Постановление Правления
Национального банка
Кыргызской Республики
от 12 апреля 2024 года
№ 2024-П-12/17-2-(НПА)
О внесении изменений в некоторые нормативные правовые акты
Национального банка Кыргызской Республики
по вопросу аудита информационной безопасности
В соответствии со статьями 5, 9 и 64 конституционного Закона Кыргызской Республики «О Национальном банке Кыргызской Республики» Правление Национального банка Кыргызской Республики постановляет:
1. Внести изменения в следующие постановления Правления Национального банка Кыргызской Республики (прилагаются):
- «Об утверждении Положения «О требованиях к формированию финансовой отчетности коммерческих банков Кыргызской Республики» от 12 марта 2010 года № 6/2;
- «Об утверждении Положения «О критериях системности коммерческих банков и небанковских финансово-кредитных организаций» от 8 июня 2017 года № 2017-П-12/23-9-(НПА);
- «Об утверждении Положения «О минимальных требованиях к внешнему аудиту банков и других финансово-кредитных организаций, лицензируемых Национальным банком Кыргызской Республики» от 15 июня 2017 года № 2017-П-12/25-2-(НПА);
- «Об утверждении Правил формирования системы внутреннего контроля и внутреннего аудита в банках и небанковских финансово-кредитных организациях, лицензируемых и регулируемых Национальным банком Кыргызской Республики» от 15 июня 2017 года № 2017-П-12/25-3-(НПА);
- «Об утверждении Положения «О минимальных требованиях по управлению рисками в банках Кыргызской Республики» от 15 июня 2017 года № 2017-П-12/25-8-(НПА).
2. Настоящее постановление вступает в силу с 1 июля 2024 года.
3. Юридическому управлению:
- со дня получения соответствующих документов в течение 3 (трех) рабочих дней опубликовать настоящее постановление на официальном интернет-сайте Национального банка Кыргызской Республики;
- после официального опубликования направить настоящее постановление в Министерство юстиции Кыргызской Республики для внесения в Государственный реестр нормативных правовых актов Кыргызской Республики.
4. Управлению методологии надзора после официального опубликования в течение 3 (трех) рабочих дней довести настоящее постановление до сведения ОЮЛ «Союз банков Кыргызстана», коммерческих банков, ОАО «Государственный банк развития Кыргызской Республики», структурных подразделений, областных управлений и Представительства Национального банка Кыргызской Республики в Баткенской области.
5. Контроль за исполнением настоящего постановления возложить на члена Правления Национального банка Кыргызской Республики, курирующего управление методологии надзора.
Приложение
к постановлению Правления
Национального банка
Кыргызской Республики
от 12 апреля 2024 года
№ 2024-П-12/17-2-(НПА)
Изменения в некоторые нормативные правовые акты
Национального банка Кыргызской Республики
по вопросу аудита информационной безопасноти
1. Внести в постановление Правления Национального банка Кыргызской Республики «Об утверждении Положения «О требованиях к формированию финансовой отчетности коммерческих банков Кыргызской Республики» от 12 марта 2010 года № 6/2 следующие изменения:
в Положении «О требованиях к формированию финансовой отчетности коммерческих банков Кыргызской Республики», утвержденном вышеуказанным постановлением:
- в первом предложении пункта 26 исключить слово «/или»;
- в первом предложении пункта 31 исключить слово «/или».
2. Внести в постановление Правления Национального банка Кыргызской Республики «Об утверждении Положения «О критериях системности коммерческих банков и небанковских финансово-кредитных организаций» от 8 июня 2017 года № 2017-П-12/23-9-(НПА) следующие изменения:
в Положении «О критериях системности коммерческих банков и небанковских финансово-кредитных организаций», утвержденном вышеуказанным постановлением:
- пункт 10 дополнить абзацами следующего содержания:
«Качественные характеристики, применяемые для оценки системной значимости банков в банковской системе, определяются на основе следующей информации:
а) количество корреспондентских счетов и обороты по ним;
б) количество выпущенных в обращение/действующих карт и объем транзакций;
в) наличие мобильных кошельков/приложений, интернет-банкинга и систем быстрых платежей;
г) участие в реализации государственных программ;
д) доля непроцентных доходов в структуре доходов банка;
е) доля государственных средств в банке и связь банка с государством;
ж) доля иностранных средств в капитале банка;
з) доступность и обширность сети банкоматов, терминалов.»;
- первое предложение второго абзаца пункта 13 после слов «отчетных периодов» дополнить словом «(ежеквартально)».
