Приложение 

к постановлению Правления 

Национального банка 

Кыргызской Республики 

от 19 декабря 2018 года 

№ 2018-П-36/55-10-(НПА) 

ПОЛОЖЕНИЕ 

о сервис-бюро СВИФТ Национального банка Кыргызском Республики 

1. Общие положения 

1. Настоящее Положение определяет основные понятия и принципы функционирования сервис-бюро СВИФТ (далее - сервис-бюро) Национального банка Кыргызской Республики (далее - Национальный банк), а также основные требования к подключению и доступу коммерческих банков (далее - Участники) к SWIFTNet через сервис-бюро и поддержке Участников. 

2. Сервис-бюро представляет собой совокупность инфраструктуры коллективного доступа к SWIFTNet с соответствующим персоналом (далее - персонал сервис-бюро), поддерживающим данную инфраструктуру и обеспечивающим взаимодействие Участников с SWIFTNet. 

3. SWIFT (Society for Worldwide Interbank Financial Telecommunication) - сообщество всемирных межбанковских финансовых телекоммуникаций. Телекоммуникационная сеть SWIFTNet обеспечивает надежную и безопасную передачу данных и сообщений для проведения трансграничных и внутренних платежей между пользователями системы SWIFT. 

4. Оператором сервис-бюро, осуществляющим поддержку и функционирование инфраструктуры коллективного доступа в систему SWIFT, является Национальный банк. Функции оператора сервис-бюро могут быть переданы другой организации, при выполнении требований, установленных настоящим Положением, а также в соответствии с правилами и требованиями SWIFT. 

5. Персонал сервис-бюро - это сотрудники структурного подразделения Национального банка. Сотрудники сервис-бюро в соответствии с требованием SWIFT проходят соответствующую сертификацию. 

6. Участниками сервис-бюро являются банки - члены сообщества SWIFT, использующие техническую инфраструктуру сервис-бюро для доступа к SWIFTNet. 

7. Взаимоотношения Участников сервис-бюро в процессе функционирования сервис-бюро и эксплуатации инфраструктуры коллективного доступа в SWIFTNet, распределение рисков, ответственность, права и обязанности устанавливаются в многостороннем соглашении и двухсторонних договорах, заключенных между Участниками и оператором сервис-бюро (далее - договора). 

2. Основные принципы функционирования сервис-бюро 

8. Поддержка и функционирование инфраструктуры коллективного доступа к SWIFTNet обеспечивается сервис-бюро совместно с провайдерами связи - сетевыми партнерами компании SWIFT. При этом: 

1) сервис-бюро обеспечивает поддержку и функционирование программного обеспечения (далее - ПО), оборудования интерфейса/сервера SWIFT и сетевого оборудования (далее - инфраструктура сервис-бюро), находящегося в зоне ответственности сервис-бюро в соответствии с договорами; 

2) провайдеры связи обеспечивают поддержку и функционирование каналов связи сервис-бюро в соответствии с условиями, установленными в договоре между оператором сервис-бюро и провайдером связи. 

9. Техническая инфраструктура сервис-бюро включает в себя: 

1) серверное оборудование (основное и резервное); 

2) сетевое оборудование; 

3) каналы связи (основной и резервный) от сервис-бюро до провайдера связи SWIFT. 

10. Обслуживание и поддержка технической инфраструктуры сервис-бюро осуществляется персоналом сервис-бюро. 

11. Функционирование сервис-бюро обеспечивается: 

1) технической инфраструктурой коллективного доступа к SWIFTNet; 

2) персоналом сервис-бюро; 

3) правилами и рекомендациями, регулирующими работу в SWIFTNet, разработанными SWIFT (далее - документы SWIFT); 

4) нормативными правовыми актами Национального банка; 

5) договорами. 

12. Сервис-бюро предоставляет Участникам услуги в пределах полномочий, представленных со стороны SWIFT и Национального банка. 

13. Существует два способа подключения Участников к сервис-бюро: 

1) с использованием инфраструктуры сервис-бюро для работы в сети SWIFTNet - Access connection; 

2) с использованием собственных серверов и инфраструктуры сервис-бюро - Gateway connection. 

14. В случае использования инфраструктуры сервис-бюро (Access connection) для работы в системе SWIFT доступ Участника к интерфейсу осуществляется через рабочие станции (далее - терминалы SWIFT) с использованием браузера. Поддержка и функционирование соответствующего терминала SWIFT на стороне Участника обеспечивается специалистами по сопровождению каждого Участника самостоятельно. 

15. В случае использования собственных серверов (Gateway connection) для работы в системе SWIFT доступ Участника к сети SWIFTNet осуществляется через терминалы SWIFT, подключенные к собственным серверам SWIFT. Поддержка и функционирование соответствующих серверов и терминалов SWIFT обеспечивается персоналом по сопровождению каждого Участника самостоятельно. 

