Кыргыз Республикасынын Улуттук банкынын
айрым ченемдик укуктук актыларына маалымат системаларынын
аудити маселеси боюнча өзгөртүүлөрдү киргизүү жөнүндө
Кыргыз Республикасынын «Кыргыз Республикасынын Улуттук банкы жөнүндө» конституциялык Мыйзамынын 5, 9 жана 64-беренелерине ылайык, Кыргыз Республикасынын Улуттук банк Башкармасы токтом кылат:
1. Кыргыз Республикасынын Улуттук банк Башкармасынын төмөнкү токтомдоруна өзгөртүүлөр киргизилсин (кошо тиркелет):
- 2010-жылдын 12-мартындагы № 6/2 «Кыргыз Республикасынын коммерциялык банктарынын финансылык отчетторду түзүүсүнө карата коюлган талаптар жөнүндө» жобону бекитүү тууралуу»;
- 2017-жылдын 8-июнундагы № 2017-П-12/23-9-(НПА) «Коммерциялык банктардын жана банктык эмес финансы-кредит уюмдарынын системалуу маанилүүлүгүн аныктоо критерийлери жөнүндө» Жобону бекитүү жөнүндө»;
- 2017-жылдын 15-июнундагы № 2017-П-12/25-2-(НПА) «Кыргыз Республикасынын Улуттук банкынан лицензия алышкан банктардын жана башка финансы-кредит уюмдарынын тышкы аудитине карата минималдуу талаптар жөнүндө» жобону бекитүү тууралуу»;
- 2017-жылдын 15-июнундагы № 2017-П-12/25-3-(НПА) «Кыргыз Республикасынын Улуттук банкы тарабынан лицензияланган жана иши ал тарабынан жөнгө салынган банктарда жана банктык эмес финансы-кредит уюмдарында ички контролдук жана ички аудит системаларын жөнгө салуу эрежелерин бекитүү жөнүндө»;
- 2017-жылдын 15-июнундагы № 2017-П-12/25-8-(НПА) «Кыргыз Республикасынын банктарында тобокелдиктерди тескөө боюнча минималдуу талаптар жөнүндө» жобону бекитүү тууралуу».
2. Токтом расмий жарыяланган күндөн тартып 15 (он беш) күн өткөндөн кийин күчүнө кирет.
3. Юридика башкармалыгы:
- тиешелүү документтер алынган күндөн тартып 3 (үч) жумуш күнү ичинде токтомду Кыргыз Республикасынын Улуттук банкынын расмий интернет-сайтына жарыяласын;
- расмий жарыялангандан кийин токтомду Кыргыз Республикасынын ченемдик укуктук актыларынын мамлекеттик реестринде чагылдырылышы үчүн Кыргыз Республикасынын Юстиция министрлигине жөнөтсүн.
4. Көзөмөлдөө методологиясы башкармалыгы токтом расмий жарыялангандан кийин 3 (үч) жумуш күнү ичинде ушул токтом менен «Кыргызстан банктарынын союзу» юридикалык жактар бирикмесин, коммерциялык банктарды, «Кыргыз Республикасынын Мамлекеттик өнүктүрүү банкы» ачык акционердик коомун, Кыргыз Республикасынын Улуттук банкынын түзүмдүк бөлүмдөрүн, областтык башкармалыктарын жана Баткен областындагы өкүлчүлүгүн тааныштырсын.
5. Токтомдун аткарылышын контролдоо Көзөмөлдөө методологиясы башкармалыгынын ишин тескөөгө алган Кыргыз Республикасынын Улуттук банк Башкармасынын мүчөсүнө жүктөлсүн.
Төрага К. Боконтаев
Кыргыз Республикасынын Улуттук банк Башкармасынын 2023-жылдын __-____________
№ ________________________
токтомуна карата тиркеме
Кыргыз Республикасынын Улуттук банкынын айрым ченемдик укуктук актыларына маалымат системаларынын аудити маселеси боюнча өзгөртүүлөр
1. Кыргыз Республикасынын Улуттук банк Башкармасынын 2010-жылдын 12-мартындагы № 6/2 «Кыргыз Республикасынын коммерциялык банктарынын финансылык отчетторду түзүүсүнө карата коюлган талаптар жөнүндө» жобону бекитүү тууралуу» токтомуна төмөнкү өзгөртүү киргизилсин:
жогоруда аталган токтом менен бекитилген «Кыргыз Республикасынын коммерциялык банктарынын финансылык отчетторду түзүүсүнө карата коюлган талаптар жөнүндө» жобонун:
- 26-пунктунун биринчи абзацы төмөнкү редакцияда берилсин:
«26. Финансылык отчеттуулуктун компоненттери (отчеттук жылдын 31-декабрь күнүнүн акырына карата Финансылык абалы жөнүндө отчет, мезгил ичинде Чогуу алгандагы кирешелер жөнүндө отчет, Акча каражаттарынын жылышы жөнүндө отчет жана Өздүк капиталдагы өзгөрүүлөр жөнүндө отчет) аудитордук корутундусу менен бирге жалпыга маалымдоо каражаттарында мамлекеттик тилде жана расмий тилде кошумча жарыяланууга тийиш. Финансылык отчеттуулуктун пайдалануучуларга кеңири таркатылышын жана жеткиликтүүлүгүн камсыз кылуу максатында, финансылык отчеттуулуктун формаларын аудитордук корутундусу менен бирге жарыялоо үчүн банк жалпыга маалымдоо каражаттарын тандайт. Жарыялоо ушул Жободо аныкталган мөөнөттөрдө жана тартипте жүзөгө ашырылат.»;
- 31-пунктунун биринчи абзацы төмөнкү редакцияда берилсин:
«31. Чейрек сайын берилүүчү финансылык абал жана чогуу алгандагы кирешелер, акча каражаттарынын жылышы жөнүндө жана өздүк капиталдагы, ошондой эле 31-1-пунктунда камтылган маалымат дагы өзгөртүүлөр жөнүндө отчеттор чейректик айдан кийинки айдын 30унан кечиктирилбестен, банктын расмий интернет-сайтында жана жалпыга маалымдоо каражаттарында мамлекеттик тилде жана расмий тилде жарыяланууга тийиш.».
2. Кыргыз Республикасынын Улуттук банк Башкармасынын 8-июнундагы № 2017-П-12/23-9-(НПА) «Коммерциялык банктардын жана банктык эмес финансы-кредит уюмдарынын системалуу маанилүүлүгүн аныктоо критерийлери жөнүндө» Жобону бекитүү жөнүндө» токтомуна төмөнкү өзгөртүү киргизилсин:
жогоруда аталган токтом менен бекитилген «Коммерциялык банктардын жана банктык эмес финансы-кредит уюмдарынын системалуу маанилүүлүгүн аныктоо критерийлери жөнүндө» жобонун:
- 10-пунктунун экинчи абзацы төмөнкү редакцияда берилсин:
«Банктардын системалуу маанилүүлүгүнө жыл сайын жана банк тутумунда өзгөртүүлөр болгон учурда баа берилип турат. Банк тутумунда банктардын системалуу маанилүүлүгүнө баа берүү үчүн колдонулган сандык көрсөткүчтөр акыркы баа берүүдөн кийинки алардын финансылык көрсөткүчтөрүнүн негизинде эсептелет, андан соң (тиешелүү баа берүү менен) төмөнкүдөй үч категория боюнча топторго бөлүнөт:»;
төмөнкү мазмундагы абзацтар менен толукталсын:
«Банк тутумундагы банктардын системалуу маанилүүлүгүнө баа берүү үчүн колдонулган сапаттык мүнөздөмөлөр төмөнкү маалыматтардын негизинде аныкталат:
а) корреспонденттик эсептердин жана алар боюнча жүгүртүүлөрдүн саны;
б) жүгүртүүгө чыгарылган/колдонуудагы карталардын саны жана транзакциялардын көлөмү;
в) мобилдик капчыктардын/тиркемелердин, интернет банкингдин жана тез төлөм системаларынын болушу;
г) мамлекеттик программаларды ишке ашырууга катышуу;
д) банктын киреше түзүмүндө пайыздык эмес кирешелердин үлүшү;
е) банктагы мамлекеттик каражаттардын үлүшү жана банктын мамлекет менен байланышы;
ж) банктын капиталындагы чет өлкө каражаттарынын үлүшү;
з) банкоматтардын, терминалдардын тармагынын жеткиликтүүлүгү жана кеӊдиги.»
- 13-пунктунун экинчи абзацы төмөнкү редакцияда берилсин:
«Системалуу мааниге ээ банкты сандык көрсөткүчтөрү боюнча аныктоо үчүн анын жалпы көрсөткүчү акыркы же кийинки үч отчеттук мезгил ичинде 10%дан кем эмес деңгээлде болууга тийиш (чейрек сайын). Системалуу мааниге ээ банктын сандык көрсөткүчтөрүнүн өзгөрүүсү Улуттук банк тарабынан жүргүзүлгөн анын системалуу маанилүүлүгүнө баа берүүсүнө таасирин тийгизиши мүмкүн.».
3. Кыргыз Республикасынын Улуттук банк Башкармасынын 2017-жылдын 15-июнундагы № 2017-П-12/25-2-(НПА) «Кыргыз Республикасынын Улуттук банкынан лицензия алышкан банктардын жана башка финансы-кредит уюмдарынын тышкы аудитине карата минималдуу талаптар жөнүндө» жобону бекитүү тууралуу» токтомуна төмөнкү өзгөртүү киргизилсин:
жогоруда аталган токтом менен бекитилген «Кыргыз Республикасынын Улуттук банкынан лицензия алышкан банктардын жана башка финансы-кредит уюмдарынын тышкы аудитине карата минималдуу талаптар жөнүндө» жобонун:
- 3-пунктунун бешинчи абзацы төмөнкү редакцияда берилсин:
«Банктын маалымат системаларынын тышкы аудити - тышкы аудитор тарабынан банктын өздүк системасына жана маалымат коопсуздугуна мыйзамсыз кийлигишүүдөн жана бөлөк коркунучтардан (тобокелдиктер) камсыз кылуу боюнча, банктын техникалык регламенттерин жана талаптарын комплекстүү көз карандысыз текшерүү.»;
төмөнкү мазмундагы абзацтар менен толукталсын:
«DDoS-чабуул (distributed denial of service) - «веб» ресурсун токтотуу же тоскоолдук кылуу максатында, көп сандагы суроо-талаптарды берүү менен максаттуу чабуул.
Anti-fraud системалары - алдамчылык транзакциялардын алдын алуу үчүн программалык комплекстер.
Sql-инъекциялары - бул веб-коопсуздуктун алсыздыгы, ал чабуулчуга тиркеменин маалымат базасына берген сурамдарына кийлигишүүгө мүмкүндүк берет.
Dmz - уюмдун коомдук кызматтарын жеке кызматтардан бөлүп турган «демелитаризацияланган»/обочолонгон тармак зонасы.».
- 21-пункту төмөнкү редакцияда берилсин:
«21. Маалымат системаларына тышкы аудит жүргүзүүнүн жетекчиси маалымат системаларына тышкы аудит жүргүзүү үчүн төмөнкүлөргө ээ болууга тийиш:
- квалификациялык сертификаттарга (CISA, CISM, CISSP ж.б.);
- финансы-кредит уюмдарындагы маалымат системасына аудит жүргүзүү тажрыйбасына.»;
- 37-пункту төмөнкү редакцияда берилсин:
«37. Банктар кеминде эки жылда бир жолу маалымат системасына тышкы аудит жүргүзүп турууга тийиш. Маалымат системасына тышкы аудит жүргүзүү мөөнөтү ага акыркы аудит жүргүзүлгөн күндөн тартып ырааттуу келген эки жыл эсебинен аныкталат.
Мында «Коммерциялык банктардын жана банктык эмес финансы-кредит уюмдарынын системалуу маанилүүгүн аныктоо критерийлери жөнүндө» жобого ылайык сандык көрсөткүчтөр боюнча аныкталган системалуу мааниге ээ банктар, ошондой эле аралыктан финансылык кызмат көрсөтүүлөрдү сунуштаган банктар (эгерде бул операциялардын көлөмү банктын активдеринин 10% ынан ашса) жыл сайын маалымат системаларына комплекстүү аудит жүргүзүүгө тийиш.
Банк ISO 27001 «Маалымат коопсуздугу менеджментинин системасы» эл аралык стандартына ылайык, банктын маалымат системалары боюнча сертификат алган учурда, маалымат системаларына комплекстүү аудит үч жылда бир жолу жүргүзүлүшү мүмкүн.
