Зейнетақы активтері мен жинақтарын есепке алуға арналған автоматтандырылған ақпараттық жүйелерге қойылатын талаптарды бекіту туралы

Қазақстан Республикасы Ұлттық Банкі Басқармасының 2013 жылғы 27 тамыздағы № 218 қаулысы. Қазақстан Республикасының Әділет министрлігінде 2013 жылы 10 қазанда № 8801 тіркелді. Күші жойылды - Қазақстан Республикасы Қаржы нарығын реттеу және дамыту агенттігі Басқармасының 2023 жылғы 26 маусымдағы № 60 қаулысымен

      Ескерту. Күші жойылды – ҚР Қаржы нарығын реттеу және дамыту агенттігі Басқармасының 26.06.2023 № 60 (01.07.2023 бастап қолданысқа енгізіледі) қаулысымен.
      РҚАО-ның ескертпесі!
      Осы қаулының қолданысқа енгізілу тәртібін 2-тармақтан қараңыз.

      "Қазақстан Республикасында зейнетақымен қамсыздандыру туралы" 2013 жылғы 21 маусымдағы Қазақстан Республикасының Заңына сәйкес Қазақстан Республикасы Ұлттық Банкінің Басқармасы ҚАУЛЫ ЕТЕДІ:

      1. Қоса беріліп отырған Зейнетақы активтері мен жинақтарын есепке алуға арналған автоматтандырылған ақпараттық жүйелерге қойылатын талаптар бекітілсін (бұдан әрі - Талаптар).

      2. Осы қаулы 2014 жылғы 1 қаңтардан бастап қолданылатын міндетті кәсіптік зейнетақы жарналары есебінен қалыптастырылған зейнетақы активтері мен жинақтарын есепке алуға арналған автоматтандырылған ақпараттық жүйелерге қойылатын талаптарды айқындайтын нормалар бөлігінде, Талаптардың 5-тармағының 1), 2), 3)және 4) тармақшаларын, 6-тармағының 1) тармақшасын және 6) тармақшасының екінші және төртінші абзацтарын және 7-тармағын қоспағанда алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі.

Ұлттық Банк Төрағасы

Г. Марченко

Қазақстан Республикасының Ұлттық Банкі Басқармасының 2013 жылғы 27 тамыздағы № 218 қаулысымен бекітілді

Зейнетақы активтері мен жинақтарын есепке алуға арналған автоматтандырылған
ақпараттық жүйелерге қойылатын талаптар

1. Жалпы ережелер

      1. Осы Зейнетақы активтері мен жинақтарын есепке алуға арналған

      автоматтандырылған ақпараттық жүйелерге қойылатын талаптар (бұдан әрі - Талаптар) "Қазақстан Республикасында зейнетақымен қамсыздандыру туралы" 2013 жылғы 21 маусымдағы Қазақстан Республикасының Заңына (бұдан әрі - Заң) сәйкес әзірленді және қолданыстағы электрондық ақпараттық ресурстардың сенімді және тұрақты жұмыс істеуін қамтамасыз ету және ақпараттық қауіпсіздік жүйелерін қалыптастыру мақсатында бірыңғай жинақтаушы зейнетақы қоры мен ерікті жинақтаушы зейнетақы қорының зейнетақы активтері мен жинақтарын есепке алуға арналған автоматтандырылған ақпараттық жүйелеріне қойылатын талаптарды белгілейді.

      2. Талаптарда мынадай ұғымдар қолданылады:

      1) автоматтандырылған ақпарат жүйелері - құжаттардың, техникалық құралдар жүйесінің және ақпаратты өңдеу тәсілдерінің ұйымдастырылған түрде тәртіпке келтірілген жиынтығы;

      2) автоматтандырылған ақпарат жүйелерінің басқарушысы (бұдан әрі басқарушы) - бірыңғай жинақтаушы зейнетақы қорының немесе ерікті жинақтаушы зейнетақы қорының автоматтандырылған ақпараттық жүйенің техникалық құралдарының жұмыс жасауын, оларды теңшеуді, қолдауды және оған қызмет көрсетуді қамтамасыз ететін және аппараттық-бағдарламалық құралдардың көмегімен ақпараттық процеске қатысатын қызметкері;

      3) ақпарат қауіпсіздігі - ақпараттың және оның инфрақұрылымының кездейсоқ немесе әдейі жасалған, табиғи немесе жасанды сипаттағы іс-әрекеттерден, жария болудан, ұрлықтан, жоғалудан, жойылудан, бұрмаланудан, көшіруден, қолдан жасаудан, бұғаттаудан және рұқсатсыз кіру салдарынан туындайтын басқа да қауіптерден қорғалуы;

      4) ақпаратты (деректерді, бағдарламалық қамтамасыз етуді, ақпараттық хабарларды) жария ету - ақпаратқа рұқсатсыз кіру рұқсатын алу және алынған мәліметтердің жария болуы нәтижесінде болған іс-әрекет;

      5) ақпаратты қорғау - ақпарат қауіпсіздігін қамтамасыз ететін іс-шаралар кешені;

      6) аутентификация - кіру субъектісінің немесе объектісінің түпнұсқалығын көрсетілген кіру деректемелерінің жүйедегімен сәйкестігін анықтау арқылы растау;

      7) зиянды бағдарламалық қамтамасыз ету - ақпараттық жүйелерге және ақпараттық ресурстарға зиян келтіру мақсатында құрылған бағдарламалық қамтамасыз ету;

      8) қауіпсіздік басқарушысы - бірыңғай жинақтаушы зейнетақы қорының немесе ерікті жинақтаушы зейнетақы қорының ақпараттық жүйелерді, техникалық құралдарды қорғау бойынша іс-шараларды жүзеге асыруды, сондай-ақ қауіпсіздік саясаты шеңберінде жүйені қолдауды қамтамасыз ететін қызметкері;

      9) қауіпсіздік жүйесі - ұйымдастыру шараларының және ақпаратты қорғаудың бағдарламалық-техникалық құралдарының кешені;

      10) қауіпсіздік саясаты - таратылуы шектеулі ақпаратты басқаруды, қорғауды және бөлуді реттейтін нормалар мен практикалық тәсілдер;

      11) мамандандырылған ұйым - телекоммуникациялық қызметтерді және деректерді сақтау және өңдеу қызметін ұсынатын ұйым;

      12) модуль - белгілі бір функцияларды орындауға арналған автоматтандырылған ақпараттық жүйелер құрамдасы;

      13) сәйкестендіргіш - жүйе субъектісіне және (немесе) объектісіне берілген және жүйеге және (немесе) жүйе ресурстарына кіруді реттеуге арналған бірегей дербес код немесе ат;

      14) сәйкестендіру - жүйеге және (немесе) сәйкестендіру жүйесінің ресурсына кіру рұқсатын алу үшін ұсынылған жүйеде бар сәйкестендіруші тізбенің сәйкестігін беру немесе анықтау;

      15) серверлік үй-жай - серверлік, жұмыс істейтін және жұмыс істемейтін желілік жабдықтың (телекоммуникациялық) және құрылымдық кабельдік жүйелердің серверлік орналасуына арналған үй-жай.

2. Зейнетақы активтері мен жинақтарын есепке алуға арналған
автоматтандырылған ақпараттық жүйелеріне қойылатын талаптар

      3. Бірыңғай жинақтаушы зейнетақы қорының және ерікті жинақтаушы зейнетақы қорының зейнетақы активтері мен жинақтарын есепке алуға арналған автоматтандырылған ақпараттық жүйелері:

      1) ақпараттың сенімді сақталуын, рұқсатсыз кіруден қорғауды, бағдарламалық қамтамасыз етудің тұтастығын және электронды мұрағаттар мен дерекқорлардағы ақпараттың:

      кез келген уақытта электр қуатын толық немесе ішінара ажыратқанда;

      желілер, телекоммуникациялар апатында, операцияларды орындаудың кез келген кезеңіндегі орнатылған табиғи және виртуалды қосылыстар ажырағанда;

      бағдарламалық қамтамасыз етудің кез келген функциясын орындау барысында бағдарламалық қамтамасыз етудің кез келген есептеу құралдары толық немесе ішінара тоқтап қалғанда;

      автоматтандырылған ақпарат жүйелерінде сақталатын ақпаратқа рұқсатсыз кіруге талаптанғанда толық сақталуын;

      2) кемінде кірудің екі деңгейін: басқарушы және пайдаланушы қамтамасыз ете отырып автоматтандырылған ақпарат жүйелерінде іске асырылған деректерге, функцияларға, операцияларға, есептерге көп деңгейлі кіруді;

      3) енгізілген деректердің толықтығын бақылауды (барлық жолдарды толық толтырмай функцияларды немесе операцияларды орындаған жағдайда автоматтандырылған ақпарат жүйесі тиісті хабарламаны беруді қамтамасыз етеді);

      4) жеке сұрату бойынша және кез келген критерийлер бойынша ақпарат іздеуді, сондай-ақ кез келген өлшемдер бойынша ақпарат іріктеу және алдыңғы күндердегі ақпаратты қарау мүмкіндігін;

      5) ақпаратты күндер бойынша қысқартусыз өңдеуді және сақтауды;

      6) мұрағаттау мүмкіндігін (деректерді мұрағаттан қалпына келтіру);

      7) келіп түсетін және жіберілетін құжаттарды экранға, принтерге немесе файлға шығару мүмкіндігін қамтамасыз етеді.

      4. Бірыңғай жинақтаушы зейнетақы қорының автоматтандырылған ақпараттық жүйелері мынадай функционалдық модульдерді қамтиды:

      1) "Зейнетақы жинақтарын және шартты зейнетақы міндеттемелерін дербес есепке алу" модулі;

      2) "Есептілік" модулі;

      3) "Сыртқы пайдаланушылармен өзара әрекеттесу" модулі;

      4) "Ішкі аудит" модулі.

      Ескерту. 4-тармаққа өзгеріс енгізілді - ҚР Ұлттық банкі басқармасының 28.11.2015 № 209 (01.01.2023 бастап қолданысқа енгізіледі) қаулысымен.

      4-1. Ерікті жинақтаушы зейнетақы қорының автоматтандырылған ақпараттық жүйелері мынадай функционалдық модульдерді қамтиды:

      1) "Зейнетақы жинақтарын дербес есепке алу" модулі;

      2) "Есептілік" модулі;

      3) "Сыртқы пайдаланушылармен өзара әрекеттесу" модулі;

      4) "Ішкі аудит" модулі.
      Ескерту. 2-тарау 4-1-тармақпен толықтырылды - ҚР Ұлттық банкі басқармасының 28.11.2015 № 209 (01.01.2023 бастап қолданысқа енгізіледі) қаулысымен.

