Вернуться назад

 

 

Журнал “Нормативные акты НБКР” № 4 за 2009 г. 

 

 

 

 

 

1. Постановление Правления НБКР № 4/6 от 28 января 2009 г. “Об утверждении Положения “Об основных требованиях к функционированию платежной системы Кыргызской Республики при возникновении нештатных ситуаций в платежной системе”; 

(Регистрационный номер МЮ КР № 26-09 от 4.03.2009 г.) 

 

2. Постановление Правления НБКР № 7/3 от 11 февраля 2009 г. “О внесении изменений и дополнения в Постановление Правления Национального банка Кыргызской Республики от 19 марта 2005 г. № 6/2 “Об утверждении новой редакции Положения “О Комитете по надзору НБКР”, зарегистрированное в Министерстве юстиции КР 21 апреля 2005 г., регистрационный номер 55-05 

(Регистрационный номер МЮ КР № 34-09 от 19.03.2009 г.) 

 

3. Постановление Правления НБКР № 7/4 от 11 февраля 2009 г. “Об утверждении Положения “Об узле коллективного пользования SWIFT» 

(Регистрационный номер МЮ КР № 32-09 от 10.03.2009 г.) 

 

 

Постановление Правления НБКР № 4\6 от 28.01.2009 г. 

Регистрационный номер МЮ КР № 26-09 от 04.03.2009 г. 

 

Об утверждении Положения «Об основных требованиях к функционированию платежной системы Кыргызской Республики при возникновении нештатных ситуаций в платежной системе» 

 

Рассмотрев представленный Управлением платежных систем проект Положения «Об основных требованиях к функционированию платежной системы Кыргызской Республики при возникновении нештатных ситуаций в платежной системе», руководствуясь статьями 7 и 43 Закона «О Национальном банке Кыргызской Республики», Правление Национального банка Кыргызской Республики постановляет: 

 

1. Утвердить Положение «Об основных требованиях к функционированию платежной системы Кыргызской Республики при возникновении нештатных ситуаций в платежной системе» (прилагается).  

2. Управлению платежных систем совместно с Юридическим отделом в установленном порядке направить настоящее постановление на государственную регистрацию в Министерство юстиции Кыргызской Республики. 

3. Настоящее постановление вступает в силу после государственной регистрации в Министерстве юстиции Кыргызской Республики и последующего официального опубликования. 

4. После опубликования зарегистрированного нормативного правового акта Юридическому отделу информировать Министерство юстиции Кыргызской Республики об источнике опубликования (наименование издания, его номер и дата). 

5. Управлению платежных систем довести настоящее постановление до сведения коммерческих банков Кыргызской Республики, Закрытого акционерного общества «Межбанковский процессинговый центр», областных управлений и представительства Национального банка Кыргызской Республики в Баткенской области. 

6. Управлению банковских расчетов, коммерческим банкам и Закрытому акционерному обществу «Межбанковский процессинговый центр» согласно Положению «Об основных требованиях к функционированию платежной системы Кыргызской Республики при возникновении нештатных ситуаций в платежной системе» разработать пакет внутренних процедур, устанавливающих регламент, порядок проведения работ, взаимодействие персонала системы при возникновении нештатных ситуаций и порядок восстановления штатного режима функционирования каждой используемой для оказания платежных услуг системы в срок до 01.06.2009 г.  

7. Контроль исполнения настоящего постановления возложить на заместителя Председателя Национального банка Кыргызской Республики Чокоева З.Л. 

 

Председатель Алапаев М.О. 

 

Утверждено 

постановлением Правления 

Национального банка 

Кыргызской Республики 

№ 4/6 от «28_» января 2009 г. 

(рег. номер МЮ КР № 26\09 от 04.03.2009 г.) 

 

Положение «Об основных требованиях к функционированию платежной системы Кыргызской Республики при возникновении нештатных ситуаций в платежной системе» 

 

1. Общие положения 

 

1.1. Настоящее Положение разработано в соответствии с: 

· законами Кыргызской Республики «О Национальном банке Кыргызской Республики», «О банках и банковской деятельности в Кыргызской Республике», «Об электронных платежах», «Об электронной цифровой подписи»; 

· Положением «О безналичных расчетах в Кыргызской Республике», утвержденным постановлением Правительства Кыргызской Республики и Национального банка Кыргызской Республики (далее НБКР) от 09 сентября 2005 года № 420/21/4 «Об утверждении «Положения о безналичных расчетах в Кыргызской Республике»;  

· «Политикой по управлению рисками в платежной системе Кыргызской Республики», утвержденной постановлением Правления НБКР от 19 мая 2005 года №16/4 «Об утверждении «Политики по управлению рисками в платежной системе Кыргызской Республики», зарегистрированной в Министерстве юстиции Кыргызской Республики (далее МЮ КР) 27 июня 2005 года (регистрационный номер № 91-05); 

· «Политикой по надзору за платежной системой Кыргызской Республики», утвержденной постановлением Правления НБКР от 23 марта 2006 года № 7/8 «Об утверждении «Политики по надзору за платежной системой Кыргызской Республики», зарегистрированной в МЮ КР 28 апреля 2006 года (регистрационный номер № 48-06);  

· «Правилами осуществления надзора за платежной системой Кыргызской Республики», утвержденными постановлением Правления НБКР от 28 мая 2008 года № 22/11 «Об утверждении «Правил осуществления надзора за платежной системой Кыргызской Республики», зарегистрированной в МЮ КР 04 июля 2008 года (регистрационный номер № 67-08). 

1.2. Настоящее Положение определяет основные понятия и требования к функционированию платежной системы Кыргызской Республики и действиям персонала при возникновении нештатных ситуаций в платежной системе, связанных с: 

· перебоями энергоснабжения;  

· сбоями аппаратного или программного обеспечения;  

· сбоями каналов связи системы;  

· нарушением регламента работы системы; 

· несанкционированным доступом к системе;  

· мошенничеством; 

· форс-мажорными обстоятельствами.  

1.3. Настоящее Положение распространяется на участников и операторов платежной системы, являющихся резидентами Кыргызской Республики. 

1.4. Платежная система Кыргызской Республики включает: 

· системно-значимые платежные системы (далее - СЗПС) - Гроссовая система расчетов в режиме реального времени (далее - ГСРРВ) и Система пакетного клиринга мелких розничных и регулярных платежей (далее - СПК); 

· значимые платежные системы (далее - ЗПС)- международные и локальные системы расчетов платежными картами, национальная система расчетов платежными картами «Элкарт»; 

· не системно-значимые платежные системы (далее - не СЗПС) - системы денежных переводов, трансграничных платежей, проводимых по сети SWIFT (через Узел коллективного пользования SWIFT НБКР (далее - УКП SWIFT) или посредством прямого соединения к сети SWIFT), Телекс и другие альтернативные каналы передачи данных. 

1.5. Ответственность за обеспечение бесперебойного функционирования и соблюдение регламента платежных систем несут операторы и участники платежных систем. Распределение ответственности сторон в случаях возникновения нештатных ситуаций в процессе осуществления платежей/переводов и расчетов, порядок и время информирования определяются в договорах между оператором и участниками, а также во внутренних процедурах, устанавливающих порядок действий и взаимоотношения персонала платежной системы.  

1.6. Персонал платежной системы должен состоять из персонала оператора и персонала участника системы и включать основной и дублирующий состав. В случае отсутствия какого-либо специалиста основного состава его функции выполняет специалист из дублирующего состава. 

1.7. Персонал оператора платежной системы должен включать:  

· специалистов, выполняющих функции управления по сбору, обработке, и передаче платежей (переводов) и сообщений; 

· специалистов, выполняющих функции управления проведением расчетов, включая окончательный расчет;  

· специалистов по сопровождению системы, обеспечивающих бесперебойное функционирование технической инфраструктуры и безопасность системы. 

