ИПС "Әділет"

Қазақстан Республикасының кейбір нормативтік құқықтық актілеріне бағалы қағаздар нарығындағы ақпараттық қауіпсіздікті реттеу мәселелері бойынша өзгерістер енгізу туралы

Қазақстан Республикасы Қаржы нарығын реттеу және дамыту агенттігі Басқармасының 2021 жылғы 15 қарашадағы № 102 қаулысы. Қазақстан Республикасының Әділет министрлігінде 2021 жылғы 25 қарашада № 25385 болып тіркелді

"Бағалы қағаздар рыногы туралы" Қазақстан Республикасы Заңының 48-бабы 1-тармағының 2) тармақшасына және 49-1-бабына сәйкес Қазақстан Республикасы Қаржы нарығын реттеу және дамыту агенттігінің Басқармасы ҚАУЛЫ ЕТЕДІ:

1. "Бағалы қағаздар нарығында қызметті жүзеге асыруға қажетті бағдарламалық-техникалық құралдар мен өзге жабдықтарға қойылатын талаптарды бекіту туралы" Қазақстан Республикасы Ұлттық Банкі Басқармасының 2012 жылғы 28 сәуірдегі № 165 қаулысына (Қазақстан Республикасының нормативтік құқықтық актілерін мемлекеттік тіркеу тізілімінде № 7734 болып тіркелген) мынадай өзгеріс енгізілсін:

көрсетілген қаулымен бекітілген Бағалы қағаздар нарығында қызметті жүзеге асыруға қажетті бағдарламалық-техникалық құралдар мен өзге жабдықтарға қойылатын талаптар осы қаулыға қосымшаға сәйкес жаңа редакцияда жазылсын.

2. "Орталық депозитарийге арналған тәуекелдерді басқару және ішкі бақылау жүйесін қалыптастыру қағидаларын бекіту туралы" Қазақстан Республикасы Ұлттық Банкі Басқармасының 2018 жылғы 28 желтоқсандағы № 318 қаулысына (Қазақстан Республикасының нормативтік құқықтық актілерін мемлекеттік тіркеу тізілімінде № 18180 болып тіркелген) мынадай өзгерістер енгізілсін:

көрсетілген қаулымен бекітілген Орталық депозитарийге арналған тәуекелдерді басқару және ішкі бақылау жүйесін қалыптастыру қағидаларында:

5-қосымшада:

1-тармақтың 11) тармақшасы мынадай редакцияда жазылсын:

"11) ақпараттық қауіпсіздікті қамтамасыз ету жөніндегі құжаттама;";

16-тармақ мынадай редакцияда жазылсын:

"16. Ақпараттық қауіпсіздікті қамтамасыз ету жөніндегі құжаттама мыналарды:

1) орталық депозитарийдің ақпараттық қауіпсіздік саясатын;

2) қорғалуға жататын және оның ішінде қызметтік, коммерциялық немесе заңмен қорғалатын өзге де құпияны құрайтын мәліметтерді қамтитын ақпарат тізбесін (бұдан әрі – қорғалатын ақпарат);

3) қорғалатын ақпаратпен жұмыс істеу тәртібін;

4) қорғалатын ақпаратты өңдейтін ақпараттық жүйелердің тізбесін;

5) қорғалатын ақпаратты өңдейтін ақпараттық жүйелерді таңдау, енгізу, әзірлеу және тестілеу кезінде ақпараттық қауіпсіздікті қамтамасыз етуге қойылатын талаптарды;

6) қорғалатын ақпаратты өңдейтін ақпараттық жүйелерге қолжетімділікті басқару тәртібін;

7) қорғалатын ақпаратты өңдейтін ақпараттық жүйелердің резервтік көшірмелерінің резервтік көшірмелерін жасау, сақтау, қалпына келтіру, жұмысқа қабілеттілігін тестілеу тәртібін;

8) орталық депозитарийді вирусқа қарсы қорғау тәртібін;

9) орталық депозитарийде пайдалануға рұқсат етілген бағдарламалық қамтылымның тізбесін;

10) ақпараттық қауіпсіздікті қамтамасыз етудің қабылданған шараларының бұзылғаны туралы не ақпараттық қауіпсіздікке қатысы болуы мүмкін бұрын белгісіз болған жағдай туралы куәландыратын ақпараттық қауіпсіздік жүйесін қоса алғанда, ақпараттық-коммуникациялық инфрақұрылымның немесе оның жекелеген объектілерінің жұмысында жеке немесе сериялы түрде туындайтын оқиғаларды (бұдан әрі – ақпараттық қауіпсіздік оқиғалары) мониторингтеудің кезеңділігі мен қағидаларын;

11) мониторингтелуге тиіс ақпараттық қауіпсіздік оқиғаларының тізбесін;

12) ақпараттық қауіпсіздік оқиғалары көздерінің тізбесін;

13) ақпараттық-коммуникациялық инфрақұрылымның немесе оның жекелеген объектілерінің жұмысында жекелеген немесе сериялы түрде туындайтын, олардың тиісінше жұмыс істеуіне қатер төндіретін және (немесе) қорғалатын ақпаратты заңсыз алу, көшірмесін түсіру, тарату, түрлендіру, жою немесе бұғаттау үшін жағдайлар жасайтын іркілістерді (бұдан әрі – ақпараттық қауіпсіздіктің оқыс оқиғалары) өңдеу тәртібін;

14) ақпараттық қауіпсіздік оқиғаларын ақпараттық қауіпсіздіктің оқыс оқиғаларына жатқызу тәртібін;

15) орталық депозитарийдің қызметкерлері болып табылмайтын адамдардың қорғалатын ақпаратты өңдейтін ақпараттық жүйелерге қол жеткізу тәртібін;

16) Интернетті және электрондық поштаны пайдалану тәртібін;

17) ақпараттық жүйелердің жаңартуларын басқару тәртібін айқындайды.";

18-тармақтың 4) тармақшасы мынадай редакцияда жазылсын:

"4) ақпараттық жүйелерді пайдаланумен байланысты тәуекелдер:

компьютерлік вирустарды жұқтыру;

лицензиясыз бағдарламаларды пайдалану;

ақпараттық жүйелерге авторизациясыз кіру;

серверлік жабдыққа техникалық қызмет көрсету кезіндегі қате;

электрмен қуаттау жүйесіндегі іркіліс;

серверлерді баптау жүйелеріндегі іркіліс;

серверлік жабдықтың техникалық іркілісі;

желілік жабдықтың техникалық іркілісі;

деректер тасымалдағыштарын (қатты дискілерді және өзге де тасымалдағыштарды) ұрлау, қасақана бүлдіру;

деректер тасымалдағыштарға (қатты дискілерге және өзге де тасымалдағыштарға) авторизациясыз кіру;

табиғи сипаттағы төтенше жағдай;

серверлік бөлмедегі өрт;

серверлік бөлмені су басу;

ақпараттық жүйедегі бағдарламалық іркіліс;

бағдарламалық қамтылымды әзірлеу бойынша тапсырыс берушінің формалды талабының болмауы;

бағдарламалық қамтылымды кодтаушылар үшін техникалық тапсырманы дұрыс құрастырмау;

бағдарламалық қамтылымның кодын жазу кезіндегі қате;

әзірленген бағдарламалық қамтылымды енгізу кезіндегі қате;

бағдарламалық қамтылымды әзірлеу және (немесе) енгізу кезіндегі қате.".

3. Киберқауіпсіздік басқармасы Қазақстан Республикасының заңнамасында белгіленген тәртіппен:

1) Заң департаментімен бірлесіп осы қаулыны Қазақстан Республикасының Әділет министрлігінде мемлекеттік тіркеуді;

2) осы қаулыны ресми жарияланғаннан кейін Қазақстан Республикасы Қаржы нарығын реттеу және дамыту агенттігінің ресми интернет-ресурсына орналастыруды;

3) осы қаулы мемлекеттік тіркелгеннен кейін он жұмыс күні ішінде Заң департаментіне осы тармақтың 2) тармақшасында көзделген іс-шараның орындалуы туралы мәліметтерді ұсынуды қамтамасыз етсін.

4. Осы қаулының орындалуын бақылау Қазақстан Республикасының Қаржы нарығын реттеу және дамыту агенттігі Төрағасының жетекшілік ететін орынбасарына жүктелсін.

5. Осы қаулы алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі.

Қазақстан Республикасының
Қаржы нарығын реттеу және
дамыту Агенттігінің Төрағасы

М. Абылкасымова

	Қазақстан Республикасының Қаржы нарығын реттеу және дамыту Агенттігінің Басқармасының 2021 жылғы 15 қарашадағы № 102 Қаулысына қосымша
	Қазақстан Республикасының Ұлттық Банкі Басқармасының 2012 жылғы 28 сәуірдегі № 165 қаулысымен бекітілген

Бағалы қағаздар нарығында қызметті жүзеге асыруға қажетті бағдарламалық-техникалық құралдар мен өзге жабдықтарға қойылатын талаптар

1-тарау. Жалпы ережелер

1. Осы Бағалы қағаздар нарығында қызметті жүзеге асыруға қажетті бағдарламалық-техникалық құралдар мен өзге жабдықтарға қойылатын талаптар (бұдан әрі – Талаптар) бағалы қағаздар нарығында қызметті жүзеге асыратын ұйымдардың (бұдан әрі – ұйымдар) бағдарламалық-техникалық құралдар мен өзге де жабдықтарда коммерциялық құпияны қамтитын ақпаратты өңдеу кезінде бағдарламалық-техникалық құралдар мен өзге де жабдықтардың ең аз қажетті функционалын (бұдан әрі – ақпараттық жүйе), сондай-ақ ақпараттық қауіпсіздікті қамтамасыз етуге қойылатын талаптар жиынтығын айқындайды.

2. Талаптар:

1) бағалы қағаздар нарығының кәсіби қатысушылары мен Қазақстан Республикасы Ұлттық Банкінің және (немесе) қаржы нарығы мен қаржы ұйымдарын реттеу, бақылау және қадағалау жөніндегі уәкілетті орган (бұдан әрі – уәкілетті орган) арасында жасалған тиісті келісім негізінде Қазақстан Республикасы Ұлттық Банкінің және (немесе) уәкілетті органның ақпараттық ресурстарын пайдалану кезінде туындайтын қатынастарға;

2) "өмірді сақтандыру" саласында қызметті жүзеге асыратын, бағалы қағаздар нарығында инвестициялық портфельді басқару жөніндегі қызметті жүзеге асыруға уәкілетті органның лицензиясы бар сақтандыру (қайта сақтандыру) ұйымдарына қолданылмайды.