Банк банктык кызмат көрсөтүүлөрдү жүзөгө ашыруу үчүн финансылык технологияларды иштеп чыгуу боюнча кызмат көрсөтүүлөрдү сунуштаган туунду компаниянын маалымат системаларына тышкы аудит жүргүзүүгө тийиш. Банктын жана анын финансылык технологияларды иштеп чыгуу боюнча кызмат көрсөтүүлөрдү сунуштаган туунду компаниясынын маалымат системаларынын аудити бир аудитордук уюм тарабынан жүргүзүлүүгө тийиш.»;
- 6-глава «Маалымат системасынын аудити» төмөнкү мазмундагы 37-1, 37-2, 37-3, 37-4 жана 37-5-пункттар менен толукталсын:
«37-1. Тышкы аудит программасында «Кыргыз Республикасынын коммерциялык банктарында маалыматтык коопсуздукту камсыз кылуу боюнча талаптар жөнүндө» жобонун талаптарын сактоодон тышкары төмөнкү маселелер/бөлүмдөр кошумча чагылдырылат:
- маанилүү маалыматты коргоо: маалыматтарга шифр коюу (банк кардарларынын карталары боюнча маалыматтарды жашыруу) жана алардын сыртка чыгып кетүүсүнүн алдын алуу, түзүмү жок маалыматтарды башкаруу, үчүнчү жактар менен коопсуз алмашуу протоколдорун колдонуу, көп факторлуу аутентификацияны колдонуу, коопсуздук сертификаттарын колдонуу;
- инфраструктуранын коопсуздугу: сервердик жана тармактык ресурстар менен камсыз болушуна баа берүү, виртуалдык ресурстарды коргоого жана багытталган чабуулдардан комплекстүү коргоого баа берүү, операциялык системалардын жана коопсуздук патчынын актуалдуу версияларынын орнотулушун текшерүү, банктын тышкы булут ресурстарын колдонуусу жана башкалар;
- мониторинг жүргүзүү: инциденттерди башкарууну жана инциденттерди санариптик иликтөөнү баалоо, эсептик жазууларды башкарууну жана инфраструктурага аралыктан кирүүнү талдоо, артыкчылыктуу колдонуучуларды контролдоо, санариптик иликтөөлөр үчүн системанын журналдарынын толуктугун талдоо;
- бузуп кирүүдөн жана алдамчылыктан коргоо: anti-fraud системаларын колдонуу, ddos-чабуулдардан жана sql-инъекциялардан коргоо, «тейлөөдөн баш тартуусун» текшерүү үчүн туруштук берүү тесттерин колдонуу, системаларды сайттар аралык скриптингден коргоо жана башкалар;
- тиркемелерди жана маалымат базаларын коргоо: маалымат базаларынын корголушуна баа берүү, банктын программалык кодунун коопсуздугуна баа берүү жана статикалык жана динамикалык анализатор (SAST и DAST), анын ичинде мобилдик жана интернет-банкинг сыяктуу коддун чабалдыгын текшерүүнүн автоматташтырылган инструменттерин колдонуу;
- тармактык коопсуздук: тармактын топологиясына серверлер, pos-терминалдар жана банкоматтар менен атайын чакан тармакты, артыкчылыктуу колдонуучулар үчүн администрлөө тармагын бөлүү боюнча баа берүү, dmz-зоналарынын, операциялык системалардын актуалдуу версияларынын жана коопсуздук патчынын болушуна баа берүү; тармактык кирүү жана тармактык аномалиялардын алдын алуу системаларынын ишке толук багытталгандыгын изилдөө; тиешелүү жазылуулар менен тармактар аралык экрандардын жана коопсуздук сканерлеринин болушу.
Тышкы аудиттин белгиленген багыттары банк тарабынан актуалдуулугуна жараша үзгүлтүксүз кайра каралып турууга тийиш. Улуттук банк мурдагы аудиттин натыйжалары боюнча жана/же маалымат коопсуздугу боюнча инциденттер орун алган шартта, белгиленген тармактарды тышкы аудит программасына киргизүүнү банкка кошумча сунуштоого укуктуу.
37-2. Тышкы аудит программасы банктын маалымат коопсуздугу боюнча жооптуу адамдары менен макулдашылууга/бекитилүүгө тийиш.
37-3. Банк зарыл болгон учурда жаңы маалымат системаларын түзүү, ишке киргизүү жана өндүрүшкө колдонуу этабында маалымат системаларынын компоненттерине максаттуу аудит жүргүзө алат. Бирок, максаттуу аудит маалымат системаларына тышкы аудит жүргүзүүнү жокко чыгарбайт.
37-4. Максаттуу аудит бизнес-процессти баалоо үчүн инфраструктуранын айрым элементине же эл аралык стандарттарда (PCI DSS, COBIT, ITIL, ISO, NIST ж.б.) таанылган ыкчам аракет, коопсуздук, ишенимдүүлүк, өндүрүмдүүлүк сыяктуу белгилүү бир критерийлерге ылайык келүүсүнө багытталган атайын адистештирилген аудит катары пландан тышкары демилгелениши жана жүргүзүлүшү мүмкүн.
37-5. Банк тарабынан кардарларга аралыктан пайдалануу мүмкүнчүлүгүн берүү үчүн жаңы тиркеме (интернет, мобилдик банкинг ж.б.) ишке киргизилген учурда, банк программалык кодунун коопсуздугуна максаттуу тышкы аудит жүргүзө алат. Максаттуу аудиттин жыйынтыктары аудиттин отчетун алгандан кийин 10 күн ичинде Улуттук банкка берилүүгө тийиш.»;
- 38-пункту төмөнкү редакцияда берилсин:
«38. Маалымат системасынын аудитинин жүрүшүндө жана максаттары үчүн тышкы аудитор төмөнкүлөргө милдеттүү:
а) аудит жүргүзүү мөөнөттөрүн, аудит чөйрөсүн (текшерилүүчү маалымат системалары, процесстер, документтер), аудиттин ыкмаларын жана колдонулуучу инструменттерин белгилөө;
б) банктын маалымат системаларынын жана процесстеринин төмөнкү талаптарга ылайык келүүсүнө талдоо жүргүзүү жана баа берүү:
- Улуттук банктын ченемдик укуктук актыларынын маалымат коопсуздугу боюнча;
- банктын жетекчилиги тарабынан бекитилген банктын маалымат системаларынын ички саясаттардын/жол-жоболордун.»;
- 39-пункту төмөнкү редакцияда берилсин:
«39. Маалымат системасына тышкы аудит жүргүзүүдө эң аз дегенде төмөнкүлөрдү ишке ашыруу зарыл:
а) маалымат коопсуздугун камсыз кылуу боюнча ички документтердин зарылчылыгына, жетиштүүлүгүнө жана Кыргыз Республикасынын мыйзамдарынын, Улуттук банктын ченемдик укуктук актыларынын талаптарына ылайык келүүсүнө баа берүү;
б) алардын шайкештигине, жетиштүүлүгүнө жана актуалдуулугуна баа берүү максатында, маалымат системасында орун алышы ыктымал болгон тобокелдиктерди тескөө боюнча банктын стратегиялык документтери, бизнес-пландары, саясаты жана жол-жоболору менен таанышып чыгуу;
в) маалымат коопсуздугун башкаруу системасын жана операциялык тобокелдиктерди башкаруу системасын баалоо;
г) маалымат системасынын иш үзгүлтүксүздүгүн камсыз кылуу системасына жана өзгөчө кырдаалдар келип чыккан шартта маалымат системасын калыбына келтирүү пландарына баа берүү;
д) банктын активдерине карата маалымат коопсуздугун бузуу коркунучуна байланыштуу тобокелдиктерге баа берүү, маалымат системаларынын чабалдыгын идентификациялоо;
е) филиалдарда маалымат системасынын коргоого алынуу деңгээлин кароого алуу;
ж) автоматташтырылган системалардан пайдалана алуу мүмкүнчүлүгүн жөнгө салуу жана андагы бөлүштүрүү системасына баа берүү;
з) банктын персоналынын маалымат коопсуздугу боюнча маалыматынын болушу деңгээлине жана банктын персоналга маалымдоо чараларына баа берүү;
и) интеллектуалдык менчик укугуна тиешелүү мыйзам талаптарынын сакталышы, лицензияланган программалык продукттарды колдонуу жагында маселелерди кароого алуу;
л) банктын жаңы ички жол-жоболорун иштеп чыгуу же колдонуудагы ички жол-жоболорун өркүндөтүү, ошондой эле маалымат системасынын коопсуздугун жакшыртуу боюнча чаралар түрүндө мурдагы тышкы аудитордук текшерүүлөрдүн сунуш-көрсөтмөлөрүнүн аткарылышына баа берүү.»;
- «Маалымат системасынын аудити» деп аталган 6-глава төмөнкү мазмундагы 39-1 пункту менен толукталсын:
«39-1. Маалымат системаларынын аудитинин натыйжасы боюнча тышкы аудитор маалымат системаларынын учурдагы абалына, жана алардын коопсуздугунун деңгээлине баа берет.
Банктык кызмат көрсөтүүлөрдү ишке ашыруу үчүн финансылык технологияларды иштеп чыгуу боюнча кызмат көрсөтүүлөрдү сунуштаган туунду компанияга жүргүзүлгөн аудиттин жыйынтыгы боюнча отчеттор жекече же консолидацияланган негизде түзүлөт.»;
- 40-пункту төмөнкү редакцияда берилсин:
«40. Аудитордук корутундудагы маалыматтар аудит программасына киргизилүүгө тийиш болгон сунуш-көрсөтмөлөрдү кошуп алганда, аудиттин эл аралык стандарттарына жана Улуттук банктын талаптарына ылайык чагылдырылууга тийиш.»;
- 41-пунктунун 1-пунктчасы төмөнкү редакцияда берилсин:
«1) Улуттук банкка аудитордук корутундунун күбөлөндүрүлгөн көчүрмөсү менен бирге финансылык отчетту жана аудитордун банк жетекчилигине тиешелүү катын, анын ичинде тышкы аудитордун сунуш-көрсөтмөлөрүн акционерлердин жылдык жалпы жыйыны өткөрүлгөнгө чейинки беш жумуш күнү ичинде берүүгө;»;
- 42-пункту төмөнкү редакцияда берилсин:
«42. Банк маалымат системасына аудит аяктагандан кийин анын жыйынтыгы боюнча аналитикалык отчеттун күбөлөндүрүлгөн көчүрмөсүн жана аудитордун банк жетекчилигине жазган катын 5 (беш) жумуш күнү ичинде Улуттук банкка берүүгө милдеттүү.
Маалымат системаларынын аудитинин натыйжалары боюнча аналитикалык отчетто жок дегенде аудиттин масштабы, аудитте колдонулган ыкмалар тууралуу маалымат, мурдагы аудиттердин сунуш-көрсөтмөлөрүн аткаруу боюнча маалымат, аныкталган тобокелдиктер жөнүндө кыскача тыянактар, сунуш-көрсөтмөлөр, аудиттин жыйынтыгы боюнча жалпы корутунду камтылууга тийиш.»;
- 49-пункту төмөнкү редакцияда берилсин:
«49. Улуттук банктын ыйгарым укуктуу кызматкерлери инспектордук текшерүүлөрдүн жүрүшүндө тышкы аудитор менен жолугушууга, ошондой эле алардан оозеки жана жазуу жүзүндө маалыматтарды алууга укуктуу.
Банк ишинде тобокелдиктер жана кемчиликтер аныкталган учурда, Улуттук банк тышкы аудиторго аталган маселелерди текшерүүнү аудит жана баа берүү программасына киргизүүнү кошумча сунуштоого укуктуу.»;
- 54-пункту төмөнкү редакцияда берилсин:
«54. Кыргыз Республикасынын мыйзамдарына ылайык Улуттук банк пландан тышкаркы аудит жүргүзүүнү банктан талап кылууга укуктуу.
Улуттук банк алдамчылык фактыларына, уурдоого, системаны бузууга жана маалымат коопсуздугун башкаруу системасындагы кемчиликтердин кесепетинен банкта олуттуу чыгымдарга алып келиши мүмкүн болгон башка коркунучтарга дуушарланткан маалымат коопсуздугу жагдайлары/инциденттери келип чыккан учурда, банкта пландан тышкаркы максаттуу аудитти жүргүзүүнү дайындоого укуктуу.
Мында аудитордук уюмдун кызмат көрсөтүүлөрү банк тарабынан төлөнөт.»;
- 57-пункту төмөнкү мазмундагы төртүнү абзац менен толукталсын:
«- аудитордук текшерүүдө аныкталган жалпы маалымат коопсуздугу боюнча кемчиликтерди, анын ичинде банкта чыгымдарга жана жоготууларга алып келиши мүмкүн болгон тобокелдиктер жана коркунучтар боюнча кемчиликтерди четтетүү боюнча ыкчам чараларды көрүүгө.».
4. Кыргыз Республикасынын Улуттук банк Башкармасынын 2017-жылдын 15-июнундагы № 2017-П-12/25-3-(НПА) «Кыргыз Республикасынын Улуттук банкы тарабынан лицензияланган жана иши ал тарабынан жөнгө салынган банктарда жана банктык эмес финансы-кредит уюмдарында ички контролдук жана ички аудит системаларын жөнгө салуу эрежелерин бекитүү жөнүндө» токтомуна төмөнкү өзгөртүү киргизилсин:
жогоруда аталган токтом менен бекитилген Кыргыз Республикасынын Улуттук банкы тарабынан лицензияланган жана иши ал тарабынан жөнгө салынган банктарда жана банктык эмес финансы-кредит уюмдарында ички контролдук жана ички аудит системаларын жөнгө салуу эрежелеринин:
- 24-пунктунун 2-пункчасынын үчүнчү абзацы төмөнкү редакцияда берилсин:
«- программалык контролдоо, ал колдонмо программаларга киргизилген автоматташтырылган жол-жоболор, ошондой эле банктык операциялардын жана башка бүтүмдөрдүн иштелип чыгышын контролдукка алган кол менен иштетилүүчү жол-жоболордун негизинде жүзөгө ашырылат (контролдоп редакциялоо, пайдалануу мүмкүнчүлүгүн контролдоо, маалыматтарды резервге коюу жана калыбына келтирүүнүн ички жол-жоболору, транзиттик эсептерди түзүүнү контролдоо, аралыктагы жазууларды контролдоо ж.б.).»;
- 25-пункту төмөнкү мазмундагы он биринчи абзац менен толукталсын:
«- транзиттик эсеп аркылуу жүргүзүлүүчү операцияларды туруктуу контролдоо.».