1.8. Персонал участника платежной системы должен включать: 

· специалистов, выполняющих функции формирования, отправки и приема платежей (переводов), а также функции обмена другими сообщениями в рамках системы;  

· специалистов по сопровождению системы, обеспечивающих бесперебойное функционирование и безопасность технической инфраструктуры участника системы.  

1.9. Внутренние процедуры операторов и участников платежной системы должны устанавливать регламент, порядок проведения работ и взаимодействия персонала системы при возникновении нештатных ситуаций, а также меры по восстановлению штатного функционирования системы. Данные процедуры должны в обязательном порядке предусматривать: 

· порядок и сроки информирования руководства и персонала системы о возникновении нештатной ситуации; 

· регистрацию факта возникновения нештатной ситуации (дату, время, описание события) в специальном журнале; 

· порядок действий, если проблемы не были решены на уровне ответственных исполнителей персонала системы за предусмотренное процедурами время; 

· порядок и сроки информирования руководства и персонала системы после устранения нештатной ситуации и восстановления штатного функционирования системы, включая порядок регистрации информации о восстановлении штатного функционирования системы (дату, время, причину возникновения нештатной ситуации, содержание принятых мер по её устранению с указанием ответственных исполнителей), подготовки актов и экспертных заключений о ситуации. 

1.10. Техническая инфраструктура платежной системы должна включать: 

· основной аппаратно-программный комплекс (далее - АПК), к которому предъявляются определенные требования по обеспечению штатного функционирования системы и восстановлению в случае возникновения нештатных ситуаций; 

· резервный АПК, который в случае выхода из строя любых компонентов основного аппаратно-программного комплекса должен полностью обеспечить штатное функционирование системы; 

· каналы связи и средства безопасности передачи данных.  

1.11. Для минимизации рисков, возможных при возникновении нештатных ситуаций в платежной системе:  

ь функционирование платежной системы должно осуществляться в соответствии с критериями по обеспечению непрерывности, установленными внутри каждой системы и включающими наличие:  

· основного и резервного центров по обработке платежей и автоматическое или ручное переключение работы системы с основного на резервный АПК и наоборот в случае возникновения сбоев в работе системы; 

· средств безопасности передачи данных, минимизирующих риски несанкционированного доступа; 

· установленного предельного значения времени простоя системы в случае возникновения сбоев в работе системы; 

· утвержденной максимальной продолжительности времени автоматизированного или ручного переключения между основным и резервным АПК с указанием максимально допустимого времени простоя до полного восстановления штатного функционирования системы;  

· установленного предельного времени восстановления базы данных в случае возникновения сбоев; 

· критерия максимально допустимого времени восстановления работы системы в случае сбоев основного и резервного АПК. 

Модернизация системы, время, условия реагирования и порядок взаимодействия с поставщиком платежной системы при возникновении нештатных ситуаций, которые приводят к нарушению данных критериев, и меры по их устранению должны быть определены в договоре на техническую поддержку с поставщиком платежной системы. 

ь Операторы системы должны иметь процедуры по: 

· обеспечению непрерывного функционирования АПК системы и требуемых для его функционирования каналов связи с указанием разового и суммарного времени простоя системы в течение квартала;  

· осуществлению переключения между основным и резервным АПК с указанием максимально допустимого времени простоя до полного восстановления штатного функционирования системы;  

· проведению периодических проверок персоналом оператора системы работоспособности резервного АПК, каналов связи системы и регулярного тестирования переключения работы системы с основного на резервный АПК и наоборот; 

· обеспечению непрерывности функционирования рабочих станций персонала оператора системы;  

· обеспечению восстановления данных в случае их повреждения или искажения в соответствии с установленным регламентом;  

· обеспечению конфиденциальности передаваемых и получаемых системой данных согласно законодательству Кыргызской Республики.  

ь Участники системы должны иметь процедуры по: 

· обеспечению непрерывности функционирования рабочих станций персонала участника системы;  

· резервированию каналов связи по передаче данных; 

· обеспечению конфиденциальности передаваемых и получаемых от системы данных согласно законодательству Кыргызской Республики.  

1.12. Для минимизации рисков в СЗПС и УКП SWIFT при возникновении у участников проблем с рабочими станциями или каналами связи должен быть создан Единый сервисный центр (далее ЕСЦ), который должен обеспечивать проведение работ по формированию, отправке/получению платежных документов и других сообщений в системе. 

1.13. НБКР осуществляет: 

· мониторинг и надзор за функционированием платежной системы; 

· контроль функционирования межбанковской коммуникационной сети (МКС), УКП SWIFT; 

· проведение проверок у операторов или участников платежной системы на соответствие функционирования системы стандартам и нормативным правовым актам.  

 

2. Определения 

 

2.1. Термины и определения, используемые в настоящем Положении, соответствуют терминам и определениям, приведенным: 

· в «Основных положениях по организации платежной системы в Кыргызской Республике», утвержденным постановлением Правления НБКР от 25 марта 1999 года №20/7 «Об основных положениях по организации платежной системы в Кыргызской Республике»; 

· в «Положении о банковских платежных картах в Кыргызской Республике», утвержденном постановлением Правления НБКР от 27 сентября 2006 года № 28/12 «Об утверждении «Положения о банковских платежных картах в Кыргызской Республике», зарегистрированной в МЮ КР 01 ноября 2006 года (регистрационный номер № 108-06); 

· в «Политике по надзору за платежной системой Кыргызской Республики», утвержденной постановлением Правления НБКР от 23.03.2006 № 7/8 «Об утверждении «Политики по надзору за платежной системой Кыргызской Республики», зарегистрированной в МЮ КР от 28.04.2006 года (регистрационный номер №48-06). 

2.2. Дополнительно в настоящем Положении используются следующие термины и определения: 

 

Нештатная ситуация ситуация, которая не может быть решена встроенными автоматическими средствами управления рисками отдельной платежной системы в соответствии с правилами и технологией работы системы и требует для ее разрешения специально организованной деятельности персонала оператора или участника данной платежной системы. Правила управления нештатными ситуациями, ответственность и взаимодействие персонала устанавливаются во внутренних процедурах оператора или участника платежной системы. 

Payment Card Industry Data Security Standard (PCI DSS) стандарт, определяющий параметры защиты информации в области платежных карт, разработанный международными платежными системами («Visa» и «MasterCard»). 

«Floor limit» - максимальная сумма транзакции, в рамках которой торгово-сервисное предприятие может проводить операции с платежными картами без авторизационного запроса.  

Мошенничество в платежной системе в рамках настоящего положения это противоправные преднамеренные обманные действия (или злоупотребление доверием) персонала оператора/ участника системы (внутреннее мошенничество) или третьей стороны (внешнее мошенничество), направленные на несанкционированный доступ и использование информации относящейся к банковской тайне для получения денежных средств с банковских счетов участников системы и/или их клиентов. 

К данной деятельности относятся: 

· распространение внутренней конфиденциальной информации;  

· нарушение прав доступа к информации, оборудованию, допущение утечки информации; 

· умышленное удаление информации, которое может привести к невыполнению принятых на себя обязательств оператором или участником системы перед своим клиентом или третьими лицами; 

· использование необъективной или сфальсифицированной информации; 

· изготовление поддельных карт;  

· операции с украденными/утерянными платежными картами для осуществления покупки товаров и услуг, а также снятия наличных денег; 

· многократное снятие со счета денежных средств путем оформления торгово-сервисным предприятием нескольких платежных чеков по одному факту оплаты; 

· многократная оплата услуг и товаров в торгово-сервисных предприятиях на суммы, не превышающие определенный лимит («floor limit») и не требующие проведения авторизации; 

· мошенничество с использованием поддельных документов, а также украденных (утерянных) документов держателей карт;  

· мошенничество с почтовыми/телефонными заказами и заказами через Интернет; 

· мошенническое использование банкоматов при выдаче наличных денежных средств; 

· подключение электронного записывающего устройства к терминалу/банкомату; 

· другие виды мошенничества (использование подложных слипов, создание и использование фиктивных предприятий обслуживания карт и т.д.). 

