Дата создания: 2018-06-05

Утверждены Постановлением Комитета по надзору НБКР  

от 21 октября 2009 г. № 21/1   

  

РЕКОМЕНДАЦИИ  

по обеспечению безопасности информационных систем   

в микрофинансовых организациях Кыргызской Республики  

(изменения и дополнения утверждены постановлениями Комитета по надзору Национального банка №22/2 от 29.06.2017 г.) 

  

1. Общие положения  

2. Объекты информационной безопасности  

3. Угрозы информационной безопасности и их источники  

4. Основные задачи системы обеспечения информационной безопасности   

5. Структура и функциональность информационных систем  

6. Компьютерные базы данных, программы и интерфейс с пользователями  

7. Заключительные положения  

  

1. Общие положения  

  

1.1. Настоящие рекомендации разработаны Национальным банком Кыргызской Республики (далее Национальный банк) в целях оказания содействия микрофинансовым организациям (далее МФО) в обеспечении информационной безопасности и в сведении к минимуму возможных потерь, вызванных действиями злоумышленников, аварийными сбоями и ошибками персонала.  

1.2. Рекомендации разработаны в соответствии с Гражданским кодексом Кыргызской Республики, законами Кыргызской Республики «О Национальном банке Кыргызской Республики, банках и банковской деятельности», «О микрофинансовых организациях в Кыргызской Республике» и другими нормативными и правовыми актами Кыргызской Республики. Данный документ носит рекомендательный характер и содержит сведения и рекомендации по созданию, разработке и эксплуатации информационных систем, выборе и внедрении программного обеспечения.  

1.3. Рекомендации распространяются на все микрофинансовые компании, а также на микрокредитные компании, имеющие сеть филиалов или региональных представительств и при их практическом использовании необходимо учитывать особенности информационных систем конкретной МФО, его структуру, объемы информационных потоков, формирование, распространение и использование информации и технические средства ее обработки.  

1.4. В рекомендациях под термином «Информационная система МФО» (далее ИС) подразумевается система, основанная на применении средств вычислительной техники, программных средств, компьютерных баз данных и методов их использования для ввода, обработки, передачи, вывода и хранения финансовой и управленческой информации.  

1.5. Обработка и хранение бухгалтерской информации в ИС должна проводиться компьютеризированным способом с соблюдением следующих основных критериев: функциональность; безопасность и надежность; общие требования к компьютерным базам данных, программам и интерфейсу с пользователями.  

1.6. Сотрудники МФО являются непосредственными пользователями ИС. Национальный банк, при необходимости, может запросить от пользователей системы получение требуемой информации из ИС.  

  

2. Объекты информационной безопасности  

  

2.1. Основными объектами информационной безопасности являются:  

- информационные ресурсы с ограниченным доступом, составляющие государственную, коммерческую, банковскую тайну, иные чувствительные по отношению к случайным и несанкционированным воздействиям и нарушению их безопасности информационные ресурсы, в том числе открытая (общедоступная) информация, представленные в виде документов и массивов информации, независимо от формы и вида их представления, утеря или разглашение которой может негативно повлиять на деятельность МФО;  

- процессы обработки информации - информационные технологии, регламенты и процедуры сбора, обработки, хранения и передачи информации, научно-технический персонал разработчиков и пользователей системы и ее обслуживающий персонал;  

- информационная инфраструктура, включающая системы обработки и анализа информации, технические и программные средства ее обработки, передачи и отображения, в том числе каналы информационного обмена и телекоммуникации, системы и средства защиты информации, объекты и помещения, в которых размещены компоненты инфраструктуры.  

2.2. Безопасность ИС должна строиться, исходя из конкретной структуры ИС с учетом особенностей ее отдельных элементов. Обеспечение безопасности должно осуществляться на всех уровнях ИС. МФО должна определить конкретные объекты защиты на каждом из уровней информационной инфраструктуры.   

