Об утверждении Требований к безопасности и беспрерывности работы информационных систем банков и организаций, осуществляющих отдельные виды банковских операций

Обновленный

Постановление Правления Национального Банка Республики Казахстан от 28 января 2016 года № 34. Зарегистрирован в Министерстве юстиции Республики Казахстан 25 февраля 2016 года № 13256.

      В целях реализации Закона Республики Казахстан от 24 ноября 2015 года "О внесении изменений и дополнений в некоторые законодательные акты Республики Казахстан по вопросам неработающих кредитов и активов банков второго уровня, оказания финансовых услуг и деятельности финансовых организаций и Национального Банка Республики Казахстан" и в целях установления требований к безопасности и беспрерывности работы информационных систем банков и организаций, осуществляющих отдельные виды банковских операций, при оказании электронных банковских услуг Правление Национального Банка Республики Казахстан ПОСТАНОВЛЯЕТ:

      1. Утвердить прилагаемые Требования к безопасности и беспрерывности работы информационных систем банков и организаций, осуществляющих отдельные виды банковских операций.

      2. Департаменту развития и управления платежными системами (Мусаев Р.Н.) в установленном законодательством Республики Казахстан порядке обеспечить:

      1) совместно с Департаментом правового обеспечения

      (Сарсенова Н.В.) государственную регистрацию настоящего постановления в Министерстве юстиции Республики Казахстан;

      2) направление настоящего постановления в республиканское государственное предприятие на праве хозяйственного ведения "Республиканский центр правовой информации Министерства юстиции Республики Казахстан":

      на официальное опубликование в информационно-правовой системе "Әділет" в течение десяти календарных дней после его государственной регистрации в Министерстве юстиции Республики Казахстан;

      для включения в Государственный реестр нормативных правовых актов Республики Казахстан, Эталонный контрольный банк нормативных правовых актов Республики Казахстан в течение десяти календарных дней со дня его получения Национальным Банком Республики Казахстан после государственной регистрации в Министерстве юстиции Республики Казахстан;

      3) размещение настоящего постановления на официальном интернет–ресурсе Национального Банка Республики Казахстан после его официального опубликования.

      3. Департаменту международных отношений и связей с общественностью (Казыбаев А.К.) обеспечить направление настоящего постановления на официальное опубликование в периодических печатных изданиях в течение десяти календарных дней после его государственной регистрации в Министерстве юстиции Республики Казахстан.

      4. Контроль за исполнением настоящего постановления возложить на заместителя Председателя Национального Банка Республики Казахстан Пирматова Г.О.

      5. Настоящее постановление вводится в действие с 1 января 2017 года и подлежит официальному опубликованию.

Председатель


Национального Банка

Д. Акишев


  Утверждены
постановлением Правления
Национального Банка
Республики Казахстан
от 28 января 2016 года № 34

Требования к безопасности и беспрерывности работы
информационных систем банков и организаций,
осуществляющих отдельные виды банковских операций

Глава 1. Общие положения

      Сноска. Заголовок главы 1 в редакции постановления Правления Национального Банка РК от 22.12.2017 № 248 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      1. Настоящие Требования к безопасности и беспрерывности работы информационных систем банков и организаций, осуществляющих отдельные виды банковских операций (далее – Требования), разработаны в соответствии с законами Республики Казахстан от 30 марта 1995 года "О Национальном Банке Республики Казахстан", от 31 августа 1995 года "О банках и банковской деятельности в Республике Казахстан" (далее – Закон о банках), от 26 июля 2016 года "О платежах и платежных системах" (далее – Закон о платежах и платежных системах) и устанавливают требования к безопасности и беспрерывности работы информационных систем банков и организаций, осуществляющих отдельные виды банковских операций (далее – банки), посредством которых обеспечивается оказание электронных банковских услуг.