3. Талаптарда мынадай ұғымдар пайдаланылады:

1) ақпараттық қауіпсіздікті қамтамасыз ету – ұйым ақпаратының конфиденциалдылығын, тұтастығын және қолжетімділігін қолдауға бағытталған процесс;

2) артықшылықты есептік жазба – ақпараттық жүйедегі басқа есептік жазбалардың кіру құқықтарын құру, жою және өзгерту артықшылықтары бар есептік жазба;

3) аудит журналы – бағдарламалық қамтамасыз етудің жұмыс істеу процесінде штаттық және маңызды іс-қимылдарды көрсету мақсатында әзірленген мамандандырылған құрал;

4) әкімші – ақпараттық жүйені немесе ақпараттық жүйелер тобын конфигурациялау құқығы берілген ұйымның қызметкері немесе бөлімшесі (қызметкерлері немесе бөлімшелері;

5) жұмыс станциясы – ұйымның ақпараттық жүйесін пайдаланушының стационарлық дербес компьютері;

6) қолжетімділік – ақпараттық жүйелерді пайдалану мүмкіндігі;

7) мобильдік құрылғы – жеке пайдаланылатын, операциялық жүйенің мобильді нұсқасы негізінде жұмыс істейтін электрондық құрылғы;

8) ноутбук – тасымалдауға және пайдалануға, оның ішінде қорғау периметрінен тыс, ыңғайлы нысанда орындалған дербес компьютер;

9) резервтік көшірме – бүлінген немесе бұзылған жағдайда бастапқы немесе жаңа орында деректерді қалпына келтіруге арналған ақпарат тасымалдағыштағы деректердің көшірмесі;

10) технологиялық есеп жазбасы – ақпараттық жүйелермен өзара іс-қимыл кезінде аутентификаттауға арналған ақпараттық жүйедегі есепке алу жазбасы.

2-тарау. Ақпараттық жүйелердің функционалына қойылатын талаптар

4. Ақпараттық жүйелер:

1) операцияларды жүргізу және тіркеу үшін қажетті, толтырылуы міндетті жолдардың енгізілетін деректерінің толықтығын бақылауды (функцияларды немесе операцияларды барлық жолдарды толық толтырмай орындаған жағдайда, бағдарлама тиісті хабарламаны беруді қамтамасыз етеді);

2) сұратуды сақтай отырып, осы ақпараттық жүйе үшін айқындалған өлшемшарттар мен өлшемдер бойынша ақпарат іздеуді, сондай-ақ кез келген өлшемдер (осы ақпараттық жүйе үшін айқындалған) бойынша ақпаратты сұрыптауды және егер осындай ақпарат ақпараттық жүйеде сақталуға тиіс болса, өткен күндердегі ақпаратты қарау мүмкіндігін;

3) ақпаратты өңдеуді және оны күні мен уақыты бойынша сақтауды;

4) бағалы қағаздар нарығының кәсіби қатысушылары Қазақстан Республикасының Ұлттық Банкіне ұсынатын есептерді, сондай-ақ жеке шоттан үзінді-көшірмелердің, жүргізілген операциялар туралы есептердің нысандарын автоматтандырылған түрде қалыптастыруды;

5) "Бағалы қағаздар рыногы туралы" Қазақстан Республикасының Заңында (бұдан әрі – Бағалы қағаздар рыногы туралы заң) көзделген бағалы қағаздар нарығының кәсіби қатысушыларының ішкі есепке алу жүйесінің журналдарын жүргізуді және автоматты қалыптастыруды қамтамасыз етеді. Ақпараттық жүйе журналды толық, сондай-ақ ішінара (күндердің аталған диапазонына, белгілі бір күніне, нақты тіркелген тұлғаға, келіп түсетін құжаттың нақты мәртебесіне) қалыптастырады;

6) жіберілетін құжаттарды экранға, принтерге немесе файлға шығару мүмкіндігін;

7) осы ақпаратты енгізуде (қаржы құралдарын сатып алуға және сатуға өтінімдерді қор биржасының сауда жүйесіне енгізуді және орталық депозитарийдің ақпараттық жүйесі арқылы орталық депозитарийі клиенттерінің бұйрықтарды енгізуін қоспағанда) қателерді болдырмау мақсатында түрлі пайдаланушылардың бұйрықтарды екі рет енгізу жүйесін ("бірінші енгізу" және "екінші енгізу") немесе түрлі пайдаланушылардың бұйрықтарды енгізуді растау жүйесін (валидация немесе верификация) қолдануды қамтамасыз етеді.

Ақпаратты енгізу кезінде "екінші енгізуді" пайдаланушылар "бірінші енгізудің" пайдаланушылары енгізген ақпаратқа қол жеткізе алмайды. "Екінші енгізудің" деректері "бірінші енгізудің" деректеріне сәйкес келмеген жағдайда, ақпараттық жүйе тиісті хабарламаны көрсетеді.

Түрлі пайдаланушылардың бұйрықтарды енгізуін растау жүйесін (валидация немесе верификация) пайдалану кезінде бірінші пайдаланушы енгізген ақпаратты екінші пайдаланушы растайды.

Пайдаланылатын тәсіл (екі рет енгізу, валидация немесе верификация) және көрсетілген тәсілдерді қолдана отырып енгізілуге тиіс бұйрықтар тізбесі бағалы қағаздар нарығының кәсіби қатысушысының ішкі құжаттарында айқындалады;

8) электрондық құжаттармен алмасу мүмкіндігін қамтамасыз етеді.

5. Уәкілетті органның тиісті лицензиясы негізінде не Бағалы қағаздар рыногы туралы заңға сәйкес номиналды ұстаушы ретінде клиенттердің шоттарын жүргізу құқығымен брокерлік және (немесе) дилерлік қызметті, бағалы қағаздарды ұстаушылар тізілімдерінің жүйесін жүргізу жөніндегі қызметті, кастодиандық қызметті жүзеге асыратын ұйымдар үшін Талаптардың 4-тармағында көзделген талаптарға қоса ақпараттық жүйе:

1) мынадай операцияларды:

жеке шотты ашуды;

тіркелген тұлға, инвестициялық пай қоры немесе инвестициялық пай қорының басқарушы компаниясы туралы мәліметтердің өзгеруін;

эмиссиялық бағалы қағаздардың шығарылымын жою туралы жазба енгізуді;

тіркелген тұлғалардың шоттарынан (шоттарына) бағалы қағаздарды есептен шығаруды (есепке алуды);

эмитенттің орналастырылған акциялары саны өсуіне байланысты тіркелген тұлғаның жеке шотында акциялардың саны ұлғайғаны (эмитент сатып алған акцияларын есептемегенде) жөніндегі жазбаны енгізуді;

эмитенттің бағалы қағаздарын және өзге ақшалай міндеттемелерін эмитенттің жай акцияларына айырбастау туралы жазбаны енгізуді;

эмитенттің бір түрде орналастырылған акцияларын осы эмитенттің басқа түрдегі акцияларына айырбастау туралы жазбаны енгізуді;

бағалы қағаздардың ауыртпалығы және ауыртпалықты алып тастауды;

бағалы қағаздарды оқшаулау және бағалы қағаздарды оқшаулауды алып тастауды;

сенімгерлік басқарушы туралы жазбаны енгізуді және сенімгерлік басқарушы туралы жазбаны жоюды;

жеке шотты жабуды;

белгілі күнгі және уақыттағы жеке шоттан (қосалқы шоттан) үзінді-көшірмелерді, жүргізілген операциялар туралы есептерді және бағалы қағаздарды ұстаушылардың, орталық депозитарийдің, эмитенттердің және уәкілетті органның сұратулары бойынша есептерді жасауды және беруді;

2) тіркелген тұлғаның тегі, аты, әкесінің аты (ол бар болса) немесе толық атауы өзгерген кезде өзгеретін деректердің сақталуын және бұрынғы деректер бойынша тіркелген тұлғаны іздеуді;

3) барлық кезеңдегі жеке шот бойынша жүргізілген барлық операциялар бойынша ақпараттың сақталуын;

4) эмиссиялық бағалы қағаздармен операцияларды тіркеу процесінде орталық депозитарийдің ақпараттық жүйесімен өзара әрекеттесуін қамтамасыз етеді.

6. Бағалы қағаздар рыногы туралы заңға сәйкес оның клиенттеріне тиесілі қаржы құралдарын біріктірілген есепке алу үшін орталық депозитарийдің есепке алу жүйесінде ашылған депоненттің қосалқы шотына ие номиналды ұстаушы ретінде клиенттердің шоттарын жүргізу құқығымен брокерлік және (немесе) дилерлік қызметті жүзеге асыратын ұйымдар үшін ақпараттық жүйе Талаптардың 4 және 5-тармақтарында көзделген талаптарға қосымша мыналарды:

1) бағдарламалық қамтамасыз етудің жұмыс істеу процесінде аудит жүргізуді;

2) жоғарыда көрсетілген қосалқы шот бойынша орталық депозитарийдің қағидалар жиынтығына сәйкес талап етілетін қаржы құралдарының қалдықтары және қаржы құралдарымен жүргізілген операциялар туралы электрондық деректерді орталық депозитарийге автоматтандырылған түрде беруді қамтамасыз етеді.

7. Номиналды ұстаушы ретінде клиенттердің шоттарын жүргізу құқығымен брокерлік және (немесе) дилерлік қызметті, кастодиандық қызметті жүзеге асыруға лицензиялары бар ұйымдардың ақпараттық жүйесі Талаптардың 4 және 5-тармақтарында көзделген талаптарға қосымша:

1) клиенттердің номиналды ұстауға және (немесе) кастодиандық қамтамасыз етуге берілген активтерін есепке алу мүмкіндігін;

2) клиент активтерін жеке есепке алуды, оны есептеу бойынша барлық операцияларды жүргізуді, жеке шот бойынша операциялардың тарихын талдау мүмкіндігін, оның ішінде операциялық күн ішінде кез келген күні мен уақытындағы жағдай бойынша ақша қалдығы туралы, сондай-ақ әрбір клиенттің және клиенттің ақшасын есепке алу және сақтау жүзеге асырылатын ұйымның бөлігінде ақша қозғалысы туралы мәліметтерді автоматтандырылған қалыптастыруды, мына ақпаратты қоса алғанда бірақ олармен шектелмейді:

ақшамен операция жүргізу күні мен уақыты;

операцияның атауы;

растайтын құжаттың деректемелері мен атауы;

клиенттің тегі, аты, әкесінің аты (ол бар болса) немесе атауы;

қаржы құралдарымен мәмілелер бойынша есеп айырысулар жүзеге асырылатын есеп айырысу-депозитарлық жүйесінің атауы;

брокердің және (немесе) дилердің және оның клиенттерінің ақшасын есепке алу және сақтау жүзеге асырылатын ұйымның атауы;

клиенттің шоты бойынша ақша бойынша әрбір операцияның сомасы;

брокердің және (немесе) дилердің, кастодианның, қор биржасының және өзге ұйымдардың көрсетілгені (жүргізілгені) үшін сыйақы есептелген және (немесе) есептен шығарылған қызмет көрсетуді және (немесе) мәмілені (операцияны) көрсете отырып осы сыйақысының сомасы;

төлемнің мақсаты;

ақшамен операция бойынша контрагенттің атауы және оның шотының деректемелері;

екінші деңгейдегі банктің, Қазақстан Республикасының бейрезидент- банкі филиалының немесе банк операцияларының жекелеген түрлерін жүзеге асыратын, ақшамен операциялар бойынша контрагент тарапынан іс-әрекет жасайтын ұйымның атауы және оның шотының деректемелері;

3) эмиссиялық бағалы қағаздармен мәмілелерді тіркеу процесінде қор биржасының және (немесе) клиринг ұйымның ақпараттық жүйесімен өзара әрекеттесуін қамтамасыз етеді.