 

3. Нештатные ситуации в платежной системе  

 

3.1. Перебои энергоснабжения 

 

3.1.1. Оператор и участники системы должны обеспечить соответствие мощности линий и другого оконечного оборудования, через которое осуществляется подача энергоснабжения для работы систем, требованиям систем по мощности.  

3.1.2. В случаях перебоев энергоснабжения у оператора и/или участника системы должно обеспечиваться автономное функционирование системы.  

3.1.3. Оператор и участники системы должны иметь процедуры, регламентирующие время автономного функционирования системы, а также обеспечивающие выполнение требований по продолжительности автономной работы системы с момента прекращения энергоснабжения и до момента последующего переключения на резервный АПК системы. 

3.1.4. Участник СЗПС в случае перебоев энергоснабжения должен обеспечить отправку/получение платежных документов посредством ЕСЦ в соответствии с установленным НБКР порядком и регламентом. 

3.1.5. В случае перебоев энергоснабжения участник УКП SWIFT может проводить отправку/получение платежных документов через рабочие станции ЕСЦ в соответствии с установленным НБКР порядком и регламентом, или через альтернативные каналы передачи данных, используемые участником системы.  

3.1.6. После восстановления энергоснабжения работы по переводу на основной АПК проводятся в соответствии с установленными внутренними процедурами участника или оператора системы. 

 

3.2. Сбои аппаратного и/или программного обеспечения системы 

 

3.2.1. Сбои аппаратного обеспечения включают в себя нарушение функционирования или выход из строя серверного, сетевого, криптографического оборудования, оборудования для персонализации карт и рабочих станций участника/оператора системы.  

3.2.2. Сбои программного обеспечения включают в себя нарушение функционирования операционной системы, прикладного программного обеспечения, программного обеспечения на серверах доступа, PKI инфраструктуры и рабочих станций персонала системы. 

3.2.3. В СЗПС при сбоях аппаратного и/или программного обеспечения системы или рабочих станций оператора проводится автоматическое или ручное переключение на резервный АПК или резервные рабочие станции оператора в соответствии с установленным НБКР порядком. В случае невозможности перехода на резервный АПК работы по обработке платежей участников системы и проведению окончательного расчета проводятся оператором с использованием бумажной формы документов в соответствии с установленным НБКР порядком. 

3.2.4. Участники системы при сбоях собственного аппаратного или программного обеспечения должны обеспечить использование альтернативных и/или резервных средств в соответствии со своими внутренними процедурами. 

3.2.5. В случае невозможности участником СЗПС продолжить работу со своего резервного оборудования выполнение соответствующих работ может проводиться через рабочие станции ЕСЦ в соответствии с установленным НБКР порядком и регламентом.  

3.2.6. В случае невозможности участником ЗПС продолжить работу с резервной рабочей станции, выполнение соответствующих работ может проводиться через рабочие станции оператора ЗПС в соответствии с установленным оператором порядком и регламентом. 

3.2.7. В случае невозможности участником УКП SWIFT продолжить работу со своего резервного оборудования, выполнение соответствующих работ может проводиться через рабочие станции ЕСЦ в соответствии с установленным НБКР порядком и регламентом, или через альтернативные каналы передачи данных, используемые участником системы.  

 

3.3. Сбои каналов связи системы 

 

3.3.1. При сбое канала основного канала связи между основным и резервным АПК системы оператор системы должен провести переключение на резервный канал связи в соответствии со своими внутренними процедурами.  

3.3.2. При сбое основного канала связи между оператором и участниками системы участник системы должен провести переключение на собственный резервный канал связи в соответствии со своими внутренними процедурами.  

3.3.3. При выходе из строя обоих каналов связи у участника СЗПС и УКП SWIFT, работа по отправке/получении платежных документов и сообщений системы выполняется через ЕСЦ в соответствии с установленным НБКР порядком и регламентом. 

3.3.4. При выходе из строя обоих каналов связи участник ЗПС может выполнять работу с резервной рабочей станции оператора в соответствии с установленным оператором порядком и регламентом. 

 

3.4. Нарушение регламента работы системы 

 

3.4.1. К нарушениям регламента работы СЗПС и ЗПС относится продление периодов операционного дня вследствие: 

· проведения работ по восстановлению штатного функционирования СЗПС и ЗПС в случае возникновения нештатной ситуации у оператора и/или участника системы в течение операционного дня; 

· несвоевременной передачи сообщений и отчетов оператором ЗПС;  

· несвоевременной передачи платежей и сообщений оператором и участниками СЗПС; 

· несвоевременной передачи сообщений между ГСРРВ и СПК. 

3.4.2. Регламент и порядок работы системы определяются нормативными правовыми актами, регулирующими функционирование системы. Ответственность сторон за соблюдение и санкции за нарушение регламента и порядка работы системы устанавливаются в договорах и соглашениях между оператором и участниками системы.  

 

4. Несанкционированный доступ и мошенничество в платежной системе 

 

4.1. Несанкционированный доступ и мошенничество в платежной системе 

 

4.1.1. Оператор и участник системы должны иметь внутреннюю политику по обеспечению информационной безопасности системы, которая должна:  

· быть разработана в соответствии с «Инструкцией по обеспечению необходимого уровня безопасности электронных платежей», утвержденной постановлением Правления НБКР от 06.11.1999 года № 66/9 «Об «Инструкции по обеспечению необходимого уровня безопасности электронных платежей»;  

· иметь четко определенные задачи, основные требования по обеспечению конфиденциальности и доступу к информации, адекватности внутреннего контроля, а также критерии разграничения ответственности соответствующих лиц при осуществлении контроля;  

· предусматривать своевременное реагирование на возникновение подозрительных операций или попыток несанкционированного доступа и порядок взаимодействия со Службой Финансовой Разведки Кыргызской Республики и/или правоохранительными органами;  

· предусматривать разработку новых методов борьбы с мошенничеством; 

· включать обязательные требования о проведении обучения сотрудников безопасности и персонала системы механизмам предотвращения мошенничества и несанкционированного доступа. 

4.1.2. Оператор и участник системы на регулярной основе (по мере необходимости, но не реже 1 раза в три года) должны осуществлять пересмотр внутренней политики с целью обновления и включения новых инновационных методов борьбы с мошенничеством и несанкционированным доступом в систему. 

4.1.3. Для снижения риска возникновения внутреннего мошенничества оператор и участники системы должны иметь системы защиты от мошенничества и несанкционированного доступа на уровне аппаратно-программного комплекса (использование паролей и прав доступа к системе, криптографии, шифрования и т.п.), квалифицированный и прошедший проверку персонал для работы в системе, а также утвержденные должностные инструкции, определяющие ответственность, права и обязанности персонала.  

4.1.4. Разрешение спорных ситуаций при возникновении риска внутреннего мошенничества, ответственность сторон и другие условия работы с системой должны быть определены в договорах между оператором и участниками системы. 

 

4.2. Мошенничество в ЗПС 

 

4.2.1. При работе с картами международных платежных систем оператору и участнику системы рекомендуется принять за основу «Общие критерии для оценки безопасности информационных технологий» (ISO/IEC 15408) и PCI DSS и придерживаться соблюдения данных требований. 

4.2.2. Оператор и участники (эмитенты) ЗПС должны иметь внутренние процедуры с указанием в них, как минимум: 

· ограничений по доступу персонала к базе данных системы (к информации о номерах карт, кодовых словах, фамилии, имени, отчестве держателя карты, об образце подписи и т.д.) и список сотрудников персонала системы, имеющих такой доступ; ответственность и санкции за нарушение ограничений; 

· системы защиты от мошенничества при эмиссии карт,  

· порядка обработки заявлений клиентов и получения карт, включающего требования по обязательной идентификации и проверке клиента;  

· порядка возврата захваченных банкоматами карт. 

