализацию плана, и т. д.;
– порядок взаимодействия (в т. ч. порядок экстренного оповещения и связи) между органами управления, подразделениями и служащими кредитной организации при возникновении непредвиденных обстоятельств;
– порядок информирования заинтересованных лиц о возникновении чрезвычайных ситуаций и взаимодействия с ними (в т. ч. с Банком России);
– детальные инструкции для подразделений и служащих финансового учреждения, содержащие описание действий, необходимых для поддержания или своевременного возобновления функционирования критически важных для деятельности кредитной организации внутренних банковских процессов и автоматизированных информационных систем;
– порядок завершения работы в чрезвычайном режиме и возврата в режим повседневного функционирования.
Для того чтобы служащие банка были готовы при возникновении непредвиденных обстоятельств действовать согласно плану ОНиВД, нужно проводить обучение, включающее в себя также проведение учений. Тестировать план следует не реже одного раза в год. Для этих целей рекомендуется определить группу наблюдателей, контролирующую выполнение предусмотренных планом ОНиВД мероприятий. По итогам проверки группа составляет протокол и отчет.
План необходимо пересматривать не реже одного раза в два года. При этом надо учитывать недостатки, обнаруженные в ходе его тестирования, а также вновь выявленные факторы, которые могут привести к нарушению повседневного функционирования кредитной организации в случае возникновения чрезвычайных ситуаций.
Материалы по теме:
«По техническим причинам…»
В последнее время тема обеспечения непрерывности деятельности для российских банков приобрела особую актуальность, что связано прежде всего с введением Банком России требований по наличию у кредитных организаций планов обеспечения непрерывности и восстановления деятельности (план ОНиВД)*
Эти нововведения неслучайны и являются отражением инициатив Банка России обеспечить российские банки инструментарием для постоянного и непрерывного осуществления финансовых операций в любых условиях, в том числе при чрезвычайных обстоятельствах.
Впервые банковское сообщество столкнулось с угрозой бесперебойности банковских операций в связи с так называемой «проблемой 2000-го года». Впоследствии ряд террористических актов в Нью-Йорке, Лондоне, Стамбуле, Мадриде и других странах, природные катастрофы, вспышки смертельно опасных заболеваний приводили к реальной угрозе остановки деловых операций ряда финансовых организаций, продемонстрировав высокую степень риска крупных операционных нарушений для деятельности финансовой системы.
Во многих странах мира требования по управлению непрерывности деятельности банков закреплены на законодательном уровне, разработаны методики формирования соответствующих планов, в том числе по отдельным направлениям деятельности, бизнес-процессам. К примеру, руководство по проверке планов непрерывности деятельности для IT-систем в США (Business Continuity Planning. IT-Examination Handbook). На международном уровне наиболее известными документами в области управления непрерывностью бизнеса являются «Рекомендации по наблюдению за непрерывностью деятельности для системно значимых платежных систем», разработанные ЕЦБ, и «Руководящие принципы обеспечения непрерывности деятельности» Базельского комитета по банковскому надзору, которые были приняты за основу органами банковского регулирования и надзора многих стран мира, в том числе и России.
Принципы управления непрерывностью бизнеса
Управление непрерывностью бизнеса является важнейшей частью системы управления рисками банка и осуществляется в соответствии с характером сопутствующего деятельности банка риска и масштабами операций. Конечной целью управления непрерывностью бизнеса является полное восстановление банковских операций, сбои в которых были спровоцированы операционными нарушениями различного рода, начиная от неисправностей в работе компьютеров и заканчивая авариями в системе энергоснабжения и нарушениями в работе транспорта.
Эффективность системы управления непрерывностью деятельности банка зависит от соблюдения банком определенных условий:
- система должна быть связана с корпоративной стратегией развития банка;
- система должна учитывать специфику бизнес-процессов банка и оценивать влияние на них и на бизнес банка в целом присущих банку вероятных причин возникновения чрезвычайного события;
- система должна определять субъектов финансового сектора, которым вероятнее всего будет нанесен ущерб от перерыва в бизнес-операциях банка;
- система управления непрерывностью должна гибко реагировать на изменения во внешней и внутренней среде деятельности банка и предлагать достаточно подробные и детальные сценарии действий банка при наступлении чрезвычайного события.