      5. Бірыңғай жинақтаушы зейнетақы қорының "Зейнетақы жинақтарын және шартты зейнетақы міндеттемелерін дербес есепке алу" модулі мыналардың:

      1) міндетті зейнетақы жарналарының, міндетті кәсіби зейнетақы жарналарының, ерікті зейнетақы жарналарының есебінен зейнетақымен қамсыздандыру шарттарының;

      2) міндетті зейнетақы жарналары, міндетті кәсіби зейнетақы жарналары, ерікті зейнетақы жарналары, жұмыс берушінің міндетті зейнетақы жарналары салымшыларының (алушыларының) жеке зейнетақы шоттарына түсетін зейнетақы жарналарының, жинақтардың, өсімпұлдардың;

      3) міндетті зейнетақы жарналары, міндетті кәсіби зейнетақы жарналары, ерікті зейнетақы жарналары салымшыларының (алушыларының) жеке зейнетақы шоттарындағы инвестициялық табыстың;

      4) міндетті зейнетақы жарналарының, міндетті кәсіби зейнетақы жарналарының, ерікті зейнетақы жарналарының, жұмыс берушінің міндетті зейнетақы жарналарының есебінен зейнетақы төлемдерінің;

      5) ерікті зейнетақы жарналарының есебінен бірыңғай жинақтаушы зейнетақы қорына, басқа ерікті жинақтаушы зейнетақы қорына немесе сақтандыру ұйымына зейнетақы жинақтары аударымының;

      6) міндетті зейнетақы жарналарының, міндетті кәсіби зейнетақы жарналарының есебінен сақтандыру ұйымына зейнетақы жинақтары аударымының зейнетақы жинақтары аударымының дербес есебін жүргізуге арналған.

      Ескерту. 5-тармақ жаңа редакцияда - ҚР Ұлттық банкі басқармасының 28.11.2015 № 209 (01.01.2023 бастап қолданысқа енгізіледі) қаулысымен.

      5-1. Ерікті жинақтаушы зейнетақы қорының "Зейнетақы жинақтарын дербес есепке алу" модулі мыналардың:

      1) ерікті зейнетақы жарналарының есебінен зейнетақымен қамсыздандыру шарттарының;

      2) ерікті зейнетақы жарналары салымшыларының (алушыларының) жеке зейнетақы шоттарына түсетін зейнетақы жарналарының, жинақтардың, өсімпұлдардың;

      3) ерікті зейнетақы жарналары салымшыларының (алушыларының) жеке зейнетақы шоттарындағы инвестициялық табыстың;

      4) ерікті зейнетақы жарналарының есебінен зейнетақы төлемдерінің;

      5) ерікті зейнетақы жарналарының есебінен бірыңғай жинақтаушы зейнетақы қорына, басқа ерікті жинақтаушы зейнетақы қорына немесе сақтандыру ұйымына зейнетақы жинақтары аударымының дербес есебін жүргізуге арналған.
      Ескерту. 2-тарау 5-1-тармақпен толықтырылды - ҚР Ұлттық банкі басқармасының 28.11.2015 № 209 (01.01.2023 бастап қолданысқа енгізіледі) қаулысымен.

      6. Бірыңғай жинақтаушы зейнетақы қорының "Зейнетақы жинақтарын және шартты зейнетақы міндеттемелерін дербес есепке алу" модулі мыналарды:

      1) міндетті зейнетақы жарналары, міндетті кәсіби зейнетақы жарналары, ерікті зейнетақы жарналары салымшыларының (алушыларының) жеке зейнетақы шоттарымен;

      жұмыс берушінің міндетті зейнетақы жарналары аударылатын жеке тұлғалардың шартты зейнетақы шоттарымен;

      операциялардың талдау және синтетикалық бухгалтерлік есебін жүргізуді қамтамасыз етеді;

      2) бірыңғай жинақтаушы зейнетақы қоры жүргізген міндетті зейнетақы жарналарының есебінен салымшылардың (алушылардың) жеке зейнетақы шоттарын біріктірулер бойынша тарихын сақтай отырып салымшылардың (алушылардың) бірыңғай жинақтаушы зейнетақы қорындағы жеке зейнетақы шоттарын міндетті зейнетақы жарналарының есебінен біріктіруді;

      3) төлем құжаттарын қалыптастыруды;

      4) төлем құжаттарының дұрыс қалыптасқандығын тексеруді;

      5) бірегей деректемелері бар салымшыларды (алушыларды) сәйкестендіруді (шарт нөмірі, жеке сәйкестендіру нөмірі, тегі, аты, бар болса - әкесінің аты және басқа параметрлер бойынша);

      6) "Азаматтарға арналған үкімет" мемлекеттік корпорациясының (бұдан әрі – Мемлекеттік корпорация) автоматтандырылған ақпараттық жүйесімен мыналар:

      міндетті зейнетақы жарналарын, міндетті кәсіптік зейнетақы жарналарын есепке алу бойынша ашылған және жабылған жеке зейнетақы шоттары туралы ақпаратпен алмасу;

      жұмыс берушінің міндетті зейнетақы жарналарының есебі бойынша аттарына шартты зейнетақы шоттары ашылған жеке тұлғалар жөніндегі ақпаратпен алмасу;

      Мемлекеттік корпорация мен бірыңғай жинақтаушы зейнетақы қорының арасында жасалған шарттың негізінде жеке зейнетақы шоттарындағы, шартты зейнетақы шоттарындағы қозғалыс;

      төлем құжаттарымен алмасу;

      Мемлекеттік корпорациядан келіп түскен ақпараттың негізінде міндетті зейнетақы жарналары, міндетті кәсіптік зейнетақы жарналары салымшысының (алушысының), бірыңғай жинақтаушы зейнетақы қорында атына шартты зейнетақы шоты ашылған жеке тұлғаның деректемелеріне өзгерістер енгізу бойынша өзара іс-қимыл етуді қамтамасыз етеді.

      Ескерту. 6-тармаққа өзгеріс енгізілді – ҚР Ұлттық банкі басқармасының 28.11.2015 № 209 (01.01.2023 бастап қолданысқа енгізіледі); 28.06.2019 № 103 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулыларымен.

      6-1. Ерікті жинақтаушы зейнетақы қорының "Зейнетақы жинақтарын дербес есепке алу" модулі мыналарды:

      1) ерікті зейнетақы жарналары салымшыларының (алушыларының) жеке зейнетақы шоттарымен операциялардың талдау және синтетикалық бухгалтерлік есебін жүргізуді;

      2) төлем құжаттарын қалыптастыру;

      3) төлем құжаттарын дұрыс қалыптастыруды тексеруін жүзеге асыруды;

      4) салымшыларды (алушыларды) бірегей деректемелері бойынша (шарттың нөмірі, жеке сәйкестендіру нөмірі, тегі, аты, бар болса - әкесінің аты және басқа өлшемдер бойынша) сәйкестендіруді қамтамасыз етеді.

      Ескерту. 2-тарауды 6-1-тармақпен толықтырылды - ҚР Ұлттық банкі басқармасының 28.11.2015 № 209 (01.01.2023 бастап қолданысқа енгізіледі) қаулысымен.

      7. Міндетті зейнетақы жарналарының, міндетті кәсіби зейнетақы жарналарының, ерікті зейнетақы жарналарының, жұмыс берушінің міндетті зейнетақы жарналарының есебінен зейнетақы төлемдерін жүзеге асырған кезде мынадай:

      1) міндетті зейнетақы жарналарының, міндетті кәсіби зейнетақы жарналарының, ерікті зейнетақы жарналарының, жұмыс берушінің міндетті зейнетақы жарналарының есебінен әрбір зейнетақы төлемдерін алушы бойынша міндетті зейнетақы жарналарының, міндетті кәсіби зейнетақы жарналарының, ерікті зейнетақы жарналарының, жұмыс берушінің міндетті зейнетақы жарналарының есебінен зейнетақы төлемдерінің сомасын есептеу;

      2) Заңға сәйкес міндетті зейнетақы жарналарының, міндетті кәсіби зейнетақы жарналарының, ерікті зейнетақы жарналарының есебінен зейнетақы төлемдерінің тиесілі сомасынан табыс салығын ұстау;

      3) міндетті зейнетақы жарналарының, міндетті кәсіби зейнетақы жарналарының, ерікті зейнетақы жарналарының, жұмыс берушінің міндетті зейнетақы жарналарының есебінен берілген күнге және (немесе) берілген уақыт аралығына зейнетақы төлемдерін болжау функцияларының орындалуы қамтамасыз етіледі.

      Ескерту. 7-тармақ жаңа редакцияда - ҚР Ұлттық банкі басқармасының 28.11.2015 № 209 (01.01.2023 бастап қолданысқа енгізіледі) қаулысымен.

      8. "Есептілік" модулі есептілікті электрондық нысандар, электрондық файлдар түрінде қалыптастыру және мынадай:

      1) есептерді Қазақстан Республикасы Ұлттық Банкінің белгіленген талаптарына сәйкес қалыптастыру;

      2) есептіліктегі нысан аралық және нысан ішіндегі бақылау функцияларының орындалуын қамтамасыз ету үшін арналған.

      9. "Сыртқы пайдаланушылармен өзара әрекеттесу" модулі:

      1) филиалдар мен өкілдіктермен;

      2) кастодиан банкпен;

      3) инвестициялық портфельді басқарушымен (бар болса);

      4) актуарилермен;

      5) мемлекеттік органдармен электрондық үкімет шлюзі арқылы интеграциялау жолымен электронды түрде ақпарат алмасу үшін арналған.

      10. "Ішкі аудит" модулі Талаптардың 4-тармағының 1), 2) және 3) тармақшаларында көрсетілген модульдердегі жүйелі оқиғаларды тіркеу және сәйкестендіру үшін арналған, онда мынадай атрибуттар сақталады:

      1) автоматтандырылған ақпарат жүйесін пайдаланушының кіру және шығу күні мен уақытын көрсете отырып, автоматтандырылған ақпарат жүйесін пайдаланушыны сәйкестендіру;

      2) бизнес - процесті, бизнес - процестің орындалу нәтижесін сәйкестендіру.

      11. "Ішкі аудит" мыналарды қамтамасыз етеді:

      1) жүйелі оқиғалар аудитінің электрондық журналын қарау және оның файлына сақтау;

      2) мұрағат жазбаларын қалпына келтіру мүмкіндігімен, автоматтандырылған ақпарат жүйесінің аудит жазбаларын мұрағатқа көшіру.

      "Ішкі аудит" модулін басқарушы үшін әрбір пайдаланушы бойынша және (немесе) жалпы автоматтандырылған ақпарат жүйесі бойынша Талаптардың 4-тармағының 1), 2) және 3) тармақшаларында көрсетілген модульдердегі жүйелі оқиғаларды бақылау мүмкіндігі беріледі.

