Банктердің және банк операцияларының жекелеген түрлерін жүзеге асыратын ұйымдардың "Қазақстан Республикасы Ұлттық Банкінің Қазақстан банкаралық есеп айырысу орталығы" шаруашылық жүргізу құқығы бар республикалық мемлекеттік кәсіпорнының төлем жүйелеріне кіруін қамтамасыз ететін ұйымдастыру шараларына және бағдарламалық-техникалық құралдарға қойылатын талаптар туралы нұсқаулықты бекіту жөнінде

Қазақстан Республикасы Ұлттық Банкі Басқармасының 2008 жылғы 28 қарашадағы N 95 Қаулысы. Қазақстан Республикасының Әділет министрлігінде 2008 жылғы 25 желтоқсанда Нормативтік құқықтық кесімдерді мемлекеттік тіркеудің тізіліміне N 5411 болып енгізілді. Күші жойылды - Қазақстан Республикасы Ұлттық Банкі Басқармасының 2012 жылғы 24 тамыздағы № 269 қаулысымен

      Ескерту. Күші жойылды - ҚР Ұлттық Банкі Басқармасының 24.08.2012 № 269 қаулысымен (алғашқы ресми жарияланғанынан кейін алты ай өткен соң қолданысқа енгізіледі).

      Қолданушылардың назарына!!!
      Қаулының қолданысқа енгізілу тәртібін 2-тармақтан қараңыз.

      Банктердің және банк операцияларының жекелеген түрлерін жүзеге асыратын ұйымдардың "Қазақстан Республикасы Ұлттық Банкінің Қазақстан банкаралық есеп айырысу орталығы" шаруашылық жүргізу құқығы бар республикалық мемлекеттік кәсіпорнының төлем жүйелеріне кіруін қамтамасыз ететін ұйымдастыру шараларына және бағдарламалық-техникалық құралдарға қойылатын талаптарды белгілеу мақсатында Қазақстан Республикасы Ұлттық Банкінің Басқармасы ҚАУЛЫ ЕТЕДІ:
      1. Банктердің және банк операцияларының жекелеген түрлерін жүзеге асыратын ұйымдардың "Қазақстан Республикасы Ұлттық Банкінің Қазақстан банкаралық есеп айырысу орталығы" шаруашылық жүргізу құқығы бар республикалық мемлекеттік кәсіпорнының (бұдан әрі – Орталық) төлем жүйелеріне кіруін қамтамасыз ететін ұйымдастыру шараларына және бағдарламалық техникалық құралдарға қойылатын талаптар туралы қоса беріле отырған нұсқаулық бекітілсін.
      2. Осы қаулы Қазақстан Республикасының Әділет министрлігінде мемлекеттік тіркеуден өткен күннен бастап үш ай өткеннен кейін қолданысқа енгізіледі.
      3. Осы қаулы қолданысқа енгізілген күннен бастап осы қаулының қосымшасына сәйкес Қазақстан Республикасы Ұлттық Банкінің нормативтік құқықтық актілерінің күші жойылды деп танылсын.
      4. Төлем жүйелері департаменті (Мұсаев Р.Н.):
      1) Заң департаментімен (Шәріпов С.Б.) бірлесіп осы қаулыны Қазақстан Республикасының Әділет министрлігінде мемлекеттік тіркеуден өткізу шараларын қабылдасын;
      2) осы қаулы Қазақстан Республикасының Әділет министрлігінде мемлекеттік тіркеуден өткен күннен бастап он күндік мерзімде оны Қазақстан Республикасының Ұлттық Банкі орталық аппаратының мүдделі бөлімшелеріне және филиалдарына, Қазақстан Республикасы Қаржы нарығын және қаржы ұйымдарын реттеу мен қадағалау агенттігіне, Орталыққа және Орталықтың төлем жүйелерін пайдаланушыларға жіберсін.
      5. Қазақстан Республикасының Ұлттық Банкі басшылығының қызметін қамтамасыз ету басқармасы (Терентьев А.Л.) Төлем жүйелері департаментінен жариялауға өтінім алған күннен бастап үш күндік мерзімде оны Қазақстан Республикасының бұқаралық ақпарат құралдарында жариялау үшін шаралар қолдансын.
      6. Осы қаулының орындалуын бақылау Қазақстан Республикасының Ұлттық Банкі Төрағасының орынбасары М.М. Сартбаевқа жүктелсін.

       Ұлттық Банк
      Төрағасы                                        Ә. Сәйденов

Қазақстан Республикасының 
Ұлттық Банкі Басқармасының
2008 жылғы 28 қарашадағы  
N 95 қаулысына     
қосымша         

Қазақстан Республикасы Ұлттық Банкінің күші жойылды деп танылатын нормативтік құқықтық актілерінің тізбесі

      1. Қазақстан Республикасының Ұлттық Банкі Басқармасының "Қазақстан Республикасы Ұлттық Банкінің Қазақстан банкаралық есеп айырысу орталығы" шаруашылық жүргізу құқығы бар республикалық мемлекеттік кәсіпорнының Төлем жүйесін пайдаланушының жұмыс орнының қауіпсіздігін қамтамасыз ету ережелерін бекіту туралы" 1999 жылғы 7 қазандағы N 325 қаулысы (Нормативтік құқықтық актілерді мемлекеттік тіркеу тізілімінде N 1059 тіркелген).
      2. Қазақстан Республикасының Ұлттық Банкі Басқармасының "Қазақстан Республикасының Ұлттық Банкі Басқармасының "Қазақстан Республикасы Ұлттық Банкінің Қазақстан банкаралық есеп айырысу орталығы" шаруашылық жүргізу құқығы бар республикалық мемлекеттік кәсіпорнының Төлем жүйесін пайдаланушының жұмыс орнының қауіпсіздігін қамтамасыз ету ережелерін бекіту туралы" 1999 жылғы 7 қазандағы N 325 қаулысына өзгерістер мен толықтырулар енгізу жөнінде" 2002 жылғы 28 ақпандағы N 61 қаулысы (Нормативтік құқықтық актілерді мемлекеттік тіркеу тізілімінде N 1825 тіркелген).
      3. Қазақстан Республикасының Ұлттық Банкі Басқармасының "Қазақстан Республикасы Ұлттық Банкінің Қазақстан банкаралық есеп айырысу орталығы" шаруашылық жүргізу құқығы бар республикалық мемлекеттік кәсіпорны операторы болып табылатын Қазақстан Республикасының төлем жүйесіне кіру ережесін бекіту туралы" 2003 жылғы 25 шілдедегі N 235 қаулысы (Нормативтік құқықтық актілерді мемлекеттік тіркеу тізілімінде N 2458 тіркелген).
      4. Қазақстан Республикасының Ұлттық Банкі Басқармасының "Қазақстан Республикасының Ұлттық Банкі Басқармасының "Қазақстан Республикасы Ұлттық Банкінің Қазақстан банкаралық есеп айырысу орталығы" шаруашылық жүргізу құқығы бар республикалық мемлекеттік кәсіпорнының Төлем жүйесін пайдаланушының жұмыс орнының қауіпсіздігін қамтамасыз ету ережелерін бекіту туралы" 1999 жылғы 7 қазандағы N 325 қаулысына өзгерістер енгізу туралы" 2006 жылғы 2 ақпандағы N 6 қаулысы (Нормативтік құқықтық актілерді мемлекеттік тіркеу тізілімінде N 4111 тіркелген).
      5. Қазақстан Республикасының Ұлттық Банкі Басқармасының "Қазақстан Республикасының Ұлттық Банкі Басқармасының "Қазақстан Республикасы Ұлттық Банкінің Қазақстан банкаралық есеп айырысу орталығы" шаруашылық жүргізу құқығы бар республикалық мемлекеттік кәсіпорнының Төлем жүйесін пайдаланушының жұмыс орнының қауіпсіздігін қамтамасыз ету ережелерін бекіту туралы" 1999 жылғы 7 қазандағы N 325 қаулысына өзгерістер мен толықтырулар енгізу туралы" 2007 жылғы 18 қаңтардағы N 5 қаулысы (Нормативтік құқықтық актілерді мемлекеттік тіркеу тізілімінде N 4540 тіркелген).