Этапы планирования обеспечения непрерывности бизнеса
Планирование непрерывности бизнеса банка представляет из себя некий цикл, который может применяться в отношении всех видов планов для планирования влияния чрезвычайных событий на каждый вид банковского риска, на каждый бизнес-процесс. Первым этапом этого цикла является определение перечня критически важных для банка процессов, обязательств, систем, объектов. Для этого банкам рекомендуется провести анализ документов, описать основные процессы и продукты, в случае необходимости, организовать целевые встречи с персоналом.
На следующем этапе планирования банку необходимо определить набор возможных негативных событий, чрезвычайных ситуаций, обстоятельств форс-мажора, которые могут повлиять на деятельность банка в целом или одного из его структурных подразделений. Вероятность возникновения чрезвычайных ситуаций может быть оценена на основе конкретных условий расположения объектов кредитной организации, особенностей климатических зон.
Очередным шагом разработки плана ОНиВД является оценка тяжести последствий чрезвычайных ситуаций для банка. Классификаций состояния банка в зависимости от негативного воздействия может быть много – от применения балльной системы до аналитического инструментария. Для получения количественной оценки угроз балльное значение вероятности наступления чрезвычайного события умножается на рейтинг его последствий. Так, если вероятность урагана оценивается в 10 баллов, а оценка последствий равна «3», взвешенный фактор риска составит 30 баллов.
После определения влияния различных событий на непрерывность бизнеса и рисков их возникновения банку необходимо детально проработать схему информирования руководства и ответственных подразделений, которую следует описать в форме алгоритма (последовательных действий). Далее Банк формирует план мероприятий по восстановлению бизнес-процессов, подвергшихся нарушениям в результате какого-либо чрезвычайного обстоятельства, т.е. разрабатывает стратегию восстановления.
Мировой опыт свидетельствует, что план восстановления бизнес-процессов банка должен содержать как минимум три блока: оперативное реагирование, антикризисное управление и коммуникации, восстановление уровня деловой активности. Оперативное реагирование (Emergency Response) – действия, которые необходимо предпринять в кризисной ситуации прежде всего для сохранения жизни работников и, если возможно, ограничения размера материального ущерба. Антикризисное управление и коммуникации (Crisis Management and Communications) основываются на алгоритме действий, необходимых для снижения негативных последствий кризисной ситуации. Восстановление уровня деловой активности (Business Recovery) включает в себя мероприятия, направленные на достижение докризисного объема операций банка, качества предоставляемых клиентам банковских продуктов и услуг.
План ОНиВД также должен содержать мероприятия банка и после ликвидации чрезвычайной ситуации. В частности, банк должен предусмотреть порядок проведения расследования причин чрезвычайной ситуации, разработку профилактики их возникновения, определения объема причиненного вреда, потери из-за неиспользованных возможностей.
Аудит плана ОНиВД
Очень важно, чтобы реагирование на негативные события было оперативным. В этой связи план ОНиВД никак не может быть для банка очередным «кирпичом», предъявляемым органам банковского надзора в ходе очередной проверки. В то же время признать план ОНиВД как инструмент восстановления работоспособности банка после реализации внешних и внутренних угроз можно эффективным только в том случае, если в его основе как минимум заложено определение того, что такое нормальное функционирование банка, как идентифицировать произошедшее изменение, оценивать его, классифицировать и как затем запускать процесс управления кризисным событием.
Иными словами, в банке должны быть организованы на постоянной основе проверки плана ОНиВД на предмет адекватности текущей ситуации и объективной оценки способности банка избежать существенных материальных потерь и восстановить динамику проведения своих операций. Подразделениям внутреннего контроля требуется проводить ревизии этого плана тогда, когда в банке происходят изменения бизнеса, процессов на уровне банка или в целом на уровне рынка, поскольку появляются новые угрозы и новые бизнес-процессы.