      12. Автоматтандырылған ақпарат жүйелерінде жалпы жүйенің функционалдық сипаттамаларын жақсартатын қосымша функциялар мен міндеттерді (модульдерді) іске асыруға рұқсат беріледі.

      13. Бірыңғай жинақтаушы зейнетақы қорының және ерікті жинақтаушы зейнетақы қорының автоматтандырылған ақпарат жүйесін әзірлеу, енгізу және ілеспе қызметін көрсету процесі бағдарламалық қамтамасыз етуді әзірлеу, өзгерістер енгізу, қабылдау, тестілеу, пайдалануға беру және ілеспе қызметін көрсету кезеңдерінің, жұмыстың барлық кезеңдерін құжаттандыруға қойылатын талаптардың орындалуын қамтамасыз етеді.

      Бағдарламалық қамтамасыз етуді және (немесе) автоматтандырылған ақпарат жүйесіндегі ақпаратты рұқсатсыз өзгертуге жол бермеу мақсатында жұмыс істейтін модульдерге өзгерістер енгізу, жаңа модульдерді әзірлеу, жүйені енгізу және пайдалануға беру бірыңғай жинақтаушы зейнетақы қорының директорлар кеңесі мен ерікті жинақтаушы зейнетақы қорының директорлар кеңесі шешімімен бекітілген бірыңғай жинақтаушы зейнетақы қорының және ерікті жинақтаушы зейнетақы қорының даму корпоративтік стратегиясын іске асыру жөніндегі іс-шаралар жоспарына сәйкес жүзеге асырылады.

      Ескерту. 13-тармаққа өзгеріс енгізілді - ҚР Ұлттық банкі басқармасының 28.11.2015 № 209 (01.01.2016 бастап қолданысқа енгізіледі) қаулысымен.

3. Бірыңғай жинақтаушы зейнетақы қорының және
ерікті жинақтаушы зейнетақы қорының ақпараттық
процесін ұйымдастыруға қойылатын талаптар

      14. Бірыңғай жинақтаушы зейнетақы қорының және ерікті жинақтаушы зейнетақы қорының ақпараттық-коммуникациялық технологиясы инфрақұрылымын құру және ақпарат қауіпсіздігін қамтамасыз ету үшін мыналарға қойылатын тиісті талаптардың орындалуы қамтамасыз етіледі:

      1) серверлік үй-жайға;

      2) техникалық құралдарға;

      3) байланыс құралдарына;

      4) пайдаланушылардың жұмыс орындарына;

      5) бағдарламалық құралдарға.

      15. Бірыңғай жинақтаушы зейнетақы қорының және ерікті жинақтаушы зейнетақы қорының серверлік үй-жайы мынадай талаптарға сәйкес келеді:

      1) үй-жай үйдің бірінші немесе соңғы қабаттарында орналасқан жағдайда үй-жайдың терезелері металл торкөздермен немесе үй-жайға біреудің кіруін болдырмау үшін ұқсас қорғау құралдарымен жабдықталады;

      2) арнайы бөлінген кіруі шектеулі үй-жайдың болуы;

      3) үй-жайға кіру кезеңі туралы есеп алу мүмкіндігімен нақты уақыт режимінде үй-жайға кіру кезеңі мониторингін және үй-жайға кіру кезеңін электрондық журналға жазуды жүзеге асыруға арналған кіруді бақылау жүйесінің (жеке электронды рұқсатнама) болуы. Электрондық журналдағы оқиға жазбалары 6 (алты) айдан кем емес сақталады;

      4) бейнебақылау жүйесінің болуы (бейнесигналдарды жазу мүмкіндігі бар нақты уақыт режимінде);

      5) күзет сигнализациясы жүйесінің болуы;

      6) бүкіл жабдықтың өндіруші көрсеткен температураға дейін жылдың кез келген мезгілінде неғұрлым көп жүктелген кезде салқындатуға жеткілікті берілген температура мен ылғалдылықты автоматты түрде ұстап тұру жүйесінің болуы;

      7) өрт сигнализациясы жүйесінің және газбен автоматты өрт сөндіру жабдығының болуы;

      8) кепілдік берілген қорек жүйесі - таза қорек желісіндегі электр қуатын үзіліссіз қолдау арқылы және резервті автоматты түрде қосу қалқанының, үзіліссіз қорек жүйесінің екі қайнар көзі сигналынан атқарылатын дизельді генератор қондырғысының болуы.

      Мамандандырылған ұйымдардың деректерді өңдеу орталығының үй-жайын, сондай-ақ қажетті техникалық құралдарды жалдаған жағдайда меншікті серверлік үй-жайларға және бірыңғай жинақтаушы зейнетақы қорының немесе ерікті жинақтаушы зейнетақы қорының техникалық құралдарына қойылатын талаптарға сәйкес келуі қажет.

      16. Бірыңғай жинақтаушы зейнетақы қорының және ерікті жинақтаушы зейнетақы қорының техникалық құралдары тиісті талаптарға сәйкес келеді:

      1) меншікті аппараттық қамтамасыз етудің (компьютерлік жабдық, серверлер, аппараттық қорғау құралдары, жиынтық және басқа жабдық) болуы, аппараттық қамтамасыз етуді бірыңғай жинақтаушы зейнетақы қорына және ерікті жинақтаушы зейнетақы қорына тиістілігін немесе мамандандырылған ұйымнан жалдауды растайтын құжаттардың болуы;

      2) пайдаланыстағы жабдықты өндіруші немесе жеткізуші беретін сәйкестік сертификатының болуы.

      17. Бірыңғай жинақтаушы зейнетақы қорының және ерікті жинақтаушы зейнетақы қорының филиалдар мен өкілдіктермен, кастодиан банктермен, инвестициялық портфельді басқарушымен (бар болса), мемлекеттік органдармен деректермен алмасу бойынша байланыс құралдары мынадай талаптарға сәйкес келеді:

      1) жіберілетін және алынатын ақпараттың толық көлемін қамтамасыз ететін негізгі арнаның болуы;

      2) жіберілетін және алынатын ақпараттың толық көлемін қамтамасыз ететін резервтік арнаның болуы;

      3) нақты бөлінген арналар әр түрлі провайдерлерден болуы.

      18. Қордың автоматтандырылған ақпарат жүйесін пайдаланушылардың жұмыс орындары мынадай талаптарға сәйкес келеді:

      1) ұйымның үй-жайын техникалық қорғау құралдары жұмыс орнына кіруге рұқсат берілмеген тұлғалардың осы үй-жайға бақылаусыз кіру мүмкіндігін болдырмайды. Үй-жайға және жұмыс орнына кіру ұйым регламентіне және қызметкерлерінің лауазымдық міндеттеріне сәйкес жүзеге асырылады;

      2) барлық аппараттық құралдарда кепілдік мерзімі (кепілдік талоны) болады және (немесе) мамандандырылған ұйымның техникалық қолдауында болады және (немесе) олар істен шыққан жағдайда аппараттық құралдарды жедел ауыстыру мүмкіндігі болады;

      3) пайдаланушының жұмыс орнына желі және деректерді берудің өзге техникалық арналары арқылы кіру тәртібі рұқсат берілмеген кіруге мүмкіндік бермейді;

      4) ақпарат алмасу, сақтау, мұрағаттау не ақпаратты басқаша өңдеу шеңберінде беру үшін ақпарат жинауға берілген ресурстарға (желілік (серверлік) жабдық, дискілік кеңістік, директория, желілік ресурстар, деректер базасы) кіру тәртібі осы ресурстарға олармен жұмыс істеуге рұқсат берілмеген тұлғаларға кіру мүмкіндігі берілмейді;

      5) пайдаланушының жұмыс орны жергілікті желіде (LAN) орналастырылады;

      6) пайдаланушының компьютеріндегі ақпаратты оқу (жазу немесе көшіру) порттарына ену, оның ішінде кіру-шығу базалық жүйе теңшеуінде де ажыратылады;

      7) пайдаланушының дербес компьютерінің жүйелі блогына қауіпсіздік басқарушысы мөр басады немесе пломба салады;

      8) пайдаланушының жұмыс орнына рұқсатсыз кіруден қорғау құралдарына теңшеу орнату және өзгерту құқығы басқарушының міндетін орындайтын пайдаланушыларға ғана беріледі;

      9) пайдаланушы сәйкес келтірілетін пайдаланушының бір жүйе аты бір жеке тұлғаға сәйкес келеді;

      10) техникалық құралдарды, пайдаланушының жұмыс орнына кіруді қамтамасыз ететін парольдерді немесе басқа ақпаратты сақтау және пайдалану тәртібі оларды рұқсатсыз пайдалану мүмкіндігін бермейді;

      11) пайдаланушының жұмыс орнына арналған желілік ресурстарға кіру автоматтандырылған ақпарат жүйесінің қорғалған шағын желісі шегінде шектеледі;

      12) пайдаланушыда резервтік жұмыс орны болған жағдайда Талаптарда белгіленген шарттар мен талаптар, сондай-ақ осындай жұмыс орнында қолданылады.

      Ескерту. 18-тармаққа өзгеріс енгізілді – ҚР Ұлттық Банкі Басқармасының 22.12.2017 № 254 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      19. Пайдаланушылардың жұмыс орындарында пайдаланылатын бағдарламалық құралдар мынадай талаптарға сәйкес келеді:

      1) тек лицензиялық бағдарламалық қамтамасыз ету пайдаланылады;

      2) пайдаланушының жұмыс орнында оның қызметтік міндеттерін пайдалану үшін талап етілмейтін бағдарламалық құралдарды орнатуға жол берілмейді;

      3) пайдаланушының жұмыс орнында пайдаланушыларды сәйкестендіруді және аутентификациялауды қамтамасыз етуге мүмкіндік беретін бағдарламалық құралдардың болуы;

      4) пайдаланушының жұмыс орнында міндетті түрде үнемі жаңартылып тұратын вирусқа қарсы базасы бар лицензиялық вирусқа қарсы бағдарламалық қамтамасыз ету орнатылады;

      5) компьютерге кіруіне және пайдаланушының іс-қимылына байланысты оқиғаларды бақылау мақсатында электрондық құжаттарды сақтау мерзімінде электрондық журналдарды жүргізу мүмкіндігі;

      6) бағдарламалық қамтамасыз ету паспорты - жұмыс орнының конфигурациясы туралы толық деректерімен оның сипаттамасы, сондай-ақ осы жұмыс орнында орнатылған аппараттық және бағдарламалық құралдары бар дербес компьютерге орнатылады;

      7) паспорт бірыңғай жинақтаушы зейнетақы қорының және ерікті жинақтаушы зейнетақы қорының ішкі құжаттарына сәйкес ресімделеді және қауіпсіздік басқарушысында сақталады.

