Вернуться назад

 

 

Журнал № 2 за 2004 г. 

 

 

Постановление Правления НБКР № 1/2 от 21.01.2004 г. «О периодическом регулятивном отчете микрокредитной компании и микрокредитного агентства» 

 

Постановление Правления НБКР № 2/2 от 04.02.2004 г. «Об утверждении "Инструкции о проведении инспекторских проверок на местах" 

 

Постановление Правления НБКР № 8/8 от 13.02.2004 г. «О "Рекомендациях по обеспечению безопасности 

информационных систем в банковских учреждениях Кыргызской Республики" 

 

 

 

 

 

Зарегистрировано в Министерстве юстиции Кыргызской Республики 

20 февраля 2004 года. Регистрационный номер 25-04 

 

г.Бишкек 

от 21 января 2004 года N 1/2 

 

ПОСТАНОВЛЕНИЕ ПРАВЛЕНИЯ НАЦИОНАЛЬНОГО БАНКА 

КЫРГЫЗСКОЙ РЕСПУБЛИКИ 

 

О периодическом регулятивном отчете микрокредитной 

компании и микрокредитного агентства 

 

Рассмотрев проект Периодического регулятивного отчета микрокредитной компании и микрокредитного агентства, Правление Национального банка Кыргызской Республики постановляет: 

1. Утвердить прилагаемый Периодический регулятивный отчет микрокредитной компании и микрокредитного агентства (далее - ПРО). 

2. Установить, что действие разделов 1, 2 и 3 ПРО распространяется на ломбарды, действующие на территории Кыргызской Республики. 

3. Установить, что ПРО предоставляется микрокредитными компаниями, микрокредитными агентствами и ломбардами Кыргызской Республики на полугодовой основе в следующие сроки: 

- для отчета за полугодие - не позднее двенадцатого числа месяца, следующего за отчетным периодом; 

- для годового отчета - не позднее 1 февраля года, следующего за отчетным годом. 

4. Отделу надзора за небанковскими учреждениями совместно с Юридическим отделом провести в установленном порядке государственную регистрацию настоящего постановления в Министерстве юстиции Кыргызской Республики. 

5. Настоящее постановление вступает в действие со дня опубликования в официальных изданиях Национального банка Кыргызской Республики. 

6. Отделу внешних и общественных связей НБКР опубликовать настоящее постановление в течение десяти дней со дня его государственной регистрации в Министерстве юстиции Кыргызской Республики. 

7. Отделу надзора за небанковскими учреждениями НБКР довести настоящее постановление до сведения областных (региональных) управлений НБКР, микрокредитных компаний, микрокредитных агентств и ломбардов. 

8. Контроль за исполнением настоящего постановления возложить на члена Правления Национального банка Кыргызской Республики Абдыбалы т. С. 

 

Председатель Правления Национального 

банка Кыргызской Республики У.Сарбанов 

 

 

Информация Отдел надзора за небанковскими учреждениями Раздел А МКК/МКА Национального банка 

ДСП Кыргызской республики 

 

ПЕРИОДИЧЕСКИЙ РЕГУЛЯТИВНЫЙ ОТЧЕТ МКК/МКА 

 

____________________ N _________________ (дата представления) (вход./исх.) 

 

По состоянию на: _________________________________________________ 

(день, месяц, год/) 

Составлен: _______________________________________________________ 

(день, месяц, год) 

Периодичность: - полугодовой; - годовой; - корректировка". 

Достоверность отчета подтверждена: ________ внутренней проверкой 

________ аудитом без заключения 

________ аудитом с заключением 

Отчитывающее учреждение: _________________________________________ _______________________________________________________________________ 

(укажите наименование МКК/МКА крупными печатными буквами) 

 

Подпись и удостоверение 

 

Мы, нижеподписавшиеся, удостоверяем, что эта отчетность и приложения подготовлены в соответствии с инструкциями Национального банка Кыргызской Республики. Мы также удостоверяем, что проверили эту отчетность и подтверждаем, что она представляет правильную информацию о состоянии МКК/МКА на данную отчетную дату. 

 

1. Руководитель исполнительного органа: _________ ________________ 

(подпись) (ф.и.о.) 

2. Главный бухгалтер: _________ ________________ 

(подпись) (ф.и.о.) 

 

----------------------------------------------------------------------- 

 

Лицо, ответственное 

за составление отчета ______________ ________________ __________ 

Должность Фамилия Подпись 

 

Только для заполнения сотрудниками Отдела надзора за небанковскими учреждениями. 

┌────────────┬─────────┬─────────────┬─────────┬────────────┬─────────┐ 

Дата Подпись Дата Подпись Дата Подпись │ 

регистрации поступления завершения │ 

└────────────┴─────────┴─────────────┴─────────┴────────────┴─────────┘ 

 

 

Раздел 1 

 

БАЛАНСОВЫЙ ОТЧЕТ 

 

Отчетный год: 

Название учреждения: _____________________________________________ 

Адрес: ___________________________________________________________ 

 

(тыс.сом) 

┌────┬───────────────────────────────────────┬─────┬──────────────────┐ 

N Наименование ВсегоИностранная валюта│ 

├────┼───────────────────────────────────────┼─────┼──────────────────┤ 

Активы │ 

├────┼───────────────────────────────────────┼─────┼──────────────────┤ 

1 Наличность │ 

2 Депозиты в банках и финансово-кредитных │ 

учреждениях │ 

3 Ценные бумаги │ 

4 Кредиты клиентам │ 

5 Минус: РППУ (Резерв на потенц. потери │ 

и убытки по кредитам) │ 

6 Всего чистые кредиты │ 

7 Инвестиции │ 

8 Основные средства │ 

9 Начисленные проценты к получению │ 

10 Прочие активы │ 

11 Всего: Активы │ 

├────┼───────────────────────────────────────┼─────┼──────────────────┤ 

Обязательства │ 

├────┼───────────────────────────────────────┼─────┼──────────────────┤ 

12 Кредиты банков │ 

13 Субординированные долговые │ 

обязательства │ 

14 Налоги к выплате │ 

15 Прочее │ 

16 Итого обязательства │ 

├────┼───────────────────────────────────────┼─────┼──────────────────┤ 

Капитал │ 

├────┼───────────────────────────────────────┼─────┼──────────────────┤ 

17 Простые акции (полностью оплаченный │ 

уставный капитал) │ 

18 Привилегированные акции │ 

19 Капитал, вложенный сверх номинала │ 

20 Нераспределенная прибыль (убытки) │ 

20.1Прибыль (убытки) прошлых лет │ 

20.2Прибыль (убытки) текущего года │ 

21 Резервы │ 

22 Итого капитал │ 

23 Всего: Обязательства и капитал │ 

└────┴───────────────────────────────────────┴─────┴──────────────────┘ 

 

Руководитель исполнительного органа: _____________ ______________ 

дата роспись 

 

Главный бухгалтер: _____________ ______________ 

дата роспись 

 

 

Раздел 2 

 

ОТЧЕТ 

о прибылях и убытках 

 

Отчетный год: 

Название учреждения: _____________________________________________ 

Адрес: ___________________________________________________________ 

 

(тыс.сом) 

┌──┬───────────────────────────────────────────────┬───────┬──────────┐ 

N Наименование ТекущийПредыдущий│ 

период период │ 

├──┼───────────────────────────────────────────────┼───────┼──────────┤ 

Процентные доходы │ 

├──┼───────────────────────────────────────────────┼───────┼──────────┤ 

1 Процентный доход по депозитам в банках │ 

2 Процентный доход по кредитам клиентам │ 

3 Прочие процентные доходы │ 

4 Всего: Процентный доход │ 

├──┼───────────────────────────────────────────────┼───────┼──────────┤ 

Процентные расходы │ 

├──┼───────────────────────────────────────────────┼───────┼──────────┤ 

5 Процентные расходы │ 

6 Чистый процентный доход │ 

7 Расходы на формирование резерва на │ 

потенциальные потери и убытки по кредитам │ 

8 Чистый процентный доход после отчислений в РППУ │ 

├──┼───────────────────────────────────────────────┼───────┼──────────┤ 

Непроцентные доходы │ 

├──┼───────────────────────────────────────────────┼───────┼──────────┤ 

9 Плата за услуги и комиссионные сборы │ 

10Прочие непроцентные доходы │ 

11Всего: непроцентные доходы │ 

├──┼───────────────────────────────────────────────┼───────┼──────────┤ 

Операционные расходы │ 

├──┼───────────────────────────────────────────────┼───────┼──────────┤ 

12Расходы на персонал │ 

13Расходы на основные средства │ 

14Административные расходы │ 

15Прочие операционные расходы │ 

16Налоги и страхование │ 

17Всего: Операционные расходы │ 

18Расходы на формирование резерва на │ 

потенциальные потери и убытки (не от кредитных │ 

операций) │ 

19Прибыль (Убытки) до уплаты налогов │ 

20Налог на прибыль │ 

21Чистая прибыль (убытки) │ 

└──┴───────────────────────────────────────────────┴───────┴──────────┘ 

 

Руководитель исполнительного органа: _____________ ______________ 

дата роспись 

 

Главный бухгалтер: _____________ ______________ 

дата роспись 

 

 

Раздел 3 

 

ПЕРИОДИЧЕСКИЙ РЕГУЛЯТИВНЫЙ ОТЧЕТ 

микрокредитной компании и микрокредитного агентства 

 

Периодичность отчетности: ________________________________________ 

Название организации: ____________________________________________ 

Адрес: ___________________________________________________________ 

 

"Персонал МКК/МКА" _______________________________________________ 

"Средневзвешенная годовая процентная ставка": ____________________ 

"Коэффициент погашения": _________________________________________ 

 

Таблица 1. "Классификация активов по степени риска" 

 

(тыс.сом) 

┌──────────────────────────┬─────┬─────────────┬─────────┬────────────┬ 

Статья Всего Текущие (не Пролонги- Всего │ 

просроченные)рованные просроченные│ 

активы кредиты активы │ 

│ 

├──────────────────────────┼─────┼─────────────┼─────────┼────────────┼ 

1 2 3 4 5 │ 

├──────────────────────────┼─────┼─────────────┼─────────┼────────────┼ 

1. Кредиты и др. сделки с │ 

банками и финансовыми │ 

учреждениями │ 

а) кредиты, сделки РЕПО и │ 

краткосрочные операции │ 

с банками и кредитными │ 

институтами │ 

б) корреспондентские │ 

счета, депозиты в │ 

других банках и │ 

финансовых учреждениях │ 

2. Кредиты и ссуды │ 

клиентам │ 

а) Кредиты в промышленный │ 

сектор │ 

б) Кредиты в с/хозяйство │ 

и перерабатывающую │ 

промышленность │ 

в) Кредиты на торговые и │ 

коммерческие операции │ 

г) Кредиты на │ 

строительство │ 

д) Ипотечные кредиты │ 

е) Кредиты физическим │ 

лицам │ 

ж) Другие кредиты │ 

3. Всего: Кредиты │ 

└──────────────────────────┴─────┴─────────────┴─────────┴────────────┴ 

┬───────┬────────┬───────┬─────────┬────────────┬────────┬────────────┐ 

Стан- Субстан-Сомни- Потери Всего "Общие "Специальные│ 

дартныедартные тельные кредитов резервы" резервы" │ 

в статусе │ 

неначисления │ 

┼───────┼────────┼───────┼─────────┼────────────┼────────┼────────────┤ 

6 7 8 9 10 11 12 │ 

┼───────┼────────┼───────┼─────────┼────────────┼────────┼────────────┤ 

│ 

│ 

│ 

│ 

│ 

│ 

│ 

│ 

│ 

│ 

│ 

│ 

│ 

│ 

│ 

│ 

│ 

│ 

│ 

│ 

│ 

│ 

│ 

│ 

│ 

│ 

│ 

┴───────┴────────┴───────┴─────────┴────────────┴────────┴────────────┘ 

 

Информация по условиям кредитования 

 

Таблица 2. "Методы кредитования" 

 

┌────────────────────────────────────────┬────────┬────────┬──────────┐ 

Метод кредитования Сумма % ставкаКоличество│ 

кредитов кредитов │ 

├────────────────────────────────────────┼────────┼────────┼──────────┤ 

Групповое кредитование без залога │ 

Групповое кредитование под залог │ 

Индивидуальное кредитование без залога │ 

Индивидуальное кредитование под залог │ 

Другие │ 

Всего │ 

└────────────────────────────────────────┴────────┴────────┴──────────┘ 

 

Таблица 3. "Разбивка по отраслям" 

 