4.2.3. Участники (эквайеры) ЗПС должны иметь внутренние процедуры с указанием в них, как минимум: 

· порядка обработки заявлений торгово-сервисных предприятий и заключения с ними договоров, включающих требования к предоставляемому пакету документов (нотариально заверенные копии учредительных документов и Устава, регистрации в налоговых органах, разрешений/лицензий на заявленные виды деятельности, ксерокопии паспортов руководства, бухгалтерский баланс с отметкой налоговых органов); 

· порядка ведения базы данных торгово-сервисных предприятий, с которыми были расторгнуты договора или заявления которых были отвергнуты с указанием причины отказа; 

· механизма контроля торгово-сервисных предприятий, включающего подтверждение факта его регистрации, регулярную проверку качества обслуживания карт, условий содержания и работоспособности терминалов, хранения чеков (слипов), определение значений «floor limit» в зависимости от мошеннической активности торгово-сервисного предприятия.  

4.2.4. Для снижения риска внешнего мошенничества операторы системы должны иметь программное обеспечение, позволяющее проводить мониторинг и анализ риска, а также отслеживание подозрительных транзакций и авторизаций, совершённых посредством платежных карт на регулярной основе. Программное обеспечение должно контролировать как транзакции, совершенные в сети эквайера (контроль риска эквайера относительно торгово-сервисных предприятий), так и транзакции, совершенные посредством карт, эмитированных банком (контроль риска эмитента относительно держателей карт). 

4.2.5. Участники системы могут иметь собственное программное обеспечение, позволяющее самостоятельно осуществлять мониторинг и управление своими рисками, связанными с эмиссией и эквайрингом платежных карт для снижения потерь, вызываемых возможным мошенничеством при использовании платежных карт, или воспользоваться данной услугой оператора системы на договорных условиях.  

4.2.6. Операторы и участники системы должны установить параметры мониторинга за авторизациями/ транзакциями, превышение значений которых будет считаться подозрительными авторизациями/транзакциями. Мониторинг должен отражать, как минимум, следующие случаи когда: 

· сумма отдельной авторизации/транзакции (или общая сумма) превышает установлённый лимит в заданный период времени;  

· авторизация/транзакция карты проводится в торгово-сервисных предприятиях в 2-x или более странах в заданный период времени;  

· общая сумма транзакций в конкретной стране с повышенным риском превышает установленный лимит в заданный период времени;  

· общее число авторизаций на одном торгово-сервисном предприятии превышает установленный лимит в заданный период времени;  

· количество некорректных попыток ввода ПИН-кода в банкоматах превышает установленный лимит за заданный период времени;  

· сумма отдельной авторизации/транзакции превышает установленный лимит для конкретной группы торгово-сервисных предприятий с повышенным риском. 

Оператор или участник системы может устанавливать дополнительные правила мониторинга за подозрительными транзакциями.  

4.2.7. Оператор и участник системы должны иметь подготовленный персонал для проведения анализа рисков возможного мошенничества, осуществляющий контроль транзакций и авторизаций платежных карт. 

4.2.8. Оператор и участник системы должны иметь внутренние процедуры с описанием средств и инструментов по распознаванию поддельных карт и операций с использованием карт, методов противодействия мошенническому использованию карт, а также порядка действий персонала в случае выявления таких операций. 

4.2.9. В договоре между оператором и участниками системы должны быть установлены как минимум: 

· основные требования по соблюдению безопасности, которые участники системы должны использовать при разработке типовых договоров с держателями карт и торгово-сервисными предприятиями;  

· время реагирования, порядок оповещения и взаимодействия сторон в случае выявления мошеннических операций; 

· порядок разрешения спорных ситуаций между участниками системы; 

· порядок и правила обработки чарджбеков; 

· ответственность сторон в случае выявления мошеннических операций;  

· порядок взаимодействия с правоохранительными органами по вопросам мошенничества; 

· порядок предоставления и формы отчетов по подозрительным операциям; 

· обмен информацией о мошеннических операциях между участниками системы.  

4.2.10. В договоре между участником (эквайером) системы и торгово-сервисным предприятием должны быть отражены следующие аспекты: 

· список карточных продуктов, принимаемых к оплате в торгово-сервисном предприятии; 

· виды продаваемых товаров и услуг (профиль) для идентификации в системе торгово-сервисного предприятия и обязательство извещать об изменении своего профиля; 

· определение значения «floor limit» для торгово-сервисного предприятия; 

· требования по соблюдению безопасности торгово-сервисным предприятием (проверка подписи держателя карты, документа, удостоверяющего личность держателя карты, соответствия реквизитов на карте данным на удостоверяющем документе, использование ПИН-кода держателем карты и иные требования), защита реквизитов карт;  

· возможность замораживания средств торгово-сервисного предприятия по подозрительным транзакциям, по которым проводится проверка;  

· порядок проведения проверки торгово-сервисного предприятия по качеству обслуживания карт, предоставляемых услуг, условий содержания и работоспособности терминалов, хранения чеков (слипов); 

· порядок взаимодействия в случае выявления операции с украденной/ утерянной картой держателя карты или проведения мошеннических транзакций самим торгово-сервисным предприятием; 

· ответственность сторон при выявлении мошеннических операций;  

· условия обязательного обучения кассиров правилам приема и проверки карт, а также методам выявления мошеннических операций и борьбы с ним. 

4.2.11. В договоре между участником (эмитентом) системы и держателем карты должны быть определены основные требования по соблюдению безопасности держателем карты (использование ПИН-кода, лимиты, действия держателя в случае утери карты), а также распределение рисков и ответственности между сторонами при утере/похищении карты, а также в случае выявления мошеннических транзакций.  

 

4.3. Порядок действия при возникновении мошеннических операций в ЗПС  

 

4.3.1. Участник системы на основании отчетов системы о подозрительных операциях, получаемых самостоятельно или от оператора системы, и на основании разработанных им критериев проводит анализ подозрительных транзакций.  

4.3.2. Участник обязан оповестить оператора системы о выявленных им мошеннических транзакциях, совершенных по картам или в торгово-сервисном предприятии, не позднее 3 рабочих дней с момента обнаружения, если:  

· уровень мошеннических транзакций превышает 8% от общего количества транзакций по данной карте или по торгово-сервисному предприятию; 

· карта заявлена как украденная/утерянная, поддельная; 

· торгово-сервисное предприятие нарушало условия договора или к нему применялись штрафные санкции за мошенничество; 

· от держателей карт поступило чрезмерное количество чарджбеков по данному торгово-сервисному предприятию. 

4.3.3. Оператор системы должен ввести полученную информацию в базу данных о мошеннических транзакциях или базу данных о торгово-сервисных предприятиях, подозреваемых в совершении мошеннических операций, и их владельцах, сформировать консолидированный отчет и отправить всем участникам системы и НБКР.  

4.3.4. При рассмотрении вопроса о заключении договора с новым торгово-сервисным предприятием участник системы должен проверить, не было ли с ним ранее расторгнуто соглашение по причине проведения мошеннических транзакций и не предпринимается ли попытка со стороны торгово-сервисного предприятия одновременно подключиться к нескольким участникам -эквайерам. 

4.3.5. Оператор системы на основании полученных от участников данных периодически должен проводить проверку защищенности процессингового центра от мошеннических атак, выявлять узкие места в работе и предпринимать меры для снижения уровня мошенничества.  

5. Форс-мажорные обстоятельства 

 

5.1. К форс-мажорным обстоятельствам относятся обстоятельства непреодолимой силы, не зависящие от воли сторон, такие как пожары, аварии, стихийные бедствия, военные действия и т.п., которые приводят к нарушению штатного функционирования платежной системы.  