4. Бірыңғай жинақтаушы зейнетақы қорының және ерікті жинақтаушы
зейнетақы қорының автоматтандырылған ақпараттық жүйесінің
автоматтандырылған қауіпсіздігін қамтамасыз етуге қойылатын
талаптар

      20. Ақпараттық қауіпсіздік жүйесінің негізгі мақсаты бірыңғай

      жинақтаушы зейнетақы қорының және ерікті жинақтаушы зейнетақы қорының

      тұрақты жұмыс істеуін қамтамасыз ету және қауіпсіздік қауіп-қатерлерін іске асыруды болдырмау, бірыңғай жинақтаушы зейнетақы қорының және ерікті жинақтаушы зейнетақы қорының мүдделерін кез келген жеке және заңды тұлғалардың құқыққа қайшы іс-әрекеттерінен қорғау, оның мүлкін ұрлауға, ақпаратты жариялауға, жоғалтуға, мәлім болуына, бұрмалауға және жоюға жол бермеу болып табылады.

      21. Зейнетақы активтері мен жинақтарын есептеу үшін автоматтандырылған ақпараттық жүйенің ақпараттық қауіпсіздігін қамтамасыз ету бойынша негізгі құжат ақпараттық қауіпсіздікті қамтамасыз ету жөніндегі ескерту шаралардың кешенін қамтитын ақпараттық қауіпсіздік саясаты, бірыңғай жинақтаушы зейнетақы қоры және ерікті жинақтаушы зейнетақы қоры өз қызметтерінде қауіпсіздік саласында басшылыққа алатын қағидалар, рәсімдер және принциптер болып табылады және автоматтандырылған, телекоммуникациялық жүйелерді, автоматтандырылған жұмыс орындарын қамтиды.

      22. Ақпараттық қауіпсіздік саясаты:

      1) ақпараттық қауіпсіздік саласында жұмыстың жалпы бағыттарын;

      2) ақпараттық жүйені қорғау мақсатын;

      3) ақпараттық жүйені, оның жалпы және жеке бөліктерін қорғауға қойылатын жалпы талаптарын;

      4) қауіпсіздіктің қажетті деңгейіне қол жеткізудің негізгі принциптері мен тәсілдерін;

      5) ақпараттық қауіпсіздік саясатын анықтайтын қажетті талаптарды әзірлеуге жауапты лауазымды тұлғалардың тізбесін;

      6) ақпараттық жүйелерді қорғаудың жұмысқа қабілеттілігін құруға және қолдауға жауапты бөлімшелердің тізбесін;

      7) қауіпсіздік саясатын айқындайтын қажетті талаптарды әзірлеуге және бақылауға жауапты қауіпсіздік басқарушысын бекітуді;

      8) табиғат апаттары, апаттар, өрттер, электроэнергияның сөнуі, байланыс желілерінің зақымдануы, жаппай тәртіпсіздіктер, ереуілдер, әскери іс-қимылдар жататын дүлей күштің әсері пайда болған жағдайда ақпараттық жүйелердің қауіпсіздік режимін бұзуды болдырмайтын шараларды айқындайды.

      23. Ақпараттық қауіпсіздік саясаты ақпараттық жүйе үшін нақты болып танылған тәуекелдерді талдау негізінде құрылады және мыналарды:

      1) ақпараттық жүйе құрамының сипаттамасын;

      2) бірыңғай жинақтаушы зейнетақы қорының және ерікті жинақтаушы зейнетақы қорының автоматтандырылған ақпараттық жүйесін пайдаланушылардың тізімін, олардың ақпаратқа, бағдарламалық және техникалық құралдарға қол жеткізуіне құқықтары мен басымдықтарын (олардың қызметтік жағдайына және орындайтын функцияларының сипатына қарай).

      3) ұйымдастыру және бағдарламалық - техникалық шаралар қосылған ақпаратты қорғау жөніндегі іс-шаралар жоспарын қамтиды.

      24. Ақпараттық жүйені сенімді әрі тиімді қорғау жүйесін құру үшін мынадай принциптер мен тәсілдер пайдаланылады:

      1) қызметкердің дайындығы ақпараттық қорғау жүйесін басқаруға, пайдалануға немесе жұмыс істеуіне қатысушы қызметкерлердің барлығын міндетті кезең-кезеңімен оқытуды қамтамасыз етеді;

      2) осы қызметті көрсететін ұйымдардың шарт негізінде ақпараттық жүйелерді қорғау құралдарын және жүйелерін әзірлеу мен орнату үшін тарту.

      25. Ұйымдастыру шаралары Қазақстан Республикасының нормативтік құқықтық актілерін және бірыңғай жинақтаушы зейнетақы қорының және ерікті жинақтаушы зейнетақы қорының ішкі талаптарын сақтауды және бірыңғай жинақтаушы зейнетақы қорының және ерікті жинақтаушы зейнетақы қорының ішіндегі қауіпсіздік жағдайын бақылауды, бұзушылықтар жағдайында ден қоюды, бірыңғай жинақтаушы зейнетақы қорындағы және ерікті жинақтаушы зейнетақы қорындағы өзгерістерді ескере отырып, қорғау шараларын дамытуды қамтамасыз етеді.

      26. Қауіпсіздікті қамтамасыз етуді ұйымдастыру шараларына мынадай іс-шаралар жатады:

      1) ақпараттық жүйелерді физикалық қорғау;

      2) ақпараттық қауіпсіздікке қатынасы бар ақпараттық жүйелердің жұмысқа қабілеттілігін қолдау;

      3) әрбір пайдаланушыға өзіне жүктелген қызметтік міндеттерін орындауды және бірін-бірі ауыстыруды қамтамасыз ету үшін қажетті тиісті қол жеткізу құқығын беру;

      4) жауапты тұлғалардың ақпараттық қауіпсіздік режимін бұзуына ден қоюы;

      5) қалпына келтіру жұмыстарын жоспарлау.

      27. Физикалық қорғау мыналарға бөлінеді:

      1) рұқсат беруді физикалық басқару;

      2) өртке қарсы қауіпсіздік шаралары;

      3) қолдау инфрақұрылымын қорғау;

      4) деректерді қолға түсіруден қорғау, мобильді жүйелерді қорғау.

      28. Ақпараттық жүйелердің жұмысқа қабілеттілігін қолдау жөніндегі іс-шаралар:

      1) пайдаланушыларды қолдау - ақпараттық қауіпсіздік мәселелері бойынша кеңес берулерді ұйымдастыру, олардың кәдімгі қателерін анықтау және таралып жайылған жағдайлар үшін ұсынымдары бар жадынамалармен қамтамасыз ету;

      2) бағдарламалық қамтамасыз етуді қолдау - бағдарламалық қамтамасыз етудің лицензиялық (сертификатталған) тазалығын бақылау;

      3) конфигурациялық басқару - бағдарламалық және техникалық конфигурацияға енгізілетін өзгерістерді бақылау және белгілеу;

      4) апат және басқа да дүлей күштің әсері жағдайында ақпараттық жүйені және деректерді қалпына келтіру үшін резервтік көшірме жасау;

      5) деректер тасымалдағыштарын басқару - есепке алу, айналыс және сақтау ережелері;

      6) құжаттау - істердің ағымдағы жағдайының маңызды көрінісі.

      29. Қауіпсіздік басқарушылары ақпараттық жүйелердің қауіпсіздік режимін бұзған жағдайда:

      1) келтірілетін зиянды азайту мақсатында шұғыл іс-шараларды орындауды - рұқсат етілмеген қол жеткізуді істеген адамды анықтауды және оны оқшаулауды;

      2) жинақталған бұзушылық статистикасын шолуды - қақтығыстарды талдауды, қайталанған бұзушылықтарды анықтауды, қорғау жүйелерін жетілдіру жөніндегі шараларды әзірлеуді жүзеге асырады.

      30. Ақпараттық қауіпсіздікті қамтамасыз ету жөніндегі бағдарламалық-техникалық шараларға мынадай жүйелер қосылады:

      1) рұқсат беруді басқару;

      2) техникалық жай-күйді хаттамалау және тексеру.

      31. Рұқсат беруді басқару жүйесі мынадай іс-шараларды орындауды қамтамасыз етеді:

      1) деректер, міндеттер топтарының тізбесін анықтау және оларға құпиялылық деңгейін орнату;

      2) деректердің әрбір топтарын қорғау тәсілдерін және рәсімдерін белгілеу;

      3) ақпараттық жүйелерді пайдаланушылардың топтарын анықтау, оларды орындайтын қызметтері бойынша санаттарға бөлу және оларға ақпаратқа қол жеткізу деңгейін орнату.

      32. Ақпараттық жүйенің қауіпсіздігін қозғайтын және тексеруді талап ететін оқиғалардың қатарына:

      1) жүйеге кіру (табысты немесе табыссыз);

      2) жүйеден шығу;

      3) жойылған жүйеге назар аудару жатады.

      33. Жергілікті желідегі жұмыс саясатына мыналар кіреді:

      1) жалпы ережелер;

      2) ақпаратқа, бағдарламалық және техникалық құралдарға рұқсат беру кезіндегі пайдаланушылардың құқықтары (қызметтік жағдайына және атқарып отырған функцияларының сипатына қатысты);

      3) Жергілікті желідегі жұмыс кезіндегі пайдаланушының міндеттері;

      4) Қызметкердің міндеті;

      5) компьютерлерде және жергілікті желіде пайдаланылатын бағдарламалық қамтамасыз ету тізімі.

      34. Резервтік көшірме жасау саясатына мыналар кіреді:

      1) жалпы ережелер;

      2) резервтік көшірме жасау тәртібі;

      3) резервтік көшірме жасаудың қорытындыларын бақылау;

      4) резервтік көшірме жасау арқылы ақпаратты қалпына келтіру;

      5) резервтік көшірмелерді сақтау;

      6) ақпаратты күн сайын резервтік көшірме жасаумен қамтамасыз ете отырып, сейсмоқауіпсіз аймақта орналасқан резервтік сервердің болуы.

      35. Лауазымдық міндеттерге сәйкес ақпараттық қауіпсіздікті сақтауға

      мыналар жауапкершілік алады:

      1) бірыңғай жинақтаушы зейнетақы қоры мен ерікті жинақтаушы зейнетақы қорының бірінші басшысы;

      2) автоматтандырылған ақпараттық жүйені басқарушы;

      3) қауіпсіздік басқарушысы;

      4) бірыңғай жинақтаушы зейнетақы қоры мен ерікті жинақтаушы зейнетақы қорының бірінші басшыларының бұйрықтарымен анықталған тұлға.