      Сноска. Пункт 1 в редакции постановления Правления Национального Банка РК от 22.12.2017 № 248 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      2. В Требованиях используются понятия, предусмотренные Законом о платежах и платежных системах, Законом Республики Казахстан от 24 ноября 2015 года "Об информатизации", Правилами оказания банками и организациями, осуществляющими отдельные виды банковских операций, электронных банковских услуг, утвержденными постановлением Правления Национального Банка Республики Казахстан от 31 августа 2016 года № 212, зарегистрированным в Реестре государственной регистрации нормативных правовых актов под № 14337 (далее – Правила № 212), а также следующие понятия:

      1) объект информационной системы – отдельный компонент информационной системы, предназначенный для передачи, обработки и хранения информации для выполнения отдельной функции при оказании электронных банковских услуг;

      2) основной центр информационной системы банка (далее – основной центр) – совокупность программно–технических средств и обслуживающего персонала, обеспечивающих оказание электронных банковских услуг в штатном (повседневном) режиме;

      3) резервный центр информационной системы банка (далее – резервный центр) – совокупность программно–технических средств и обслуживающего персонала, обеспечивающих оказание электронных банковских услуг при возникновении нестандартных ситуаций или проведении плановых технических работ в основном центре;

      4) информационная система банка для оказания электронных банковских услуг (далее – информационная система) – система, предназначенная для хранения, обработки, поиска, распространения, передачи и предоставления информации с применением аппаратно–программного комплекса, посредством которой обеспечивается оказание электронных банковских услуг;

      5) ответственный работник – работник банка, ответственный за работу в информационной системе в соответствии с должностными обязанностями;

      6) рабочее место – персональный компьютер (сервер), на котором установлен программно-пользовательский интерфейс для управления информационной системой либо объектами информационной системы;

      7) команда восстановления – работники банка и организаций, оказывающих услуги по обеспечению доступности и полноценного функционирования информационной системы или объектов информационной системы, которые обеспечивают полное восстановление с учетом времени простоя, установленным внутренними документами банка, либо перевод работы информационной системы в резервный центр;

      8) пользователь – клиент банка, обращающийся к информационной системе за получением электронных банковских услуг, либо ответственный работник;

      9) идентификация – подтверждение подлинности субъекта или объекта доступа к информационной системе путем определения соответствия предъявленных реквизитов доступа.

      Сноска. Пункт 2 с изменением, внесенным постановлением Правления Национального Банка РК от 22.12.2017 № 248 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      3. Управление операционным риском, непрерывностью деятельности, рисками информационных технологий, информационной безопасностью в целях обеспечения безопасности и беспрерывности работы информационных систем банков, за исключением организаций, осуществляющих отдельные виды банковских операций, осуществляется в соответствии с постановлением Правления Национального Банка Республики Казахстан от 26 февраля 2014 года № 29 "Об утверждении Правил формирования системы управления рисками и внутреннего контроля для банков второго уровня", зарегистрированным в Реестре государственной регистрации нормативных правовых актов под № 9322.

Глава 2. Требования к рабочим местам

      Сноска. Заголовок главы 2 в редакции постановления Правления Национального Банка РК от 22.12.2017 № 248 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      4. На рабочих местах банк обеспечивает:

      1) установку и функционирование программного или программно–аппаратного комплекса защиты от несанкционированного доступа, включающего в себя средства идентификации и аутентификации ответственного работника;

      2) установку и функционирование технических средств бесперебойного электропитания, позволяющих осуществлять работу рабочего места при отсутствии напряжения в электросети в течение времени, необходимого для корректного завершения работы в информационной системе, но не менее десяти минут. Допускается использование общего источника бесперебойного питания, установленного в здании банка;

      3) установку и функционирование средств обнаружения вредоносного программного кода и/или программы. В случае выявления факта заражения данная информация доводится до сведения подразделения безопасности банка;

      4) программную либо программно–аппаратную защиту передаваемой информации и каналов связи. Допускается централизованная защита передаваемой информации путем установки соответствующих программно–аппаратных средств на специально выделенных рабочих местах.

      5. Порядок хранения и использования технических средств, паролей или другой информации, предоставляющих доступ к рабочему месту, обеспечивает защиту данных от несанкционированного доступа.

      6. Порядок доступа к ресурсам (дисковое пространство, директории, сетевые ресурсы, базы данных), выделенным для накопления в них информации для передачи в информационную систему, получения информации из информационной системы, хранения, архивирования либо другой обработки информации, обеспечивает защиту от доступа к этим ресурсам лиц, не имеющих допуска к работе с ними.

