Постановление Правления НБКР № 55\3 от 29.09.11 г.  

 

О внесении изменений и дополнений во временное положение «О депозитарном учете государственных ценных бумаг, размещаемых через Национальный банк Кыргызской  

Республики», утвержденное постановлением Правления Национального банка Кыргызской  

Республики № 13/3от 26 марта 2008 года». 

 

В соответствии со статьями 7 и 43 Закона Кыргызской Республики «О Национальном банке Кыргызской Республики», Правление Национального банка Кыргызской Республики постановляет: 

 

1. Внести изменения и дополнения во временное положение «О депозитарном учете государственных ценных бумаг, размещаемых через Национальный банк Кыргызской Республики», утвержденное постановлением Правления Национального банка Кыргызской Республики №13/3от 26 марта 2008 года» (прилагаются). 

2. Настоящее постановление вступает в силу по истечении одного месяца с момента официального опубликования. 

3. После официального опубликования Юридическому управлению направить настоящее постановление в Министерство юстиции Кыргызской Республики для внесения в Государственный реестр нормативных правовых актов Кыргызской Республики. 

4. Управлению денежно-кредитных операций довести настоящее постановление до cведения коммерческих банков. 

5. Контроль за исполнением настоящего постановления возложить на заместителя Председателя Национального банка Кыргызской Республики Чокоева З.Л. 

 

За Председателя  

И.о. Председателя НБКР Чокоев З.Л. 

 

 

Утверждены  

постановлением Правления  

Национального банка  

Кыргызской Республики  

№ 55\3 от « 29» сентября 2011 г.  

 

 

Изменения и дополнения 

О внесении изменений и дополнений во временное положение «О депозитарном учете государственных ценных бумаг, размещаемых через Национальный банк Кыргызской Республики», утвержденное постановлением Правления Национального банка Кыргызской Республики №13/3 от 26 марта 2008года., зарегистрированное в Министерстве юстиции Кыргызской Республики 2 мая 2008 года, регистрационный номер 27-08. 

 

Внести во временное Положение «О депозитарном учете государственных ценных бумаг, размещаемых через Национальный банк Кыргызской Республики», утвержденное постановлением Правления Национального банка Кыргызской Республики №13/3 от 26 марта 2008 года следующие изменения и дополнения: 

 

1. Абзац 1 Раздела 2 «Термины и определения», после слов («ГКВ»), дополнить словом «государственные казначейские облигации («ГКО») и далее по тексту. 

2. Абзац 9 Раздела 2 «Термины и определения», после слов «государственных казначейских векселей», дополнить словами «государственных казначейских облигаций». 

3. По всему тексту временного положения слово «пуловый» заменить словом «резервный» в соответствующих падежах. 

4. Пункт 6.2.4. раздела 6 исключить. 

5. Исключить Приложение 8., Приложение 9 считать Приложением 8. 

6. В пункте 7.2. исключить слова «и выписки» и слова «(Приложение 7 и 8)» заменить словами «(Приложение 7)». 

7. В пункте 7.4. слова «(Приложение 9)», заменить на «(Приложение 8)». 

8. Приложения 1,2,2.1,3,4,5,7,8 изложить в новой редакции: (прилагаются). 

 

 

 

 

 

 

 

 

 

 

 

 

 

«Приложение 1 

к Временному положению 

о депозитарном учете государственных 

ценных бумаг, размещаемых через НБКР 

 

Национальный банк  

Кыргызской Республики 

Отдел рефинансирования и  

размещения ценных бумаг 

 

 

Отчет 

 

о размещении ГЦБ (ГКВ, ГКО/ноты) 

(нужное указать) 

по итогам аукциона/дополнительного размещения/доразмещения от «_____» _____________ 20_____г. 

по коммерческому банку ___________________________ 

 

 

№	Держатели   ГЦБ   (ГКВ, ГКО/ноты)   (нужное указать)	Количество ГЦБ   (ГКВ, ГКО/ноты)   (шт.)
		эмиссия /выпуск №	эмиссия  /выпуск №	эмиссия   /выпуск №
1    2  2.1    2.1.1  2.1.2.    2.1.2.1.  2.1.2.2  2.2    2.2.1  2.2.2    2.2.2.1  2.2.2.2	Коммерческий банк,  в т.ч. филиалы  Инвесторы (2.1+2.2)  - Резиденты (2.1.1+2.1.2)  - Физич.лица  - Юрид.лица (2.1.2.1.+2.1.2.2)  - Финансовые  - Нефинансовые  - Нерезиденты (2.2.1+2.2.2)  - Физич.лица  - Юрид.лица (2.2.2.1+2.2.2.2)  - Финансовые  - Нефинансовые
	ВСЕГО (1+2)

 

 

Начальник отдела 

ценных бумаг ____________ _______________ 

коммерческого банка (подпись) (Ф.И.О.) 

 

 

Приложение 2 

к Временному положению  

о депозитарном учете государственных 

ценных бумаг, размещаемых через НБКР 

 

Национальный банк 

Кыргызской Республики 

Отдел рефинансирования и  

размещения ценных бумаг 

 

 

П О Р У Ч Е Н И Е 

 

Первичного дилера “______________________” 

(наименование дилера) 

Вид операции: Принадлежность ГЦБ (ГКВ, ГКО/ноты): 1. Собственные  

(нужное подчеркнуть) (нужное указать)  

1. Покупка 2. Клиента 

2. Продажа _____________________ 

3. Покупка на условиях репо (наименование клиента)  

4. Продажа на условиях репо  

5. Передача  

6. Прием  

Банк-контрагент (Первичный дилер) ___________________________________ 

(наименование) 

Порядковый  № операции	№ эмиссии /выпуска ГЦБ (ГКВ, ГКО/ноты)	Количество ГЦБ (ГКВ, ГКО/ноты)  (шт.)	Сумма (сом)
ИТОГО

 

Для операций «репо-начальное»: процентная ставка, дата завершения (указать). 

 

Дата операции_______________ 

МП _______________________ ___________________________ 

(подпись) (Ф.И.О.)  

 

Исполнитель: ________________ 

Тел. ____________ 

 

 

 

Приложение 2.1  

к Временному положению  

о депозитарном учете государственных 

ценных бумаг, размещаемых через НБКР. 