      36. Қауіпсіздік басқарушысы:

      1) тәуекелдерді талдауды, қорғауды талап ететін объектілерді анықтауды, және қауіпсіздік режимінің бұзылуынан болуы мүмкін зиян мөлшерін және тиімді қорғау құралдарын таңдай отырып, ақпараттық жүйенің осал жерлеріне баға беріп, анықтауды жүзеге асырады;

      2) вирусқа қарсы бақылауға және жүйеге дұрыс кіруге байланысты (тіркеу кезінде өзінің ғана сәйкестендіргішін көрсете отырып) қауіпсіздік шараларына және төтенше (әдеттегіден тыс) жағдайлардағы қағидаларға қызметкерлерді оқытуды қамтамасыз етеді;

      3) ақпараттық жүйенің ресурстарына кіруге рұқсат беруді сәйкестендіру және аутентификациялау рәсімдерінің міндеттілігін қамтамасыз етеді;

      4) ақпараттық ресурстарға рұқсат берілмеген пайдаланушылардың кіруге рұқсат алуына жол бермейді, пайдаланушыларға кіру аты және бастапқы парольдер тек тіркеу нысандары толтырылған соң ғана беріледі;

      5) ақпараттық жүйе өңдейтін ақпаратты резервтік көшірме жасауды орындаудың тұрақтылығын бақылайды;

      6) жүйе ресурстарын қорғаудың сенімділігіне жоспарлы және жоспардан тыс тексерулер жүргізеді;

      7) бар қауіпсіздік саясатының тиімділігі туралы арнайы тағайындалған жауапты орындаушыларды хабардар етеді және қорғау жүйесін жақсарту жөніндегі ұсыныстарды олардың қарауына енгізеді;

      8) корпоративті желінің жабдықтарын, оның ішінде арнайы желіаралық бағдарлама құралдарын қорғауды қамтамасыз етеді;

      9) қауіп-қатері бар оқиғаларға шұғыл және тиімді түрде қатысады, қауіп-қатерді көрсету және тәртіп бұзушыларды анықтау бойынша шаралар қабылдайды, арнайы тағайындалған жауапты орындаушылар қорғанысты бұзу әрекеттері туралы белгілейді және хабардар етеді;

      10) сезікті жағдайларды анықтау, бар зиянды бағдарламалық қамтамасыз етудің және оның ақпараттық жүйенің және оның компоненттерінің жұмысына ықпалын болдырмау мақсатында ақпараттық жүйенің жұмыс істеу процесін қадағалайтын тексерілген бағдарламалық-техникалық құралдарды пайдаланады;

      11) күн сайын жалпы ақпараттық жүйеге және айырықша файлдық серверлерге қатысты тіркелген ақпаратқа талдау жүргізеді;

      12) ақпараттық қауіпсіздік саласындағы жаңалықтарға шолу жасайды, олар туралы пайдаланушыларды және арнайы тағайындалған жауапты орындаушыларды хабардар етеді.

      37. Жүйенің пайдаланушылары:

      1) Ақпараттық жүйе қауіпсіздігін қамтамасыз ететін ішкі талаптарды білуі және сақтауы;

      2) өз ақпараттарының конфиденциалдылығы мен толықтығын қамтамасыз ету үшін қол жетімді тіркелген қорғау механизмдерін пайдалануы;

      3) ұзақтығы сегіз әріптік-цифрлық символдардан кем емес жеке пароль таңдауы;

      4) жеке парольдің басқа адамдарға қол жетімді болмауын қамтамасыз етуі;

      5) ақпараттық қауіпсіздік жүйесінің басқарушыларын және(немесе) арнайы тағайындалған жауапты орындаушыларды қауіпсіздіктің бұзылғандығы және өзге де күмәнді жағдайларды хабардар етеді.

      6) ақпараттық жүйенің ресурстарын қорғау кезінде осал жерлерді анықтаған жағдайда бұл туралы ақпараттық жүйенің қауіпсіздік басқарушысына және (немесе) арнайы тағайындалған жауапты орындаушыларға дереу хабарлау;

      7) сәйкестендірілген және аутентификацияланған түзетілген ақпаратты ұсынуды қамтамасыз ету;

      8) қауіпті кодтың еніп кетуін ескерту, оны анықтау және жою рәсімдерін орындау;

      9) әдеттен тыс жағдайларда өзін ұстау нормаларын атқару, апаттардың және өзге де дүлей күштің әсері кезіндегі іс-қимылдардың қалыптылығы орындалуы тиіс.

      38. Қордың автоматтандырылған ақпараттық жүйенің ақпараттық қауіпсіздігін қамтамасыз ету үшін мынадай талаптар орындалады:

      1) аппараттық және бағдарламалық құралдардың көмегімен трафикті шифрлау арқылы деректер беру арналарын қорғау;

      2) сезікті жағдайларды анықтау, бар зиянды бағдарламалық қамтамасыз етуді және оның ақпараттық жүйенің және оның компоненттерінің жұмысына ықпалын болдырмау мақсатында ақпараттық жүйенің жұмыс істеу процесін қадағалайтын тексерілген бағдарламалық-техникалық құралдарды пайдаланады;

      3) интернет желісінен ұйымның компьютерлік желісіне жасалған шабуылдарды анықтау (болдырмау) жүйесін пайдалану;

      4) ең кем дегенде бір бағдарламалық-аппараттық желіаралық экранның болуы;

      5) тұрақты негізде осал тұстарды талдау және оған баға беру;

      6) кіріс деректеріне, функцияларға, операцияларға, есептерге рұқсат беру отыз күнтізбелік күн ішінде бір рет ауыстырылатын тиісті парольді енгізу арқылы қамтамасыз етіледі;

      7) Пароль үш реттен артық дұрыс енгізілмеген жағдайда, автоматтандырылған ақпараттық жүйенің пайдаланушысының есептік

      жазбасына тосқауыл қойылады. Одан әрі тосқауылды алып тастау

      автоматтандырылған ақпараттық жүйенің пайдаланушысының өтінімі негізінде жасалады;

      8) автоматтандырылған ақпараттық жүйе парольді ауыстырған кезде осының алдындағы парольдерді пайдалануды бақылайды (осының алдындағы үш парольден кем емес);

      9) бірыңғай жинақтаушы зейнетақы жүйесінің немесе ерікті жинақтаушы зейнетақы қорының автоматтандырылған ақпараттық жүйесі

      операцияларды жасау уақытына немесе автоматтандырылған ақпараттық жүйеге және осы операцияны немесе жазбаны жүзеге асырушы пайдаланушының сәйкестендіргішіне өзгерістер енгізуге қатысты мәліметтерді сақтауды қамтамасыз етеді;

      10) электр қорегін ажырату, желідегі, телекоммуникациядағы апат, қосылғыштардың ажырауы, санкцияланбаған кіру әрекеттері нәтижесінде үзілген пайдаланушының немесе басқарушының операцияларды автоматты түрде аяқтауы.

      39. Ақпаратты қорғау "басқарушы" рұқсат беру деңгейіндегі мынадай функциялармен қамтамасыз етіледі:

      1) пайдаланушылар тобын анықтау, оларды атқаратын функциялары бойынша санаттарға бөлу және олардың ақпаратқа кіру, паролдерді ауыстыру деңгейлерін белгілеу;

      2) пайдаланушылардың автоматтандырылған ақпараттық жүйенің деректеріне және функцияларына кіруіне тосқауыл қою;

      3) автоматтандырылған ақпараттық жүйенің жұмыс істеу параметрлерін күйіне келтіру;

      4) автоматтандырылған ақпараттық жүйеге қосылған пайдаланушыларды қарау;

      5) алып тасталды – ҚР Ұлттық Банкі Басқармасының 28.06.2019 № 103 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      6) қажет болған жағдайда пайдаланушыларды автоматтандырылған ақпараттық жүйеден ажырату.

      Ескерту. 39-тармаққа өзгеріс енгізілді – ҚР Ұлттық Банкі Басқармасының 28.06.2019 № 103 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

Об утверждении Требований к автоматизированным информационным системам для учета пенсионных активов и накоплений

Постановление Правления Национального Банка Республики Казахстан от 27 августа 2013 года № 218. Зарегистрирован в Министерстве юстиции Республики Казахстан 10 октября 2013 года № 8801. Утратило силу постановлением Правления Агентства Республики Казахстан по регулированию и развитию финансового рынка от 26 июня 2023 года № 60.

      Сноска. Утратило силу постановлением Правления Агентства РК по регулированию и развитию финансового рынка от 26.06.2023 № 60 (вводится в действие с 01.07.2023).
      Примечание РЦПИ!
      Порядок введения в действие приказа см. п.2

      В соответствии с Законом Республики Казахстан от 21 июня 2013 года "О пенсионном обеспечении в Республике Казахстан" Правление Национального Банка Республики Казахстан ПОСТАНОВЛЯЕТ:

      1. Утвердить прилагаемые Требования к автоматизированным информационным системам для учета пенсионных активов и накоплений (далее - Требования).

      2. Настоящее постановление вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования, за исключением подпунктов 1), 2), 3) и 4) пункта 5, подпункта 1) и абзацев второго и четвертого подпункта 6) пункта 6 и пункта 7 Требований, в части норм, определяющих требования к автоматизированным информационным системам для учета пенсионных активов и накоплений, сформированных за счет обязательных профессиональных пенсионных взносов, которые действуют с 1 января 2014 года.

Председатель
Национального Банка	Г. Марченко

Утверждены постановлением Правления Национального Банка Республики Казахстан от 27 августа 2013 года № 218

Требования к автоматизированным информационным системам для
учета пенсионных активов и накоплений
1. Общие положения

      1. Настоящие Требования к автоматизированным информационным системам для учета пенсионных активов и накоплений (далее - Требования) разработаны в соответствии с Законом Республики Казахстан от 21 июня 2013 года "О пенсионном обеспечении в Республике Казахстан" (далее - Закон) и устанавливают требования к автоматизированным информационным системам единого накопительного пенсионного фонда и добровольного накопительного пенсионного фонда для учета пенсионных активов и накоплений в целях обеспечения надежного и устойчивого функционирования действующих электронных информационных ресурсов и формирования системы информационной безопасности.