Мировой опыт свидетельствует, что план восстановления бизнес-процессов банка должен содержать как минимум три блока: оперативное реагирование, антикризисное управление и коммуникации, восстановление уровня деловой активности
Практика показывает, что лишь некоторые российские банки проводят регулярное тестирование процедур реагирования. В большинстве случаев о таких планах вспоминают при наступлении очередного чрезвычайного происшествия. Причем поскольку планы зачастую оказываются неработоспособными, банк несет существенные потери.
Процесс внедрения плана ОНиВД
Внедрение плана ОНиВД требует подчас существенных финансовых и нефинансовых затрат, которые оправданы тем, что банк, четко координируя свои действия при наступлении чрезвычайного события, может предотвратить значительную часть сопутствующих рисков – кредитных, репутационных, правовых, риска ликвидности и т.д.
Процесс введения плана ОНиВД в действие, как правило, включает в себя определенную последовательность действий, в частности:
- ввод в действие процедур для чрезвычайных ситуаций;
- уведомление сотрудников, поставщиков и заказчиков;
- формирование группы (групп) восстановления;
- оценка последствий бедствия;
- принятие решения о реализации плана восстановления деятельности;
- ввод в действие процедур восстановления деятельности;
- переезд в альтернативное рабочее помещение (помещения);
- восстановление функционирования критически важных приложений;
- восстановление основного рабочего помещения.
При введении плана ОНиВД параллельно вводятся в действие документы, содержащие такую информацию, как схемы коммутации телефонов, процедуры для аварийного отключения питания; организационную структуру, требования к оборудованию и снабжению и конфигурацию Центра восстановления; список критически важных приложений, вступающих в действие одновременно с планом ОНиВД, список восстанавливаемого оборудования, а также сводные данные по оценке рисков.
Даже при беглом просмотре мероприятий, необходимых для создания и поддержания в жизнеспособном состоянии системы непрерывности деятельности, становится очевидно, что их реализация является довольно затратной. Однако как показывает современная практика банковского дела, ни один банк не может быть застрахован от чрезвычайного события – пожара, землетрясения, террористического акта, сбоев и аварий энергосетей и т.д. Это означает, что реализация мероприятий по обеспечению непрерывности деятельности, позволяющих участникам финансовой системы выдержать события, влияющие на их способность осуществлять расчетные операции, должна, тем не менее, оставаться главной задачей.
* — Указание от 5 марта 2009 г. №2194-У «О внесении изменений в Положение Банка России от 16 декабря 2003 г. №242-П «Об организации внутреннего контроля в кредитных организациях и банковских группах» – введение в Положение ЦБ РФ от 16.12.2003 №242-П Приложения №5 – «Рекомендации по структуре и содержанию плана действий, направленных на обеспечение непрерывности деятельности и (или) восстановление деятельности (далее – План ОНиВД) кредитной организации в случае возникновения непредвиденных обстоятельств, а также по организации проверки возможности его выполнения».
1. Банк России в целях обеспечения непрерывности деятельности рекомендует системно значимым инфраструктурным организациям финансового рынка (далее — СЗИОФР), информация о которых размещена на официальном сайте Банка России в информационно-телекоммуникационной сети «Интернет» в разделе «Системно значимые инфраструктурные организации финансового рынка», использовать настоящие методические рекомендации.
Настоящие методические рекомендации подготовлены с учетом международных подходов, определенных в документе «Восстановление финансовой устойчивости инфраструктурных организаций финансового рынка», разработанном Комитетом по платежам и рыночным инфраструктурам совместно с Международной организацией комиссий по ценным бумагам в октябре 2014 года. Указанный документ на английском языке («Recovery of financial market infrastructures», October, 2014, CPMI-IOSCO) доступен на сайте Банка международных расчетов (www.bis.org/publ/d121.htm).
2. Под обеспечением непрерывности деятельности в целях настоящих методических рекомендаций понимается способность СЗИОФР оказывать услуги, приостановление или прекращение оказания которых по оценке СЗИОФР может существенно повлиять на финансовое положение СЗИОФР и (или) клиентов СЗИОФР (далее — значимые услуги) в полном объеме в условиях нестандартных и чрезвычайных ситуаций (далее — НЧС). СЗИОФР рекомендуется определить перечень возможных НЧС самостоятельно, исходя из оценки возможного ущерба вследствие нарушения обеспечения непрерывности деятельности с учетом вероятности и времени возникновения нарушений, а также специфики и масштаба деятельности СЗИОФР.