 

Национальный банк 

Кыргызской Республики 

Отдел рефинансирования и  

размещения ценных бумаг 

 

 

 

П О Р У Ч Е Н И Е «ДЕПО» 

 

“______________________” 

(наименование) 

Вид операции:  

(нужное подчеркнуть)  

1. Покупка  

2. Продажа  

3. Покупка на условиях репо  

4. Продажа на условиях репо  

5. Передача  

6. Прием  

Банк-контрагент ___________________________________ 

(наименование) 

Порядковый  № операции	№ эмиссии /выпуска ГЦБ  (ГКВ, ГКО/ноты)	Количество ГЦБ (ГКВ, ГКО/ноты)  (шт.)	Сумма (сом)
ИТОГО

 

Для операций «репо-начальное»: процентная ставка, дата завершения (указать). 

 

Дата операции_______________ 

 

МП _______________________ ___________________________ 

(подпись) (Ф.И.О.)  

 

Исполнитель: ________________ 

Тел. ____________ 

 

 

 

Приложение 3  

к Временному положению  

о депозитарном учете государственных 

ценных бумаг, размещаемых через НБКР. 

 

Национальный банк 

Кыргызской Республики 

Отдел рефинансирования  

и размещения ценных бумаг 

 

 

 

ПОРУЧЕНИЕ 

Первичного дилера 

 

«_______________________» 

(наименование дилера) 

 

Вид операции: 1. Покупка  

(нужное подчеркнуть) 2. Продажа  

3. Покупка на условиях репо 

4. Продажа на условиях репо 

 

прошу перевести с _(наименование субсчёта)_ на _(наименование субсчёта)_ в Головном депозитарии держателей ГЦБ (ГКВ, ГКО/ноты)* в Национальном банке Кыргызской Республики следующие (их) эмиссии/выпусков: 

Порядковый №   операции	№   эмиссии/выпуска	Количество ГЦБ  (ГКВ, ГКО/ноты)   (шт.)	Сумма   (сом)
ИТОГО

 

Для операций «репо-начальное»: процентная ставка, дата завершения (указать). 

 

 

Дата операции_______________ 

 

МП _______________________ ___________________________ 

(подпись) (Ф. И.О.)  

 

* нужное указать  

 

 

 

Приложение 4  

к Временному положению  

о депозитарном учете государственных 

ценных бумаг, размещаемых через НБКР. 

 

Национальный банк 

Кыргызской Республики 

Отдел рефинансирования  

и размещения ценных бумаг 

 

 

 

ПОРУЧЕНИЕ Залогодателя  

 

В соответствии с договором _________________________________________________  

(наименование Залогодержателя) 

от «___» _____20___г. под № _________________ прошу перевести ГЦБ (ГКВ/ГКО ноты) следующих эмиссий/выпуска с инвестиционного на залоговый субсчет в Головном депозитарии ГЦБ: 

 

№ эмиссии/выпуска	Количество ГЦБ  (ГКВ, ГКО/ноты)   (шт.)

 

 

 

Дата операции_______________ 

 

МП _______________________ ___________________________ 

(подпись) (Ф. И.О.) 

 

 

 

 

 

 

 

 

 

 

 

 

 

Приложение 5  

к Временному положению  

о депозитарном учете государственных 

ценных бумаг, размещаемых через НБКР. 

 

Национальный банк 

Кыргызской Республики 

Отдел рефинансирования  

и размещения ценных бумаг 

 

 

 

 

Дата "___" ____ 200__ г. Рег. N _____ 

 

"____________________" 

(наименование банка) 

 

 

 

 

К В И Т А Н Ц И Я 

 

Настоящим, Национальный банк Кыргызской Республики подтверждает, что по итогам аукционов / дополнительного размещения по продаже ГКВ/ГКО состоявшихся “___” _____200 ___г. финансово-кредитное учреждение _____________________________________________ является владельцем ГКВ/ГКО следующих выпусков: 

 

 

№   выпуска	Количество ГКВ/ГКО   (шт)		Сумма   (сом)		Дата   погашения
	Собственные	Инвестора	Собственные	Инвестора

 

 

 

 

Начальник ОРРЦБ НБКР ______________ ________________________ 

(подпись) (Ф.И.О.)  

 

 

 

 

 

 

 

 

Приложение 7  

к Временному положению  

о депозитарном учете государственных 

ценных бумаг, размещаемых через НБКР. 

 

Национальный банк 

Кыргызской Республики 

Отдел рефинансирования  

и размещения ценных бумаг 

 

 

 

 

 

 

 

 

 

 

 

Дата "___" ____ 200__ г. Рег. N _____ 

 

"____________________" 

(наименование банка) 

 

 

 

ИЗВЕЩЕНИЕ  

 

о наличии ГЦБ (ГКВ, ГКО/ноты) 

(нужное указать) 

 

 

НБКР извещает Вас, что после проведения Вашего (их) Поручения (поручений) от «__» _____ 200___г. остатки ГЦБ (ГКВ, ГКО/ноты) составляют:  

(нужное указать) 

 

№ Эмиссии/выпуска	Счет	На начало дня	Куплено	Продано	На конец дня

 

 

 

 

 

Начальник ОРРЦБ НБКР ___________ ___________________ 

(подпись) (Ф.И.О.) 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Приложение 8  

к Временному положению  

о депозитарном учете государственных 

ценных бумаг, размещаемых через НБКР. 

 

Национальный банк 

Кыргызской Республики 

Отдел рефинансирования  

и размещения ценных бумаг 

 

 

 

 

ОТЧЕТ 

 

 

о наличии ГЦБ (ГКВ, ГКО/нот) на "___" ______________ 200__ г. 

(нужное указать) 

_____________________________ 

(наименование банка) 

 

№ эмиссии /выпуска  с разбивкой по категории срочности	Общий раздел						Инвестиц.  раздел	Залогов.  раздел
	Резиденты			Нерезиденты
	Физич. лица	Юрид.лица		Физич. лица	Юрид.лица
		Финан.	Нефин.		Финан.	Нефин.

 

 

 

Начальник Управления/отдела ___________ _________________________ 

(подпись) (Ф.И.О) 

 

Исполнитель: ____________________________________________________». 