Қазақстан Республикасының
Ұлттық Банкі Басқармасының
2008 жылғы 28 қарашадағы
N 95 қаулысымен    
бекітілген      

Банктердің және банк операцияларының жекелеген түрлерін жүзеге асыратын ұйымдардың "Қазақстан Республикасы Ұлттық Банкінің Қазақстан банкаралық есеп айырысу орталығы" шаруашылық жүргізу құқығы бар республикалық мемлекеттік кәсіпорнының төлем жүйелеріне кіруін қамтамасыз ететін ұйымдастыру шараларына және бағдарламалық-техникалық құралдарға қойылатын талаптар туралы нұсқаулық 1-тарау. Жалпы ережелер

      1. Осы Нұсқаулық "Қазақстан Республикасының Ұлттық Банкі туралы" 1995 жылғы 30 наурыздағы Қазақстан Республикасының Заңына сәйкес әзірленді және банктер мен банк операцияларының жекелеген түрлерін жүзеге асыратын ұйымдардың "Қазақстан Республикасы Ұлттық Банкінің Қазақстан банкаралық есеп айырысу орталығы" шаруашылық жүргізу құқығы бар республикалық мемлекеттік кәсіпорнының төлем жүйелеріне (бұдан әрі – төлем жүйесі) кіруін қамтамасыз ететін ұйымдастыру шараларына және бағдарламалық-техникалық құралдарға қойылатын талаптарды белгілейді.
      2. Осы Нұсқаулықтың нормаларының күші Қазақстан Республикасының Ұлттық Банкін (бұдан әрі – Ұлттық Банк) қоспағанда, төлем жүйесінің барлық пайдаланушыларына қолданылады.
      3. Осы Нұсқаулықта мынадай ұғымдар пайдаланылады:
      1) аутентификация – төлем жүйелерінің хабарламаларымен алмасу кезінде "Қазақстан Республикасы Ұлттық Банкінің Қазақстан банкаралық есеп айырысу орталығы" шаруашылық жүргізу құқығы бар республикалық мемлекеттік кәсіпорнының (бұдан әрі – Орталық) және төлем жүйесін пайдаланушылардың қатысу түпнұсқалылығын растауға, сондай-ақ осындай хабарламалардың түпнұсқалылығын растауға арналған шаралар кешені;
      2) төлем жүйесін пайдаланушының ақпараттық жүйесі – төлем жүйесінің пайдаланушысы төлем жүйесінің терминалы арқылы одан әрі төлем жүйесіне жіберуге арналған электрондық құжаттарды қалыптастыру үшін пайдаланатын бағдарламалық қамтамасыз ету;
      3) негізгі ақпарат – криптографиялық кілттер немесе ақпаратты криптографиялық қайта өзгертуді жүзеге асыруға мүмкіндік беретін басқа ақпарат;
      4) рұқсат етілмеген кіру – төлем жүйесінің пайдаланушысы белгілеген тәртіпті бұза отырып ақпараттық және бағдарламалық ресурстарға кіру;
      5) төлем жүйесінің пайдаланушысы – Орталықпен төлем жүйесінде қызмет көрсету туралы шарт жасаған Қазақстан Республикасының екінші деңгейдегі банк, "Қазақстан Даму Банкі" акционерлік қоғамы, банк операцияларының жекелеген түрлерін жүзеге асыратын ұйым;
      6) рұқсат етілмеген кіруден қорғайтын бағдарламалық-аппараттық кешен – дербес компьютерді бөтен адамдардың пайдалануынан, сондай-ақ тіркелген пайдаланушылардың ақпараттық және бағдарламалық ресурстарға кіру бойынша өкілеттіктерін шектеуге арналған қорғау жүйесі;
      7) төлем жүйесі пайдаланушысының жұмыс орны – төлем жүйесінің терминалы орнатылған дербес компьютер (сервер);
      8) төлем жүйесінің қауіпсіздігі бөлімшесі – Орталықтың ақпараттық және бағдарламалық ресурстарының қауіпсіздігі мен олардың қорғалуын қамтамасыз ететін Орталықтың құрылымдық бөлімшесі;
      9) төлем жүйесі пайдаланушысының қауіпсіздігі бөлімшесі – төлем жүйесін пайдаланушының ақпараттық және бағдарламалық ресурстарының қауіпсіздігі мен олардың қорғалуын қамтамасыз ететін төлем жүйесін пайдаланушының құрылымдық бөлімшесі;
      10) кіруді бақылау құралдары – техникалық, бағдарламалық немесе объектілерге кіру туралы ақпаратты тіркеуге мүмкіндік беретін басқа құралдар;
      11) төлем жүйесінің терминалы – төлем жүйесіне кіруді қамтамасыз ететін, төлем жүйесінің пайдаланушыларында орнатылған арнайы бағдарламалық қамтамасыз ету.
      4. Төлем жүйесінде қолданылатын ақпарат өткізудің форматтарын Орталық белгілейді.

2-тарау. Төлем жүйесі пайдаланушысының жұмыс
орнын орналастыру

      5. Төлем жүйесі пайдаланушысының жұмыс орны арнайы бөлінген үй-жайда орналастырылады (бұдан әрі – Үй-жай). Төлем жүйесі операторларының, басқарушысының және қауіпсіздік офицерінің функцияларын орындайтын қызметкерлердің жұмыс орындарын қоспағанда, Үй-жайда төлем жүйесімен жұмыс істеуге арналған өзге жұмыс орындарын орналастыруға рұқсат етілмейді.
      6. Үй-жайдың орналасқан жері, арнайы жабдығы және күзеті Үй-жайға төлем жүйесі пайдаланушысының жұмыс орнына өтуге рұқсат етілмеген адамдардың бақылаусыз кіріп кету мүмкіндігіне жол бермеуі тиіс.
      7. Үй-жай төлем жүйесі пайдаланушысы бақылайтын аймақта тұруы, механикалық құлыптар іліп қоятын кіретін металл есіктері болуы тиіс.
      8. Үй-жайдың есіктері нақты уақыт және Үй-жайға кіру оқиғаларын электрондық журналға жазу режимінде Үй-жайға кіру оқиғалары туралы есеп алуға мүмкіндік беретін Үй-жайға кіру оқиғаларының мониторингін жүргізуге арналған кіруді бақылау құралдарымен жабдықталады. Төлем жүйесін пайдаланушы электрондық журналдағы оқиғалар мұрағатын кемінде бір жыл сақтайды.
      9. Төлем жүйесі пайдаланушысының жұмыс орны орналасқан үйден 50 (елу) метр радиуста күзетілетін және бақыланатын аймақ болмаған, сондай-ақ осы үйде басқа ұйымдар орналасқан жағдайда, төлем жүйесі пайдаланушысының жұмыс орны ақпаратты электромагнитті арналармен жария болудан қорғайтын құралдармен қамтамасыз етіледі.
      10. Үй-жай үйдің бірінші және соңғы қабаттарында орналасқан, сондай-ақ терезелердің жанында балкондар, өрт кезінде пайдаланылатын сатылар, өзге де құрылыстардың шатырлары жақын тұрған жағдайда, Үй-жайдың терезелері терезенің әйнектерін сындырып, Үй-жайға нақты кіріп кетуді болдырмауға арналған металл торлармен немесе соған ұқсас қорғау құралдарымен жабдықталады.
      11. Үй-жайдың есіктері мен терезелері жұмыс істеп тұрған күзет сигнализациясымен жабдықталады.
      12. Үй-жайға кіретін жерде, сондай-ай төлем жүйесі пайдаланушысының жұмыс орнында нақты уақыт режимінде бейнесигналдарды жазып алу мүмкіндігі бар бейнеқадағалау орнатылады. Бейнесигналдардарды жазу мұрағаты төлем жүйесі пайдаланушысының ішкі құжаттарында белгіленген төлем жүйесі пайдаланушысының жұмыс орнының жүйелік блогындағы мөрлердің немесе пломбалардың бүтіндігін бақылау кезеңінен аз болмайтын уақытқа сақталады.
      13. Төлем жүйесіне кіруге рұқсат алған пайдаланушының жұмыс орнын жасаған немесе төлем жүйесін пайдаланушының жұмыс орнын жаңа жерге ауыстырған кезде, төлем жүйесін пайдаланушының жұмыс орны іске қосылған сәттен бастап он жұмыс күні ішінде төлем жүйесі пайдаланушысы бұл жөнінде Ұлттық Банкті хабардар етеді.