5. Кыргыз Республикасынын Улуттук банк Башкармасынын 2017-жылдын 15-июнундагы № 2017-П-12/25-8-(НПА) «Кыргыз Республикасынын банктарында тобокелдиктерди тескөө боюнча минималдуу талаптар жөнүндө» жобону бекитүү тууралуу» токтомуна төмөнкү өзгөртүүлөр киргизилсин:
жогоруда аталган токтом менен бекитилген «Кыргыз Республикасынын банктарында тобокелдиктерди тескөө боюнча минималдуу талаптар жөнүндө» жобонун:
«Операциялык тобокелдик» деп аталган 10-главасы төмөнкү мазмундагы 72-1 жана 72-2-пункттары менен толукталсын:
«72-1. Банктын автоматташтырылган системасынын же башка маалымат системаларынын кызмат көрсөтүүлөрдүн 30 мүнөттөн ашык калкка жеткиликсиз болуп, үзгүлтүккө учурашына алып келген маалымат коопсуздугу жагдайлары/инциденттери келип чыккан шартта, банк жагдай/инцидент орун алган учурдан тартып 45 мүнөттөн кечиктирбестен, Улуттук банкка өз ара иш алып баруу каналдары боюнча маалымдоого жана жагдай/инцидент болгон күндөн тартып 1 (бир) жумуш күнүнөн кечиктирбестен, Улуттук банкка жагдай/инцидент тууралуу толук маалымат жана анын себептерин четтетүү үчүн банк тарабынан көрүлүп жаткан чаралар жөнүндө маалымат камтылган расмий катты жөнөтүүгө тийиш.
72-2. Банктын автоматташтырылган системасы же башка маалымат системалары калкка кандайдыр бир кызмат көрсөтүүлөрдүн жеткиликсиздигине байланыштуу 60 мүнөттөн ашык токтоп турган учурда, банк жагдай/инцидент болгон учурдан тартып 90 мүнөттөн кечиктирбестен, жеткиликтүү байланыш каналдарынын же жалпыга маалымдоо каражаттарынын жардамы менен техникалык мүчүлүштүктөрдү четтетүү убактысы тууралуу калкка өз алдынча маалымдоого тийиш.».
Кыргыз Республикасынын Улуттук банк Башкармасынын «Кыргыз Республикасынын Улуттук банкынын айрым ченемдик укуктук актыларына маалымат системаларынын аудити маселеси боюнча өзгөртүүлөрдү киргизүү жөнүндө» токтом долбоорунун салыштырма таблицасы
|
Колдонуудагы редакция |
Сунушталган редакция |
|
1. Кыргыз Республикасынын коммерциялык банктарынын финансылык отчетторду түзүүсүнө талаптар жөнүндө жобо |
|
|
3. Финансылык отчеттуулукту берүү жана жарыялоо тартиби жана мөөнөттөрү |
|
|
26. Финансылык отчеттуулуктун формаларын (отчеттук жылдын 31-декабрь күнүнүн акырына карата Финансылык абалы жөнүндө отчет, мезгил ичинде Чогуу алгандагы кирешелер жөнүндө отчет, Акча каражаттарынын жылышы жөнүндө отчет жана Өздүк капиталдагы өзгөрүүлөр жөнүндө отчет) аудитордук корутундусу менен бирге кошумча жарыялоо жалпыга маалымдоо каражаттарында мамлекеттик жана/же расмий тилдерде жүзөгө ашырылууга тийиш. Финансылык отчеттуулуктун пайдалануучуларга кеңири таркатылышын жана жеткиликтүүлүгүн камсыз кылуу максатында, финансылык отчеттуулуктун формаларын аудитордук корутундусу менен бирге жарыялоо үчүн банк, жалпыга маалымдоо каражаттарын тандоону жүзөгө ашыра алат. Жарыялоо ушул Жободо аныкталган мөөнөттөрдө жана тартипте жүзөгө ашырылат. Мында финансылык отчет жана ага карата түшүндүрмөлөр менен банктын расмий интернет-сайтында, башкы офисинде, филиалдарында, сактык кассаларында толук таанышууга боло тургандыгы жөнүндө шилтеме милдеттүү түрдө көрсөтүлүүгө тийиш. Финансылык отчеттуулуктун жарыялангандыгы жөнүндө маалыматтар, жарыяланган материалдын көчүрмөсүн кошо тиркөө менен жарыялангандан кийинки 3 жумуш күнү ичинде Улуттук банкка берилүүгө тийиш. |
26. Финансылык отчеттуулуктун компоненттери (отчеттук жылдын 31-декабрь күнүнүн акырына карата Финансылык абалы жөнүндө отчет, мезгил ичинде Чогуу алгандагы кирешелер жөнүндө отчет, Акча каражаттарынын жылышы жөнүндө отчет жана Өздүк капиталдагы өзгөрүүлөр жөнүндө отчет) аудитордук корутундусу менен бирге жалпыга маалымдоо каражаттарында мамлекеттик тилде жана расмий тилде кошумча жарыяланууга тийиш. Финансылык отчеттуулуктун пайдалануучуларга кеңири таркатылышын жана жеткиликтүүлүгүн камсыз кылуу максатында, финансылык отчеттуулуктун формаларын аудитордук корутундусу менен бирге жарыялоо үчүн банк жалпыга маалымдоо каражаттарын тандайт. Жарыялоо ушул Жободо аныкталган мөөнөттөрдө жана тартипте жүзөгө ашырылат. Мында финансылык отчет жана ага карата түшүндүрмөлөр менен банктын расмий интернет-сайтында, башкы офисинде, филиалдарында, сактык кассаларында толук таанышууга боло тургандыгы жөнүндө шилтеме милдеттүү түрдө көрсөтүлүүгө тийиш. Финансылык отчеттуулуктун жарыялангандыгы жөнүндө маалыматтар, жарыяланган материалдын көчүрмөсүн кошо тиркөө менен жарыялангандан кийинки 3 жумуш күнү ичинде Улуттук банкка берилүүгө тийиш. |
|
4. Күндөлүк, ар айлык жана чейрек сайын берилүүчү финансылык отчеттор, аларды берүү тартиби жана мөөнөттөрү |
|
|
31. Чейрек сайын берилүүчү финансылык абал жана чогуу алгандагы кирешелер, акча каражаттарынын жылышы жөнүндө жана өздүк капиталдагы, ошондой эле 31-1-пунктунда камтылган маалымат дагы өзгөртүүлөр жөнүндө отчеттор чейректик айдан кийинки айдын 30-күнүнөн кечиктирилбестен банктын расмий интернет-сайтында жана жалпыга маалымдоо каражаттарында мамлекеттик жана/же расмий тилдерде жарыяланууга тийиш. Мында, жарыялоодо ушул Жобонун 27-пунктунда көрсөтүлгөн чейректик финансылык отчеттуулук менен толук көлөмүндө банктын башкы офисинде, филиалдарында жана аманат кассаларында таанышууга боло тургандыгы жөнүндө шилтеме милдеттүү түрдө келтирилүүгө тийиш. Банк, финансылык отчеттуулуктун пайдалануучуларга кеңири таркатылышын жана жеткиликтүү болушун камсыз кылуу максатында, чейректик отчеттуулукту жарыялоо үчүн жалпыга маалымдоо каражаттарын тандоону жүзөгө ашырат. Эгерде чейрек ичинде, банктын финансылык абалына олуттуу таасирин тийгизген же тийгизиши мүмкүн болгон операциялар жүзөгө ашырылган болсо, анда банк толук чейректик финансылык отчеттуулукта ушул жагдайларды ачып көрсөтүүсү зарыл. Жарыяланган материалдын көчүрмөсүн кошо тиркөө менен жарыялангандыгы жөнүндө маалымат жарыялангандан кийинки 3 жумуш күнү ичинде Улуттук банкка берилүүгө тийиш. Банктын финансылык отчеттуулугун пайдалануучулары, ушул Жобонун 27-пунктунда келтирилген чейректик финансылык отчеттуулукту толук көлөмүндө окуп таанышуу үчүн алуу мүмкүнчүлүгүнө ээ болууга тийиш, банк (башкы офис, филиалдар, аманат кассалары), ушуга байланыштуу отчетту пайдалануучулардын биринчи эле талап кылуусу боюнча толук көлөмүндө токтоосуз берүүсү зарыл. |
31. Чейрек сайын берилүүчү финансылык абал жана чогуу алгандагы кирешелер, акча каражаттарынын жылышы жөнүндө жана өздүк капиталдагы, ошондой эле 31-1-пунктунда камтылган маалымат дагы өзгөртүүлөр жөнүндө отчеттор чейректик айдан кийинки айдын 30унан кечиктирилбестен, банктын расмий интернет-сайтында жана жалпыга маалымдоо каражаттарында мамлекеттик тилде жана расмий тилде жарыяланууга тийиш. Мында, жарыялоодо ушул Жобонун 27-пунктунда көрсөтүлгөн чейректик финансылык отчеттуулук менен толук көлөмүндө банктын башкы офисинде, филиалдарында жана аманат кассаларында таанышууга боло тургандыгы жөнүндө шилтеме милдеттүү түрдө келтирилүүгө тийиш. Банк, финансылык отчеттуулуктун пайдалануучуларга кеңири таркатылышын жана жеткиликтүү болушун камсыз кылуу максатында, чейректик отчеттуулукту жарыялоо үчүн жалпыга маалымдоо каражаттарын тандоону жүзөгө ашырат. Эгерде чейрек ичинде, банктын финансылык абалына олуттуу таасирин тийгизген же тийгизиши мүмкүн болгон операциялар жүзөгө ашырылган болсо, анда банк толук чейректик финансылык отчеттуулукта ушул жагдайларды ачып көрсөтүүсү зарыл. Жарыяланган материалдын көчүрмөсүн кошо тиркөө менен жарыялангандыгы жөнүндө маалымат жарыялангандан кийинки 3 жумуш күнү ичинде Улуттук банкка берилүүгө тийиш. Банктын финансылык отчеттуулугун пайдалануучулары, ушул Жобонун 27-пунктунда келтирилген чейректик финансылык отчеттуулукту толук көлөмүндө окуп таанышуу үчүн алуу мүмкүнчүлүгүнө ээ болууга тийиш, банк (башкы офис, филиалдар, аманат кассалары), ушуга байланыштуу отчетту пайдалануучулардын биринчи эле талап кылуусу боюнча толук көлөмүндө токтоосуз берүүсү зарыл. |
|
2. Коммерциялык банктардын жана банктык эмес финансы-кредит уюмдарынын системалуу маанилүүгүн аныктоо критерийлери жөнүндө жобо |
|
|
2 -глава. Банктардын системалуулук критерийлери |
|
|
10. Системалуу-маанилүү банктардын критерийлери сандык көрсөткүчтөрдүн, ошондой эле коммерциялык банктар тууралуу сапаттуу маалыматтардын негизинде аныкталат, бул сандык маалыматтары толуктап, банктардын системалуу маанилүүлүгүн так аныктоого өбөлгө түзөт. Банктардын системалуу маанилүүлүгүнө жыл сайын баа берилип турат. Банк тутумунда банктардын системалуу маанилүүлүгүнө баа берүү үчүн колдонулган сандык көрсөткүчтөр акыркы баа берүүдөн кийинки алардын финансылык көрсөткүчтөрүнүн негизинде эсептелет (жылдын акырына карата маалыматтар), андан соң (тиешелүү баа берүү менен) төмөнкүдөй үч категория боюнча топторго бөлүнөт: 1) банктын белгилүү бир көрсөткүчтөрүнүн өлчөмдөрү (баа берүү үлүшү 50% түзөт) а) Активдер көлөмүнүн көрсөткүчү (П1). Банк тутумунун активдеринин жалпы санынын салыштырма салмагында банк активдеринин үлүшү. Бул критерийди өлкө экономикасына таасирин тийгизүү көз карашында кароо зарыл. Салмагы -10%. б) Жеке адамдардын депозиттер көлөмүнүн көрсөткүчү (П2). Банк тутумунун жеке адамдарынын депозиттеринин жалпы көлөмүнүн салыштырма салмагында, банктын жеке адамдарынын депозиттеринин үлүшү. Бул критерийди калайык-калктын банк тутумуна карата ишеничине доо кетиши көз карышында кароо зарыл. Салмагы – 10% в) Юридикалык жактардын депозиттер көлөмүнүн көрсөткүчү (П3). Банк тутумунун юридикалык жактарынын депозиттеринин жалпы көлөмүнүн салыштырма салмагында, банктардын юридикалык жактарынын депозиттеринин үлүшү. Бул критерийди финансы кызмат көрсөтүүлөрүн керектөөчүлөрдүн кызыкчылыгын коргоо көз карашында кароо зарыл. Салмагы – 10%. г) Банк тутумунун аманатчыларынын-жеке адамдарынын жана юридикалык жактарынын жалпы санынын салыштырма салмагында банк аманатчыларынын- жеке адамдарынын жана юридикалык жактарынын сандык көрсөткүчү. Салмагы – 10% (П4). д) Кредит портфелинин көлөмүнүн көрсөткүчү (П5). Банк тутумунун кредит портфелинин (брутто мааниси) жалпы көлөмүндө кредит портфелдин үлүшү (брутто мааниси). Салмагы – 10%. 2) Кыргыз Республикасынын банк жана/же финансы системасынын катышуучуларынын өз ара байланышы (баа берүү үлүшү 14% түзөт). а) Банктарда жайгаштырылган активдер көрсөткүчү (П6). Банк тутумунун банктарында жайгаштырылган активдердин салыштырма салмагында банктын өлкөнүн башка банктарында жайгаштырылган активдеринин (кредиттеринин, депозиттеринин жана башка активдеринин) көлөмү. Бул критерий банктын төлөө жөндөмсүздүгү тобокелдигинин башка банктарга жайылтылышы, б.а «домино эффектисинин» орун алышы ыктымалдуулугун мүнөздөйт. Салмагы – 7% б) Банктардан тартылган милдеттенменин көрсөткүчү (П7). Банк тутумунун банктарынан тартылган милдеттенмелердин салыштырма салмагында банктын өлкөнүн башка банктары алдындагы карызынын (кредитинин, депоизитинин жана башка милдеттенмелеринин) чогуу алгандагы көлөмү. Салмагы – 7%. 3) Алмаштыруу деӊгээли (баа берүү үлүшү 36% түзөт). а) Кредиттердин экономиканын тармактарында концентрация көрсөткүчү банк тутумунун экономика секторлору боюнча кредиттеринин көлөмүнүн салыштырма салмагында банктын экономика секторлору боюнча чектүү мааниден ашкан (15% ашык) көлөмүн чагылдырат. Салмагы - 5% (П8). б) Территориялык тармак көрсөткүчү. Банк тутумунун филиалдардын жалпы санына карата банк филиалдарынын саны. Салмагы – 5% (П9). в) Банк тутумунун пакеттик клиринг системасындагы (ПКС) кирген жана чыккан төлөмдөрдүн көлөмүндө банктын ПКСтеги кирген жана чыккан төлөмдөрүнүн үлүшүнүн көрсөткүчү. Салмагы – 8% (П10). г) Банк тутумунун Айкын убакыт ыргагында эсептешүүлөрдүн гросстук системасындагы кирген жана чыккан төлөмдөрдүн көлөмүндө банктын Айкын убакыт ыргагында эсептешүүлөрдүн гросстук системасындагы кирген жана чыккан төлөмдөрдүн үлүшүнүн көрсөткүчү . Салмагы – 8% (П11). д) Банктын чек ара аркылуу өтүүчү которууларынын (кирген жана чыккан) банк тутумундагы чек ара аркылуу өтүүчү которууларынын көлөмүндөгү үлүшүнүн көрсөткүчү. Салмагы 8% (П12). |