5.2. Операторы и участники платежной системы должны иметь территориально удаленный резервный центр для обеспечения быстрого восстановления штатного функционирования платежной системы в случае возникновения форс-мажорных обстоятельств. 

5.3. Территориально удаленный резервный центр должен удовлетворять, как минимум, следующим условиям: 

· условия размещения резервного центра должны соответствовать требованиям безопасности, установленным нормативными правовыми актами НБКР; 

· обеспечить возможность полного дублирования работы основного центра (иметь соответствующие АПК, каналы связи с участниками, подготовленный персонал, бесперебойное энергоснабжение); 

5.4. Операторы и участники платежной системы должны разработать процедуры, регламентирующие в случаях наступления форс-мажорных обстоятельств порядок перевода работы на резервный центр и взаимодействие персонала системы. 

 

6. Отчетность 

 

6.1. Операторы и участники платежной системы должны фиксировать информацию о нештатных ситуациях в журнале регистрации нештатных ситуаций и формировать отчет согласно Приложению 1 настоящего Положения. Отчет передается в НБКР в электронной и бумажной форме: 

· операторами платежной системы СЗПС и оператором национальной системы расчетов платежными картами «Элкарт» - на ежедневной основе;  

· участниками платежной системы - на ежеквартальной основе не позднее 10 числа месяца, следующего за отчетным. 

6.2. Оператор и участники ЗПС формируют отчет по мошенническим транзакциям согласно Приложению 2 настоящего Положения и направляют в НБКР в электронной и бумажной форме не позднее 10 числа месяца, следующего за отчетным.  

6.3. НБКР на регулярной основе осуществляет сбор и обработку информации о состоянии платежной системы, нештатных ситуациях и мошеннических операциях для анализа и оценки степени их воздействия на платежную систему в целом, а также на деятельность оператора и участника системы. В случае существенного влияния на платежную систему НБКР разрабатывает и передает операторам и/или участникам платежных систем рекомендации и предложения по минимизации рисков, осуществляет контроль их исполнения и при необходимости принимает меры воздействия к операторам и/или участникам платежных систем в соответствии с: 

· «Политикой по надзору за платежной системой Кыргызской Республики», утвержденной постановлением Правления НБКР от 23 марта 2006 года № 7/8 «Об утверждении «Политики по надзору за платежной системой Кыргызской Республики», зарегистрированной в МЮ КР 28 апреля 2006 года (регистрационный номер № 48-06); 

· «Правилами осуществления надзора за платежной системой Кыргызской Республики», утвержденными постановлением Правления НБКР от 28 мая 2008 года № 22/11 «Об утверждении «Правил осуществления надзора за платежной системой Кыргызской Республики», зарегистрированной в МЮ КР 04 июля 2008 года (регистрационный номер № 67-08); 

· Положением «О мерах воздействия, применяемых к банкам и некоторым другим финансово-кредитным учреждениям, лицензируемым НБКР», утвержденным постановлением Правления НБКР от 19 мая 2005 года № 16/2 «Об утверждении Положения «О мерах воздействия, применяемых к банкам и некоторым другим финансово-кредитным учреждениям, лицензируемым НБКР», зарегистрированным МЮ КР 24 июня 2005 года (регистрационный номер №78-05). 

 

Приложение 1  

к Положению «Об основных требованиях к функционированию  

платежной системы Кыргызской Республики при возникновении  

нештатных ситуаций в платежной системе» 

 

 

Отчет о нештатных ситуациях в системе 

 

 

 

 

 

 

 

 

Наименование системы: ___________________________________ 

 

 

 

 

 

 

 

Наименование оператора платежной системы: ____________________________________ 

 

 

 

 

 

 

 

 

 

 

 

 

Отчетный период: __________________________________ 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

№ 

Дата и время возникновения сбоя (минуты/часы) 

Дата и время устранения сбоя (минуты/часы) 

 

 

Описание сбоя 

Причина сбоя 

(ПО, аппарат-ное обеспечение и т.д.) 

 

Допустимое время простоя 

(мин) 

Характер сбоя (существенный/несущественный, частичная или полная остановка системы) 

 

Приня-тые меры по устранению сбоя 

 

Влияние технического сбоя на возникновение финансовых рисков (есть/нет) 

Последствия технического сбоя (возникновение убытков в виде штрафных санкций) 

 

 

 

Примечание 

1  

2  

3  

4  

5  

6  

7  

8  

9  

10  

11  

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Руководитель_______________ ________________ Исполнитель ______________ ___________________ ____________ 

(подпись) (ФИО) (подпись) (ФИО) ( тел)  

 

 

 

 

 

 

 

 

 

 

Приложение 2  

к Положению «Об основных требованиях к функционированию  

платежной системы Кыргызской Республики при возникновении  

нештатных ситуаций в платежной системе» 

 

 

Отчет о мошеннических транзакциях в системе 

 

за ____________ месяц 20___ г. 

 

 

 

 

 

Вид платежной системы ________________________ Оператор платежной системы ________________________  

 

Участник системы: __________________________________________  

 

№ 

Наименование 

торгово-сервисного предприятия (ТСП) и  

№ терминала 

Профиль ТСП  

Наименова-ние участника системы -эквайера 

№ карты 

Наименова-ние участника системы -эмитента 

Валюта транзак-ции 

Сумма транзакции 

Дата и время транзакции 

Тип транзакции 

Описа-ние транзакции 

Общее количество транзакций по данно-му ТСП 

% мошенничес-ких транзакций к общему количе-ству  

1  

2  

3  

4  

5  

6  

7  

8  

9  

10  

11  

12  

13  

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Руководитель_______________ ________________ Исполнитель ______________ ___________________ ____________ 

(подпись) (ФИО) (подпись) (ФИО) ( тел)  

 

 

 

Зарегистрировано в Министерстве юстиции Кыргызской Республики 

19 марта 2009 года. Регистрационный номер 34-09 

 

г.Бишкек 

от 11 февраля 2009 года N 7/3 

 

ПОСТАНОВЛЕНИЕ ПРАВЛЕНИЯ НАЦИОНАЛЬНОГО БАНКА 

КЫРГЫЗСКОЙ РЕСПУБЛИКИ 

 

О внесении изменений и дополнения в Постановление 

Правления Национального банка Кыргызской Республики 

от 19 марта 2005 г. N 6/2 "Об утверждении новой 

редакции Положения "О Комитете по надзору НБКР", 

зарегистрированное в Министерстве юстиции 

Кыргызской Республики 21 апреля 2005 г., 

регистрационный номер 55-05 

 

В соответствии со статьей 43 Закона Кыргызской Республики "О Национальном банке Кыргызской Республики", Правление Национального банка Кыргызской Республики постановляет: 

1. Внести в постановление Правления Национального банка Кыргызской Республики от 19 марта 2005 г. N 6/2 "Об утверждении новой редакции Положения "О Комитете по надзору НБКР", зарегистрированное в Министерстве юстиции Кыргызской Республики 21 апреля 2005 г., регистрационный номер 55-05 изменения и дополнение согласно приложению к настоящему постановлению. 

2. Управлению методологии надзора и лицензирования совместно с Юридическим отделом в установленном порядке направить настоящее постановление на государственную регистрацию в Министерство юстиции Кыргызской Республики. 

3. Настоящее постановление вступает в силу после государственной регистрации в Министерстве юстиции Кыргызской Республики и последующего официального опубликования. 

 

Опубликовано в журнале "Нормативные акты Национального банка Кыргызской Республики", N 2009/4 

 

4. После опубликования зарегистрированного нормативного правового акта Юридическому отделу информировать Министерство юстиции Кыргызской Республики об источнике опубликования (наименование издания, его номер и дата). 

5. Контроль за исполнением настоящего постановления возложить на заместителя Председателя НБКР Боконтаева К.К. 