┌──────────────┬──────┬─────┬──────┬─────┬──────┬─────┬─────┬─────────┐ 

Коли- Раз- % от Срок Макси-Мини-Сред-Погашение│ 

чествомер общегокре- маль- маль-ний │ 

актив-порт-кре- дита ный ный раз- │ 

ных феля дит- (от #размерраз- мер │ 

клиен- ного до # кре- мер кре- │ 

тов порт- меся-дита кре- дита │ 

феля цев) дита │ 

├──────────────┼──────┼─────┼──────┼─────┼──────┼─────┼─────┼────┬────┤ 

1 2 3 4 5 6 7 8 9 10 │ 

├──────────────┼──────┼─────┼──────┼─────┼──────┼─────┼─────┼────┼────┤ 

фак-пла-│ 

ти- но- │ 

чес-вое │ 

кое │ 

├──────────────┴──────┴─────┴──────┴─────┴──────┴─────┴─────┴────┴────┤ 

По республике │ 

├──────────────┬──────┬─────┬──────┬─────┬──────┬─────┬─────┬────┬────┤ 

Промышленность │ 

Сельское │ 

хозяйство и │ 

переработка │ 

Торговля и │ 

коммерция │ 

Строительство │ 

Услуги │ 

Ипотечный │ 

кредит │ 

Другое │ 

Итого │ 

└──────────────┴──────┴─────┴──────┴─────┴──────┴─────┴─────┴────┴────┘ 

┌──────────────┬──────┬─────┬──────┬─────┬──────┬─────┬─────┬─────────┐ 

Коли- Раз- % от Срок Макси-Мини-Сред-Погашение│ 

чествомер общегокре- маль- маль-ний │ 

актив-порт-кре- дита ный ный раз- │ 

ных феля дит- (от #размерраз- мер │ 

клиен- ного до # кре- мер кре- │ 

тов порт- меся-дита кре- дита │ 

феля цев) дита │ 

├──────────────┼──────┼─────┼──────┼─────┼──────┼─────┼─────┼────┬────┤ 

1 2 3 4 5 6 7 8 9 10 │ 

├──────────────┼──────┼─────┼──────┼─────┼──────┼─────┼─────┼────┼────┤ 

фак-пла-│ 

ти- но- │ 

чес-вое │ 

кое │ 

├──────────────┴──────┴─────┴──────┴─────┴──────┴─────┴─────┴────┴────┤ 

По Бишкеку │ 

├──────────────┬──────┬─────┬──────┬─────┬──────┬─────┬─────┬────┬────┤ 

Промышленность │ 

Сельское │ 

хозяйство и │ 

переработка │ 

Торговля и │ 

коммерция │ 

Строительство │ 

Услуги │ 

Ипотечный │ 

кредит │ 

Другое │ 

Итого │ 

└──────────────┴──────┴─────┴──────┴─────┴──────┴─────┴─────┴────┴────┘ 

┌──────────────┬──────┬─────┬──────┬─────┬──────┬─────┬─────┬─────────┐ 

Коли- Раз- % от Срок Макси-Мини-Сред-Погашение│ 

чествомер общегокре- маль- маль-ний │ 

актив-порт-кре- дита ный ный раз- │ 

ных феля дит- (от #размерраз- мер │ 

клиен- ного до # кре- мер кре- │ 

тов порт- меся-дита кре- дита │ 

феля цев) дита │ 

├──────────────┼──────┼─────┼──────┼─────┼──────┼─────┼─────┼────┬────┤ 

1 2 3 4 5 6 7 8 9 10 │ 

├──────────────┼──────┼─────┼──────┼─────┼──────┼─────┼─────┼────┼────┤ 

фак-пла-│ 

ти- но- │ 

чес-вое │ 

кое │ 

├──────────────┴──────┴─────┴──────┴─────┴──────┴─────┴─────┴────┴────┤ 

По Чуйской области │ 

├──────────────┬──────┬─────┬──────┬─────┬──────┬─────┬─────┬────┬────┤ 

Промышленность │ 

Сельское │ 

хозяйство и │ 

переработка │ 

Торговля и │ 

коммерция │ 

Строительство │ 

Услуги │ 

Ипотечный │ 

кредит │ 

Другое │ 

Итого │ 

└──────────────┴──────┴─────┴──────┴─────┴──────┴─────┴─────┴────┴────┘ 

┌──────────────┬──────┬─────┬──────┬─────┬──────┬─────┬─────┬─────────┐ 

Коли- Раз- % от Срок Макси-Мини-Сред-Погашение│ 

чествомер общегокре- маль- маль-ний │ 

актив-порт-кре- дита ный ный раз- │ 

ных феля дит- (от #размерраз- мер │ 

клиен- ного до # кре- мер кре- │ 

тов порт- меся-дита кре- дита │ 

феля цев) дита │ 

├──────────────┼──────┼─────┼──────┼─────┼──────┼─────┼─────┼────┬────┤ 

1 2 3 4 5 6 7 8 9 10 │ 

├──────────────┼──────┼─────┼──────┼─────┼──────┼─────┼─────┼────┼────┤ 

фак-пла-│ 

ти- но- │ 

чес-вое │ 

кое │ 

├──────────────┴──────┴─────┴──────┴─────┴──────┴─────┴─────┴────┴────┤ 

По Иссык-Кульской области │ 

├──────────────┬──────┬─────┬──────┬─────┬──────┬─────┬─────┬────┬────┤ 

Промышленность │ 

Сельское │ 

хозяйство и │ 

переработка │ 

Торговля и │ 

коммерция │ 

Строительство │ 

Услуги │ 

Ипотечный │ 

кредит │ 

Другое │ 

Итого │ 

└──────────────┴──────┴─────┴──────┴─────┴──────┴─────┴─────┴────┴────┘ 

┌──────────────┬──────┬─────┬──────┬─────┬──────┬─────┬─────┬─────────┐ 

Коли- Раз- % от Срок Макси-Мини-Сред-Погашение│ 

чествомер общегокре- маль- маль-ний │ 

актив-порт-кре- дита ный ный раз- │ 

ных феля дит- (от #размерраз- мер │ 

клиен- ного до # кре- мер кре- │ 

тов порт- меся-дита кре- дита │ 

феля цев) дита │ 

├──────────────┼──────┼─────┼──────┼─────┼──────┼─────┼─────┼────┬────┤ 

1 2 3 4 5 6 7 8 9 10 │ 

├──────────────┼──────┼─────┼──────┼─────┼──────┼─────┼─────┼────┼────┤ 

фак-пла-│ 

ти- но- │ 

чес-вое │ 

кое │ 

├──────────────┴──────┴─────┴──────┴─────┴──────┴─────┴─────┴────┴────┤ 

По Таласской области │ 

├──────────────┬──────┬─────┬──────┬─────┬──────┬─────┬─────┬────┬────┤ 

Промышленность │ 

Сельское │ 

хозяйство и │ 

переработка │ 

Торговля и │ 

коммерция │ 

Строительство │ 

Услуги │ 

Ипотечный │ 

кредит │ 

Другое │ 

Итого │ 

└──────────────┴──────┴─────┴──────┴─────┴──────┴─────┴─────┴────┴────┘ 

┌──────────────┬──────┬─────┬──────┬─────┬──────┬─────┬─────┬─────────┐ 

Коли- Раз- % от Срок Макси-Мини-Сред-Погашение│ 

чествомер общегокре- маль- маль-ний │ 

актив-порт-кре- дита ный ный раз- │ 

ных феля дит- (от #размерраз- мер │ 

клиен- ного до # кре- мер кре- │ 

тов порт- меся-дита кре- дита │ 

феля цев) дита │ 

├──────────────┼──────┼─────┼──────┼─────┼──────┼─────┼─────┼────┬────┤ 

1 2 3 4 5 6 7 8 9 10 │ 

├──────────────┼──────┼─────┼──────┼─────┼──────┼─────┼─────┼────┼────┤ 

фак-пла-│ 

ти- но- │ 

чес-вое │ 

кое │ 

├──────────────┴──────┴─────┴──────┴─────┴──────┴─────┴─────┴────┴────┤ 

По Нарынской области │ 

├──────────────┬──────┬─────┬──────┬─────┬──────┬─────┬─────┬────┬────┤ 

Промышленность │ 

Сельское │ 

хозяйство и │ 

переработка │ 

Торговля и │ 

коммерция │ 

Строительство │ 

Услуги │ 

Ипотечный │ 

кредит │ 

Другое │ 

Итого │ 

└──────────────┴──────┴─────┴──────┴─────┴──────┴─────┴─────┴────┴────┘ 

┌──────────────┬──────┬─────┬──────┬─────┬──────┬─────┬─────┬─────────┐ 

Коли- Раз- % от Срок Макси-Мини-Сред-Погашение│ 

чествомер общегокре- маль- маль-ний │ 

актив-порт-кре- дита ный ный раз- │ 

ных феля дит- (от #размерраз- мер │ 

клиен- ного до # кре- мер кре- │ 

тов порт- меся-дита кре- дита │ 

феля цев) дита │ 

├──────────────┼──────┼─────┼──────┼─────┼──────┼─────┼─────┼────┬────┤ 

1 2 3 4 5 6 7 8 9 10 │ 

├──────────────┼──────┼─────┼──────┼─────┼──────┼─────┼─────┼────┼────┤ 

фак-пла-│ 

ти- но- │ 

чес-вое │ 

кое │ 

├──────────────┴──────┴─────┴──────┴─────┴──────┴─────┴─────┴────┴────┤ 

По Джалал-Абадской области │ 

├──────────────┬──────┬─────┬──────┬─────┬──────┬─────┬─────┬────┬────┤ 

Промышленность │ 

Сельское │ 

хозяйство и │ 

переработка │ 

Торговля и │ 

коммерция │ 

Строительство │ 

Услуги │ 

Ипотечный │ 

кредит │ 

Другое │ 

Итого │ 

└──────────────┴──────┴─────┴──────┴─────┴──────┴─────┴─────┴────┴────┘ 

┌──────────────┬──────┬─────┬──────┬─────┬──────┬─────┬─────┬─────────┐ 

Коли- Раз- % от Срок Макси-Мини-Сред-Погашение│ 

чествомер общегокре- маль- маль-ний │ 

актив-порт-кре- дита ный ный раз- │ 

ных феля дит- (от #размерраз- мер │ 

клиен- ного до # кре- мер кре- │ 

тов порт- меся-дита кре- дита │ 

феля цев) дита │ 

├──────────────┼──────┼─────┼──────┼─────┼──────┼─────┼─────┼────┬────┤ 

1 2 3 4 5 6 7 8 9 10 │ 

├──────────────┼──────┼─────┼──────┼─────┼──────┼─────┼─────┼────┼────┤ 

фак-пла-│ 

ти- но- │ 

чес-вое │ 

кое │ 

├──────────────┴──────┴─────┴──────┴─────┴──────┴─────┴─────┴────┴────┤ 

По Ошской области │ 

├──────────────┬──────┬─────┬──────┬─────┬──────┬─────┬─────┬────┬────┤ 

Промышленность │ 

Сельское │ 

хозяйство и │ 

переработка │ 

Торговля и │ 

коммерция │ 

Строительство │ 

Услуги │ 

Ипотечный │ 

кредит │ 

Другое │ 

Итого │ 

└──────────────┴──────┴─────┴──────┴─────┴──────┴─────┴─────┴────┴────┘ 

┌──────────────┬──────┬─────┬──────┬─────┬──────┬─────┬─────┬─────────┐ 

Коли- Раз- % от Срок Макси-Мини-Сред-Погашение│ 

чествомер общегокре- маль- маль-ний │ 

актив-порт-кре- дита ный ный раз- │ 

ных феля дит- (от #размерраз- мер │ 

клиен- ного до # кре- мер кре- │ 

тов порт- меся-дита кре- дита │ 

феля цев) дита │ 

├──────────────┼──────┼─────┼──────┼─────┼──────┼─────┼─────┼────┬────┤ 

1 2 3 4 5 6 7 8 9 10 │ 

├──────────────┼──────┼─────┼──────┼─────┼──────┼─────┼─────┼────┼────┤ 

фак-пла-│ 

ти- но- │ 

чес-вое │ 

кое │ 

├──────────────┴──────┴─────┴──────┴─────┴──────┴─────┴─────┴────┴────┤ 

По Баткенской области │ 

├──────────────┬──────┬─────┬──────┬─────┬──────┬─────┬─────┬────┬────┤ 

Промышленность │ 

Сельское │ 

хозяйство и │ 

переработка │ 

Торговля и │ 

коммерция │ 

Строительство │ 

Услуги │ 

Ипотечный │ 

кредит │ 

Другое │ 

Итого │ 

└──────────────┴──────┴─────┴──────┴─────┴──────┴─────┴─────┴────┴────┘ 

 

Руководитель исполнительного органа: _____________ ______________ 

дата роспись 

 

Главный бухгалтер: _____________ ______________ 

дата роспись 

 

 

Раздел 4 

 

СТАНДАРТЫ САМООЦЕНКИ 

 

Для ______________________________________________________________ 

(наименование микрофинансовой организации) 

 

Наблюдательный орган (Совет директоров) проверил документацию, описанную в стандартах, и пришел к заключению, что оценка является удовлетворительной в отношении следующих стандартов: 

Стандарт 1: 

1(А). МФО должна утверждать ежегодный бизнес план (годовой план работы). 

1(В). МФО периодически измеряет действительные (фактические) показатели и риски в соответствии с бизнес планом и историческими показателями при особом внимании на его планируемые показатели капитала на конец года. МФО провела оценку риска и регулярно осуществляет мониторинг этого риска. 