10. Системалуу-маанилүү банктардын критерийлери сандык көрсөткүчтөрдүн, ошондой эле коммерциялык банктар тууралуу сапаттуу маалыматтардын негизинде аныкталат, бул сандык маалыматтары толуктап, банктардын системалуу маанилүүлүгүн так аныктоого өбөлгө түзөт. Банктардын системалуу маанилүүлүгүнө жыл сайын жана банк тутумунда өзгөртүүлөр болгон учурда баа берилип турат. Банк тутумунда банктардын системалуу маанилүүлүгүнө баа берүү үчүн колдонулган сандык көрсөткүчтөр акыркы баа берүүдөн кийинки алардын финансылык көрсөткүчтөрүнүн негизинде эсептелет, андан соң (тиешелүү баа берүү менен) төмөнкүдөй үч категория боюнча топторго бөлүнөт: 1) банктын белгилүү бир көрсөткүчтөрүнүн өлчөмдөрү (баа берүү үлүшү 50% түзөт) а) Активдер көлөмүнүн көрсөткүчү (П1). Банк тутумунун активдеринин жалпы санынын салыштырма салмагында банк активдеринин үлүшү. Бул критерийди өлкө экономикасына таасирин тийгизүү көз карашында кароо зарыл. Салмагы -10%. б) Жеке адамдардын депозиттер көлөмүнүн көрсөткүчү (П2). Банк тутумунун жеке адамдарынын депозиттеринин жалпы көлөмүнүн салыштырма салмагында, банктын жеке адамдарынын депозиттеринин үлүшү. Бул критерийди калайык-калктын банк тутумуна карата ишеничине доо кетиши көз карышында кароо зарыл. Салмагы – 10% в) Юридикалык жактардын депозиттер көлөмүнүн көрсөткүчү (П3). Банк тутумунун юридикалык жактарынын депозиттеринин жалпы көлөмүнүн салыштырма салмагында, банктардын юридикалык жактарынын депозиттеринин үлүшү. Бул критерийди финансы кызмат көрсөтүүлөрүн керектөөчүлөрдүн кызыкчылыгын коргоо көз карашында кароо зарыл. Салмагы – 10%. г) Банк тутумунун аманатчыларынын-жеке адамдарынын жана юридикалык жактарынын жалпы санынын салыштырма салмагында банк аманатчыларынын- жеке адамдарынын жана юридикалык жактарынын сандык көрсөткүчү. Салмагы – 10% (П4). д) Кредит портфелинин көлөмүнүн көрсөткүчү (П5). Банк тутумунун кредит портфелинин (брутто мааниси) жалпы көлөмүндө кредит портфелдин үлүшү (брутто мааниси). Салмагы – 10%. 2) Кыргыз Республикасынын банк жана/же финансы системасынын катышуучуларынын өз ара байланышы (баа берүү үлүшү 14% түзөт). а) Банктарда жайгаштырылган активдер көрсөткүчү (П6). Банк тутумунун банктарында жайгаштырылган активдердин салыштырма салмагында банктын өлкөнүн башка банктарында жайгаштырылган активдеринин (кредиттеринин, депозиттеринин жана башка активдеринин) көлөмү. Бул критерий банктын төлөө жөндөмсүздүгү тобокелдигинин башка банктарга жайылтылышы, б.а «домино эффектисинин» орун алышы ыктымалдуулугун мүнөздөйт. Салмагы – 7% б) Банктардан тартылган милдеттенменин көрсөткүчү (П7). Банк тутумунун банктарынан тартылган милдеттенмелердин салыштырма салмагында банктын өлкөнүн башка банктары алдындагы карызынын (кредитинин, депоизитинин жана башка милдеттенмелеринин) чогуу алгандагы көлөмү. Салмагы – 7%. 3) Алмаштыруу деӊгээли (баа берүү үлүшү 36% түзөт). а) Кредиттердин экономиканын тармактарында концентрация көрсөткүчү банк тутумунун экономика секторлору боюнча кредиттеринин көлөмүнүн салыштырма салмагында банктын экономика секторлору боюнча чектүү мааниден ашкан (15% ашык) көлөмүн чагылдырат. Салмагы - 5% (П8). б) Территориялык тармак көрсөткүчү. Банк тутумунун филиалдардын жалпы санына карата банк филиалдарынын саны. Салмагы – 5% (П9). в) Банк тутумунун пакеттик клиринг системасындагы (ПКС) кирген жана чыккан төлөмдөрдүн көлөмүндө банктын ПКСтеги кирген жана чыккан төлөмдөрүнүн үлүшүнүн көрсөткүчү. Салмагы – 8% (П10). г) Банк тутумунун Айкын убакыт ыргагында эсептешүүлөрдүн гросстук системасындагы кирген жана чыккан төлөмдөрдүн көлөмүндө банктын Айкын убакыт ыргагында эсептешүүлөрдүн гросстук системасындагы кирген жана чыккан төлөмдөрдүн үлүшүнүн көрсөткүчү . Салмагы – 8% (П11). д) Банктын чек ара аркылуу өтүүчү которууларынын (кирген жана чыккан) банк тутумундагы чек ара аркылуу өтүүчү которууларынын көлөмүндөгү үлүшүнүн көрсөткүчү. Салмагы 8% (П12). Банк тутумундагы банктардын системалуу маанилүүлүгүнө баа берүү үчүн колдонулган сапаттык мүнөздөмөлөр төмөнкү маалыматтардын негизинде аныкталат: а) корреспонденттик эсептердин жана алар боюнча жүгүртүүлөрдүн саны; б) жүгүртүүгө чыгарылган/колдонуудагы карталардын саны жана транзакциялардын көлөмү; в) мобилдик капчыктардын/тиркемелердин, интернет банкингдин жана тез төлөм системаларынын болушу; г) мамлекеттик программаларды ишке ашырууга катышуу; д) банктын киреше түзүмүндө пайыздык эмес кирешелердин үлүшү; е) банктагы мамлекеттик каражаттардын үлүшү жана банктын мамлекет менен байланышы; ж) банктын капиталындагы чет өлкө каражаттарынын үлүшү; з) банкоматтардын, терминалдардын тармагынын жеткиликтүүлүгү жана кеӊдиги. |
|
13. Банк үчүн сандык көрсөткүчтөрдүн жана жалпы көрсөткүчтүн мааниси ар бир отчеттук мезгилге өзүнчө эсептелүүгө тийиш. Системалуу-маанилүү банкты сандык көрсөткүчтөрү боюнча аныктоо үчүн анын жалпы көрсөткүчү акыркы же кийинки үч отчеттук мезгил ичинде 10%дан кем эмес деңгээлде болууга тийиш. Системалуу маанилүү банктын сандык көрсөткүчтөрүнүн өзгөрүүсү Улуттук банк тарабынан жүргүзүлгөн анын системалуу маанилүүлүгүнө баа берүүсүнө таасирин тийгизиши мүмкүн. |
13. Банк үчүн сандык көрсөткүчтөрдүн жана жалпы көрсөткүчтүн мааниси ар бир отчеттук мезгилге өзүнчө эсептелүүгө тийиш. Системалуу мааниге ээ банкты сандык көрсөткүчтөрү боюнча аныктоо үчүн анын жалпы көрсөткүчү акыркы же кийинки үч отчеттук мезгил ичинде 10%дан кем эмес деңгээлде болууга тийиш (чейрек сайын). Системалуу мааниге ээ банктын сандык көрсөткүчтөрүнүн өзгөрүүсү Улуттук банк тарабынан жүргүзүлгөн анын системалуу маанилүүлүгүнө баа берүүсүнө таасирин тийгизиши мүмкүн. |
|
3. «Кыргыз Республикасынын Улуттук банкынан лицензия алышкан банктардын жана башка финансы-кредит уюмдарынын тышкы аудитине карата минималдуу талаптар жөнүндө» жобо |
|
|
1. Жалпы жоболор |
|
|
3. Бул Жобонун максаттары үчүн төмөнкүдөй аныктамалар колдонулат: … Банктын маалымат системаларынын тышкы аудити - тышкы аудитор тарабынан банктын өздүк системасына жана маалымат коопсуздугуна мыйзамга ылайыксыз кийлигишүүдөн жана бөлөк коркунучтардан (тобокелдиктер) камсыз кылуу боюнча, банктын техникалык регламенттерин жана талаптарын көз карандысыз текшерүү. … |
3. Бул Жобонун максаттары үчүн төмөнкүдөй аныктамалар колдонулат: … Банктын маалымат системаларынын тышкы аудити - тышкы аудитор тарабынан банктын өздүк системасына жана маалымат коопсуздугуна мыйзамсыз кийлигишүүдөн жана бөлөк коркунучтардан (тобокелдиктер) камсыз кылуу боюнча, банктын техникалык регламенттерин жана талаптарын комплекстүү көз карандысыз текшерүү. … DDoS-чабуул (distributed denial of service) - «веб» ресурсун токтотуу же тоскоолдук кылуу максатында, көп сандагы суроо-талаптарды берүү менен максаттуу чабуул. Anti-fraud системалары - алдамчылык транзакциялардын алдын алуу үчүн программалык комплекстер. Sql-инъекциялары - бул веб-коопсуздуктун алсыздыгы, ал чабуулчуга тиркеменин маалымат базасына берген сурамдарына кийлигишүүгө мүмкүндүк берет. Dmz - уюмдун коомдук кызматтарын жеке кызматтардан бөлүп турган «демелитаризацияланган»/обочолонгон тармак зонасы. |
|
3. Банктын тышкы аудиторуна коюлган талаптар |
|
|
21. Маалымат системаларына аудит жүргүзүү үчүн анын жетекчиси төмөнкүлөргө ээ болууга тийиш: - квалификациялык сертификаттарга (CISA, CISM ж.б.); - финансы-кредит уюмдарындагы маалымат системасына аудит жүргүзүү тажрыйбасына. |
21. Маалымат системаларына тышкы аудит жүргүзүүнүн жетекчиси маалымат системаларына тышкы аудит жүргүзүү үчүн төмөнкүлөргө ээ болууга тийиш: - квалификациялык сертификаттарга (CISA, CISM, CISSP ж.б.); - финансы-кредит уюмдарындагы маалымат системасына аудит жүргүзүү тажрыйбасына. |
|
6. Маалымат системасынын аудити |
|
|
37. Банктар эки жылда бир жолу маалымат системасына аудит жүргүзүп турууга тийиш. Маалымат системасына тышкы аудит жүргүзүү мөөнөтү ага акыркы аудит жүргүзүлгөн күндөн тартып ырааттуу келген эки жыл эсебинен аныкталат. |
37. Банктар кеминде эки жылда бир жолу маалымат системасына тышкы аудит жүргүзүп турууга тийиш. Маалымат системасына тышкы аудит жүргүзүү мөөнөтү ага акыркы аудит жүргүзүлгөн күндөн тартып ырааттуу келген эки жыл эсебинен аныкталат. Мында «Коммерциялык банктардын жана банктык эмес финансы-кредит уюмдарынын системалуу маанилүүгүн аныктоо критерийлери жөнүндө» жобого ылайык сандык көрсөткүчтөр боюнча аныкталган системалуу мааниге ээ банктар, ошондой эле аралыктан финансылык кызмат көрсөтүүлөрдү сунуштаган банктар (эгерде бул операциялардын көлөмү банктын активдеринин 10% ынан ашса) жыл сайын маалымат системаларына комплекстүү аудит жүргүзүүгө тийиш. Банк ISO 27001 «Маалымат коопсуздугу менеджментинин системасы» эл аралык стандартына ылайык, банктын маалымат системалары боюнча сертификат алган учурда, маалымат системаларына комплекстүү аудит үч жылда бир жолу жүргүзүлүшү мүмкүн. Банк банктык кызмат көрсөтүүлөрдү жүзөгө ашыруу үчүн финансылык технологияларды иштеп чыгуу боюнча кызмат көрсөтүүлөрдү сунуштаган туунду компаниянын маалымат системаларына тышкы аудит жүргүзүүгө тийиш. Банктын жана анын финансылык технологияларды иштеп чыгуу боюнча кызмат көрсөтүүлөрдү сунуштаган туунду компаниясынын маалымат системаларынын аудити бир аудитордук уюм тарабынан жүргүзүлүүгө тийиш. 