 

Председатель Правления Национального 

банка Кыргызской Республики М.Алапаев 

 

 

Приложение 

к постановлению Правления 

Национального банка 

Кыргызской Республики 

от 11 февраля 2009 года N 7/3 

 

ИЗМЕНЕНИЯ И ДОПОЛНЕНИЯ 

в постановление Правления Национального банка 

Кыргызской Республики от 19 марта 2005 г. N 6/2 

"Об утверждении новой редакции Положения 

"О Комитете по надзору НБКР", зарегистрированное 

в Министерстве юстиции Кыргызской Республики 

от 21 апреля 2005 г., регистрационный номер 55-05 

 

Внести в Положение "О Комитете по надзору Национального банка Кыргызской Республики", утвержденное постановлением Правления Национального банка Кыргызской Республики от 19 марта 2005 г. N 6/2 "Об утверждении новой редакции Положения "О Комитете по надзору НБКР", зарегистрированное в Министерстве юстиции Кыргызской Республики 21 апреля 2005 г., регистрационный номер 55-05 следующие изменения и дополнение: 

1. Подпункт в) пункта 2.2. изложить в следующей редакции: 

"в) согласование на должности председателя правления банка и заместителя(ей) председателя правления, отвечающего(их) за кредитную деятельность, руководителя службы (отдела) внутреннего аудита, главного бухгалтера". 

2. Подпункт д) пункта 2.2. изложить в следующей редакции: 

"д) предварительное согласование нового наименования банка". 

3. Пункт 2.2. дополнить подпунктом л) следующего содержания: 

"л) внесение изменений в пороговые значения критериев и/или введение новых/упразднение действующих критериев значимости банков;". 

4. Подпункт л) пункта 2.2. считать подпунктом м) соответственно. 

 

Постановление Правления НБКР № 7\4 от 11.02.2009 г. 

Регистрационный номер МЮ КР № 32-09 от 19.03.2009 г. 

 

Об утверждении Положения «Об узле коллективного пользования SWIFT» 

 

В соответствии со статьями 7 и 43 Закона Кыргызской Республики «О Национальном банке Кыргызской Республики», Правление Национального банка Кыргызской Республики постановляет: 

 

8. Утвердить Положение «Об узле коллективного пользования SWIFT» согласно приложению к настоящему постановлению. 

9. Признать утратившим силу постановление Правления НБКР от 5 июня 2002 года № 24/8 « О Положении «Об узле коллективного пользования SWIFT (УКП SWIFT)». 

10. Управлению платежных систем совместно с Юридическим отделом в установленном порядке направить настоящее постановление на государственную регистрацию в Министерство юстиции Кыргызской Республики. 

11. Настоящее постановление вступает в силу после государственной регистрации в Министерстве юстиции Кыргызской Республики и последующего официального опубликования. 

12. После опубликования зарегистрированного нормативного правового акта Юридическому отделу информировать Министерство юстиции Кыргызской Республики об источнике опубликования (наименование издания, его номер и дата). 

13. Управлению платежных систем довести настоящее постановление до сведения коммерческих банков Кыргызской Республики. 

14. Контроль за исполнением настоящего постановления возложить на заместителя Председателя Национального банка Кыргызской Республики Чокоева З.Л. 

 

Председатель Алапаев М.О. 

Утверждено 

постановлением Правления 

Национального банка Кыргызской Республики 

№ 7\4 от 11.02.2009 г. 

(рег. номер МЮ КР № 32-09 от 19.03.2009 г.) 

 

 

Положение «Об узле коллективного пользования SWIFT» 

 

1. Общие положения 

 

1.1. Настоящее Положение разработано в соответствии с: 

· законами Кыргызской Республики «О Национальном банке Кыргызской Республики», «О банках и банковской деятельности в Кыргызской Республике»; 

· Политикой по надзору за платежной системой Кыргызской Республики, утвержденной постановлением Правления Национального банка Кыргызской Республики (далее НБКР) от 23 марта 2006 года №7/8 «Об утверждении «Политики по надзору за платежной системой Кыргызской Республики», зарегистрированной в Министерстве юстиции Кыргызской Республики (далее МЮ КР) 28 апреля 2006 года (регистрационный номер № 48-06);  

· Правилами осуществления надзора за платежной системой Кыргызской Республики, утвержденными постановлением Правления НБКР от 28 мая 2008 года № 22/11 «Об утверждении «Правил осуществления надзора за платежной системой Кыргызской Республики», зарегистрированные в МЮ КР 04 июля 2008 года (регистрационный номер № 67-08).  

1.2. SWIFT (Society for Worldwide Interbank Financial Telecommunication) - сообщество всемирных межбанковских финансовых телекоммуникаций. Телекоммуникационная сеть SWIFT обеспечивает надежную и безопасную передачу данных и сообщений для проведения трансграничных и внутренних платежей между членами сообщества SWIFT. 

1.3. Настоящее Положение определяет основные понятия и принципы функционирования Узла коллективного пользования SWIFT (далее УКП SWIFT), а также основные требования к подключению и доступу пользователей к интерфейсам SWIFT и предоставлению оператором УКП SWIFT услуг по поддержке УКП SWIFT.  

1.4. УКП SWIFT представляет собой аппаратно-программный комплекс, обеспечивающий пользователям доступ к телекоммуникационной сети SWIFT.  

1.5. Оператором УКП SWIFT, осуществляющим поддержку и функционирование УКП SWIFT, является НБКР. Услуги оператора УКП SWIFT могут быть переданы другой организации при выполнении ею требований, установленных настоящим Положением, а также в соответствии с правилами и условиями SWIFT. 

1.6. Пользователями УКП SWIFT являются банки - члены сообщества SWIFT, использующие техническую инфраструктуру оператора УКП SWIFT. 

1.7. Взаимоотношения пользователей в процессе функционирования и эксплуатации УКП SWIFT, распределение рисков, ответственность, права и обязанности устанавливаются в многостороннем соглашении и/или двухсторонних договорах, заключенных между пользователями и оператором УКП SWIFT (далее договора). 

 

 

2. Основные принципы функционирования УКП SWIFT 

 

2.1. Поддержка и функционирование УКП SWIFT обеспечивается оператором УКП SWIFT совместно с провайдерами связи и передачи данных. При этом:  

1) оператор УКП SWIFT обеспечивает поддержку и функционирование программного обеспечения (далее ПО), оборудования интерфейса SWIFT и сетевого оборудования в соответствии с договорами; 

2) провайдеры связи и передачи данных обеспечивают поддержку и функционирование каналов связи УКП SWIFT в соответствии с условиями, установленными в договоре между оператором УКП SWIFT и провайдером связи. 

2.2. Техническая инфраструктура УКП SWIFT включает в себя: 

1) аппаратно-программный комплекс оператора УКП SWIFT (основной и резервный) с подключением шифровального оборудования;  

2) телекоммуникационное оборудование и каналы связи (основной и резервный) от Пользователей до оператора УКП SWIFT и до точки доступа к сети SWIFT. 

2.3. Обслуживание технической инфраструктуры УКП SWIFT осуществляется специалистами по сопровождению оператора УКП SWIFT (далее персонал УКП SWIFT). 

2.4. Функционирование УКП SWIFT обеспечивается: 

1) технической инфраструктурой УКП SWIFT; 

2) персоналом УКП SWIFT; 

3) правилами и рекомендациями, регулирующими работу с телекоммуникационной сетью SWIFT, разработанными сообществом SWIFT (далее документы SWIFT); 

4) нормативными документами, регулирующими работу с УКП SWIFT, разработанными НБКР (далее нормативные документы НБКР);  

5) договорами. 

2.5. Оператор УКП SWIFT предоставляет пользователям услуги в пределах полученных лицензий на использование ПО интерфейса SWIFT.  