      2. В Требованиях используются следующие понятия:

      1) администратор безопасности – сотрудник единого накопительного пенсионного фонда или добровольного накопительного пенсионного фонда, обеспечивающий реализацию мер по защите информационных систем, технических средств, а также поддержание системы в рамках политики безопасности;

      2) администратор автоматизированной информационной системы (далее - администратор) – сотрудник единого накопительного пенсионного фонда или добровольного накопительного пенсионного фонда, обеспечивающий функционирование, настройку, поддержку и сопровождение технических средств автоматизированной информационной системы и участвующий в информационном процессе с помощью аппаратно-программных средств;

      3) информационная безопасность – защищенность информации и поддерживающей ее инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, утечки, хищения, утраты, уничтожения, искажения, копирования, подделки, блокирования и других угроз, возникающих в результате несанкционированного доступа;

      4) защита информации – комплекс мероприятий, обеспечивающих информационную безопасность;

      5) система безопасности – комплекс организационных мер и программно–технических средств защиты информации;

      6) вредоносное программное обеспечение – программное обеспечение, создаваемое с целью причинения вреда информационным системам и информационным ресурсам;

      7) автоматизированные информационные системы – организационная упорядоченная совокупность документов, систем технических средств и способов обработки информации;

      8) специализированная организация – организация, предоставляющая телекоммуникационные услуги и услуги хранения и обработки данных;

      9) модуль – составляющая автоматизированной информационной системы, предназначенная для выполнения определенных функций;

      10) политика безопасности – нормы и практические приемы, регулирующие управление, защиту и распределение информации ограниченного распространения, которые определяют общие направления работы в области информационной безопасности и требования к защите автоматизированной информационной системы;

      11) идентификатор – уникальные персональный код или имя, присвоенные субъекту и (или) объекту системы и предназначенные для регламентированного доступа в систему и (или) к ресурсам системы;

      12) идентификация – присвоение или определение соответствия предъявленного для получения доступа в систему и (или) к ресурсу системы идентификатора перечню идентификаторов, имеющихся в системе;

      13) аутентификация – подтверждение подлинности субъекта или объекта доступа путем определения соответствия предъявленных реквизитов доступа имеющимся в системе;

      14) раскрытие информации (данных, программного обеспечения, информационных сообщений) – действие, происходящее в результате получения несанкционированного доступа к информации и возможного раскрытия полученных сведений;

      15) серверное помещение – помещение, предназначенное для размещения серверного, активного и пассивного сетевого оборудования (телекоммуникационного) и оборудования структурированных кабельных систем.

2. Требования к автоматизированным информационным
системам для учета пенсионных активов и накоплений

      3. Автоматизированные информационные системы единого накопительного пенсионного фонда и добровольного накопительного пенсионного фонда для учета пенсионных активов и накоплений обеспечивают:

      1) надежное хранение информации, защиту от несанкционированного доступа, целостность программного обеспечения и полную сохранность информации в электронных архивах и базах данных при:

      полном или частичном отключении электропитания в любое время;

      аварии сетей, телекоммуникаций, разрыве установленных физических и виртуальных соединений на любом этапе выполнения операции;

      полном или частичном отказе любых вычислительных средств программного обеспечения в процессе выполнения любой функции программного обеспечения;

      попытке несанкционированного доступа к информации, хранящейся в автоматизированных информационных системах;

      2) многоуровневый доступ к данным, функциям, операциям, отчетам, реализованным в автоматизированных информационных системах, с обеспечением, как минимум, двух уровней доступа: администратор и пользователь;

      3) контроль полноты вводимых данных (в случае выполнения функций или операций без полного заполнения всех полей автоматизированная информационная система обеспечивает выдачу соответствующего уведомления);

      4) поиск информации по индивидуальному запросу и по любым критериям с сохранением запроса, а также сортировку информации по любым параметрам и возможность просмотра информации за предыдущие даты;

      5) обработку и хранение информации по датам без сокращений;

      6) возможность архивации (восстановление данных из архива);

      7) возможность вывода, входных и выходных документов на экран, принтер или в файл.

      4. Автоматизированные информационные системы единого накопительного пенсионного фонда включают следующие функциональные модули:

      1) модуль "Персонифицированный учет пенсионных накоплений и условных пенсионных обязательств";

      2) модуль "Отчетность";

      3) модуль "Взаимодействие с внешними пользователями";

      4) модуль "Внутренний аудит".

      Сноска. Пункт 4 с изменением, внесенным постановлением Правления Национального Банка РК от 28.11.2015 № 209 (вводится в действие с 01.01.2023).

      4-1. Автоматизированные информационные системы добровольного накопительного пенсионного фонда включают следующие функциональные модули:

      1) модуль "Персонифицированный учет пенсионных накоплений";

      2) модуль "Отчетность";

      3) модуль "Взаимодействие с внешними пользователями";

      4) модуль "Внутренний аудит".

      Сноска. Требования дополнены пунктом 4-1 в соответствии с постановлением Правления Национального Банка РК от 28.11.2015 № 209 (вводится в действие с 01.01.2023).

      5. Модуль "Персонифицированный учет пенсионных накоплений и условных пенсионных обязательств" единого накопительного пенсионного фонда предназначен для ведения персонального учета:

      1) договоров о пенсионном обеспечении за счет обязательных пенсионных взносов, обязательных профессиональных пенсионных взносов, добровольных пенсионных взносов;

      2) пенсионных взносов, накоплений, пени, поступающих на индивидуальные пенсионные счета вкладчиков (получателей) обязательных пенсионных взносов, обязательных профессиональных пенсионных взносов, добровольных пенсионных взносов, обязательных пенсионных взносов работодателя;

      3) инвестиционного дохода на индивидуальных пенсионных счетах вкладчиков (получателей) обязательных пенсионных взносов, обязательных профессиональных пенсионных взносов, добровольных пенсионных взносов;

      4) пенсионных выплат за счет обязательных пенсионных взносов, обязательных профессиональных пенсионных взносов, добровольных пенсионных взносов, обязательных пенсионных взносов работодателя;

      5) переводов пенсионных накоплений за счет добровольных пенсионных взносов в единый накопительный пенсионный фонд, другой добровольный накопительный пенсионный фонд или страховую организацию;

      6) переводов пенсионных накоплений за счет обязательных пенсионных взносов, обязательных профессиональных пенсионных взносов в страховую организацию.

      Сноска. Пункт 5 - в редакции постановления Правления Национального Банка РК от 28.11.2015 № 209 (вводится в действие с 01.01.2023).

      5-1. Модуль "Персонифицированный учет пенсионных накоплений" добровольного накопительного пенсионного фонда предназначен для ведения персонального учета:

      1) договоров о пенсионном обеспечении за счет добровольных пенсионных взносов;

      2) пенсионных взносов, накоплений, пени, поступающих на индивидуальные пенсионные счета вкладчиков (получателей) добровольных пенсионных взносов;

      3) инвестиционного дохода на индивидуальных пенсионных счетах вкладчиков (получателей) добровольных пенсионных взносов;

      4) пенсионных выплат за счет добровольных пенсионных взносов;

      5) переводов пенсионных накоплений за счет добровольных пенсионных взносов в единый накопительный пенсионный фонд, другой добровольный накопительный пенсионный фонд или страховую организацию.

      Сноска. Требования дополнены пунктом 5-1 в соответствии с постановлением Правления Национального Банка РК от 28.11.2015 № 209 (вводится в действие с 01.01.2023).

      6. Модуль "Персонифицированный учет пенсионных накоплений и условных пенсионных обязательств" единого накопительного пенсионного фонда обеспечивает:

      1) ведение аналитического и синтетического бухгалтерского учета операций с:

      индивидуальными пенсионными счетами вкладчиков (получателей) обязательных пенсионных взносов, обязательных профессиональных пенсионных взносов, добровольных пенсионных взносов;

      условными пенсионными счетами физических лиц, за которых перечисляются обязательные пенсионные взносы работодателя;

      2) объединение индивидуальных пенсионных счетов за счет обязательных пенсионных взносов вкладчиков (получателей) в едином накопительном пенсионном фонде с сохранением истории по произведенным единым накопительным пенсионным фондом объединением индивидуальных пенсионных счетов вкладчиков (получателей) за счет обязательных пенсионных взносов;

      3) формирование платежных документов;

      4) осуществление проверки правильности формирования платежных документов;

      5) идентификацию вкладчиков (получателей) по уникальным реквизитам (по номеру договора, индивидуальному идентификационному номеру, фамилии, имени, при наличии - отчеству и другим параметрам);

      6) взаимодействие с автоматизированной информационной системой Государственной корпорации "Правительство для граждан" (далее – Государственная корпорация) по:

      обмену информацией об открытых и закрытых индивидуальных пенсионных счетах по учету обязательных пенсионных взносов, обязательных профессиональных пенсионных взносов;

      обмену информацией по физическим лицам, на имя которых открыты условные пенсионные счета по учету обязательных пенсионных взносов работодателя;

      движению на индивидуальных пенсионных счетах, условных пенсионных счетах на основании договора, заключенного между Государственной корпорацией и единым накопительным пенсионным фондом;

      обмену платежными документами;

      внесению изменений в реквизиты вкладчика (получателя) обязательных пенсионных взносов, обязательных профессиональных пенсионных взносов, физического лица, на имя которого открыт условный пенсионный счет в едином накопительном пенсионном фонде, на основании информации, поступившей от Государственной корпорации.

      Сноска. Пункт 6 с изменениями, внесенными постановлениями Правления Национального Банка РК от 28.11.2015 № 209 (вводится в действие с 01.01.2023); от 28.06.2019 № 103 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      6-1. Модуль "Персонифицированный учет пенсионных накоплений" добровольного накопительного пенсионного фонда обеспечивает:

      1) ведение аналитического и синтетического бухгалтерского учета операций с индивидуальными пенсионными счетами вкладчиков (получателей) добровольных пенсионных взносов;

      2) формирование платежных документов;

      3) осуществление проверки правильности формирования платежных документов;

      4) идентификацию вкладчиков (получателей) по уникальным реквизитам (по номеру договора, индивидуальному идентификационному номеру, фамилии, имени, отчеству при его наличии и другим параметрам).

      Сноска. Требования дополнены пунктом 6-1 в соответствии с постановлением Правления Национального Банка РК от 28.11.2015 № 209 (вводится в действие с 01.01.2023).

      7. При осуществлении пенсионных выплат за счет обязательных пенсионных взносов, обязательных профессиональных пенсионных взносов, добровольных пенсионных взносов, обязательных пенсионных взносов работодателя обеспечивается выполнение следующих функций:

      1) расчет сумм пенсионных выплат за счет обязательных пенсионных взносов, обязательных профессиональных пенсионных взносов, добровольных пенсионных взносов, обязательных пенсионных взносов работодателя по каждому получателю пенсионных выплат за счет обязательных пенсионных взносов, обязательных профессиональных пенсионных взносов, добровольных пенсионных взносов, обязательных пенсионных взносов работодателя;

      2) удержание подоходного налога с причитающейся суммы пенсионных выплат за счет обязательных пенсионных взносов, обязательных профессиональных пенсионных взносов, добровольных пенсионных взносов в соответствии с Законом;

      3) прогнозирование пенсионных выплат за счет обязательных пенсионных взносов, обязательных профессиональных пенсионных взносов, добровольных пенсионных взносов, обязательных пенсионных взносов работодателя на заданную дату и (или) на заданный промежуток времени.

