Вернуться назад

СПРАВКА-ОБОСНОВАНИЕ 

к проекту постановления Правления Национального банка Кыргызской Республики  

«Об утверждении Положения «О нештатных ситуациях в платежной системе»»  

в новой редакции 

 

Проект постановления «Об утверждении Положения «О нештатных ситуациях в платежной системе»» (далее Проект постановления) разработан в целях обеспечения безопасной платежной системы страны, минимизации рисков и защиты прав потребителей платежных услуг и предусматривает утверждение новой редакции Положения «О нештатных ситуациях в платежной системе». 

Основной задачей Национального банка в рамках проекта постановления является обеспечение безопасности, стабильности и эффективности платежной системы путем разделения требований к межбанковским платежным системам, участникам платежных систем и провайдерам критичных услуг. 

Проект постановления не содержит норм, ограничивающих конкуренцию, а также правозащитные, гендерные, экологические, коррупционные последствия. 

Представленный проект постановления не противоречит нормам действующего законодательства Кыргызской Республики.  

 

Проект 

 

Об утверждении Положения  

«О нештатных ситуациях в платежной системе»  

 

В соответствии со статьями 20 и 68 Закона Кыргызской Республики  

«О Национальном банке Кыргызской Республики, банках и банковской деятельности» и статьей 26 Закона Кыргызской Республики «О платежной системе Кыргызской Республики» Правление Национального банка Кыргызской Республики постановляет: 

 

1. Утвердить Положение «О нештатных ситуациях в платежной системе» (прилагается). 

2. Признать утратившим силу постановление Правления Национального банка Кыргызской Республики «Об утверждении Положения «О нештатных ситуациях в платежной системе»» от 16 ноября 2017 г. № 2017-П-14/48-3-(ПС). 

3. Юридическому управлению: 

- опубликовать настоящее постановление на официальном интернет-сайте Национального банка Кыргызской Республики; 

- после официального опубликования направить настоящее постановление в Министерство юстиции Кыргызской Республики для включения в Государственный реестр нормативных правовых актов Кыргызской Республики. 

4. Настоящее постановление вступает в силу по истечении пятнадцати дней со дня официального опубликования. 

5. Коммерческим банкам, операторам платежных систем, платежным организациям и финансово-кредитным организациям, лицензируемым Национальным банком Кыргызской Республики, в срок до 01 декабря 2019 года привести свою деятельность в соответствие с требованиями настоящего Положения. 

6. Отделу развития государственного языка и документооборота довести настоящее постановление до сведения соответствующих структурных подразделений, областных управлений и представительства Национального банка в Баткенской области. 

7. Управлению платежных систем довести настоящее постановление до сведения коммерческих банков, операторов платежных систем и платежных организаций Кыргызской Республики. 

8. Контроль за исполнением настоящего постановления возложить на члена Правления Национального банка Кыргызской Республики, курирующего Управление платёжных систем.  

 

Приложение  

к постановлению Правления  

Национального банка  

Кыргызской Республики  

от _____________2019 года   

№______________________  

 

 

ПОЛОЖЕНИЕ  

о нештатных ситуациях в платежной системе 

  

Глава 1. Общие положения  

1. Положение «О нештатных ситуациях в платежной системе» (далее  Положение) определяет основные понятия и требования для обеспечения бесперебойного функционирования платежной системы, а также при возникновении нештатных ситуаций в платежной системе, связанных с:  

- надежностью и бесперебойностью;  

- доступностью;  

- несанкционированным доступом к системе и мошенничеством;  

- форс-мажорными обстоятельствами.  

2. Настоящее Положение распространяется на операторов и участников платежной системы, являющихся резидентами Кыргызской Республики, которые осуществляют свою деятельность в соответствии с законами «О Национальном банке Кыргызской Республики, банках и банковской деятельности», «О лицензионно-разрешительной системе в Кыргызской Республике», «О платежной системе Кыргызской Республики» и нормативными правовыми актами Национального банка Кыргызской Республики.  

3. Платежная система Кыргызской Республики включает:  

- системно-значимые платежные системы (далее  СЗПС);  

- значимые платежные системы (далее  ЗПС);  

- другие платежные системы.  

4. Организация деятельности и инфраструктуры платежной системы должна предусматривать восстановление штатного функционирования системы и минимизацию отрицательного влияния на процесс тех функций, работоспособность которых оказалась нарушенной при возникновении нештатной ситуации.  

5. Для поддержания бесперебойного функционирования, платежная система должна обеспечить:  

- гарантии своевременности расчета в пределах установленного законодательством и договорными условиями срока;  

- гарантии возврата платежной системой денежных средств в случае ошибочных/неисполненных платежей и неисполнения расчета; 

- доступ к платежным услугам в течение периода времени, установленного регламентом работы платежных систем.   

6. Национальный банк Кыргызской Республики (далее  Национальный банк) осуществляет:  

- надзор (оверсайт) за функционированием платежной системы Кыргызской Республики;  

- проверку деятельности операторов и участников платежных систем, платежных организаций и агентов, в соответствии с нормативными правовыми актами Национального банка.  

  

Глава 2. Определения  

7. Для целей настоящего Положения используются термины и определения, установленные законами «О Национальном банке Кыргызской Республики, банках и банковской деятельности», «О платежной системе Кыргызской Республики», а также нормативными-правовыми актами Национального Банка. В настоящем Положении также используются следующие термины и определения:  

Инцидент  это любое событие, которое не является частью штатного функционирования системы и вызывает или может негативно отразиться на бесперебойности или качестве проведения платежей и расчетов в платежной системе.   

Нештатная ситуация  ситуация, которая выходит за рамки правил и технологии работы платежной системы/платежной инфраструктуры и требует для ее разрешения специально организованной деятельности персонала оператора/участника платежной системы и/или провайдера критичных услуг. Правила управления нештатными ситуациями, ответственность и взаимодействие персонала устанавливаются во внутренних процедурах оператора/участника платежной системы, провайдера критичных услуг.  

Несанкционированные операции в платежной системе  в рамках настоящего Положения это противоправные преднамеренные деяния (действия, бездействия, злоупотребление доверием) персонала оператора/участника системы/провайдера критичных услуг или третьей стороны, направленные на несанкционированный доступ и использование информации, относящейся к банковской тайне, для получения/перевода денежных средств с банковских счетов/электронных кошельков участников системы и/или их клиентов.  

К несанкционированным операциям в платежной системе относятся:  

- распространение внутренней конфиденциальной информации;  

- нарушение прав доступа к информации, оборудованию, допущение утечки информации;  

- умышленное удаление информации, которое может привести к невыполнению обязательств оператором и/или участником системы перед своим клиентом или третьими лицами;  

- использование необъективной или сфальсифицированной информации/платежных инструментов;  

- операции с украденными/утерянными платежными инструментами/данными платежных инструментов для осуществления покупки товаров и услуг, а также снятия/перевода/хищения денежных средств;  

- многократное снятие денежных средств путем оформления нескольких платежных чеков по одному факту оплаты;  

- многократная оплата услуг и товаров в торгово-сервисных предприятиях на суммы, не превышающие определенный лимит и не требующие проведения авторизации;  

- несанкционированное использование/передача периферийных устройств и платежной инфраструктуры для незаконного завладения чужими денежными средствами, в том числе с банковских счетов, электронных кошельков, отправка и выдача денежных переводов;  

- несанкционированное использование/передача реквизитов/ключей для дистанционного обслуживания для осуществления покупки товаров и услуг, а также снятия/перевода/хищения денежных средств; 

- несанкционированное подключение стороннего электронного записывающего устройства к периферийному устройству/платежной инфраструктуре;  

- другие виды (создание и использование фиктивных предприятий обслуживания платежных инструментов/данных платежных инструментов, приема/распространения/погашения электронных денег, отправки и выдачи денежных переводов и т.д.).  