2.3. Для противостояния угрозам информационной безопасности и обеспечения эффективности мероприятий по предотвращению и ликвидации неблагоприятных последствий влияния на операционные, кредитные и иные риски МФО следует обеспечить необходимый и достаточный уровень информационной безопасности. Деятельность МФО по обеспечению информационной безопасности должна строго контролироваться органами управления МФО.  

  

3. Угрозы информационной безопасности и их источники  

  

3.1. Наиболее опасными (значимыми) угрозами информационной безопасности ИС (способами нанесения ущерба субъектам информационных отношений) являются:  

- нарушение конфиденциальности (разглашение, утечка) сведений, составляющих банковскую или коммерческую тайну, а также персональных данных;  

- нарушение работоспособности (дезорганизация работы) ИС, блокирование доступа к информации, нарушение технологических процессов, срыв своевременного решения задач;  

- нарушение целостности (искажение, подмена, уничтожение) информационных, программных и других ресурсов, а также фальсификация (подделка) документов.  

3.2. Основными источниками угроз информационной безопасности являются:  

- непреднамеренные (ошибочные, случайные, необдуманные, без злого умысла и корыстных целей) нарушения установленных регламентов сбора, обработки и передачи информации, а также другие действия персонала при эксплуатации ИС, приводящие к непроизводительным затратам времени и ресурсов, разглашению сведений ограниченного распространения, потере ценной информации или нарушению работоспособности отдельных рабочих станций, подсистем или в целом всей системы;  

- преднамеренные (в корыстных целях, по принуждению третьими лицами, со злым умыслом и т.п.) действия сотрудников, допущенных к работе с ИС, а также сотрудников, отвечающих за обслуживание, администрирование программного и аппаратного обеспечения, средств защиты и обеспечения информационной безопасности;  

- деятельность преступных групп и формирований, политических и экономических структур, а также отдельных лиц по добыванию информации, навязыванию ложной информации, нарушению работоспособности системы в целом и ее отдельных компонентов;  

- ошибки, допущенные при проектировании ИС и их систем защиты, ошибки в программном обеспечении, отказы и сбои технических средств (в том числе средств защиты информации и контроля эффективности защиты);  

- действия компьютерных вирусов;  

- аварии, стихийные бедствия и т.п.  

  

4. Основные задачи системы обеспечения информационной безопасности   

  

4.1. Для достижения основной цели защиты информации и системы ее обработки, система безопасности должна обеспечивать эффективное решение следующих задач:  

- защиту от вмешательства в процесс функционирования ИС незарегистрированных лиц (возможность использования автоматизированной системы и доступ к ее ресурсам должны иметь только зарегистрированные в установленном порядке пользователи);  

- разграничение доступа зарегистрированных пользователей к аппаратным, программным и информационным ресурсам (возможность доступа только к тем ресурсам и выполнения только тех операций с ними, которые необходимы конкретным пользователям для выполнения своих должностных обязанностей);  

- защиту от несанкционированного доступа:  

- к информации, циркулирующей в микрофинансовом секторе;  

- средствам вычислительной техники;  

- аппаратным, программным и криптографическим средствам защиты;  

- регистрацию действий пользователей при использовании защищаемых ресурсов в системных журналах и периодический контроль корректности действий пользователей системы путем анализа содержимого этих журналов;  

- контроль целостности (обеспечение неизменности) среды исполнения программ и ее восстановление в случае нарушения;  

- защиту от несанкционированной модификации и контроль целостности используемых программных средств, а также защиту системы от внедрения несанкционированных программ, включая компьютерные вирусы;  

- защиту информации ограниченного распространения от утечки по техническим каналам при ее обработке, хранении и передаче по каналам связи;  

- защиту информации ограниченного распространения, хранимой, обрабатываемой и передаваемой по каналам связи, от несанкционированного разглашения или искажения;  

- обеспечение аутентификации пользователей, участвующих в информационном обмене (подтверждение подлинности отправителя и получателя информации);  

- обеспечение функционирования криптографических средств защиты информации при компрометации части ключевой системы;  

- своевременное выявление источников угроз информационной безопасности, причин и условий, способствующих нанесению ущерба заинтересованным субъектам информационных отношений, создание механизма оперативного реагирования на угрозы информационной безопасности и негативные тенденции;  

- создание условий для минимизации и локализации наносимого ущерба неправомерными действиями физических и юридических лиц, ослабление негативного влияния и ликвидация последствий нарушения информационной безопасности;  

- обеспечение комплексом технических, процедурных мер защиты от несанкционированного доступа со стороны пользователей сетей Интернет.  