16. По всем вопросам касательно системы SWIFT Участники должны обращаться к персоналу сервис-бюро. В случае, если вопрос не будет в компетенции персонала сервис-бюро, то данный вопрос должен быть перенаправлен в Службу поддержки SWIFT от имени Участника. 

17. Сервис-бюро не имеет доступа к терминалам/серверам SWIFT Участника и не несет ответственности за формирование и отправку SWIFT-сообщений Участника. 

18. Персонал сервис-бюро в своей деятельности руководствуется документами SWIFT, нормативными правовыми актами Национального банка, внутренними процедурами и договорами. 

19. Каждый Участник должен иметь основной и дублирующий состав специалистов в системе SWIFT, выполняющих функции по формированию и отправке сообщений в сети SWIFTNet, согласно требованиям и рекомендациям SWIFT. Состав специалистов и распределение их функций (ролей) по отправке сообщений в системе SWIFT утверждается внутренними документами Участника. 

20. Участник несет ответственность за все риски, связанные с операционной деятельностью своих специалистов при формировании и отправке SWIFT-сообщений (ошибки специалистов, несанкционированный доступ, мошенничество и т.д.). 

21. Регламент, порядок проведения работ и взаимодействия персонала сервис-бюро и Участников, условия подключения, требования по доступности услуг, расчет стоимости услуг и порядок оплаты, распределение ответственности сторон устанавливаются в договорах между оператором сервис-бюро и Участниками с учетом настоящего Положения. 

22. Деятельность сервис-бюро подлежит обязательной сертификации по программе Shared Infrastructure Program, разработанной и утвержденной компанией SWIFT для организаций, предоставляющих услуги подключения других участников к SWIFTNet через общую инфраструктуру коллективного доступа. 

3. Основные требования по обеспечению безопасности и надежности функционирования инфраструктуры сервис-бюро 

23. Безопасность и надежность функционирования сервис-бюро должны обеспечиваться в соответствии со следующими принципами: 

1) защитой от операционных рисков и рисков среды функционирования; 

2) конфиденциальностью и целостностью данных Участников, подключенных к SWIFTNet через инфраструктуру сервис-бюро по схеме Access connection; 

3) непрерывностью доступа Участников к SWIFTNet; 

4) ежегодным аудитом/самооценкой на соответствие требованиям компании SWIFT. 

24. Защита от операционных рисков и рисков среды функционирования должна обеспечиваться наличием: 

1) основного и дублирующего персонала с достаточной квалификацией для обеспечения поддержки и функционирования инфраструктуры сервис-бюро; 

2) отдельного сегмента локальной сети для терминалов/серверов SWIFT Участников; 

3) основного и резервного серверного и сетевого оборудования, расположенных друг от друга на удаленном расстоянии; 

4) основного и резервного каналов связи до провайдера связи SWIFT; 

5) специального серверного помещения с ограниченным доступом, видеонаблюдением и оборудованным охранно-пожарной сигнализацией; 

6) соответствующего оборудования по обеспечению бесперебойного электрического питания; 

7) средств по защите от несанкционированного доступа Участников и персонала сервис-бюро к интерфейсу/серверу SWIFT. 

25. Конфиденциальность и целостность данных Участников (информация входящих/исходящих сообщений, шифровальных и идентификационных ключей и т.п.) должны обеспечиваться наличием: 

1) разграничения доступа каждого пользователя SWIFT Участника к терминалу/серверу SWIFT в соответствии с документами SWIFT; 

2) распределения ответственности персонала сервис-бюро по обеспечению конфиденциальности и целостности данных Участников в соответствии с внутренними процедурами сервис-бюро; 

3) проведения ежедневного мониторинга со стороны сервис-бюро за функционированием инфраструктуры сервис-бюро (конфиденциальности, хранения данных, несанкционированного доступа к ним) и оперативного реагирования по выявленным ошибкам и сбоям; 

4) регулярного проведения тестирования на выявление уязвимостей (не реже одного раза в квартал) в инфраструктуре сервис-бюро, а также, при необходимости, привлечения независимой организации для проведения работ по тестированию и выявлению уязвимостей (не реже одного раза в год). 

26. Бесперебойность доступа Участников к сервису SWIFTNet должна обеспечиваться круглосуточным функционированием инфраструктуры сервис-бюро, за исключением времени выполнения регламентных работ и периода времени восстановления (максимальное время простоя системы - 4 (четыре) часа). 

27. При возникновении нештатной ситуации в функционировании инфраструктуры сервис-бюро персонал сервис-бюро уведомляет об этом Участников в соответствии с условиями договоров. 

28. При необходимости приема/передачи срочных платежей, до устранения причины возникновения нештатной ситуации, Участники должны использовать альтернативные каналы передачи данных в соответствии с условиями договоров. 

29. Персонал сервис-бюро осуществляет техническую поддержку Участников в режиме 8/5 (восемь часов в день, пять рабочих дней в неделю). 