Облачные технологии  это предоставление вычислительной мощности, хранилищ для баз данных, приложений и других информационно-технологических ресурсов по требованию через платформы облачных услуг по сети с оплатой по факту использования.  

«Floor limit»  максимальная сумма транзакции, в рамках которой торгово-сервисное предприятие может проводить операции с банковскими платежными картами без авторизационного запроса.  

Payment Card Industry Data Security Standard (PCI DSS)  стандарт, определяющий параметры защиты информации в области банковских платежных карт, разработанный международными платежными системами («Visa» и «MasterCard»).  

  

Глава 3. Надежность и бесперебойность платежных систем  

  

§1. Обеспечение надежности  

8. Ответственность за обеспечение бесперебойного функционирования и соблюдение регламента платежных систем несут операторы и участники платежных систем. Провайдеры критичных услуг и участники платежных систем несут ответственность за обеспечение бесперебойной обработки и маршрутизации сообщений в рамках платежной системы. Распределение ответственности сторон в случаях возникновения нештатных ситуаций в процессе осуществления платежей/переводов и расчетов, порядок и время информирования определяются в договорах между оператором, участниками и провайдерами критичных услуг, а также во внутренних процедурах, устанавливающих порядок действий и взаимоотношения персонала платежной системы и платежной инфраструктуры.  

9. Обеспечение конфиденциальности, целостности, доступности данных, безопасности системы, надежности и возможности восстановления должны быть отражены в правилах платежной системы, а также входить в организацию и методы управления рисками и внутреннего контроля оператора/участников платежных систем/провайдера критичных услуг. Порядок управления рисками должен предусматривать периодическую оценку рисков, включая изменения в системе и условиях ее эксплуатации. Результаты оценки должны быть соответствующим образом задокументированы. 

10. Внутренние процедуры операторов/участников платежной системы/провайдеров критичных услуг должны регламентировать процесс управления инцидентами в зависимости от степени их критичности, порядок проведения работ и взаимодействия персонала по восстановлению штатного функционирования системы. Данные процедуры должны быть детализированными и в обязательном порядке предусматривать:  

- порядок и сроки информирования персонала системы и руководства о возникновении нештатной ситуации;  

- регистрацию факта возникновения нештатной ситуации (дату, время, описание события) в специальном журнале;  

- порядок действий, если проблемы не были решены на уровне ответственных исполнителей персонала системы за предусмотренное процедурами время;  

- порядок информирования клиентов и Национального банка о любом крупном инциденте, затрагивающий работоспособность платежной системы в целом, длительностью более четырех часов, который также должен учитывать доступные способы коммуникации, включая информирование широкой общественности в случаях, когда это необходимо;  

- порядок и сроки информирования персонала системы и руководства после устранения нештатной ситуации и восстановления штатного функционирования системы, включая порядок регистрации информации о восстановлении штатного функционирования системы (дату, время, причину возникновения нештатной ситуации, содержание принятых мер по ее устранению с указанием ответственных исполнителей), подготовки актов и экспертных заключений о ситуации, принятия мер по недопущению возникновения аналогичных ситуаций в дальнейшем; 

- порядок подготовки и передачи в Национальный банк отчета об инцидентах в отчетном периоде, включая информацию о дате, времени, причине возникновения нештатной ситуации, принятых мер по ее устранению и по недопущению возникновения аналогичных ситуаций в дальнейшем в соответствии с нормативными правовыми актами Национального банка.  

11. Персонал оператора и участника платежной системы (включая агентов), провайдера критичных услуг должен обеспечить дублирование функций основного состава. В случае отсутствия какого-либо специалиста основного состава, его функции выполняет специалист, дублирующий его функции.  

12. Персонал оператора межбанковской платежной системы должен состоять из:  

- специалистов, выполняющих функции управления по сбору, обработке и передаче платежей (переводов) и сообщений, а также службу технической и клиентской поддержки для качественной и своевременной обработки всех поступающих заявок;  

- специалистов, выполняющих функции мониторинга за платежами (переводами) и сообщениями, платежными очередями, различными лимитами, соединениями и действиями участников и пользователей участников и т.п.;  

- специалистов, выполняющих функции управления проведением расчетов, включая окончательный расчет;  

- специалистов, выполняющих функции по сопровождению системы, обеспечивающих бесперебойное функционирование технической инфраструктуры и безопасность системы.  

Не допускается совмещение функций исполнителя и контролера одними и теми же сотрудниками, выполнение этих функций должно осуществляться разными сотрудниками. Оператор платежной системы обязан обеспечить достаточное количество персонала с соответствующей квалификацией. Количество и квалификация персонала должны соответствовать объемам услуг, предоставляемым оператором платежной системы, и степени значимости платежной системы.  

13. Персонал участника межбанковской платежной системы должен включать, как минимум:  

- специалистов, выполняющих функции формирования, отправки и приема платежей (переводов), а также функции обмена другими сообщениями в рамках системы;  

- специалистов по сопровождению системы, обеспечивающих бесперебойное функционирование и безопасность технической инфраструктуры участника системы; 

- специалистов, обеспечивающих информационную безопасность на стороне участника.  

14. Персонал провайдера критичных услуг должен включать, как минимум, специалистов, выполняющих функции по сопровождению системы, обеспечивающих в том числе информационную безопасность и бесперебойное функционирование технической инфраструктуры обмена сообщениями в рамках платежной системы.  

15. Техническая инфраструктура платежной системы должна включать, как минимум:  

- основной аппаратно-программный комплекс (далее  АПК), к которому предъявляются определенные требования по обеспечению штатного функционирования системы и восстановлению в случае возникновения нештатных ситуаций;  

- резервный АПК, который в случае выхода из строя любых компонентов основного аппаратно-программного комплекса должен обеспечить бесперебойное функционирование системы;  

- каналы связи и средства безопасности передачи данных.  

16. Функционирование платежной системы и платежной инфраструктуры должно осуществляться в соответствии с критериями по обеспечению непрерывности, установленными внутри каждой системы и включающими наличие:  

- основного и резервного центров по обработке платежей, автоматическое или ручное переключение работы системы с основного на резервный АПК и наоборот в случае возникновения сбоев в работе системы. Основной и резервный центр по обработке платежей должны размещаться в разных помещениях. В случае СЗПС, ЗПС, национальных платежных систем переключение работы системы с основного на резервный АПК и наоборот, в случае возникновения сбоев в работе системы, должно обеспечиваться в автоматическом режиме;  

- средств безопасности передачи данных, минимизирующих риски несанкционированного доступа;  

- установленного предельного значения времени простоя системы в случае возникновения сбоев в работе системы. В случае СЗПС, национальных платежных систем и провайдеров критичных услуг предельное время простоя системы при возникновении сбоев в работе системы не должно превышать четырех часов;  

- утвержденной максимальной продолжительности времени автоматизированного или ручного переключения между основным и резервным АПК с указанием максимально допустимого времени простоя до полного восстановления штатного функционирования системы;  

- утвержденного максимально допустимого времени восстановления работы системы в случае сбоев основного и резервного АПК.  

17. Модернизация системы, время, условия реагирования и порядок взаимодействия с поставщиком АПК и/или компанией, оказывающей услуги программного обеспечения платежной системы при возникновении нештатных ситуаций, которые приводят к нарушению критериев непрерывности, меры и обязательства по их устранению должны быть определены в договоре на техническую поддержку с провайдерами услуг, поставщиком программного обеспечения платежной системы.  

18. Обновления систем, новые версии и вновь внедряемые системы, а также приложения до предоставления их пользователям должны проходить обязательное тестирование системы на тестовой среде при различных сценариях стрессовой нагрузки и условиях восстановления. Результаты тестирования должны документально подтверждаться. 