4.2. Поставленные основные цели защиты и решение перечисленных выше задач достигаются:  

- строгим учетом всех подлежащих защите ресурсов системы (информации, задач, каналов связи, серверов, автоматизированных рабочих мест и т.д.);  

- регламентацией процессов обработки подлежащей защите информации с применением средств автоматизации и действий сотрудников структурных подразделений, использующих ИС, а также действий персонала, осуществляющего обслуживание и модификацию программных и технических средств, на основе организационно-распорядительных документов по вопросам обеспечения информационной безопасности;  

- полнотой, реальной выполнимостью и непротиворечивостью требований организационно-распорядительных документов по вопросам обеспечения информационной безопасности;  

- назначением и подготовкой должностных лиц (сотрудников), ответственных за организацию и осуществление практических мероприятий по обеспечению информационной безопасности и процессов ее обработки;  

- наделением каждого сотрудника (пользователя) минимально необходимыми для выполнения им своих функциональных обязанностей полномочиями по доступу к ресурсам ИС;  

- четким знанием и строгим соблюдением всеми сотрудниками, использующими и обслуживающими аппаратные и программные средства, требований организационно-распорядительных документов по вопросам обеспечения информационной безопасности;  

- персональной ответственностью за свои действия каждого сотрудника, участвующего в рамках своих функциональных обязанностей, в процессах автоматизированной обработки информации и имеющего доступ к ресурсам ИС;  

- реализацией технологических процессов обработки информации с использованием комплексов организационно-технических мер защиты программного обеспечения, технических средств и данных;  

- применением физических и технических (программно-аппаратных) средств защиты ресурсов системы и непрерывной административной поддержкой их использования;  

- разграничением потоков информации, предусматривающим предупреждение попадания информации более высокого уровня конфиденциальности на носители и в файлы с более низким уровнем конфиденциальности, а также запрещением передачи информации ограниченного распространения по незащищенным каналам связи;  

- эффективным контролем за соблюдением сотрудниками требований по обеспечению информационной безопасности;  

- проведением постоянного анализа эффективности и достаточности принятых мер и применяемых средств защиты информации, разработкой и реализацией предложений по совершенствованию системы защиты информации.  

  

5. Структура и функциональность ИС  

  

5.1. Безопасность ИС рекомендуется строить, исходя из конкретной структуры ИС с учетом особенностей ее отдельных элементов. Все элементы обеспечения безопасности ИС функционально подразделяются на ряд уровней.  

Аппаратный уровень - связан с обеспечением безопасности по использованию оборудования ИС. Аппаратный уровень должен включать в себя технические средства по защите от несанкционированного использования оборудования, от его уничтожения или хищения, по обеспечению отказоустойчивости оборудования, а также по его восстановлению или замене.  

Уровень приложений - связан с обеспечением безопасности по использованию ресурсов прикладных программ пользователями ИС. Уровень приложений должен иметь собственные средства защиты от несанкционированных операций пользователей, работающих с прикладными программами.  

Системный уровень - связан с управлением доступом к ресурсам операционной системы. На этом уровне происходит непосредственное взаимодействие с пользователями, производится запуск прикладных программ, и осуществляется управление взаимодействием между ИС и пользователями. Ввиду особой важности системного уровня должно уделяться особое внимание защите системных ресурсов от несанкционированного доступа.  

Сетевой уровень - связан с управлением доступом к информационным ресурсам внутри локальной компьютерной сети МФО. Безопасность информации на сетевом уровне обеспечивается средствами проверки подлинности пользователей и разграничением доступа к ресурсам компьютерной сети.  

