3.1. В рамках организации системы управления рисками репозитарий должен разработать и осуществлять меры по выявлению, мониторингу и оценке риска ухудшения или прекращения оказания репозитарных услуг вследствие недостатков, нарушений, сбоев в работе информационных систем и комплексов программно-технических средств репозитария и (или) во внутренних бизнес-процессах, ошибок работников репозитария и (или) внешних событий, оказывающих негативное воздействие на деятельность по оказанию репозитарных услуг (далее - операционный риск), а также управлению операционным риском.
3.2. В рамках выявления, мониторинга и оценки операционного риска, а также управления им репозитарий должен разработать и осуществлять следующие меры.
3.2.1. Определить меры по выявлению источников операционного риска, в рамках которых репозитарий должен учитывать внутренние источники операционного риска, в том числе недостатки, нарушения, сбои в работе информационных систем и комплексов программно-технических средств репозитария и (или) во внутренних бизнес-процессах, ошибки работников репозитария, а также внешние источники операционного риска, в том числе сбои в работе поставщиков телекоммуникационных услуг, обеспечивающих функционирование репозитария, и иные внешние события и обстоятельства, включая события природного, политического, экономического характера, которые могут оказать негативное воздействие на деятельность по оказанию репозитарных услуг.
Для целей выявления внутренних источников операционного риска репозитарий должен выделить бизнес-процессы (их отдельные сегменты), сбои в работе которых могут привести к ухудшению или прекращению оказания репозитарных услуг.
Репозитарий должен анализировать и выявлять возможные новые источники операционного риска, в том числе связанные с развитием информационных технологий, в целях их учета при мониторинге и оценке операционного риска репозитария, а также управления им.
3.2.2. Определить целевые показатели операционной надежности репозитария, обеспечивающие бесперебойность оказания репозитарных услуг, а также конфиденциальность, целостность и сохранность данных, доступ к данным на постоянной основе.
При определении целевых показателей операционной надежности репозитарий должен учитывать как количественные, так и качественные критерии операционной надежности репозитария.
Репозитарий должен оценивать выполнение целевых показателей операционной надежности не реже одного раза в шесть месяцев и предоставлять информацию о результатах оценки совету директоров (наблюдательному совету) репозитария в составе отчетов об управлении рисками репозитария.
Репозитарий должен анализировать целевые показатели операционной надежности не реже одного раза в год и при необходимости актуализировать их, в том числе с учетом развития новых технологий и совершенствования бизнес-процессов репозитарной деятельности.
3.2.3. Обеспечить ведение базы данных о событиях операционного риска, включающей в том числе описание событий операционного риска, результаты их анализа, принятые по ним решения в рамках управления операционным риском.
3.2.4. Использовать комплексы программно-технических средств для оказания репозитарных услуг, обеспечивающие бесперебойную деятельность репозитария и возможность оперативно обрабатывать объем информации при оказании репозитарных услуг и оперативно управлять информацией, получаемой репозитарием при оказании репозитарных услуг.
Репозитарий должен составлять прогнозную оценку возможного изменения объемов проводимых репозитарием операций и разрабатывать планы мер, обеспечивающих оказание репозитарных услуг в условиях возможного увеличения объемов операций и (или) при необходимости изменения технических параметров комплексов программно-технических средств.
Репозитарий должен проводить тестирование (в том числе стресс-тестирование) комплексов программно-технических средств с периодичностью, установленной правилами управления рисками репозитария, но не реже одного раза в год, а также в случаях изменений бизнес-процессов, связанных с оказанием репозитарных услуг, и после событий операционного риска, в результате наступления которых с учетом степени их влияния на результаты и качество осуществления репозитарной деятельности репозитарий не сможет оказывать репозитарные услуги в соответствии с требованиями к репозитарной деятельности.
3.2.5. Определить меры, направленные на защиту информационных систем и комплексов программно-технических средств, используемых при осуществлении репозитарной деятельности, обеспечивающие сохранность или восстановление информации в случае ее умышленного или случайного разрушения (искажения) или выхода из строя средств вычислительной техники, а также защиту комплексов программно-технических средств от внешних воздействий и угроз, которые могут привести к нарушению их работоспособности.
Меры, направленные на защиту информационных систем и комплексов программно-технических средств репозитария, должны предусматривать в том числе:
механизмы защиты на всех этапах жизненного цикла автоматизированных систем обработки информации;
учет факторов, которые могут привести к утере работоспособности комплексов программно-технических средств репозитария;
использование средств антивирусной защиты;
механизмы защиты при использовании ресурсов информационно-телекоммуникационной сети "Интернет";
механизмы защиты при определении ролей (функций) работников репозитария на этапе эксплуатации комплексов программно-технических средств;
механизмы защиты при управлении регистрацией и доступом специалистов репозитария к работе с информационными системами и программно-техническими средствами;
средства двухфакторной аутентификации при организации работы работников репозитария с информационными системами и программно-техническими средствами;
процедуры выявления инцидентов нарушения информационной безопасности и мероприятия, направленные на повышение грамотности работников репозитария по вопросам информационной безопасности.