19. Операторы платежной системы должны иметь утвержденные пошаговые внутренние процедуры по:  

- обеспечению бесперебойного функционирования АПК системы и требуемых для его функционирования каналов связи с указанием разового и суммарного времени простоя системы в течение квартала;  

- осуществлению переключения между основным и резервным АПК с указанием максимально допустимого времени простоя до полного восстановления штатного функционирования системы;  

- проведению периодических проверок персоналом оператора системы работоспособности резервного АПК, каналов связи системы и регулярного тестирования переключения работы системы с основного на резервный АПК и наоборот;  

- обеспечению восстановления данных в случае их повреждения или искажения в соответствии с установленным регламентом;  

- обеспечению конфиденциальности передаваемых и получаемых системой данных согласно законодательству Кыргызской Республики.  

20. Участники межбанковской платежной системы должны иметь пошаговые внутренние процедуры по:  

- обеспечению безопасности и непрерывности функционирования рабочих станций персонала участника системы;  

- резервированию каналов связи по передаче данных;  

- обеспечению конфиденциальности передаваемых и получаемых от платежной системы данных согласно законодательству Кыргызской Республики.  

21. Провайдеры критичных услуг должны иметь утвержденные пошаговые внутренние процедуры по:  

- обеспечению бесперебойного функционирования АПК и требуемых для его функционирования каналов связи с указанием разового и суммарного времени простоя системы в течение квартала;  

- осуществлению переключения между основным и резервным АПК с указанием максимально допустимого времени простоя;  

- проведению периодических проверок работоспособности резервного АПК, каналов связи и регулярного тестирования переключения работы системы с основного на резервный АПК и наоборот;  

- обеспечению бесперебойного функционирования платежной инфраструктуры;  

- обеспечению конфиденциальности передаваемых и получаемых данных согласно законодательству Кыргызской Республики. 

22. Меры поддержания безопасности и работоспособности платежной системы должны быть предусмотрены при использовании облачных технологий.  

23. Для минимизации операционных рисков в СЗПС, национальных платежных системах и сервис-бюро СВИФТпри возникновении у участников проблем с рабочими станциями или каналами связи, операторы СЗПС, национальных платежных систем и сервис-бюро СВИФТ должны обеспечить для участников доступ к Единому сервисному центру (далее  ЕСЦ) проведения работ по формированию, отправке/получению платежных документов и других сообщений в системе.  

  

§2. Перебои энергоснабжения  

24. Оператор/участники платежных системы и провайдеры критичных услуг должны обеспечить соответствие мощности линий и другого оконечного оборудования, через которое осуществляется подача энергоснабжения для работы систем, требованиям систем по мощности.  

25. В случаях перебоев энергоснабжения, у оператора/участника межбанковских платежных систем и провайдера критичных услуг должно обеспечиваться автономное энергоснабжение.  

26. Оператор/участники платежных системы и провайдеры критичных услуг должны иметь процедуры, регламентирующие время автономного функционирования системы, а также обеспечивающие выполнение требований по продолжительности автономной работы системы с момента прекращения энергоснабжения и до момента последующего переключения на резервный АПК системы.  

27. Оператор СЗПС, ЗПС, национальных платежных систем и провайдер критичных услуг обязаны максимально минимизировать простой системы вследствие перебоев энергоснабжения.  

28. Участник СЗПС, в случае перебоев энергоснабжения, должен обеспечить отправку/получение платежных документов посредством ЕСЦ в соответствии с установленным порядком и регламентом.  

29. В случае перебоев энергоснабжения, участник сервис-бюро СВИФТ может проводить отправку/получение платежных документов через рабочие станции ЕСЦ в соответствии с установленным порядком и регламентом или через альтернативные каналы передачи данных, используемые участником системы.  

30. Работы по восстановлению энергоснабжения и функционирования системы в штатном режиме проводятся в соответствии с установленными внутренними процедурами оператора/участника платежной системы, провайдера критичных услуг.  

  

§3. Сбои аппаратного и/или программного обеспечения системы  

31. Сбои аппаратного обеспечения включают в себя нарушение функционирования или выход из строя серверного, сетевого, криптографического оборудования, специализированного оборудования участника/оператора системы, провайдера критичных услуг.  

32. Сбои программного обеспечения включают в себя нарушение функционирования операционной системы, прикладного программного обеспечения, программного обеспечения на серверах доступа, инфраструктуры открытых ключей (PKI) и рабочих станций персонала системы.  

33. Операторы платежной системы и провайдеры критичных услуг при сбоях собственного аппаратного обеспечения должны проводить автоматическое переключение на резервное оборудование. В случае невозможности перехода на резервное оборудование в установленное время, оператор должен обеспечить своевременное информирование всех своих участников, а также принять меры по разрешению нештатной ситуации и недопущению аналогичных случаев в будущем. Предпринимаемые меры должны быть отражены в Правилах системы, договорах и внутренних процедурах оператора платежной системы.  

34. Участники платежной системы при сбоях собственного аппаратного или программного обеспечения должны обеспечить использование альтернативных и/или резервных средств в соответствии со своими внутренними процедурами.  

35. При сбоях аппаратного и/или программного обеспечения системы или рабочих станций оператора СЗПС, значимых и национальных платежных систем, в правилах системы и внутренних процедурах оператора систем должно быть определено автоматическое переключение на резервный АПК или резервные рабочие станции оператора в соответствии с установленным порядком. Оператор также должен определить в правилах системы порядок работы по обработке платежей участников системы и проведению окончательного расчета в случае невозможности перехода на резервный АПК.  

36. В случае невозможности участником СЗПС продолжить работу со своего резервного оборудования, выполнение соответствующих работ может проводиться через рабочие станции ЕСЦ в соответствии с установленным порядком и регламентом.  

37. В случае невозможности участником сервис-бюро СВИФТ продолжить работу со своего резервного оборудования, выполнение соответствующих работ может проводиться через рабочие станции ЕСЦ в соответствии с установленным порядком и регламентом, или через альтернативные каналы передачи данных, используемые участником системы.  

  

§4. Сбои каналов связи системы  

38. При сбое канала основного канала связи между основным и резервным АПК системы, оператор системы должен провести переключение на резервный канал связи в соответствии со своими внутренними процедурами.  

39. При сбое основного канала связи между оператором/провайдером критичных услуг и участниками системы, стороны должны провести мероприятия по выяснению ситуации и при необходимости переключению на собственный резервный канал связи в соответствии со своими внутренними процедурами.  

40. При выходе из строя обоих каналов связи у участника СЗПС, национальных платежных систем и сервис-бюро СВИФТ, работа по отправке/получении платежных документов и сообщений системы выполняется через ЕСЦ в соответствии с установленным порядком и регламентом.  

  

§5. Нарушение регламента работы платежной системы  

41. Регламент и порядок работы систем определяются правилами работы системы, а также договорными отношениями между операторами платежных систем, между оператором и участниками платежных систем. Ответственность сторон за соблюдение и санкции за нарушение регламента и порядка работы системы устанавливаются в договорах и соглашениях между операторами, или оператором и участниками системы. Регламент и порядок работы СЗПС дополнительно регламентируется нормативными правовыми актами Национального банка. 

42. К нарушениям регламента работы СЗПС относится продление периодов операционного дня вследствие:  

- проведения работ по восстановлению штатного функционирования системы в случае возникновения нештатной ситуации у оператора системы в течение операционного дня;  

- несвоевременной передачи сообщений и отчетов оператором платежной системы своим участникам;  

- несвоевременной передачи платежей и сообщений между операторами платежной системы; 

- отклонения от утвержденного регламента работы системы.  

43. В целях своевременного обнаружения и управления операционными рисками операторы/участники платежных систем/провайдеры критичных услуг должны на постоянной основе обеспечить мониторинг рисков. 

44. В процессе мониторинга операторы/участники платежных систем/провайдеры критичных услуг могут использовать систему показателей, сигнализирующих о вероятности наступления событий, в результате которых могут возникнуть операционные убытки (например, количество незавершенных операций, частота технических ошибок в системе, продолжительность сбоев и т.д.). 