Внешний уровень - определяет взаимодействие ИС с ресурсами ИС других МФО и банковских учреждений, а также со своими удаленными ИС. Поскольку ИС являются критически важными с точки зрения обеспечения безопасности, они должны быть закрыты по отношению к любым другим ИС. Таким образом, внешний уровень должен быть ограничен исключительно ИС МФО. На внешнем уровне должна быть обеспечена защита от несанкционированного получения информации внешними пользователями, а также от несанкционированного получения информации собственными пользователями от внешних ИС, и несанкционированной передачи собственными пользователями информации во внешние ИС.  

5.2. Все данные, обрабатываемые в ИС, а также соответствующее прикладное программное обеспечение, предназначенное для их обработки, рекомендуется разбить на категории.  

Общая информация - информация, несанкционированный доступ к которой не связан с потерями. К этой категории относится информация общего характера, имеющая косвенное отношение к деятельности МФО, либо не имеющая отношения к деятельности МФО, либо свободно распространяемая. Для защиты этой информации меры безопасности не применяются.  

Полезная информация - информация, которая может быть восстановлена без больших затрат, а ее изменение или уничтожение влечет за собой относительно небольшие материальные потери. К этой категории относится, например некоторая информация с грифом "для служебного пользования" и другая информация, не являющаяся секретной, но имеющая непосредственное отношение к деятельности МФО. Для защиты этой информации применяются обычные меры безопасности для обеспечения ее целостности.  

Важная информация - необходимая для деятельности МФО информация, процесс восстановления которой либо невозможен, либо связан с большими затратами. Несанкционированный доступ, изменение или уничтожение этой информации влечет за собой значительные материальные или моральные потери. К этой категории относится информация с грифом "для служебного пользования" или "секретно", оказывающая непосредственное влияние на нормальную работу МФО. Для защиты этой информации применяются специальные меры безопасности для обеспечения ее целостности и секретности, предусматривающие меры защиты на внешнем и внутреннем уровне.  

Критичная информация - информация, без которой невозможна реализация основных функций МФО. Несанкционированный доступ, изменение или уничтожение этой информации влечет за собой особенно большие материальные или моральные потери вплоть до полного банкротства МФО или остановки его деятельности. К этой категории относится информация с грифом "особой важности" или "совершенно секретно", а так же информация, жизненно важная для МФО, включая все финансовые и платежные документы МФО. Для защиты этой информации применяются специальные меры безопасности для обеспечения ее целостности и секретности на всех уровнях, а также аутентификации на внешнем уровне.  

5.3. Для обеспечения секретности данных в ИС на аппаратном уровне, уровне приложений и сетевом уровне должна применяться нормативная политика безопасности. При этом все санкционированные операции по получению, изменению или уничтожению секретной информации, а также попытки несанкционированных операций должны регистрироваться в системе. Зарегистрированные данные по операциям с секретной информацией должны быть доступны только для администратора системы, а также для лица или группы лиц, несущих персональную ответственность за обеспечение информационной безопасности в банке.  

Для обеспечения секретности данных в ИС на внешнем уровне рекомендуется применять специальные средства кодирования информации (средства криптографии) и межсетевое экранирование.  

5.4. Целостность данных в ИС рекомендуется обеспечить дублированием данных (в том числе на удаленной ИС), постоянным резервным копированием данных, контролем полномочий пользователей и соответствующей защитой данных на внешнем уровне.  

5.5. Обработка и хранение данных категории "общая информация", а также статических данных категории "полезная информация" может быть организовано как на клиентских машинах, так и на специализированных серверах.  

Обработка и хранение динамических данных категории "полезная информация", а также данных категорий "важная информация" и "критичная информация" рекомендуется организовать только на специализированных серверах.  

5.6. Полномочия пользователей ИС всех категорий должны определяться на основании их прямых должностных обязанностей, установленных соответствующими должностными инструкциями. Полномочия пользователей в ИС должны устанавливаться владельцами информации. При установлении полномочий пользователей должна применяться нормативная политика и сегрегация полномочий. Персонал безопасности должен осуществлять контроль над установлением полномочий пользователей для работы с информацией категорий "важная информация" и "критичная информация".  