37-1. Тышкы аудит программасында «Кыргыз Республикасынын коммерциялык банктарында маалыматтык коопсуздукту камсыз кылуу боюнча талаптар жөнүндө» жобонун талаптарын сактоодон тышкары төмөнкү маселелер/бөлүмдөр кошумча чагылдырылат: - маанилүү маалыматты коргоо: маалыматтарга шифр коюу (банк кардарларынын карталары боюнча маалыматтарды жашыруу) жана алардын сыртка чыгып кетүүсүнүн алдын алуу, түзүмү жок маалыматтарды башкаруу, үчүнчү жактар менен коопсуз алмашуу протоколдорун колдонуу, көп факторлуу аутентификацияны колдонуу, коопсуздук сертификаттарын колдонуу; - инфраструктуранын коопсуздугу: сервердик жана тармактык ресурстар менен камсыз болушуна баа берүү, виртуалдык ресурстарды коргоого жана багытталган чабуулдардан комплекстүү коргоого баа берүү, операциялык системалардын жана коопсуздук патчынын актуалдуу версияларынын орнотулушун текшерүү, банктын тышкы булут ресурстарын колдонуусу жана башкалар; - мониторинг жүргүзүү: инциденттерди башкарууну жана инциденттерди санариптик иликтөөнү баалоо, эсептик жазууларды башкарууну жана инфраструктурага аралыктан кирүүнү талдоо, артыкчылыктуу колдонуучуларды контролдоо, санариптик иликтөөлөр үчүн системанын журналдарынын толуктугун талдоо; - бузуп кирүүдөн жана алдамчылыктан коргоо: anti-fraud системаларын колдонуу, ddos-чабуулдардан жана sql-инъекциялардан коргоо, «тейлөөдөн баш тартуусун» текшерүү үчүн туруштук берүү тесттерин колдонуу, системаларды сайттар аралык скриптингден коргоо жана башкалар; - тиркемелерди жана маалымат базаларын коргоо: маалымат базаларынын корголушуна баа берүү, банктын программалык кодунун коопсуздугуна баа берүү жана статикалык жана динамикалык анализатор (SAST и DAST), анын ичинде мобилдик жана интернет-банкинг сыяктуу коддун чабалдыгын текшерүүнүн автоматташтырылган инструменттерин колдонуу; - тармактык коопсуздук: тармактын топологиясына серверлер, pos-терминалдар жана банкоматтар менен атайын чакан тармакты, артыкчылыктуу колдонуучулар үчүн администрлөө тармагын бөлүү боюнча баа берүү, dmz-зоналарынын, операциялык системалардын актуалдуу версияларынын жана коопсуздук патчынын болушуна баа берүү; тармактык кирүү жана тармактык аномалиялардын алдын алуу системаларынын ишке толук багытталгандыгын изилдөө; тиешелүү жазылуулар менен тармактар аралык экрандардын жана коопсуздук сканерлеринин болушу. Тышкы аудиттин белгиленген багыттары банк тарабынан актуалдуулугуна жараша үзгүлтүксүз кайра каралып турууга тийиш. Улуттук банк мурдагы аудиттин натыйжалары боюнча жана/же маалымат коопсуздугу боюнча инциденттер орун алган шартта, белгиленген тармактарды тышкы аудит программасына киргизүүнү банкка кошумча сунуштоого укуктуу. 37-2. Тышкы аудит программасы банктын маалымат коопсуздугу боюнча жооптуу адамдары менен макулдашылууга/бекитилүүгө тийиш. 37-3. Банк зарыл болгон учурда жаңы маалымат системаларын түзүү, ишке киргизүү жана өндүрүшкө колдонуу этабында маалымат системаларынын компоненттерине максаттуу аудит жүргүзө алат. Бирок, максаттуу аудит маалымат системаларына тышкы аудит жүргүзүүнү жокко чыгарбайт. 37-4. Максаттуу аудит бизнес-процессти баалоо үчүн инфраструктуранын айрым элементине же эл аралык стандарттарда (PCI DSS, COBIT, ITIL, ISO, NIST ж.б.) таанылган ыкчам аракет, коопсуздук, ишенимдүүлүк, өндүрүмдүүлүк сыяктуу белгилүү бир критерийлерге ылайык келүүсүнө багытталган атайын адистештирилген аудит катары пландан тышкары демилгелениши жана жүргүзүлүшү мүмкүн. 37-5. Банк тарабынан кардарларга аралыктан пайдалануу мүмкүнчүлүгүн берүү үчүн жаңы тиркеме (интернет, мобилдик банкинг ж.б.) ишке киргизилген учурда, банк программалык кодунун коопсуздугуна максаттуу тышкы аудит жүргүзө алат. Максаттуу аудиттин жыйынтыктары аудиттин отчетун алгандан кийин 10 күн ичинде Улуттук банкка берилүүгө тийиш. |
|
38. Маалымат системасына аудит жүргүзүүнүн жүрүшүндө жана анын максаттары үчүн тышкы аудитор маалымат системасынын төмөнкүлөрдүн талаптарына ылайык келүүсүнө талдап-иликтөөнү жана баа берүүнү жүзөгө ашырууга тийиш: а) банктын маалымат коопсуздугу жагында Улуттук банктын ченемдик укуктук актылары; б) банктын жетекчилиги тарабынан бекитилген маалымат системасынын ички саясаты/жол-жобосу. |
38. Маалымат системасынын аудитинин жүрүшүндө жана максаттары үчүн тышкы аудитор төмөнкүлөргө милдеттүү: а) аудит жүргүзүү мөөнөттөрүн, аудит чөйрөсүн (текшерилүүчү маалымат системалары, процесстер, документтер), аудиттин ыкмаларын жана колдонулуучу инструменттерин белгилөө; б) банктын маалымат системаларынын жана процесстеринин төмөнкү талаптарга ылайык келүүсүнө талдоо жүргүзүү жана баа берүү: - Улуттук банктын ченемдик укуктук актыларынын маалымат коопсуздугу боюнча; - банктын жетекчилиги тарабынан бекитилген банктын маалымат системаларынын ички саясаттардын/жол-жоболордун. |
|
39. Маалымат системасына тышкы аудитти жүргүзүүдө эң аз дегенде төмөнкүлөрдү ишке ашыруу зарыл: а) алардын жетиштүүлүгү жана Кыргыз Республикасынын мыйзам талаптарына, Улуттук банктын ченемдик укуктук актыларына ылайык келүү көз карашынан маалымат коопсуздугун камсыз кылуу боюнча ички ченемдик документтер менен таанышуу; б) алардын шайкештигине, жетиштүүлүгүнө жана актуалдуулугуна баа берүү максатында маалымат системасында орун алышы ыктымал болгон тобокелдиктерди тескөө боюнча банктын стратегиялык документтери, бизнес-пландары, саясаттары жана жол-жоболору менен таанышып чыгуу; в) маалымат технологиясы процесстерин жөнгө салуу системасына, операциялык тобокелдиктерди тескөө системасына баа берүү; г) маалымат системасынын иш үзгүлтүксүздүгүн камсыз кылуу системасына жана өзгөчө кырдаалдар келип чыккан шартта маалымат системасын калыбына келтирүү пландарына баа берүү; д) түйүндүн, операциялык системанын, тиркемелердин, маалымат базасынын, персоналдын коопсуздугун камсыз кылуу деңгээлине баа берүү; е) филиалдарда маалымат системасынын коргоого алынышы деңгээлин кароого алуу; ж) автоматташтырылган системалардан пайдалана алуу мүмкүнчүлүгүн жөнгө салуу жана андагы бөлүштүрүү системасына баа берүү; з) банк персоналынын маалыматтык коопсуздук жагында маалыматынын болушу деңгээлине баа берүү; и) интеллектуалдык менчик укугуна тиешелүү мыйзам талаптарынын сакталышы, лицензияланган программалык продукттарды колдонуу жагында маселелерди кароого алуу. |
39. Маалымат системасына тышкы аудит жүргүзүүдө эң аз дегенде төмөнкүлөрдү ишке ашыруу зарыл: а) маалымат коопсуздугун камсыз кылуу боюнча ички документтердин зарылчылыгына, жетиштүүлүгүнө жана Кыргыз Республикасынын мыйзамдарынын, Улуттук банктын ченемдик укуктук актыларынын талаптарына ылайык келүүсүнө баа берүү; б) алардын шайкештигине, жетиштүүлүгүнө жана актуалдуулугуна баа берүү максатында, маалымат системасында орун алышы ыктымал болгон тобокелдиктерди тескөө боюнча банктын стратегиялык документтери, бизнес-пландары, саясаты жана жол-жоболору менен таанышып чыгуу; в) маалымат коопсуздугун башкаруу системасын жана операциялык тобокелдиктерди башкаруу системасын баалоо; г) маалымат системасынын иш үзгүлтүксүздүгүн камсыз кылуу системасына жана өзгөчө кырдаалдар келип чыккан шартта маалымат системасын калыбына келтирүү пландарына баа берүү; д) банктын активдерине карата маалымат коопсуздугун бузуу коркунучуна байланыштуу тобокелдиктерге баа берүү, маалымат системаларынын чабалдыгын идентификациялоо; е) филиалдарда маалымат системасынын коргоого алынуу деңгээлин кароого алуу; ж) автоматташтырылган системалардан пайдалана алуу мүмкүнчүлүгүн жөнгө салуу жана андагы бөлүштүрүү системасына баа берүү; з) банктын персоналынын маалымат коопсуздугу боюнча маалыматынын болушу деңгээлине жана банктын персоналга маалымдоо чараларына баа берүү; и) интеллектуалдык менчик укугуна тиешелүү мыйзам талаптарынын сакталышы, лицензияланган программалык продукттарды колдонуу жагында маселелерди кароого алуу; л) банктын жаңы ички жол-жоболорун иштеп чыгуу же колдонуудагы ички жол-жоболорун өркүндөтүү, ошондой эле маалымат системасынын коопсуздугун жакшыртуу боюнча чаралар түрүндө мурдагы тышкы аудитордук текшерүүлөрдүн сунуш-көрсөтмөлөрүнүн аткарылышына баа берүү. |
|
- |
39-1. Маалымат системаларынын аудитинин натыйжасы боюнча тышкы аудитор маалымат системаларынын учурдагы абалына, жана алардын коопсуздугунун деңгээлине баа берет. Банктык кызмат көрсөтүүлөрдү ишке ашыруу үчүн финансылык технологияларды иштеп чыгуу боюнча кызмат көрсөтүүлөрдү сунуштаган туунду компанияга жүргүзүлгөн аудиттин жыйынтыгы боюнча отчеттор жекече же консолидацияланган негизде түзүлөт. |
|
7. Тышкы аудитордун корутундусун/отчетун берүү тууралуу банкка карата коюлган талаптар |
|
|
40. Аудитордук корутунду аудиттин эл аралык стандарттарын жана Улуттук банктын талаптарын сактоо менен түзүлөт. Ошол эле учурда бардык колдонуучулар үчүн финансылык отчеттуулуктун эл аралык стандарттарына ылайык, банктын финансылык отчету боюнча аудитордук корутунду бирдей болууга тийиш. |
40. Аудитордук корутундудагы маалыматтар аудит программасына киргизилүүгө тийиш болгон сунуш-көрсөтмөлөрдү кошуп алганда, аудиттин эл аралык стандарттарына жана Улуттук банктын талаптарына ылайык чагылдырылууга тийиш. |
|
41. Финансылык жыл аяктагандан кийин банк төмөнкүлөргө милдеттүү: 1) Улуттук банкка аудитордук корутундунун күбөлөндүрүлгөн көчүрмөсү менен бирге финансылык отчетту жана аудитордун банк жетекчилигине тиешелүү катын акционерлердин жылдык жалпы жыйыны өткөрүлгөнгө чейинки беш жумуш күнүнүн ичинде берүүгө; … |
41. Финансылык жыл аяктагандан кийин банк төмөнкүлөргө милдеттүү: 1) Улуттук банкка аудитордук корутундунун күбөлөндүрүлгөн көчүрмөсү менен бирге финансылык отчетту жана аудитордун банк жетекчилигине тиешелүү катын, анын ичинде тышкы аудитордун сунуш-көрсөтмөлөрүн акционерлердин жылдык жалпы жыйыны өткөрүлгөнгө чейинки беш жумуш күнү ичинде берүүгө; … |
|
42. Банк маалымат системасына аудит аяктагандан кийин анын жыйынтыгы боюнча аналитикалык отчеттун күбөлөндүрүлгөн көчүрмөсү жана аудитордун банк жетекчилигине жазган катын беш жумуш күн ичинде Улуттук банкка берүүгө милдеттүү. |
42. Банк маалымат системасына аудит аяктагандан кийин анын жыйынтыгы боюнча аналитикалык отчеттун күбөлөндүрүлгөн көчүрмөсүн жана аудитордун банк жетекчилигине жазган катын 5 (беш) жумуш күнү ичинде Улуттук банкка берүүгө милдеттүү. Маалымат системаларынын аудитинин натыйжалары боюнча аналитикалык отчетто жок дегенде аудиттин масштабы, аудитте колдонулган ыкмалар тууралуу маалымат, мурдагы аудиттердин сунуш-көрсөтмөлөрүн аткаруу боюнча маалымат, аныкталган тобокелдиктер жөнүндө кыскача тыянактар, сунуш-көрсөтмөлөр, аудиттин жыйынтыгы боюнча жалпы корутунду камтылууга тийиш. |
|
49. Улуттук банктын ыйгарым укуктуу кызматкерлери инспектордук текшерүүлөрдүн жүрүшүндө тышкы аудитор менен жолугушууга, ошондой эле алардан оозеки жана жазуу жүзүндө маалыматтарды алууга укуктуу. |
49. Улуттук банктын ыйгарым укуктуу кызматкерлери инспектордук текшерүүлөрдүн жүрүшүндө тышкы аудитор менен жолугушууга, ошондой эле алардан оозеки жана жазуу жүзүндө маалыматтарды алууга укуктуу. Банк ишинде тобокелдиктер жана кемчиликтер аныкталган учурда, Улуттук банк тышкы аудиторго аталган маселелерди текшерүүнү аудит жана баа берүү программасына киргизүүнү кошумча сунуштоого укуктуу. |
|
8. Корутунду жоболор |
|
|