45. При угрозе массовых увольнений должностных лиц и персонала (сокращение не менее 25 процентов работников в организациях численностью до 50 человек и не менее 15 процентов в организациях численностью более 50 человек в течение 2 месяцев подряд), операторы платежных систем и провайдеры критичных услуг обязаны незамедлительно проинформировать об этом Национальный банк и принять специальные меры, предусматривающие: 

1) снижение рисков для платежной системы в результате увольнения должностных лиц, ключевого персонала или дублирующего состава; 

2) поэтапное высвобождение должностных лиц и персонала параллельной заменой на персонал, обладающий соответствующей квалификацией и знаниями; 

3) иные мероприятия, которые должны быть предусмотрены трудовым договором, соглашением. 

 

Глава 4. Несанкционированный доступ и мошенничество в платежной системе  

  

§1. Обеспечение безопасности  

46. Оператор/участники платежных систем, провайдеры критичных услуг должны устанавливать четкую политику защиты платежных систем (в том числе и информационных ресурсов системы) от несанкционированного доступа/операций, злоупотребления или мошеннического изменения (вставки, удаления, искажения, замены) или раскрытия данных/информации, иметь внутренние нормативные-правовые акты и комплекс мер по обеспечению информационной безопасности системы, которая должна:  

- иметь четко регламентированные задачи, основные требования по обеспечению конфиденциальности и доступу к информации, внутреннего контроля, а также критерии разграничения ответственности соответствующих лиц при осуществлении контроля;  

- обеспечить своевременное реагирование на возникновение подозрительной активности/операции в системе или попыток несанкционированного доступа/операций и порядок взаимодействия с правоохранительными органами Кыргызской Республики;  

- включать порядок незамедлительного (в тот же день, когда об этом событии стало известно) информирования Национального банка в электронной форме в защищенном режиме о фактах внешних угроз, несанкционированного доступа/операций, злоупотребления, грабежа, нестабильной ситуации и т.д. В случае если событие носит системный характер и может угрожать другим участникам финансовой системы Кыргызской Республики, Национальный банк имеет право информировать о данном факте всех остальных участников финансовой системы Кыргызской Республики с соблюдением норм сохранности банковской тайны; 

- предусматривать порядок подключения и использования ресурсов сети Интернет, включающий, в том числе контроль со стороны подразделения, ответственного за обеспечение информационной безопасности;  

- предусматривать использование антивирусной защиты на всех рабочих местах и серверах системы, если иное не предусмотрено технологическим процессом; 

- предусматривать разработку новых методов борьбы с несанкционированным доступом/операциями/мошенничеством;  

- включать обязательные требования о проведении регулярного обучения сотрудников по безопасности и персонала системы механизмам предотвращения мошенничества и несанкционированного доступа.  

47. Оператор и участники системы на регулярной основе (по мере необходимости, но не реже одного раза в три года) должны осуществлять самооценку системы и пересмотр внутренней политики по безопасности с целью обновления и включения новых инновационных методов борьбы с мошенничеством и несанкционированным доступом в систему. Результаты самооценки должны представляться по запросу в Национальный банк.  

48. Операторы/участники платежных систем/провайдеры критичных услуг должны использовать лицензионное программное обеспечение в соответствии с законодательством Кыргызской Республики. 

  

§2. Внутреннее мошенничество  

49. Для снижения риска возникновения внутреннего мошенничества оператор и участники платежной системы, провайдеры критичных услуг должны иметь систему защиты от злоупотребления и несанкционированного доступа на уровне аппаратно-программного комплекса (использование паролей и прав доступа к системе, криптографии, шифрования и т.п.), квалифицированный и прошедший проверку персонал для работы в системе, а также утвержденные должностные инструкции, определяющие ответственность, права и обязанности персонала.  

50. Разрешение спорных ситуаций при возникновении риска внутреннего мошенничества, ответственность сторон и другие условия работы с системой должны быть определены в договорах между оператором и участниками платежных систем и провайдерами критичных услуг.  

  

§3. Электронные деньги  

51. Оператор и участники платежной системы, провайдеры критичных услуг должны предоставлять своим клиентам и пользователям гарантию того, что доступ к услугам, выполняемый через интернет на веб-сайте или через приложение, будет надлежащим образом защищен и аутентифицирован (передача в зашифрованном виде учетные данных, паролей и ПИН-кодов).  

52. Оператор/участники платежной системы, провайдеры критичных услуг должны применять алгоритмы шифрования, которые соответствуют общепринятым международным стандартам.  

53. Оператор/участники платежной системы, провайдеры критичных услуг должны обеспечивать безопасность физического и логического доступа для того, чтобы разрешать доступ к своим системам только уполномоченному персоналу. Процедуры должны предусматривать механизмы обработки и передачи в целях защиты целостности систем и данных.  

54. Оператор/участники платежной системы, провайдеры критичных услуг должны обеспечивать мониторинг для предупреждения о любых необычных операциях системы, ошибок при передаче данных или необычных онлайновых транзакций, а также наличие процедур реагирования на подозрительные операции.   

55. С ростом количества и объемов транзакций в системе электронных услуг должно быть внедрено программное обеспечение автоматически отслеживающее подозрительные операции или характер изменения (динамики) платежей. В процессах обнаружения подозрительной активности должны учитываться качественные и количественные факторы.  

Оператор/участник платежной системы, провайдеры критичных услуг должны иметь внутренние процедуры с описанием действий при выявлении подозрительных операций, методов противодействия несанкционированным операциям.  

56. Оператор/участники платежной системы, провайдеры критичных услуг должны предусматривать поддержание высокой доступности онлайновых систем и вспомогательных систем, а также процедуры восстановления на случай негативного воздействия извне, направленных на отказ системы.  

57. Оператор/участники платежной системы, провайдеры критичных услуг должны предусматривать наличие многофакторных моделей аутентификации при входе в систему и подписании транзакций в целях авторизации (подтверждения).  

58. В системе должно быть реализовано автоматическое завершение сеанса работы клиента/пользователя при длительном бездействии. 

59. Системы должны предусматривать управление лимитами на операции для минимизации возможного ущерба.  

60. Операции должны проводиться только после четко определенной авторизации пользователя в системе.  

61. Безопасность, обеспечиваемая базовыми используемыми сетевыми устройствами и инфраструктурами компаний-поставщиков на транспортном уровне, не может считаться достаточной применительно к конфиденциальным и секретным данным, в частности PIN-кодам и паролям (примерами такой инфраструктуры являются GSM, GPRS, 3G, Bluetooth, Wi-Fi 802.11b и IrDA и т.п.). Защита передаваемых конфиденциальных данных должна обеспечиваться с использованием дополнительных средств на уровне платежной системы.  

62. В программном обеспечении должны быть внедрены меры, направленные на предотвращение дублирования транзакций, возникающего в результате задержек между сеансами связи или сбоев внутри сеанса.   

63. Соглашения с поставщиками программного обеспечения должны включать наличие надлежащих планов восстановления и распределения ответственности в случае сбоев системы.   

64. Оператор/участники платежной системы, провайдеры критичных услуг должны информировать своих клиентов о мерах безопасности для того, чтобы защищать мобильные устройства от вредоносного программного обеспечения или иного программного обеспечения, использование которых может привести к негативным последствия.  

  

§4. Банковские платежные карты  

65. При работе с банковскими платежными картами международных платежных систем оператору и участнику системы рекомендуется принять за основу Общие критерии для оценки безопасности информационных технологий (ISO/IEC 15408) и PCI DSS и придерживаться соблюдения данных требований.  

66. Оператор и участники (эмитенты) должны иметь внутренние процедуры с указанием в них как минимум:  

- разграничение доступа персонала к базе данных системы (к информации о номерах платежных карт, кодовых словах, держателе карты, об образце подписи и т.д.); 

- список сотрудников персонала системы, имеющих такой доступ; ответственность и санкции за нарушение ограничений;  

- системы защиты от внутреннего и внешнего мошенничества при эмиссии платежных карт;  

- порядка обработки заявлений клиентов и получения банковских платежных карт, включающего требования по обязательной идентификации и проверке клиента;  

- порядка возврата изъятых банкоматами карт.  