4. Основные требования по подключению Участников к SWIFTNet через сервис-бюро 

30. Подключение Участников к сервису SWIFTNet через сервис-бюро осуществляет персонал сервис-бюро. 

31. Основными требованиями для подключения Участника к сервис-бюро являются: 

1) вступление в члены сообщества SWIFT; 

2) заключение с оператором сервис-бюро договора на подключение к сервис-бюро; 

3) установка и подключение терминала SWIFT (Access connection)/сервера SWIFT (Gateway connection), включающее проведение следующих мероприятий: 

- подготовка терминала SWIFT (Access connection)/сервера SWIFT (Gateway connection) для подключения к сервису SWIFTNet в соответствии с документами SWIFT и условиями договора на подключение к сервис-бюро SWIFT; 

- организация для работы терминала SWIFT (Access connection)/сервера SWIFT (Gateway connection) с интерфейсом/сервером SWIFT, находящимся в сервис-бюро в отдельной подсети, независимой от общей локальной сети Участника; 

- обеспечение безопасной среды функционирования терминала SWIFT (Access connection)/сервера SWIFT (Gateway connection) (специальное помещение с ограниченным доступом и оборудованным охранно-пожарной сигнализацией и др.); 

- наличие альтернативного канала передачи данных в качестве резервного для обеспечения отправки/получения сообщений при возникновении нештатных ситуаций в работе инфраструктуры сервис-бюро либо обязательная установка такого средства в случае его отсутствия; 

- наличие основного и резервного каналов связи с шифрованием от терминала SWIFT (Access connection)/сервера SWIFT (Gateway connection) до основного и резервного сайтов сервис-бюро, обеспечивающих передачу данных; 

- обучение сотрудников, непосредственно работающих в системе SWIFT; 

- по готовности инфраструктуры и персонала Участника автоматизированная система SWIFT вводится в опытную эксплуатацию на основании акта приема; 

- проведение тест-тренингового режима работы терминала SWIFT (Access connection)/сервера SWIFT (Gateway connection); 

- ввод в промышленную эксплуатацию автоматизированной системы SWIFT Участника. 

32. В случае несоблюдения Участником основных требований для подключения к инфраструктуре сервис-бюро оператор сервис-бюро, предварительно уведомив Участника, может приостановить действия по подключению к сервис-бюро и не несет ответственности за возможные последствия. 

5. Основные требования по предоставлению доступа Участников к терминалу (Access connection)/серверу SWIFT (Gateway connection) 

33. Для получения доступа к системе SWIFT Участник должен соблюдать следующие требования: 

1) назначить состав специалистов Участника, которые непосредственно должны принимать участие в эксплуатации системы SWIFT; 

2) распределить права доступа к системе SWIFT и ответственность каждого специалиста строго в соответствии с документами SWIFT; 

3) обеспечивать соответствующий уровень защиты информации терминала SWIFT (Access connection)/сервера SWIFT (Gateway connection) от несанкционированного доступа; 

4) обеспечивать поддержку и функционирование терминала SWIFT (Access connection)/сервера SWIFT (Gateway connection) и нести ответственность за все риски, связанные со сбоями оборудования, программного обеспечения, каналов связи, операционной деятельностью специалистов (ошибки сотрудников, несанкционированный доступ, мошенничество); 

5) разработать внутренние процедуры формирования и отправки сообщений, соблюдения конфиденциальности, хранения данных и предотвращения несанкционированного доступа к ним в соответствии с документами SWIFT, нормативными правовыми актами Национального банка, законодательством Кыргызской Республики и договорами, а также порядок работы персонала при возникновении нештатных ситуаций в процессе эксплуатации терминала SWIFT (Access connection)/сервера SWIFT (Gateway connection); 

6) при возникновении нештатной ситуации (инцидента, киберинцидента) на стороне Участника персонал Участника уведомляет об этом сервис-бюро в соответствии со сроками и условиями договоров; 

7) поддерживать в рабочем состоянии альтернативные каналы передачи данных для обеспечения отправки/получения сообщений при возникновении нештатных ситуаций в работе инфраструктуры сервис-бюро. 

34. Для обеспечения соответствующего уровня защиты информации необходимо: 

1) распределение обязанностей персонала, имеющих доступ к терминалу SWIFT (Access connection)/серверу SWIFT (Gateway connection), в соответствии с принципами безопасности: доступ к информации только по служебной необходимости, минимальные полномочия и разграничение обязанностей, согласно с требованиями и рекомендациями SWIFT; 

2) систематический контроль со стороны сервис-бюро и Участника за выполнением требований предоставления доступа персонала к системе SWIFT в соответствии с внутренними процедурами Участника; 

3) шифрование трафика от терминала SWIFT (Access connection)/сервера SWIFT (Gateway connection) до сервис-бюро. 

35. В случае нарушения данных требований сервис-бюро оператор сервис-бюро, предварительно уведомив Участника, может приостановить доступ Участника к сети SWIFTNet через сервис-бюро и не несет ответственности за возможные последствия.