      7. Доступ к рабочему месту ответственным работником осуществляется в соответствии с его должностными обязанностями.

      8. Одному системному имени пользователя, по которому идентифицируется пользователь на входе в информационные системы, соответствует один ответственный работник, за исключением работников, выполняющих функции администратора. Для работника, выполняющего функции администратора, допускается создание нескольких системных имен пользователя.

      9. Порядок доступа к рабочему месту посредством сети и иных технических каналов передачи данных минимизирует возможность несанкционированного доступа.

      10. Во внутренних документах банка, предусматривающих порядок работы ответственных работников, имеющих доступ в информационную систему, определяются:

      1) порядок назначения ответственных работников;

      2) режим работы ответственных работников;

      3) права и обязанности ответственных работников, включая должностные инструкции;

      4) список команды восстановления.

Глава 3. Требования к документации по структуре и функционированию информационной системы

      Сноска. Заголовок главы 3 в редакции постановления Правления Национального Банка РК от 22.12.2017 № 248 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      11. В документации банка по структуре и функционированию информационных систем указывается:

      1) перечень информационных систем и их объектов, их назначение и основные характеристики, требования к числу уровней иерархии и степени централизации систем, в том числе, перечень функций, задач по каждому объекту информационной системы;

      2) требования к способам и средствам связи для информационного обмена между компонентами информационных систем;

      3) планы восстановления работы информационных систем (далее – план восстановления);

      4) требования к режимам функционирования информационных систем;

      5) требования к мониторингу функционирования информационных систем;

      6) требования к классификации, количеству и режиму работы ответственных работников команды восстановления.

      12. Документация банка по структуре и функционированию информационных систем подлежит пересмотру на предмет актуализации на периодической основе, определенной банком, но не реже одного раза в год.

Глава 4. Требования к безопасности работы информационных систем

      Сноска. Заголовок главы 4 в редакции постановления Правления Национального Банка РК от 22.12.2017 № 248 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      13. При обращении пользователя к информационной системе для получения электронной банковской услуги банк обеспечивает:

      1) регистрацию действий по получению клиентами электронных банковских услуг в электронных журналах без возможности изменения внесенных в них данных, в том числе, как успешных, так и неудачных, начиная от попытки установления связи, с указанием времени совершения операций. Период хранения сведений электронных журналов составляет не менее 2 (двух) месяцев;

      2) функционирование программного обеспечения, предназначенного для автоматического мониторинга, выявления и блокирования в информационной системе несанкционированных операций или действий, направленных на создание условий для проведения несанкционированных операций;

      3) архитектуру "клиент–сервер", позволяющую при выводе из строя рабочего места пользователя или получении злоумышленником несанкционированного доступа к нему не влиять на работу серверной части системы, а при сбое сервера приложений не влиять на состояние данных системы;

      4) резервное копирование и архивацию данных с возможностью их последующего восстановления;

      5) выполнение действий, предусмотренных подпунктом 4) пункта 4 Требований.

      14. При оказании электронных банковских услуг осуществляется шифрование относящихся к банковской тайне передаваемых данных и (или) информационно–коммуникационной сети для их передачи от персональных компьютеров, телефонов, электронных терминалов и иных устройств до конечной системы обработки передаваемых данных.

      15. Требования к процедурам безопасности при оказании электронных банковских услуг устанавливаются Правилами № 212.

      Сноска. Пункт 15 в редакции постановления Правления Национального Банка РК от 22.12.2017 № 248 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

Глава 5. Требования к обеспечению беспрерывности работы информационных систем

      Сноска. Заголовок главы 5 в редакции постановления Правления Национального Банка РК от 22.12.2017 № 248 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      16. В целях обеспечения беспрерывности предоставления электронных банковских услуг банки определяют во внутренних документах план восстановления, порядок его пересмотра и тестирования.

      17. Разработка плана восстановления осуществляется с учетом следующих факторов:

      1) виды и характер нестандартных ситуаций, их степень воздействия на деятельность банка;

      2) перечень информационных систем и их объектов, обеспечивающих оказание электронных банковских услуг, с указанием приоритетности их восстановления;

      3) ущерб, возникающий при остановке работы информационных систем, и затраты для восстановления их работы.