67. Участники (эквайеры) должны иметь внутренние процедуры с указанием в них как минимум:  

- порядка обработки заявлений торгово-сервисных предприятий и заключения с ними договоров, включающих требования к предоставляемому пакету документов (при необходимости нотариально заверенные копии учредительных документов и Устава, регистрации в налоговых органах, разрешений/лицензий на заявленные виды деятельности, ксерокопии паспортов руководства, бухгалтерский баланс с отметкой налоговых органов);  

- порядка ведения базы данных торгово-сервисных предприятий, с которыми были расторгнуты договора или заявления которых были отвергнуты с указанием причины отказа;  

- механизма контроля торгово-сервисных предприятий, включающего подтверждение факта его регистрации, регулярную проверку качества обслуживания платежных карт, условий содержания и работоспособности терминалов, хранения чеков, определение значений «floor limit» в зависимости от мошеннической активности торгово-сервисного предприятия;  

- порядка закупки, хранения, установки/подключения и технического обслуживания периферийного устройства.  

68. Для снижения риска внешнего мошенничества операторы системы должны иметь программное обеспечение, позволяющее проводить мониторинг и анализ риска, а также отслеживание подозрительных транзакций и авторизаций, совершенных посредством платежных карт на регулярной основе. Программное обеспечение должно контролировать как транзакции, совершенные в сети эквайера (контроль риска эквайера относительно торгово-сервисных предприятий), так и транзакции, совершенные посредством карт, эмитированных банком (контроль риска эмитента относительно держателей карт).  

69. Участники системы могут иметь собственное программное обеспечение, позволяющее самостоятельно осуществлять мониторинг и управление своими рисками, связанными с эмиссией и эквайрингом платежных карт для снижения потерь, вызываемых возможным мошенничеством при использовании платежных карт, или воспользоваться данной услугой оператора системы на договорных условиях.  

70. Операторы и участники системы должны установить параметры мониторинга за авторизациями/транзакциями, превышение значений которых будет считаться подозрительными авторизациями/транзакциями. Мониторинг должен отражать как минимум следующие случаи, когда:  

- сумма отдельной авторизации/транзакции (или общая сумма) превышает установленный лимит в заданный период времени;  

- авторизация/транзакция платежной карты проводится в торгово-сервисных предприятиях в двух или более странах в заданный период времени;  

- общая сумма транзакций в конкретной стране с повышенным риском превышает установленный лимит в заданный период времени;  

- общее число авторизаций на одном торгово-сервисном предприятии превышает установленный лимит в заданный период времени;  

- количество некорректных попыток ввода ПИН-кода в банкоматах превышает установленный лимит за заданный период времени;  

- сумма отдельной авторизации/транзакции превышает установленный лимит для конкретной группы торгово-сервисных предприятий с повышенным риском.  

Оператор или участник системы может устанавливать дополнительные правила и параметры мониторинга за подозрительными транзакциями с банковскими платежными картами и в периферийных устройствах.  

71. Оператор и участник системы должны иметь подготовленный персонал для проведения анализа рисков возможного мошенничества, осуществляющий контроль за работой периферийных устройств, транзакций и авторизаций платежных карт.  

72. Оператор и участник системы должны иметь внутренние процедуры с описанием средств и инструментов по распознаванию поддельных платежных карт и подозрительных операций с использованием карт, методов противодействия мошенническому использованию карт/периферийных устройств, а также порядка действий персонала в случае выявления таких операций.  

73. В договоре между оператором и участниками системы должны быть установлены как минимум:  

- основные требования по соблюдению безопасности, которые участники системы должны использовать при разработке внутренних нормативных документов, процедур, типовых договоров с держателями платежных карт и торгово-сервисными предприятиями;  

- время реагирования, порядок и сроки оповещения и взаимодействия сторон в случае выявления мошеннических операций;  

- порядок и сроки разрешения спорных ситуаций между участниками системы;  

- порядок и правила обработки чарджбеков;  

- ответственность сторон в случае выявления мошеннических операций;  

- порядок взаимодействия с правоохранительными органами по вопросам мошенничества;  

- порядок и сроки предоставления и формы отчетов по подозрительным операциям;  

- обмен информацией о мошеннических операциях между участниками системы.  

74. В договоре между участником (эквайером) системы и торгово-сервисным предприятием должны быть отражены следующие аспекты:  

- список карточных продуктов, принимаемых к оплате в торгово-сервисном предприятии;  

- время и график работы торгово-сервисного предприятия;  

- виды продаваемых товаров и услуг (профиль) для идентификации в системе торгово-сервисного предприятия и обязательство извещать об изменении своего профиля;  

- определение значения «floor limit» для торгово-сервисного предприятия, если в нем используется «floor limit»;  

- требования по соблюдению безопасности торгово-сервисным предприятием (проверка подлинности платежной карты, проверка подписи и реквизитов на платежной карте с документом, удостоверяющим личность держателя платежной карты и иные требования), запрет на хранение реквизитов платежных карт;  

- возможность замораживания средств торгово-сервисного предприятия по подозрительным транзакциям, по которым проводится проверка;  

- порядок проведения проверки торгово-сервисного предприятия по качеству обслуживания платежных карт, предоставляемых услуг, условий содержания, целостности и работоспособности периферийного устройства, хранения чеков;  

- порядок взаимодействия в случае выявления операции с украденной/утерянной/ поддельной платежной картой держателя карты или проведения мошеннических транзакций самим торгово-сервисным предприятием;  

- ответственность сторон при выявлении мошеннических операций;  

- условия обязательного обучения кассиров правилам приема и проверки платежных карт, а также методам выявления мошеннических операций и борьбы с ним.  

75. В договоре между участником (эмитентом) системы и держателем карты должны быть определены основные требования по соблюдению безопасности держателем платежной карты (использование ПИН-кода, лимиты, действия держателя в случае утери карты, выявления несанкционированного списания средств со счета), а также распределение рисков и ответственности между сторонами при утере/похищении платежной карты, а также в случае выявления мошеннических транзакций.  

76. Оператор системы на основании полученных от участников данных должен на постоянной основе проводить проверку защищенности процессингового центра от мошеннических и внешних атак, выявлять риски и предпринимать меры для снижения уровня мошенничества.  

  

Глава 5. Форс-мажорные обстоятельства  

77. К форс-мажорным обстоятельствам относятся обстоятельства непреодолимой силы, не зависящие от воли сторон, такие как пожары, аварии, стихийные бедствия, военные действия, которые приводят к нарушению штатного функционирования платежной системы.  

78. Операторы СЗПС, национальных платежных систем должны иметь территориально удаленный резервный центр для обеспечения быстрого восстановления штатного функционирования платежной системы в случае возникновения форс-мажорных обстоятельств.  

79. Территориально удаленный резервный центр должен удовлетворять как минимум следующим условиям:  

- условия размещения резервного центра должны соответствовать требованиям безопасности, установленным нормативными правовыми актами Национального банка;  

- обеспечить возможность полного дублирования работы основного центра (иметь соответствующие АПК, каналы связи с участниками, подготовленный персонал, бесперебойное энергоснабжение).  

80. Операторы/участники платежной системы, провайдеры критичных услуг должны разработать процедуры, регламентирующие (в случаях наступления форс-мажорных обстоятельств) порядок перевода работы на резервный центр и взаимодействие персонала системы.  

  

Глава 6. Отчетность  

81. Операторы и участники платежной системы должны фиксировать информацию об инцидентах и нештатных ситуациях в журнале регистрации нештатных ситуаций и формировать отчет в форме, установленой в Приложении 1 настоящего Положения. Отчет передается в Национальный банк в табличной форме:  

- операторами СЗПС, значимых и национальных платежных систем, провайдерами критичных услуг  на ежедневной основе;  

- операторами других платежных систем, участниками платежной системы  на ежемесячной основе не позднее 05 числа месяца, следующего за отчетным.  