8. Номиналды ұстаушы ретінде клиенттердің шоттарын жүргізу құқығымен брокерлік және (немесе) дилерлік қызметті жүзеге асыруға лицензиялары бар ұйымдардың ақпараттық жүйесі Талаптардың 4, 5, 6 және 7-тармақтарында көзделген талаптарға қосымша мыналарды:

Нормативтік құқықтық актілерді мемлекеттік тіркеу тізілімінде № 8796 болып тіркелген Қазақстан Республикасы Ұлттық Банкі Басқармасының 2013 жылғы 27 тамыздағы № 214 қаулысымен бекітілген Бағалы қағаздар нарығында брокерлік және дилерлік қызметті, инвестициялық портфельді басқару жөніндегі қызметті жүзеге асыратын ұйымдар үшін тәуекелдерді басқару және ішкі бақылау жүйесін қалыптастыру қағидаларында белгіленген бір клиентке шаққандағы тәуекелдердің мәндерін автоматтандырылған есептеуді. Осы есептеуді қолдану клиенттің осы брокердің және (немесе) дилердің немесе осы тапсырысты орындау үшін брокер және (немесе) дилер болып табылатын инвестициялық портфельді басқаруды жүзеге асыратын ұйымның банктік және (немесе) жеке шотында ақшасының және (немесе) бағалы қағаздарының жеткілікті саны болмаған кезде клиенттік тапсырыстарды орындаған жағдайда жүзеге асырылады;

Нормативтік құқықтық актілерді мемлекеттік тіркеу тізілімінде № 17005 болып тіркелген, Қазақстан Республикасы Ұлттық Банкі Басқармасының 2018 жылғы 27 сәуірдегі № 80 қаулысымен бекітілген Бағалы қағаздар нарығында брокерлік және (немесе) дилерлік қызметті жүзеге асыратын ұйымдардың сақтауға міндетті пруденциялық нормативтердің мәндерін есептеу қағидаларына сәйкес брокер және (немесе) дилер үшін пруденциялық нормативтердің мәндерін автоматтандырылған есептеуді;

брокерге және (немесе) бірінші санаттағы дилерге тиесілі қаржы құралдарын және ақшаны олардың клиенттерінің қаржы құралдары мен ақшасынан бөлек есепке алуды жүзеге асыруды қамтамасыз етеді.

Инвестициялық портфельді басқаруды жүзеге асыратын ұйымдардың ақпараттық жүйесі Талаптардың 4-тармағында көзделген талаптарға қосымша мыналарды:

Нормативтік құқықтық актілерді мемлекеттік тіркеу тізілімінде № 17008 болып тіркелген, Қазақстан Республикасы Ұлттық Банкі Басқармасының 2018 жылғы 27 сәуірдегі № 79 қаулысымен бекітілген Инвестициялық портфельді басқаруды жүзеге асыратын ұйымдар сақтауға тиісті пруденциялық нормативтердің мәндерін есеп айырысу қағидаларына сәйкес инвестициялық портфельді басқаруды жүзеге асыратын ұйым үшін пруденциялық нормативтердің мәндерін автоматтандырылған есептеуді;

инвестициялық портфельді басқаруды жүзеге асыратын ұйымға тиесілі қаржы құралдарын және ақшаны олардың клиенттерінің қаржы құралдары мен ақшасынан бөлек есепке алуды жүзеге асыруды қамтамасыз етеді.

9. Уәкілетті органның тиісті лицензиясы негізінде не Бағалы қағаздар рыногы туралы заңға сәйкес номиналды ұстаушы ретінде клиенттердің шоттарын жүргізу құқығымен брокерлік және (немесе) дилерлік қызметті, бағалы қағаздарды ұстаушылар тізілімдерінің жүйесін жүргізу жөніндегі қызметті, кастодиандық қызметті жүзеге асыратын ұйымдар алмасатын электрондық құжаттардың үлгі нысандары орталық депозитарийдің ішкі құжатында айқындалады және орталық депозитарийдің қағидалар жинағында айқындалған талаптарға сәйкес келеді.

10. Қор биржасының ақпараттық жүйесі Талаптардың 4-тармағында көзделген талаптарға қосымша мыналарды қамтамасыз етеді:

1) қор биржасының сауда жүйесін әрбір пайдаланған кезде осы қор биржасының сауда жүйесін пайдалану арқылы қор биржасының мүшесі атынан мәміле жасауға және іс-әрекеттерді жасауға уәкілетті жеке тұлғаларды (трейдер) сәйкестендіруді;

2) қор биржасының сауда-саттыққа жіберілген, сауда-сатыққа қатысудан шеттетілген трейдерлері тізілімін жүргізу (шеттету себептерін көрсетумен);

3) қор биржасының ішкі құжаттарына сәйкес құқығы жоқ тұлғалардың қор биржасының сауда жүйесін пайдалана отырып мәмілелер жасау мүмкіндігін шектеуді;

4) Бағалы қағаздар рыногы туралы заңының 56-бабының 5 және 6-тармақтарында белгіленген талаптарға, сондай-ақ Нормативтік құқықтық актілерді мемлекеттік тіркеу тізілімінде № 5406 тіркелген Қазақстан Республикасы Қаржы нарығын және қаржы ұйымдарын реттеу мен қадағалау агенттігі Басқармасының 2008 жылғы 29 қазандағы № 170 қаулысымен бекітілген Бағалы қағаздармен және басқа қаржы құралдармен сауда ұйымдастыру қызметін жүзеге асыру қағидаларының 9-тарауында белгіленген жағдайларға сәйкес келетін бағалы қағаздармен жасалған мәмілелерді анықтау тұрғысынан қор биржасының сауда жүйесінде жасалатын мәмілелер өлшемдеріне мониторинг жүргізуді;

5) уәкілетті органға осы тармағының 4) тармақшасында көзделген функцияларды жүзеге асыруды қамтамасыз ететін қор биржасының бағдарламалық қамтамасыз етуіне қол жеткізуді (түзетулер енгізу мүмкіндігінсіз) ұсынуды;

6) қор биржасының сауда жүйесінде жасалған мәмілелердің Бағалы қағаздар нарығы туралы заңнаманың және қор биржасының қағидаларына сәйкестігіне мониторинг жүргізуді;

7) қор биржасының мүшелері және бағалы қағаздарды қор биржасының тізіміне енгізуді болжап отырған немесе енгізген эмитенттер ұсынатын, оның ішінде олардың қаржылық жағдайына мониторинг жүргізу мақсатында қаржылық есеп беруді және өзге ақпаратты автоматты түрде жинау, өңдеу және сақтауды;

8) эмитенттердің қор биржасының тізіміне енгізілген бағалы қағаздарды, бағалы қағаздар нарығы туралы заңмен және "Акционерлік қоғамдар туралы" Қазақстан Республикасының заңнамасымен және қор биржасының ішкі құжаттарымен белгіленген көлемдегі ақпаратты ашу мониторингін жүргізу мүмкіндігі.

11. Орталық депозитарийдің ақпараттық жүйесі Талаптардың 4-тармағында, 5-тармағының 1), 2) және 3) тармақшаларында және 7-тармағында көзделген талаптарға қосымша мыналарды:

1) тіркелген тұлғаның жеке шоты (қосалқы шоты) бойынша операцияларды жасағанға дейін:

Бағалы қағаздар нарығы туралы заңның, Нормативтік құқықтық актілерді мемлекеттік тіркеу тізілімінде № 17920 болып тіркелген, Қазақстан Республикасы Ұлттық Банкі Басқармасының 2018 жылғы 29 қарашадағы № 307 қаулысымен бекітілген Орталық депозитарийдің қызметін жүзеге асыру қағидаларының (бұдан әрі – № 307 Қағидалар) және орталық депозитарий қағидаларының жиынтығының талаптарын ескере отырып, осындай операцияны жасау мүмкіндігі туралы;

тіркелген тұлғаның жеке шоты (қосалқы шоты) бойынша операция жасауға негіз болатын құжаттар деректемелерінің болуы және орталық депозитарийдің қағидалар жиынтығының талаптарына сәйкес келуі тұрғысынан;

2) тіркелген тұлғаның жеке шоты (қосалқы шоты) бойынша операция жасалатын құжаттарды беретін тұлғалардың, осы іс-әрекеттерді жасауға өкілетін, сондай-ақ жеке шот (қосалқы шот) бойынша операция тіркелетін немесе ақпараттық операция жүргізілетін бұйрықтарға қол қойған тұлғалардың өкілетін растайтын құжаттарды сәйкестендіру;

3) егер осы тармақтың 1) тармақшасына сәйкес жүргізілген тексерудің қорытындылары бойынша:

жасалуы болжанған операциялардың Бағалы қағаздар нарығы туралы заңнаманың, № 307 Қағидалардың және орталық депозитарий қағидалары жиынтығының талаптарына сәйкес келмеуі анықталса;

тіркелген тұлғаның жеке шоты (қосалқы шоты) бойынша операциялар жасалатын құжаттар деректемелерінің болмауы немесе орталық депозитарий қағидаларының жиынтығы талаптарына сәйкес келмеуі белгіленсе;

тіркелген тұлғаның жеке шоты (қосалқы шоты) бойынша операциялар жасалатын құжаттарды беретін тұлғалардың осы іс-әрекеттерді жасауға өкілеті расталмаса, тіркелген тұлғаның жеке шоты (қосалқы шоты) бойынша операциялар жасаудан бас тартуды;

4) операциялық күн жабылғаннан кейін, егер келесі операциялық күн ашылмаса, тіркелген тұлғаның жеке шоты (қосалқы шоты) бойынша операциялар жүргізу үшін мүмкіндіктерді шектеуді;

5) ақпараттық жүйенің жұмыс істеуі процесінде аудит журналын жүргізуді;

6) ұйымдастырылған және ұйымдастырылмаған нарықтарда жасалған туынды қаржы құралдарымен мәмілелер тізілімін жүргізу.