1. МФО утвердила Годовой бизнес план и измерила действительные (фактические) показатели и риски отраженные в бизнес плане. 

да нет н/п 

┌─┐ ┌─┐ ┌─┐ 

└─┘ └─┘ └─┘ 

2. МФО исполняет бизнес план. 

да нет н/п 

┌─┐ ┌─┐ ┌─┐ 

└─┘ └─┘ └─┘ 

Стандарт 2: 

2. МФО утверждает и затем пересматривает, по меньшей мере, один раз в год Кодекс поведения для управления бизнесом и этического поведения руководителей, членов комитетов и сотрудников. 

1. МФО утвердила кодекс поведения. 

да нет н/п 

┌─┐ ┌─┐ ┌─┐ 

└─┘ └─┘ └─┘ 

2. МФО следует кодексу поведения. 

да нет н/п 

┌─┐ ┌─┐ ┌─┐ 

└─┘ └─┘ └─┘ 

Стандарт 3: 

3. Наблюдательный орган (Совет директоров) обеспечивает назначение квалифицированного и компетентного исполнительного руководителя МФО. Ежегодно наблюдательный орган рассматривает деятельность исполнительного руководителя МФО и получает отчет об общем качестве, компетентности и соответствующем опыте сотрудников микрофинансовой организации. 

1. МФО провела оценку деятельности персонала. 

да нет н/п 

┌─┐ ┌─┐ ┌─┐ 

└─┘ └─┘ └─┘ 

2. Удовлетворительна ли работа руководителя МФО? 

Удовлетворительны ли компетенция и квалификация исполнительного руководителя МФО? 

да нет н/п 

┌─┐ ┌─┐ ┌─┐ 

└─┘ └─┘ └─┘ 

Стандарт 4: 

4. МФО разрабатывает и утверждает политику и процедуры управления капиталом. 

1. МФО утвердила политику и процедуры управления капиталом. 

да нет н/п 

┌─┐ ┌─┐ ┌─┐ 

└─┘ └─┘ └─┘ 

2. МФО следует данным политикам и процедурам. 

да нет н/п 

┌─┐ ┌─┐ ┌─┐ 

└─┘ └─┘ └─┘ 

Стандарт 5: 

5. МФО устанавливает Политику и процедуры управления качеством кредитного портфеля. 

1. МФО утвердила Политику и процедуры управления качеством кредитного портфеля. 

да нет н/п 

┌─┐ ┌─┐ ┌─┐ 

└─┘ └─┘ └─┘ 

2. МФО следует Политике и процедурам управления качеством кредитного портфеля. 

да нет н/п 

┌─┐ ┌─┐ ┌─┐ 

└─┘ └─┘ └─┘ 

Стандарт 6: 

6. МФО утверждает Политику и процедуры управления ликвидностью, определяет и документально закрепляет прогнозы денежных потоков. 

1. МФО утвердила Политику и процедуры управления ликвидностью. 

да нет н/п 

┌─┐ ┌─┐ ┌─┐ 

└─┘ └─┘ └─┘ 

2. МФО следует Политике и процедурам управления ликвидностью. 

да нет н/п 

┌─┐ ┌─┐ ┌─┐ 

└─┘ └─┘ └─┘ 

3. МФО определила и документально закрепила прогнозы денежных потоков. 

да нет н/п 

┌─┐ ┌─┐ ┌─┐ 

└─┘ └─┘ └─┘ 

4. МФО следует данным прогнозам денежных потоков. 

да нет н/п 

┌─┐ ┌─┐ ┌─┐ 

└─┘ └─┘ └─┘ 

Стандарт 7: 

7. МФО утверждает Политику и процедуры внутреннего контроля. 

1. МФО утвердила Политику и процедуры внутреннего контроля. 

да нет н/п 

┌─┐ ┌─┐ ┌─┐ 

└─┘ └─┘ └─┘ 

2. МФО следует политике и процедурам внутреннего контроля. 

да нет н/п 

┌─┐ ┌─┐ ┌─┐ 

└─┘ └─┘ └─┘ 

Стандарт 8: 

8. Ежегодно каждая МФО пересматривает свою деятельность и готовит отчет по самооценке. 

1. МФО каждый год пересматривает свою деятельность и готовит отчет по самооценке. 

да нет н/п 

┌─┐ ┌─┐ ┌─┐ 

└─┘ └─┘ └─┘ 

 

 

ОБОБЩЕНИЕ 

плана действий по решению выявленных 

недостатков в деятельности 

 

Наблюдательный орган (Совет директоров) признает, что нижеследующие области деловой и финансовой практики требуют доработки со стороны МФО с целью соответствия стандартам, установленным НБКР. (Обратите внимание на все ответы "нет" с целью определения недостатков, которые требуется исправить; при необходимости добавьте дополнительные страницы). 

┌────────────────────────────┬─────────────┬────────────┬─────────────┐ 

Характер недостатков Обобщенный Намеченная Ответственный│ 

план действийдата решения │ 

├────────────────────────────┼─────────────┼────────────┼─────────────┤ 

1. Годовой план работы │ 

(бизнес план) и управления │ 

рисками │ 

├────────────────────────────┼─────────────┼────────────┼─────────────┤ 

2. Кодекс поведения │ 

├────────────────────────────┼─────────────┼────────────┼─────────────┤ 

3. Оценка человеческих │ 

ресурсов │ 

├────────────────────────────┼─────────────┼────────────┼─────────────┤ 

4. Управление капиталом │ 

├────────────────────────────┼─────────────┼────────────┼─────────────┤ 

5. Управление качеством │ 

кредитного портфеля │ 

├────────────────────────────┼─────────────┼────────────┼─────────────┤ 

6. Управление ликвидностью │ 

├────────────────────────────┼─────────────┼────────────┼─────────────┤ 

7. Внутренний контроль │ 

├────────────────────────────┼─────────────┼────────────┼─────────────┤ 

8. Ежегодная оценка │ 

деятельности │ 

└────────────────────────────┴─────────────┴────────────┴─────────────┘ 

Наблюдательный орган (Совет директоров) удовлетворен тем, что МФО, на основе ежегодной оценки своей деловой и финансовой практики, действует во всех материальных аспектах, соответствуя стандартам надежной деловой и финансовой практики, как это было установлено НБКР, за исключением вышеупомянутых недостатков, по которым был принят Коррективный план действий. 

 

Председатель наблюдательного органа Дата 

(Совета директоров) 

 

 

Зарегистрировано в Министерстве юстиции Кыргызской Республики 

15 марта 2004 года. Регистрационный номер 30-04 

 

г.Бишкек 

от 4 февраля 2004 года N 2/2 

 

ПОСТАНОВЛЕНИЕ ПРАВЛЕНИЯ НАЦИОНАЛЬНОГО БАНКА 

КЫРГЫЗСКОЙ РЕСПУБЛИКИ 

 

Об утверждении "Инструкции о проведении 

инспекторских проверок на местах" 

 

Рассмотрев проект "Инструкции о проведении инспекторских проверок на местах", Правление Национального банка Кыргызской Республики постановляет: 

1. Утвердить прилагаемую "Инструкцию о проведении инспекторских проверок на местах" и ввести в действие с момента опубликования после государственной регистрации в Министерстве юстиции Кыргызской Республики. 

2. Управлению методологии надзора и лицензирования совместно с Юридическим отделом провести в установленном порядке государственную регистрацию настоящего постановления в Министерстве юстиции Кыргызской Республики. 

3. Настоящее постановление опубликовать в официальных изданиях Национального банка Кыргызской Республики в течение 10 дней после государственной регистрации в Министерстве юстиции Кыргызской Республики. 

4. С момента вступления в силу настоящего постановления, признать утратившим силу постановление Правления Национального банка Кыргызской Республики N 30/4 от 15 августа 2001 года "Об Инструкции по проверке коммерческого банка и Инструкции по составлению отчета о проверке коммерческого банка". 

5. Управлению методологии надзора и лицензирования довести настоящее постановление до сведения областных (региональных) управлений НБКР, коммерческих банков, АООТ РСК, КСФК, ФКПРКС и Ассоциации банков Кыргызстана. 

6. Контроль за исполнением настоящего постановления возложить на Шаршекееву К.Ш., заместителя Председателя Национального банка Кыргызской Республики. 

 

Председатель Правления Национального 

банка Кыргызской Республики У.Сарбанов 

 

 

Зарегистрировано в Министерстве юстиции Кыргызской Республики 

15 марта 2004 года. Регистрационный номер 30-04 

 

Утверждена 

постановлением Правления 

Национального банка 

Кыргызской Республики 

от 4 февраля 2004 года N 2/2 

 

ИНСТРУКЦИЯ 

о проведении инспекторских проверок на местах 

 

I. Введение 

II. Цели проведения инспекторских проверок 

III. Виды инспекторских проверок 

IV. Проведение инспекторской проверки 

V. Заключительная встреча с исполнительным руководством 

банка 

VI. Отчет о проверке 

VII. Предупредительные меры и санкции 

VIII. Ознакомление с отчетом о проверке 

IX. Страница с подписями 

X. Встреча с Советом директоров банка 

XI. Порядок обжалования 

Приложение 1. Уведомление 

Приложение 2. Направление на проверку деятельности 

Приложение 3. Акт о противодействии проведению проверки 

Приложение 4. Подписи членов Совета директоров 

Приложение 5. Подписи членов Правления 

 

I. Введение 

 

1.1. В соответствии с Законом Кыргызской Республики "О Национальном банке Кыргызской Республики", Национальный банк Кыргызской Республики (далее - НБКР) является органом банковского надзора и регулирования деятельности коммерческих банков и осуществляет надзор за их деятельностью с целью сохранения стабильной банковской системы, поддержания и защиты интересов вкладчиков и других кредиторов банков. 

1.2. В процессе надзорной деятельности НБКР использует методы, сочетающие проведение внешнего надзора и инспектирование на местах. 

1.3. Банковский надзор - это сложный цикл, состоящий из планирования, инспектирования, мониторинга и взаимодействия, предусматривающий сотрудничество между надзорным органом и коммерческим банком. НБКР составляет стратегию надзора для каждого банка, сочетая проводимые комплексные и целевые проверки на местах с внешним надзором. На каждом этапе надзорного цикла НБКР, в лице уполномоченного органа (Управления банковского надзора), оценивает, насколько эффективно руководство банка выявляет, измеряет, контролирует и управляет рисками. 

1.4. Взаимодействие и обмен информацией надзорных органов с банками являются важными компонентами банковского надзора. НБКР придерживается принципа постоянного и эффективного сотрудничества с банками, находящимися под его надзором. Взаимодействие осуществляется в виде официальных и неофициальных переговоров и встреч, при рассмотрении отчета по итогам проверки и путем представления других письменных документов. 

1.5. Для обсуждения текущих проблем банка инспектора Управления банковского надзора могут встречаться с исполнительным руководством банка, а с Советом директоров - по мере необходимости. Все встречи должны быть задокументированы в надлежащем порядке. 

Предметом обсуждения могут быть: 

- показатели финансового состояния и наметившиеся тенденции; 

- существенные по мнению исполнительного органа или Совета директоров банка вопросы, касающиеся конкретного банка и банковской системы в целом; 

- выполнение мер по исправлению недостатков; 

- адекватность управленческой информации; 

- возможные изменения в профиле риска конкретного банка (холдинговой компании/аффилированного банка); 

- будущие надзорные мероприятия; 

- меры, предпринимаемые банком по информированию общественности; 

- другие вопросы. 

1.6. Настоящая Инструкция определяет основные цели и виды инспекторских проверок деятельности коммерческих банков и иных финансово-кредитных учреждений (далее - банки), лицензируемых НБКР. Кроме того, Инструкция устанавливает обязательные требования, предъявляемые к банкам, в связи с проведением проверки их деятельности. 

1.7. При проведении инспекторских проверок на местах особое внимание уделяется оценке процессов управления банком, так как масштаб и степень операций и сделок((1) см. примечание) банка зависит от качества управления и управленческих методов, а также существенности проверяемых видов деятельности или операций. Проверка операций и сделок банка является надежным и необходимым инструментом для оценки общего состояния банка и определения степени соблюдения внутренних политик, процедур и внутреннего контроля. 

1.8. Для целей настоящей Инструкции используются следующие сокращенные обозначения: 

- Банки - коммерческие банки и иные финансово-кредитные учреждения, лицензируемые НБКР; 

- CAMELS - Международная рейтинговая система оценки деятельности банков, используемая НБКР; 

- УБН - Управление банковского надзора; 

- ОВН - Отдел внешнего надзора; 

- ОИБ - Отдел инспектирования банков; 

- ОМЛБ - Отдел мониторинга за ликвидируемыми банками; 

- УМНЛ - Управление методологии надзора и лицензирования банков; 

- ОМН - Отдел методологии надзора; 

- ОЛБ - Отдел лицензирования банков; 

- ОННУ - Отдел надзора за небанковскими учреждениями. 

1.9. Надзор за деятельностью небанковских финансово-кредитных учреждений, лицензируемых НБКР с учетом специфики их деятельности, осуществляется ОННУ совместно с УБН. 