3. Совету директоров (наблюдательному совету) СЗИОФР рекомендуется утвердить должностное лицо, ответственное за обеспечение непрерывности деятельности (далее — Должностное лицо), при условии, что СЗИОФР (группа компаний, включающая СЗИОФР) является для него основным местом работы, а также сформировать из сотрудников СЗИОФР коллегиальный орган, уполномоченный определять приоритеты восстановления деятельности СЗИОФР в условиях НЧС и осуществлять координацию действий подразделений и отдельных сотрудников СЗИОФР в условиях НЧС (далее — Коллегиальный орган).
СЗИОФР рекомендуется разработать внутренние документы, утверждаемые органами управления СЗИОФР, регламентирующие обязанности и ответственность Должностного лица и Коллегиального органа.
СЗИОФР рекомендуется включить Должностное лицо в состав Коллегиального органа и наделить его функциями по координации деятельности Коллегиального органа.
В Коллегиальный орган рекомендуется включать в том числе руководителей структурных подразделений, осуществляющих оказание значимых услуг.
4. При выборе претендента на осуществление функций Должностного лица, включая временное осуществление этих функций, СЗИОФР рекомендуется учитывать наличие у него высшего образования, а также сертификата по международному стандарту ИСО в области осуществления непрерывности деятельности организации, полученного в системе добровольной сертификации, включенной в единый реестр Федерального агентства по техническому регулированию и метрологии, и (или) опыта работы по принятию (подготовке) решений по вопросам обеспечения непрерывности деятельности общей продолжительностью не менее двух лет в организациях, осуществляющих деятельность на финансовом рынке.
5. СЗИОФР во внутренних документах рекомендуется предусмотреть подотчетность Должностного лица совету директоров (наблюдательному совету) СЗИОФР, в том числе в качестве координатора деятельности Коллегиального органа.
6. СЗИОФР во внутренних документах рекомендуется предусмотреть составление и представление Должностным лицом совету директоров (наблюдательному совету) СЗИОФР не реже одного раза в квартал отчета о непрерывности деятельности СЗИОФР, в том числе включающего результаты расчета показателей оценки непрерывности деятельности СЗИОФР в соответствии с Приложением к настоящим методическим рекомендациям.
Совету директоров (наблюдательному совету) СЗИОФР рекомендуется учитывать указанный отчет при принятии управленческих решений, включая стратегическое развитие обеспечения непрерывности деятельности СЗИОФР.
7. СЗИОФР рекомендуется выявлять и проводить анализ факторов возникновения нестандартных и чрезвычайных ситуаций (далее — факторы НЧС), которые способны привести к нарушениям оказания значимых услуг.
8. Анализ факторов НЧС может включать следующие процессы:
оценку вероятности наступления фактора НЧС;
определение степени и характера влияния факторов НЧС на обеспечение непрерывности деятельности СЗИОФР.
СЗИОФР рекомендуется для определения перечня значимых услуг включать в анализ факторов НЧС оценку возможного ущерба от реализации НЧС, включая косвенные (финансовые, операционные и репутационные) последствия, по возможным сценариям нарушения обеспечения непрерывности деятельности.
9. СЗИОФР рекомендуется проводить анализ факторов НЧС не реже одного раза в шесть месяцев и в случае необходимости пересматривать (актуализировать) факторы НЧС.
СЗИОФР во внутренних документах рекомендуется предусмотреть подготовку и представление Должностным лицом совету директоров (наблюдательному совету) СЗИОФР отчета, содержащего результаты пересмотра (актуализации) факторов НЧС.