12. Клиринг ұйымның ақпараттық жүйесі Талаптардың 4-тармағында көзделген талаптарға қосымша мыналарды:

1) клирингтік ұйым клирингтік қызмет көрсетуді, оны салыстыруды және түзетуді жүзеге асыратын мәмілелер бойынша ақпаратты автоматты түрде жинау, өңдеу және сақтауды;

2) сауда-саттықты ұйымдастырушы сауда жүйесінде және (немесе) тауар биржасында клиринг қызмет көрсетуге қабылданған барлық жасалған мәмілелердің өлшемдерін есепке алуды;

3) сауда-саттыққа клирингтік қатысушылардың талаптарын және (немесе) міндеттемелерін есептеуді, оның ішінде сауда-саттыққа клирингтік қатысушыларының таза позицияларын айқындауды жүзеге асыру мүмкіндігін;

4) осы тармақтың 3) тармақшаларында көрсетілген ақпаратты орталық депозитарийге және (немесе) қаржы құралдарымен мәмілелер бойынша есеп айырысуларды (төлемдерді) жүзеге асыратын өзге ұйымдарға автоматты түрде беруді;

5) есепті сауда-саттыққа клирингтік қатысушылары үшін клиринг қызметінің нәтижелері бойынша құруды қамтамасыз етеді.

13. Ақпараттық жүйелердің деректерін, олардың файлдары мен теңшеулерін резервтік сақтау қамтамасыз етіледі, бұл ақпараттық жүйенің жұмыс істейтін көшірмесін қалпына келтіруді қамтамасыз етеді. Ақпаратты резервтік көшіру, сақтау, қалпына келтіру тәртібі мен кезеңділігі, резервтік көшірмелерден ақпараттық жүйелердің жұмыс қабілеттілігін қалпына келтіруді тестілеу кезеңділігі ұйымның ішкі құжаттарында айқындалады.

14. Операцияларды орындау кезінде ақпараттық жүйе келесі жағдайлар туындаған кезде хабарлама береді:

1) жеке шоттан есептен шығаруға жататын бағалы қағаздардың (ақшаның) саны шоттағы бағалы қағаздардың (ақшаның) санынан асып кетсе;

2) есептен шығаруға жататын бағалы қағаздарға ауыртпалық салынса немесе олар бұғатталса. Хабарламада жеке шотқа сілтеме және кепіл ұстаушының бөлімі болады;

3) дербес шотта ескерілетін есептен шығарылатын бағалы қағаздар бірнеше тұлғаның ортақ меншігінде болады;

4) бағалы қағаздар есептен шығарылатын жеке шот бұғатталған.

15. Қате түзетілген кезде ақпараттық жүйеде тіркеу журналының қате жазбасының "түсініктеме" жолында "қате" деген мәтін жазылады (қате операция туралы жазбаны түзету мүмкін болған жағдайда) және қатені түзетуге арналған операция туралы тіркеу журналы жазбасының нөмірі көрсетіледі.

3-тарау. Коммерциялық құпияны қамтитын ақпаратты ақпараттық жүйелерде өңдеу кезінде ақпараттық қауіпсіздікті қамтамасыз етуге қойылатын талаптар

16. Ақпараттық жүйелердегі ақпаратқа қол жеткізу ұйым қызметкерлеріне олардың функционалдық міндеттерін орындау үшін қажетті көлемде ұсынылады.

17. Ұйымның ақпараттық жүйелеріне қол жеткізуді ұсыну ақпараттық жүйелерді пайдаланушылардың қол жеткізу құқықтарының олардың функционалдық міндеттеріне сәйкестігін қамтамасыз ету үшін рөлдерді қалыптастыру және енгізу арқылы жүзеге асырылады. Мұндай рөлдердің жиынтығы электрондық нысанда немесе қағаз тасымалдағышта қалыптасатын ақпараттық жүйеге қол жеткізу матрицасы болып табылады.

18. Ақпараттық жүйелерге қол жеткізу ақпараттық жүйелерді пайдаланушыларды идентификаттау және аутентификаттау арқылы жүзеге асырылады.

Ақпараттық жүйелерді пайдаланушыларды идентификаттау және аутентификаттау "есептік жазба (идентификатор) – пароль" жұбын енгізу және (немесе) биометриялық және (немесе) криптографиялық және (немесе) аппараттық аутентификаттау арқылы жүргізіледі.

19. Ақпараттық жүйелерде дербес пайдаланушының есепке алу жазбалары ғана қолданылады.

20. Технологиялық есепке алу жазбаларын пайдалану әрбір ақпараттық жүйе үшін оларды пайдалану мен өзектілігі үшін дербес жауапты адамдар көрсетіле отырып, осындай есепке алу жазбаларының тізбесіне сәйкес жүзеге асырылады.

21. Ақпараттық жүйелерде ұйымның ішкі құжатында айқындалатын есепке алу жазбалары мен парольдерді басқару, сондай-ақ пайдаланушылардың есепке алу жазбаларын бұғаттау функциялары қолданылады.

22. Ақпараттық жүйелерде парольдерді басқару және пайдаланушылардың есепке алу жазбаларын бұғаттау функциясының келесі өлшемдері қолданылады:

1) парольдің барынша қысқа ұзындығы - бұл өлшемнің мәні кемінде 8 символдан тұрады. Парольдің осы өлшемге сәйкестігін тексеру пароль әрбір ауысқан сайын жүргізіледі, сәйкес келмеген жағдайда, пайдаланушыға хабарлама беріледі;

2) парольдің күрделілігі - парольде кемінде символдың үш тобының болуын тексеру мүмкіндігі: кіші әріптер, бас әріптер, цифрлар, арнайы символдар. Парольдің осы өлшемге сәйкестігін тексеру пароль әрбір ауысқан сайын жүргізіледі, сәйкес келмеген жағдайда, пайдаланушыға хабарлама беріледі;

3) пароль тарихы - жаңа пароль кем дегенде алдыңғы жеті парольді қайталамайды. Парольдің осы өлшемге сәйкестігін тексеру пароль әрбір ауысқан сайын жүргізіледі, сәйкес келмеген жағдайда, пайдаланушыға хабарлама беріледі;

4) парольді барынша қысқа қолдану мерзімі - 1 (бір) жұмыс күні;

5) парольді барынша ұзақ қолдану мерзімі - күнтізбелік 60 (алпыс) күннен аспайды. Парольдің осы өлшемге сәйкестігін тексеру ақпараттық жүйеге әрбір кірген және пароль әрбір ауысқан сайын жүргізіледі. Парольдің барынша ұзақ әрекет ету мерзімі өткеннен кейін ақпараттық жүйе қолжетімділікті бұғаттайды және парольді міндетті түрде өзгертуді талап етеді;

6) ақпараттық жүйеге бірінші рет кірген кезде не әкімші парольді ауыстырғаннан кейін ақпараттық жүйе пайдаланушыдан осы рәсімді қабылдамау мүмкіндігімен парольді ауыстыруды сұрайды. Бұл ереже парольді қолдану мерзімі туралы ережеден басым болады;

7) ақпараттық жүйеде пайдаланушының белсенділігі күнтізбелік 30 (отыз) күннен астам болмаған жағдайда, оның есепке алу жазбасы автоматты түрде бұғатталады;

8) қате парольді қатарынан бес рет енгізген кезде пайдаланушының есепке алу жазбасы уақытша бұғатталады;

9) пайдаланушы 30 (отыз) минуттан артық белсенді болмаған кезде, ақпараттық жүйе пайдаланушының жұмыс сеансын автоматты түрде аяқтайды не пайдаланушының аутентификациялық деректерін енгізген кезде ғана жұмыс станциясын немесе бұғаттан шығару мүмкіндігі бар ноутбукты бұғаттайды.

23. Қорғалатын ақпаратты жою тасымалдағыштың түріне байланысты ақпаратты жоюдың мынадай әдістерінің кез келгенін пайдалана отырып, оны қалпына келтіруді болдырмайтын әдістермен жүргізіледі:

1) ақпарат тасымалдағышты нақты жою;

2) ақпарат тасымалдағышқа электромагниттік әсер ету (магниттік тасымалдағыштар үшін);

3) электрондық ақпаратты мамандандырылған бағдарламалық құралдармен бағдарламалық жою.

24. Ақпараттық жүйенің жүйелік уақытын эталондық уақыттың орталықтандырылған дереккөзімен синхрондау қамтамасыз етіледі.

25. Ақпараттық жүйелерді әзірлеу және пысықтау өнеркәсіптік пайдалану ортасында жүзеге асырылмайды.

26. Ақпараттық жүйелерді әзірлеуді жүзеге асыратын қызметкерлердің ақпараттық жүйенің өзгерістерін өнеркәсіптік ортаға көшіруге, сондай-ақ өнеркәсіптік ортадағы ақпараттық жүйелерге әкімшілік қол жеткізуге өкілеттіктері жоқ.

27. Ақпараттық жүйені өнеркәсіптік пайдалануға енгізер алдында оның әдеттегі тәртіп бойынша орнатылған қауіпсіздік теңшеулері ақпараттық қауіпсіздік талаптарына сәйкес келетін теңшеулерге өзгертіледі. Бұл теңшеулер тестілеу кезінде қолданылатын парольдерді ауыстыруды, сондай-ақ барлық тестілік есептік жазбаларды жоюды қамтиды.

28. Артықшылықты есептік жазбалардың пайдаланылуын бақылау:

1) ақпараттық жүйелер (операциялық жүйе, дерекқорды басқару жүйесі, қосымша) әкімшілерінің тізбесін жасау және бекіту;

2) ақпараттық жүйелерді басқару функцияларын орындау және (немесе) артықшылықты есептік жазбалардың пайдаланылуын бақылаудың арнайы кешендерін енгізу кезінде қосарланған бақылауды енгізу арқылы қамтамасыз етіледі.

29. Ақпараттық жүйелердің эталондық бастапқы кодтары (бар болса) және орындалатын модульдері сақталатын бағдарламалық қамтылымның қорғалған депозитарийі ақпараттық жүйелердің орындалатын модульдерінің жұмыс қабілеттілігін уақтылы қалпына келтіру мүмкіндігін қамтамасыз ететін түрде жүргізіледі.

30. Ақпараттық жүйелер техникалық қолдаумен қамтамасыз етіледі, оның құрамына тиісті ақпараттық жүйе жаңартуларын, оның ішінде қауіпсіздік жаңартуларын ұсыну қызметтері кіреді.