Репозитарий должен на постоянной основе проводить мониторинг соблюдения мер, направленных на защиту информационных систем и комплексов программно-технических средств, используемых при осуществлении репозитарной деятельности.
Репозитарий должен по мере необходимости, но не реже одного раза в год, проводить анализ и оценку эффективности применяемых мер, направленных на защиту информационных систем и комплексов программно-технических средств, используемых для осуществления репозитарной деятельности, в том числе с учетом выявленных инцидентов нарушений информационной безопасности.
Репозитарий должен предоставлять информацию о результатах мониторинга соблюдения мер, направленных на защиту информационных систем и комплексов программно-технических средств, используемых для осуществления репозитарной деятельности, а также предложения о совершенствовании мер, направленных на защиту информационных систем и комплексов программно-технических средств, используемых для осуществления репозитарной деятельности, совету директоров (наблюдательному совету) репозитария в составе отчетов об управлении рисками репозитария.
3.2.6. Организовать функционирование комплекса программно-технических средств репозитария, обеспечивающего надлежащее и бесперебойное осуществление деятельности репозитария в случае невозможности осуществления услуг репозитария основным комплексом программно-технических средств репозитария в условиях возникновения нестандартных и чрезвычайных ситуаций (далее - резервный комплекс).
Резервный комплекс должен функционально дублировать работу основного комплекса программно-технических средств репозитария для обеспечения непрерывности функционирования репозитария.
Репозитарий должен обеспечить переход на использование резервного комплекса при оказании репозитарных услуг в случае возникновения нестандартных и чрезвычайных ситуаций и невозможности обеспечения непрерывности деятельности при оказании услуг репозитария основным комплексом программно-технических средств репозитария.
В рамках обеспечения функционирования резервного комплекса репозитарий в том числе должен:
расположить резервный комплекс на территориальном удалении от основного комплекса программно-технических средств репозитария, а также обеспечить возможность работникам основного комплекса программно-технических средств репозитария осуществлять процесс репозитарной деятельности в резервном комплексе в течение срока, определенного планом обеспечения непрерывности деятельности репозитария;
обеспечить наличие независимых друг от друга генераторов электричества в основном комплексе программно-технических средств репозитария и резервном комплексе;
использовать услуги как минимум двух независимых поставщиков телекоммуникационных услуг для основного комплекса программно-технических средств репозитария и резервного комплекса;
обеспечить нахождение в резервном комплексе работников репозитария в течение рабочего времени, определенного внутренними документами репозитария, для обеспечения начала функционирования резервного комплекса и возобновления в нем осуществления репозитарных услуг в случае возникновения нестандартной или чрезвычайной ситуации;
поддерживать техническое состояние резервного комплекса, в том числе необходимое количество рабочих мест для обеспечения возможности осуществления услуг репозитария в резервном комплексе в течение как минимум 15 рабочих дней с момента возникновения нестандартной или чрезвычайной ситуации.
В случае перехода на использование резервного комплекса при оказании репозитарных услуг репозитарий должен обеспечить оказание репозитарных услуг в порядке и сроки, установленные Федеральным законом "О рынке ценных бумаг".
Репозитарий должен осуществлять ежедневное резервное копирование баз данных репозитария, в том числе из резервного комплекса (в случае перехода на его использование), а также обеспечивать сохранность копий на случай утраты (повреждения) баз данных репозитария.
3.2.7. Определить меры, обеспечивающие оказание репозитарных услуг квалифицированными работниками репозитария и предупреждение неправомерных действий со стороны работников репозитария.
3.2.8. Определить меры по выявлению дополнительного операционного риска, обусловленного взаимодействием с инфраструктурными и иными организациями финансового рынка, в том числе клиентами и поставщиками услуг, а также меры, направленные на снижение или устранение возможного негативного влияния дополнительного операционного риска при осуществлении репозитарной деятельности.
- Гражданский кодекс (ГК РФ)
- Жилищный кодекс (ЖК РФ)
- Налоговый кодекс (НК РФ)
- Трудовой кодекс (ТК РФ)
- Уголовный кодекс (УК РФ)
- Бюджетный кодекс (БК РФ)
- Арбитражный процессуальный кодекс
- Конституция РФ
- Земельный кодекс (ЗК РФ)
- Лесной кодекс (ЛК РФ)
- Семейный кодекс (СК РФ)
- Уголовно-исполнительный кодекс
- Уголовно-процессуальный кодекс
- Производственный календарь на 2023 год
- МРОТ 2024
- ФЗ «О банкротстве»
- О защите прав потребителей (ЗОЗПП)
- Об исполнительном производстве
- О персональных данных
- О налогах на имущество физических лиц
- О средствах массовой информации
- Производственный календарь на 2024 год
- Федеральный закон "О полиции" N 3-ФЗ
- Расходы организации ПБУ 10/99
- Минимальный размер оплаты труда (МРОТ)
- Календарь бухгалтера на 2024 год
- Частичная мобилизация: обзор новостей