10. СЗИОФР, за исключением кредитных организаций, рекомендуется иметь утвержденный советом директоров (наблюдательным советом) СЗИОФР план обеспечения непрерывности и восстановления деятельности (далее — План ОНиВД). При этом в составе Плана ОНиВД целесообразно наличие специализированных планов обеспечения непрерывности и восстановления деятельности в зависимости от решений, принятых в этом отношении органами управления СЗИОФР.
СЗИОФР, являющийся кредитной организацией и разработавший План ОНиВД в соответствии с Положением Банка России от 16 декабря 2003 года № 242-П «Об организации внутреннего контроля в кредитных организациях и банковских группах», зарегистрированным Министерством юстиции Российской Федерации 27 января 2004 года № 5489, 22 декабря 2004 года № 6222, 20 марта 2009 года № 13547, 30 июня 2014 года № 32913 («Вестник Банка России» от 4 февраля 2004 года № 7, от 31 декабря 2004 года № 74, от 1 апреля 2009 года № 21, от 9 июля 2014 года № 63), рекомендуется дополнить План ОНиВД положениями, основанными на настоящих методических рекомендациях.
11. В План ОНиВД рекомендуется включить следующее:
цели, приоритеты и задачи, решаемые в рамках Плана ОНиВД;
перечень факторов НЧС;
возможные сценарии нарушения обеспечения непрерывности деятельности;
перечень значимых услуг, восстановление нормальной деятельности по оказанию которых необходимо обеспечивать в первую очередь, с указанием сроков их восстановления;
порядок осуществления внутренних процессов, необходимых для оказания значимых услуг в условиях возникновения НЧС, включая очередность и сроки их выполнения;
порядок взаимодействия между Должностным лицом, членами Коллегиального органа и сотрудниками СЗИОФР в условиях возникновения НЧС, в том числе с учетом взаимозаменяемости сотрудников СЗИОФР;
порядок экстренного оповещения и способ связи между Должностным лицом, членами Коллегиального органа, органами управления, подразделениями и сотрудниками СЗИОФР;
меры по восстановлению нормальной деятельности по оказанию значимых услуг после наступления НЧС в срок, определенный в Плане ОНиВД;
информацию о контактах экстренных оперативных служб (телефонные номера) и внутренние контакты (телефонные номера, адреса электронной почты) лиц, привлеченных к выполнению мер по восстановлению нормальной деятельности по оказанию значимых услуг;
порядок информирования клиентов и контрагентов СЗИОФР, а также Банка России о возникновении НЧС;
инструкции для подразделений и сотрудников СЗИОФР, содержащие описание действий, необходимых для поддержания или своевременного восстановления нормальной деятельности по оказанию значимых услуг;
порядок активации Плана ОНиВД, завершения работы в режиме НЧС и возврата СЗИОФР к нормальной деятельности;
адрес резервного офиса СЗИОФР (далее — резервный офис);
места сбора сотрудников СЗИОФР в случае возникновения НЧС;
необходимые процедуры для оказания значимых услуг в сроки, не превышающие время окончания операционного дня, при возникновении нарушения обеспечения непрерывности деятельности, в том числе в режиме НЧС;
обязанности и ответственность Должностного лица и членов Коллегиального органа.
12. СЗИОФР рекомендуется:
разработать процедуры активизации Плана ОНиВД в случае возникновения факторов НЧС;
не реже одного раза в год проводить пересмотр (актуализацию) Плана ОНиВД;
тестировать План ОНиВД не реже одного раза в шесть месяцев с моделированием потенциальных НЧС и привлечением сотрудников СЗИОФР.
13. СЗИОФР во внутренних документах рекомендуется предусмотреть подготовку и представление Должностным лицом совету директоров (наблюдательному совету) СЗИОФР отчета, содержащего результаты тестирования Плана ОНиВД.
14. Утвержденный советом директоров (наблюдательным советом) СЗИОФР План ОНиВД, в том числе после его пересмотра (актуализации), рекомендуется направлять в Департамент финансовой стабильности Банка России.