3-тарау. Төлем жүйесі пайдаланушысының және
Орталықтың өзара іс-әрекеті

      14. Төлем жүйесі пайдаланушысының және Орталықтың аутентификациясы криптографиялық қорғау құралдары пайдаланыла отырып екіжақты ақпарат алмасу арқылы жүзеге асырылады.
      15. Аутентификация барысында қате пайда болғанда, төлем жүйесінде қате туралы хабар шығады да, байланыс үзіледі.
      16. Төлем жүйесі пайдаланушысының жұмыс орнында TCP/IP протоколы бойынша Орталықтың төлем жүйесі пайдаланушысының жұмыс істеуін қамтамасыз ететін серверлерімен қосуды қамтамасыз етуге қажетті құралдар болады.
      17. Төлем жүйесі пайдаланушысы және деректер өткізу арнасының төлем жүйесімен өзара іс-әрекет жасау үшін пайдалануды қамтамасыз ететін заңды тұлға арасында жасалатын шарт осындай деректер өткізу арнасының жұмысында іркілістер болған кездегі жауапкершілікті ескеруі тиіс.
      18. Төлем жүйесі пайдаланушысында төлем жүйесі бар резервтік деректер өткізу арнасы болады. Деректер өткізудің негізгі арнасы төлем жүйесінің негізгі серверіне, ал деректер өткізудің резервтік арнасы төлем жүйесінің резервтік серверіне қосылады.

4-тарау. Төлем жүйесінің терминалы

      19. Төлем жүйесінің терминалы төлем жүйесінің хабарларын қабылдап, өткізуді жүзеге асырады және төлем жүйесінің пайдаланушысы оны пайдалануға міндетті.
      20. Төлем жүйесінің терминалы төлем жүйесінің хабарларын төлем жүйесінде қолданылатын ақпарат өткізу форматтарына сәйкес өңдейді.
      21. Төлем жүйесінің терминалы мынадай функцияларды орындайды:
      1) төлем жүйесі пайдаланушысы мен Орталықты аутентификациялау;
      2) берілетін және алынатын ақпараттың конфиденциалдылығын және аутентификациялануын қамтамасыз ету;
      3) төлем жүйесінің пайдаланушысынан хабарларды алып Орталыққа және Орталықтан алып төлем жүйесінің пайдаланушысына өткізу;
      4) алынған төлем жүйесі хабарларының тұтастығын тексеру;
      5) төлем жүйесі терминалының тұтастығын тексеру;
      6) негізгі ақпаратты қолдану;
      7) төлем жүйесі пайдаланушысының төлем жүйесінің хабарларын қабылдауы мен өткізуіне байланысты өзге де функциялар.
      22. Төлем жүйесінің терминалы төлем жүйесі операторлары мен басқарушыларының мынадай негізгі оқиғалары мен іс-әрекеттері тіркелетін электрондық журналдарды жүргізуді қамтамасыз етеді:
      1) төлем жүйесінің терминалын ашудың және жабудың уақыты мен күні;
      2) Орталықпен қосудың және Орталықтан ажыратудың уақыты мен күні;
      3) төлем жүйесі операторлары мен басқарушыларының төлем жүйесінің хабарларымен жүргізетін іс-әрекеттерінің басталу уақыты мен аяқталу уақыты, жасалған іс-әрекеттердің сипаты.
      23. Төлем жүйесінің терминалы төлем жүйесі операторлары мен басқарушыларының техникалық құралдар, парольдер арқылы немесе өзгедей жолмен кіруін қамтамасыз етеді.
      24. Төлем жүйесінің терминалын іске қосу төлем жүйесі терминалының үздіксіз жұмысын қамтамасыз ететін техникалық құралдарды пайдалану арқылы жүзеге асырылады және төлем жүйесінің терминалына арналған құжаттамада көрсетілген талаптарға сай болуы тиіс.
      25. Төлем жүйесінің терминалы не оның қосымшасы осы мақсаттар үшін арнайы бөлінген, есепке алынатын түгендеу нөмірі (серверде) және оған орнатылған конфигурация, аппараттық және бағдарламалық құралдар бойынша жан-жақты деректер беретін паспорты бар дербес компьютерде орнатылады. Осы паспортта көрсетілген мәліметтер шындыққа сай болуы тиіс.
      26. Төлем жүйесі терминалының дұрыс жұмыс істемей, төлем жүйесінің пайдаланушысы немесе Орталық зиян шегуі мүмкін болатын жағдай анықталғанда, соңғысы бір мезгілде төлем жүйесінің пайдаланушысын хабардар ете отырып, тиісті себептерді көрсетіп, төлем жүйесінің осы терминалына кіруді жабады.
      27. "ТҰМАР" криптографиялық ақпарат қорғау пакетін пайдалану төлем жүйесінің пайдаланушысын төлем жүйесіне қосудың міндетті талабы болып табылады, ол мыналарды:
      1) электрондық сандық қол қоюды қалыптастыру және тексеру тетігін;
      2) ақпараттың конфиденциалдылығын (деректерді шифрлеуді);
      3) өткізілетін ақпараттың тұтастығын (деректерді имитациялық қорғауды);
      4) сақталатын ақпараттың және бағдарламалық қамтамасыз етудің тұтастығын (деректерді хэштеуді) қамтамасыз етеді.

5-тарау. Негізгі ақпарат

      28. Негізгі ақпарат сыртқы тасымалдауышта болуы тиіс.
      29. Негізгі ақпарат төлем жүйесінің терминалына тек қана сыртқы тасымалдауыштан жүктелуі тиіс. Негізгі ақпараттың рұқсат етілмеген көшірмелерінің, оның ішінде төлем жүйесі пайдаланушысының жұмыс орнындағы қатты дискіде болуына рұқсат етілмейді.
      30. Негізгі ақпараты бар сыртқы тасымалдауыштарды сақтау және пайдалану тәртібі бойынша оларға рұқсат етілмеген кіру мүмкіндігі болмауы тиіс.
      31. Негізгі ақпаратқа рұқсаты бар тұлғалар төлем жүйесімен жұмыс нәтижесінде алынған ақпараттың сақталуына және жария болмауын қамтамасыз етеді.
      32. Негізгі ақпаратты жоспарлы түрде ауыстыру аз дегенде жылына бір рет жүзеге асырылады.
      33. Негізгі ақпараты бар сыртқы тасымалдауыштарды негізгі ақпараты бар сыртқы тасымалдауыштарды сақтауға жауапты қызметкерлердің Үй-жайында сақтауға арналған жабу құрылғыларымен жабдықталған сейфтер қойылады. Негізгі ақпарат пайдаланылмаған кезде негізгі ақпараты бар сыртқы тасымалдауыштар сейфтерде болады.
      34. Негізгі ақпаратқа рұқсаты болған қызметкерлер босатылған немесе негізгі ақпаратқа рұқсат етілмеген кіруге тырысу анықталған жағдайларда негізгі ақпаратты жоспардан тыс ауыстыру жүзеге асырылады. Жаңа негізгі ақпарат негізгі ақпаратқа рұқсаты болған қызметкер босатылған күннен кешіктірілмей не негізгі ақпаратқа рұқсат етілмеген кіруге тырысу анықталған күннен кешіктірілмей қолданысқа енгізіледі.
      35. Негізгі ақпараты бар сыртқы тасымалдауыштарды сақтау және күту жөніндегі рәсімдер дайындаушының ұсынымдарына сәйкес жүзеге асырылады.
      36. Төлем жүйесін пайдаланушы ескірген негізгі ақпаратты осы негізгі ақпарат пайдаланыла отырып қол қойылған немесе шифрленген электрондық құжаттардың сақталу мерзімі ішінде сақтайды.
      37. Төлем жүйесінің пайдаланушысына:
      1) негізгі ақпараттың рұқсат етілмеген көшірмелерін алуға;
      2) негізгі ақпараты бар сыртқы тасымалдауыштардың мазмұнымен рұқсаты жоқ адамдарды таныстыруға немесе оларды беруге;
      3) негізгі ақпаратты дисплейге немесе принтерге шығаруға;
      4) негізгі ақпараты бар сыртқы тасымалдауышты оның өндірушісі белгілеген жұмыс істеу талаптарында көзделмеген режимдерде пайдалануға;
      5) негізгі ақпараты бар сыртқы тасымалдауышқа бөтен ақпарат жазуға тыйым салынады.