31. Ақпараттық жүйенің аудиторлық ізінің ұйымдастырушылық және техникалық деңгейде енгізілуі және өзгермеуі қамтамасыз етіледі.

32. Ақпараттық жүйелерде аудиторлық ізді жүргізу функциясы қолданылады, ол мыналарды көрсетеді:

1) ақпараттық жүйедегі қосылуларды орнату, сәйкестендіру, аутентификациялау және авторизациялау оқиғаларын (табысты және сәтсіз);

2) қауіпсіздік теңшеулерін түрлендіру оқиғалары;

3) пайдаланушылар топтарын түрлендіру оқиғалары және олардың өкілеттіктері;

4) пайдаланушылардың есептік жазбаларын және олардың өкілеттіктерін түрлендіру оқиғалары;

5) ақпараттық жүйедегі жаңартулардың және (немесе) өзгерістердің орнатылуын көрсететін оқиғалар;

6) аудит өлшемдерін өзгерту оқиғалары;

7) жүйелік өлшемдерді өзгерту оқиғалары.

33. Аудиторлық із форматы мынадай ақпаратты қамтиды:

1) әрекетті жасаған пайдаланушының сәйкестендіргіші (логині);

2) әрекеттің жасалған күні мен уақыты;

3) пайдаланушының жұмыс станциясының атауы және (немесе) әрекет жасалған ІP (АЙПИ) мекенжайы;

4) әрекет жүргізілген объектілердің атауы;

5) жасалған әрекеттің түрі немесе атауы;

6) әрекеттің нәтижесі (сәтті немесе сәтсіз).

34. Аудиторлық ізді сақтау мерзімі жедел қолжетімділікте кемінде 3 (үш) айды және архивтік қолжетімділікте кемінде 5 (бес) жылды құрайды. Бірнеше ақпараттық жүйенің аудиторлық ізін біріктіріп сақтау аудиторлық ізді сақтаудың мамандандырылған ақпараттық жүйесінде жүзеге асырылады.

35. Ақпараттық жүйелерді қорғау үшін лицензияланған, вирусқа қарсы бағдарламалық қамтылым немесе жұмыс станцияларында, ноутбуктерде және мобильді құрылғыларда бағдарламалық ортаның тұтастығын және өзгермеуін қамтамасыз ететін жүйелер пайдаланылады.

36. Пайдаланылатын вирусқа қарсы бағдарламалық қамтылым мынадай талаптарға сәйкес келеді:

1) белгілі сигнатуралар негізінде вирустарды анықтау;

2) эвристикалық талдау (вирустарға тән командаларды іздеу және мінез-құлқын талдау) негізінде вирустарды анықтау;

3) қосылған кезде ауыстырмалы тасымалдағыштарды сканерлеу;

4) кесте бойынша сканерлеуді іске қосу және вирусқа қарсы базаны жаңарту;

5) басқарудың және мониторингтің орталықтандырылған консолінің болуы;

6) пайдаланушы үшін вирусқа қарсы бағдарламалық қамтылымның жұмыс істеуін, сондай-ақ вирусқа қарсы бағдарламалық қамтылымды жаңарту процестерін тоқтату және вирустардың болмауын жоспарлы тексеру мүмкіндігін бұғаттау;

7) виртуалды орталар үшін – вирусқа қарсы бағдарламалық қамтылыммен виртуалдық орталардың (жүктемені теңдестіру, орталықтандырылған орнату және гипервизор деңгейінде тексеру және басқа да функциялар) кіріктірілген қауіпсіздік функцияларын пайдалану, мұндай мүмкіндіктер болмаған кезде – ұйым пайдаланатын виртуалды орталарда вирусқа қарсы бағдарламалық қамтылымды тестілеу туралы өндірушінің растауы;

8) мобильді құрылғылар және ұйымды қорғау периметрінен тыс пайдаланылатын өзге де құрылғылар үшін желіаралық экрандау функциясы кіріктірілген вирусқа қарсы бағдарламалық қамтылымды пайдалану.

37. Бағдарламалық ортаның тұтастығы мен тұрақтылығын қамтамасыз ететін жүйелерді пайдалану кезіндегі ең қарапайым талаптар мынадай:

1) жаңартуды және техникалық қолдауды көздейтін лицензиясы бар бағдарламалық қамтылымның болуы;

2) басқару және мониторингтеудің орталықтандырылған консолінің болуы;

3) соңғы пайдаланушы үшін берілген жүйенің қызмет етуін тоқтата тұру мүмкіндігінің – бұғаттау мүмкіндігінің болуы;

4) соңғы құрылғыларға орнату алдында бағдарламалық орта үлгісін вирусқа қарсы бағдарламалық қамтылыммен тексеру мүмкіндігінің болуы;

5) ұялы құрылғылар үшін және қорғаныс аумағынан тыс қолданылатын басқа да құрылғылар үшін желіаралық экранның болуы.

38. Вирусқа қарсы бағдарламалық қамтылым пайдаланушының барлық қызмет ету процестерін тоқтатуды барынша болдырмайды (кесте бойынша сканерлеу, жаңарту және басқа да процестер). Вирусқа қарсы бағдарламалық қамтылымның жаңаруы тәулігіне бір реттен, құрылғыны толығымен сканерлеу – аптасына бір реттен артық орындалмайды.

39. Ақпараттық жүйелердің қауіпсіздігін жаңартуларды уақтылы орнату қамтамасыз етіледі.

40. Маңызды осалдықтарды жоятын ақпараттық жүйелердің қауіпсіздігін жаңартулар оларды өндіруші жарияланған және таратқан күннен бастап бір айдан кешіктірмей орнатылады.

41. Өндірістік ортаға орнатқанға дейін ақпараттық жүйелердің жаңартулары тестілеу ортасында сынақтан өтеді.

42. Ақпараттық жүйелердің үздіксіз қызмет етуін қамтамсыз ету мақсатында ішкі құжаттарда:

1) ақпараттық жүйелердің тоқтап қалуының ықтималды мерзімдері;

2) қалпына келтіруге жататын ақпараттық жүйелер тізбесі және оларды қалпына келтіру тәсілдері;

3) ақпараттық жүйелерді қалпына келтіру туралы шешімдерді қабылдау өлшемшарттары мен тәртібі;

4) ақпараттық жүйелерді қалпына келтіру жоспарлары анықталады.

43. Резервтік орталық болған жағдайда, ішкі құжаттарда:

1) резервтік ортаның орналасқан орны;

2) бизнес-процестердің, техникалық, бағдарламалық немесе резервтік орталықта қалпына келтіру жоспарланған ақпараттық жүйелердің жұмыстарын қамтамасыз ететін басқа құралдардың тізбесі;

3) резервтік орталықтағы ақпараттық жүйелердің жұмысын қалпына келтіру тәртібі;

4) резервтік орталықтағы жұмыстың аяқталғаны туралы шешім қабылдауға мүмкіндік беретін өлшемшарттар, мұндай шешімді қабылдау тәртібі, сондай-ақ негізгі орталықта қызмет етудің штаттық режиміне қайтару тәртібі;

5) резервтік орталықтықтың қызмет етуін тестілеуді өткізу тәртібі, кезеңділігі мен сценарийі көрсетіледі.

44. Ақпараттық жүйелердің қызметін қалпына келтіру процестерінің дайындығын тексеру мақсатында кем дегенде жылына бір рет қалпына келтіру жоспарларына (бұдан әрі – қалпына келтіру жоспарларын тестілеу) сәйкес ақпараттық жүйелерді қалпына келтіруді тестілеу жүргізіліп отырады.

Қалпына келтіру жоспарларын тестілеу штаттық емес жағдайдың туындау сценарийінің, қалпына келтірілетін жұмыс процестерінің және ақпараттық жүйелердің, жұмыстарды жүргізу мерзімдері мен орындарының сипаттамасын көздейтін әзірленген және бекітілген бағдарлама бойынша жүргізіледі.

45. Қалпына келтіру жоспарларын тестілеу қорытындылары бойынша төмендегілер:

1) тестілеу өткізілген ақпараттық жүйелер тізбесі;

2) ақпараттық жүйелерді қалпына келтіруге жұмсалған уақыт;

3) қалпына келтіру жоспарының анықталған кемшіліктері мен оларды жою бойынша ұсыныстар көрсетілген тестілеу нәтижелері туралы құжат (хаттама) дайындалады.

О внесении изменений в некоторые нормативные правовые акты Республики Казахстан по вопросам регулирования информационной безопасности на рынке ценных бумаг

Постановление Правления Агентства Республики Казахстан по регулированию и развитию финансового рынка от 15 ноября 2021 года № 102. Зарегистрировано в Министерстве юстиции Республики Казахстан 25 ноября 2021 года № 25385

В соответствии с подпунктом 2) пункта 1 статьи 48 и статьей 49-1 Закона Республики Казахстан "О рынке ценных бумаг" Правление Агентства Республики Казахстан по регулированию и развитию финансового рынка ПОСТАНОВЛЯЕТ:

1. Внести в постановление Правления Национального Банка Республики Казахстан от 28 апреля 2012 года № 165 "Об утверждении Требований к программно-техническим средствам и иному оборудованию, необходимым для осуществления деятельности на рынке ценных бумаг" (зарегистрировано в Реестре государственной регистрации нормативных правовых актов Республики Казахстан под № 7734) следующее изменение:

Требования к программно-техническим средствам и иному оборудованию, необходимым для осуществления деятельности на рынке ценных бумаг, утвержденные указанным постановлением, изложить в новой редакции согласно приложению к настоящему постановлению.