 

II. Цели проведения инспекторских проверок 

 

2.1. Основными целями проведения проверок деятельности банка являются: 

- оценка общего финансового состояния банка, качества процессов управления банком и будущих перспектив банка; 

- определение рисков, недостатков и слабых мест банка, которые могут угрожать его устойчивости и стабильности; 

- установление соответствия и соблюдения банком законодательства и нормативных актов НБКР; 

- оценка точности и достоверности финансовой и регулятивной отчетности банка, представляемой в НБКР; 

- выработка рекомендаций по устранению выявленных нарушений и рекомендаций для исправления недостатков, улучшения состояния банка и снижения его рисков, а при необходимости - выработка предупредительных мер и санкций; 

- оценка выполнения исполнительным органом банка рекомендаций предыдущей проверки по устранению выявленных недостатков. 

 

III. Виды инспекторских проверок 

 

3.1. Инспекторские проверки, в зависимости от поставленных задач, могут быть комплексными и целевыми и завершаются составлением отчета о проверке. 

3.2. Срок проведения проверок на местах составляет не более 30 рабочих дней. В зависимости от вида проверки, размеров банка, количества его филиалов, человеческих ресурсов, а также от сложности проводимых банком операций срок проверки может быть продлен до 30 рабочих дней. 

3.3. В соответствии с политикой НБКР комплексная проверка каждого банка проводится в течение одного календарного года для оценки общего состояния банка по компонентам рейтинговой системы (CAMELS). Отчет по итогам комплексной проверки на месте охватывает, включая (но, не ограничиваясь), следующие вопросы: 

- обзор основных направлений деятельности банка на предмет определения соответствия политикам банка, утвержденным Советом директоров банка; 

- обзор работы внутреннего аудита и отчетов внешних аудиторов; 

- обзор эффективности и достаточности системы внутреннего контроля; 

- изучение кредитного портфеля и других активов, несущих кредитный риск, для проведения анализа качества активов; 

- анализ прибыльности банка; 

- анализ адекватности капитала; 

- обзор управления ликвидностью банка в целях определения ее достаточности; 

- обзор управления активами и обязательствами в целях оценки системы управления рисками; 

- обзор и анализ деятельности руководства банка; 

- обзор операций в иностранной валюте в целях определения уровня рисков, связанных с операциями в иностранной валюте и оценки управления валютными рисками; 

- обзор забалансовой деятельности банка в целях определения уровня рисков, связанных с забалансовыми операциями, и оценки управления этими рисками; 

- проверка достоверности сведений в представленных банком регулятивных и финансовых отчетах и информации, опубликованной для широкой общественности; 

- определение соответствия деятельности банка законодательству и нормативным актам НБКР, регулирующим деятельность банков, а также соответствие бухгалтерского учета и финансовой отчетности установленным стандартам. 

3.4. Целевая проверка предусматривает проверку одного или нескольких видов деятельности банка (например, кредитные операции, операции с иностранной валютой, и т.п.). 

Проведение целевой проверки может быть вызвано необходимостью более тщательного рассмотрения того или иного аспекта деятельности банка. Проведение таких проверок также необходимо в случае выявления каких-либо негативных тенденций в одном из компонентов рейтинговой системы CAMELS (например, ухудшение качества активов банка). 

3.5. Проверки могут быть как плановыми (с предварительным уведомлением банка) так и внезапными (без предварительного уведомления о предстоящей проверке). В случае проведения внезапной проверки направление на проверку предъявляется банку непосредственно в момент прибытия группы инспекторов в банк. 

3.6. Проведение внезапных проверок может осуществляться, если: 

- имеются факты мошенничества, злоупотреблений и прочей незаконной деятельности, проводимой банком; 

- на основании предоставленной отчетности выявлены негативные тенденции, которые могут привести к ухудшению финансового состояния банка; 

- в деятельности банка имеют место обстоятельства, противоречащие законодательству Кыргызской Республики. 

3.7. В случае, если проверка не является внезапной, то руководитель проверки высылает в банк уведомительное письмо с приложением Перечня необходимых документов (Приложение 1), а направление на проверку (Приложение 2) предъявляется по прибытию в банк. 

3.8. В случае, если проверке подвергаются филиалы банка, то УБН уведомляет головной офис банка о направлении проверки в его филиалы. 

 

IV. Проведение инспекторской проверки 

 

4.1. По прибытию на место проверки, руководитель проверки проводит встречу с Председателем Правления банка (или лицом, исполняющим его обязанности), для того чтобы: 

- вручить направление на проверку, а также сообщить о масштабах и задачах проверки; 

- обсудить процесс проведения проверки; 

- представить инспекторов с указанием участков их работы; 

- определить методы осуществления контактов с руководством и сотрудниками банка; 

- ответить на вопросы руководства банка. 

4.2. В первый день проверки банк обязан представить все документы, которые были перечислены в перечне, приложенном к уведомительному письму. 

4.3. Во время инспекторской проверки руководство и персонал банка должны оказывать группе проверяющих всестороннее содействие и обеспечить выполнение следующих условий: 

- инспектора должны иметь свободный доступ в помещение банка, к любому сотруднику банка, документации, а также банковским записям, необходимым для проведения инспекторской проверки; 

- инспектора должны своевременно получать всю необходимую устную и письменную информацию; 

- предоставить группе проверяющих отдельное помещение в банке и обеспечить безопасное хранение документов банка и НБКР, а также обеспечить техникой, необходимой для осуществления проверки; 

- назначить одного из заместителей Председателя Правления ответственным за координацию взаимоотношений банка с проверяющими, за оперативное и эффективное решение административных и иных вопросов, возникающих в ходе инспекторской проверки. 

4.4. При недопуске, отказе или любом ином воспрепятствовании проведению инспекторской проверки банком, его руководством и/или сотрудниками, руководитель проверки составляет Акт о противодействии (Приложение 3), о чем немедленно сообщается заместителю Председателя НБКР, курирующему банковский надзор, а также начальникам ОИБ и УБН. 

К банку, в зависимости от обстоятельств, могут быть применены санкции, в соответствии с законодательством Кыргызской Республики и нормативными актами НБКР. 

4.5. В ходе проверки руководитель проверки периодически проводит с исполнительным руководством банка встречи для обсуждения отдельных вопросов. 

4.6. Проверяющие могут запрашивать документы банка, связанные с выполнением возложенных на них заданий, а также могут делать копии или выписки из необходимых документов и требовать представления объяснений по документам от банка или от лиц, которые являются или являлись акционерами, владеющими пятью и более процентами акций банка с правом голоса или иным способом влияющими на принятие управленческих решений. 

4.7. При выполнении задания проверяющие могут проводить обсуждение по возникающим в ходе проверки вопросам с непосредственными исполнителями и начальниками структурных подразделений. Обсуждение вопросов, относящихся к компетенции членов Совета директоров, Правления, внешних аудиторов проверяемого банка, осуществляется в присутствии руководителя проверки. 

4.8. В случае выявления в ходе проверки нарушений в других сферах деятельности банка, которые первоначально не были предусмотрены программой проверки, а также законодательства Кыргызской Республики, сроки проверки могут быть продлены, но не более установленного пунктом 3.2 настоящей Инструкции срока. 

 

V. Заключительная встреча с исполнительным 

руководством банка 

 

5.1. По завершении проверки проводится заключительная встреча руководителя проверки с Председателем Правления банка (или лицом исполняющим его обязанности), которая организуется для информирования руководства банка о результатах проверки, обсуждения выводов, представления заключения относительно рисков, а также представления рекомендаций. На встрече должен присутствовать начальник ОИБ и куратор из ОВН. В ходе встречи руководитель проверки информирует о вопросах, представляющих наибольший риск для банка. Кроме того, заключительная встреча дает возможность руководству банка разъяснить ситуацию по вопросам, вызывающим обеспокоенность у банковского надзора, выяснить и уточнить выявленные недостатки и проблемы. 

5.2. До проведения заключительной встречи с Председателем Правления банка, по предложению инспектора или руководителей отдельных структурных подразделений банка, может быть проведено заключительное обсуждение выводов и результатов проверки банка. 

5.3. В ходе заключительной встречи руководитель проверки информирует руководство банка о выводах, сделанных в ходе проверки, которые включают в себя: 

- все случаи нарушений законодательства и нормативных актов НБКР, выявленные в ходе инспекторской проверки; 

- выводы о качестве активов; 

- заключение о прибыльности банка; 

- выводы об адекватности капитала; 

- выводы о состоянии ликвидности; 

- оценку деятельности руководства банка; 

- оценку действующей системы учета и отчетности, системы информирования и системы внутреннего контроля; 

- информацию о недостатках в классификации активов, создании и поддержании адекватных резервов, при их наличии. При этом указывается, что требования должны быть выполнены к началу следующего отчетного периода. В случае необходимости может быть затребована корректировка финансовой отчетности с учетом критерия существенности на отчетную дату (конец месяца), следующую после даты проверки, с обязательной публикацией произведенных корректировок; 

- оценку управления рисками. 

5.4. В ходе заключительной встречи руководитель проверки сообщает руководству банка о необходимости исправить все недостатки, выявленные в ходе проверки, а также рекомендует приемлемые решения указанных проблем и сроки их исполнения. 

5.5. В ходе встречи составляется протокол, где фиксируются все обсужденные вопросы, и который подписывается руководителем проверки и Председателем Правления банка, а в случае его отсутствия - лицом, исполняющим его обязанности. 

5.6. Оценка деятельности банка, произведенная в ходе проверки является окончательной. 

 

VI. Отчет о проверке 

 

6.1. По итогам проверки составляется отчет о проверке, отражающий результаты проверки в письменном виде для Совета директоров и Правления банка. Отчет о проверке фокусирует внимание Совета директоров и Правления на основных выводах и заключениях проверки, включая все существенные проблемы и меры, которые необходимо предпринять. Отчет содержит все выводы и вопросы, вызывающие беспокойство у банковского надзора, а также обязательства, принятые банком для исправления и/или улучшения ситуации. 

6.2. Отчет о проверке является одним из первых шагов (мер воздействия), предпринимаемых в отношении банка по итогам инспекторской проверки, и может содержать обязательные к исполнению предписания (уведомления) об устранении в определенный срок выявленных нарушений при обнаружении фактов несоблюдения банком нормативных требований НБКР, либо нарушения банковского законодательства, а также в случае вовлечения банка в нездоровую банковскую практику. 

6.3. Отчет о проверке содержит информацию об общем состоянии банка, и если необходимо, то и о состоянии отдельных подразделений (филиалов) банка, а также о имеющихся существенных рисках и/или недостатках. 

6.4. Отчет о проверке коммерческого банка составляется в соответствии с требованиями нормативных документов НБКР. 

 

VII. Предупредительные меры и санкции 

 

7.1. При обнаружении недостатков в деятельности банка и нарушений законодательства, в том числе нормативных требований НБКР, проверяющие готовят рекомендацию о применении к банку предупредительных мер и санкций в соответствии с нормативными актами НБКР и законодательством Кыргызской Республики. 

7.2. Решение о применении к банку тех или иных предупредительных мер и санкций принимается в установленном порядке соответствующими должностными лицами и органами НБКР, уполномоченными принимать такие решения согласно внутреннему регламенту НБКР. 

 

VIII. Ознакомление с отчетом о проверке 

 

8.1. Отчет о проверке в запечатанном виде с грифом "ДСП" нарочно с сопроводительным письмом направляется Председателю Совета директоров и Председателю Правления проверенного банка. В обязательном порядке должно быть получено подтверждение о доставке отчета, включающее ф.и.о. лица, получившего отчет, и дату доставки. 

8.2. Вместе с сопроводительным письмом и отчетом о проверке Председателю Совета директоров и Председателю Правления банка в запечатанном виде с грифом "ДСП" направляется письмо с информацией о сводном рейтинге, присвоенном банку по итогам проверки и напоминается, что данная информация является конфиденциальной и не подлежит передаче третьим лицам. 

8.3. В сопроводительном письме указывается: 

- что членам Совета директоров и Правлению банка необходимо внимательно изучить отчет и в зависимости от рекомендаций, содержащихся в отчете, принять необходимые меры по устранению выявленных нарушений и отмеченных недостатков; 

- что после ознакомления с отчетом о проверке, необходимо подписать страницу (страницы) с подписями; 

- в случаях, если УБН считает, что необходимо проведение встречи с Советом директоров, назначается дата встречи. 

8.4. В случае, если по мнению УБН нет необходимости в проведении встречи с Советом директоров, а Совет директоров считает, что необходимость во встрече есть, то банку следует известить об этом УБН с предложением примерной даты встречи. 

8.5. Члены Совета директоров, Правления и начальник отдела внутреннего аудита проверенного банка должны ознакомиться с отчетом под роспись (Приложения 4, 5). Срок ознакомления с отчетом составляет 10 рабочих дней, начиная с даты отправления НБКР отчета с сопроводительным письмом. По окончании этого срока лист ознакомления с подписями возвращается в УБН НБКР. 

8.6. Члены Совета директоров и Правления банка обязаны подписаться об ознакомлении с отчетом о проверке, при этом несогласие с выводами и заключениями, содержащимися в отчете, не является основанием для отказа в подписании страницы с подписями. 

