Приложение
к постановлению Правления
Национального банка
Кыргызской Республики
от 19 декабря 2018 года
№ 2018-П-36/55-10-(НПА)
ПОЛОЖЕНИЕ
о сервис-бюро СВИФТ Национального банка Кыргызском Республики
1. Общие положения
1. Настоящее Положение определяет основные понятия и принципы функционирования сервис-бюро СВИФТ (далее - сервис-бюро) Национального банка Кыргызской Республики (далее - Национальный банк), а также основные требования к подключению и доступу коммерческих банков (далее - Участники) к SWIFTNet через сервис-бюро и поддержке Участников.
2. Сервис-бюро представляет собой совокупность инфраструктуры коллективного доступа к SWIFTNet с соответствующим персоналом (далее - персонал сервис-бюро), поддерживающим данную инфраструктуру и обеспечивающим взаимодействие Участников с SWIFTNet.
3. SWIFT (Society for Worldwide Interbank Financial Telecommunication) - сообщество всемирных межбанковских финансовых телекоммуникаций. Телекоммуникационная сеть SWIFTNet обеспечивает надежную и безопасную передачу данных и сообщений для проведения трансграничных и внутренних платежей между пользователями системы SWIFT.
4. Оператором сервис-бюро, осуществляющим поддержку и функционирование инфраструктуры коллективного доступа в систему SWIFT, является Национальный банк. Функции оператора сервис-бюро могут быть переданы другой организации, при выполнении требований, установленных настоящим Положением, а также в соответствии с правилами и требованиями SWIFT.
5. Персонал сервис-бюро - это сотрудники структурного подразделения Национального банка. Сотрудники сервис-бюро в соответствии с требованием SWIFT проходят соответствующую сертификацию.
6. Участниками сервис-бюро являются банки - члены сообщества SWIFT, использующие техническую инфраструктуру сервис-бюро для доступа к SWIFTNet.
7. Взаимоотношения Участников сервис-бюро в процессе функционирования сервис-бюро и эксплуатации инфраструктуры коллективного доступа в SWIFTNet, распределение рисков, ответственность, права и обязанности устанавливаются в многостороннем соглашении и двухсторонних договорах, заключенных между Участниками и оператором сервис-бюро (далее - договора).
2. Основные принципы функционирования сервис-бюро
8. Поддержка и функционирование инфраструктуры коллективного доступа к SWIFTNet обеспечивается сервис-бюро совместно с провайдерами связи - сетевыми партнерами компании SWIFT. При этом:
1) сервис-бюро обеспечивает поддержку и функционирование программного обеспечения (далее - ПО), оборудования интерфейса/сервера SWIFT и сетевого оборудования (далее - инфраструктура сервис-бюро), находящегося в зоне ответственности сервис-бюро в соответствии с договорами;
2) провайдеры связи обеспечивают поддержку и функционирование каналов связи сервис-бюро в соответствии с условиями, установленными в договоре между оператором сервис-бюро и провайдером связи.
9. Техническая инфраструктура сервис-бюро включает в себя:
1) серверное оборудование (основное и резервное);
2) сетевое оборудование;
3) каналы связи (основной и резервный) от сервис-бюро до провайдера связи SWIFT.
10. Обслуживание и поддержка технической инфраструктуры сервис-бюро осуществляется персоналом сервис-бюро.
11. Функционирование сервис-бюро обеспечивается:
1) технической инфраструктурой коллективного доступа к SWIFTNet;
2) персоналом сервис-бюро;
3) правилами и рекомендациями, регулирующими работу в SWIFTNet, разработанными SWIFT (далее - документы SWIFT);
4) нормативными правовыми актами Национального банка;
5) договорами.
12. Сервис-бюро предоставляет Участникам услуги в пределах полномочий, представленных со стороны SWIFT и Национального банка.
13. Существует два способа подключения Участников к сервис-бюро:
1) с использованием инфраструктуры сервис-бюро для работы в сети SWIFTNet - Access connection;
2) с использованием собственных серверов и инфраструктуры сервис-бюро - Gateway connection.
14. В случае использования инфраструктуры сервис-бюро (Access connection) для работы в системе SWIFT доступ Участника к интерфейсу осуществляется через рабочие станции (далее - терминалы SWIFT) с использованием браузера. Поддержка и функционирование соответствующего терминала SWIFT на стороне Участника обеспечивается специалистами по сопровождению каждого Участника самостоятельно.
15. В случае использования собственных серверов (Gateway connection) для работы в системе SWIFT доступ Участника к сети SWIFTNet осуществляется через терминалы SWIFT, подключенные к собственным серверам SWIFT. Поддержка и функционирование соответствующих серверов и терминалов SWIFT обеспечивается персоналом по сопровождению каждого Участника самостоятельно.