6-тарау. Төлем жүйесі пайдаланушысының
жұмыс орнына талаптар

      38. Төлем жүйесі пайдаланушысының жұмыс орнында рұқсат етілмеген кіруден қорғайтын бағдарламалық-аппараттық кешен орнатылады, оған пайдаланушыны танитын құралдар, төлем жүйесі пайдаланушысының жұмыс орнына кіруіне және пайдаланушылардың іс-әрекеттеріне байланысты оқиғаларды бақылау мақсатында төлем жүйесінің электрондық құжаттарын сақтау мерзімі ішінде электрондық журналдар жүргізу мүмкіндігі кіреді.
      39. Төлем жүйесі пайдаланушысының жұмыс орнына бағдарламалық қамтамасыз етудің тұтастығын қамтамасыз ету құралдары орнатылады. Бұл құралдардың немесе бағдарламалық қамтамасыз етудің тұтастығы бұзылған деп күмәнды болған немесе олардың тұтастығының бұзылғандығы туралы ескертулер алған жағдайда, бұл ақпарат төлем жүйесі пайдаланушысының қауіпсіздігі бөлімшесіне дереу хабарланады.
      40. Төлем жүйесі пайдаланушысының жұмыс орнына осы Нұсқаулықта көзделмеген және төлем жүйесі шеңберіндегі электрондық құжаттарды дайындау, өңдеу, өткізу немесе жүргізу жөніндегі міндеттерді шешуге арналмаған аппараттық және бағдарламалық құралдарды орнатуға рұқсат етілмейді.
      41. Төлем жүйесі пайдаланушысының ақпараттық жүйелеріне кіретін жердегі пайдаланушы сол бойынша сәйкестендірілетін пайдаланушының жүйелік бір атына бір ғана нақты тұлға сәйкес келуі тиіс.
      42. Төлем жүйесі пайдаланушысының жұмыс орнының жүйелік блогы стикерде немесе пломбада соңғы мөрленген немесе пломбаланған күн және дербес компьютер есепке алынатын түгендеу нөмірі көрсетіліп, мөрленеді немесе пломбаланады.
      43. Төлем жүйесі пайдаланушысының жұмыс орнына рұқсатты қамтамасыз ететін техникалық құралдарды, парольдерді немесе өзге де ақпаратты сақтау және пайдалану тәртібі бойынша оларды рұқсат етілмеген пайдалану мүмкіндігіне жол берілмеуі тиіс.
      44. Төлем жүйесі пайдаланушысының жұмыс орнын рұқсат етілмеген пайдаланудан қорғау құралдарын орнату және ретке келтірулерін өзгерту құқығы тек қана төлем жүйесінің қауіпсіздік жөніндегі офицерінің функцияларын орындайтын қызметкерлерге беріледі.
      45. Төлем жүйесі пайдаланушысының ақпараттық жүйесінде дайындалған электрондық құжаттарды төлем жүйесі пайдаланушысының жұмыс орнына өткізу технологиясы (электрондық құжаттарды өткізудің белгілі бір тәртібі) осы электрондық құжаттарға рұқсат етілмеген кіру мүмкіндігіне жол бермеуі тиіс.
      46. Төлем жүйесіне ақпарат өткізуге, төлем жүйесінен ақпарат алуға, ақпаратты сақтауға, мұрағаттауға не басқадай өңдеуге ақпарат жинақтау үшін бөлінген ресурстарға (дискілік кеңістік, директорийлер, желілік ресурстар, деректер базалары және сол сияқты) кіру тәртібі бойынша осы ресурстармен жұмыс істеуге рұқсат етілмеген адамдардың оларға кіру мүмкіндігіне жол берілмеуі тиіс.
      47. Төлем жүйесі пайдаланушысының жұмыс орнына желі және деректер өткізудің өзге де техникалық арналарының көмегімен кіру тәртібі рұқсат етілмеген кіру мүмкіндігіне жол бермеуі тиіс.
      48. Төлем жүйесі пайдаланушысының жұмыс орны электр желісінде ток болмаған кезде жүйедегі жұмысты дұрыс аяқтауға қажетті уақыт, бірақ кемінде 30 (отыз) минут ішінде дербес компьютердің жұмыс істеуіне мүмкіндік жасайтын үздіксіз электр қуатын беретін техникалық құралдармен жабдықталады .
      49. Төлем жүйесі пайдаланушысы мен Орталықтың арасындағы байланысты жүзеге асыратын бағдарламалық қамтамасыз етуге, төлем жүйесі пайдаланушысының жұмыс орнына рұқсат етілмеген кіруден қорғайтын бағдарламалық-аппараттық кешенге, сондай-ақ төлем жүйесі пайдаланушысының ақпараттық жүйесінде дайындалған электрондық құжаттарды төлем жүйесі пайдаланушысының жұмыс орнының өткізу технологиясына өзгерістер енгізілген жағдайда, төлем жүйесінің пайдаланушысы іске қосу басталған сәттен бастап он жұмыс күні ішінде бұл жөнінде Ұлттық Банкті хабардар етеді.