54. Улуттук банк Кыргыз Республикасынын мыйзамдарына ылайык пландан тышкаркы аудиттин жүргүзүлүшүн банктан талап кылууга укуктуу. Мында аудитордук уюмдун кызмат көрсөтүүсү банк тарабына төлөнүлөт. |
54. Кыргыз Республикасынын мыйзамдарына ылайык Улуттук банк пландан тышкаркы аудит жүргүзүүнү банктан талап кылууга укуктуу. Улуттук банк алдамчылык фактыларына, уурдоого, системаны бузууга жана маалымат коопсуздугун башкаруу системасындагы кемчиликтердин кесепетинен банкта олуттуу чыгымдарга алып келиши мүмкүн болгон башка коркунучтарга дуушарланткан маалымат коопсуздугу жагдайлары/инциденттери келип чыккан учурда, банкта пландан тышкаркы максаттуу аудитти жүргүзүүнү дайындоого укуктуу. Мында аудитордук уюмдун кызмат көрсөтүүлөрү банк тарабынан төлөнөт. |
|
57. Банктын кызмат адамдары төмөнкүлөргө милдеттүү: - банктын тышкы аудиторуна аудитордук текшерүүнү өз учурунда жана толук жүргүзүү үчүн шарттарды түзүүгө, аны жүргүзүү үчүн зарыл болгон бардык документтерди берүүгө, ошондой эле анын талабы боюнча оозеки жана жазуу жүзүндө түшүндүрмөлөрдү берүүгө; - аудитордук текшерүү тарабынан аныкталган бардык бузулуулар, анын ичинде банкты ички контролдук системасында бухгалтердик эсепке алууну жүргүзүү жана финансылык отчетту түзүү боюнча эреже бузууларды ыкчам четтетүүгө. |
57. Банктын кызмат адамдары төмөнкүлөргө милдеттүү: - банктын тышкы аудиторуна аудитордук текшерүүнү өз учурунда жана толук жүргүзүү үчүн шарттарды түзүүгө, аны жүргүзүү үчүн зарыл болгон бардык документтерди берүүгө, ошондой эле анын талабы боюнча оозеки жана жазуу жүзүндө түшүндүрмөлөрдү берүүгө; - аудитордук текшерүү тарабынан аныкталган бардык бузулуулар, анын ичинде банкты ички контролдук системасында бухгалтердик эсепке алууну жүргүзүү жана финансылык отчетту түзүү боюнча эреже бузууларды ыкчам четтетүүгө; - аудитордук текшерүүдө аныкталган жалпы маалымат коопсуздугу боюнча кемчиликтерди, анын ичинде банкта чыгымдарга жана жоготууларга алып келиши мүмкүн болгон тобокелдиктер жана коркунучтар боюнча кемчиликтерди четтетүү боюнча ыкчам чараларды көрүүгө.». |
|
4. Кыргыз Республикасынын Улуттук банкы тарабынан лицензияланган жана иши ал тарабынан жөнгө салынган банктарда жана банктык эмес финансы-кредит уюмдарында ички контролдук жана ички аудит системаларын жөнгө салуу эрежелери |
|
|
3. Ички контролдук жол-жоболоруна талаптар |
|
|
24. Санкциясыз пайдалануу мүмкүнчүлүгүнөн жана купуялуулукту камтыган маалыматты жайылтуудан, ошондой эле маалыматты жеке кызыкчылыгы үчүн колдонуудан коргоо тартибин кошо алганда, коопсуз маалымат агымын жөнгө салуу жана камсыз кылуу үчүн контролдук тартиби ушул Эрежелерди эске алуу менен банктын ички документтеринде белгиленет жана банк ишинин бардык багыттарына жана операцияларына таркатылат. Бул үчүн банк: 1) оперативдүү режимде шайкеш жана толук финансылык жана башка зарыл маалыматтарга ээ болууга, ошондой эле банктын жетекчилиги тарабынан чечимдердин кабыл алынышына таасирин тийгизиши мүмкүн болгон рынокто түптөлгөн жагдайлар жана шарттар жөнүндө маалымат менен камсыз болууга тийиш; 1) автоматташтырылган маалымат системасына жана техникалык каражаттарга ички контролдуктун жүргүзүлүшүн камсыз кылууга тийиш, ал төмөнкүлөрдү өзүнө камтыйт: - автоматташтырылган системаларга жалпы контролдук, анда иш үзгүлтүксүздүгүн камсыз кылуу максатында компьютердик системаларга (башкы компьютерге, кардар-сервер системасына жана түпкү пайдалануучулардын жумуш орундарына ж.б.) жүргүзүлгөн контролдук каралган. Жалпы контролдук, банк тарабынан жүзөгө ашырылуучу маалыматтарды резервге коюу (көчүрүү) жол-жоболорунан жана программалык камсыздоону сатып алуу, иштеп чыгуу жана тейлөө (коштоп жүрүү) эрежелерин, ошондой эле пайдалануу коопсуздугуна контролдукту жүзөгө ашыруу тартибин аныктоону кошо алганда, автоматташтырылган маалымат системасынын функцияларын кайра калыбына келтирүү жана андан пайдалануу учурунда колдоо көрсөтүү жол-жоболорунан турат. - программалык контролдук, ал колдонмо программаларга киргизилген автоматташтырылган жол-жоболор, ошондой эле банктык операциялардын жана башка бүтүмдөрдүн иштелип чыгышын контролдукка алган кол менен иштетилүүчү жол-жоболордун негизинде жүзөгө ашырылат (контролдук редакциялоо, пайдалануу мүмкүнчүлүгүн контролдоо, маалыматтарды резервге коюу жана калыбына келтирүүнүн ички жол-жоболору ж.б.). |
24. Санкциясыз пайдалануу мүмкүнчүлүгүнөн жана купуялуулукту камтыган маалыматты жайылтуудан, ошондой эле маалыматты жеке кызыкчылыгы үчүн колдонуудан коргоо тартибин кошо алганда, коопсуз маалымат агымын жөнгө салуу жана камсыз кылуу үчүн контролдук тартиби ушул Эрежелерди эске алуу менен банктын ички документтеринде белгиленет жана банк ишинин бардык багыттарына жана операцияларына таркатылат. Бул үчүн банк: 1) оперативдүү режимде шайкеш жана толук финансылык жана башка зарыл маалыматтарга ээ болууга, ошондой эле банктын жетекчилиги тарабынан чечимдердин кабыл алынышына таасирин тийгизиши мүмкүн болгон рынокто түптөлгөн жагдайлар жана шарттар жөнүндө маалымат менен камсыз болууга тийиш; 1) автоматташтырылган маалымат системасына жана техникалык каражаттарга ички контролдуктун жүргүзүлүшүн камсыз кылууга тийиш, ал төмөнкүлөрдү өзүнө камтыйт: - автоматташтырылган системаларга жалпы контролдук, анда иш үзгүлтүксүздүгүн камсыз кылуу максатында компьютердик системаларга (башкы компьютерге, кардар-сервер системасына жана түпкү пайдалануучулардын жумуш орундарына ж.б.) жүргүзүлгөн контролдук каралган. Жалпы контролдук, банк тарабынан жүзөгө ашырылуучу маалыматтарды резервге коюу (көчүрүү) жол-жоболорунан жана программалык камсыздоону сатып алуу, иштеп чыгуу жана тейлөө (коштоп жүрүү) эрежелерин, ошондой эле пайдалануу коопсуздугуна контролдукту жүзөгө ашыруу тартибин аныктоону кошо алганда, автоматташтырылган маалымат системасынын функцияларын кайра калыбына келтирүү жана андан пайдалануу учурунда колдоо көрсөтүү жол-жоболорунан турат. - программалык контролдоо, ал колдонмо программаларга киргизилген автоматташтырылган жол-жоболор, ошондой эле банктык операциялардын жана башка бүтүмдөрдүн иштелип чыгышын контролдукка алган кол менен иштетилүүчү жол-жоболордун негизинде жүзөгө ашырылат (контролдоп редакциялоо, пайдалануу мүмкүнчүлүгүн контролдоо, маалыматтарды резервге коюу жана калыбына келтирүүнүн ички жол-жоболору, транзиттик эсептерди түзүүнү контролдоо, аралыктагы жазууларды контролдоо ж.б.). |
|
25. Банктын финансылык маалыматынын өз убагында берилишин, аныктыгын жана жеткиликтүүлүгүн камсыз кылууга контролдук, кеминде төмөнкүлөрдү текшерүүнү талап кылынат: - банкта бухгалтердик эсепке алуу системасынын Финансылык отчеттун эл аралык стандарттарына (ФОЭС) жана Кыргыз Республикасынын мыйзамдарына ылайык келүүсү; - ислам банк иши жана каржылоо принциптерине ылайык операцияларды жүзөгө ашырган банкта банктын бухгалтердик эсепке алуу системасын ислам финансы институттары үчүн Бухгалтердик эсепке алуу жана аудит уюмунун стандарттарына (AAOIFI) (белгилүү бир стандарттар жок учурда - эгерде алар AAOIFI тарабынан бекитилген Шариат стандарттарына каршы келбесе, ФОЭС стандарттарына ылайык келүүсү) жана Кыргыз Республикасында кабыл алынган банктык тажрыйбанын коопсуз стандарттарына ылайык келүүсү; - банкта бухгалтердик жазууларды жана өткөрүүлөрдү жүргүзүү боюнча ички документтин (колдонмо) болушу; - бухгалтердик жазуулардын күндөлүк негизде жүзөгө ашырылышы жана банктын ар бир операциясынын чагылдырылышы; - банктын ар бир күнгө карата финансылык абалын чагылдырган отчеттун болушу; - айрыкча депозиттерге, кредиттерге, валюта операцияларына жана башка операцияларга тиешелүү өздүк эсептер боюнча маалыматтын банктын башкы китебинин маалыматтарына дал келүүсү; - санкциялоо процессине тартылбаган кызматкерлер тарабынан утурумдук салыштырып текшерүүлөрдүн жүргүзүлүшүн же операциялардын финансылык отчетто чагылдырылышын; - банктын кайсыл болбосун операциясы башталышынан аягына чейин же анын учурдагы абалына көз салууга мүмкүн болгон түзгөн документтин болушун; - банктын бардык операцияларын баштапкы документтер менен тастыктоонун жана операцияларды жүргүзүүдө кандай болбосун өзгөрүүлөрдүн тиешелүү жазуулар менен тастыкталышын; |
25. Банктын финансылык маалыматынын өз убагында берилишин, аныктыгын жана жеткиликтүүлүгүн камсыз кылууга контролдук, кеминде төмөнкүлөрдү текшерүүнү талап кылынат: - банкта бухгалтердик эсепке алуу системасынын Финансылык отчеттун эл аралык стандарттарына (ФОЭС) жана Кыргыз Республикасынын мыйзамдарына ылайык келүүсү; - ислам банк иши жана каржылоо принциптерине ылайык операцияларды жүзөгө ашырган банкта банктын бухгалтердик эсепке алуу системасын ислам финансы институттары үчүн Бухгалтердик эсепке алуу жана аудит уюмунун стандарттарына (AAOIFI) (белгилүү бир стандарттар жок учурда - эгерде алар AAOIFI тарабынан бекитилген Шариат стандарттарына каршы келбесе, ФОЭС стандарттарына ылайык келүүсү) жана Кыргыз Республикасында кабыл алынган банктык тажрыйбанын коопсуз стандарттарына ылайык келүүсү; - банкта бухгалтердик жазууларды жана өткөрүүлөрдү жүргүзүү боюнча ички документтин (колдонмо) болушу; - бухгалтердик жазуулардын күндөлүк негизде жүзөгө ашырылышы жана банктын ар бир операциясынын чагылдырылышы; - банктын ар бир күнгө карата финансылык абалын чагылдырган отчеттун болушу; - айрыкча депозиттерге, кредиттерге, валюта операцияларына жана башка операцияларга тиешелүү өздүк эсептер боюнча маалыматтын банктын башкы китебинин маалыматтарына дал келүүсү; - санкциялоо процессине тартылбаган кызматкерлер тарабынан утурумдук салыштырып текшерүүлөрдүн жүргүзүлүшүн же операциялардын финансылык отчетто чагылдырылышын; - банктын кайсыл болбосун операциясы башталышынан аягына чейин же анын учурдагы абалына көз салууга мүмкүн болгон түзгөн документтин болушун; - банктын бардык операцияларын баштапкы документтер менен тастыктоонун жана операцияларды жүргүзүүдө кандай болбосун өзгөрүүлөрдүн тиешелүү жазуулар менен тастыкталышын; - транзиттик эсеп аркылуу жүргүзүлүүчү операцияларды туруктуу контролдоо. |
|
5. «Кыргыз Республикасынын банктарында тобокелдиктерди тескөө боюнча минималдуу талаптар жөнүндө» жобо |
|
|
10. Операциялык тобокелдик |
|
|
71. Директорлор кеңеши операциялык тобокелдиктерди контролдоо жана кыскартуу саясатын, ал эми Башкарма жол-жоболорду бекитүүгө тийиш. Айрым учурларда алар кредиттик же инвестициялык саясат сыяктуу башка саясаттарга камтылышы мүмкүн. 72. Операциялык тобокелдиктерди кыскартуу үчүн банктар үзгүлтүксүз ишти жана жоготууларга жол бербөөнү камсыз кылуу үчүн күтүүсүз жагдайларда чара көрүү планы жана үзгүлтүксүз ишти камсыз кылуу планы болууга тийиш. Планда орчундуу маалыматтарды резервдик көчүрмөлөө, ошондой эле мындай резервдик маалыматтарды өзүнчө жайда дайыма сактоо камтылууга, бирок булар менен эле чектелип калбоого тийиш.