5.7. Регистрацию пользователей в информационной системе рекомендуется производить на уровне специализированного сервера.  

На уровне специализированного сервера должны быть зарегистрированы: имя пользователя, личный пароль пользователя, сетевой адрес и его полномочия. Личный пароль пользователя должен регистрироваться самим пользователем в соответствии с правилами формирования паролей. Никто, кроме самого пользователя, не должен знать его личный пароль. Плановая замена паролей пользователей должна производиться с определенной периодичностью и исключать повторение паролей. Личные пароли пользователей должны храниться на специализированном сервере в недоступной для чтения форме. Не допускается производить запись личных паролей пользователей ни в какой иной форме.  

5.8. Идентификацию пользователя в ИС рекомендуется организовать на уровне специализированного сервера. Успешная идентификация позволяет получить доступ к информационным ресурсам специализированного сервера в соответствии с полномочиями пользователя. Идентификация пользователя на уровне специализированного сервера должна выполняться в комплексе с идентификацией клиентской машины. После заданного числа неудачных попыток идентификации пользователя дальнейшие попытки должны автоматически блокироваться системой.  

5.9. Контроль полномочий пользователя в ИС должен быть комплексным и выполняться на всех уровнях: аппаратном уровне, уровне приложений, системном уровне, сетевом уровне и внешнем уровне. На каждом уровне должны быть однозначно определены полномочия пользователя по использованию информационных ресурсов системы. Полномочия пользователей должны устанавливаться в соответствии с утвержденной процедурой. Текущий контроль полномочий пользователя рекомендуется выполнять администратором системы, а также персоналом безопасности. Владельцы информации должны вести журналы выданных и аннулированных полномочий пользователей в отношении собственных информационных ресурсов.  

5.10. Текущий контроль конфигурации системы рекомендуется выполнять администратором системы с помощью технического персонала. Любые изменения в конфигурации системы должны согласовываться с персоналом безопасности.  

5.11. Все санкционированные операции по использованию ресурсов ИС, а также попытки несанкционированных операций должны регистрироваться в системе. Зарегистрированные данные должны иметь всю необходимую информацию для осуществления контроля произведенных действий пользователей и быть доступны только для администраторов системы и базы данных, а также для персонала безопасности.  

5.12. Администратору системы рекомендуется не реже, чем один раз в месяц представлять персоналу безопасности МФО отчет обо всех имевших место случаях нарушения или попыток нарушения прав доступа к информационным ресурсам за отчетный период.  

Администратор системы должен немедленно извещать персонал безопасности МФО в случае нарушения или попытки нарушения прав доступа к информационным ресурсам в отношении информации категорий "важная информация" и "критичная информация".  

5.13. Рекомендуется создавать резервные копии на магнитных носителях, доступных для использования в конкретной ИС. Резервные копии рекомендуется создавать в обязательном порядке для информации различных категорий, а также для системного и прикладного программного обеспечения, необходимого для обработки этой информации. В качестве носителей данных могут использоваться гибкие магнитные диски, магнитные ленты, записываемые оптические цифровые диски и др. Все резервные копии должны иметь идентификатор, включающий категорию хранимой информации, порядковый номер и дату последнего копирования. Рекомендуется иметь дубликат всех резервных копий. Резервные копии и их дубликаты должны храниться раздельно (по возможности в удаленных друг от друга помещениях) в специальных контейнерах, обеспечивающих защиту от несанкционированного доступа, защиту от электромагнитных излучений, защиту от тепловых воздействий, защиту от механических воздействий, а также поддерживающих внутреннюю температуру и влажность воздуха на заданном уровне.  

5.14. Для информации категорий "важная информация" и "критичная информация" должны быть предусмотрены процедуры восстановления данных с резервных копий, а также процедуры восстановления нормальной работы оборудования, замены и подключения его отдельных узлов на случай несанкционированного либо случайного нарушения целостности информации или ее уничтожения. Описания процедур восстановления рекомендуется составить в двух экземплярах и хранить раздельно с резервными копиями.  