2.6. Доступ пользователей к интерфейсу SWIFT осуществляется через рабочие станции SWIFT (далее терминалы SWIFT). Поддержка и функционирование соответствующего терминала SWIFT обеспечивается персоналом по сопровождению каждого пользователя самостоятельно.  

2.7. Взаимодействие пользователей с персоналом УКП SWIFT по организационным вопросам осуществляется через координатора УКП SWIFT. 

2.8. Координатор и персонал УКП SWIFT назначаются внутренними документами оператора УКП SWIFT и включают основной и дублирующий состав. В случае отсутствия какого-либо специалиста основного состава его функции должен выполнять специалист из дублирующего состава. 

2.9. Персонал УКП SWIFT должен включать следующих специалистов: 

1) системного администратора;  

2) администратора ПО интерфейса SWIFT; 

3) сетевого администратора; 

4) администратора безопасности УКП SWIFT. 

Основные функции координатора и персонала УКП SWIFT приведены в Приложении 1 к настоящему Положению. 

2.10. Координатор и персонал УКП SWIFT не имеют доступа к терминалам SWIFT пользователя и не несут ответственности за формирование и отправку SWIFT сообщений пользователя.  

2.11. Каждый пользователь должен иметь основной и дублирующий состав специалистов SWIFT, выполняющих функции по формированию и отправке сообщений по сети SWIFT согласно требованиям SWIFT. Состав специалистов SWIFT и распределение их функций (ролей) по отправке сообщений в SWIFT утверждается внутренними документами пользователя. 

2.12. Пользователь несет ответственность за все риски, связанные с операционной деятельностью специалистов SWIFT при формировании и отправке SWIFT сообщений (ошибки специалистов, несанкционированный доступ, мошенничество и т.д.). 

2.13. Регламент, порядок проведения работ и взаимодействия персонала УКП SWIFT и пользователей, условия подключения, расчёт стоимости услуг и порядок оплаты, распределение ответственности сторон устанавливаются в договорах между оператором УКП SWIFT и пользователями с учетом настоящего Положения. 

 

3. Основные требования по обеспечению безопасности и надёжности функционирования УКП SWIFT 

 

3.1. Безопасность и надёжность функционирования УКП SWIFT должны обеспечиваться в соответствии со следующими принципами: 

1) защита от операционных рисков и рисков среды функционирования; 

2) конфиденциальность и целостность данных пользователей;  

3) непрерывность доступа пользователей к интерфейсу SWIFT

3.2. Защита от операционных рисков и рисков среды функционирования должны обеспечиваться наличием: 

1) основного и дублирующего персонала с достаточной квалификацией для обеспечения поддержки и функционирования УКП SWIFT; 

2) отдельной локальной сети для терминалов SWIFT пользователей; 

3) резервного аппаратного и программного обеспечения интерфейса SWIFT; 

4) резервного канала связи; 

5) оборудования по обеспечению бесперебойного электрического питания; 

6) средств по защите от несанкционированного доступа пользователей и персонала УКП SWIFT к интерфейсу SWIFT; 

7) специального помещения с ограниченным доступом и оборудованным охранно-пожарной сигнализацией. 

3.3. Конфиденциальность и целостность данных пользователей (информация входящих/исходящих сообщений, шифровальных и идентификационных ключей и т.п.) должны обеспечиваться наличием: 

1) разграничения доступа каждого специалиста SWIFT пользователя к интерфейсу SWIFT строго в соответствии с документами SWIFT;  

2) строгого распределения ответственности персонала УКП SWIFT по обеспечению конфиденциальности и целостности данных пользователей в соответствии с внутренними документами оператора УКП SWIFT; 

3) проведения ежедневного контроля со стороны оператора УКП SWIFT за технологическим процессом эксплуатации УКП SWIFT (контроль за соблюдением процедур формирования и отправки сообщений, конфиденциальности, хранения данных, несанкционированного доступа к ним) и оперативное реагирование по выявленным нарушениям.  

3.4. Оператор УКП SWIFT предоставляет пользователям одинаковый уровень защиты конфиденциальности, целостности данных и доступности к интерфейсу SWIFT. 

3.5. Непрерывность доступа пользователей к интерфейсу SWIFT должна обеспечиваться круглосуточным функционированием УКП SWIFT за исключением времени выполнения регламентных работ и периода времени восстановления в случаях возникновения нештатной ситуации в функционировании комплекса УКП SWIFT согласно условиям договоров.  

3.6. При возникновении нештатной ситуации в функционировании комплекса УКП SWIFT оператор УКП SWIFT уведомляет об этом пользователей в соответствии со сроками и условиями договоров. 

3.7. При необходимости приёма/передачи срочных платежей, до устранения причины возникновения нештатной ситуации пользователи должны использовать альтернативные каналы передачи данных в соответствии с условиями договоров.  

 

4. Основные требования по подключению пользователей к УКП SWIFT  

 

4.1. Подключение пользователей к УКП SWIFT осуществляет оператор УКП SWIFT.  

4.2. Основными требованиями для подключения пользователя к УКП SWIFT являются: 

1) вступление в члены сообщества SWIFT (осуществляется банком самостоятельно в соответствии с процедурами, предусмотренными сообществом SWIFT); 

2) заключение с оператором УКП SWIFT договора на подключение к УКП SWIFT и его эксплуатации; 

3) установка и подключение терминала SWIFT, включающее проведение следующих мероприятий: 

1) закупка и установка оборудования терминала SWIFT с программным обеспечением SWIFT, в соответствии с документами SWIFT и условиями договора на подключение к УКП SWIFT и его эксплуатации;  

2) организация для работы терминала SWIFT с интерфейсом SWIFT отдельной сети, независимой от общей локальной сети банка;  

3) обеспечение безопасной среды функционирования терминала SWIFT (специальное помещение с ограниченным доступом и оборудованным охранно-пожарной сигнализацией и др.); 

4) организация альтернативного средства передачи данных в качестве резервного для обеспечения отправки/получения сообщений при возникновении нештатных ситуаций в работе УКП SWIFT, либо обязательная установка такого средства в случае его отсутствия; 

5) установка основного и резервного каналов связи от терминала SWIFT к УКП SWIFT с использованием выделенной линии, обеспечивающей передачу данных в соответствии с условиями договора на подключение к УКП SWIFT и его эксплуатации; 

6) обучение персонала работе с интерфейсом SWIFT; 

7) проведение тест-тренингового режима работы терминала SWIFT; 

8) ввод в промышленную эксплуатацию терминала SWIFT. 

4.3. В случае не соблюдения пользователем основных требований для подключения к УКП SWIFT оператор УКП SWIFT, предварительно уведомив пользователя, может приостановить действия по подключению к УКП SWIFT и не несет ответственности за возможные последствия. 

 

5. Основные требования по предоставлению доступа пользователей 

к интерфейсу SWIFT 

 

5.1. Для получения доступа к интерфейсу SWIFT пользователь должен соблюдать следующие требования:  

1) назначить состав специалистов SWIFT, которые непосредственно должны принимать участие в эксплуатации УКП SWIFT;  

2) распределить права доступа к интерфейсу SWIFT и ответственность каждого специалиста строго в соответствии с документами SWIFT;  

3) обеспечивать соответствующий уровень защиты информации терминала SWIFT от несанкционированного доступа;  

4) обеспечивать поддержку и функционирование терминала SWIFT и нести ответственность за все риски, связанные со сбоями оборудования, ПО, каналов связи терминала SWIFT, операционной деятельностью персонала (ошибки операторов, несанкционированный доступ, мошенничество);  

5) разработать и утвердить внутренние процедуры формирования и отправки сообщений, соблюдения конфиденциальности, хранения данных и предотвращения несанкционированного доступа к ним в соответствии с нормативными документами SWIFT, НБКР и договорами, а также порядок работы персонала при возникновении нештатных ситуаций в процессе эксплуатации терминала SWIFT; 

6) поддерживать в рабочем состоянии резервное средство передачи данных для обеспечения отправки/получения сообщений при возникновении нештатных ситуаций в работе УКП SWIFT; 

7) предоставлять условия и необходимую информацию оператору УКП SWIFT для проведения технической экспертизы терминала SWIFT и каналов связи на соответствие настоящим требованиям. 