Тел.: 

 

 

 

 

 

 

Постановление Правления НБКР № 55\5 от 29.09.11 г. 

 

 

О внесении дополнений в Положение о порядке проведения Национальным банком Кыргызской Республики операций репо с государственными ценными бумагами Кыргызской Республики, утвержденное постановлением Правления Национального банка  

Кыргызской Республики №32/4 от 27 июня 2007 года  

 

В соответствии со статьями 5, 7, 20, 24 и 43 Закона Кыргызской Республики «О Национальном банке Кыргызской Республики», Правление Национального банка Кыргызской Республики постановляет: 

 

1. Внести дополнения в Положение о порядке проведения Национальным банком Кыргызской Республики операций репо с государственными ценными бумагами Кыргызской Республики, утвержденное постановлением Правления Национального банка Кыргызской Республики №32/4 от 27 июня 2007 года, зарегистрированное в Министерстве юстиции Кыргызской Республики от 01 августа 2007 года, регистрационный номер №76-07 (прилагается). 

2. Настоящее постановление вступает в силу по истечении одного месяца после официального опубликования. 

3. После официального опубликования Юридическому управлению направить настоящее постановление в Министерство юстиции Кыргызской Республики для внесения в Государственный реестр нормативных правовых актов Кыргызской Республики. 

4. Управлению денежно-кредитных операций довести настоящее постановление до сведения коммерческих банков и Социального фонда Кыргызской Республики.  

5. Контроль за исполнением настоящего постановления возложить на заместителя Председателя Национального банка Кыргызской Республики Чокоева З.Л. 

 

За Председателя  

И.о. Председателя НБКР Чокоев З.Л.  

 

 

 

 

Утверждено  

постановлением Правления Национального банка Кыргызской Республики  

№ 55\5 от « 29 » сентября 2011 г. 

 

 

 

Дополнения в Положение о порядке проведения Национальным банком Кыргызской Республики операций репо с государственными ценными бумагами Кыргызской Республики,  

утвержденное постановлением Правления Национального банка  

Кыргызской Республики №32/4 от 27 июня 2007 года  

 

Внести в Положение о порядке проведения Национальным банком Кыргызской Республики операций репо с государственными ценными бумагами Кыргызской Республики, утвержденное постановлением Правления Национального банка Кыргызской Республики №32/4 от 27 июня 2007 года, зарегистрированное в Министерстве юстиции Кыргызской Республики от 01 августа 2007 года, регистрационный номер №76-07 следующие дополнения: 

 

1. Главу 1 дополнить пунктом 1.7. следующего содержания: 

«1.7. Социальный фонд Кыргызской Республики как правило участвует в операциях обратного репо Национального банка. Участие Социального фонда в операциях прямого репо Национального банка допускается по решению Комитета денежно-кредитного регулирования Национального банка». 

 

2. В пункте 3.14. после слов «Цена ГЦБ на дату исполнения» дополнить фразой «и завершения». 

 

3. Главу 3 дополнить пунктом 3.24. следующего содержания: 

«3.24. Право получения купонных выплат по государственным казначейским облигациям (ГКО), являющимся предметом купли-продажи по операции репо переходит стороне, обладающей правом собственности на данные ГКО в соответствии с п.3.5. настоящего Положения». 

 

4. Приложение 1 дополнить пунктом 3 следующего содержания: 

 

«3. Для дисконтных ГЦБ, в случае обратного репо 

 

Для целей расчета применяются следующие обозначения: 

 

P- цена продажи 1ГЦБ на дату исполнения операции репо; 

P1 – цена покупки 1 ГЦБ (цена, по которой Национальный банк приобрел в собственность данную ГЦБ); 

P2 - цена 1 ГЦБ на дату завершения операции репо; 

r  – доходность; 

- число дней до погашения на дату приобретения Национальным банком в собственность данной ГЦБ; 

- число дней до погашения на дату исполнения операции репо. 

 

 

Цена 1 ГЦБ на дату завершения операции репо P2 рассчитывается по формуле аналогично расчету цены завершения операции репо для купонных ГЦБ в случае обратного репо.» 

 

5. Приложение 1 дополнить пунктом 4 следующего содержания: 

 

«4. Для купонных ГЦБ, в случае прямого репо 

 

Для целей расчета применяются следующие обозначения: 

- цена покупки 1 ГЦБ на дату исполнения операции репо; 

- цена 1 ГЦБ на дату завершения операции репо; 

– номинальная стоимость ГЦБ; 

- годовая купонная ставка; 

- фиксированная ставка дисконтирования, установленная НБКР для соответствующего срока, оставшегося с даты завершения операции репо до даты погашения ГЦБ; 

- ставка дисконтирования по операции репо; 

- процентная ставка по операции репо; 

- кол-во купонных выплат в год; 

n – количество купонных выплат до погашения; 

Tv – дата исполнения операции репо (не может быть равной дате выплаты купона); 

Cn – дата выплаты следующего купона; 

Tm – дата завершения операции репо; 

- дата выплаты последнего купона; 

 

; 

 

 

1. Цена завершения операции репо P2 рассчитывается по отношению к дате завершения операции репо по формуле: 

; 

 

где: 

 

 

2. Цена покупки 1 ГЦБ P1 рассчитывается по отношению к дате исполнения операции репо по формуле: 

 

если Tv < Cn Tm 

 

; 

 

где: 

; 

 

 

 

3. Цена покупки 1 ГЦБ P1 рассчитывается по отношению к дате исполнения операции репо по формуле: 

 

если Tv < Tm < Cn 

 

; 

где: 

 

» 

 

 

 

Постановление Правления НБКР № 52\12 от 14.09.11 г. 

 

 

О Положении о требованиях по обеспечению информационной безопасности в коммерческих банках Кыргызской Республики 

 

В соответствии со статьями 7 и 43 Закона Кыргызской Республики «О Национальном банке Кыргызской Республики», Правление Национального банка Кыргызской Республики постановляет: 

 

1. Утвердить Положение «О требованиях по обеспечению информационной безопасности в коммерческих банках Кыргызской Республики» (прилагается). 

2. Настоящее постановление вступает в силу по истечении одного месяца после официального опубликования. 

