В целях приведения нормативных правовых актов Национального Банка Республики Казахстан в соответствие с действующим законодательством Правление Национального Банка Республики Казахстан постановляет:
1. Утвердить прилагаемую Инструкцию о требованиях к программному обеспечению и техническим средствам, обеспечивающим доступ в платежную систему Республики Казахстан, и ввести ее в действие по истечении двадцатидневного срока со дня государственной регистрации в Министерстве юстиции Республики Казахстан.
2. Управлению платежных систем (Мусаев Р.Н.):
1) совместно с Юридическим департаментом (Шарипов С.Б.) принять меры к государственной регистрации в Министерстве юстиции Республики Казахстан настоящего постановления и Инструкции о требованиях к программному обеспечению и техническим средствам, обеспечивающим доступ в платежную систему Республики Казахстан;
2) в двадцатидневный срок со дня государственной регистрации в Министерстве юстиции Республики Казахстан довести настоящее постановление и Инструкцию о требованиях к программному обеспечению и техническим средствам, обеспечивающим доступ в платежную систему Республики Казахстан, до сведения заинтересованных подразделений центрального аппарата Национального Банка Республики Казахстан и банков второго уровня.
3. Контроль за исполнением настоящего постановления возложить на заместителя Председателя Национального Банка Республики Казахстан Жангельдина Е.Т.
Председатель
Национального Банка
Утверждена
постановлением Правления
Национального Банка
Республики Казахстан
30 октября 2000 г. N 400
Инструкция о требованиях к программному обеспечению
и техническим средствам, обеспечивающим доступ
в платежную систему Республики Казахстан
1. Настоящая Инструкция определяет требования к программному обеспечению и техническим средствам доступа в платежную систему Республики Казахстан (далее - платежная система).
Программное обеспечение, обеспечивающее доступ в платежную систему (далее - терминал платежной системы) устанавливается в банках второго уровня и организациях, осуществляющих отдельные виды банковских операций, являющихся пользователями платежной системы (далее - пользователи).
Терминал платежной системы должен обеспечивать безопасный доступ пользователей в платежную систему, а также защищенный обмен информацией между ними.
2. Форматы сообщений платежной системы разрабатываются и утверждаются Республиканским государственным предприятием на праве хозяйственного ведения "Казахстанский центр межбанковских расчетов Национального Банка Республики Казахстан" (далее - Центр) и отражаются в документе "Система платежей - процедуры обмена и форматы сообщений".
3. Терминал платежной системы должен обрабатывать сообщения в соответствии с форматами передачи информации в платежной системе, описанными в документе "Система платежей - процедуры обмена и форматы сообщений".
4. Авторизация пользователя в платежной системе осуществляется в три этапа:
1) определение имени пользователя - терминал платежной системы подключается к платежной системе на терминальную линию с помощью системы доступа, предоставляемой платежной системой, и получает приглашение "Lоgin:". В ответ на данное приглашение платежная система ожидает от пользователя ввода своего системного имени;
2) авторизация терминала платежной системой (стадия 1) - платежная система определяет имя пользователя и посылает ему последовательность криптографической информации после символа "1>>>", и приглашение для ввода ответной информации "1<<<".
Терминал платежной системы формирует ответную последовательность и передает ее в платежную систему. Платежная система анализирует полученную информацию и авторизует или отвергает пользователя;
3) авторизация платежной системы терминалом (стадия 2) - платежная система посылает терминалу последовательность символов о готовности принять криптографическую последовательность "2<<<", терминал в ответ посылает данную последовательность, платежная система формирует ответную последовательность и отсылает терминалу. Терминал анализирует полученную информацию и авторизует или отвергает платежную систему.
5. После завершения процесса авторизации платежная система выдает терминалу приглашение для ввода команд обмена сообщениями "->".
6. При возникновении ошибки на одном из этапов авторизации пользователя в платежной системе для терминала выдается сообщение "ERROR" и связь разрывается.
7. Для связи с платежной системой терминал должен использовать один из следующих протоколов:
1) kermit через стек протоколов ТСР/IР;
2) zmodem через Х.25;
3) AFTP по ТСР/IР.