2. Внести в постановление Правления Национального Банка Республики Казахстан от 28 декабря 2018 года № 318 "Об утверждении Правил формирования системы управления рисками и внутреннего контроля для центрального депозитария" (зарегистрировано в Реестре государственной регистрации нормативных правовых актов Республики Казахстан под № 18180) следующие изменения:

в Правилах формирования системы управления рисками и внутреннего контроля для центрального депозитария, утвержденных указанным постановлением:

в приложении 5:

подпункт 11) пункта 1 изложить в следующей редакции:

"11) документация по обеспечению информационной безопасности;";

пункт 16 изложить в следующей редакции:

"16. Документация по обеспечению информационной безопасности определяет:

1) политику информационной безопасности центрального депозитария;

2) перечень информации, подлежащей защите и включающий, в том числе сведения, составляющие служебную, коммерческую или иную охраняемую законом тайну (далее – защищаемая информация);

3) порядок работы с защищаемой информацией;

4) перечень информационных систем, обрабатывающих защищаемую информацию;

5) требования к обеспечению информационной безопасности при выборе, внедрении, разработке и тестировании информационных систем, обрабатывающих защищаемую информацию;

6) порядок управления доступом к информационным системам, обрабатывающим защищаемую информацию;

7) порядок резервного копирования, хранения, восстановления, тестирования работоспособности резервных копий информационных систем, обрабатывающих защищаемую информацию;

8) порядок антивирусной защиты центрального депозитария;

9) перечень разрешенного к использованию в центральном депозитарии программного обеспечения;

10) периодичность и правила мониторинга отдельно или серийно возникающих событий в работе информационно-коммуникационной инфраструктуры или отдельных ее объектов, включая системы информационной безопасности, свидетельствующих о нарушении принятых мер обеспечения информационной безопасности либо о прежде неизвестной ситуации, которая может иметь отношение к информационной безопасности (далее - события информационной безопасности);

11) перечень событий информационной безопасности, подлежащих мониторингу;

12) перечень источников событий информационной безопасности;

13) порядок обработки отдельно или серийно возникающих сбоев в работе информационно-коммуникационной инфраструктуры или отдельных ее объектов, создающих угрозу их надлежащему функционированию и (или) условия для незаконного получения, копирования, распространения, модификации, уничтожения или блокирования защищаемой информации (далее - инциденты информационной безопасности);

14) порядок отнесения событий информационной безопасности к инцидентам информационной безопасности;

15) порядок доступа лиц, не являющихся работниками центрального депозитария, к информационным системам, обрабатывающим защищаемую информацию;

16) порядок использования Интернета и электронной почты;

17) порядок управления обновлениями информационных систем.";

подпункт 4) пункта 18 изложить в следующей редакции:

"4) риски, связанные с эксплуатацией информационных систем:

заражение компьютерными вирусами;

использование нелицензионных программ;

неавторизованный доступ к информационным системам;

ошибка при техническом обслуживании серверного оборудования;

сбой в системе электропитания;

сбой систем кондиционирования серверов;

технический сбой серверного оборудования;

технический сбой сетевого оборудования;

кража, преднамеренная порча носителей данных (жестких дисков и иных носителей);

неавторизованный доступ к носителям данных (жестким дискам и иным носителям);

чрезвычайная ситуация природного характера;

пожар в серверной комнате;

затопление серверной комнаты;

программный сбой в информационной системе;

отсутствие формализованного требования заказчика по разработке программного обеспечения;

некорректное составление технического задания для кодировщиков программного обеспечения;

ошибка при написании кода программного обеспечения;

ошибка при внедрении разработанного программного обеспечения;

ошибка при разработке и (или) внедрении программного обеспечения.".

3. Управлению кибербезопасности в установленном законодательством Республики Казахстан порядке обеспечить:

1) совместно с Юридическим департаментом государственную регистрацию настоящего постановления в Министерстве юстиции Республики Казахстан;

2) размещение настоящего постановления на официальном интернет-ресурсе Агентства Республики Казахстан по регулированию и развитию финансового рынка после его официального опубликования;

3) в течение десяти рабочих дней после государственной регистрации настоящего постановления представление в Юридический департамент сведений об исполнении мероприятия, предусмотренного подпунктом 2) настоящего пункта.

4. Контроль за исполнением настоящего постановления возложить на курирующего заместителя Председателя Агентства Республики Казахстан по регулированию и развитию финансового рынка.

5. Настоящее постановление вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования.

Председатель Агентства
Республики Казахстан
по регулированию
и развитию финансового рынка М. Абылкасымова

	Приложение к постановлению Правления Агентства Республики Казахстан по регулированию и развитию финансового рынка от 15 ноября 2021 года № 102
	Утверждены постановлением Правления Национального Банка Республики Казахстан от 28 апреля 2012 года № 165

Требования к программно-техническим средствам и иному оборудованию, необходимым для осуществления деятельности на рынке ценных бумаг

Глава 1. Общие положения

1. Настоящие Требования к программно-техническим средствам и иному оборудованию, необходимым для осуществления деятельности на рынке ценных бумаг (далее - Требования), определяют минимально необходимый функционал программно-технических средств и иного оборудования (далее – информационная система), а также набор требований к обеспечению информационной безопасности при обработке информации, содержащей коммерческую тайну, на программно-технических средствах и ином оборудовании организаций, осуществляющих деятельность на рынке ценных бумаг (далее – организации).

2. Действие Требований не распространяется на:

1) отношения, возникающие при использовании информационных ресурсов Национального Банка Республики Казахстан и (или) уполномоченного органа по регулированию, контролю и надзору финансового рынка и финансовых организаций (далее – уполномоченный орган) на основании соответствующего соглашения, заключенного между профессиональным участником рынка ценных бумаг и Национальным Банком Республики Казахстан и (или) уполномоченным органом;

2) страховые (перестраховочные) организации, осуществляющие деятельность в отрасли "страхование жизни", имеющие лицензию уполномоченного органа на осуществление деятельности по управлению инвестиционным портфелем на рынке ценных бумаг.

3. В Требованиях используются следующие понятия:

1) обеспечение информационной безопасности – процесс, направленный на поддержание состояния конфиденциальности, целостности и доступности информации организации;

2) привилегированная учетная запись – учетная запись в информационной системе, обладающая привилегиями создания, удаления и изменения прав доступа других учетных записей;

3) журнал аудита - специализированное средство, разработанное с целью отражения штатных и критических действий в процессе функционирования программного обеспечения;

4) администратор – работник или подразделение (работники или подразделения) организации, наделенный (наделенные) правами конфигурирования информационной системы или группы информационных систем;

5) рабочая станция – стационарный персональный компьютер пользователя информационной системы организации;

6) доступ – возможность использования информационных систем;

7) мобильное устройство – электронное устройство индивидуального пользования, функционирующее на основе мобильной версии операционной системы;

8) ноутбук – персональный компьютер, исполненный в форме, удобной для переноски и использования в том числе, за пределами периметра защиты;

9) резервная копия – копия данных на носителе информации, предназначенная для восстановления данных в оригинальном или новом месте их расположения в случае их повреждения или разрушения;

10) технологическая учетная запись – учетная запись в информационной системе, предназначенная для аутентификации при взаимодействии информационных систем.

Глава 2. Требования к функционалу информационных систем

4. Информационные системы обеспечивают:

1) контроль полноты вводимых данных полей обязательных к заполнению, необходимых для проведения и регистрации операций (в случае выполнения функций или операций без полного заполнения всех полей информационная система обеспечивает выдачу соответствующего уведомления);

2) поиск информации по критериям и параметрам, определенным для данной информационной системы, с сохранением запроса, а также сортировку информации по любым параметрам (определенным для данной информационной системы) и возможность просмотра информации за предыдущие даты, если такая информация подлежит хранению в информационной системе;

3) обработку информации и ее хранение по дате и времени;

4) автоматизированное формирование форм отчетов, представляемых профессиональными участниками рынка ценных бумаг в Национальный Банк Республики Казахстан, а также выписок с лицевого счета, отчетов о проведенных операциях;

5) ведение и автоматизированное формирование журналов системы внутреннего учета профессиональных участников рынка ценных бумаг, предусмотренных Законом Республики Казахстан "О рынке ценных бумаг" (далее – Закон о рынке ценных бумаг). Информационная система формирует журнал полностью, а также частично (на указанный диапазон дат, определенную дату, для конкретного зарегистрированного лица, для конкретного статуса входящего документа);

6) возможность вывода выходных документов на экран, принтер или в файл;

7) применение системы двойного ввода приказов разными пользователями ("первый ввод" и "второй ввод") или системы подтверждения ввода приказов разными пользователями (валидация или верификация) в целях исключения ошибок при вводе данной информации (за исключением ввода заявок на покупку и продажу финансовых инструментов в торговую систему фондовой биржи и ввода приказов клиентами центрального депозитария посредством информационной системы центрального депозитария).

При введении информации пользователи "второго ввода" не имеют доступа к информации, введенной пользователями "первого ввода". В случае несоответствия данных "второго ввода" данным "первого ввода" информационная система выдает соответствующее уведомление.

При использовании системы подтверждения ввода приказов разными пользователями (валидация или верификация) информация, введенная первым пользователем, подтверждается вторым пользователем.

Используемый способ (двойной ввод, валидация или верификация) и перечень приказов, подлежащих вводу с применением указанных способов, определяются внутренними документами профессионального участника рынка ценных бумаг;

8) возможность обмена электронными документами.

5. Для организаций, осуществляющих на основании соответствующей лицензии уполномоченного органа либо в соответствии с Законом о рынке ценных бумаг брокерскую и (или) дилерскую деятельность с правом ведения счетов клиентов в качестве номинального держателя, деятельность по ведению системы реестров держателей ценных бумаг, кастодиальную деятельность, информационная система в дополнение к требованиям, предусмотренным пунктом 4 Требований, обеспечивает:

1) проведение следующих операций:

открытие лицевого счета;

изменение сведений о зарегистрированном лице, паевом инвестиционном фонде или об управляющей компании паевого инвестиционного фонда;

внесение записей об аннулировании выпуска эмиссионных ценных бумаг;

списание (зачисление) ценных бумаг со (на) счетов (счета) зарегистрированных лиц;

внесение записей об увеличении количества акций на лицевом счете зарегистрированного лица в связи с увеличением количества размещенных акций эмитента (за вычетом акций, выкупленных эмитентом);

внесение записей о конвертировании ценных бумаг и иных денежных обязательств эмитента в простые акции эмитента;

внесение записей об обмене размещенных акций эмитента одного вида на акции данного эмитента другого вида;

обременение ценных бумаг и снятие обременения;

блокирование ценных бумаг и снятие блокирования ценных бумаг;

внесение записи о доверительном управляющем и удаление записи о доверительном управляющем;

закрытие лицевого счета;

составление и выдачу выписок с лицевого счета (субсчета) на определенную дату и время, отчетов о проведенных операциях и отчетов по запросам держателей ценных бумаг, центрального депозитария, эмитентов и уполномоченного органа;

2) сохранность изменяемых данных при изменении фамилии, имени, отчества (при его наличии) или полного наименования зарегистрированного лица и поиск зарегистрированного лица по прежним данным;

3) сохранность информации по всем операциям, проведенным по лицевому счету за весь период;

4) взаимодействие с информационной системой центрального депозитария в процессе регистрации операций с эмиссионными ценными бумагами.