3. После официального опубликования Юридическому управлению направить настоящее постановление в Министерство юстиции Кыргызской Республики для включения в Государственный реестр нормативных правовых актов Кыргызской Республики. 

4. Контроль за исполнением настоящего постановления возложить на заместителя Председателя Национального банка Кыргызской Республики Чокоева З.Л. 

 

Председатель Асанкожоева З.М. 

 

 

 

 

 

 

 

 

 

Утверждено  Постановлением Правления  Национального банка  Кыргызской Республики  № 52\12 от 14.09.2011 г.

 

 

 

 

 

Положение 

«О требованиях по обеспечению информационной безопасности в коммерческих банках Кыргызской Республики» 

 

 

 

1. Общие положения 

 

1. Целью настоящего Положения является установление единых требований для коммерческих банков Кыргызской Республики, направленных на повышение уровня информационной безопасности банковской системы Кыргызской Республики, а также минимизацию возможных потерь, вызванных действиями злоумышленников, аварийными сбоями и ошибками персонала. 

2. Настоящее Положение разработано в соответствии с Гражданским кодексом Кыргызской Республики, Законами Кыргызской Республики «О Национальном банке Кыргызской Республики», «О банках и банковской деятельности в Кыргызской Республике», «Об электронном документе и электронной цифровой подписи», «О коммерческой тайне» и другими законодательными и нормативными актами Кыргызской Республики, а также Стандартом по обеспечению информационной безопасности учреждений банковской системы Кыргызской Республики, утвержденным постановлением Правления Национального банка Кыргызской Республики № 24/10 от 15 сентября 2004 г., Положением «О требованиях к обеспечению информационной безопасности в банковских учреждениях Кыргызской Республики при работе с информационными ресурсами Национального банка Кыргызской Республики», утвержденным постановлением Правления Национального банка Кыргызской Республики № 19/7 от 3 июля 2003 г., «Положением о банковских платежных картах в Кыргызской Республике», утвержденным постановлением Правления Национального банка Кыргызской Республики № 41/7 от 14 октября 2009 г. 

3. Действие настоящего Положения распространяется на коммерческие банки, а также другие организации, имеющие лицензии Национального банка на проведение банковских и платежных операций (далее банки). 

4. Все нормативные документы, касающиеся информационной безопасности, принимаемые в коммерческих банках Кыргызской Республики, должны быть приведены в соответствие с настоящим Положением. 

5. Национальный банк Кыргызской Республики (далее – Национальный банк) имеет право осуществлять проверку банков на соблюдение ими установленных настоящим Положением требований. 

6. Руководство банка несет полную ответственность за использование и функционирование всей информационной системы банка. 

 

2. Термины и определения 

7. «Знать своего клиента» (Know your Customer): Принцип, используемый регулирующими органами для выражения отношения к финансовым организациям с точки зрения знания деятельности их клиентов. 

8. «Знать своего служащего» (Know your Employee): Принцип, демонстрирующий озабоченность банка по поводу отношения сотрудников банка к своим обязанностям и возможных проблем, таких, как злоупотребление имуществом, аферы или финансовые трудности, которые могут приводить к проблемам с безопасностью. 

9. «Необходимо знать» (Need to Know): Принцип, ограничивающий полномочия по доступу сотрудников банка и клиентов банка к информации и ресурсам по обработке информации на уровне, минимально необходимым для выполнения определенных обязанностей. 

10. «Двойное управление» (Dual Control): Принцип сохранения целостности процесса и борьбы с искажением функций системы, требующий того, чтобы два уполномоченных сотрудника банка независимо предпринимали некое действие до завершения определенных транзакций. 

11. Санкционирование является действием по предоставлению пользователю возможности выполнения (предоставления разрешения) конкретных действий в системе на основе его должностных обязанностей. Без специальной санкции ни одному пользователю не разрешается доступ к какой-либо информации или приложению. 

12. Идентификация (identification): процесс присвоения объектам/субъектам идентификатора (уникального имени) или сравнение идентификатора объекта/субъекта с перечнем присвоенных идентификаторов. 

13. Аутентификация - проверка принадлежности объекту/субъекту доступа предъявленного им идентификатора или подтверждение подлинности.  

14. Авторизация (authorisation): Процесс предоставления определенному объекту/субъекту прав на выполнение некоторых действий в соответствии с выполняемой ролью в системе.  

15. Информационная система - взаимосвязанная совокупность средств, методов и персонала, используемых для хранения, обработки и выдачи информации в интересах достижения поставленной цели. Информационная система содержит автоматизированные и неавтоматизированные процессы хранения, обработки и выдачи информации. 

16. Автоматизированная система (АС) – это система, состоящая из персонала, комплекса средств автоматизации его деятельности, методов и мероприятий, реализующих информационную технологию выполнения установленных функций. 

17. Автоматизированная банковская система (АБС) – это автоматизированная система, реализующая технологию выполнения функций банка. 

18. Пользователь автоматизированной системы – это субъект или объект, зарегистрированный в автоматизированной системе и использующий ее ресурсы (сотрудники и клиенты банка). 

19. Информационные активы – информация, имеющая ценность для банка с точки зрения достижения ее целей и представленная на любом материальном носителе в пригодной для ее обработки, хранения или передаче форме. 

20. Доступность информационного актива – свойство информационной безопасности банка, состоящее в том, что информационные активы предоставляются авторизованному пользователю, причем в виде и месте, необходимом пользователю, и в то время, когда они ему необходимы.  

21. Целостность информационного актива - свойство информационной безопасности банка сохранять неизменность или обнаруживать факт изменения в своих информационных активах. 

22. Конфиденциальность информационного актива - состояние ресурсов банка, состоящее в том, что обработка, хранение и передача информационных активов осуществляются таким образом, что информационные активы доступны только авторизованным пользователям, объектам системы или процессам. 

23. Информационная безопасность (ИБ) - безопасность, связанная с угрозами в информационной сфере. Защищенность достигается обеспечением совокупности свойств ИБ - доступности, целостности, конфиденциальности информационных активов. Приоритетность свойств ИБ определяется ценностью указанных активов для интересов (целей) банка. 