5.15. Все операции по резервному копированию, восстановлению с резервных копий, замене и подключению отдельных узлов оборудования, а также изменению конфигурации ИС должны фиксироваться в специальных журналах ответственными за выполнение этих операций лицами. Один журнал должен находиться у персонала безопасности, а другой у администратора системы.  

5.16. Для передачи данных на внешнем уровне рекомендуется использовать наиболее надежные линии связи и коммуникационное оборудование, соответствующее международным стандартам. Не рекомендуется использовать нестандартное оборудование.  

Для передачи данных категории "критичная информация" рекомендуется использовать специальные выделенные линии связи, а также рекомендуется предусмотреть резервные линии связи или альтернативные способы передачи информации. В случае использования коммутируемых линий связи рекомендуется применять специальные модемы с автоматическим обратным вызовом. Информацию о номерах, кодах и конфигурации коммутируемых линий связи, а также ключи кодирования и личные секретные ключи необходимо относить к категории "критичная информация".  

Защиту информации на внешнем уровне следует организовать комплексно, с помощью средств криптографии, межсетевого экранирования данных всех категорий за исключением "общей информации", а также средств аутентификации данных категории "критичная информация".  

5.17. Компьютерные вирусы представляют собой большую угрозу целостности и секретности информации. В целях предотвращения угрозы нарушения информационной безопасности, наряду с мерами по защите информации от несанкционированного доступа, рекомендуется предусмотреть меры по защите информации от вирусного воздействия. Эти меры должны выполняться в комплексе с другими мерами безопасности и сводить к минимуму возможность проникновения вирусов в ИС. С этой целью информационная система должна строиться с использованием наиболее стойкого к воздействиям вирусов программного обеспечения. В ИС рекомендуется использовать средства автоматического антивирусного контроля. Кроме того, техническому персоналу рекомендуется проводить периодическое плановое антивирусное тестирование всей ИС с применением последних версий наиболее эффективных антивирусных программ. Антивирусное тестирование должно производиться одинаково для всех категорий информации. В случае обнаружения вирусов или следов вирусов антивирусному тестированию должны быть подвергнуты все резервные копии и архивы данных, созданные после предпоследнего антивирусного тестирования.  

5.18. Поскольку никакими средствами невозможно полностью исключить информационные потери, целью обеспечения информационной безопасности должна быть минимизация информационных потерь, возникших в результате несанкционированного доступа, нарушения мер безопасности, отказа оборудования, отказа системы электропитания, а также стихийных бедствий. Рекомендуется разработать детальный план аварийного восстановления ИС, предусматривающий все возможные случаи информационных потерь и соответствующие способы восстановления нарушенных функций ИС и потерянных данных, а также резервирование помещений, оборудования, программного обеспечения, электропитания и др. Кроме того, на основе общего плана рекомендуется разработать персональные инструкции для ответственных лиц по восстановлению ИС. План аварийного восстановления информационной системы должен периодически проверяться, обновляться и быть доступным для всего соответствующего персонала.  

5.19. Под функциональностью ИС понимают способность ИС обеспечивать деятельность МФО при: выполнении повседневных операций; отслеживании и управлении рисками; ведении бухгалтерского учета; составлении и предоставлении отчетности регулирующим органам, клиентам и руководству МФО, а также всем другим заинтересованным лицам.  

5.20. Минимальные требования к функциональности ИС определяются по следующим основным компонентам, приведенным в таблице 1:  

- информационная система бухгалтерского учета;  

- учет кредитов;  

- заимствования;  

- клиентская информация;  

- операции по капиталу;  

- выходные отчеты.  

Таблица 1.  