 

IX. Страница с подписями 

 

9.1. Страница (страницы) с подписями содержит подписи всех членов Совета директоров, Правления и начальника отдела внутреннего аудита. После ознакомления с отчетом, подписанная страница (страницы) с подписями возвращается начальнику ОИБ в течение 10 рабочих дней, начиная с даты отправления сопроводительного письма НБКР. Банк должен хранить копию страницы с подписями в делах банка. 

9.2. В случае отсутствия того или иного члена Совета директоров или Правления, и/или в случае невозможности контакта с ним в течение установленного периода времени для ознакомления с отчетом, банк в течение пяти рабочих дней со дня получения отчета, должен известить начальника ОИБ о причинах, по которым член Правления и/или Совета директоров банка не может подписать страницу с подписями. При этом, страница с подписями в установленный срок может быть возвращена в УБН НБКР без подписи отсутствующих членов Совета директоров и Правления. 

9.3. Ответственность за ознакомление с отчетом и подписание страницы с подписями членами Правления и/или Совета директоров в последующем, возлагается на банк. 

 

X. Встреча с Советом директоров банка 

 

10.1. Целью встречи с Советом директоров является итоговое обсуждение результатов проверки и исправительных мер, которые необходимо предпринять. Встреча с Советом директоров проводится после того, как члены Совета директоров ознакомятся с отчетом о проверке. 

10.2. Встреча проводится Начальником УБН с обязательным присутствием руководителя проверки, начальника ОИБ, куратора банка из ОВН, юриста НБКР (если предполагается обсуждение спорных правовых вопросов). Материалы к обсуждению результатов инспекторской проверки подготавливаются руководителем проверки вместе с выводами, комментариями, а также с предложением методов, которые банк может использовать для исправления недостатков и нарушений. 

10.3. Присутствие Заместителя Председателя НБКР является обязательным, если имеет место одно из перечисленных ниже условий: 

- сводный рейтинг банка был ухудшен до 4; 

- состояние банка значительно ухудшилось, либо ожидается, что оно серьезно ухудшится в результате недавних событий; 

- банк не выполняет ранее предписанные предупредительные меры и/или санкции, либо обязательства, направленные на устранение недостатков; 

- руководство банка предпринимает действия, противоречащие законодательству Кыргызской Республики; 

- планируется принятие предупредительных мер и санкций. 

10.4. Во время встречи руководство банка информируется о результатах проверки, об участках, которые необходимо усилить, и/или о намерении НБКР применить предупредительные меры и санкции, в частности, сообщаются: 

- основные проблемы или вопросы, включая риски, которым подвергается банк; 

- принятые меры по исправлению ранее выявленных недостатков и нарушений, результаты, а также последствия не устранения недостатков и нарушений; 

- стратегические вопросы, включающие рост, продукты, услуги и стратегию банка; 

- основные вопросы, вызывающие беспокойство органа банковского надзора, включая выявленные риски банка; 

- каковы сильные и слабые стороны банка; 

- внешние условия, влияющие на банк; 

- действия, которые ожидает от банка НБКР и сроки (например, планы действий, стратегии надзора, обязательства); 

- надзорная стратегия НБКР в отношении банка. 

10.5. Руководитель проверки может использовать вспомогательные материалы для лучшего представления вопроса. 

 

XI. Порядок обжалования 

 

11.1. Отчет о проверке может быть обжалован в следующем порядке: 

I. а) путем направления письма на имя начальника УБН о своем несогласии с выводами и заключениями, содержащимися в отчете о проверке, в течение 15-ти рабочих дней, после получения сопроводительного письма с отчетом о проверке; 

б) начальник УБН рассматривает и в течение 5-ти рабочих дней со дня получения письма направляет банку ответ. 

II. а) при несогласии с ответом начальника УБН, в течение 5-ти рабочих дней после получения ответа, заявитель направляет официальное письмо заместителю Председателя НБКР, курирующему УБН; 

б) заместитель Председателя НБКР рассматривает обращение банка в течение 5-ти рабочих дней со дня получения. 

III. а) в случае несогласия с решением заместителя Председателя НБКР, курирующего УБН, заявитель вправе обратиться к Председателю Правления НБКР в течение 5-ти рабочих дней со дня получения ответа от заместителя Председателя НБКР; 

б) Председатель Правления НБКР рассматривает обращение в течение 10-ти рабочих дней. В случае необходимости, Председатель Правления НБКР может принять решение о вынесении данного вопроса на обсуждение Правления НБКР. 

11.2. Во всех случаях письмо-обращение должно содержать обоснование несогласия, с указанием причин несогласия, со ссылкой на отдельные пункты отчета и с приложением необходимых документов. 

11.3. Во всех случаях НБКР направляет заявителю письменный ответ, а при необходимости организуется встреча с Председателем Правления или Председателем Совета директоров проверенного банка. 

11.4. Соблюдение досудебного порядка урегулирования споров, возникающих по отчету о проверке, является обязательным. 

11.5. В случае истечения сроков обжалования, жалоба банка Национальным банком Кыргызской Республики к рассмотрению не принимается. 

11.6. Банк вправе обжаловать отчет о проверке в судебном порядке в соответствии с законодательством Кыргызской Республики. 

 

 

Приложение 1 

к Инструкции о проведении 

инспекторских проверок на местах 

 

Председателю 

____________________ 

 

г-ну ___________________ 

 

УВЕДОМЛЕНИЕ 

 

Уважаемый(ая) ____________________________________________________ 

Настоящим Национальный банк Кыргызской Республики уведомляет Вас, что с __________________ 200__ г. в Вашем банке (включая филиалы) будет проводиться проверка (указать вид проверки) деятельности банка. 

В целях эффективного проведения проверки, а также сокращения времени пребывания инспекторов в Вашем банке, обращаюсь к Вам с просьбой дать указания соответствующим сотрудникам подготовить документы и информацию, описанные в приложении к письму. Все документы и сведения должны быть подготовлены по состоянию на 1 _____________ 200__ г. и переданы руководителю группы проверяющих в день их прибытия в банк. 

Если в ходе подготовки указанных документов у Ваших сотрудников возникнут какие-либо вопросы, а также в том случае, если Ваш банк не в состоянии подготовить запрашиваемые документы и сведения, необходимо заблаговременно, до указанной выше даты начала инспекторской проверки, связаться с сотрудником УБН НБКР ______________________________________ _______________________________________________________________________ 

(указать Ф.И.О., должность и номер телефона) 

Планируется, что в проверке примут участие __________ инспекторов, в связи с этим просим подготовить рабочее помещение с местами на ______ человек. В помещении должна быть телефонная связь, сейф для хранения документов, компьютер и принтер. 

Прошу Вас оказывать всемерное содействие группе проверки по вопросам, связанным с проверкой, обеспечивать возможность опроса должностных лиц и работников, и доступ к источникам информации, необходимой для выполнения проверки. 

 

С уважением, 

Заместитель Председателя 

 

Приложение: Перечень документов и сведений на ____________ листах. 

 

 

Приложение 

к письму НБКР 

от "___" _________ 20__ г. N ______ 

 

ПРИМЕРНЫЙ ПЕРЕЧЕНЬ 

документов и сведений, подготавливаемых 

для проверки((2) см. примечание) 

 

1. Учредительные документы: Учредительный договор, Устав. 

2. Перечень акционеров, владеющих пятью и более процентами акций банка с указанием суммы акций и доли владения в процентном соотношении к уставному капиталу. 

3. Реестр акционеров на дату проверки, заверенный независимым регистратором. 

4. Проспекты всех эмиссий акций банка, а также все имеющие к ним отношение документы. 

5. Пакет документов, регламентирующих деятельность банка и определяющих его политику: внутренние политики, инструкции, положения, процедуры, указания, циркулярные письма. Политика управления риском или описание как риск (кредитный, рыночный, операционный, ликвидный, юридический) идентифицируется, оценивается, отслеживается и контролируется банком. 

6. Перечень всех комитетов по управлению банком. 

7. Протоколы заседаний Совета Директоров, Комитета по аудиту, Правления банка, Кредитного комитета, комитета по управлению активами и пассивами и других комитетов за два предыдущих года. 

8. Список членов Совета Директоров банка с указанием срока пребывания в Совете и места работы. 

9. Список членов Правления банка, с указанием занимаемой должности, круга выполняемых обязанностей. 

10. Список руководителей структурных подразделений банка, с указанием перечня курируемых вопросов и выполняемых обязанностей. 

11. Журнал учета операций с инсайдерами и аффилированными компаниями. 

12. Годовые отчеты за два предыдущих года. 

13. Бухгалтерский баланс банка на __.__.__ г. 

14. Стратегический план развития банка, бизнес-план на прошедший и текущий годы. 

15. Дела постоянного хранения по формированию уставного капитала. 

16. Организационная структура банка. 

17. Список основных контактных сотрудников с указанием телефонных номеров по каждому важному оперативному подразделению, департаменту и функциональной группе. 

18. Отчеты внешнего и внутреннего аудита за последний год. Информацию об аудиторских планах и расписании за прошедший год и на текущий год. 

19. Обзор кредитного портфеля по состоянию на __.__.__ г. (название заемщика, тип кредита, сумма кредита, остаток кредита на __.__.__ г., дата выдачи и погашения, количество и срок пролонгаций, наличие залога, условия погашения). 

20. Копии основных отчетов по ИСУ (информационной системе управления), используемых руководством и исполнителями для мониторинга качества активов. 

21. Список просроченных ссуд (основная сумма и проценты) с указанием срока просрочки относительно первоначальной даты возврата по договору. Включите итоговые суммы по следующим просроченным интервалам: 1-30 дней, 31-90 дней, 90-120 дней, 120 дней и более. 

22. Список реструктуризированных кредитов. 

23. Описание любых контрактов, где банк за себя или за других гарантирует выплату любой ссуды или другого долгового обязательства, либо гарантирует исполнение какого-либо другого обязательства. 

24. Классификация кредитного портфеля по состоянию на __.__.__ г. и предыдущих 4-х квартальных дат. 

25. Все действующие кредитные дела, залоговые документы, графики погашения кредитов и процентов по ним. 

26. Выписки с лицевых счетов (ссудного и процентного) каждого заемщика, начиная с даты выдачи кредита по __.__.__ г. 

27. Дела постоянного хранения по формированию РППУ за период с __.__.__ г. по __.__.__ г. 

28. Журнал регистрации заявок на выдачу кредитов. 

29. Журнал учета контактов с заемщиками. 

30. Список кредитов, вынесенных на внесистемный учет. 

31. Расшифровки статей баланса: "Основные средства", "Прочая собственность", "Прочие активы", "Прочие пассивы". 

32. Перечень прямых и косвенных кредитов, выданных банком следующим физическим и связанным с ними лицам: 

A) исполнительным должностным лицам банка; 

B) основным акционерам банка; 

C) членам Совета Директоров банка; 

D) любой компании, где большинство директоров также составляет большинство директоров банка; 

E) любым другим аффилированным организациям. 

33. Список инвестиций банка в акциях долговых обязательствах, в которых инсайдеры банка имеют существенный интерес. 

34. Копии основных отчетов по ИСУ (информационной системе управления), применяемых для мониторинга портфеля ценных бумаг. 

35. Перечень ценных бумаг, купленных банком. 

36. Список заложенных ценных бумаг (номинальная, балансовая и рыночная стоимость). 

37. Перечень покупок или продаж ценных бумаг или других активов с письменным или устным соглашением об обратной продаже или покупке. 

38. Список депозитов и корреспондентских счетов в других банках, с указанием остатков. 

39. Периодические регулятивные отчеты и сведения о выполнении экономических нормативов за два предыдущих года. 

40. Копии отчетов о доходах и бюджете в сопоставлении с отчетами о фактическом исполнении за последние два года и текущий год. 

41. Копии всех основных управленческих отчетов, используемых для мониторинга всех аспектов ликвидности, управления активами и пассивами и управления всеми финансовыми рисками (процентный, валютный и др.). 

42. Список крупных индивидуальных источников финансирования. 

43. Информация о кредитных линиях между банком и другими финансовыми организациями. 

44. Перечень крупнейших депозиторов банка. 

45. Список депозитов акционеров, владеющих пятью и более процентами акций банка, инсайдеров и исполнительных должностных лиц банка, руководителей филиалов по типу депозитов, суммам, ставкам, дате вклада и срокам обращения. 

46. Список начальников структурных подразделений банка, включая филиалы и представительства. 

47. Штатное расписание банка. 

 

 

Приложение 2 

к Инструкции о проведении 

инспекторских проверок на местах 

 

НАПРАВЛЕНИЕ 

на проверку деятельности __________________ 

___________________________________________ 

(полное наименование коммерческого банка) 

 

Настоящим удостоверяется, что следующие работники: 

1. _______________________________________________________________ 

(Ф.И.О. и должность) 

2. _______________________________________________________________ 

(Ф.И.О. и должность) 

3. _______________________________________________________________ 

(Ф.И.О. и должность) 

4. _______________________________________________________________ 

(Ф.И.О. и должность) 

5. _______________________________________________________________ 

(Ф.И.О. и должность) 

... 