24. Объект – процесс, выполняющийся в информационной системе, запрашивающий разрешение на получение доступа к информации. 

25. Субъект – пользователь, запрашивающий разрешение на получение доступа к информации. 

26. Идентификатор - уникальный признак субъекта или объекта доступа. 

27. Токен - компактное устройство в виде USB-брелока, которое служит для авторизации пользователя, защиты электронной переписки, безопасного удаленного доступа к информационным ресурсам, а также надежного хранения любых персональных данных, также называется «ключ». 

28. Смарт-карта - пластиковые карты со встроенной микросхемой. В большинстве случаев смарт-карты содержат микропроцессор и операционную систему, контролирующую устройство и доступ к объектам в его памяти. Кроме того, смарт-карты, как правило, обладают возможностью проводить криптографические вычисления. 

29. Пароль – это секретный набор символов, предназначенный для подтверждения полномочий пользователя. 

30. ПИН-конверт - специальный конверт для конфиденциального хранения ПИН кода. 

31. Спам - массовая рассылка коммерческой, политической и иной рекламы или иного вида сообщений (информации) лицам, не выражавшим желания их получать. 

 

3. Принятые сокращения 

АБС Автоматизированная банковская система 

АС Автоматизированная система 

ИБ Информационная безопасность 

ИС Информационная система 

ИТ Информационные технологии 

КР Кыргызская Республика 

НРД Неразрешенные действия 

НСД Несанкционированный доступ 

ПИН Персональный идентификационный код 

ПК Персональный компьютер 

ПО Программное обеспечение 

PCI DSS Payment Card Industry Data Security Standard 

 

4. Требования к документам по информационной безопасности 

32. Для обеспечения информационной безопасности банк должен разработать три уровня документации: политики, документы, регламентирующие практику обеспечения безопасности, и операционные процедуры обеспечения безопасности.  

33. Политики (общие политики) должны отражать решения высшего руководства банка по обеспечению ИБ банка, описывают общие принципы и цели обеспечения безопасности. В банке должно быть назначено уполномоченное лицо, ответственное за реализацию политики ИБ. 

34. Документы регламентирующие практику обеспечения безопасности (частные политики), должны отражать поддержку целей, установленных руководством и дальнейшую детализацию общих принципов, определяющих подробные меры, необходимые для выполнения требований политики информационной безопасности. Полномочия документов практики должны быть основаны на документах политики и строго соответствовать им.  

35. Документы операционных процедур обеспечения безопасности должны содержать описание практических приемов на техническом уровне, обеспечивающее внедрение необходимых практик. Документы процедур должны соответствовать общей политике организации и практическим приемам, на которых основаны эти процедуры. 

36. Банк должен обеспечить наличие и сохранность документов, которые содержат свидетельства выполненной деятельности по обеспечению ИБ (отчеты, акты, журналы) и отражать достигнутые результаты (промежуточные и окончательные) при реализации требований документов, относящиеся к обеспечению ИБ указанных выше уровней. 

37. Общие (основные) требования по обеспечению ИБ, отображаемые в частных политиках ИБ банка должны быть сформулированы для следующих наиболее важных областей: 

– требования к персоналу; 

– назначение и распределение ролей; 

– обеспечение ИБ на стадиях жизненного цикла АС; 

– защита от несанкционированного и нерегламентированного доступа, управление доступом и регистрацией всех действий в АС, в телекоммуникационном оборудовании, автоматических телефонных станциях и т.д.; 

– управление доступом и регистрация в АС; 

– антивирусная защита; 

– использование ресурсов сети Интернет; 

– использование криптографических средств защиты; 

– защита банковских платежных и информационных технологических процессов; 

– обеспечение непрерывности деятельности; 

– резервное копирование и восстановление; 

– физическая защита и т.д. 

38. Требования ИБ должны быть взаимоувязаны в непрерывный по задачам, подсистемам, уровням и стадиям жизненного цикла комплекс.  

39. Для управления системой обеспечения ИБ банк должен использовать процессный подход, включающий реализацию следующих процессов: планирование, реализация, проверка, совершенствование. 

5. Требования к персоналу 

40. Персонал банка должен включать как минимум следующие категории сотрудников:  

– Высшее руководство - группа лиц, принимающих стратегические решения для всего банка либо отдельных его подразделений, контролирующих деятельность подразделений банка и принимающих окончательные решения по операционной деятельности и финансовым вопросам в банке;  

– Менеджеры - группа лиц, принимающих тактические решения, организующих и контролирующих работу в рамках своих подразделений; 

– Персонал безопасности - группа лиц, несущих ответственность за обеспечение безопасности в банке на различных участках. Персонал безопасности должен быть подчинен непосредственно высшему руководству и иметь соответствующие полномочия для выполнения своих функций; 

– Внутренний аудит – подразделение банка, ответственное за организацию и проведение внутреннего аудита в банке, включая ИТ аудит и аудит ИБ, в том числе и с привлечением консультантов; 

– Персонал разработки и технической поддержки - подразделение банка, несущее ответственность за разработку, модернизацию и поддержание работоспособности информационной системы, и техническую реализацию мер безопасности; 

– Операционный персонал - группа лиц, производящих санкционированные операции в информационной системе банка, а также ответственные за обслуживание клиентов банка. 

41. В банке должны быть документально определены процедуры приема на работу, включающие:  

– проверку подлинности предоставленных документов, заявляемой квалификации, точности и полноты биографических фактов; 

– проверку профессиональных навыков и оценку профессиональной пригодности. 

42. Все сотрудники банка должны быть ознакомлены с требованиями по обеспечению ИБ и подтвердить обязательство о соблюдении конфиденциальности и приверженности правилам корпоративной этики, включая требования по недопущению конфликта интересов. 

43. Обязанности персонала по выполнению требований по обеспечению ИБ должны быть включены в должностные инструкции. 

44. Неисполнение или ненадлежащее исполнение сотрудниками банка требований по обеспечению ИБ должны приравниваться к невыполнению должностных обязанностей и приводить как минимум к дисциплинарной ответственности. 

6. Назначение и распределение ролей 

45. В банке должны быть документально закреплены роли сотрудников, включая роли по обеспечению ИБ. 

46. В АС должны быть определенны роли, обеспечивающие четкое разграничение полномочий сотрудников. 