3. Внести в постановление Правления Национального банка Кыргызской Республики «Об утверждении Положения о минимальных требованиях к внешнему аудиту банков и других финансово-кредитных организаций, лицензируемых Национальным банком Кыргызской Республики» от 15 июня 2017 года № 2017-П-12/25-2-(НПА) следующие изменения:
в Положении о минимальных требованиях к внешнему аудиту банков и других финансово-кредитных организаций, лицензируемых Национальным банком Кыргызской Республики, утвержденном вышеуказанным постановлением:
- в пункте 3:
пятый абзац изложить в следующей редакции:
«Внешний аудит информационной безопасности – независимая комплексная проверка внешним аудитором технических регламентов и требований банка, позволяющих обеспечить безопасность и защиту информации и самих банковских систем от неправомерного вмешательства и иных угроз (рисков).»;
дополнить абзацами следующего содержания:
«DDoS-атака (distributed denial of service) – целенаправленная атака путем подачи большого количества запросов в целях прекращения или затруднения работы информационной системы.
Anti-fraud системы – программные комплексы для предотвращения мошеннических транзакций.
Sql-инъекция - уязвимость, которая позволяет атакующему использовать фрагмент вредоносного кода на языке структурированных запросов (SQL) для манипулирования базой данных и получения доступа к информации.
Dmz-зона – часть локальной сети, предназначенная для размещения сетевых устройств взаимодействующих с внешними сетями, в частности с сетью интернет.»;
- второй абзац пункта 11 изложить в следующей редакции:
«При заключении договора на проведение аудиторской проверки финансовой отчетности должны быть включены требования, изложенные в главе 5 настоящего Положения, и в договоре на проведение аудита информационной безопасности – требования, изложенные в главе 6 настоящего Положения.»;
- пункт 21 изложить в следующей редакции:
«21. Руководитель аудита информационной безопасности для проведения внешнего аудита информационной безопасности должен обладать:
- квалификационным сертификатом (одним из CISA, CISM, CISSP и т.д.);
- опытом аудита информационных систем и/или информационной безопасности финансово-кредитных организаций.»;
- наименование главы 6 «Аудит информационных систем» изложить в следующей редакции: «6. Аудит информационной безопасности»;
- пункт 37 изложить в следующей редакции:
«37. Банки должны проводить внешний аудит информационной безопасности минимум один раз в два года. Срок проведения внешнего аудита информационной безопасности определяется из расчета двух последовательных лет с даты проведения последнего внешнего аудита информационной безопасности.
При этом системно значимые банки, определяемые по количественным показателям в соответствии с Положением «О критериях системности коммерческих банков и небанковских финансово-кредитных организаций», а также банки, которые предоставляют дистанционные финансовые услуги (если объем данных операций свыше 10% от активов банка), должны проводить внешний аудит информационной безопасности ежегодно.
В случае получения банком сертификации в соответствии с международным стандартом ISO 27001 «Система менеджмента информационной безопасности» и последующего соответствия этому стандарту внешний аудит информационной безопасности может проводиться раз в три года.
Банк должен проводить внешний аудит информационной безопасности дочерней компании, предоставляющей услуги по разработке финансовых технологий для реализации банковских услуг. Аудит информационной безопасности банка и его дочерней компании, предоставляющей услуги по разработке финансовых технологий для реализации банковских услуг, должен осуществляться одной аудиторской организацией.»;
- главу 6 «Аудит информационных систем» дополнить пунктами 37-1, 37-2, 37-3, 37-4 и 37-5 следующего содержания:
«37-1. В программе внешнего аудита, помимо соблюдений требований Положения о требованиях по обеспечению информационной безопасности в коммерческих банках Кыргызской Республики, дополнительно отражаются следующие вопросы/разделы:
- защита важной информации: шифрование данных (сокрытие данных по картам клиентов банка) и предотвращение утечек, управление неструктурированными данными (например, видео- и аудиозаписи), использование защищенных протоколов обмена с третьими лицами, использование многофакторной аутентификации, использование сертификатов безопасности;
- безопасность инфраструктуры: оценка обеспеченностью серверными и сетевыми ресурсами, оценка защиты виртуальных ресурсов и комплексной защиты от направленных атак, проверка наличия установки актуальных версий операционных систем и патчей безопасности, наличие использования банком внешних облачных ресурсов и другие;
- мониторинг: оценка управления инцидентами и цифровыми расследованиями инцидентов, анализ управления учетными записями и удаленным доступом к инфраструктуре, контроль привилегированных пользователей, анализ полноты логов систем для цифровых расследований;
- защита от взломов и мошенничества: использование anti-fraud систем, защита от DDoS-атак и sql-инъекций, использование нагрузочных тестов на отказ в обслуживании, защита систем от межсайтового скриптинга и другие;
- защита приложений и баз данных: оценка защищённости баз данных, оценка мер безопасности программного кода приложений банка и использование автоматизированных инструментов проверки уязвимости кода, таких как статический и динамический анализаторы (SAST и DAST), в том числе мобильного и интернет-банкинга, в случае наличия в банке внутренней разработки программного обеспечения;
- сетевая безопасность: оценка топологии сети на предмет выделения подсети с серверами, POS-терминалами и банкоматами, подсети администрирования для привилегированных пользователей, наличия dmz-зон, наличия актуальных версий операционных систем и патчей безопасности; изучение полноты настроек систем предотвращения сетевых вторжений и сетевых аномалий; наличие межсетевых экранов и сканеров безопасности с актуальными подписками.