6. В соответствии с Законом о рынке ценных бумаг для организаций, осуществляющих брокерскую и (или) дилерскую деятельность с правом ведения счетов клиентов в качестве номинального держателя, имеющих субсчет депонента, открытый в системе учета центрального депозитария, для агрегированного учета финансовых инструментов, принадлежащих его клиентам, информационная система в дополнение к требованиям, предусмотренным пунктами 4 и 5 Требований, обеспечивает:

1) ведение журнала аудита в процессе функционирования программного обеспечения;

2) автоматизированную передачу в центральный депозитарий по вышеуказанному субсчету депонента электронных данных об остатках финансовых инструментов и операциях с финансовыми инструментами, требуемых в соответствии со сводом правил центрального депозитария.

7. Информационная система организаций, обладающих лицензиями на осуществление брокерской и (или) дилерской деятельности с правом ведения счетов клиентов в качестве номинального держателя, кастодиальной деятельности, в дополнение к требованиям, предусмотренным пунктами 4 и 5 Требований, обеспечивает:

1) возможность учета активов клиентов, переданных в номинальное держание и (или) на кастодиальное обслуживание;

2) ведение персонального учета активов клиента, всех операций по его счетам, возможность анализа истории операций по счетам, в том числе автоматизированное формирование сведений об остатках денег по состоянию на любую дату и время в течение операционного дня, а также о движении денег в разрезе каждого клиента и организации, которая осуществляет учет и хранение денег клиента, включая, но не ограничиваясь следующей информацией:

дата и время проведения операции с деньгами;

наименование операции;

реквизиты и наименование подтверждающего документа;

фамилия, имя, отчество (при его наличии) или наименование клиента;

наименование расчетно-депозитарной системы, через которую осуществляются расчеты по сделкам с финансовыми инструментами;

наименование организации, которой осуществляется учет и хранение денег брокера и (или) дилера и его клиентов;

сумма каждой операции по деньгам по счету клиента;

сумма вознаграждения брокера и (или) дилера, кастодиана, фондовой биржи и иных организаций с указанием услуги и (или) сделки (операции), за оказание (проведение) которой данное вознаграждение было начислено и (или) списано со счета;

назначение платежа;

наименование контрагента по операции с деньгами и реквизиты его счета;

наименование банка второго уровня, филиала банка-нерезидента Республики Казахстан или организации, осуществляющей отдельные виды банковских операций, выступающей со стороны контрагента по операции с деньгами, и реквизиты его (ее) счета;

3) взаимодействие с информационной системой фондовой биржи и (или) клиринговой организации в процессе регистрации сделок с эмиссионными ценными бумагами.

8. Информационная система организаций, обладающих лицензией на осуществление брокерской и (или) дилерской деятельности с правом ведения счетов клиентов в качестве номинального держателя, в дополнение к требованиям, предусмотренным пунктами 4, 5, 6 и 7 Требований, обеспечивает:

автоматизированный расчет значений рисков на одного клиента, установленных Правилами формирования системы управления рисками и внутреннего контроля для организаций, осуществляющих брокерскую и дилерскую деятельность на рынке ценных бумаг, деятельность по управлению инвестиционным портфелем, утвержденными постановлением Правления Национального Банка Республики Казахстан от 27 августа 2013 года № 214, зарегистрированным в Реестре государственной регистрации нормативных правовых актов под № 8796. Данный расчет осуществляется в случае исполнения клиентских заказов при отсутствии достаточного количества денег и (или) ценных бумаг у клиента на банковском и (или) лицевом счете данного брокера и (или) дилера или организации, осуществляющей управление инвестиционным портфелем, являющейся брокером и (или) дилером, для исполнения данного заказа;

автоматизированный расчет значений пруденциальных нормативов для брокера и (или) дилера в соответствии с Правилами расчета значений пруденциальных нормативов, обязательных к соблюдению организациями, осуществляющими брокерскую и (или) дилерскую деятельность на рынке ценных бумаг, утвержденными постановлением Правления Национального Банка Республики Казахстан от 27 апреля 2018 года № 80, зарегистрированным в Реестре государственной регистрации нормативных правовых актов под № 17005;

осуществление отдельного учета финансовых инструментов и денег, принадлежащих брокеру и (или) дилеру первой категории, от финансовых инструментов и денег его клиентов.

Информационная система организаций, осуществляющих управление инвестиционным портфелем, в дополнение к требованиям, предусмотренным пунктом 4 Требований, обеспечивает:

автоматизированный расчет значений пруденциальных нормативов для организации, осуществляющей управление инвестиционным портфелем, в соответствии с Правилами расчета значений пруденциальных нормативов, обязательных к соблюдению организациями, осуществляющими деятельность по управлению инвестиционным портфелем, утвержденными постановлением Правления Национального Банка Республики Казахстан от 27 апреля 2018 года № 79, зарегистрированным в Реестре государственной регистрации нормативных правовых актов под № 17008;

осуществление отдельного учета финансовых инструментов и денег, принадлежащих организации, осуществляющей управление инвестиционным портфелем, от финансовых инструментов и денег его клиентов.

9. Типовые формы электронных документов, которыми обмениваются организации, осуществляющие на основании соответствующей лицензии уполномоченного органа либо в соответствии с Законом о рынке ценных бумаг брокерскую и (или) дилерскую деятельность с правом ведения счетов клиентов в качестве номинального держателя, деятельность по ведению системы реестров держателей ценных бумаг, кастодиальную деятельность, определяются внутренним документом центрального депозитария и соответствуют требованиям, определенным сводом правил центрального депозитария.

10. Информационная система фондовой биржи в дополнение к требованиям, предусмотренным пунктом 4 Требований, обеспечивает:

1) идентификацию физических лиц, уполномоченных на заключение сделок от имени члена фондовой биржи и выполнение действий от имени члена фондовой биржи с использованием торговой системы данной фондовой биржи (трейдер), при каждом использовании торговой системы фондовой биржи;

2) ведение реестра трейдеров фондовой биржи, допущенных к торгам, отстраненных от участия в торгах (с указанием причины отстранения);

3) ограничение возможности заключения сделок с использованием торговой системы фондовой биржи лицами, не обладающими таким правом в соответствии с внутренними документами фондовой биржи;

4) мониторинг параметров сделок, заключаемых в торговой системе фондовой биржи, на предмет выявления сделок с ценными бумагами, соответствующих условиям, определенным пунктами 5 и 6 статьи 56 Закона о рынке ценных бумаг, а также случаям, установленным главой 9 Правил осуществления деятельности организации торговли с ценными бумагами и иными финансовыми инструментами, утвержденных постановлением Правления Агентства Республики Казахстан по регулированию и надзору финансового рынка и финансовых организаций от 29 октября 2008 года № 170, зарегистрированным в Реестре государственной регистрации нормативных правовых актов под № 5406;

5) предоставление уполномоченному органу доступа к программному обеспечению фондовой биржи (без возможности внесения корректировок), обеспечивающему осуществление функций, предусмотренных подпунктом 4) настоящего пункта;

6) возможность мониторинга сделок, заключенных в торговой системе фондовой биржи, на предмет соответствия требованиям Закона о рынке ценных бумаг и правил фондовой биржи;

7) автоматизированный сбор, обработку и хранение финансовой отчетности и иной информации, предоставляемой членами фондовой биржи и эмитентами, чьи ценные бумаги предполагаются к включению или включены в список фондовой биржи, в том числе в целях мониторинга их финансового состояния;

8) возможность мониторинга раскрытия эмитентами ценных бумаг, включенных в список фондовой биржи, информации в объеме, определенном Законом о рынке ценных бумаг, Законом Республики Казахстан "Об акционерных обществах" и внутренними документами фондовой биржи.

11. Информационная система центрального депозитария в дополнение к требованиям, предусмотренным пунктом 4, подпунктами 1), 2) и 3) пункта 5 и пунктом 7 Требований, обеспечивает:

1) до совершения операции по лицевому счету (субсчету) зарегистрированного лица проверку:

возможности совершения такой операции с учетом требований Закона о рынке ценных бумаг, Правил осуществления деятельности центрального депозитария, утвержденных постановлением Правления Национального Банка Республики Казахстан от 29 ноября 2018 года № 307, зарегистрированным в Реестре государственной регистрации нормативных правовых актов под № 17920 (далее – Правила № 307) и свода правил центрального депозитария;

реквизитов документов, на основании которых совершается операция по лицевому счету (субсчету) зарегистрированного лица, на предмет наличия и соответствия требованиям свода правил центрального депозитария;

2) идентификацию документов, подтверждающих полномочия лиц, передающих документы, на основании которых совершается операция по лицевому счету (субсчету) зарегистрированного лица, совершать данные действия, а также полномочия лиц, подписавших приказы, на основании которых регистрируется операция по лицевому счету (субсчету) или проводится информационная операция;

3) отказ в совершении операции по лицевому счету (субсчету) зарегистрированного лица, если по итогам проверки, произведенной в соответствии с подпунктом 1) настоящего пункта:

установлено несоответствие предполагаемой к совершению операции требованиям Закона о рынке ценных бумаг, Правил № 307 и свода правил центрального депозитария;

установлено отсутствие или несоответствие реквизитов в документах, на основании которых совершается операция по лицевому счету (субсчету) зарегистрированного лица, требованиям свода правил центрального депозитария;

не подтверждены полномочия лиц, передающих документы, на основании которых совершается операция по лицевому счету (субсчету) зарегистрированного лица, совершать данные действия;

4) ограничение возможности для проведения операций по лицевым счетам (субсчетам) зарегистрированных лиц, после закрытия операционного дня, если следующий операционный день не открыт;

5) ведение журнала аудита в процессе функционирования информационной системы;

6) ведение реестра сделок с производными финансовыми инструментами, заключенными на организованном и неорганизованном рынках.

12. Информационная система клиринговой организации в дополнение к требованиям, предусмотренным пунктом 4 Требований, обеспечивает:

1) автоматизированный сбор, обработку и хранение информации по сделкам, по которым данная клиринговая организация осуществляет клиринговое обслуживание, ее сверку и корректировку;

2) учет параметров всех заключенных сделок в торговой системе организатора торгов и (или) на товарной бирже, принятых на клиринговое обслуживание;

3) возможность осуществления расчета требований и (или) обязательств клиринговых участников торгов, в том числе определения чистых позиций клиринговых участников торгов;

4) автоматизированную передачу информации, указанной в подпункте 3) настоящего пункта, в центральный депозитарий и (или) иную организацию, осуществляющую организацию расчетов (платежей) по сделкам с финансовыми инструментами;

5) формирование отчета по результатам клиринговой деятельности для клиринговых участников торгов.

13. Обеспечивается резервное хранение данных информационных систем, их файлов и настроек, которое обеспечивает восстановление работоспособной копии информационной системы. Порядок и периодичность резервного копирования, хранения, восстановления информации, периодичность тестирования восстановления работоспособности информационных систем из резервных копий определяются внутренними документами организации.