7-тарау. Қызмет көрсететін қызметкерлердің жұмыстарын ұйымдастыру

      50. Төлем жүйесімен жұмыс істеуге рұқсат етілген тұлғалар мынадай санаттарға бөлінеді:
      1) төлем жүйесінің басқарушысы – тікелей өзінің ашық және құпия кілттерін жасауды және пайдалануды, сондай-ақ кілттерді Орталықта тіркеуді жүзеге асыратын тұлға;
      2) төлем жүйесінің операторы – төлем жүйесінің хабарларын тікелей дайындауды, өткізуді және қабылдауды жүзеге асыратын тұлға;
      3) төлем жүйесінің қауіпсіздігі жөніндегі офицер – төлем жүйесі пайдаланушысының жұмыс орнында ақпаратты рұқсат етілмеген кіруден қорғайтын бағдарламалық-аппараттық кешенді, ақпаратты электромагнитті арналар бойынша жария болудан қорғайтын құралдарды орнатуды және оның жұмыс істеуін қамтамасыз ететін, сондай-ақ олардың жұмыс қабілеттілігін және қауіпсіздік талаптарының орындалуын бақылауды жүзеге асыратын тұлға.
      51. Төлем жүйесінің пайдаланушысы мынадай ішкі тіркеу журналдарын жүргізуді жүзеге асырады:
      1) төлем жүйесі пайдаланушысының жұмыс орнының жүйелік блогының пломбаларын пломбалау және тұтастығын бақылау журналы;
      2) Үй-жайға келгендерді тіркеу журналы;
      3) негізгі ақпаратты пайдалану журналы.
      52. Осы Нұсқаулықтың 51-тармағында көрсетілген тіркеу журналдары нөмірленеді, жіппен байланады және төлем жүйесі пайдаланушысының мөрімен куәландырылады. Тіркеу журналдарындағы жазбалар дұрысталуы тиіс және жауапты тұлғаның қолымен бекітіледі.
      53. Төлем жүйесінің пайдаланушысы осы Нұсқаулықтың 51-тармағында көрсетілген тіркеу журналдарын соңғы жазба жасалған күннен бастап кемінде бір жыл сақтайды.
      54. Төлем жүйесі пайдаланушысының ішкі құжаттарымен мыналар айқындалады:
      1) кешкі уақыттағы, демалыс және мереке күндеріндегі, сондай-ақ төлем жүйесінің операциялық күні ұзартылған жағдайдағы жұмыс уақыты және үзілістер, жұмыс тәртібі көрсетіле отырып, төлем жүйесімен жұмыс істеудің режимі;
      2) атқаратын қызметтері және орындайтын функциялары көрсетілген, төлем жүйесі пайдаланушысының жұмыс орнына рұқсат берілген қызметкерлердің тізімі;
      3) негізгі ақпараты бар сыртқы тасымалдауыштарға рұқсаты бар, атқаратын қызметтері көрсетілген қызметкерлердің тізімі;
      4) атқаратын қызметтері көрсетілген, төлем жүйесінің қауіпсіздігі жөніндегі офицердің, төлем жүйесі басқарушысының және төлем жүйесі операторының функцияларын орындайтын қызметкерлердің тізімі;
      5) атқаратын қызметтері көрсетілген, төлем жүйесіне өткізілген және төлем жүйесінен алынған электрондық құжаттарды мұрағаттауды және сақтауды жүзеге асыратын қызметкерлердің тізімі;
      6) атқаратын қызметтері көрсетілген, төлем жүйесі пайдаланушысының жұмыс орнының жүйелік блогындағы мөрлерді және пломбаларды пломбалауды және олардың тұтастығын одан әрі бақылауды жүзеге асыратын қызметкерлердің тізімі;
      7) атқаратын қызметтерін көрсете отырып, төлем жүйесі пайдаланушысының жұмыс орнының тиісінше жұмыс істемеу себептерін жою қажет болған жағдайларда және төлем жүйесі пайдаланушысының ішкі құжаттарында көзделген басқа да жағдайларда (бұдан әрі – ерекше жағдайлар) төлем жүйесі пайдаланушысының жұмыс орнына жіберілетін тұлғалардың тізімі;
      8) кіргізуге жауапты қызметкер белгіленіп және төлем жүйесі пайдаланушысының жұмыс орнына рұқсат етілмеген және төлем жүйесі пайдаланушысының жұмыс орнына ерекше жағдайларда рұқсат етілген тұлғалардың Үй-жайға уақытша кіру тәртібі, сондай-ақ Үй-жайдың кіретін есіктері мен терезелері ашылғаны анықталған кездегі іс-әрекеттер көрсетіле отырып, Үй-жайға кіруді бақылаудың тәртібі мен рәсімдері;
      9) төлем жүйесіне өткізілген және төлем жүйесінен алынған электрондық құжаттарды сақтаудың талаптары, мерзімдері және орны, сондай-ақ осы мұрағаттарға кірудің тәртібі көрсетіле отырып, оларды мұрағаттаудың және одан әрі сақтаудың тәртібі;
      10) мөр мен пломба тұтастығының бұзылғаны анықталған кездегі бақылаудың және іс-әрекеттердің кезеңділігі көрсетіле отырып, төлем жүйесі пайдаланушысының жұмыс орнының жүйелік блогындағы мөрлерді және пломбаларды пломбалауды және олардың тұтастығын одан әрі бақылаудың тәртібі;
      11) жүргізуге жауапты қызметкерді белгілей отырып, тіркеу журналында төлем жүйесі пайдаланушысының жұмыс орнының жүйелік блогындағы мөрлерді және пломбаларды пломбалаудың және тұтастығын бақылаудың жүзеге асырылғаны туралы толық ақпаратты тіркеу тәртібі (күні, уақыты, аты-жөні, қолы);
      12) төлем жүйесі пайдаланушысының жұмыс орнына жіберілген қызметкерлердің функциялары мен өкілеттіктері;
      13) төлем жүйесі пайдаланушысының жұмыс орнына жіберілген қызметкерлерге демалыстар беру, босату және уақытша болмаған кезде оларды ауыстыру тәртібі;
      14) жүргізуге жауапты қызметкерді белгілей отырып, тіркеу журналында төлем жүйесі пайдаланушысының жұмыс орнына ерекше жағдайларда жіберілген тұлғалардың және төлем жүйесі пайдаланушысының жұмыс орнына жіберілмеген тұлғалардың Үй-жайға барлық келулері туралы толық ақпаратты тіркеу тәртібі (күні, уақыты, аты-жөні, қолы);
      15) сақтауға жауапты қызметкерлерді белгілеп, сақтау талаптары мен сақтау орнын көрсете отырып, негізгі ақпараты бар сыртқы тасымалдауыштарды сақтау тәртібі;
      16) сақтауға жауапты қызметкерлерді белгілеп, сақтау талаптарын, мерзімдерін және сақтау орнын көрсете отырып, ескірген негізгі ақпаратты сақтау тәртібі;
      17) жүргізуге жауапты қызметкерді белгілей отырып, тіркеу журналында негізгі ақпаратты пайдалану фактісі және ұзақтығы туралы және негізгі ақпаратты ауыстыру туралы толық ақпаратты тіркеу тәртібі (күні, уақыты, аты-жөні, қолы);
      18) сақтау талаптары мен орнын, оларға кіру рәсімдерін және ауыстыру мерзімдерін көрсете отырып, төлем жүйесі пайдаланушысының жұмыс орнына кіруді қамтамасыз ететін техникалық құралдарды, парольдерді немесе басқа ақпаратты сақтау және пайдалану тәртібі;
      19) төлем жүйесі пайдаланушысының ақпараттық жүйесінде дайындалған электрондық құжаттарды төлем жүйесі пайдаланушысының жұмыс орнына өткізу тәртібі;
      20) төлем жүйелерін пайдаланушының жұмыс орнында орнатылған, рұқсат етілмеген кіруден қорғайтын бағдарламалық-аппараттық кешенмен және бағдарламалық қамтамасыз етудің тұтастығын қамтамасыз ету құралдарымен жұмыс тәртібі;
      21) төлем жүйесі терминалымен жұмыс істеудің тәртібі мен рәсімдері;
      22) бір арнадан басқасына өту жағдайлары мен рәсімдерін көрсете отырып, деректер өткізудің негізгі және резервтік арналарымен жұмыс істеу тәртібі.
      55. Осы Нұсқаулықтың 54-тармағының 2) - 6) тармақшаларында көзделген қызметкерлердің тізімінде тізімге кіргізілген қызметкерлердің аты-жөні көрсетіледі.
      56. Төлем жүйелерінің пайдаланушысы төлем жүйесінде жұмыс істеуге жіберілген қызметкерлерден төлем жүйесі пайдаланушысының жұмыс орнына кіруді қамтамасыз ететін техникалық құралдарды, парольдерді немесе басқа ақпаратты, сондай-ақ конфиденциалды және негізгі ақпаратты жария етпеу және таратпау туралы арнайы міндеттеме алады.
      57. Қауіпсіздікке қатысты ағымдағы және жедел мәселелерді шешу қажет болғанда, төлем жүйесінің басқарушысы және төлем жүйесінің қауіпсіздігі жөніндегі офицер төлем жүйесінің қауіпсіздігі бөлімшесімен өзара іс-әрекет жасайды.

8-тарау. Қорытынды ережелер

      58. Төлем жүйесі пайдаланушысында төлем жүйесі пайдаланушысының резервтік жұмыс орны болған жағдайда, осы Нұсқаулықта белгіленген шарттар мен талаптар сондай жұмыс орнына да қолданылады.
      59. Ұлттық Банк осы Нұсқаулықтың 13 немесе 49-тармақтарында көзделген хабарламаны алған күннен бастап он күндік мерзім ішінде төлем жүйесінің пайдаланушысына тексеру жүргізудің қажеттігі бар/қажеттігі жоқ екендігі туралы шешім қабылдайды.
      Төлем жүйесінің пайдаланушысына тексеру жүргізудің қажеттігі туралы шешім қабылдаған кезде Ұлттық Банк көрсетілген шешім қабылданған күннен бастап екі айдың ішінде "Қазақстан Республикасының Ұлттық Банкі туралы" 1995 жылғы 30 наурыздағы Қазақстан Республикасының Заңында белгіленген тәртіппен тексеруді жүзеге асырады.

Об утверждении Инструкции о требованиях к организационным мерам и программно-техническим средствам, обеспечивающим доступ банков и организаций, осуществляющих отдельные виды банковских операций, в платежные системы Республиканского государственного предприятия на праве хозяйственного ведения "Казахстанский центр межбанковских расчетов Национального Банка Республики Казахстан"

Постановление Правления Национального Банка Республики Казахстан от 28 ноября 2008 года № 95. Зарегистрировано в Министерстве юстиции Республики Казахстан 29 декабря 2008 года № 5411. Утратило силу постановлением Правления Национального Банка Республики Казахстан от 24 августа 2012 года № 269

      Сноска. Утратило силу постановлением Правления Национального Банка РК от 24.08.2012 № 269 (вводится в действие по истечении шести месяцев после его первого официального опубликования).