Акцентированные области внешнего аудита должны регулярно пересматриваться банком в зависимости от актуальности. Национальный банк вправе дополнительно рекомендовать банку включить в планируемый внешний аудит акцентированные области по результатам предыдущего аудита и/или при наличии инцидентов по информационной безопасности.
37-2. Техническое задание для внешнего аудита должно утверждаться/согласовываться ответственными лицами банка по информационной безопасности и информационным технологиям.
37-3. Банк при необходимости может проводить целевой аудит компонентов информационных систем на этапе создания, внедрения и экплуатации новых информационных систем. Однако целевой аудит не исключает проведения внешнего аудита информационной безопасности.
37-4. Целевой аудит может быть самостоятельно внепланово инициирован банком и проведен в качестве узкоспециализированного аудита, направленного на отдельный элемент инфраструктуры, для оценки бизнес-процесса либо на соответствие конкретным критериям как быстродействие, безопасность, надежность, производительность или признанным международным стандартам (PCI DSS, COBIT, ITIL, ISO, NIST и другие).
37-5. При внедрении банком нового приложения для удаленного доступа клиентов (мобильный и интернет-банкинг) банк должен провести целевой внешний аудит безопасности программного кода в случае наличия в банке внутренней разработки программного обеспечения. Результаты целевого аудита должны быть предоставлены в Национальный банк в течение 10 дней после получения отчета аудита.»;
- пункт 38 изложить в следующей редакции:
«38. В ходе и для целей аудита информационной безопасности внешний аудитор должен:
а) обозначить сроки проведения аудита, область аудита (проверяемые информационные системы, процессы, документы), подходы и применяемые инструменты аудита;
б) осуществить анализ и оценку соответствия информационных систем и процессов банка требованиям:
- нормативных правовых актов Национального банка в части информационной безопасности;
- внутренних политик/процедур информационных систем банка, утвержденных руководством банка.»;
- пункт 39 изложить в следующей редакции:
«39. При проведении внешнего аудита информационной безопасноси как минимум необходимо:
а) оценить внутренние документы по обеспечению информационной безопасности на предмет их необходимости, достаточности и соответствия требованиям законодательства Кыргызской Республики, нормативных правовых актов Национального банка;
б) изучить стратегические документы банка, бизнес-планы, политики и процедуры по управлению рисками информационной безопасности в целях оценки их адекватности, достаточности и актуальности;
в) оценить систему управления информационной безопасности и систему управления операционными рисками;
г) оценить систему обеспечения непрерывности деятельности информационных систем и планов восстановления информационных систем в случае чрезвычайных ситуаций;
д) оценить риски, связанные с угрозами нарушения информационной безопасности в отношении активов банка, идентификацировать уязвимости информационных систем;
е) рассмотреть степень защищенности информационных систем в филиалах, если в них наблюдается низкий уровень централизации и размещены критические элементы инфраструктуры;
ж) оценить систему управления доступом и распределения ролей в автоматизированных системах;
з) оценить уровень осведомленности персонала банка в области информационной безопасности и меры банка по информированию персонала;
и) рассмотреть вопросы соблюдения требований законодательства в отношении прав интеллектуальной собственности и использования лицензионных программных продуктов;
к) оценить выполнение рекомендаций предыдущих внешних аудиторских проверок в виде разработки новых или совершенствования действующих внутренних процедур банка, а также мер по улучшению системы защищенности информационных систем;
л) оценить систему управления рисками поставщиков услуг по критичным информационным системам банка в случае передачи банком бизнес-процессов по управлению информационными технологиями на аутсорсинг.»;
- главу 6 «Аудит информационных систем» дополнить пунктом 39-1 следующего содержания:
«39-1. По результатам аудита информационной безопасности внешний аудитор представляет оценку текущего состояния информационных систем и степень их защищенности.