№ п/п  

Нормативные требования к функциональности ИС  

Регламентирующие документы  

  

ИС бухгалтерского учета  

  

1  

  Учет операций методом двойной записи  

План счетов бухгалтерского учета в коммерческих банках и других финансово-кредитных организациях Кыргызской Республики», утверждаемый постановлением Правления Национального банка. Положение «О требованиях к Плану счетов бухгалтерского учета в коммерческих банках и других финансово-кредитных организациях Кыргызской Республики», утверждаемое постановлением Правления Национального банка. Положение «О требованиях к учетной политике коммерческих банков и других финансово-кредитных организаций, лицензируемых Национальным банком», утверждаемое постановлением Правления Национального банка. «Методические рекомендации по учету изменений в бухгалтерских оценках, изменений в учетной политике и корректировок фундаментальных ошибок в финансовой отчетности коммерческих банков и финансово-кредитных организаций, регулируемых Национальным банком», утверждаемые постановлением Правления Национального банка.  

2  

  Соблюдение учетного цикла  

3  

  План счетов и возможность его модификации  

4  

Интеграция системы синтетического бухгалтерского учета с системой аналитического учета кредитных и депозитных счетов  

5  

Организация главной книги и вспомогательных книг в соответствии с учетными политиками МФО  

6  

Прочие кассовые операции МФО, не включающие в себя работу с кредитными и депозитными счетами  

7  

Учет прочих операций МФО, не включающий в себя работу с кредитными и депозитными счетами  

8  

Периодические операции (открытие, закрытие операционного дня, закрытие месяца, закрытие финансового года)  

  

Учет кредитов  

  

9  

Заполнение кредитной заявки клиентом, определение условий выдачи кредита, кредитным сотрудником  

Положение «О минимальных требованиях по управлению кредитным риском в коммерческих банках и других финансово-кредитных организациях, лицензируемых Национальным банком Кыргызской Республики, утверждаемое постановлением Правления Национального банка.  «Положение об общих принципах классификации активов и формировании резервов на покрытие потенциальных потерь и убытков микрофинансовыми организациями в Кыргызской Республике, не имеющими права на осуществление приема вкладов от физических и юридических лиц», утв. постановлением Правления НБКР № 31/3 от 22.10.2003 г.  «Порядок применения специальной классификации кредитов, отвечающих определенным критериям», утв. постановлением Правления НБКР № 5/6 от 02.03.2006г.  

10  

Рассмотрение заявки в Кредитном Комитете/подразделении по кредитованию, внесение изменений в условия (если это требуется) и вынесение решения о выдаче кредита  

11  

Формирование кредитного досье и выдача кредита  

12  

Получение информации о кредите в процессе работы  

13  

Уведомление о предстоящем погашении по выданным кредитам  

14  

Погашение кредита (частичное), процентов, пени  

15  

Реструктуризация, изменение условий, графика погашения; пролонгация, переоформление кредита на другое лицо и т.д. по уже выданным кредитам  

16  

Корректировочные проводки, сторнирования по произведенным ранее проводкам  

17  

Внедрение новых кредитных продуктов и развитие спектра предоставляемых кредитных услуг  

18  

Мониторинг и отчетность по выданным кредитам  

19  

Полное погашение всех задолженностей по кредиту и закрытие счета  

20  

Отчетность  

  

Учет депозитов  

  

21  

Открытие депозитного счета и приема депозитов  

Положение «О требованиях к учетной политике коммерческих банков и других финансово-кредитных организаций, лицензируемых Национальным банком Кыргызской Республики», утверждаемое постановлением Правления Национального банка  

22  

Получение информации о текущем состоянии депозитного счета  

23  

Начисление и выплата процентов по депозитам. Капитализация процентов  

24  

Налог на проценты  

25  

Сторнировочные проводки. Изменение условий по принятым депозитам  

26  

Выплата денежных средств по депозитным счетам и закрытие счетов  

27  

Отчетность  

  

Заимствования  

  

28  

Открытие счета   

Положение «О требованиях к учетной политике коммерческих банков и других финансово-кредитных организаций, лицензируемых Национальным банком Кыргызской Республики», утверждаемое постановлением Правления Национального банка 

29  

Получение информации о текущем состоянии счета  

30  

Начисление процентов по внешним заимствованиям  

31  

Погашение кредита (частичное), процентов, пени  

32  

Реструктуризация, изменение условий, графика погашения; пролонгация, переоформление кредита и т.д.  