      В целях установления требований к организационным мерам и программно-техническим средствам, обеспечивающим доступ банков и организаций, осуществляющих отдельные виды банковских операций, в платежные системы Республиканского государственного предприятия на праве хозяйственного ведения "Казахстанский центр межбанковских расчетов Национального Банка Республики Казахстан" Правление Национального Банка Республики Казахстан ПОСТАНОВЛЯЕТ:
      1. Утвердить прилагаемую Инструкцию о требованиях к организационным мерам и программно-техническим средствам, обеспечивающим доступ банков и организаций, осуществляющих отдельные виды банковских операций в платежные системы Республиканского государственного предприятия на праве хозяйственного ведения "Казахстанский центр межбанковских расчетов Национального Банка Республики Казахстан" (далее - Центр).
      2. Настоящее постановление вводится в действие по истечении трех месяцев со дня государственной регистрации в Министерстве юстиции Республики Казахстан.
      3. Со дня введения в действие настоящего постановления признать утратившими силу нормативные правовые акты Национального Банка Республики Казахстан, согласно приложению к настоящему постановлению.
      4. Департаменту платежных систем (Мусаев Р.Н.):
      1) совместно с Юридическим департаментом (Шарипов С.Б.) принять меры к государственной регистрации в Министерстве юстиции Республики Казахстан настоящего постановления;
      2) в десятидневный срок со дня государственной регистрации в Министерстве юстиции Республики Казахстан настоящего постановления довести его до сведения заинтересованных подразделений центрального аппарата и филиалов Национального Банка Республики Казахстан, Агентства Республики Казахстан по регулированию и надзору финансового рынка и финансовых организаций, Центра и пользователей платежных систем Центра.
      5. Управлению по обеспечению деятельности руководства Национального Банка Республики Казахстан (Терентьев А.Л.) в трехдневный срок со дня получения от Департамента платежных систем заявки на опубликование принять меры к опубликованию настоящего постановления в средствах массовой информации Республики Казахстан.
      6. Контроль за исполнением настоящего постановления возложить на заместителя Председателя Национального Банка Республики Казахстан Сартбаева М.М.

      Председатель
      Национального Банка                        А. Сайденов

Приложение
к постановлению Правления
Национального Банка Республики Казахстан
от 28 ноября 2008 года № 95

Перечень нормативных правовых актов
Национального Банка Республики Казахстан,
признаваемых утратившими силу

      1. Постановление Правления Национального Банка Республики Казахстан от 7 октября 1999 года № 325 "Об утверждении Правил обеспечения безопасности рабочего места пользователя платежной системы Республиканского государственного предприятия на праве хозяйственного ведения "Казахстанский центр межбанковских расчетов Национального Банка Республики Казахстан" (зарегистрированное в Реестре государственной регистрации нормативных правовых актов под № 1059).
      2. Постановление Правления Национального Банка Республики Казахстан от 28 февраля 2002 года № 61 "О внесении изменений и дополнений в постановление Правления Национального Банка Республики Казахстан "Об утверждении Правил обеспечения безопасности рабочего места пользователя платежной системы Республиканского государственного предприятия на праве хозяйственного ведения "Казахстанский центр межбанковских расчетов Национального Банка Республики Казахстан" от 7 октября 1999 года № 325" (зарегистрированное в Реестре государственной регистрации нормативных правовых актов под № 1825).
      3. Постановление Правления Национального Банка Республики Казахстан от 25 июля 2003 года № 235 "Об утверждении Правил доступа в платежную систему Республики Казахстан, оператором которой является Республиканское государственное предприятие на праве хозяйственного ведения "Казахстанский центр межбанковских расчетов Национального Банка Республики Казахстан" (зарегистрированное в Реестре государственной регистрации нормативных правовых актов под № 2458).
      4. Постановление Правления Национального Банка Республики Казахстан от 2 февраля 2006 года № 6 "О внесении изменений в постановление Правления Национального Банка Республики Казахстан от 7 октября 1999 года № 325 "Об утверждении Правил обеспечения безопасности рабочего места пользователя платежной системы Республиканского государственного предприятия на праве хозяйственного ведения "Казахстанский центр межбанковских расчетов Национального Банка Республики Казахстан" (зарегистрированное в Реестре государственной регистрации нормативных правовых актов под № 4111).
      5. Постановление Правления Национального Банка Республики Казахстан от 18 января 2007 года № 5 "О внесении изменений и дополнений в постановление Правления Национального Банка Республики Казахстан от 7 октября 1999 года № 325 "Об утверждении Правил обеспечения безопасности рабочего места пользователя платежной системы Республиканского государственного предприятия на праве хозяйственного ведения "Казахстанский центр межбанковских расчетов Национального Банка Республики Казахстан" (зарегистрированное в Реестре государственной регистрации нормативных правовых актов под № 4540).

Утверждена
постановлением Правления
Национального Банка
Республики Казахстан
от 28 ноября 2008 года № 95

Инструкция о требованиях к организационным мерам
и программно-техническим средствам, обеспечивающим доступ
банков и организаций, осуществляющих отдельные виды
банковских операций, в платежные системы Республиканского
государственного предприятия на праве хозяйственного ведения
"Казахстанский центр межбанковских расчетов
Национального Банка Республики Казахстан"

Глава 1. Общие положения

      1. Настоящая Инструкция разработана в соответствии с Законом Республики Казахстан "О Национальном Банке Республики Казахстан" от 30 марта 1995 года и устанавливает требования к организационным мерам и программно-техническим средствам, обеспечивающим доступ банков и организаций, осуществляющих отдельные виды банковских операций, в платежные системы Республиканского государственного предприятия на праве хозяйственного ведения "Казахстанский центр межбанковских расчетов Национального Банка Республики Казахстан" (далее - платежная система).
      2. Нормы настоящей Инструкции распространяют свое действие на всех пользователей платежной системы, за исключением Национального Банка Республики Казахстан (далее - Национальный Банк).
      3. В настоящей Инструкции используются следующие понятия:
      1) аутентификация - комплекс мер для подтверждения подлинности участия Республиканского государственного предприятия на праве хозяйственного ведения "Казахстанский центр межбанковских расчетов Национального Банка Республики Казахстан" (далее - Центр) и пользователей платежной системы при обмене сообщениями платежной системы, а также для подтверждения подлинности таких сообщений;
      2) информационная система пользователя платежной системы - программное обеспечение пользователя платежной системы, используемое для формирования электронных документов, предназначенных для дальнейшего направления в платежную систему посредством терминала платежной системы;
      3) ключевая информация - криптографические ключи или другая информация, позволяющая осуществлять криптографические преобразования информации;
      4) несанкционированный доступ - доступ к информационным и программным ресурсам, с нарушением установленного пользователем платежной системы порядка доступа к ним;
      5) пользователь платежной системы - банк второго уровня Республики Казахстан, акционерное общество "Банк Развития Казахстана", организация, осуществляющая отдельные виды банковских операций, заключившие договор с Центром о предоставлении услуг в платежной системе;
      6) программно-аппаратный комплекс защиты от несанкционированного доступа - система защиты персонального компьютера от использования посторонними лицами, а также для разграничения полномочий зарегистрированных пользователей по доступу к информационным и программным ресурсам;
      7) рабочее место пользователя платежной системы - персональный компьютер (сервер), на котором установлен терминал платежной системы;
      8) подразделение безопасности платежной системы - структурное подразделение Центра, обеспечивающее безопасность и защиту информационных и программных ресурсов Центра;
      9) подразделение безопасности пользователя платежной системы - структурное подразделение пользователя платежной системы, обеспечивающее безопасность и защиту информационных и программных ресурсов пользователя платежной системы;
      10) средства контроля доступа - технические, программные или другие средства, позволяющие фиксировать информацию о доступе к объектам;
      11) терминал платежной системы - специальное программное обеспечение, обеспечивающее доступ в платежную систему, установленное у пользователей платежной системы.
      4. Форматы передачи информации, применяемые в платежной системе, устанавливаются Центром.

Глава 2. Размещение рабочего места
пользователя платежной системы

      5. Рабочее место пользователя платежной системы размещается в специально выделенном помещении (далее - Помещение). Не допускается размещение в Помещении иных рабочих мест, непредназначенных для работы с платежной системой, за исключением рабочих мест сотрудников, выполняющих функции операторов, администратора и офицера безопасности платежной системы.
      6. Место нахождения, специальное оборудование и охрана Помещения должны исключать возможность неконтролируемого проникновения в Помещение лиц, не допущенных к рабочему месту пользователя платежной системы.
      7. Помещение должно находиться в контролируемой пользователем платежной системы зоне, иметь металлические входные двери, на которые устанавливаются механические замки.
      8. Двери Помещения оборудуются средствами контроля доступа для осуществления мониторинга событий доступа в Помещение в режиме реального времени и записи событий доступа в Помещение в электронном журнале с возможностью получения отчета о событиях доступа в Помещение. Архив событий электронного журнала хранится пользователем платежной системы не менее одного года.
      9. При отсутствии охраняемой и контролируемой зоны в радиусе 50 (пятидесяти) метров от здания, где расположено рабочее место пользователя платежной системы, а также в случае нахождения в данном здании других организаций, рабочее место пользователя платежной системы обеспечивается средствами защиты информации от утечки по электромагнитным каналам.
      10. При расположении Помещения на первых и последних этажах зданий, а также при наличии рядом с окнами балконов, пожарных лестниц, прилегающих крыш иных строений, окна Помещения оборудуются металлическими решетками или аналогичными средствами защиты, предназначенными для предотвращения физического проникновения в Помещение путем разбития оконных стекол.
      11. Двери и окна Помещения оборудуются исправной охранной сигнализацией.
      12. За входом в Помещение, а также за рабочим местом пользователя платежной системы устанавливается видеонаблюдение в режиме реального времени с возможностью записи видеосигналов. Архив записи видеосигналов хранится не менее периода контроля целостности печатей или пломб на системном блоке рабочего места пользователя платежной системы, установленного внутренними документами пользователя платежной системы.
      13. При создании рабочего места пользователя, получившего доступ в платежную систему, или переноса рабочего места пользователя платежной системы на новое место пользователь платежной системы в течение десяти рабочих дней с момента эксплуатации рабочего места пользователя платежной системы уведомляет об этом Национальный Банк.