82. Национальный банк на регулярной основе осуществляет сбор и обработку информации о состоянии платежной системы, нештатных ситуациях и несанкционированных операциях для анализа и оценки степени их воздействия на платежную систему в целом. В случае существенного влияния на платежную систему, Национальный банк разрабатывает и передает операторам и/или участникам платежных систем рекомендации и предложения по минимизации рисков, осуществляет контроль их исполнения и при необходимости принимает меры воздействия к операторам и/или участникам платежных систем в соответствии с законодательством Кыргызской Республики.  

 Приложение 1  

к Положению по нештатным   

ситуациям в платежной системе  

  

  

Отчет об инцидентах, нештатных ситуациях и несанкционированных операциях в платежной системе  

  

Наименование системы: ____________________________________________  

Наименование оператора платежной системы: ________________________  

Отчетный период: _________________________________________________  

  

№ п/п  

Дата и время регистрации / совершения/ возникновения, риск-события   

 

Дата выявления риск-события  

Дата и время устранения риск-события  

ГО / филиал / Название СП / №АТМ / Название точки обслуживания / ТСП  

Бизнес-процесс, на котором произошел инцидент / вид деятельности  

Тип событий  

Краткое описание события  

Причины возникновения риска  

Принятые решения / предложения по предотвращению и минимизации риска  

Контрольные меры / мероприятия   

Статус исполнения контрольных мер   

Метод управления операционным риском (обоснованное принятие, перенос, минимизация, отказ от вида деятельности и т.д.)  

Уровень риска (влияние / потери)  

Дополнительные комментарии / предложения  

 

уровень влияния на деятельность  

уровень влияния на репутацию  

уровень влияния на финансы  

фактические убытки  

возможные убытки  

 

  

  

  

  

с  

 

 

НАЦИОНАЛЬНЫЙ БАНК КЫРГЫЗСКОЙ РЕСПУБЛИКИ 

 

 

 

УТВЕРЖДАЮ 

Председатель 

Национального банка 

Кыргызской Республики 

Абдыгулов Т.С. 

«24» мая 2019 г. 

 

 

 

 

 

АНАЛИЗ РЕГУЛЯТИВНОГО ВОЗДЕЙСТВИЯ 

к проекту постановления Правления Национального банка «Об утверждении Положения «О нештатных ситуациях в платежной системе»» в новой редакции. 

 

Основание для разработки: приказ НБКР от 5 марта 2019 г. № 2019-Пр-141/42-О 

Сроки проведения АРВ: март 2019 г. май 2019 г.  

(начало) (окончание) 

Рабочая группа: №1 

1. 

Лелевкина Э.В. 

подписано 

начальник управления платежных систем Национального банка, председатель рабочей группы 

2. 

Акулуева М.Ш. 

подписано 

начальник отдела методологии, анализа и развития платежных систем управления платежных систем Национального банка 

3. 

Омуралиева Н.Э. 

подписано 

начальник отдела контроля и надзора за платежными системами управления платежных систем Национального банка 

4. 

Султаналиев А.З.  

подписано 

начальник отдела по цифровым и финансовым технологиям управления платежных систем Национального банка 

5. 

Бугубаева Н.А. 

подписано 

руководитель группы надзора за деятельностью операторов платежных систем и платежных организаций 

6. 

Бакесариева А.Т. 

подписано 

главный специалист отдела методологии, анализа и развития платежных систем управления платежных систем Национального банка 

7. 

Джакубова А.К. 

подписано 

главный специалист отдела методологии, анализа и развития платежных систем управления платежных систем Национального банка 

8. 

Дюшенбиев М.Н.  

подписано 

главный специалист отдела контроля и надзора за платежными системами управления платежных систем Национального банка 

9. 

Исмаилов А.Б. 

подписано 

ведущий юрист юридического управления Национального банка 

10. 

Кулманбетов У.Э. 

подписано 

главный специалист управления методологии надзора и лицензирования банков 

10. 

Измайлов Р. 

подписано 

Начальник отдела методологии и организации ЗАО «Демир Кыргыз интернешнл Банк» (по согласованию)  

11. 

Куренкеев А.С. 

подписано с замечаниями 

исполнительный директор Ассоциации операторов связи (по согласованию) 

12. 

Алишев Р.К. 

подписано 

президент Ассоциации операторов платежных систем Кыргызской Республики (по согласованию) 

 

Контактные данные ответственного лица: Дюшенбиев М.Н., главный специалист отдела контроля и надзора за платежными системами Управления платежных систем Национального банка Кыргызской Республики, тел. 66-91-10, e-mail: mdiushenbiev@nbkr.kg 

 

Объем 9 стр., приложений 0 стр. 

АНАЛИЗ РЕГУЛЯТИВНОГО ВОЗДЕЙСТВИЯ 

к проекту постановления Правления Национального банка Кыргызской Республики «Об утверждении Положения «О нештатных ситуациях в платежной системе»» в новой редакции проведен в соответствии с требованиями постановления Правительства Кыргызской Республики от 30 сентября 2014 г. № 559 «Об утверждении Методики проведения анализа регулятивного воздействия нормативных правовых актов на деятельность субъектов предпринимательства» 

 

1. Проблемы и основания для государственного вмешательства  

Платежная система Кыргызской Республики представляет собой совокупность платежных систем, функционирующих на территории страны, по осуществлению перевода денежных средств между участниками данной платежной системы. Участниками платежной системы в Кыргызской Республике являются финансово-кредитные организации, нефинансово-кредитные организации и другие юридические лица, предоставляющие платежные услуги населению. 

Принимая во внимание возрастающую роль платежных систем и платежных услуг в финансовой системе и в жизни населения как государство, так и участники финансового сектора должны быть заинтересованы в повышении устойчивости существующей финансовой системы к крупным операционным нарушениям, поскольку: 

финансовое посредничество способствует и поддерживает экономическую активность и играет в этом решающую роль, обеспечивая пути и средства для приема платежей, эффективного осуществления операций и страхования рисков; 

системы обработки, клиринга и расчета концентрируют в себе большое количество транзакций. Нарушения этого процесса могут привести к негативным последствиям для любой финансовой системы и способны лишить участников рынка возможности завершать операции и выполнять свои обязательства; 

углубление взаимозависимостей между участниками финансового сектора в условиях действия одной или нескольких юрисдикций. Следствием этого является положение, когда операционные нарушения в работе одного участника финансового сектора могут вызвать затруднения в работе других. Более того, с учетом растущей глобализации рынков, нарушения в области действия одной юрисдикции могут иметь серьезные последствия и для других областей, распространяясь на них; 

возможность совершения террористических или других преступных актов, прямо или косвенно направленных на инфраструктуры финансовой системы; 

уверенность населения в способности финансовой системы бесперебойно функционировать. 

Повторяющиеся или длительные перерывы в деятельности компонентов финансовой системы подрывают доверие к ней и могут привести к изъятию отечественными и зарубежными участниками капиталов из системы. 

В то же время другие факторы, например, растущая сложность и увеличение операционного риска во всех сферах финансовой системы повышают необходимость обеспечить ее устойчивость. Например, финансовая система в значительной степени зависит от автоматизации и, соответственно, от элементов физической инфраструктуры таких, как телекоммуникации и энергоснабжение, которые обеспечивают автоматизацию. 

Хотя составляющие физическую инфраструктуру организации, которые предоставляют оборудование и услуги, со своей стороны прилагают усилия для повышения своей устойчивости к крупным операционным нарушениям, органы регулирования и участники финансового сектора не имеют прямого контроля за их решениями в случае крупных операционных нарушений. 