5.2. Для обеспечения соответствующего уровня защиты информации необходимо, чтобы: 

1. распределение обязанностей персонала, имеющих доступ к терминалу SWIFT, осуществлялось в соответствии с документами SWIFT; 

2. осуществлялся систематический контроль со стороны оператора УКП SWIFT и пользователя за выполнением требований предоставления доступа персонала к терминалу SWIFT в соответствии с установленными внутренними процедурами пользователя; 

3. было предусмотрено для пользователей шифрование трафика от терминала SWIFT до УКП SWIFT. 

5.3. В случае нарушения данных требований оператор УКП SWIFT, предварительно уведомив пользователя, может приостановить доступ пользователя к интерфейсу SWIFT и не несет ответственности за возможные последствия. 

 

Приложение 1 

к Положению «Об узле коллективного  

пользования SWIFT»,  

утверждённого постановлением  

Правления НБКР №_______ 

от «____» _________ 2009 г.  

 

Функции координатора и персонала УКП SWIFT 

 

1. Координатор УКП SWIFT не имеет доступа к интерфейсу SWIFT, выполняет функции мониторинга работы УКП SWIFT и координирует взаимодействие пользователей и персонала УКП SWIFT. Данные функции включают:  

1) координацию процесса заключения договоров с поставщиками услуг УКП SWIFT, контроль за исполнением договоров по организационным моментам; 

2) координацию работ по разработке и совершенствованию нормативной базы, регулирующей порядок работы УКП SWIFT; 

3) анализ рисков в УКП SWIFT; 

4) организацию встреч персонала, обслуживающего УКП SWIFT и пользователей для совместного решения возникших проблем при работе, по мере необходимости; 

5) сверку текущих расходов по оплате за SWIFT, в соответствии с договорами и тарифами на услуги, подготовку распоряжений на оплату, подготовку предложений по расходам УКП SWIFT; 

6) предоставление интересующим сторонам информации о работе УКП SWIFT, по мере необходимости; 

7) сбор и анализ информации по вопросу подключения коммерческих банков к УКП SWIFT и по мере необходимости, разработку мероприятий по их подключению; 

8) разработку предложений по развитию УКП SWIFT.  

2. Системный администратор не имеет доступа к интерфейсу SWIFT, осуществляет администрирование операционной системы серверного оборудования. Администрирование операционной системы серверного оборудования включает в себя выполнение следующих функциональных обязанностей: 

1) проведение инсталляций операционной системы серверов SWIFT, пакетов обновления (Patches) системы и сопутствующего программного обеспечения, необходимого для работы серверов и дискового массива SWIFT; 

2) контроль за состоянием и функционированием операционной системы и аппаратной части серверов и дискового массива SWIFT; 

3) восстановление работоспособности серверов, дискового массива SWIFT и операционной системы в случае возникновения нештатной ситуации в соответствии с внутренними процедурами восстановления; 

4) предоставление доступа к серверам для администраторов в соответствии с необходимым уровнем; 

5) контроль за сохранностью информации на серверах и дисковом массиве SWIFT; 

6) периодическое выполнение резервного копирования информации и операционной системы в соответствии с процедурами резервного копирования, установленными оператором УКП SWIFT и должностной инструкцией системного администратора; 

7) обеспечение безопасности и защита от несанкционированного доступа к системе и информации; 

8) планирование развития аппаратных и системных программных средств; 

9) ведение документации, описывающей состояние серверов применительно к системному администрированию, сбор статистики по использованию серверных ресурсов; 

10) оптимизация производительности серверов; 

11) владение административными паролями и исключение возможности доступа к ним другим лицам в соответствии с процедурой передачи и хранения административных паролей; 

3. Администратор ПО интерфейса SWIFT имеет доступ к интерфейсу SWIFT-, осуществляет инсталляцию и сопровождение аппаратно-программного комплекса (АПК)SWIFT и выполняет следующие функции: 

1) инсталляция и администрирование системного и прикладного программного обеспечения клиентской части программного обеспечения SWIFT; 

2) контроль за состоянием и функционированием ПО SWIFT; 

3) восстановление работоспособности ПО SWIFT, в случае возникновения нештатных ситуаций, в соответствии с внутренней процедурой восстановления совместно с системным администратором; 

4) периодическое выполнение архивирования ПО, базы данных приложения, журнала событий, базы данных сообщений SWIFT в соответствии с процедурами создания архивов, установленными оператором УКП SWIFT и должностной инструкцией администратора ПО интерфейса SWIFT; 

5) формирование различных отчетов о функционировании интерфейса SWIFT, каналов связи УКП SWIFT и т.д.; 

6) контроль журнала событий интерфейса SWIFT. 

4. Сетевой администратор не имеет доступа к интерфейсу SWIFT, осуществляет администрирование сетевого и коммуникационного оборудования УКП SWIFT и выполняет следующие функции: 

1) установка и настройка сетевого оборудования локальной сети УКП SWIFT; 

2) установка и настройка коммуникационного оборудования УКП SWIFT; 

3) контроль за состоянием сетевого и коммуникационного оборудования и восстановление работоспособности в случаях возникновения нештатной ситуации; 

4) поддержка и настройка модемов SWIFT, обеспечение бесперебойной работы основного и резервного каналов связи. В случае необходимости перевод системы с основной на резервную линию связи. 

5) обеспечение информационной безопасности УКП SWIFT на сетевом уровне интерфейса SWIFT. 

5. Администратор безопасности УКП SWIFT имеет доступ к интерфейсу SWIFT, осуществляет обеспечение конфиденциальности и безопасности доступа пользователей к интерфейсу SWIFT и выполняет следующие функции: 

1) Офицера безопасности АПК УКП SWIFT при инсталляции и/или изменении конфигурации АПК УКП SWIFT, а также при работе с криптографическим оборудованием SWIFT и обслуживанием необходимых сертификатов УКП SWIFT; 

2) осуществляет регистрацию новых пользователей в АПК УКП SWIFT и новых ролей в соответствии с требованиями, установленными в нормативных документах SWIFT относительно соблюдения режима информационной безопасности при формировании и отправке сообщений через SWIFT; 

3) осуществляет разграничение полномочий и обеспечение конфиденциальности данных пользователей и администраторов УКП SWIFT в соответствии с их ролями и функциями, выполняемыми в SWIFT; 

4) осуществляет контроль обеспечения информационной безопасности и защиты от несанкционированного доступа в АПК УКП SWIFT; 

5) проводит ежедневный мониторинг системных журналов и контроль за работой пользователей (включая контроль за соблюдением процедур формирования и отправки сообщений, конфиденциальности, хранения данных, несанкционированного доступа к ним) и администраторов УКП SWIFT согласно установленным процедурам по соблюдению информационной безопасности при работе с интерфейсом SWIFT;  

6) по обнаруженным фактам нарушений проводит работу по установлению их причины;  

7) оперативно предоставляет пользователям информацию по выявленным нарушениям в процессе работы с интерфейсом SWIFT;  

8) разрабатывает нормативные акты, инструкции, требования по соблюдению информационной безопасности при работе с интерфейсом SWIFT;  

9) разрабатывает требования к каналам связи и коммуникациям, обеспечивающим безопасность работы пользователей c интерфейсом SWIFT. 

6. Координатор и персонал УКП SWIFT в своей деятельности руководствуются документами SWIFT, нормативными правовыми актами НБКР, внутренними процедурами оператора УКП SWIFT и договорами.