15. СЗИОФР, являющейся клиринговой организацией и разработавшей правила управления рисками в соответствии с Положением Банка России от 12 марта 2015 года № 463-П «О требованиях, направленных на снижение рисков осуществления клиринговой деятельности, и требованиях к документу (документам), определяющему (определяющим) меры, направленные на снижение кредитных, операционных и иных рисков, в том числе рисков, связанных с совмещением клиринговой деятельности с иными видами деятельности», зарегистрированным Министерством юстиции Российской Федерации 30 апреля 2015 года № 37079 («Вестник Банка России» от 14 мая 2015 года № 42), рекомендуется дополнить правила управления рисками положениями, основанными на настоящих методических рекомендациях.
16. СЗИОФР рекомендуется иметь резервный офис, который функционально мог бы дублировать работу основного офиса СЗИОФР (далее — основной офис) в части оказания значимых услуг и обеспечивать непрерывность деятельности путем оперативного переключения управления на него в случае невозможности оказания значимых услуг основным офисом.
17. СЗИОФР рекомендуется:
расположить резервный офис на территории Российской Федерации в достаточной территориальной отдаленности от основного офиса с учетом возможности сотрудников основного офиса продолжить работу в резервном офисе в течение одного часа с момента возникновения НЧС;
обеспечить наличие независимых генераторов электричества в основном и резервном офисах;
использовать не менее двух поставщиков телекоммуникационных услуг для основного и резервного офисов;
определить количество рабочих мест и техническое оснащение резервного офиса, достаточное для восстановления нормальной деятельности по оказанию значимых услуг в сроки, определенные в Плане ОНиВД;
обеспечить постоянное нахождение в резервном офисе минимально необходимого количества сотрудников СЗИОФР для обеспечения начала функционирования резервного офиса в кратчайшие сроки после возникновения НЧС, в том числе возобновления в нем оказания значимых услуг в сроки, установленные Планом ОНиВД, и подготовки резервного офиса к переезду сотрудников из основного офиса;
поддерживать техническое состояние, технологическое и методологическое сопровождение резервного офиса на уровне, достаточном для обеспечения возможности оказания всех значимых услуг и процессов СЗИОФР и обеспечения возможности поддержания оказания этих услуг и процессов в течение одного месяца с момента возникновения НЧС.
18. СЗИОФР рекомендуется:
обеспечить возможность незамедлительного начала работы по переносу бизнес-процессов, осуществляемых с использованием программно-технических средств СЗИОФР, предназначенных для осуществления оказания значимых услуг (далее — программно-технические средства), из основного офиса в резервный офис;
обеспечить непрерывное резервное копирование информации с целью обеспечения возобновления оказания значимых услуг, в том числе из резервного офиса, в случае НЧС и выполнения положений Плана ОНиВД;
определить перечень используемых информационных систем, требующих защиты от противоправных действий;
обеспечить внедрение, настройку и защиту информационных систем программно-технических средств;
разработать комплексные принципы защиты и на постоянной основе осуществлять информационную защиту программно-технических средств;
регулярно, но не реже одного раза в шесть месяцев проводить идентификацию угроз, которые могут привести к неработоспособности программно-технических средств;
проводить постоянный мониторинг текущего состояния программно-технических средств, контроль пользовательских прав и регламентов сотрудников СЗИОФР с целью принятия своевременных мер по устранению выявленных недостатков;
обеспечивать наличие достаточной пропускной способности программно-технических средств и возможности ее наращивания для обработки возросших объемов операций в периоды повышенной нагрузки, в том числе проведением нагрузочного тестирования;
ежедневно осуществлять резервное копирование баз данных с обеспечением их хранения отдельно от основной системы СЗИОФР;
обеспечить рабочие места сотрудников средствами двухфакторной аутентификации.
19. СЗИОФР рекомендуется проводить тестирование программно-технических средств основного и резервного офисов с учетом выявленных факторов НЧС не реже одного раза в шесть месяцев.
СЗИОФР во внутренних документах рекомендуется предусмотреть подготовку и представление Должностным лицом совету директоров (наблюдательному совету) СЗИОФР отчета, содержащего результаты тестирования программно-технических средств.