В январе 2019 года в результате внутреннего конфликта между собственниками/ учредителями/участниками одного из крупных операторов платежных систем/платежных организаций, несогласия коллектива с политикой руководства компании, методами и формами управления, а также несвоевременного разрешения возникающих проблем привели к потере управления компанией: массовому увольнению ключевых сотрудников компании (IT-персонала в компании, ключевых сотрудников (членов исполнительного органа)) и значительной части персонала, и, как следствие, к сбою в работе платежной системы.  

Несвоевременное устранение сбоя в системе привело к накоплению «зависших» платежей и невозможности своевременного осуществления взаиморасчетов с агентами/клиентами/контрагентами данной организации. Кроме того, возникшие проблемы в работе платежной системы повлияли на функционирование систем расчетов электронными деньгами, интернет-банкинга, платежных терминалов и т.д. некоторых коммерческих банков. 

Сложившаяся ситуация вызвала негативную реакцию населения, которое оплачивало платежи за товары и услуги через платежные терминалы, электронные кошельки, а также агентов и поставщиков услуг, перед которыми не были погашены финансовые обязательства.  

Население, оплатив услуги, столкнулось с проблемой отключения от электроснабжения, интернет-связи и др. Опасаясь увеличения задолженности со стороны оператора платежной системы/платежной организации, а также «зависших» платежей от плательщиков, поставщики услуг в одностороннем порядке отключились от платежной системы.  

Таким образом отсутствие системы дублирования и преемственности; методов и форм управления, несвоевременного разрешения возникающих проблем, а также отсутствия дублирующего состава по критичным функциям, могут привести к ситуации, подобной той, что сложилась у платежной системы в январе-феврале 2019 года.  

Отдельной проблемой в части обеспечения информационной безопасности и финансовой стабильности является возможность удаленного управления аппаратно-программным комплексом (АПК) информационными и финансовыми потоками из-за пределов территории Кыргызской Республики. Учитывая тендецию роста числа операторов платежных систем и платежных организаций, а также немалые денежные обороты в их системах, такой подход представляет угрозу национальной и информационной безопасности страны, обеспечению конфиденциальности обрабатываемой информации.  

Соответственно, для снижения рисков возникновения аналогичной ситуации у операторов платежных систем и платежных организаций необходимо внесение изменений и дополнений в некоторые нормативные правовые акты Национального банка, в частности в Положение «О нештатных ситуациях в платежной системе» (далее Положение). 

 

Далее приведено «дерево проблем», где отражены основные проблемы (подпроблемы), которые необходимо решать:  

 

2. Определение цели и меры для решения проблем  

Цель регулирования: 

Основной целью регулирования является обеспечение безопасной платежной системы страны, минимизация рисков и защита прав потребителей платежных услуг путем обеспечения бесперебойного функционирования платежных систем, своевременных взаиморасчетов и недопущение возникновения финансовых обязательств перед потребителями платежных услуг/агентами/поставщиками товаров/услуг.  

 

К качественным индикаторам достижения цели относятся

- бесперебойное функционирование платежной системы; 

- нивелирование рисков в платежной системе; 

- защита интересов прав потребителей платежных услуг; 

- расширение платежной инфраструктуры и увеличение доступа населения к банковским платежным услугам; 

- создание ясных и равных условий для всех участников рынка розничных платежей и расчетов. 

К количественным индикаторам достижения цели относятся: 

- увеличение доли безналичных платежей; 

- снижение количества системных риск-событий в финансовой системе страны. 

 

Меры для решения проблем

Для решения перечисленных проблем необходимо пересмотреть требования нормативных правовых актов Национального банка, в части: 

- требований по непрерывности деятельности, включая техническую оснащенность, обеспечение информационной безопасности и кибербезопасности, территориальному размещению аппаратно-программного комплекса и наличию резервного центра, ограничений для удаленного управления/доступа к системе аппаратно-программного комплекса; 

- ответственности исполнительного органа за бесперебойное функционирование платежной системы, неэффективную работу организации, по обеспечению квалифицированным штатным персоналом и их преемственности; 

-  введения обязательного уведомления Национального банка в случае существенных сбоев в работе системы, которые могут негативно отразиться на пользователях системы и других платежных системах, массовых увольнений должностных лиц и персонала операторов/участников платежных систем/провайдеров платежных услуг и при увольнении или отстранения с занимаемой должности должностных лиц и/или ключевых сотрудников (например, сотрудников IT), а также принятие специальных мер для разрешения ситуации. 

Данная цель может быть достигнута путем пересмотра требований Положения «О регулировании деятельности операторов платежных систем и платежных организаций», утвержденного постановлением Правления Национального банка Кыргызской Республики от 25 марта 2015 года №19/10 (далее Положение). В этой связи для более эффективного и оперативного регулирования деятельности операторов платежных систем и платежных организаций должны быть усилены требования Национального банка в части: 

- защиты прав потребителей платежных услуг путем минимизации рисков потерь денежных средств населения и обеспечения гарантий исполнения обязательств; 

- укрепления технической оснащенности, информационной и кибербезопасности; 

- и других мер. 

 

3. Международный опыт 

Центральный банк Российской Федерации. В соответствии с требованиями российского законодательства операторы платежных систем должны обеспечить регламентацию порядка обеспечения бесперебойности функционирования платежной системы, организовать деятельность по его реализации, а также определить показатели бесперебойности функционирования платежной системы и методики анализа рисков в платежной системе. 

Бесперебойность функционирования платежной системы (далее - БФПС) является центральным элементом системы управления рисками платежной системы, которая в соответствии с Федеральным законом от 27.06.2011 N 161-ФЗ "О национальной платежной системе" (далее - Закон N 161-ФЗ) представляет собой комплекс мероприятий и способов снижения вероятности возникновения неблагоприятных последствий для БФПС с учетом размера причиняемого ущерба. Основным документом, который регулирует вопросы, связанные с БФПС, является Положение Банка России от 31.05.2012 N 379-П "О бесперебойности функционирования платежных систем и анализе рисков в платежных системах" (далее - Положение N 379-П). Данное Положение вводит термины, имеющие отношение к БФПС, а также определяет требования к порядку обеспечения БФПС, показателям БФПС и методикам анализа рисков в платежной системе (далее - ПС), которые в рамках Положения N 379-П фактически сводятся к рискам нарушения БФПС. 

Национальный банк Республики Беларусь. Основным документом, регламентирующим деятельность платежных систем в части обеспечения непрерывности функционирования платежной системы Республики Беларусь, является Стратегия управления рисками в платежной системе Республики Беларусь, утвержденная постановлением Правления Национального банка Республики Беларусь от 29.04.2017 № 155. 

Цель документа достигается посредством реализации следующих задач: 

обеспечение непрерывности функционирования платежной системы Республики Беларусь и ее объектов; 

обеспечение непрерывности деятельности участников платежной системы Республики Беларусь и ее объектов при проведении платежей; 

обеспечение бесперебойности и надежности оказания платежных услуг, критичных для платежной системы Республики Беларусь и ее объектов, поставщиками данных услуг; 

обеспечение поддержания рисков в платежной системе Республики Беларусь на приемлемом уровне; 

предотвращение перерастания отдельных видов рисков в системный риск. 

Также Национальным банком Республики Беларусь разработан План обеспечения непрерывной работы и восстановления работоспособности участника платежной системы, в котором описан комплекс организационных и программно-технических мероприятий, которые должны выполняться участниками платежной системы до, во время и после возникновения нештатной ситуации.  

 

4. Варианты государственного регулирования и оценка последствий 

Ниже рассмотрены три варианта регулирования: 

Вариант №1 «либеральный подход к регулированию» - саморегулируемый подход. 

Вариант № 2 «оставить все как есть». 

Вариант № 3 «государственное регулирование».  