направляются на проверку деятельности ____________________________ _____________________________________ с "___" _____________ 200__ года. 

Программа проверки включает проверку следующих направлений и вопросов: ________________________________________________________________ _______________________________________________________________________ 

Кроме того, согласно законодательству Кыргызской Республики, полномочия группы проверяющих связанные с инспектированием деятельности банка, осуществляются в отношении любой компании, имеющей связанные интересы (инсайдеры и аффилированные лица) с банком. 

 

Заместитель Председателя 

 

 

Приложение 3 

к Инструкции о проведении 

инспекторских проверок на местах 

 

АКТ 

о противодействии проведению проверки 

___________________________________________________ 

(наименование банка (филиала, терминала, сберкассы) 

___________________________________________________ 

(местонахождение банка (филиала, терминала, 

_______________________________________________ 

сберкассы), адрес, телефон) 

 

________________________ "___" ____________ 2003 г. 

(место составления) 

 

Нами, сотрудниками Национального банка Кыргызской Республики _____ _______________________________________________________________________ 

(Ф.И.О. сотрудников НБКР) 

составлен настоящий Акт в том, что работник коммерческого банка _______ _______________________________________________________________________ 

(Ф.И.О. работника банка) 

воспрепятствовал проведению проверки деятельности данного коммерческого банка: ________________________________________________________________ 

(недопустил в здание банка, 

_______________________________________________________________________ 

не предоставил запрашиваемые инспекторами документы банка) 

В связи с воспрепятствованием проведению проверки сотрудниками НБКР, работник банка предупрежден об ответственности за воспрепятствование проведению проверки банка. 

 

Акт составлен _________________________ _____________ __________ 

(Ф.И.О. сотрудника НБКР) (должность) (Подпись) 

 

Ознакомлен _________________________ _____________ __________ 

(Ф.И.О. сотрудника банка) (должность) (Подпись) 

 

Независимое лицо ______________________ _____________ __________ 

(Ф.И.О.) (Подпись) 

 

Получен второй экземпляр акта _________________________ __________ 

(Ф.И.О. сотрудника банка) (Подпись) 

 

 

Приложение 4 

к Инструкции о проведении 

инспекторских проверок на местах 

 

ПОДПИСИ ЧЛЕНОВ СОВЕТА ДИРЕКТОРОВ 

 

Мы, нижеподписавшиеся члены Совета директоров, лично ознакомились с содержанием настоящего отчета о результатах проверки ________________ _______________________________________________________________________ 

(название банка) 

от ____________________________________________________________________ 

(проверка по состоянию на (дату)) 

 

Подписи членов Совета директоров Дата 

 

_________________________________ _____________________________ 

Ф.И.О. 

_________________________________ _____________________________ 

_________________________________ _____________________________ 

_________________________________ _____________________________ 

_________________________________ _____________________________ 

_________________________________ _____________________________ 

_________________________________ _____________________________ 

 

Примечание: Эта страница должна быть подписана всеми членами Совета директоров и начальником отдела внутреннего аудита, а затем возвращена начальнику Отдела инспектирования банков в течение 10 рабочих дней. Копия этой страницы (страниц) с подписями должна храниться в делах банка. 

 

 

Приложение 5 

к Инструкции о проведении 

инспекторских проверок на местах 

 

ПОДПИСИ ЧЛЕНОВ ПРАВЛЕНИЯ 

 

Мы, нижеподписавшиеся члены Правления банка, лично ознакомились с содержанием настоящего отчета о результатах проверки __________________ _______________________________________________________________________ 

(название банка) 

от ____________________________________________________________________ 

(проверка по состоянию на (дату)) 

 

Подписи членов Правления Дата 

 

_________________________________ _____________________________ 

_________________________________ _____________________________ 

_________________________________ _____________________________ 

_________________________________ _____________________________ 

_________________________________ _____________________________ 

_________________________________ _____________________________ 

_________________________________ _____________________________ 

 

Примечание: Эта страница должна быть подписана всеми членами Правления банка, а затем возвращена начальнику Отдела инспектирования банков в течение 10 рабочих дней. Банк должен хранить копию этой страницы (страниц) с подписями в делах банка. 

 

Примечания: 

(1) В рамках данной Инструкции проверка операций и сделок подразумевает не только сверку внутренних учетных записей с регулятивной и финансовой отчетностью и сравнение ежедневных операций с требованиями политик и процедур (для оценки соблюдения внутренних процедур), но и другие проверочные процедуры, такие как, например, проверка качества отдельных кредитов и инвестиций. 

(2) При необходимости Перечень может быть дополнен. 

 

г.Бишкек 

от 13 февраля 2002 года N 8/8 

 

ПОСТАНОВЛЕНИЕ ПРАВЛЕНИЯ НАЦИОНАЛЬНОГО БАНКА 

КЫРГЫЗСКОЙ РЕСПУБЛИКИ 

 

О "Рекомендациях по обеспечению безопасности 

информационных систем в банковских учреждениях 

Кыргызской Республики" 

 

Рассмотрев проект "Рекомендаций по обеспечению безопасности информационных систем в банковских учреждениях Кыргызской Республики", Правление Национального банка Кыргызской Республики постановляет: 

1. Одобрить "Рекомендации по обеспечению безопасности информационных систем в банковских учреждениях Кыргызской Республики". 

2. Службе безопасности довести до сведения коммерческих банков и РСК "Рекомендации по обеспечению безопасности информационных систем в банковских учреждениях Кыргызской Республики". 

3. Коммерческим банкам и РСК, в срок до 1 сентября 2002 года, разработать и ввести в действие "Политику информационной безопасности банка". 

4. Контроль за исполнением настоящего постановления возложить на члена Правления Национального банка Кыргызской Республики Чебышева В.Д. 

 

За Председателя 

И.о. Председателя Национального 

банка Кыргызской Республики Э.Абдуманапов 

 

 

 

 

 

Утверждены 

постановлением Правления 

Национального банка 

Кыргызской Республики 

от 13 февраля 2002 года N 8/8 

 

РЕКОМЕНДАЦИИ 

по обеспечению безопасности информационных систем 

в банковских учреждениях Кыргызской Республики 

 

1. Общие положения 

 

1.1. Назначение и правовая основа 

 

Современная информационная система представляет собой сложную структуру из пользовательских приложений, работающих во взаимодействии с различными операционными системами, установленными на компьютерах, объединенных в локальную вычислительную сеть, часто связанную тем или иным образом с сегментом глобальной сети. Обеспечение безопасности такой системы требует проведения целого комплекса мероприятий в соответствии с принятой политикой информационной безопасности. 

Развитие банковских технологий и платежной системы, а также развитие компьютерной техники требует качественно нового уровня построения систем информационной безопасности и их постоянного развития. Особенно это связано с развитием системы электронных платежей, систем электронных торгов и других, в результате которого все большее количество пользователей будет получать доступ к информационным ресурсам. Вместе с ростом количества пользователей повышается уязвимость информационных систем, растет риск совершения экономических преступлений с использованием компьютерных систем. Таким образом, принятие нормативных документов и обеспечение безопасности информационных систем является задачей первостепенной важности для всей банковской системы Кыргызской Республики. 

Целью "Рекомендаций по обеспечению безопасности информационных систем в банковских учреждениях Кыргызской Республики" (далее - Рекомендаций) является определение основных стратегий и направлений в области обеспечения информационной безопасности в банковской системе Кыргызской Республики и сведение к минимуму возможных потерь, вызванных действиями злоумышленников, аварийными сбоями и ошибками персонала. 

Данный документ носит рекомендательный характер и содержит сведения и рекомендации по созданию, разработке и эксплуатации информационных систем в банковских учреждениях Кыргызской Республики. 

В случае если, затрагиваются интересы Национального банка Кыргызской Республики, если осуществляется непосредственная работа с его информационными ресурсами и информационными системами то в этих случаях Национальный банк Кыргызской Республики разрабатывает требования, для каждой системы, которые являются обязательными для выполнения. 

Рекомендации разработаны в соответствии с Гражданским кодексом Кыргызской Республики, законами Кыргызской Республики "О Национальном банке Кыргызской Республики", "О банках и банковской деятельности Кыргызской Республики", Законом "Об электронных платежах" и другими нормативными и правовыми актами Кыргызской Республики. 

Рекомендации должны периодически пересматриваться с учетом изменившихся условий и появления новых требований. 

Все нормативные документы, касающиеся информационной безопасности, принимаемые в банковских учреждениях Кыргызской Республики, рекомендуется привести в соответствие с настоящим документом и содержать требования и рекомендации, изложенные в нем. 

Термины и определения, используемые в Рекомендациях, соответствуют терминам и определениям, приведенным в документе "Об основных положениях по организации платежной системы в Кыргызской Республике", утвержденном постановлением Правления Национального банка Кыргызской Республики N 3/6 от 16.02.2001 г. 

 

1.2. Объекты информационной безопасности 

 

Основными объектами информационной безопасности являются: 

- информационные ресурсы с ограниченным доступом, составляющие государственную, коммерческую, банковскую тайну, иные чувствительные по отношению к случайным и несанкционированным воздействиям и нарушению их безопасности информационные ресурсы, в том числе открытая (общедоступная) информация, представленные в виде документов и массивов информации, независимо от формы и вида их представления; 

- процессы обработки информации - информационные технологии, регламенты и процедуры сбора, обработки, хранения и передачи информации, научно-технический персонал разработчиков и пользователей системы и ее обслуживающий персонал; 

- информационная инфраструктура, включающая системы обработки и анализа информации, технические и программные средства ее обработки, передачи и отображения, в том числе каналы информационного обмена и телекоммуникации, системы и средства защиты информации, объекты и помещения, в которых размещены компоненты инфраструктуры. 

 

2. Информация 

 

2.1. Структура информационной системы 

 

Безопасность информационной системы рекомендуется строить, исходя из конкретной структуры информационной системы с учетом особенностей ее отдельных элементов. Все элементы обеспечения безопасности информационной системы функционально подразделяются на ряд уровней. 

Аппаратный уровень - связан с обеспечением безопасности по использованию оборудования информационной системы. Аппаратный уровень должен включать в себя технические средства по защите от несанкционированного использования оборудования, от его уничтожения или хищения, по обеспечению отказоустойчивости оборудования, а также по его восстановлению или замене. 

Уровень приложений - связан с обеспечением безопасности по использованию ресурсов прикладных программ пользователями информационной системы. Уровень приложений должен иметь собственные средства защиты от несанкционированных операций пользователей, работающих с прикладными программами. 

Системный уровень - связан с управлением доступом к ресурсам операционной системы. На этом уровне происходит непосредственное взаимодействие с пользователями, производится запуск прикладных программ, и осуществляется управление взаимодействием между информационной системой и пользователями. Ввиду особой важности системного уровня должно уделяться особое внимание защите системных ресурсов от несанкционированного доступа. 

Сетевой уровень - связан с управлением доступом к информационным ресурсам внутри локальной компьютерной сети банка. Безопасность информации на сетевом уровне обеспечивается средствами проверки подлинности пользователей и разграничением доступа к ресурсам компьютерной сети. 

Внешний уровень - определяет взаимодействие информационной системы банка с ресурсами информационных систем других банков, а также со своими удаленными информационными системами. Поскольку банковские информационные системы являются критически важными с точки зрения обеспечения безопасности, они должны быть закрыты по отношению к любым другим информационным системам. Таким образом, внешний уровень должен быть ограничен исключительно информационными системами банков. На внешнем уровне должна быть обеспечена защита от несанкционированного получения информации внешними пользователями, а также от несанкционированного получения информации собственными пользователями от внешних информационных систем, и несанкционированной передачи собственными пользователями информации во внешние информационные системы. 

 

2.2. Категории данных 

 

Все данные, обрабатываемые в информационной системе, а также соответствующее прикладное программное обеспечение, предназначенное для их обработки, рекомендуется разбить на категории. 

Общая информация - информация, несанкционированный доступ к которой не связан с потерями. К этой категории относится информация общего характера, имеющая косвенное отношение к деятельности банка, либо не имеющая отношения к деятельности банка, либо свободно распространяемая. Для защиты этой информации меры безопасности не применяются. 

Полезная информация - информация, которая может быть восстановлена без больших затрат, а ее изменение или уничтожение влечет за собой относительно небольшие материальные потери. К этой категории относится, например некоторая информация с грифом "для служебного пользования" и другая информация, не являющаяся секретной, но имеющая непосредственное отношение к деятельности банка. Для защиты этой информации применяются обычные меры безопасности для обеспечения ее целостности. 

Важная информация - необходимая для деятельности банка информация, процесс восстановления которой либо невозможен, либо связан с большими затратами. Несанкционированный доступ, изменение или уничтожение этой информации влечет за собой значительные материальные или моральные потери. К этой категории относится информация с грифом "для служебного пользования" или "секретно", оказывающая непосредственное влияние на нормальную работу банка. Для защиты этой информации применяются специальные меры безопасности для обеспечения ее целостности и секретности, предусматривающие меры защиты на внешнем и внутреннем уровне. 