|
71. Директорлор кеңеши операциялык тобокелдиктерди контролдоо жана кыскартуу саясатын, ал эми Башкарма жол-жоболорду бекитүүгө тийиш. Айрым учурларда алар кредиттик же инвестициялык саясат сыяктуу башка саясаттарга камтылышы мүмкүн. 72. Операциялык тобокелдиктерди кыскартуу үчүн банктар үзгүлтүксүз ишти жана жоготууларга жол бербөөнү камсыз кылуу үчүн күтүүсүз жагдайларда чара көрүү планы жана үзгүлтүксүз ишти камсыз кылуу планы болууга тийиш. Планда орчундуу маалыматтарды резервдик көчүрмөлөө, ошондой эле мындай резервдик маалыматтарды өзүнчө жайда дайыма сактоо камтылууга, бирок булар менен эле чектелип калбоого тийиш. 72-1. Банктын автоматташтырылган системасынын же башка маалымат системаларынын кызмат көрсөтүүлөрдүн 30 мүнөттөн ашык калкка жеткиликсиз болуп, үзгүлтүккө учурашына алып келген маалымат коопсуздугу жагдайлары/инциденттери келип чыккан шартта, банк жагдай/инцидент орун алган учурдан тартып 45 мүнөттөн кечиктирбестен, Улуттук банкка өз ара иш алып баруу каналдары боюнча маалымдоого жана жагдай/инцидент болгон күндөн тартып 1 (бир) жумуш күнүнөн кечиктирбестен, Улуттук банкка жагдай/инцидент тууралуу толук маалымат жана анын себептерин четтетүү үчүн банк тарабынан көрүлүп жаткан чаралар жөнүндө маалымат камтылган расмий катты жөнөтүүгө тийиш. 72-2. Банктын автоматташтырылган системасы же башка маалымат системалары калкка кандайдыр бир кызмат көрсөтүүлөрдүн жеткиликсиздигине байланыштуу 60 мүнөттөн ашык токтоп турган учурда, банк жагдай/инцидент болгон учурдан тартып 90 мүнөттөн кечиктирбестен, жеткиликтүү байланыш каналдарынын же жалпыга маалымдоо каражаттарынын жардамы менен техникалык мүчүлүштүктөрдү четтетүү убактысы тууралуу калкка өз алдынча маалымдоого тийиш. |
Кыргыз Республикасынын Улуттук банк Башкармасынын
«Кыргыз Республикасынын Улуттук банкынын айрым ченемдик укуктук актыларына маалымат системаларынын аудити маселеси боюнча өзгөртүүлөрдү киргизүү жөнүндө» токтом долбооруна карата
МААЛЫМДАМА-НЕГИЗДЕМЕ
1. Максаты жана милдеттери
Кыргыз Республикасынын Улуттук банк Башкармасынын «Кыргыз Республикасынын Улуттук банкынын айрым ченемдик укуктук актыларына маалымат системаларынын аудит маселеси боюнча өзгөртүүлөрдү киргизүү жөнүндө» токтом долбоору (мындан ары – токтом долбоору) маалымат коопсуздугу боюнча операциялык тобокелдикти азайтуу максатында иштелип чыкты.
2. Түшүндүрмө берүүчү бөлүк
Сунушталган токтом долбоорунун алкагында маалымат системаларына аудит жүргүзүү талаптары, ошондой эле банктын маалымат коопсуздугун башкаруу системасына баа берүү боюнча өзгөртүүлөрдү киргизүү каралган.
Маалымат технологияларына байланышкан тобокелдиктерди натыйжалуу тескөө банктардын коопсуздугун жана ишенимдүүлүгүн камсыздоого жана банк системасынын туруктуулугу үчүн өтө маанилүү. Маалымат системаларын натыйжалуу колдонуу татаал продуктуларды иштеп чыгууга, рыноктук инфраструктураны жакшыртууга, тобокелдиктерди контролдоонун ишенимдүү ыкмаларын киргизүүгө жана жаңы рынокторго чыгууга мүмкүндүк берет.
Маалымат технологиялары банктардын өсүү мүмкүнчүлүктөрүн жана кирешелүүлүгүн жогорулатканы менен (мисалы, санариптик банкинг аркылуу), санариптик банкинг платформаларына тобокелдиктер жана коркунучтар да көбөйдү. Банктар санариптик банк продуктуларын көбүрөөк сунуштаган сайын, коркунучтардын саны да көбөйүүдө.
Киберкоопсуздук банк активдерин бул потенциалдуу коркунучтардан коргоо үчүн зарыл болуп эсептелет. Туура аутентификация жана колдонуучунун жеткиликтүүлүгүн башкаруу кеңири жана көп деңгээлдүү коопсуздук стратегиясы болгон маалымат коопсуздугу программасы үчүн өтө маанилүү.
Бүгүнкү күндө заманбап технологиялар банктардын салттуу түрдө финансылык кызмат көрсөтүү ыкмасын өзгөртүп жатат. Банктар маалымат технологиялары аркылуу жаңы продуктуларды жана кызматтарды өнүктүрүүгө умтулушат, бул кардарлардын тажрыйбасын жакшыртат. Бул өзгөртүүлөр системалык тобокелдиктердин жаңы булактарын жаратат, алар өз кезегинде жөнгө салууну талап кылат.
Банк сектору башка тармактарга караганда киберчабуул тобокелдигине көбүрөөк дуушар болгон маанилүү тармак болуп саналат, анткени ал маалымат технологияларын интенсивдүү колдонот жана негизги баштапкы маалымат катары маалыматтан көз каранды. Банктар ошондой эле төлөм системалары аркылуу башка финансылык уюмдар менен тыгыз байланышта.
Ушуга байланыштуу, маалымат системаларынын ресурстарына карата коопсуздук коркунучтарын ишке ашыруу мүмкүнчүлүгү менен байланышкан тобокелдиктерди өз убагында талдоо, ошондой эле маалымат системаларын коргоо жана эксплуатациялоо системасындагы аялуу жерлерди идентификациялоо максатында, токтомдун долбоорунда системалуу мааниге ээ банктар жана аралыктан финансылык кызмат көрсөтүүчү банктар үчүн маалымат системаларынын аудитин жыл сайын жүргүзүү сунушталууда.
Мындан тышкары, токтом долбоорунун алкагында милдеттүү болуп саналган тышкы аудит жана банктын демилгеси боюнча жүргүзүлүүчү максаттуу аудит каралган. Максаттуу аудит инфраструктуранын айрым элементине багытталган жогорку адистештирилген аудит, бизнес-процессти баалоо үчүн техникалык аудит, конкреттүү критерийлерге жана/же стандарттарга шайкеш келүү аудити же эксперттик баалоо катары жүргүзүлүшү мүмкүн.
Бул талаптар банктарга маалыматтык системалардагы аялуу жерлерди локалдаштырууга, ошондой эле айрым бизнес-процесстерге тематикалык аудит жүргүзүүгө мүмкүндүк берет.
Токтомдун долбоорунда маалымат коопсуздугу системасын натыйжалуу башкарууну камсыз кылуу жана операциялык тобокелдиктерди төмөндөтүү максатында, маалымат системаларына аудит жүргүзүү процессине жана аудитордук отчеттун мазмунуна карата талаптар киргизилген.
Ошондой эле токтомдун долбоорунда «Кыргыз Республикасынын мамлекеттик тили жөнүндө» Кыргыз Республикасынын конституциялык Мыйзамына ылайык келтирүү максатында, банктын финансылык отчетторун мамлекеттик жана зарыл болгон учурда расмий тилде жарыялоо боюнча талаптар жана системалуу мааниге ээ банкты аныктоо боюнча сапаттык мүнөздөмөлөрү боюнча толуктоо каралган.
3. Социалдык, экономикалык, укуктук, укук коргоо, гендердик, экологиялык, коррупциялык натыйжаларды болжолдоо
Токтом долбоорун кабыл алуу социалдык, экономикалык, укуктук, укук коргоо, гендердик, экологиялык, коррупциялык терс натыйжаларга алып келбейт.
4. Коомдук талкуунун жыйынтыктары жөнүндө маалымат
Кыргыз Республикасынын «Кыргыз Республикасынын ченемдик укуктук актылары жөнүндө» мыйзамынын 19 жана 22-беренелерине, ошондой эле «Кыргыз Республикасынын Улуттук банкынын ченемдик укуктук актылары жөнүндө» жобонун талаптарына ылайык, жарандардын жана юридикалык жактардын түздөн-түз кызыкчылыгына тиешелүү, ошондой эле ишкердик ишти жөнгө салуучу ченемдик укуктук актылардын долбоорлору коомдук талкууга сунушталууга тийиш.
Токтомдун долбоору Улуттук банктын расмий интернет-сайтына жана коомдук талкуулоо үчүн Кыргыз Республикасынын ченемдик укуктук актыларынын долбоорлорун коомдук талкуулоонун бирдиктүү порталына жайгаштырылат.
5. Долбоордун мыйзам талаптарына дал келүүсүн талдоо
Токтом долбоору Кыргыз Республикасынын колдонуудагы мыйзам талаптарына каршы келбейт.
6. Каржылоо зарылчылыгы жөнүндө маалымат
Сунушталып жаткан токтом долбоорун кабыл алууда кошумча каржылоо талап кылынбайт.
7. Жөнгө салуучу таасирин талдоо жөнүндө маалымат
Кыргыз Республикасынын Улуттук банк Башкармасынын 2022-жылдын 21-декабрындагы №2022-П-02/81-6-(НПА) токтому менен бекитилген Кыргыз Республикасынын Улуттук банкынын ченемдик укуктук актыларынын ишкердик субъекттеринин ишине карата жөнгө салуучу таасирин талдоо методикасына ылайык, сунушталган токтомдун долбоорунун жөнгө салуучу таасирине талдоо жүргүзүлгөн.
АНАЛИТИКАЛЫК КАТ
Кыргыз Республикасынын Улуттук банкы
(иштеп чыккан органдын аталышы)
|
|
|
БЕКИТЕМ |
|
|
|
____________________________ (кызматы) |
|
|
|
____________________________ (кол тамгасы) |
|
|
|
20___ -жылдын ___- ______ |
Кыргыз Республикасынын Улуттук банк Башкармасынын «Кыргыз Республикасынын Улуттук банкынын айрым ченемдик укуктук актыларына маалымат системаларынын аудити маселеси боюнча өзгөртүүлөрдү киргизүү жөнүндө» токтом долбоорунун
ЖӨНГӨ САЛУУЧУ ТААСИРИН ТАЛДОО
Иштеп чыгуу үчүн негиздер: Улуттук банктын 2022-жылдын 27-октябрындагы № 2022-Пр-121/225-О «Кыргыз Республикасынын Улуттук банкынын Көзөмөлдөө методологиясы башкармалыгынын банктык жөнгө салуу маселелери боюнча ченемдик укуктук актыларынын жөнгө салуучу таасирин талдоо үчүн туруктуу жумушчу топ түзүү жөнүндө» буйругу.
|
Жөнгө салуучу таасирин талдоо мөөнөттөрү: |
______________ __________ (башталышы) (аякташы) |
|
Жумушчу топтун жетекчиси:
Жумушчу топ:
Жооптуу кызматкер менен байланышуу үчүн маалымат: Н.А. Ипасова, 31 28 81, nipasova@nbkr.kg (аты-жөнү, тел., e-mail) |
|
I. Жөнгө салууну өзгөртүү үчүн проблемалар жана негиздер
1. Проблема тууралуу маалымат
Бүгүнкү күндө заманбап технологиялар банктардын салттуу түрдө колдонулуп келген банктык жана финансылык кызмат көрсөтүү ыкмаларынын өзгөрүшүнө таасирин тийгизүүдө. Банктар маалымат технологиялары аркылуу жаңы продуктуларды жана кызматтарды өнүктүрүүгө умтулушат, бул кардарларды тейлөө сапатын жакшыртууга тийиш. Бул өзгөртүүлөр системалык тобокелдиктердин жаңы булактарын жаратат, алар өз кезегинде жөнгө салууну талап кылат.