8. При обмене информацией между терминалом и платежной системой должны использоваться следующие команды:
1) "rz" - сообщить платежной системе о необходимости принять файлы от терминала по протоколу zмоdем;
2) "sz" - сообщить платежной системе о готовности терминала принять файлы по протоколу zмоdем;
3) "rk" - сообщить платежной системе о необходимости принять файлы от терминала по протоколу кеrмit;
4) "sk" - сообщить платежной системе о готовности терминала принять файлы по протоколу кеrмit;
5) "rtcp" - сообщить платежной системе о необходимости принять файлы от терминала по протоколу АFТР;
6) "stср" - сообщить платежной системе о готовности терминала принять файлы по протоколу АFТР;
7) "q" - выход из платежной системы.
9. Каждое сообщение пользователя в платежную систему однозначно определяется последовательным уникальным номером сообщения.
Номер начального сообщения при первом подключении пользователя к платежной системе должен быть установлен равным единице. Каждый номер последующего сообщения должен увеличиваться на единицу. Нумерация сообщений должна составлять непрерывную возрастающую последовательность, контролируемую платежной системой.
Номер сообщения используется для контроля поступления сообщений пользователя в платежную систему. При несовпадении переданного пользователем номера сообщения с номером, ожидаемым платежной системой, пользователю должно выдаваться соответствующее сообщение.
Глава 4. Требования к регистрации событий в терминале
10. Терминал платежной системы должен производить идентификацию и регистрацию ответственного исполнителя (посредством пароля, смарт-карточки или иным способом).
11. Терминал должен обеспечивать ведение журналов, в которых должны регистрироваться следующие ключевые события и действия ответственного исполнителя (аудиторский след):
1) время открытия/закрытия терминала;
2) время соединения/отсоединения ответственного исполнителя;
3) время, идентификатор, содержание всех команд всех ответственных исполнителей;
4) время, характер, признак завершения действий над сообщениями;
5) все изменения в базах данных терминала.
12. Обязательным условием при подключении к платежной системе является использование пакета криптографической защиты "ТУМАР", который должен обеспечить:
1) однозначную идентификацию терминала платежной системой;
2) двустороннюю аутентификацию (аутентификация терминалом и Центром), при доступе в платежную систему;
3) механизм формирования и проверки электронной цифровой подписи (целостность и авторство электронного документа);
4) конфиденциальность информации (шифрование данных);
5) целостность передаваемой информации (имитационная защита данных);
6) целостность хранимой информации и программного обеспечения (хэширование данных);
7) открытое распределение ключевой информации.
Процедура работы с пакетом, а также требования пакета к аппаратному обеспечению приводятся в документации к программному комплексу криптографической защиты и электронной цифровой подписи "ТУМАР".
13. Полученные и отправленные сообщения, составленные в электронной форме с использованием программно-технических средств и содержащие электронную цифровую подпись, а также ключи криптографии должны сохраняться пользователем на внешних носителях информации.
14. Технические средства должны обеспечивать надежную и бесперебойную работу терминала платежной системы и корректное завершение работы в случае возникновения аварийной ситуации.
Технические средства должны соответствовать основным требованиям, предъявляемым к ним терминалом платежной системы.
15. До начала эксплуатации терминал платежной системы должен быть представлен для тестирования Центру. При удовлетворительном результате тестирования терминал признается пригодным к эксплуатации и выдается разрешение на его использование.
При этом терминал должен иметь серийный номер, присваиваемый ему в момент приобретения пользователем. Контроль серийного номера осуществляется Центром.
16. При загрузке выполняемого модуля терминала платежной системы должен обеспечиваться контроль его целостности с использованием специализированных криптографических механизмов.
17. Если в процессе эксплуатации терминала платежной системы появляются сбои при его работе с платежной системой или передается информация, имеющая неверную электронную подпись, а также в особых случаях, когда информация, передаваемая терминалом в платежную систему, может нанести ущерб ее пользователям или Центру, последний имеет право закрыть вход терминалу в платежную систему, провести его проверку, в том числе условия его эксплуатации.
18. В случае нарушения правил эксплуатации или несанкционированного изменения программного обеспечения терминала платежной системы, Центр имеет право запретить его использование.
19. При внесении изменений в программное обеспечение терминала платежной системы необходимо его обязательное тестирование Центром.
Председатель