Критичная информация - информация, без которой невозможна реализация основных функций банка. Несанкционированный доступ, изменение или уничтожение этой информации влечет за собой особенно большие материальные или моральные потери вплоть до полного банкротства банка или остановки его деятельности. К этой категории относится информация с грифом "особой важности" или "совершенно секретно", а так же информация, жизненно важная для банка, включая все финансовые и платежные документы банка. Для защиты этой информации применяются специальные меры безопасности для обеспечения ее целостности и секретности на всех уровнях, а также аутентификации на внешнем уровне. 

 

2.3. Секретность данных 

 

Для обеспечения секретности данных в банковских информационных системах на аппаратном уровне, уровне приложений и сетевом уровне должна применяться нормативная политика безопасности. При этом все санкционированные операции по получению, изменению или уничтожению секретной информации, а также попытки несанкционированных операций должны регистрироваться в системе. Зарегистрированные данные по операциям с секретной информацией должны быть доступны только для администратора системы, а также для лица или группы лиц, несущих персональную ответственность за обеспечение информационной безопасности в банке. 

Для обеспечения секретности данных в банковских информационных системах на внешнем уровне рекомендуется применять специальные средства кодирования информации (средства криптографии) и межсетевое экранирование. 

 

2.4. Целостность данных 

 

Целостность данных в банковских информационных системах рекомендуется обеспечить дублированием данных (в том числе на удаленной информационной системе), постоянным резервным копированием данных, контролем полномочий пользователей и соответствующей защитой данных на внешнем уровне. 

 

2.5. Распределение данных 

 

Обработка и хранение данных категории "общая информация", а также статических данных категории "полезная информация" может быть организовано как на клиентских машинах, так и на специализированных серверах. 

Обработка и хранение динамических данных категории "полезная информация", а также данных категорий "важная информация" и "критичная информация" рекомендуется организовать только на специализированных серверах. 

 

2.6. Угрозы информационной безопасности и их источники 

 

Наиболее опасными (значимыми) угрозами информационной безопасности информационных систем (способами нанесения ущерба субъектам информационных отношений) являются: 

- нарушение конфиденциальности (разглашение, утечка) сведений, составляющих банковскую или коммерческую тайну, а также персональных данных; 

- нарушение работоспособности (дезорганизация работы) информационных систем, блокирование доступа к информации, нарушение технологических процессов, срыв своевременного решения задач; 

- нарушение целостности (искажение, подмена, уничтожение) информационных, программных и других ресурсов, а также фальсификация (подделка) документов. 

Основными источниками угроз информационной безопасности являются: 

- непреднамеренные (ошибочные, случайные, необдуманные, без злого умысла и корыстных целей) нарушения установленных регламентов сбора, обработки и передачи информации, а также другие действия персонала при эксплуатации информационных систем, приводящие к непроизводительным затратам времени и ресурсов, разглашению сведений ограниченного распространения, потере ценной информации или нарушению работоспособности отдельных рабочих станций, подсистем или в целом всей системы; 

- преднамеренные (в корыстных целях, по принуждению третьими лицами, со злым умыслом и т.п.) действия сотрудников, допущенных к работе с информационными системами, а также сотрудников, отвечающих за обслуживание, администрирование программного и аппаратного обеспечения, средств защиты и обеспечения информационной безопасности; 

- деятельность преступных групп и формирований, политических и экономических структур, а также отдельных лиц по добыванию информации, навязыванию ложной информации, нарушению работоспособности системы в целом и ее отдельных компонентов; 

- ошибки, допущенные при проектировании информационных систем и их систем защиты, ошибки в программном обеспечении, отказы и сбои технических средств (в том числе средств защиты информации и контроля эффективности защиты); 

- действия компьютерных вирусов; 

- аварии, стихийные бедствия и т.п. 

 

3. Персонал 

 

3.1. Категории персонала 

 

Рекомендуется отнести каждого сотрудника банка к одной из следующих категорий: 

Высшее руководство - группа лиц, принимающих стратегические решения для всего банка либо отдельных его подразделений, контролирующих деятельность подразделений банка и принимающих окончательные решения по финансовым вопросам в банке. 

Менеджеры - группа лиц, принимающих тактические решения в рамках своих подразделений, организующих и контролирующих работу в рамках своих подразделений. 

Персонал безопасности - группа лиц, несущих ответственность за обеспечение безопасности в банке на различных участках. Персонал безопасности должен быть подчинен непосредственно высшему руководству и иметь соответствующие полномочия для выполнения своих функций. 

Персонал разработки системы - группа лиц, несущих ответственность за разработку и модернизацию информационной системы, а также ее администрирование. 

Персонал технической поддержки - группа лиц, несущих ответственность за поддержание работоспособности информационной системы и техническую реализацию мер безопасности. 

Операционный персонал - группа лиц, производящих санкционированные операции в информационной системе банка. 

 

3.2. Полномочия персонала 

 

Полномочия пользователей информационной системы всех категорий должны определяться на основании их прямых должностных обязанностей, установленных соответствующими должностными инструкциями. Полномочия пользователей в информационной системе должны устанавливаться владельцами информации. При установлении полномочий пользователей должна применяться нормативная политика и сегрегация полномочий. Персонал безопасности должен осуществлять контроль над установлением полномочий пользователей для работы с информацией категорий "важная информация" и "критичная информация". 

 

4. Контроль доступа к информационным 

ресурсам 

 

4.1. Регистрация пользователя 

 

Регистрацию пользователей в информационной системе рекомендуется производить на уровне специализированного сервера. 

На уровне специализированного сервера должны быть зарегистрированы: имя пользователя, личный пароль пользователя, сетевой адрес и его полномочия. Личный пароль пользователя должен регистрироваться самим пользователем в соответствии с правилами формирования паролей. Никто, кроме самого пользователя, не должен знать его личный пароль. Плановая замена паролей пользователей должна производиться с определенной периодичностью и исключать повторение паролей. Личные пароли пользователей должны храниться на специализированном сервере в недоступной для чтения форме. Не допускается производить запись личных паролей пользователей ни в какой иной форме. 

 

4.2. Идентификация пользователя 

 

Идентификацию пользователя в информационной системе банка рекомендуется организовать на уровне специализированного сервера. Успешная идентификация позволяет получить доступ к информационным ресурсам специализированного сервера в соответствии с полномочиями пользователя. Идентификация пользователя на уровне специализированного сервера должна выполняться в комплексе с идентификацией клиентской машины. После заданного числа неудачных попыток идентификации пользователя дальнейшие попытки должны автоматически блокироваться системой. 

 

4.3. Контроль полномочий пользователя 

 

Контроль полномочий пользователя в информационной системе банка должен быть комплексным и выполняться на всех уровнях: аппаратном уровне, уровне приложений, системном уровне, сетевом уровне и внешнем уровне. На каждом уровне должны быть однозначно определены полномочия пользователя по использованию информационных ресурсов системы. Полномочия пользователей должны устанавливаться в соответствии с утвержденной процедурой. Текущий контроль полномочий пользователя рекомендуется выполнять администратором системы, а также персоналом безопасности. Владельцы информации должны вести журналы выданных и аннулированных полномочий пользователей в отношении собственных информационных ресурсов. 

 

4.4. Контроль конфигурации системы 

 

Текущий контроль конфигурации системы рекомендуется выполнять администратором системы с помощью технического персонала. Любые изменения в конфигурации системы должны согласовываться с персоналом безопасности. 

 

4.5. Регистрация действий пользователя 

 

Все санкционированные операции по использованию ресурсов информационной системы, а также попытки несанкционированных операций должны регистрироваться в системе. Зарегистрированные данные должны иметь всю необходимую информацию для осуществления контроля произведенных действий пользователей и быть доступны только для администраторов системы и базы данных, а также для персонала безопасности. 

 

4.6. Контрольная отчетность 

 

Администратору системы рекомендуется не реже, чем один раз в месяц представлять персоналу безопасности банка отчет обо всех имевших место случаях нарушения или попыток нарушения прав доступа к информационным ресурсам за отчетный период. 

Администратор системы должен немедленно извещать персонал безопасности банка в случае нарушения или попытки нарушения прав доступа к информационным ресурсам в отношении информации категорий "важная информация" и "критичная информация". 

 

5. Защита информационных ресурсов 

 

5.1. Политика в области обеспечения информационной безопасности 

 

Реализация политики в области обеспечения информационной безопасности должна исходить из предпосылки, что невозможно обеспечить требуемый уровень защищенности информации только с помощью одного отдельного средства (мероприятия), а также с помощью их простой совокупности. Необходимо их системное согласование между собой (комплексное применение), а отдельные разрабатываемые элементы информационной системы должны рассматриваться как часть единой информационной системы в защищенном исполнении при оптимальном соотношении средств и организационных мероприятий. 

Основными направлениями реализации политики обеспечения информационной безопасности являются: 

- обеспечение защиты информационных ресурсов от хищения, утраты, утечки, уничтожения, искажения или подделки за счет несанкционированного доступа; 

- обеспечение защиты информации от непредвиденных сбоев системы, например, в результате форс-мажорных обстоятельств. 

Система обеспечения информационной безопасности должна предусматривать комплекс организационных и программных средств по защите информации в процессе ее обработки и хранения. 

В рамках указанных направлений политики обеспечения информационной безопасности осуществляются: 

- реализация разрешительной системы допуска исполнителей (пользователей, обслуживающего персонала) к работам, документам и информации конфиденциального характера; 

- реализация системы инженерно-технических и организационных мер охраны, (территории, здания, помещений) с комплексным применением современных технических средств охраны, обнаружения, наблюдения, сбора и обработки информации; 

- ограничение доступа исполнителей и посторонних лиц в здания и помещения, где проводятся работы конфиденциального характера и размещены средства информатизации и коммуникации, на которых обрабатывается (хранится, передается) информация конфиденциального характера, а также непосредственно к самим средствам информатизации и коммуникациям; 

- разграничение доступа пользователей и обслуживающего персонала к информационным ресурсам, программным средствам обработки, передачи и защиты информации в подсистемах различного уровня и назначения; 

- учет документов, информационных массивов, регистрация действий пользователей и обслуживающего персонала, контроль над несанкционированным доступом и действиями пользователей, обслуживающего персонала и посторонних лиц; 

- предотвращение внедрения в автоматизированные подсистемы программ-вирусов, программных закладок; 

- криптографическое преобразование информации, обрабатываемой и передаваемой средствами вычислительной техники и связи; 

- надежное хранение традиционных и машинных носителей информации, ключей (ключевой документации) и их обращение, исключающее хищение, подмену и уничтожение; 

- необходимое резервирование технических средств и дублирование массивов и носителей информации. 

 

5.2. Резервные копии 

 

Рекомендуется создавать резервные копии на магнитных носителях, доступных для использования в конкретной информационной системе. Резервные копии рекомендуется создавать в обязательном порядке для информации различных категорий, а также для системного и прикладного программного обеспечения, необходимого для обработки этой информации. В качестве носителей данных могут использоваться гибкие магнитные диски, магнитные ленты, записываемые оптические цифровые диски и др. Все резервные копии должны иметь идентификатор, включающий категорию хранимой информации, порядковый номер и дату последнего копирования. Рекомендуется иметь дубликат всех резервных копий. Резервные копии и их дубликаты должны храниться раздельно (по возможности в удаленных друг от друга помещениях) в специальных контейнерах, обеспечивающих защиту от несанкционированного доступа, защиту от электромагнитных излучений, защиту от тепловых воздействий, защиту от механических воздействий, а также поддерживающих внутреннюю температуру и влажность воздуха на заданном уровне. 

 

5.3. Помещения 

 

Рекомендуется разработать требования по технической укрепленности помещений, в которых установлено оборудование информационной системы банка. 

Помещения, в которых установлено оборудование информационной системы банка, должны быть однозначно отнесены к одной из категорий соответствующей категории информации, к которой осуществляется доступ с конкретных рабочих мест в данном помещении. В том случае, если из данного помещения осуществляется доступ к нескольким категориям информации, то оно должно быть отнесено к наиболее высокой из этих категорий. Физический доступ персонала в помещения должен быть организован в зависимости от их категории. 

Проведение ремонтных работ и уборку помещений категорий "важная информация" и "критичная информация" рекомендуется производить только в присутствии ответственных лиц, назначенных приказом. 

Специализированные сервера и связанное с ними оборудование рекомендуется устанавливать в специальных помещениях, отнесенных к категории "критичная информация". 

Для подключения специализированных серверов и связанного с ними оборудования к системе электропитания рекомендуется использовать сглаживающие фильтры, источники бесперебойного питания и автономные источники питания. 

 

5.4. Процедуры восстановления 

 

Для информации категорий "важная информация" и "критичная информация" должны быть предусмотрены процедуры восстановления данных с резервных копий, а также процедуры восстановления нормальной работы оборудования, замены и подключения его отдельных узлов на случай несанкционированного либо случайного нарушения целостности информации или ее уничтожения. Описания процедур восстановления рекомендуется составить в двух экземплярах и хранить раздельно с резервными копиями. 