      Сноска. Пункт 7 - в редакции постановления Правления Национального Банка РК от 28.11.2015 № 209 (вводится в действие с 01.01.2023).

      8. Модуль "Отчетность" предназначен для формирования отчетности в виде электронных форм, электронных файлов и для обеспечения выполнения следующих функций:

      1) формирование отчетов в соответствии с установленными требованиями Национального Банка Республики Казахстан;

      2) межформенный и внутриформенный контроль в отчетности.

      9. Модуль "Взаимодействие с внешними пользователями" предназначен для обеспечения электронного информационного обмена с:

      1) филиалами и представительствами;

      2) банком–кастодианом;

      3) управляющим инвестиционным портфелем (при наличии);

      4) актуариями;

      5) государственными органами путем интеграции посредством шлюза электронного правительства.

      10. Модуль "Внутренний аудит" предназначен для регистрации и идентификации происходящих системных событий в модулях, указанных в подпунктах 1), 2) и 3) пункта 4 Требований, с сохранением следующих атрибутов:

      1) аутентификации пользователя автоматизированной информационной системы с указанием даты и времени входа и выхода пользователя автоматизированной информационной системы;

      2) идентификации бизнес–процесса, результата выполнения бизнес–процесса.

      11. Модуль "Внутренний аудит" обеспечивает:

      1) просмотр и сохранение в файл электронного журнала аудита системных событий;

      2) перенос записей аудита автоматизированной информационной системы в архив с возможностью восстановления архивных записей.

      Для администратора в модуле "Внутренний аудит" реализуется возможность отслеживания событий, происходящих в модулях, указанных в подпунктах 1), 2) и 3) пункта 4 Требований, по каждому пользователю и (или) по автоматизированной информационной системе в целом.

      12. Допускается реализация в автоматизированных информационных системах дополнительных функций и задач (модулей), улучшающих функциональные характеристики системы в целом.

      13. Процесс разработки, внедрения и сопровождения автоматизированной информационной системы единого накопительного пенсионного фонда и добровольного накопительного пенсионного фонда обеспечивает выполнение этапов разработки, порядка внесения изменений, приема, тестирования, ввода в эксплуатацию и сопровождение программного обеспечения системы, требований к документированию всех этапов работ.

      В целях исключения несанкционированного изменения программного обеспечения и (или) информации в автоматизированной информационной системе внесение изменений в существующие модули, разработка новых модулей, внедрение и ввод в эксплуатацию системы осуществляются согласно плану мероприятий по реализации корпоративной стратегии развития единого накопительного пенсионного фонда и добровольного накопительного пенсионного фонда, утвержденной решением совета директоров единого накопительного пенсионного фонда и совета директоров добровольного накопительного пенсионного фонда.

      Сноска. Пункт 13 с изменением, внесенным постановлением Правления Национального Банка РК от 28.11.2015 № 209 (вводится в действие с 01.01.2016).

3. Требования к организации информационного процесса единого
накопительного пенсионного фонда и добровольного накопительного
пенсионного фонда

      14. Для создания информационно-коммуникационных технологий инфраструктуры и обеспечения информационной безопасности единого накопительного пенсионного фонда и добровольного накопительного пенсионного фонда обеспечивается выполнение соответствующих требований к:

      1) серверному помещению;

      2) техническим средствам;

      3) средствам связи;

      4) рабочим местам пользователей;

      5) программным средствам.

      15. Серверное помещение единого накопительного пенсионного фонда и добровольного накопительного пенсионного фонда соответствует следующим требованиям:

      1) при расположении помещения на первых и последних этажах зданий окна помещения оборудуются металлическими решетками или аналогичными средствами защиты, предназначенными для предотвращения физического проникновения в помещение;

      2) наличие специально выделенного помещения ограниченного доступа;

      3) наличие системы контроля доступа (индивидуальный электронный пропуск) для осуществления мониторинга событий доступа в помещение в режиме реального времени и записи событий доступа в помещение в электронном журнале с возможностью получения отчета о событиях доступа в помещение. Записи событий в электронном журнале хранятся не менее 6 (шести) месяцев;

      4) наличие системы видеоконтроля (в режиме реального времени с возможностью записи видеосигналов);

      5) наличие системы охранной сигнализации;

      6) наличие системы автоматического поддержания заданной температуры и влажности, достаточной для охлаждения всего оборудования до температуры, указанной производителем, в любое время года в период максимальной загрузки;

      7) наличие пожарной сигнализации и оборудования автоматического газопожаротушения;

      8) наличие системы гарантированного питания – щита автоматического включения резерва, дизельного генерирующего устройства, работающих от сигнала с двух источников бесперебойного питания и непрерывно поддерживающих электричество в сети чистого питания.

      При аренде помещения центра обработки данных специализированных организаций, а также необходимых технических средств необходимо соответствие требованиям, предъявляемым к собственным серверным помещениям и техническим средствам единого накопительного пенсионного фонда или добровольного накопительного пенсионного фонда.

      16. Технические средства единого накопительного пенсионного фонда и добровольного накопительного пенсионного фонда соответствуют следующим требованиям:

      1) наличие собственного аппаратного обеспечения (компьютерное оборудование, серверы, аппаратные средства защиты, комплектующие и другое оборудование), наличие документов, подтверждающих принадлежность аппаратного обеспечения единому накопительному пенсионному фонду или добровольному накопительному пенсионному фонду или аренду аппаратного обеспечения у специализированной организации;

      2) наличие сертификата соответствия, выдаваемого производителем или поставщиком на используемое оборудование.

      17. Средства связи единого накопительного пенсионного фонда и добровольного накопительного пенсионного фонда по обмену данными с филиалами и представительствами, банком–кастодианом, управляющим инвестиционным портфелем (при наличии), государственными органами соответствуют следующим требованиям:

      1) наличие основного канала, обеспечивающего полноценный объем передаваемой и получаемой информации;

      2) наличие резервного канала, обеспечивающего полноценный объем передаваемой и получаемой информации;

      3) наличие физически разделенных каналов от разных провайдеров.

      18. Рабочие места пользователей автоматизированной информационной системы фонда соответствуют следующим требованиям:

      1) средства технической защиты помещения организации исключают возможность неконтролируемого проникновения в это помещение лиц, не допущенных к рабочему месту. Допуск в помещение и к рабочему месту осуществляется в соответствии с регламентом и должностными обязанностями сотрудников организации;

      2) все аппаратные средства имеют гарантийный срок (гарантийный талон) и (или) находятся на техническом сопровождении специализированной организации и (или) имеется возможность оперативной замены аппаратных средств в случае выхода их из строя;

      3) порядок доступа к рабочему месту пользователя посредством сети и иных технических каналов передачи данных исключает возможность несанкционированного доступа;

      4) порядок доступа к ресурсам (сетевое (серверное) оборудование, дисковое пространство, директории, сетевые ресурсы, базы данных), выделенным для накопления в них информации для передачи в рамках обмена информации, хранения, архивирования либо другой обработки информации, исключает возможность доступа к этим ресурсам лиц, не допущенных к работе с ними;

      5) рабочее место пользователя размещается в локальной сети (LAN);

      6) доступ к портам считывания (записи или копирования) информации компьютера пользователя отключен, в том числе и в настройках базовой системы ввода-вывода;

      7) системный блок персонального компьютера пользователя опечатывается или опломбировывается администратором безопасности;

      8) права по установлению и изменению настроек средств защиты от несанкционированного доступа рабочего места пользователя предоставляются только пользователям, выполняющим функции администратора;

      9) одно системное имя пользователя, по которому идентифицируется пользователь, соответствует одному физическому лицу;

      10) порядок хранения и использования технических средств, паролей или другой информации, обеспечивающих доступ к рабочему месту пользователя, исключает возможность их несанкционированного использования;

      11) доступ к сетевым ресурсам для рабочего места пользователя ограничивается в пределах защищенной подсети автоматизированной информационной системы;

      12) при наличии у пользователя резервного рабочего места условия и требования, установленные Требованиями, также распространяются и на такое рабочее место.

      Сноска. Пункт 18 с изменением, внесенным постановлением Правления Национального Банка РК от 22.12.2017 № 254 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      19. Программные средства, используемые на рабочих местах пользователей, соответствуют следующим требованиям:

      1) используется только лицензионное программное обеспечение;

      2) на рабочем месте пользователя не допускается установка программных средств, которые не требуются для исполнения его должностных обязанностей;

      3) наличие на рабочем месте пользователя программных средств, позволяющих обеспечить идентификацию и аутентификацию пользователей;

      4) на рабочем месте пользователя в обязательном порядке устанавливается лицензионное антивирусное программное обеспечение с регулярно обновляемой антивирусной базой;

      5) возможность ведения электронных журналов в течение срока хранения электронных документов, с целью контроля событий, связанных с доступом к компьютеру и действиями пользователей;

      6) программное обеспечение устанавливается на персональном компьютере, имеющем паспорт - описание рабочего места с подробными данными о его конфигурации, а также установленные на данном рабочем месте аппаратные и программные средства;

      7) паспорт оформляется согласно внутренних документов единого накопительного пенсионного фонда и добровольного накопительного пенсионного фонда и хранится у администратора безопасности.

4. Требования к обеспечению информационной безопасности
автоматизированной информационной системы единого
накопительного пенсионного фонда и добровольного
накопительного пенсионного фонда

      20. Основной целью системы информационной безопасности является обеспечение устойчивого функционирования единого накопительного пенсионного фонда и добровольного накопительного пенсионного фонда и предотвращение реализации угроз безопасности, защита интересов единого накопительного пенсионного фонда и добровольного накопительного пенсионного фонда от противоправных действий любых физических и юридических лиц, недопущение хищения его имущества, разглашения, утраты, утечки, искажения и уничтожения информации.

      21. Ключевым документом по обеспечению информационной безопасности автоматизированной информационной системы для учета пенсионных активов и накоплений является политика информационной безопасности, которая включает комплекс предупредительных мер по обеспечению информационной безопасности, правила, процедуры и принципы в области безопасности, которыми руководствуется единый накопительный пенсионный фонд и добровольный накопительный пенсионный фонд в своей деятельности, и охватывает автоматизированные, телекоммуникационные системы, автоматизированные рабочие места.