47. Банки должны при распределении прав доступа сотрудников и клиентов к информационным активам руководствоваться принципами: 

– «знать своего клиента»; 

– «знать своего служащего»; 

– «необходимо знать»; 

– «двойное управление» для операций по платежным системам. 

48. Формирование ролей должно осуществляться на основании существующих бизнес-процессов банка и проводиться с целью исключения концентрации полномочий и снижения риска инцидентов ИБ, связанных с потерей информационными активами свойств доступности, целостности или конфиденциальности. 

49. Для каждой роли должны быть назначены лица, ответственные за их выполнение. 

50. Ответственность сотрудников должна быть зафиксирована в должностных инструкциях. 

7. Жизненный цикл автоматизированных систем 

51. Банк должен обеспечить комплексную защиту автоматизированных систем на всех стадиях жизненного цикла АС (проектирование, реализация, тестирование, приемка, эксплуатация, сопровождение, модернизация, снятие с эксплуатации должны быть документированы и утверждены высшим руководством). 

52. Банк должен использовать только лицензионное программное обеспечение либо программное обеспечение собственной разработки при наличии полного комплекта документации, утвержденного высшим руководством (техническое задание, программа и методика испытаний, акт и журнал испытаний, акт ввода в промышленную эксплуатацию).  

8. Управление доступом и регистрация 

53. В банке должен быть документально определен перечень информационных активов (АС и их типов) и права доступа сотрудников и клиентов к данным активам. 

54. В банке при предоставлении доступа должны быть выполнены процедуры санкционирования, идентификации, аутентификации и авторизации пользователей. 

55. Процедуры управления доступом должны исключать возможность “самосанкционирования”. 

56. Перед выдачей идентификатора пользователю должна осуществляться проверка подтверждения личности пользователя. Система должна фиксировать исполнителя, выдавшего идентификатор пользователю.  

57. Аутентификация пользователей в системе должна осуществляться на основе одного или нескольких механизмов аутентификации: 

– что-то, что пользователь знает (пароль); 

– нечто, известное пользователю (смарт-карта, токен); 

– какие-либо физические характеристики пользователя (отпечатки пальцев или другие биометрические данные). 

58. События по регистрации и изменению прав доступа пользователей должны фиксироваться в журнале событий системы. 

59. В банке должны применяться защитные меры, направленные на обеспечение защиты от несанкционированного доступа, неразрешенных действий, нарушения целостности информации, необходимой для регистрации, идентификации, аутентификации и (или) авторизации клиентов и сотрудников банка. Все попытки НСД и НРД к такой информации должны регистрироваться в журнале событий.  

60. При увольнении или изменении должностных обязанностей сотрудников банка, имевших доступ к информации АС, должны быть изменены (или заблокированы) их права и пароль доступа. 

61. Работа всех пользователей АС должна осуществляться под уникальными учетными записями. 

9. Ведение журнала событий проводимых операций 

62. Банк должен обеспечить в АС ведение журнала событий, осуществленной деятельности, как средство для проведения аудита информационной безопасности и восстановления хода событий и ведения подотчетности.  

63. Мониторинг и анализ информации журнала событий должен проводиться ежедневно администраторами АС (персонал технической поддержки) и все нестандартные ситуации, связанные с безопасностью, должны расследоваться. 

64. Информация журнала событий должна храниться в электронном виде в течение периода времени, равного сроку хранения обрабатываемых данных соответствующей АС, но не менее 2х лет. 

65. Информация журналов событий должна быть защищена от случайного или преднамеренного удаления, модификации или фальсификации. 

10. Процесс проведения платежей и расчетов в АС (в том числе SWIFT) 

66. Банк должен обеспечить соблюдение следующих требований ИБ при осуществлении процесса проведения платежей и расчетов (собственных и клиентских): 

– обработку, учет и хранение платежной информации в АС на территории Кыргызской республики; 

– защиту платежной информации от искажения, фальсификации, переадресации, несанкционированного уничтожения, ложной авторизации электронных платежных сообщений; 

– доступ сотрудника банка только к тем ресурсам АС, обеспечивающим проведение платежей и расчетов, которые необходимы ему для исполнения должностных обязанностей; 

– контроль (мониторинг) исполнения процессов подготовки, обработки, передачи и хранения платежной информации; 

– аутентификацию входящих электронных платежных сообщений; 

– двустороннюю аутентификацию автоматизированных рабочих мест (рабочих станций и серверов), участников обмена электронными платежными сообщениями (как для филиалов и отделений банков, так и для клиентов); 

– возможность ввода платежной информации в АБС только для авторизованных пользователей; 

– соблюдение в АБС принципа сквозной обработки платежей (обеспечение непрерывной обработки всего информационного потока поступающей финансовой информации без ручного вмешательства на протяжении всей технологической цепочки (от попадания информации в автоматизированную систему до завершения ее обработки) с целью достижения максимальной скорости проведения операций, и исключения ошибок); 

– контроль, направленный на исключение возможности совершения злоумышленных действий (двойной ввод, сверка, авторизация транзакций, установление ограничений в зависимости от суммы совершаемых операций и т.д.) (как со стороны уполномоченных сотрудников, так и со стороны клиентов); 

– восстановление платежной информации в случае ее умышленного (случайного) разрушения (искажения) или выхода из строя средств вычислительной техники; 

– сверку выходных электронных платежных сообщений с соответствующими входными и обработанными электронными платежными сообщениями при осуществлении межбанковских расчетов; 

– доставку электронных платежных сообщений участникам обмена. 

67. Сотрудники банка, в том числе администраторы автоматизированных систем, не должны обладать полномочиями для бесконтрольного создания, авторизации, уничтожения и изменения платежной информации, а также проведения несанкционированных операций по изменению состояния банковских счетов. 

68. Обработку платежной информации и контроль (проверку) результатов обработки должны осуществлять разные сотрудники. 

69. Для систем обеспечивающих проведения платежей и расчетов должен быть предусмотрен основной и дублирующий состав персонала. В случае отсутствия какого-либо специалиста основного состава его функции должен выполнять специалист из дублирующего состава. 