 

5.5. Контрольная отчетность 

 

Все операции по резервному копированию, восстановлению с резервных копий, замене и подключению отдельных узлов оборудования, а также изменению конфигурации информационной системы должны фиксироваться в специальных журналах ответственными за выполнение этих операций лицами. Один журнал должен находиться у персонала безопасности, а другой у администратора системы. 

 

5.6. Администрирование 

 

Полномочия администратора системы и администратора базы данных рекомендуется разделить. Администратор системы должен определять права доступа пользователей к системе, а администратор баз данных должен определять права доступа пользователей к базам данных. 

 

5.7. Защита коммуникаций 

 

Для передачи данных на внешнем уровне рекомендуется использовать наиболее надежные линии связи и коммуникационное оборудование, соответствующее международным стандартам. Рекомендуется не использовать нестандартное оборудование. 

Для передачи данных категории "критичная информация" рекомендуется использовать специальные выделенные линии связи, а также рекомендуется предусмотреть резервные линии связи или альтернативные способы передачи информации. В случае использования коммутируемых линий связи рекомендуется применять специальные модемы с автоматическим обратным вызовом. Информацию о номерах, кодах и конфигурации коммутируемых линий связи, а также ключи кодирования и личные секретные ключи необходимо относить к категории "критичная информация". 

Защиту информации на внешнем уровне следует организовать комплексно, с помощью средств криптографии, межсетевого экранирования данных всех категорий за исключением "общей информации", а также средств аутентификации данных категории "критичная информация". 

 

5.8. Кодирование сообщений 

 

Для передачи данных на внешнем уровне рекомендуется применять средства криптографии, соответствующие международным стандартам. Рекомендуется не использовать нестандартное оборудование. 

Средства криптографии рекомендуется разделить на серверную, клиентскую и администраторскую части. Сервер криптографии рекомендуется установить на каждом стыке сегментов сетевого уровня с сегментами внешнего уровня. Средства криптографии должны иметь производительность, необходимую для криптографирования потока данных, передаваемых во внешний уровень в режиме реального времени. Средства криптографии должны обеспечивать полную прозрачность для всего используемого прикладного и системного программного обеспечения, а также не требовать переделки используемого прикладного и системного программного обеспечения. Средства криптографии рекомендуется использовать с наибольшей длиной ключа из всех, доступных на территории Кыргызской Республики технологий. 

 

5.9. Межсетевое экранирование 

 

Для защиты данных на внешнем уровне рекомендуется применять средства межсетевого экранирования. Средства межсетевого экранирования должны обеспечивать многоуровневую фильтрацию с формированием и анализом сетевых соединений. Средства межсетевого экранирования должны обеспечивать векторизацию данных, позволяющую направлять данные помимо основного сетевого адреса также на другие заранее заданные сетевые адреса для протоколирования или возбуждения сигналов тревоги. Средства межсетевого экранирования должны обеспечивать трансляцию сетевых адресов, позволяющую исключить наличие в каналах внешнего уровня какой-либо информации о топологии сегментов сетевого уровня в открытом виде. Средства межсетевого экранирования должны обеспечивать полную прозрачность для всего используемого прикладного и системного программного обеспечения, а также не требовать переделки используемого прикладного и системного программного обеспечения. 

 

5.10. Аутентификация сообщений 

 

Для защиты данных категории "критичная информация" на внешнем уровне рекомендуется использовать средства аутентификации сообщений. Средства аутентификации должны иметь стандартные алгоритмы хеширования и кодирования. При этом аутентичность рекомендуется обеспечивать за счет секретности личных ключей, а не за счет секретности алгоритма кодирования. Средства аутентификации должны обеспечивать полную прозрачность для всего используемого прикладного и системного программного обеспечения, а также не требовать переделки используемого прикладного и системного программного обеспечения. Средства аутентификации рекомендуется использовать с наибольшей длиной ключа из всех, доступных на территории Кыргызской Республики технологий. 

 

5.11. Администрирование 

 

Распределенная совокупность средств криптографии, межсетевого экранирования и аутентификации должна иметь централизованное администрирование. Администрирование должно включать в себя управление конфигурацией, сбор и анализ регистрационной информации, а также реакцию на попытки нарушения безопасности информационной системы. Регистрационная информация должна быть отнесена к категории "критичная информация". 

 

5.12. Защита платежных документов 

 

Электронные платежные документы должны быть отнесены к категории "критичная информация". Электронные платежные документы должны иметь единые для всех банковских учреждений Кыргызской Республики строго определенные форматы, утвержденные Национальным банком Кыргызской Республики. Каждое сообщение, содержащее электронные платежные документы и успешно прошедшее аутентификацию у получателя, должно иметь подтверждение, содержащее точные копии первичных электронных платежных документов и успешно прошедшее аутентификацию у отправителя. В качестве отправителей и получателей сообщения могут быть посредники по проведению платежа. Период времени между отправкой сообщения и аутентификацией подтверждения должен строго контролироваться и не должен превышать времени, необходимого для передачи сообщения по линиям связи, его аутентификации у получателя, формирования подтверждения, передачи подтверждения по линиям связи и его аутентификации у отправителя. Стандартное время получения подтверждения должно быть установлено для каждого канала, по которому производится обмен электронными платежными документами. Любое превышение периода времени по сравнению со стандартным должно рассматриваться как нарушение безопасности, а соответствующие электронные платежные документы должны рассматриваться как недействительные. 

 

5.13. Регистрация и хранение платежных документов 

 

Сообщения, содержащих электронные платежные документы и подтверждения, рекомендуется ежедневно по парно заносить в архив и хранить в пределах срока исковой давности, установленного законодательством Кыргызской Республики. Электронные платежные документы юридически приравниваются к бумажным платежным документам. Ведение архива электронных платежных документов рекомендуется производить на магнитных носителях так же, как и ведение резервных копий. Для электронных платежных документов, помещаемых в архив, должен быть составлен перечень стандартной формы, заверенный личным штампом и собственноручной подписью ответственного за работу с архивом электронных платежных документов лица, назначенного приказом. 

Для отправителя и получателя рекомендуется иметь копии всех электронных платежных документов, отпечатанные на бумажном носителе и заверенные личными штампами и собственноручными подписями ответственных за прием и передачу электронных платежных документов лиц, назначенных приказом. После завершения процедуры бухгалтерского учета копии на бумажном носителе рекомендуется подшивать в документы дня, а затем передаваться в архив и храниться в пределах срока исковой давности, установленного законодательством Кыргызской Республики. 

Операции по приему, передаче, аутентификации, помещению в архив и хранению в архиве электронных платежных документов рекомендуется контролировать персоналом безопасности. 

 

5.14. Контрольная отчетность 

 

Все операции по передаче электронных сообщений во внешний уровень, их аутентификации, помещению в архив, а также изменению конфигурации средств криптографии, межсетевого экранирования и аутентификации рекомендуется фиксировать в специальных журналах ответственными за выполнение этих операций лицами. Рекомендуется один журнал хранить у персонала безопасности, а другой у администратора системы. 

 

5.15. Использование пластиковых платежных карт 

 

Система безопасности при использовании пластиковых платежных карт должна обеспечивать целостность и подлинность передачи транзакций по каналам связи, а также последующую идентификацию и аутентификацию держателя карты. Система безопасности в целях снижения рисков должна обеспечить непрерывный мониторинг и контроль за транзакциями в системе, мониторинг и управление сетью терминалов и банкоматов. Система безопасности должна поддерживать методы шифрования и верификации. Информация о транзакциях должна заверяться электронной цифровой подписью и передаваться участникам по каналам связи в зашифрованном виде. 

Для обслуживания карт международных систем должен быть обеспечен уровень безопасности, установленный данными системами. 

 

5.16. Международные информационные системы 

 

Требования к безопасности международных информационных систем определяются соответствующими международными стандартами. 

 

6. Антивирусная защита 

 

Компьютерные вирусы представляют собой большую угрозу целостности и секретности информации. В целях предотвращения угрозы нарушения информационной безопасности, наряду с мерами по защите информации от несанкционированного доступа, рекомендуется предусмотреть меры по защите информации от вирусного воздействия. Эти меры должны выполняться в комплексе с другими мерами безопасности и сводить к минимуму возможность проникновения вирусов в информационную систему. С этой целью информационная система должна строиться с использованием наиболее стойкого к воздействиям вирусов программного обеспечения. В информационной системе рекомендуется использовать средства автоматического антивирусного контроля. Кроме того, техническому персоналу рекомендуется проводить периодическое плановое антивирусное тестирование всей информационной системы с применением последних версий наиболее эффективных антивирусных программ. Антивирусное тестирование должно производиться одинаково для всех категорий информации. В случае обнаружения вирусов или следов вирусов антивирусному тестированию должны быть подвергнуты все резервные копии и архивы данных, созданные после предпоследнего антивирусного тестирования. 

 

7. Разработка процедур аварийного 

восстановления 

 

Поскольку никакими средствами невозможно полностью исключить информационные потери, целью обеспечения информационной безопасности должна быть минимизация информационных потерь, возникших в результате несанкционированного доступа, нарушения мер безопасности, отказа оборудования, отказа системы электропитания, а также стихийных бедствий. Рекомендуется разработать детальный план аварийного восстановления информационной системы, предусматривающий все возможные случаи информационных потерь и соответствующие способы восстановления нарушенных функций информационной системы и потерянных данных, а также резервирование помещений, оборудования, программного обеспечения, электропитания и др. Кроме того, на основе общего плана рекомендуется разработать персональные инструкции для ответственных лиц по восстановлению информационной системы. План аварийного восстановления информационной системы должен периодически проверяться, обновляться и быть доступным для всего соответствующего персонала. 

 

8. Текущий контроль 

 

8.1. Выборочное тестирование 

 

Администраторам информационной системы в присутствии персонала безопасности рекомендуется производить выборочное тестирование рабочих мест пользователей на предмет соответствия принятым нормативным документам по информационной безопасности. Администраторам информационной системы и персоналу безопасности рекомендуется составлять отчет о результатах выборочной проверки и представлять его высшему руководству. 

 

8.2. Проверка отчетности 

 

Ответственному сотруднику из персонала безопасности, назначенному приказом, рекомендуется проводить проверку регистрационных журналов и отчетов по безопасности информационной системы с установленной периодичностью. 

 

9. Профилактические меры 

 

9.1. Анализ возможных рисков и разработка адекватных мер 

 

Разработка и реализация мер по обеспечению безопасности информационной системы должна основываться на анализе риска. Анализ риска создает базу для подготовки и принятия решений по защите информационной системы и оптимизирует затраты на реализацию этой защиты. Анализ риска должен состоять из следующих этапов: 

- описание состава информационной системы (аппаратное и программное обеспечение, данные, коммуникации, персонал); 

- определение уязвимых мест по каждому элементу системы с оценкой возможных угроз; 

- оценка вероятностей реализации угроз; 

- оценка ожидаемых размеров потерь; 

- анализ возможных методов и средств защиты; 

- оценка эффективности защиты (соотношения затрат на реализацию защиты и ожидаемых потерь, а также ожидаемых потерь и максимально допустимых потерь). 

Анализ риска рекомендуется проводить с установленной периодичностью для всей информационной системы, а также при подготовке каждого нового технического проекта, и завершаться разработкой и принятием мер по обеспечению безопасности информационной системы. 

 

9.2. Обеспечение кадровой безопасности 

 

Обеспечение безопасности информационной системы неразрывно связано с вопросами подбора, подготовки и расстановки кадров. В процессе подбора кадров рекомендуется проводить анализ деловых и личных качеств кандидатов на должности в соответствии с принятой политикой безопасности и общей политикой в вопросах подбора кадров. Рекомендуется организованно на регулярной основе проводить изучение пользователями конкретных процедур и механизмов в действующей системе защиты, изучение программного обеспечения и инструкций по работе с ним, связанных с выполнением своих должностных обязанностей, а также проверку знаний пользователей программного обеспечения, инструкций по работе с ним и своих должностных обязанностей по соблюдению мер безопасности. Большое значение имеет формирование у пользователей понимания важности мер безопасности и своей персональной ответственности за их соблюдение. Персональная ответственность за несоблюдение мер безопасности должна быть определена в соответствующих должностных инструкциях. 

 

9.3. Изучение новейших технологий информационной безопасности 

 

С целью построения наиболее современной и эффективной защиты информационной системы необходимо постоянно собирать материалы и изучать новейшие технологии информационной безопасности, давать оценку их надежности, эффективности и применимости для конкретной информационной системы. 

 

9.4. Анализ мировой статистики информационных преступлений 

 

С целью своевременного определения и предотвращения угроз безопасности информационной системы необходимо постоянно собирать материалы и изучать мировую статистику информационных преступлений, классифицировать и давать оценку вероятности их повторения для конкретной информационной системы. 

 

10. Заключительные положения 

 

Для обеспечения надежной защиты информационной системы все меры безопасности должны применяться комплексно. Наличие одного слабого звена в комплексной защите информационной системы способно свести к нулю общий уровень безопасности, а также эффективность прилагаемых усилий по обеспечению безопасности информационной системы и затрачиваемых на эти цели средств.