По результатам аудита дочерней компании, предоставляющей услуги по разработке финансовых технологий для реализации банковских услуг, составляются отчеты на отдельной или консолидированной основе.»;
- пункт 40 изложить в следующей редакции:
«40. В аудиторском заключении должна быть отражена информация в соответствии с Международными стандартами аудита и требованиями Национального банка, в том числе рекомендации, которые должны быть включены в программу аудита.»;
- подпункт 1 пункта 41 изложить в следующей редакции:
«1) представить Национальному банку заверенную копию аудиторского заключения вместе с финансовой отчетностью и письмом аудитора к руководству банка, включая рекомендации внешнего аудитора, за пять рабочих дней до дня проведения годового общего собрания акционеров;»;
- пункт 42 изложить в следующей редакции:
«42. По завершении аудита информационной безопасности банк обязан представить Национальному банку заверенную копию аналитического отчета по результатам аудита информационной безопасности и письмо руководству в течение 5 (пяти) рабочих дней.
Аналитический отчет по результатам аудита информационной безопасности должен содержать как минимум информацию о масштабах аудита, использованных подходах аудита, информацию по исполнению рекомендаций предыдущих аудитов, краткие выводы о выявленных рисках, рекомендации, общее заключение по итогам аудита.»;
- пункт 49 дополнить абзацем следующего содержания:
«В случае выявления рисков и недостатков в деятельности банка Национальный банк вправе дополнительно рекомендовать внешнему аудитору включить в программу аудита и оценки проверку указанных вопросов.»;
- девятый абзац пункта 53 изложить в следующей редакции:
«- оценки системы управления рисками информационной безопасности как категории операционного риска.»;
- пункт 54 изложить в следующей редакции:
«54. В соответствии с законодательством Кыргызской Республики Национальный банк вправе потребовать от банка проведения внепланового аудита.
Национальный банк вправе назначить проведение внепланового целевого аудита в банке при возникновении событий/инцидентов информационной безопасности, приведших к фактам мошенничества, кражам, взлому системы и иным угрозам, которые могут принести существенные убытки банку в результате недостатков в системе управления информационной безопасностью.
При этом услуги аудиторской организации оплачиваются банком.»;
- пункт 57 дополнить четвертым абзацем следующего содержания:
«- оперативно принимать меры по устранению выявленных аудиторской проверкой недостатков по информационной безопасности в целом, в том числе по рискам и угрозам, которые могут привести к убыткам и потерям в банке.».
4. Внести в постановление Правления Национального банка Кыргызской Республики «Об утверждении Правил формирования системы внутреннего контроля и внутреннего аудита в банках и небанковских финансово-кредитных организациях, лицензируемых и регулируемых Национальным банком Кыргызской Республики» от 15 июня 2017 года № 2017-П-12/25-3-(НПА) следующие изменения:
в Правилах формирования системы внутреннего контроля и внутреннего аудита в банках и небанковских финансово-кредитных организациях, лицензируемых и регулируемых Национальным банком Кыргызской Республики, утвержденных вышеуказанным постановлением:
- третий абзац подпункта 2 пункта 24 изложить в следующей редакции:
«- программный контроль, который осуществляется встроенными в прикладные программы автоматизированными процедурами, а также выполняемыми вручную процедурами, контролирующими обработку банковских операций и других сделок (контрольное редактирование, контроль логического доступа, внутренние процедуры резервирования и восстановления данных, контроль создания транзитных счетов (счета, на которых временно хранятся средства), контроль записей, удаленных вручную в информационных системах и т.п.).»;
- пункт 25 дополнить одиннадцатым абзацем следующего содержания:
«- осуществления регулярного контроля операций, проводимых через транзитные счета.».
5. Внести в постановление Правления Национального банка Кыргызской Республики «Об утверждении Положения «О минимальных требованиях по управлению рисками в банках Кыргызской Республики» от 15 июня 2017 года № 2017-П-12/25-8-(НПА) следующее изменение:
в Положении «О минимальных требованиях по управлению рисками в банках Кыргызской Республики», утвержденном вышеуказанным постановлением:
- главу 10 «Операционный риск» дополнить пунктами 72-1 и 72-2 следующего содержания:
«72-1. При возникающих событиях/инцидентах информационной безопасности, приведших к простоям автоматизированной системы или других критичных информационных систем банка с недоступностью дистанционных банковских услуг более 30 минут, банк не позднее 60 минут с момента события/инцидента должен информировать Национальный банк по каналам взаимодействия и допонительно направить не позднее 1 рабочего дня со дня события/инцидента официальное письмо в Национальный банк с подробным описанием события/инцидента и о мерах, предпринимаемых банком для устранения причин.
72-2. В случае простоя автоматизированной системы или других критичных информационных систем банка с недоступностью дистанционных банковских услуг более 60 минут банк не позднее 90 минут с момента события/инцидента должен информировать население с помощью доступных ему каналов связи или средств массовой информации о времени устранения технических неполадок.».