14. При выполнении операций информационная система выдает уведомление, при наступлении следующих условий:

1) количество ценных бумаг (денег), подлежащих списанию с лицевого счета, превышает количество ценных бумаг (денег) на счету;

2) ценные бумаги, подлежащие списанию, обременены или блокированы. Уведомление содержит ссылку на лицевой счет и раздел залогодержателя;

3) списываемые ценные бумаги, учитываемые на лицевом счету, находятся в общей собственности нескольких лиц;

4) лицевой счет, с которого списываются ценные бумаги, блокирован.

15. При исправлении ошибки в поле "комментарий" ошибочной записи регистрационного журнала в информационной системе записывается текст "ошибка" (в случае, если возможно исправление записи об ошибочной операции) и указывается номер записи регистрационного журнала об операции, предназначенной для исправления ошибки.

Глава 3. Требования к обеспечению информационной безопасности при обработке в информационных системах информации, содержащей коммерческую тайну

16. Доступ к информации в информационных системах предоставляется работникам организации в объеме, необходимом для исполнения их функциональных обязанностей.

17. Предоставление доступа к информационным системам организации производится путем формирования и внедрения ролей для обеспечения соответствия прав доступа пользователей информационных систем их функциональным обязанностям. Совокупность таких ролей представляет собой матрицу доступа к информационной системе, которая формируется в электронной форме или на бумажном носителе.

18. Доступ к информационным системам осуществляется путем идентификации и аутентификации пользователей информационных систем.

Идентификация и аутентификация пользователей информационных систем производится посредством ввода пары "учетная запись (идентификатор) – пароль" и (или) биометрической и (или) криптографической и (или) аппаратной аутентификации.

19. В информационных системах используются только персонализированные пользовательские учетные записи.

20. Использование технологических учетных записей осуществляется в соответствии с перечнем таких учетных записей для каждой информационной системы с указанием лиц, персонально ответственных за их использование и актуальность.

21. В информационных системах применяются функции по управлению учетными записями и паролями, а также блокировке учетных записей пользователей, определяемые внутренним документом организации.

22. В информационных системах применяются следующие параметры функции по управлению паролями и блокировками учетных записей пользователей:

1) минимальная длина пароля – значение данного параметра составляет не менее 8 символов. Проверка пароля на соответствие данному параметру производится при каждой смене пароля, в случае несоответствия – выдается уведомление пользователю;

2) сложность пароля – возможность проверки наличия в пароле, как минимум трех групп символов: строчных букв, заглавных букв, цифровых значений, специальных символов. Проверка пароля на соответствие данному параметру производится при каждой смене пароля, в случае несоответствия – выдается уведомление пользователю;

3) история пароля – новый пароль не повторяет как минимум семь предыдущих паролей. Проверка пароля на соответствие данному параметру производится при каждой смене пароля, в случае несоответствия выдается уведомление пользователю;

4) минимальный срок действия пароля – 1 (один) рабочий день;

5) максимальный срок действия пароля – не более 60 (шестидесяти) календарных дней. Проверка пароля на соответствие данному параметру производится при каждом входе в информационную систему и смене пароля. По истечении максимального срока действия пароля информационная система блокирует доступ и требует обязательную смену пароля;

6) при первом входе в информационную систему, либо после смены пароля администратором, информационная система запрашивает у пользователя смену пароля с невозможностью отклонить данную процедуру. Данное правило превалирует над правилом о сроке действия пароля;

7) в случае отсутствия активности пользователя в информационной системе более 30 (тридцати) календарных дней его учетная запись автоматически блокируется;

8) при последовательном пятикратном вводе неправильного пароля учетная запись пользователя временно блокируется;

9) при неактивности пользователя более 30 (тридцати) минут информационная система автоматически завершает сеанс работы пользователя либо блокирует рабочую станцию или ноутбук с возможностью разблокировки только при вводе аутентификационных данных пользователя.

23. Уничтожение защищаемой информации производится методами, исключающими ее восстановление, с использованием любого из следующих методов уничтожения информации в зависимости от типа носителя:

1) физическое уничтожение носителя информации;

2) электромагнитное воздействие на носитель информации (для магнитных носителей);

3) программное уничтожение электронной информации специализированными программными средствами.

24. Обеспечивается синхронизация системного времени информационной системы с централизованным источником эталонного времени.

25. Разработка и доработка информационных систем не осуществляется в среде промышленной эксплуатации.

26. Работники, осуществляющие разработку информационных систем, не имеют полномочий на перенос изменений информационной системы в промышленную среду, а также административный доступ к информационным системам в промышленной среде.

27. Перед вводом в промышленную эксплуатацию информационной системы в ней изменяются настройки безопасности, установленные по умолчанию, на настройки, соответствующие требованиям к информационной безопасности. Указанные настройки включают замену паролей, используемых при тестировании, а также удаление всех тестовых учетных записей.

28. Контроль использования привилегированных учетных записей обеспечивается путем:

1) составления и утверждения перечня администраторов информационных систем (операционная система, система управления базами данных, приложение);

2) введения двойного контроля при исполнении функций администрирования информационных систем и (или) внедрения специальных комплексов контроля использования привилегированных учетных записей.

29. Защищенный депозитарий программного обеспечения, в котором хранятся эталонные исходные коды (при наличии) и исполняемые модули информационных систем, ведется в виде, обеспечивающем возможность своевременного восстановления работоспособности исполняемых модулей информационных систем.

30. Информационные системы обеспечиваются технической поддержкой, в состав которой входят услуги по предоставлению обновлений соответствующей информационной системы, в том числе обновлений безопасности.

31. Обеспечивается ведение и неизменность аудиторского следа информационной системы, как на организационном, так и на техническом уровне.

32. В информационных системах используется функция ведения аудиторского следа, которая отражает следующее:

1) события установления соединений, идентификации, аутентификации и авторизации в информационной системе (успешные и неуспешные);

2) события модификации настроек безопасности;

3) события модификации групп пользователей и их полномочий;

4) события модификации учетных записей пользователей и их полномочий;

5) события, отражающие установку обновлений и (или) изменений в информационной системе;

6) события изменения параметров аудита;

7) события изменений системных параметров.

33. Формат аудиторского следа включает следующую информацию:

1) идентификатор (логин) пользователя, совершившего действие;

2) дата и время совершения действия;

3) наименование рабочей станции пользователя и (или) IP (АЙПИ) адрес, с которого совершено действие;

4) название объектов, с которыми проводилось действие;

5) тип или название совершенного действия;

6) результат действия (успешно или не успешно).

34. Срок хранения аудиторского следа составляет не менее 3 (трех) месяцев в оперативном доступе и не менее 5 (пяти) лет в архивном доступе. Агрегированное хранение аудиторского следа нескольких информационных систем осуществляется в специализированной информационной системе хранения аудиторского следа.

35. Для защиты информационных систем используется лицензионное антивирусное программное обеспечение или системы, обеспечивающие целостность и неизменность программной среды на рабочих станциях, ноутбуках и мобильных устройствах.

36. Используемое антивирусное программное обеспечение соответствует следующим требованиям:

1) обнаружение вирусов на основе известных сигнатур;

2) обнаружение вирусов на основе эвристического анализа (поиска характерных для вирусов команд и поведенческого анализа);

3) сканирование сменных носителей при подключении;

4) запуск сканирования и обновления антивирусной базы по расписанию;

5) наличие централизованной консоли администрирования и мониторинга;

6) блокирование для пользователя возможности прерывания функционирования антивирусного программного обеспечения, а также процессов обновления антивирусного программного обеспечения и плановой проверки на отсутствие вирусов;

7) для виртуальных сред – использование антивирусным программным обеспечением встроенных функций безопасности виртуальных сред (балансировка нагрузки, централизованная установка и проверка на уровне гипервизора и другие функции), при отсутствии таких возможностей – подтверждение производителя о тестировании антивирусного программного обеспечения в виртуальных средах, используемых организацией;

8) для мобильных устройств и иных устройств, используемых вне периметра защиты организации, использование антивирусного программного обеспечения со встроенной функцией межсетевого экранирования.

37. При использовании систем, обеспечивающих целостность и неизменность программной среды, минимальными требованиями являются:

1) наличие лицензионного программного обеспечения, предусматривающего обновление и техническую поддержку;

2) наличие централизованной консоли администрирования и мониторинга;

3) наличие возможности блокирования для конечного пользователя возможности прерывания функционирования данной системы;

4) наличие возможности проверки образа программной среды антивирусным программным обеспечением перед установкой на конечные устройства;

5) наличие межсетевого экрана для мобильных устройств и иных устройств, используемых вне периметра защиты.

38. Антивирусное программное обеспечение максимально исключает прерывание пользователем всех служебных процессов (сканирование по расписанию, обновление и другие процессы). Обновление антивирусного программного обеспечения производится не реже одного раза в сутки, полное сканирование устройства – не реже одного раза в неделю.

39. Обеспечивается своевременная установка обновлений безопасности информационных систем.

40. Обновления безопасности информационных систем, устраняющие критичные уязвимости, устанавливаются не позднее одного месяца со дня их публикации и распространения производителем.

41. Обновления информационных систем до установки в промышленную среду проходят испытания в тестовой среде.

42. В целях обеспечения непрерывности функционирования информационных систем во внутренних документах определяются:

1) допустимые сроки простоя информационных систем;

2) перечень информационных систем, подлежащих восстановлению и подходы к их восстановлению;

3) критерии и порядок принятия решений о восстановлении информационных систем;

4) планы восстановления информационных систем.

43. При наличии резервного центра во внутренних документах отражается:

1) местонахождение резервного центра;

2) перечень бизнес–процессов, технических, программных или других средств, обеспечивающих работу информационных систем, восстановление которых планируется в резервном центре;

3) порядок восстановления работы информационных систем в резервном центре;

4) критерии, позволяющие принять решение о завершении работы в резервном центре, порядок принятия такого решения, а также порядок возврата в штатный режим функционирования в основном центре;

5) порядок проведения, периодичность и сценарии тестирования функционирования резервного центра.

44. В целях проверки готовности процессов восстановления деятельности информационных систем не менее одного раза в год проводится тестирование восстановления информационных систем в соответствии с планами восстановления (далее – тестирование планов восстановления).

Тестирование планов восстановления проводится по разработанной и утвержденной программе, предусматривающей описание сценария возникновения нештатной ситуации, восстанавливаемых рабочих процессов и информационных систем, действий команды восстановления, требований по срокам и месту проведения работ.

45. По итогам тестирования планов восстановления подготавливается документ о результатах тестирования (протокол) с указанием:

1) перечня информационных систем, по которым проведено тестирование;

2) времени, затраченного на восстановление работы информационных систем;

3) выявленных недостатков планов восстановления и предложений по их устранению.