      22. Политика информационной безопасности определяет:

      1) общие направления работы в области информационной безопасности;

      2) цель защиты информационной системы;

      3) общие требования к защите информационной системы в целом и отдельным ее частям;

      4) основные принципы и способы достижения необходимого уровня безопасности;

      5) перечень должностных лиц, ответственных за разработку необходимых требований, определяющих политику информационной безопасности;

      6) перечень подразделений, ответственных за создание и поддержание работоспособности защиты информационных систем;

      7) закрепление администратора безопасности, ответственного за разработку и контроль необходимых требований, определяющих политику безопасности;

      8) меры, предотвращающие нарушения режима безопасности информационных систем в случае возникновения обстоятельств непреодолимой силы, к которым относятся стихийные бедствия, аварии, пожары, отключение электроэнергии, повреждение линий связи, массовые беспорядки, забастовки, военные действия.

      23. Политика информационной безопасности строится на основе анализа рисков, которые признаются реальными для информационной системы, и содержит:

      1) описание состава информационной системы;

      2) список пользователей автоматизированной информационной системы единого накопительного пенсионного фонда и добровольного накопительного пенсионного фонда, их права и приоритеты (в зависимости от их служебного положения и характера выполняемых функций) на доступ к информации, программным и техническим средствам;

      3) план мероприятий по защите информации, который включает организационные и программно–технические меры.

      24. Для построения надежной и эффективной системы защиты информационной системы используются следующие принципы и подходы:

      1) подготовка персонала обеспечивает обязательное периодическое обучение всех работников, участвующих в управлении, использовании или функционировании системы защиты информации;

      2) привлечение для разработки и установки средств и систем защиты информационных систем на договорной основе организаций, предоставляющих данные услуги.

      25. Организационные меры обеспечивают соблюдение нормативных правовых актов Республики Казахстан и внутренних требований единого накопительного пенсионного фонда и добровольного накопительного пенсионного фонда, отслеживание состояния безопасности внутри единого накопительного пенсионного фонда и добровольного накопительного пенсионного фонда, реагирование на случаи нарушений, развитие защитных мер с учетом изменений в едином накопительном пенсионном фонде и добровольном накопительном пенсионном фонде.

      26. К организационным мерам обеспечения безопасности относятся следующие мероприятия:

      1) физическая защита информационных систем;

      2) поддержание работоспособности информационных систем, имеющих отношение к информационной безопасности;

      3) установление каждому пользователю соответствующего права доступа, необходимого для выполнения им возложенных должностных обязанностей и обеспечения взаимозаменяемости;

      4) реагирование ответственных лиц на нарушения режима информационной безопасности;

      5) планирование восстановительных работ.

      27. Физическая защита подразделяется на:

      1) физическое управление доступом;

      2) меры противопожарной безопасности;

      3) защита поддерживающей инфраструктуры;

      4) защита от перехвата данных, защита мобильных систем.

      28. Мероприятия по поддержанию работоспособности информационных систем:

      1) поддержка пользователей – организация консультаций по вопросам информационной безопасности, выявление их типичных ошибок и обеспечение памятками с рекомендациями для распространенных ситуаций;

      2) поддержка программного обеспечения – контроль лицензионной (сертифицированной) чистоты программного обеспечения;

      3) конфигурационное управление – контроль и фиксирование изменений, вносимых в программную и техническую конфигурацию;

      4) резервное копирование для восстановления информационной системы и данных в случае аварии и других обстоятельств непреодолимой силы;

      5) управление носителями данных – правила учета, обращения и хранения;

      6) документирование – актуальное отражение текущего состояния дел.

      29. В случае нарушения режима безопасности информационных систем администратор безопасности осуществляет:

      1) выполнение оперативных мероприятий с целью уменьшения наносимого вреда – выявление лица, совершившего несанкционированный доступ и его блокирование;

      2) обзор накопленной статистики нарушений – анализ инцидентов, выявление повторных нарушений, разработку мер по усовершенствованию системы защиты.

      30. Программно–технические меры по обеспечению информационной безопасности включают в себя системы:

      1) управления доступом;

      2) протоколирования и проверки технического состояния.

      31. Система управления доступом обеспечивает выполнение следующих мероприятий:

      1) определение перечня групп данных, задач и установления им уровня секретности;

      2) установление способов и процедур защиты каждой группы данных;

      3) определение групп пользователей информационных систем, разбивка их на категории по выполняемым функциям и установление им уровней доступа к информации.

      32. К числу событий, затрагивающих безопасность информационной системы и требующих проверки, относятся:

      1) вход в систему (успешный или неуспешный);

      2) выход из системы;

      3) обращение к удаленной системе.

      33. Политика работы в локальной сети включает в себя:

      1) общие положения;

      2) права пользователей (в зависимости от их служебного положения и характера выполняемых функций) на доступ к информации, к программным и техническим средствам;

      3) обязанности пользователя при работе в локальной сети;

      4) обязанности персонала;

      5) список программного обеспечения, устанавливаемого на компьютеры и используемого в локальной сети.

      34. Политика резервного копирования включает в себя:

      1) общие положения;

      2) порядок резервного копирования;

      3) контроль результатов резервного копирования;

      4) восстановление информации с резервных копий;

      5) хранение резервных копий;

      6) наличие резервного сервера информационной системы, расположенного в не сейсмоопасной зоне, с обеспечением ежедневного резервного копирования информации.

      35. Ответственность за соблюдение информационной безопасности в соответствии с должностными обязанностями несут:

      1) первый руководитель единого накопительного пенсионного фонда и добровольного накопительного пенсионного фонда;

      2) администратор автоматизированной информационной системы;

      3) администратор безопасности;

      4) лицо, определенное приказом первого руководителя единого накопительного пенсионного фонда и добровольного накопительного пенсионного фонда.

      36. Администратор безопасности:

      1) осуществляет анализ рисков, выявление объектов, требующих защиты, и уязвимых мест информационных систем, оценивая размер возможного ущерба от нарушения режима безопасности и выбирая эффективные средства защиты;

      2) обеспечивает проведение обучения персонала мерам безопасности и правилам поведения в чрезвычайных (экстренных) ситуациях путем обращения особого внимания на вопросы, связанные с антивирусным контролем и правильным вхождением в систему (с указанием при регистрации только своего идентификатора);

      3) обеспечивает обязательность процедуры идентификации и аутентификации для доступа к ресурсам информационных систем;

      4) не допускает получения права доступа к информационным ресурсам неавторизованными пользователями, предоставляет пользователям входные имена и начальные пароли только после заполнения регистрационных форм;

      5) контролирует регулярность выполнения резервного копирования информации, обрабатываемой информационной системой;

      6) проводит плановую и внеплановую проверку надежности защиты ресурсов системы;

      7) информирует специально назначенных ответственных исполнителей об эффективности существующей политики безопасности и вносит на их рассмотрение предложения об улучшении системы защиты;

      8) обеспечивает защиту оборудования корпоративной сети, в том числе специальных межсетевых программных средств;

      9) оперативно и эффективно реагирует на события, содержащие угрозу, принимает меры по отражению угрозы и выявлению нарушителей, фиксирует и информирует специально назначенных ответственных исполнителей о попытках нарушения защиты;

      10) использует проверенные программно-технические средства отслеживания процесса функционирования информационной системы с целью обнаружения подозрительных ситуаций, наличия зловредного программного обеспечения и его влияния на работу информационной системы и ее компонентов;

      11) ежедневно анализирует регистрационную информацию, относящуюся к информационной системе в целом и к файловым серверам в особенности;

      12) проводит обзор новинок в области информационной безопасности, информирует о них пользователей и специально назначенных ответственных исполнителей.

      37. Пользователи системы:

      1) соблюдают и применяют внутренние требования, обеспечивающие безопасность информационных систем;

      2) используют доступные зарегистрированные защитные механизмы для обеспечения конфиденциальности и целостности своей информации;

      3) выбирают личные пароли длиной не менее восьми буквенно-цифровых символов;

      4) обеспечивают недоступность личных паролей другим лицам;

      5) информируют администраторов безопасности информационных систем и (или) специально назначенных ответственных исполнителей о нарушениях безопасности и иных подозрительных ситуациях;

      6) в случае обнаружения слабых мест в защите ресурсов информационных систем незамедлительно сообщают об этом администраторам безопасности информационных систем и (или) специально назначенным ответственным исполнителям;

      7) обеспечивают представление корректной идентификационной и аутентификационной информации;

      8) выполняют процедуры для предупреждения проникновения опасного кода, его обнаружения и уничтожения;

      9) выполняют нормы поведения в экстренных ситуациях, последовательность действий при ликвидации последствий аварий и иных обстоятельств непреодолимой силы.

      38. Для обеспечения информационной безопасности автоматизированной информационной системы фонда выполняются следующие требования:

      1) защита каналов передачи данных с шифрованием трафика с помощью аппаратных и программных средств;

      2) использование программно-технических средств отслеживания процесса функционирования автоматизированной информационной системы с целью обнаружения подозрительных ситуаций, наличия зловредного программного обеспечения и его влияния на работу автоматизированной информационной системы и ее компонентов;

      3) использование системы обнаружения (предотвращения) атак из сети интернет в компьютерную сеть единого накопительного пенсионного фонда или добровольного накопительного пенсионного фонда;

      4) наличие минимум одного программно-аппаратного межсетевого экрана;

      5) анализ и оценка уязвимостей на постоянной основе;

      6) доступ к входным данным, функциям, операциям, отчетам обеспечивается посредством ввода соответствующего пароля, который меняется не реже одного раза в тридцать календарных дней;

      7) в случае неправильного ввода пароля более трех раз подряд, учетная запись пользователя автоматизированной информационной системы блокируется. Последующая разблокировка производится администратором на основании заявки пользователя автоматизированной информационной системы;

      8) при смене пароля автоматизированная информационная система отслеживает использование предыдущих паролей (не менее трех предыдущих паролей);

      9) автоматизированная информационная система единого накопительного пенсионного фонда или добровольного накопительного пенсионного фонда обеспечивает сохранение сведений относительно времени совершения операции или внесения изменений в автоматизированную информационную систему и идентификацию пользователя, осуществившего данную операцию или запись;

      10) автоматическое завершение операций пользователя или администратора, прерванных в результате отключения электропитания, аварии сетей, телекоммуникаций, разрыва соединений, попытки несанкционированного доступа.

      39. Защита информации обеспечивается следующими функциями уровня доступа "администратор":

      1) определение групп пользователей, разделение их на категории по выполняемым функциям и установление им уровней доступа к информации, смена паролей;

      2) блокирование доступа пользователей к данным и функциям автоматизированных информационных систем;

      3) настройка параметров функционирования автоматизированных информационных систем;

      4) просмотр подключенных к автоматизированным информационным системам пользователей;

      5) исключен постановлением Правления Национального Банка РК от 28.06.2019 № 103 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования);

      6) отключение пользователей от автоматизированных информационных систем в случае необходимости.

      Сноска. Пункт 39 с изменением, внесенным постановлением Правления Национального Банка РК от 28.06.2019 № 103 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).