70. Техническая инфраструктура систем, обеспечивающих проведение платежей и расчетов должна включать основную и резервную AC (аппаратно-программные комплексы), включая основные и резервные каналы связи. 

71. В банке должны быть предусмотрены процедуры по переходу (переключению) системы с основной на резервную АС, включающие получение санкции руководства на данный переход. 

72. В банке должны быть определены владельцы АС (должностные лица банка) и их ответственность, в том числе должна быть определена ответственность главного бухгалтера банка. 

73. Банк должен обеспечить единую централизованную обработку, учет и хранение данных по бухгалтерскому учету в АБС. 

74. АБС, используемые в банке, в том числе системы дистанционного банковского обслуживания, должны обеспечивать возможность регистрации: 

– операций с данными о клиентских счетах, включая операции открытия, модификации и закрытия клиентских счетов; 

– проводимых транзакций, имеющих финансовые последствия; 

– операций, связанных с назначением и распределением прав пользователей. 

75. Системы дистанционного банковского обслуживания должны реализовывать защитные меры, обеспечивающие невозможность отказа от авторства проводимых клиентами операций и транзакций. 

76. В банке должны быть разработаны и доведены до сведения сотрудников и клиентов процедуры, определяющие их действия в случае компрометации информации, необходимой для их идентификации, аутентификации и (или) авторизации.  

77. В системах дистанционного банковского обслуживания должны быть реализованы механизмы информирования (регулярного, непрерывного или по требованию) клиентов обо всех операциях, совершаемых от их имени. 

78. Системы дистанционного банковского обслуживания должны предусматривать меры: 

– снижения вероятности выполнения непреднамеренных или случайных операций или транзакций авторизованными клиентами; 

– доведения информации о возможных рисках, связанных с выполнением операций или транзакций до клиентов. 

79. Клиенты систем дистанционного банковского обслуживания должны быть обеспечены детальными инструкциями, описывающими процедуры выполнения операций или транзакций. 

11. Системы расчетов банковскими платежными картами 

80. При выпуске и обслуживании банковских платежных карт банк должен обеспечить выполнение всех пунктов настоящего Положения.  

81. При использовании международных платежных карт в банке должны выполняться соответствующие требования безопасности стандарта PCI DSS. 

82. Банк должен обеспечить выполнение следующих требований по безопасности информационных систем при использовании систем расчетов платежными картами: 

– определение и соблюдение мер для поддержания защищенной сети для создания и обработки данных держателей платежных карт;  

– отслеживание и контроль любого доступа любой доступ к сетевым ресурсам и данным платежных карт; 

– запрет использования настроек безопасности и паролей, установленных производителем «по умолчанию» для ПО и оборудования; 

– обеспечение защиты данных держателей платежных карт при хранении; 

– обеспечение шифрования данных платежных карт, передаваемых по сетям общего пользования; 

– использование и регулярное обновление антивирусного программного обеспечения; 

– обеспечение безопасности при разработке и поддержке систем и приложений; 

– ограничение доступа к данным платежных карт в соответствии со служебной необходимостью; 

– назначение уникального идентификатора каждому лицу, имеющему доступ к вычислительным ресурсам; 

– ограничение физического доступа к данным держателей банковских платежных карт и предоставление доступа только уполномоченным сотрудникам; 

– регулярное тестирование систем и процессов обеспечения безопасности; 

– актуальность политики ИБ, регламентирующей деятельность сотрудников и контрагентов.  

83. Банк при работе с банковскими платежными картами должен применять перечисленные ниже меры защиты: 

– персонализация карт должна быть физически отделена от функций выпуска ПИН-конвертов и должны быть назначены разные ответственные сотрудники для выполнения указанных операций; 

– при печати ПИН-конвертов верхний бланк должен быть уничтожен в присутствии двух уполномоченных сотрудников, ответственных за печать ПИН-конвертов; 

– персонализация карт должна проводиться в присутствии двух уполномоченных сотрудников, ответственных за персонализацию; 

– должны быть предусмотрены меры по защите банкоматов, автоматизированных терминалов самообслуживания и торговых терминалов от вандализма и злоумышленных действий; 

– число попыток ввода ПИН кода карты должно быть ограничено (не более трех), после чего карта должна быть заблокирована, изъята и возвращена ее владельцу персонально; 

– должно быть установлено ограничение числа операций и суммы денежных средств в течение одного дня для одного счета (установка лимитов). 

12. Банковский информационный процесс 

84. Для каждой АС соответствующим распоряжением должен быть назначен администратор информационной безопасности. Допускается назначение одного администратора информационной безопасности на несколько АС, а также совмещение выполнения указанных функций с другими обязанностями.  

85. Должны быть определены процедуры и персонал обслуживания средств вычислительной техники, используемых в банковском технологическом процессе, включая замену их программных и/или аппаратных частей. 

86. Должна осуществляться процедура периодического контроля всех реализованных программно-техническими средствами функций (требований) по обеспечению ИБ банковской информации.  

13. Использование ресурсов сети Интернет 

87. В банке должны быть явно определены и утверждены руководством банка цели использования сети Интернет, 

88. Использование сети Интернет в неустановленных целях должно быть запрещено.  

89. В банке должен быть документально определен порядок подключения и использования ресурсов сети Интернет, включающий, в том числе контроль со стороны подразделения, ответственного за обеспечение ИБ. 

90. В банке, осуществляющем дистанционное банковское обслуживание клиентов, в связи с повышенными рисками нарушения ИБ при взаимодействии с сетью Интернет должны применяться средства защиты информации, обеспечивающие прием и передачу информации только в установленном формате и только для конкретной технологии. 

91. При осуществлении дистанционного банковского обслуживания должны применяться защитные меры, предотвращающие возможность подмены авторизованного клиента злоумышленником в течение сеанса работы. 

92. Все операции клиентов в течение всего сеанса работы с системами дистанционного банковского обслуживания должны выполняться только после выполнения процедур идентификации, аутентификации и авторизации. В случаях нарушения или разрыва соединения необходимо обеспечить повторное выполнение указанных процедур. 

93. Почтовый обмен через сеть Интернет должен осуществляться с использованием защитных мер и противодействия распространению спама.  

94. При взаимодействии с сетью Интернет должны использоваться защитные меры противодействия атакам хакеров. 