Финансы секторунда банктар, адатта өз продуктуларын жана кызматтарын сунуштоодо кеңири мүмкүнчүлүккө ээ. Банк системаларынын тышкы тараптар менен байланышуу жолдорунун көптүгү кыйла чабалдыкка, киберчабуулдарга жана финансы системасынын башка бөлүктөрүнө багытталган чабуулдар үчүн кирүү түйүнү катары пайдалануу мүмкүнчүлүгүнө алып келет. Демек, банктарда кибер тобокелдиктерди азайтуу үчүн туура башкаруу, системалар , жол-жоболор жана процесстер болушу зарыл.
Маалымат системаларына болгон көз карандылыктын жогорулашы банк дуушар болушу мүмкүн болгон технологиялык тобокелдик деңгээлин жогорулатат, бул өз кезегинде кыйыр таасирин тийгизет, ошону менен маалымат коопсуздугунун аудитинин актуалдуулугун күчөтөт.
Банктын маалымат коопсуздугу системасына аудит жүргүзүү талабы тобокелдиктерди натыйжалуу тескөөгө, өзгөчө кибер коопсуздуктун чабал чараларынан улам орун алган тобокелдиктерди тескөөгө колдоо көрсөтүү зарылчылыгына байланыштуу келип чыккан. Дүйнө жүзүндө, айрыкча финансылык жана банк секторунда санариптештирүү кеңири жайылгандыгына байланыштуу, маалыматтардын сыртка чыгышы жана киберкылмыштуулук күчөдү.
Маалымат коопсуздугунун аудитинин натыйжалуу функциясынын зарылдыгы чечүүчү факторлорго ээ, анткени банктар рынокту жакшыраак багыттоо үчүн технологияны колдонушат, бул дагы ички контролдоо системасына таасирин тийгизет. Бизнес-процесстер негизинен технологиялык жетишкендиктер менен интеграциялангандыгын эске алып, банктарга жаңы ыкмаларды эске алуу менен ички контролдоо жана кызматкерлердин өз ара аракеттенүү системасын түзүүгө туура келет. Ошентип, технология көбүрөөк киргизилген сайын жаңы тобокелдиктер байкалууда.
Маалымат коопсуздугу аудити бизнеске байланышкан тобокелдиктердин түрлөрүнө, аларды аныктоого жана алардын эң жакшы иштеши үчүн зарыл болгон тийиштүү контролдоо каражаттарын жайылтуу максатында, баалоого багытталган. Банктар туш болгон потенциалдуу тобокелдиктерди түшүнүүсүнө жардам берүү менен, аудит банктарга бул тобокелдиктерди четтетүүгө, жөнгө салууга же болбосо тиешелүү контролдоо каражаттары аркылуу жөнгө салууга болобу же болбойбу, ага карабастан, алар боюнча иш-аракеттердин так стратегиясын берет.
Маалымат коопсуздугу боюнча үзгүлтүксүз жана кылдат аудитти колдонуу потенциалдуу тобокелдиктерди азайтып, оптималдуу чечимдерди кабыл алуу менен тиешелүү системаларды көзөмөлдөөгө мүмкүндүк берет. Маалымат системаларынын аудити функциясы маалымат коопсуздугун башкаруудагы кемчиликтерди же чабал жактарды четтетүү максатында аткарылат.
2. Проблеманын масштабы
Каралып жаткан маселенин масштабы коммерциялык банктардын ишине, атап айтканда, операциялык тобокелдикти тескөөгө жана маалымат коопсуздугу системасына таасирин тийгизет.
3. Жөнгө салууну өзгөртүү үчүн негиздер, проблеманы чечүүнүн актуалдуулугу
Жөнгө салуунун потенциалдуу артыкчылыктарынын бири – бул, банктын директорлор кеңешинин жана башкармасынын кызыкчылыгын камсыз кылууга өбөлгө түзөт. Анткени жөнгө салуу директорлор кеңешинин жана жетекчиликтин ар кандай көйгөйгө көбүрөөк көӊүл буруусуна, ал эми кибер тобокелдиктерди жөнгө салуу банктарга маалымат коопсуздугун жакшыртууга туруктуу инвестиция салууга өбөлгө түзөт. Банктардын директорлор кеңеши жана башкармасы киберчабуулдардын финансылык чыгымдарын жана аброй жоготуу тобокелдигин эске алуу менен ишенимдүү маалымат коопсуздугун камсыз кылуу мүмкүнчүлүгүнө ээ. Бирок, банктын директорлор кеңеши жана башкармасы дайым эле келечекти көрө бербеши мүмкүн жана кибертобокелдиктердин бизнеске тийгизген кесепетин түшүнбөшү мүмкүн, демек, жөнгө салуунун жоктугунан улам, кибертуруктуулукту башка бизнес максаттарына колдонушу мүмкүн.
Мындан тышкары, Кыргыз Республикасынын «Кыргыз Республикасынын Улуттук банкы жөнүндө» конституциялык Мыйзамынын 40-беренесине (мындан ары - Мыйзам), Улуттук банк Кыргыз Республикасынын банк жана төлөм системасынын туруктуулугун жана ишенимдүүлүгүн камсыз кылуу, аманатчылардын, банк жана төлөм кызмат көрсөтүүлөрүнүн башка керектөөчүлөрүнүн кызыкчылыктарын коргоо, Кыргыз Республикасынын банк мыйзамдарынын сакталышы максатында алардын ишин жөнгө салуучу атайын мыйзамдардын жана Кыргыз Республикасынын мыйзамдарынын, ошондой эле террористтик ишти каржылоого жана кылмыштуу кирешелерди легалдаштырууга (адалдоого) каршы аракеттенүү чөйрөсүндөгү Кыргыз Республикасынын мыйзамдарынын талаптарына ылайык көзөмөл жүргүзөт жана ушул берененин 1-бөлүгүндө көрсөтүлгөн жактарды жөнгө салуу жана көзөмөлдөө ченемдерин белгилейт.
Ушуга байланыштуу, маалымат системаларынын ресурстарына карата коопсуздук тобокелдиктери орун алышы мүмкүндүгүнө байланыштуу тобокелдиктерге өз учурунда талдоо жүргүзүү, ошондой эле маалымат системаларын коргоо жана пайдалануу системасындагы чабал жактарды идентификациялоо максатында, Улуттук банк тарабынан Кыргыз Республикасынын Улуттук банк Башкармасынын «Кыргыз Республикасынын Улуттук банкынын айрым ченемдик укуктук актыларына маалымат системаларынын аудити маселеси боюнча өзгөртүүлөрдү киргизүү жөнүндө» токтом долбоору (мындан ары – токтомдун долбоору) иштелип чыккан.
4. Эл аралык тажрыйба
Киберкоопсуздуктун жана маалымат коопсуздугунун учурдагы техникалык стандарттары ар кандай жөнгө салуучу колдонмо үчүн олуттуу түрткү болушу мүмкүн. Мисалы, 2013-2014-жылдары АКШнын Улуттук стандарттар жана технологиялар институту (NIST) жеке жана мамлекеттик секторлор менен тыгыз кызматташтыкта киберкоопсуздуктун түзүмүн иштеп чыккан. Уюмдарга кибертобокелдиктерди башкарууга жардам берген тармактык стандарттардын жана мыкты тажрыйбалардын жыйындысынан турган бул түзүм Кошмо Штаттардагы уюмдар тарабынан ыктыярдуу түрдө колдонулат, ошондой эле буга дүйнө жүзү боюнча олуттуу көңүл бурулган.
- Россия Федерациясы: Россия Федерациясынын «Банктар жана банк иши жөнүндө» мыйзамы менен кредиттик уюмдун жылдык бухгалтердик (финансылык) отчетуна, банктык топтун жылдык консолидацияланган финансылык отчетуна, банктык холдингдин жылдык консолидацияланган финансылык отчетуна милдеттүү түрдө аудит жүргүзүлүүгө тийиш. Мында маалымат коопсуздугу аудити боюнча айрым талаптар көрсөтүлгөн эмес.
- Казакстан Республикасы: Казакстан Республикасынын «Банктар жана банк иши жөнүндө» мыйзамынын 57-беренесине ылайык, банк башка маалыматка жылына бир эле жолу аудит жүргүзөт, бир маселе боюнча башка маалыматка аудит үч жылда бир эле жолу жүргүзүлөт.
Башка маалыматтын аудитинин алкагында текшерилүүгө тийиш болгон маселелердин тизмеги, аудитордук уюмдун башка маалыматтын аудити боюнча аудитордук корутундусунун мазмунуна, берүү мөөнөттөрүнө карата талаптар, аудитке тартылуучу аудитордук уюмдун курамындагы аудиторлорго карата талаптар аудитордук иш жаатында мамлекеттик жөнгө салууну жана аудитордук жана кесиптик аудитордук уюмдардын ишин контролдоону жүзөгө ашыруучу ыйгарым укуктуу мамлекеттик орган менен макулдашуу боюнча ыйгарым укуктуу органдын ченемдик укуктук актыларында белгиленет.
Казакстан Республикасынын Улуттук банк Башкармасынын токтомуна ылайык башка маалыматтарга төмөнкү маселелер кирет:
1) тобокелдиктерди тескөө жана ички контролдоо системасына баа берүү;
2) стратегияны жана бизнес-моделди, корпоративдик башкаруу системасын баалоо;
3) маалымат технологияларынын тобокелдиктерин тескөө системасын, маалымат коопсуздугу системасынын натыйжалуулугун баалоо;
4) кылмыш жолу менен алынган кирешелерди легалдаштырууга (адалдоого) жана терроризмди каржылоого каршы аракеттенүү чөйрөсүндө ички контролдоо системасынын натыйжалуулугуна баа берүү.
II. Сунушталып жаткан жөнгө салуу жөнүндө маалымат
5. Жөнгө салуунун максаты
5.1. Мамлекеттик жөнгө салуунун максаты банктардын маалымат коопсуздугу боюнча операциялык тобокелдикти азайтуу болуп саналат.
6. Сунушталган жөнгө салуу
Сунушталган жөнгө салуу – Улуттук банктын ченемдик укуктук актыларына банктын профилин эске алуу менен маалымат системаларына аудиттин талаптарын, ошондой эле аудиттин айрым түрлөрүн белгилөө жагында өзгөртүүлөрдү киргизүү.
Токтом долбоорун кабыл алууда коммерциялык банктардын маалымат коопсуздугу жагында операциялык тобокелдиктерин минималдаштырууга мүмкүнчүлүк берилет.
7. Жөнгө салуудан улам социалдык жана экономикалык натыйжаларды баалоо
7.1 Жөнгө салуунун бул түрүнүн күтүлүүчү натыйжасы банктын тобокелдигин азайтууга, ошондой эле маалымат коопсуздугун бекемдөөгө багытталган.
7.2. Экономикага, социалдык секторго жана экологияга күтүлүп жаткан таасири:
1) экономикага тийгизген таасири: токтом долбоору банктардын туруктуулугун жана ишенимдүүлүгүн сактоого багытталган. Ушуга байланыштуу, сунушталган жөнгө салуу бүтүндөй банк секторуна оң таасирин тийгизиши күтүлүүдө;
2) социалдык чөйрөгө тийгизген таасири: жөнгө салуу ченемдери банктын тобокелдиктерин азайтууга жана банк системасын коргоого багытталган.
7.3. Жөнгө салуунун кызыкдар тараптарынын - даректеринин негизги топторуна күтүлгөн таасири: долбоордо маалымат системаларына аудит жүргүзүү боюнча банктарга карата жаңы талаптар каралгандыгын эске алуу менен, коммерциялык банктардын кошумча сарптоолору талап кылынышы мүмкүн.
8. Сунушталган жөнгө салууну ишке ашырууда тобокелдиктерди баалоо
Сунушталган өзгөртүүлөрдү киргизүү банктардын операциялык тобокелдигин азайтууга жана маалымат коопсуздугу башкаруудагы чабал жактарды өз убагында локалдаштырууга багытталган. Сунушталган жөнгө салуу банктардын маалымат системаларына аудит жүргүзүүгө жана банктын айрым бизнес-процесстерине баа берүүгө кошумча каражаттарын талап кылат.
9. Атаандаштыкка таасирин баалоо
Токтомдун долбоорун кабыл алуу атаандаштыкка түздөн-түз таасирин тийгизбейт, анткени долбоордо айрым ишкерлер үчүн белгилүү бир жеңилдиктер же басмырлоочу шарттар каралган эмес.
10. Кызыкдар тараптардын пикири
Жөнгө салуучу таасирине талдоо жүргүзүү үчүн ал боюнча атайын жумушчу топтун мүчөлөрүнө маалымат коопсуздугу маселеси боюнча ченемдик укуктук актыны иштеп чыгуу жөнүндө билдирүү жөнөтүлгөн. Мында жумушчу топтун мүчөлөрүнөн сунуштар жана сын-пикирлер түшкөн эмес.
11. Сунушталган жөнгө салууну тандоону негиздөө
Жогоруда айтылгандардын негизинде токтом долбоору кабыл алуу үчүн сунушталат, анткени ал төмөнкү аспектилердин ишке ашырылышын камсыз кылат:
- банк системасынын туруктуулугун жана ишенимдүүлүгүн колдоо;
- операциялык тобокелдиктерди азайтуу;
- банктын маалымат коопсуздугун натыйжалуу башкаруу.
12. Тиркеме
- жөнгө салуучу таасирин талдоо боюнча жумушчу топ жөнүндө буйрук.