16. По всем вопросам касательно системы SWIFT Участники должны обращаться к персоналу сервис-бюро. В случае, если вопрос не будет в компетенции персонала сервис-бюро, то данный вопрос должен быть перенаправлен в Службу поддержки SWIFT от имени Участника.
17. Сервис-бюро не имеет доступа к терминалам/серверам SWIFT Участника и не несет ответственности за формирование и отправку SWIFT-сообщений Участника.
18. Персонал сервис-бюро в своей деятельности руководствуется документами SWIFT, нормативными правовыми актами Национального банка, внутренними процедурами и договорами.
19. Каждый Участник должен иметь основной и дублирующий состав специалистов в системе SWIFT, выполняющих функции по формированию и отправке сообщений в сети SWIFTNet, согласно требованиям и рекомендациям SWIFT. Состав специалистов и распределение их функций (ролей) по отправке сообщений в системе SWIFT утверждается внутренними документами Участника.
20. Участник несет ответственность за все риски, связанные с операционной деятельностью своих специалистов при формировании и отправке SWIFT-сообщений (ошибки специалистов, несанкционированный доступ, мошенничество и т.д.).
21. Регламент, порядок проведения работ и взаимодействия персонала сервис-бюро и Участников, условия подключения, требования по доступности услуг, расчет стоимости услуг и порядок оплаты, распределение ответственности сторон устанавливаются в договорах между оператором сервис-бюро и Участниками с учетом настоящего Положения.
22. Деятельность сервис-бюро подлежит обязательной сертификации по программе Shared Infrastructure Program, разработанной и утвержденной компанией SWIFT для организаций, предоставляющих услуги подключения других участников к SWIFTNet через общую инфраструктуру коллективного доступа.
3. Основные требования по обеспечению безопасности и надежности функционирования инфраструктуры сервис-бюро
23. Безопасность и надежность функционирования сервис-бюро должны обеспечиваться в соответствии со следующими принципами:
1) защитой от операционных рисков и рисков среды функционирования;
2) конфиденциальностью и целостностью данных Участников, подключенных к SWIFTNet через инфраструктуру сервис-бюро по схеме Access connection;
3) непрерывностью доступа Участников к SWIFTNet;
4) ежегодным аудитом/самооценкой на соответствие требованиям компании SWIFT.
24. Защита от операционных рисков и рисков среды функционирования должна обеспечиваться наличием:
1) основного и дублирующего персонала с достаточной квалификацией для обеспечения поддержки и функционирования инфраструктуры сервис-бюро;
2) отдельного сегмента локальной сети для терминалов/серверов SWIFT Участников;
3) основного и резервного серверного и сетевого оборудования, расположенных друг от друга на удаленном расстоянии;
4) основного и резервного каналов связи до провайдера связи SWIFT;
5) специального серверного помещения с ограниченным доступом, видеонаблюдением и оборудованным охранно-пожарной сигнализацией;
6) соответствующего оборудования по обеспечению бесперебойного электрического питания;
7) средств по защите от несанкционированного доступа Участников и персонала сервис-бюро к интерфейсу/серверу SWIFT.
25. Конфиденциальность и целостность данных Участников (информация входящих/исходящих сообщений, шифровальных и идентификационных ключей и т.п.) должны обеспечиваться наличием:
1) разграничения доступа каждого пользователя SWIFT Участника к терминалу/серверу SWIFT в соответствии с документами SWIFT;
2) распределения ответственности персонала сервис-бюро по обеспечению конфиденциальности и целостности данных Участников в соответствии с внутренними процедурами сервис-бюро;
3) проведения ежедневного мониторинга со стороны сервис-бюро за функционированием инфраструктуры сервис-бюро (конфиденциальности, хранения данных, несанкционированного доступа к ним) и оперативного реагирования по выявленным ошибкам и сбоям;
4) регулярного проведения тестирования на выявление уязвимостей (не реже одного раза в квартал) в инфраструктуре сервис-бюро, а также, при необходимости, привлечения независимой организации для проведения работ по тестированию и выявлению уязвимостей (не реже одного раза в год).
26. Бесперебойность доступа Участников к сервису SWIFTNet должна обеспечиваться круглосуточным функционированием инфраструктуры сервис-бюро, за исключением времени выполнения регламентных работ и периода времени восстановления (максимальное время простоя системы - 4 (четыре) часа).
27. При возникновении нештатной ситуации в функционировании инфраструктуры сервис-бюро персонал сервис-бюро уведомляет об этом Участников в соответствии с условиями договоров.
28. При необходимости приема/передачи срочных платежей, до устранения причины возникновения нештатной ситуации, Участники должны использовать альтернативные каналы передачи данных в соответствии с условиями договоров.
29. Персонал сервис-бюро осуществляет техническую поддержку Участников в режиме 8/5 (восемь часов в день, пять рабочих дней в неделю).