 

Вариант №1. «Либеральный подход к регулированию» - саморегулируемый подход 

Данный подход, основан на принципе саморегулирования и сводится к: 

- отсутствию общих правовых рамок функционирования платежных систем, ответственности и строгой регламентации их деятельности; 

- хаотичное развитие платежных систем и финансового посредничества;  

- допущению несвоевременных взаиморасчетов с потребителями платежных услуг/агентами/поставщиками товаров/услуг и тем самым снижению доверия к безналичным платежам, а также возникновению финансовых проблем, в том числе, связанными с платежами в бюджет страны. 

Платежные системы являются частью основы денежной экономики и крупномасштабные сбои в платежных системах могут остановить деятельность значительной части общества и привести к существенным издержкам пользователей платежных систем. Современное общество в значительной степени зависимо от стабильного функционирования платежных систем. В последние годы значимость платежных систем и процедур контроля рисков возросла в результате значительного технического усовершенствования систем и повышения их оперативности. Управление такими системами требует более высокого уровня квалификации, чем это было ранее, а также готовности к сбоям в платежных системах. 

В течение последних лет повышенное внимание уделялось системным рискам платежных систем и их предупреждению. Если системы не имеют эффективных мер защиты, через межбанковские платежные системы или даже трансграничные платежные системы может распространиться экономический кризис. 

Правовой анализ. При таком варианте требуется внесение изменений и дополнений в некоторые нормативные правовые акты Кыргызской Республики. 

 

Вариант № 2. «Оставить все как есть» 

В свете негативных событий, имевших место на рынке платежных услуг, и возникновении подобной ситуации среди операторов платежных систем и платежных организаций, с учетом увеличения объемов проводимых ими платежей и рост их агентской/субагентской сети, Вариант № 2. «Оставить все как есть» может привести к возникновению системного риска в платежной системе страны.  

Правовой анализ. Данный вариант не противоречит законодательству Кыргызской Республики.  

 

Вариант №3. «Государственное регулирование» 

Одной из основных задач Национального банка является обеспечение безопасности, стабильности и эффективности платежной системы.  

Порядок и требования к платежным системам и провайдерам критичных услуг в части организации их деятельности, обязанности по обеспечению должного уровня бесперебойности работы системы, обслуживающему персоналу установлены Положением «О нештатных ситуациях в платежной системе», утвержденным постановлением Правления Национального банка Кыргызской Республики № 2017-П-14/48-3-(ПС) от 16.11.2017г. Однако Положение не в полной мере покрывает возможные риски, присутствующие в настоящее время на рынке платежных услуг, и требует внесения изменений.  

Для повышения эффективности и безопасности платежных систем должны быть введены следующие требования: 

- в части укрепления технической оснащенности, информационной безопасности и кибербезопасности, которые позволят минимизировать риски возникновения ситуаций, связанных со сбоями в платежной системе, и как следствие, несвоевременным осуществлением расчетов; 

- к бесперебойному функционированию платежной системы, а также требования по обеспечению дублирования функций и преемственности персонала; 

- усиление требований к технической оснащенности, информационной и кибербезопасности, территориальному размещению аппаратно-программного комплекса и резервного центра, а также установка ограничений для удаленного доступа третьих лиц к системе аппаратно-программного комплекса; 

- по оперативному информированию регулятора о существенных сбоях в работе системы, массовом увольнении персонала. 

В целом такие меры значительно минимизируют риски возникновения ситуаций, связанных с перебоями в функционировании системы и их последствиями, что будет способствовать развитию безналичных платежей. 

Правовой анализ. Данный вариант не противоречит законодательству Кыргызской Республики.  

Кроме этого, в целях гармонизации нормативных правовых актов по вопросам платежных систем, необходимо внести изменения и дополнения в следующие нормативные правовые акты Национального банка: 

Положение «О мерах воздействия, применяемых к операторам платежных систем/платежным организациям»; 

Положение «Об электронных деньгах в Кыргызской Республике»; 

Правила осуществления надзора (оверсайта) за платежной системой Кыргызской Республики; 

Инструкция о проведении инспекторских проверок деятельности операторов платежных систем и платежных организаций; 

Положение «О минимальных требованиях по предоставлению удаленного/дистанционного обслуживания в Кыргызской Республике»; 

и др. 

Результаты общественных обсуждений. АРВ будет размещен на официальном интернет-сайте Национального банка в рамках общественного обсуждения. 

Регулятивное воздействие. Предлагаемые изменения в Положение по нештатным ситуациям в платежной системе будут способствовать повышению безопасности платежных систем, минимизации рисков, связанных с обеспечением бесперебойности платежных систем. Это позволит Национальному банку оперативно реагировать в случае возникновения у участников существенного риска и минимизировать вероятность возникновения системного риска. 

Реализационные риски. Реализация предлагаемого варианта регулирования может повлечь следующие риски: 

- недовольство операторов платежных систем и платежных организаций, связанного с повышенными требованиями в рамках обеспечения бесперебойности и регулирования; 

- операторы платежных систем свои расходы будут перекладывать на пользователей систем, что может повлечь удорожание услуги.  

Со стороны регулятора необходимо будет внести изменения в Правила осуществления надзора (оверсайта) за платежными системами, порядок анализа получаемых отчетов, а также проработать дальнейший порядок работы с платежными системами и провайдерами критичных услуг. 

 

5. Оценка конкуренции 

Высокотехнологичные платежные системы обеспечивают не только быстрый обмен электронной информацией, но и позволяют в короткое время создавать широкую инфраструктуру в территориальном плане и охват населения услугами по проведению быстрых платежей. При предоставлении услуг по приему и обработке платежей банки, операторы платежных систем и платежные организации конкурируют между с собой. В то же время, при осуществлении данного вида услуг коммерческим банком, ответственность и меры воздействия к банку и его должностным лицам значительно выше, нежели к операторам платежных систем и платежным организациям, осуществляющим аналогичную операцию. 

 

Для Национального банка, как для регулятора, важно развивать финансовый рынок через увеличение доли безналичных платежей и расчетов в экономике и повышение доступа населения к платежной инфраструктуре, способствовать повышению доверия населения к платежным услугам и системам, предоставлению качественных и безопасных банковских платежных услуг. 

В проекте документа не предусмотрены различия между формой организации платежной системы и вида субъекта. Требования применяются ко всем платежным системам. 

 

6. Экономический анализ (расчет затрат и выгод) 

Количественная оценка затрат не представляется возможной, поскольку изменения в Положение повлекут за собой изменения в зависимые от данного Положения нормативные правовые акты Национального банка. Также требуется значительное время для оценки масштаба изменений у всех участников рынка платежных услуг.  

Участникам рынка платежных услуг необходимо время и ресурсы для пересмотра внутренних документов и приведения своей деятельности в соответствие требованиям данного Положения.  

У Национального банка потребуется время и ресурсы для пересмотра нормативных правовых актов, внутренних документов, на автоматизацию процесса приема и обработки регулярных данных/отчетов от всех участников, а также на внедрение риск-ориентированного подхода по надзору за платежными системами и провайдерами критичных услуг. 

 

7. Рекомендуемое регулирование. 

Подводя итоги Анализа регулятивного воздействия, можно отметить, что в результате рассмотрения возможных вариантов, наиболее целесообразным и отвечающим цели государственной политики является вариант №3 для обеспечения эффективной, надежной и безопасной платежной системы Кыргызской Республики, поскольку:  

при варианте 1 «Либеральный подход к регулированию» - саморегулируемый подход» не соблюдаются требования законодательства Кыргызской Республики и существует высокая вероятность системного риска в финансовой системе, который несут в себе платежные системы, а также сохраняется проблема по обеспечению защиты прав потребителей платежных услуг;  

- при варианте 2 «Оставить все как есть» также сохраняется вероятность возникновения системного риска, поскольку действующие требования не в полной мере охватывают все риски; 

- при варианте 3 «Государственное регулирование» при данном варианте будут решены проблемы выявления всех значимых игроков на рынке платежных услуг и обеспечено должное исполнение требований закона по обеспечению эффективной и безопасной платежной системы.