14. Антивирусная защита 

95. На всех автоматизированных рабочих местах и серверах АС в банке должны применяться средства антивирусной защиты, если иное не предусмотрено технологическим процессом. 

96. В банке должны применяться только официально приобретенные (лицензионные) средства антивирусной защиты. Установка и регулярное обновление средств антивирусной защиты на автоматизированных рабочих местах и серверах АС должны осуществляться ответственными администраторами. 

97. При обеспечении антивирусной защиты в банке должны быть разработаны и введены в действие инструкции по антивирусной защите, учитывающие особенности банковских информационных процессов. 

98. В банке должна осуществляться антивирусная фильтрация трафика электронного почтового обмена. 

99. Устанавливаемое или изменяемое программное обеспечение должно быть предварительно проверено на отсутствие вирусов.  

100. При обнаружении компьютерного вируса должны быть приняты меры по его обезвреживанию и восстановлению работоспособности рабочих мест. 

101. Отключение или не обновление антивирусных средств не допускается. Установка и обновление средств антивирусной защиты должны контролироваться ответственными сотрудниками. 

102. Ответственность за выполнение требований процедур по антивирусной защите должны быть возложены на каждого сотрудника банка, имеющего доступ к ПК и/или АС. 

15. Использование криптографических средств защиты 

103. В банке должна быть обеспечена безопасность использования криптографических средств защиты информации. 

104. Используемые в банке средства криптографической защиты должны: 

– поставляться разработчиками с полным комплектом эксплуатационной документации, включая описание ключевой системы, правила работы с ней. 

– иметь строгий регламент использования ключей, предполагающий контроль со стороны администратора ИБ за действиями пользователя на всех этапах работы с ключевой информацией. 

– обеспечивать реализацию процедур сброса ключей в случаях отсутствия штатной активности пользователей в соответствии с регламентом использования ключей или при переходе АБС в нештатный режим работы. 

16. Резервное копирование и восстановление 

105. В банке должны создаваться резервные копии для платежной и другой банковской информации, а также для системного и прикладного программного обеспечения, необходимого для обработки этой информации. 

106. В качестве носителей данных должны использоваться внешние носители информации: жесткие диски, магнитные ленты, записываемые оптические цифровые диски и др.  

107. Все резервные копии должны быть промаркированы, с указанием хранимой информации, учетного номера и даты создания копии.  

108. Резервные копии (или их дубликаты) должны храниться в удаленных помещениях, обеспечивающих защиту от несанкционированного доступа, защиту от электромагнитных излучений, защиту от тепловых воздействий, защиту от механических воздействий, а также при поддержании внутренней температуры и влажности воздуха на заданном уровне. 

109. Должны осуществляться процедуры периодического тестирования и восстановления данных архива резервных копий.  

17. Защита персональных данных 

110. В банке должны быть предусмотрены меры по защите персональных данных и определен порядок обработки персональных данных в соответствии с Законом «Об информации персонального характера» от 14 апреля 2008 года N 58. 

18. Требования к помещениям и порядок доступа 

111. Банк должен обеспечить техническую укрепленность помещений в соответствии с требованиями, предъявляемыми к банкам и иным финансово-кредитным учреждениям Кыргызской Республики. 

112. Помещения для оборудования информационных систем должны соответствовать условиям эксплуатации данного оборудования.  

113. Порядок доступа сотрудников банка в помещения, в которых размещаются объекты информационных активов, должен быть регламентирован во внутренних документах банка, а их выполнение должно контролироваться. 

114. В случае, если банк осуществляет выпуск банковских карт самостоятельно, то помещение, в котором банк устанавливает аппаратно-программный комплекс по персонализации банковских карт, должно соответствовать следующим основным требованиям: 

– должно быть изолированным (не проходным, без окон); 

– должно быть оснащено надежными автоматическими замками; 

– должно быть оснащено средствами пожарной и охранной сигнализации, средствами наблюдения, исключающим возможность бесконтрольного проникновения в помещение посторонних лиц и обеспечивающим физическую сохранность находящихся в помещении защищаемых ресурсов; 

– наличие как минимум двух помещений (для выполнения персонализации карт и выпуска ПИН-конвертов), оборудованных сейфами для хранения заготовок карт и ПИН-конвертов; 

– помещение для выпуска ПИН-конвертов должно быть оборудовано шредером для уничтожения бланков и испорченных ПИН-конвертов. 

 

 

 

 

 

Постановление Правления НБКР № 55\15 от 29.09.11 г. 

 

 

О вступлении в силу Положения «Об обязательных резервных требованиях  

микрофинансовых компаний, осуществляющих прием вкладов», утвержденного постановлением Правления Национального банка Кыргызской Республики №1/1 от 30.01.2010 г. 

 

В связи со снятием ограничения на право приема срочных вкладов от физических и юридических лиц ЗАО МФК «Бай Тушум и Партнеры», а также в соответствии с пунктом 2 постановления Правления Национального банк Кыргызской Республики №1/1 от 30.01.2010 г. «Об утверждении Положения «Об обязательных резервных требованиях микрофинансовых компаний, осуществляющих прием вкладов» руководствуясь статьей 43 Закона Кыргызской Республики «О Национальном банке Кыргызской Республики» Правление Национального банка постановляет: 

 

1. Признать Положение «Об обязательных резервных требованиях микрофинансовых компаний, осуществляющих прием вкладов» утвержденного постановлением Правления Национального банка Кыргызской Республики №1/1 от 30.01.2010 г. вступившим в силу. 

2. Настоящее постановление вступает в силу по истечении одного месяца с момента официального опубликования. 

3. После официального опубликования Юридическому управлению направить настоящее постановление в Министерство юстиции Кыргызской Республики для включения в Государственный реестр нормативных актов Кыргызской Республики.  

4. Управлению надзора за небанковскими учреждениями довести настоящее постановление до сведения микрофинансовых компаний, осуществляющих прием срочных вкладов от физических и юридических лиц. 

5. Контроль за исполнением настоящего постановления возложить на заместителя Председателя Национального банка Кыргызской Республики Жеенбаеву Б.Ж. 

 

За Председателя 

И.о. Председателя НБКР Чокоев З.Л.