20. Настоящие методические рекомендации подлежат опубликованию в «Вестнике Банка России».
| Первый заместитель Председателя Банка России | К.В. Юдаева |
Приложение
к Методическим рекомендациям
по обеспечению непрерывности
деятельности системно значимых
инфраструктурных организаций
финансового рынка
Рекомендуемые показатели оценки непрерывности деятельности СЗИОФР
Показатели оценки непрерывности деятельности СЗИОФР рекомендуется рассчитывать на основании следующих показателей.
1. Показатель Д0 определяет уровень устойчивости программно-технических средств к отказам в работе и рассчитывается как отношение фактической продолжительности рабочего времени программно-технических средств к суммарной продолжительности рабочего времени программно-технических средств:
,
где:
— суммарная продолжительность рабочего времени программно-технических средств, предусмотренная в соответствии с временным регламентом его функционирования за последние четыре квартала, рассчитанная в часах;
— суммарная продолжительность простоя при нарушениях в работе программно-технических средств за последние четыре квартала, рассчитанная в часах.
При расчете 
и 
используется время оказания значимых услуг при функционировании СЗИОФР в качестве всех видов инфраструктурных организаций финансового рынка, информация о которых размещена на официальном сайте Банка России в информационно-телекоммуникационной сети «Интернет» в разделе «Системно значимые инфраструктурные организации финансового рынка».
2. Показатель F определяет уровень максимальной интенсивности вероятных нарушений в работе программно-технических средств и рассчитывается как отношение минимального промежутка рабочего времени между нарушениями в работе программно-технических средств к количеству нарушений в работе программно-технических средств в отчетном периоде:
,
где:
— минимальный промежуток рабочего времени между двумя нарушениями в работе программно-технических средств в отчетном периоде, рассчитанный в часах;
— количество нарушений в работе программно-технических средств в отчетном периоде, рассчитанный в штуках.
В случае если 
равно 0, то показатель 
не рассчитывается.
В случае если 
равно 1, то расчет
проводится от последнего нарушения в работе программно-технических средств предыдущего периода до нарушения в работе программно-технических средств в отчетном периоде.
Значение показателя F считается удовлетворительным, если F больше 2.
3. Показатель 
определяет среднее время восстановления работоспособности программно-технических средств после нарушений в работе и рассчитывается как среднее арифметическое времени восстановления при нарушениях работоспособности:
,
где:
— время восстановления при i-м нарушении работоспособности программно-технических средств, рассчитанное в часах;
— количество фактов нарушений работоспособности программно-технических средств за отчетный квартал, рассчитанное в штуках.
Показатель 
рассчитывается для каждой значимой услуги.
Банк России подготовил методические рекомендации по обеспечению непрерывности деятельности системно значимых инфраструктурных организаций финансового рынка (СЗИОФР).
Информация о данных организациях размещена на официальном сайте мегарегулятора.
Под обеспечением непрерывности деятельности понимается способность СЗИОФР предоставлять услуги, приостановление или прекращение оказания которых по оценке СЗИОФР может существенно повлиять на финансовое положение СЗИОФР и (или) ее клиентов в полном объеме в условиях нестандартных и чрезвычайных ситуаций.
СЗИОФР рекомендуется самостоятельно определить перечень таких ситуаций. При этом нужно исходить из оценки возможного ущерба с учетом вероятности и времени возникновения нарушений, а также специфики и масштаба деятельности СЗИОФР.
Совету директоров (наблюдательному совету) СЗИОФР желательно утвердить должностное лицо, ответственное за обеспечение непрерывности деятельности. Даны рекомендации по процедуре его назначения и подотчетности.
Не реже 1 раза в 6 месяцев СЗИОФР целесообразно выявлять и проводить анализ факторов возникновения нестандартных и чрезвычайных ситуаций, которые способны привести к нарушениям оказания значимых услуг.
Уделено внимание порядку составления плана обеспечения непрерывности и восстановления деятельности. Не реже 1 раза в год его рекомендуется пересматривать (актуализировать), а также тестировать минимум 1 раз в 6 месяцев с моделированием потенциальных нестандартных и чрезвычайных ситуаций и привлечением сотрудников СЗИОФР.
Приведены показатели для расчета критериев оценки непрерывности деятельности СЗИОФР.