4. Основные требования по подключению Участников к SWIFTNet через сервис-бюро
30. Подключение Участников к сервису SWIFTNet через сервис-бюро осуществляет персонал сервис-бюро.
31. Основными требованиями для подключения Участника к сервис-бюро являются:
1) вступление в члены сообщества SWIFT;
2) заключение с оператором сервис-бюро договора на подключение к сервис-бюро;
3) установка и подключение терминала SWIFT (Access connection)/сервера SWIFT (Gateway connection), включающее проведение следующих мероприятий:
- подготовка терминала SWIFT (Access connection)/сервера SWIFT (Gateway connection) для подключения к сервису SWIFTNet в соответствии с документами SWIFT и условиями договора на подключение к сервис-бюро SWIFT;
- организация для работы терминала SWIFT (Access connection)/сервера SWIFT (Gateway connection) с интерфейсом/сервером SWIFT, находящимся в сервис-бюро в отдельной подсети, независимой от общей локальной сети Участника;
- обеспечение безопасной среды функционирования терминала SWIFT (Access connection)/сервера SWIFT (Gateway connection) (специальное помещение с ограниченным доступом и оборудованным охранно-пожарной сигнализацией и др.);
- наличие альтернативного канала передачи данных в качестве резервного для обеспечения отправки/получения сообщений при возникновении нештатных ситуаций в работе инфраструктуры сервис-бюро либо обязательная установка такого средства в случае его отсутствия;
- наличие основного и резервного каналов связи с шифрованием от терминала SWIFT (Access connection)/сервера SWIFT (Gateway connection) до основного и резервного сайтов сервис-бюро, обеспечивающих передачу данных;
- обучение сотрудников, непосредственно работающих в системе SWIFT;
- по готовности инфраструктуры и персонала Участника автоматизированная система SWIFT вводится в опытную эксплуатацию на основании акта приема;
- проведение тест-тренингового режима работы терминала SWIFT (Access connection)/сервера SWIFT (Gateway connection);
- ввод в промышленную эксплуатацию автоматизированной системы SWIFT Участника.
32. В случае несоблюдения Участником основных требований для подключения к инфраструктуре сервис-бюро оператор сервис-бюро, предварительно уведомив Участника, может приостановить действия по подключению к сервис-бюро и не несет ответственности за возможные последствия.
5. Основные требования по предоставлению доступа Участников к терминалу (Access connection)/серверу SWIFT (Gateway connection)
33. Для получения доступа к системе SWIFT Участник должен соблюдать следующие требования:
1) назначить состав специалистов Участника, которые непосредственно должны принимать участие в эксплуатации системы SWIFT;
2) распределить права доступа к системе SWIFT и ответственность каждого специалиста строго в соответствии с документами SWIFT;
3) обеспечивать соответствующий уровень защиты информации терминала SWIFT (Access connection)/сервера SWIFT (Gateway connection) от несанкционированного доступа;
4) обеспечивать поддержку и функционирование терминала SWIFT (Access connection)/сервера SWIFT (Gateway connection) и нести ответственность за все риски, связанные со сбоями оборудования, программного обеспечения, каналов связи, операционной деятельностью специалистов (ошибки сотрудников, несанкционированный доступ, мошенничество);
5) разработать внутренние процедуры формирования и отправки сообщений, соблюдения конфиденциальности, хранения данных и предотвращения несанкционированного доступа к ним в соответствии с документами SWIFT, нормативными правовыми актами Национального банка, законодательством Кыргызской Республики и договорами, а также порядок работы персонала при возникновении нештатных ситуаций в процессе эксплуатации терминала SWIFT (Access connection)/сервера SWIFT (Gateway connection);
6) при возникновении нештатной ситуации (инцидента, киберинцидента) на стороне Участника персонал Участника уведомляет об этом сервис-бюро в соответствии со сроками и условиями договоров;
7) поддерживать в рабочем состоянии альтернативные каналы передачи данных для обеспечения отправки/получения сообщений при возникновении нештатных ситуаций в работе инфраструктуры сервис-бюро.
34. Для обеспечения соответствующего уровня защиты информации необходимо:
1) распределение обязанностей персонала, имеющих доступ к терминалу SWIFT (Access connection)/серверу SWIFT (Gateway connection), в соответствии с принципами безопасности: доступ к информации только по служебной необходимости, минимальные полномочия и разграничение обязанностей, согласно с требованиями и рекомендациями SWIFT;
2) систематический контроль со стороны сервис-бюро и Участника за выполнением требований предоставления доступа персонала к системе SWIFT в соответствии с внутренними процедурами Участника;
3) шифрование трафика от терминала SWIFT (Access connection)/сервера SWIFT (Gateway connection) до сервис-бюро.
35. В случае нарушения данных требований сервис-бюро оператор сервис-бюро, предварительно уведомив Участника, может приостановить доступ Участника к сети SWIFTNet через сервис-бюро и не несет ответственности за возможные последствия.