33  

Корректировочные проводки, сторнирования по произведенным ранее проводкам  

34  

Полное погашение всех задолженностей по внешним заимствованиям и закрытие счета  

35  

Отчетность  

  

Клиентская информация  

  

36  

Регистрация и присвоение идентификационного номера клиенту  

  

  

Операции по капиталу  

  

37  

Открытие счета учредителя  

Положение «О требованиях к учетной политике коммерческих банков и других финансово-кредитных организаций, лицензируемых Национальным банком Кыргызской Республики», утверждаемое постановлением Правления Национального банка  

38  

Прием денежных средств от учредителя  

39  

Получение информации о счете  

40  

Изменение данных о счете и блокировка счета (при необходимости)  

41  

Сторнирование некорректно сделанных проводок  

42  

Внедрение новых типов счетов и расширение базы учредителей за счет усовершенствования операций по счетам  

43  

Выпуск акций (увеличение доли)  

44  

Покупка акций (снижение доли)  

45  

Доля по каждому из акционеров/участников  

46  

Учет и распределение прибыли  

47  

Выход учредителя и закрытие счета  

48  

Отчетность  

  

Выходные отчеты  

  

49  

Бухгалтерская отчетность. ИС должна по команде пользователей производить необходимые расчеты и генерировать ключевые отчеты  

Положение «О требованиях к формированию финансовой отчетности и представлению информации небанковскими финансово-кредитными организациями, действующими на основании лицензии (свидетельства) Национального банка Кыргызской Республики», утверждаемое постановлением Правления Национального банка.  

50  

Отчеты, отражающие информацию для контроля за операциями, проведенными за определенный период времени  

51  

Отчеты по периодическим операциям (открытия операционного дня, закрытия дня, закрытия месяца, закрытия финансового года  

52  

Отчеты создаваемые пользователем и дизайнер создания отчетов  

  

6. Компьютерные базы данных, программы и интерфейс с пользователями  

6.1. Компьютерная база данных МФО является одним из ключевых элементов в ИС и представляет собой совокупность взаимосвязанных между собой электронных таблиц, хранящих информацию о деятельности МФО, его клиентах, операциях и т.д. и предназначенная для многофункционального использования и модификации.  

Каждая таблица в базе данных должна собирать в себе информацию, сгруппированную по какому-либо направлению деятельности МФО (например: рабочий план счетов, главная книга, вспомогательные книги по кредитам, основным средствам, доходам, расходам и т.д.).  

Структура таблиц и их взаимосвязи в базе данных должны соответствовать организации бухгалтерского учета в МФО. Таблицы в базе данных должны быть максимально оптимизированы, т.е. одна и та же информация в различных таблицах не должна повторяться.  

6.2. Программы представляют собой инструменты, используемые ИС для поиска, выборки, обработки и передачи информации из базы данных. Программы должны проводить все необходимые расчеты по требуемой точности.  

6.3. Интерфейс представляет собой панель управления и различные кнопки и формы, необходимые для доступа к базе данных и запуска программ. Интерфейс ИС должен быть простым и понятным, а также позволять производить все необходимые действия с базой данных и программами.  

6.4. ИС рекомендуется создавать преимущественно на базе существующих систем управления базами данных и пакетов прикладных программ. ИС должна позволять при необходимости проводить замену или внесение изменений в базу данных, программы и интерфейс системы без коррекции программного модуля в целом.  

  

7. Заключительные положения  

7.1. При разработке и внедрении ИС рекомендуется использовать лицензионные пакеты систем управления базами данных и прикладных программ.  

7.2. При разработке и внедрении ИС сторонними организациями или привлеченными специалистами необходимо в обязательном порядке в договоре указать их ответственность за соответствие разработанной системы потребностям МФО и настоящим рекомендациям, а также взаимные обязательства и дальнейшие действия, если в будущем возникнет необходимость введения корректировок и доработок в ИС.