Глава 3. Взаимодействие пользователя
платежной системы и Центра

      14. Аутентификация пользователя платежной системы и Центра осуществляется путем двухстороннего обмена информацией с использованием средств криптографической защиты.
      15. При возникновении ошибки в процессе аутентификации в платежной системе выдается сообщение об ошибке и связь разрывается.
      16. Рабочее место пользователя платежной системы содержит средства, необходимые для обеспечения соединения по протоколу TCP/IP с прикладными серверами Центра, обеспечивающими работоспособность пользователя платежной системы.
      17. Договор, заключаемый между пользователем платежной системы и юридическим лицом, обеспечивающим используемый для взаимодействия с платежной системой канал передачи данных, должен предусматривать ответственность при сбоях в работе такого канала передачи данных.
      18. Пользователь платежной системы имеет резервный канал передачи данных с платежной системой. Основной канал передачи данных подключается к основному серверу платежной системы, а резервный канал передачи данных - к резервному серверу платежной системы.

Глава 4. Терминал платежной системы

      19. Терминал платежной системы осуществляет прием и передачу сообщений платежной системы и является обязательным для использования пользователем платежной системы.
      20. Терминал платежной системы обрабатывает сообщения платежной системы в соответствии с форматами передачи информации, применяемыми в платежной системе.
      21. Терминал платежной системы выполняет следующие функции:
      1) аутентификация пользователя платежной системы и Центра;
      2) обеспечение конфиденциальности и аутентификации передаваемой и получаемой информации;
      3) прием и передача сообщений от пользователя платежной системы к Центру и от Центра к пользователю платежной системы;
      4) проверка целостности полученных сообщений платежной системы;
      5) проверка целостности терминала платежной системы;
      6) применение ключевой информации;
      7) иные функции, связанные с приемом и передачей пользователем платежной системы сообщений платежной системы.
      22. Терминал платежной системы обеспечивает ведение электронных журналов, в которых регистрируются следующие ключевые события и действия операторов и администраторов платежной системы:
      1) время и дата открытия и закрытия терминала платежной системы;
      2) время и дата соединения с Центром и отсоединения от Центра;
      3) время начала и время завершения действий операторов и администраторов платежной системы над сообщениями платежной системы, описание совершенных действий.
      23. Терминал платежной системы обеспечивает доступ операторов и администраторов платежной системы посредством технических средств, паролей или иным способом.
      24. Эксплуатация терминала платежной системы осуществляется с использованием технических средств, которые должны обеспечивать надежную и бесперебойную работу терминала платежной системы и соответствовать требованиям, указанным в документации к терминалу платежной системы.
      25. Терминал платежной системы, либо его приложение устанавливается на специально выделенном для этих целей персональном компьютере (сервере), имеющем инвентарный номер учета и паспорт с подробными данными по конфигурации, аппаратным и программным средствам, установленным на нем. Сведения, указанные в таком паспорте, должны соответствовать действительным.
      26. В случае выявления некорректной работы терминала платежной системы, при которой может быть нанесен ущерб пользователям платежной системы или Центру, последний закрывает доступ этому терминалу платежной системы в платежную систему с одновременным извещением пользователя платежной системы и указанием соответствующих причин.
      27. Обязательным условием подключения пользователя платежной системы к платежной системе является использование пакета криптографической защиты информации "ТУМАР", который должен обеспечить:
      1) механизм формирования и проверки электронной цифровой подписи;
      2) конфиденциальность информации (шифрование данных);
      3) целостность передаваемой информации (имитационная защита данных);
      4) целостность хранимой информации и программного обеспечения (хэширование данных).

Глава 5. Ключевая информация

      28. Ключевая информация должна находиться на внешнем носителе.
      29. Ключевая информация должна загружаться в терминал платежной системы только с внешнего носителя. Наличие несанкционированных копий ключевой информации, в том числе на жестком диске рабочего места пользователя платежной системы, не допускается.
      30. Порядок хранения и использования внешних носителей с ключевой информацией должен исключать возможность несанкционированного доступа к ним.
      31. Лица, имеющие доступ к ключевой информации, обеспечивают сохранность и неразглашение информации, полученной в результате работы с платежной системой.
      32. Плановая смена ключевой информации осуществляется не реже одного раза в год.
      33. Для хранения внешних носителей с ключевой информацией в помещении сотрудников, ответственных за хранение внешних носителей с ключевой информацией, устанавливаются сейфы, оборудованные запирающими устройствами. При неиспользовании ключевой информации внешние носители с ключевой информацией находятся в сейфах.
      34. В случаях увольнения сотрудников, имевших доступ к ключевой информации или выявления попытки несанкционированного доступа к ключевой информации производится внеплановая смена ключевой информации. Новая ключевая информация вводится в действие не позднее дня увольнения сотрудника, имеющего доступ к ключевой информации, либо не позднее дня выявления попытки несанкционированного доступа к ключевой информации.
      35. Процедуры по хранению и уходу за внешними носителями с ключевой информацией осуществляются в соответствии с рекомендациями изготовителя.
      36. Устаревшая ключевая информация хранится пользователем платежной системы в течение срока хранения электронных документов, подписанных или зашифрованных с использованием этой ключевой информации.
      37. Пользователю платежной системы запрещается:
      1) снимать несанкционированные копии ключевой информации;
      2) знакомить с содержанием внешних носителей с ключевой информацией или передавать их лицам, не имеющим к ним доступ;
      3) выводить ключевую информацию на дисплей или принтер;
      4) использовать внешний носитель с ключевой информацией в режимах, не предусмотренных условиями функционирования, установленными его производителем;
      5) записывать на внешний носитель с ключевой информацией постороннюю информацию.

Глава 6. Требования к рабочему месту
пользователя платежной системы

      38. На рабочем месте пользователя платежной системы устанавливается программно-аппаратный комплекс защиты от несанкционированного доступа, включающий в себя средства опознавания пользователя, возможность ведения электронных журналов в течение срока хранения электронных документов платежной системы с целью контроля событий, связанных с доступом к рабочему месту пользователя платежной системы и действиями пользователей.
      39. На рабочее место пользователя платежной системы устанавливаются средства обеспечения целостности программного обеспечения. В случае подозрения на нарушение целостности или получения предупреждений о нарушении целостности этих средств или программного обеспечения данная информация немедленно сообщается в подразделение безопасности пользователя платежной системы.
      40. Установка на рабочем месте пользователя платежной системы аппаратных и программных средств, не предусмотренных настоящей Инструкцией и не предназначенных для решения задач по подготовке, обработке, передаче или ведения электронных документов в рамках платежной системы, не допускается.
      41. Одному системному имени пользователя, по которому идентифицируется пользователь на входе в информационные системы пользователя платежной системы, должно соответствовать одно физическое лицо.
      42. Системный блок рабочего места пользователя платежной системы опечатывается или опломбируется с указанием на стикере или пломбе даты последнего опечатывания или опломбирования и инвентарного номера учета персонального компьютера.
      43. Порядок хранения и использования технических средств, паролей или другой информации, обеспечивающих доступ к рабочему месту пользователя платежной системы, должен исключать возможность их несанкционированного использования.
      44. Права по установлению и изменению настроек средств защиты от несанкционированного доступа рабочего места пользователя платежной системы предоставляются только сотрудникам, выполняющим функции офицера безопасности платежной системы.
      45. Технология передачи электронных документов (определенный порядок передачи электронных документов), подготовленных в информационной системе пользователя платежной системы, на рабочее место пользователя платежной системы должна исключать возможность несанкционированного доступа к этим электронным документам.
      46. Порядок доступа к ресурсам (дисковое пространство, директории, сетевые ресурсы, базы данных и тому подобное), выделенным для накопления в них информации для передачи в платежную систему, получения информации из платежной системы, хранения, архивирования либо другой обработки информации, должен исключать возможность доступа к этим ресурсам лиц, не допущенных к работе с ними.
      47. Порядок доступа к рабочему месту пользователя платежной системы посредством сети и иных технических каналов передачи данных должен исключать возможность несанкционированного доступа.
      48. Рабочее место пользователя платежной системы оснащается техническими средствами бесперебойного электропитания, позволяющего осуществлять работу персонального компьютера при отсутствии напряжения в электросети в течение времени, необходимого для корректного завершения работы в системе, но не менее 30 (тридцати) минут.
      49. В случае внесения изменений в программное обеспечение, посредством которого осуществляется связь между пользователем платежной системы и Центром, в программно-аппаратный комплекс защиты от несанкционированного доступа рабочего места пользователя платежной системы, а также в технологию передачи электронных документов, подготовленных в информационной системе пользователя платежной системы на рабочее место пользователя платежной системы, пользователь платежной системы в течение десяти рабочих дней с момента эксплуатации уведомляет об этом Национальный Банк.