      18. При указании перечня информационных систем определяются допускаемые сроки их восстановления. Сроки устанавливаются банком в зависимости от критичности простоя в работе информационной системы.

      19. План восстановления содержит следующие условия:

      1) наличие и место нахождения резервного центра;

      2) перечень бизнес–процессов, объектов информационной системы, технических, программных или других средств, обеспечивающих работу информационной системы, восстановление которых требуется в резервном центре;

      3) порядок проведения, периодичность и сценарии тестирования функционирования резервного центра информационной системы;

      4) порядок восстановления нарушенных информационных систем после ликвидации последствий нестандартных ситуаций, критерии, позволяющие принять решение о завершении работы в нестандартном режиме, и порядок принятия такого решения, а также порядок возврата в штатный режим функционирования.

      20. В целях проверки готовности работы резервного центра и резервных каналов связи для восстановления деятельности информационной системы банк не менее одного раза в год проводит тестирование функционирования резервного центра и резервных каналов связи в соответствии с планом восстановления (далее – тестирование Плана).

      21. Тестирование Плана проводится по разработанной и утвержденной банком программе, предусматривающей описание сценария возникновения нестандартной ситуации, восстанавливаемых рабочих процессов и объектов информационной системы, действий команды восстановления, требований по срокам и месту проведения работ.

      22. По итогам тестирования Плана банком подготавливается документ о результатах тестирования (протокол) с указанием:

      1) перечня информационных систем и их объектов, по которым проведено тестирование;

      2) времени, затраченного на восстановление работы информационных систем и их объектов;

      3) выявленных уязвимостей и предложений по их устранению.

      Сведения о результатах тестирования представляются банком в Национальный Банк Республики Казахстан (далее – Национальный Банк) в течение десяти рабочих дней после утверждения документа о результатах тестирования уполномоченным органом банка.

      23. При возникновении сбоя (простоя) в работе информационной системы банк обеспечивает восстановление работы основного центра.

      При отсутствии возможности восстановления работы основного центра в период минимально допустимого срока восстановления осуществляется перевод информационной системы на работу резервного центра.

      Стандартный норматив времени по переводу информационной системы на резервный центр составляет не более четырех часов с момента возникновения сбоя (простоя).

      При возникновении сбоя (простоя) в работе информационной системы банка, повлекшего прерывание доступа клиентов к электронным банковским услугам посредством систем удаленного доступа и (или) к сети электронных терминалов банка, продолжительностью более трех часов банк незамедлительно уведомляет Национальный Банк путем направления электронного сообщения. В случае возникновения сбоя (простоя) в нерабочее время, банк уведомляет Национальный Банк не позднее 10.00 часов времени города Астаны рабочего дня, следующего за днем возникновения сбоя (простоя).

      Сноска. Пункт 23 в редакции постановления Правления Национального Банка РК от 22.12.2017 № 248 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      24. Банк в направляемых в соответствии с Законом о банках клиентам уведомлениях о планируемом введении в действие изменений (обновлений), вносимых в технические, программные и другие средства, обеспечивающие работу информационной системы, и влияющих на доступность клиенту электронных банковских услуг, указывает вид электронных банковских услуг, на доступность которых повлияют планируемые изменения, а также время их предполагаемой недоступности. Минимальные требования по доведению до сведения клиентов уведомления о планируемых изменениях включают размещение оповещений на интернет–ресурсе банка.

      25. Банк ежеквартально, не позднее десятого числа месяца, следующего за отчетным кварталом, направляет в Национальный Банк информацию о произошедших в течение отчетного периода плановых и внеплановых простоях (сбоях) не менее одного часа в работе информационной системы.

      Сведения включают информацию о виде электронной банковской услуги, доступ к которой был приостановлен клиентам, периоде времени простоя (сбоя), предпринятых действиях и результатах работ по устранению простоя (сбоя).

Если Вы обнаружили на странице ошибку, выделите мышью слово или фразу и нажмите сочетание клавиш Ctrl+Enter

 

поиск по странице

Введите строку для поиска

Совет: в браузере есть встроенный поиск по странице, он работает быстрее. Вызывается чаще всего клавишами ctrl-F.