Глава 7. Организация работ обслуживающего персонала

      50. Лица, допущенные к работе с платежной системой, подразделяются на следующие категории:
      1) администратор платежной системы - лицо, непосредственно осуществляющее выработку и использование собственных открытых и секретных ключей, а также регистрацию ключей в Центре;
      2) оператор платежной системы - лицо, непосредственно осуществляющее подготовку, передачу и прием сообщений платежной системы;
      3) офицер безопасности платежной системы - лицо, обеспечивающее установку и функционирование на рабочем месте пользователя платежной системы программно-аппаратного комплекса защиты информации от несанкционированного доступа, средств защиты информации от утечки по электромагнитным каналам, а также осуществляющее контроль за их работоспособностью и за выполнением требований безопасности.
      51. Пользователь платежной системы осуществляет ведение следующих внутренних журналов регистрации:
      1) журнал пломбирования и контроля целостности пломб системного блока рабочего места пользователя платежной системы;
      2) журнал посещений Помещения;
      3) журнал использования ключевой информации.
      52. Журналы регистрации, указанные в пункте 51 настоящей Инструкции, пронумеровываются, прошнуровываются и скрепляются печатью пользователя платежной системы. Ошибочные записи в журналах регистрации подлежат корректировке и заверяются подписью ответственного лица.
      53. Журналы регистрации, указанные в пункте 51 настоящей Инструкции, хранятся пользователем платежной системы не менее одного года с момента внесения последней записи.
      54. Внутренними документами пользователя платежной системы определяются:
      1) режим работы с платежной системой, с указанием времени работы и перерывов, порядка работы в вечернее время, в выходные и праздничные дни, а также в случае продления операционного дня платежной системы;
      2) список сотрудников, допущенных к рабочему месту пользователя платежной системы, с указанием занимаемых должностей и выполняемых функций;
      3) список сотрудников, имеющих доступ к внешним носителям с ключевой информацией, с указанием занимаемых должностей;
      4) список сотрудников, выполняющих функции офицера безопасности платежной системы, администратора платежной системы и оператора платежной системы, с указанием занимаемых должностей;
      5) список сотрудников, осуществляющих архивирование и хранение электронных документов, переданных в платежную систему, и полученных из платежной системы, с указанием занимаемых должностей;
      6) список сотрудников, осуществляющих пломбирование и дальнейший контроль целостности печатей или пломб на системном блоке рабочего места пользователя платежной системы, с указанием занимаемых должностей;
      7) список лиц, допускаемых к рабочему месту пользователя платежной системы в случае необходимости устранения причин ненадлежащего функционирования рабочего места пользователя платежной системы и в других случаях, предусмотренных внутренними документами пользователя платежной системы, (далее - особые случаи) с указанием занимаемых должностей;
      8) порядок и процедуры контроля доступа в Помещение с определением сотрудника, ответственного за допуск, и указанием порядка временного доступа в Помещение лиц, не допущенных к рабочему месту пользователя платежной системы и допущенных к рабочему месту пользователя платежной системы в особых случаях, а также действий при обнаружении вскрытия входных дверей и окон Помещения;
      9) порядок архивирования и дальнейшего хранения электронных документов, переданных в платежную систему, и полученных из платежной системы, с указанием условий, сроков и места их хранения, а также порядка доступа к этим архивам;
      10) порядок пломбирования и дальнейшего контроля целостности печатей или пломб на системном блоке рабочего места пользователя платежной системы, с указанием периодичности такого контроля и действий при обнаружении нарушения целостности печати или пломбы;
      11) порядок фиксирования в журнале регистрации полной информации (дата, время, фамилия, роспись) об осуществлении пломбирования и контроля целостности печатей или пломб на системном блоке рабочего места пользователя платежной системы, с определением сотрудника, ответственного за его ведение;
      12) функции и полномочия сотрудников, допущенных к рабочему месту пользователя платежной системы;
      13) порядок отпусков, увольнения и замещения, в случае временного отсутствия сотрудников, допущенных к рабочему месту пользователя платежной системы;
      14) порядок фиксирования в журнале регистрации полной информации (дата, время, фамилия, должность, цель посещения, роспись) обо всех посещениях Помещения лицами, допускаемыми к рабочему месту пользователя платежной системы в особых случаях и лицами, не допущенных к рабочему месту пользователя платежной системы, с определением сотрудника, ответственного за его ведение;
      15) порядок хранения внешних носителей с ключевой информацией, с определением сотрудников, ответственных за их хранение с указанием условий и места хранения;
      16) порядок хранения устаревшей ключевой информации, с определением сотрудников, ответственных за ее хранение с указанием условий, сроков и места хранения;
      17) порядок фиксирования в журнале регистрации полной информации (дата, время, фамилия, роспись) о факте и продолжительности использования ключевой информации и о замене ключевой информации, с определением сотрудника, ответственного за его ведение;
      18) порядок хранения и использования технических средств, паролей или другой информации, обеспечивающих доступ к рабочему месту пользователя платежной системы, с указанием условий и мест хранения, процедур доступа к ним и сроков смены;
      19) порядок передачи электронных документов, подготовленных в информационной системе пользователя платежной системы, на рабочее место пользователя платежной системы;
      20) порядок работы с программно-аппаратным комплексом защиты от несанкционированного доступа и средствами обеспечения целостности программного обеспечения, установленными на рабочем месте пользователя платежных систем;
      21) порядок и процедуры работы с терминалом платежной системы;
      22) порядок работы с основным и резервным каналами передачи данных с указанием случаев и процедур перехода с одного канала на другой.
      55. В списках сотрудников, предусмотренных подпунктами 2)-6) пункта 54 настоящей Инструкции указываются фамилии и инициалы включенных в список сотрудников.
      56. С сотрудников, допущенных к работе в платежной системе, пользователь платежных систем получает специальное обязательство о неразглашении и нераспространении технических средств, паролей или другой информации, обеспечивающих доступ к рабочему месту пользователя платежной системы, а также конфиденциальной и ключевой информации.
      57. При необходимости решения текущих и оперативных вопросов в части безопасности, администратор платежной системы и офицер безопасности платежной системы взаимодействуют с подразделением безопасности платежной системы.

Глава 8. Заключительные положения

      58. В случае наличия у пользователя платежной системы резервного рабочего места пользователя платежной системы, условия и требования, установленные настоящей Инструкцией, также распространяются и на такое рабочее место.
      59. Национальный Банк в десятидневный срок со дня получения уведомления, предусмотренного пунктами 13 или 49 настоящей Инструкции, принимает решение о необходимости/отсутствии необходимости проведения проверки пользователя платежной системы.
      При принятии решения о необходимости проведения проверки пользователя платежной системы Национальный Банк в течение двух месяцев со дня принятия указанного решения осуществляет проверку в порядке, установленном Законом Республики Казахстан "О Национальном Банке Республики Казахстан" от 30 марта 1995 года.