"Қазақстан Республикасының аумағында электрондық ақша шығару, пайдалану және өтеу қағидаларын, сондай-ақ электрондық ақша эмитенттеріне және электрондық ақша жүйелеріне қойылатын талаптарды бекіту туралы" Қазақстан Республикасы Ұлттық Банкі Басқармасының 2016 жылғы 31 тамыздағы № 202 және "Төлем ұйымдарының қызметін ұйымдастыру қағидаларын бекіту туралы" 2016 жылғы 31 тамыздағы № 215 қаулыларына өзгерістер мен толықтырулар енгізу туралы

Қазақстан Республикасы Ұлттық Банкі Басқармасының 2021 жылғы 20 желтоқсандағы № 116 қаулысы. Қазақстан Республикасының Әділет министрлігінде 2022 жылғы 10 қаңтарда № 26413 болып тіркелді

      "Қазақстан Республикасының Ұлттық Банкі туралы" Қазақстан Республикасы Заңының 15-бабы екінші бөлігінің 42) және 52-1) тармақшаларына және "Төлемдер және төлем жүйелері туралы" Қазақстан Республикасы Заңының 4-бабы 1-тармағының 1) және 12) тармақшаларына сәйкес Қазақстан Республикасы Ұлттық Банкінің Басқармасы ҚАУЛЫ ЕТЕДІ:

      1. "Қазақстан Республикасының аумағында электрондық ақша шығару, пайдалану және өтеу қағидаларын, сондай-ақ электрондық ақша эмитенттеріне және электрондық ақша жүйелеріне қойылатын талаптарды бекіту туралы" Қазақстан Республикасы Ұлттық Банкі Басқармасының 2016 жылғы 31 тамыздағы № 202 қаулысына (Нормативтік құқықтық актілерді мемлекеттік тіркеу тізілімінде № 14298 болып тіркелген) мынадай өзгерістер мен толықтырулар енгізілсін:

      кіріспесі мынадай редакцияда жазылсын:

      "Қазақстан Республикасының Ұлттық Банкі туралы" Қазақстан Республикасы Заңының 15-бабы екінші бөлігінің 42) тармақшасына және "Төлемдер және төлем жүйелері туралы" Қазақстан Республикасы Заңының 4-бабы 1-тармағының 12) тармақшасына сәйкес Қазақстан Республикасы Ұлттық Банкінің Басқармасы ҚАУЛЫ ЕТЕДІ:";

      көрсетілген қаулымен бекітілген Қазақстан Республикасының аумағында электрондық ақша шығару, пайдалану және өтеу қағидаларында, сондай-ақ электрондық ақша эмитенттеріне және электрондық ақша жүйелеріне қойылатын талаптарда:

      1-тармақтың бірінші бөлігі мынадай редакцияда жазылсын:

      "1. Осы Қазақстан Республикасының аумағында электрондық ақша шығару, пайдалану және өтеу қағидалары, сондай-ақ электрондық ақша эмитенттеріне және электрондық ақша жүйелеріне қойылатын талаптар (бұдан әрі – Қағидалар) "Қазақстан Республикасының Ұлттық Банкі туралы" Қазақстан Республикасы Заңының 15-бабы екінші бөлігінің 42) тармақшасына және "Төлемдер және төлем жүйелері туралы" Қазақстан Республикасы Заңының (бұдан әрі – Төлемдер және төлем жүйелері туралы заң) 4-бабы 1-тармағының 12) тармақшасына сәйкес әзірленді және Қазақстан Республикасының аумағында электрондық ақшаны шығару, пайдалану және өтеу тәртібін, сондай-ақ Қазақстан Республикасының аумағындағы электрондық ақша эмитенттеріне (бұдан әрі – эмитент) және электрондық ақша жүйелеріне қойылатын талаптарды айқындайды.";

      2-тармақ мынадай редакцияда жазылсын:

      "2. Қағидаларда Төлемдер және төлем жүйелері туралы заңның 1-бабында көзделген ұғымдар, сондай-ақ мына ұғымдар пайдаланылады:

      1) ақпараттық жүйелердегі бұзушылықтарды, іркілістерді қоса алғанда, ақпараттық қауіпсіздіктің оқыс оқиғаcы (бұдан әрі – ақпараттық қауіпсіздіктің оқыс оқиғаcы) – ақпараттық-коммуникациялық инфрақұрылымның немесе оның жекелеген объектілерінің жұмысында олардың тиісінше жұмыс істеуіне қауіп төндіретін және (немесе) электрондық ақша жүйесі операторының электрондық ақпараттық ресурстарын заңсыз алу, көшіріп алу, тарату, түрлендіру, жою немесе бұғаттау үшін жағдай жасайтын, жеке түрде немесе сериялы түрде туындайтын іркілістер;

      2) ақпараттық жүйелердегі бұзушылықтар, іркілістер туралы мәліметтерді қоса алғанда, ақпараттық қауіпсіздіктің оқыс оқиғалары туралы ақпарат – ақпараттық-коммуникациялық инфрақұрылымның немесе оның жекелеген объектілерінің жұмысында олардың тиісінше жұмыс істеуіне қауіп төндіретін және (немесе) электрондық ақша жүйесі операторының электрондық ақпараттық ресурстарын заңсыз алу, көшіріп алу, тарату, түрлендіру, жою немесе бұғаттау үшін жағдай жасайтын, жеке түрде немесе сериялы түрде туындайтын іркілістер туралы ақпарат;

      3) ақпараттық-коммуникациялық инфрақұрылымды қорғау аясы – электрондық ақша жүйесі операторының ақпараттық-коммуникациялық инфрақұрылымын сыртқы ақпараттық желілерден оқшаулайтын және ақпараттық қауіпсіздік қатерлерінен қорғауды қамтамасыз ететін бағдарламалық-аппараттық құралдар жиынтығы;

      4) ақпараттық қауіпсіздік – электрондық ақпараттық ресурстардың, ақпараттық жүйелердің және ақпараттық-коммуникациялық инфрақұрылымның сыртқы және ішкі қатерлерден қауіптерден қорғалу жай-күйі;

      5) ақпараттық қауіпсіздік қатері – ақпараттық қауіпсіздіктің оқыс оқиғаcының туындауына алғышарттар жасайтын жағдайлар мен факторлардың жиынтығы;

      6) ақпараттық қауіпсіздікті қамтамасыз ету – электрондық ақша жүйесі операторының ақпараттық активтерінің конфиденциалдылық, тұтастық және қолжетімділік күйін ұстап тұруға бағытталған процесс;

      7) қауіпсіздік рәсімі – электрондық ақшаны пайдалану кезінде электрондық ақша иесінің электрондық ақшаны пайдалану құқығын растауға және электрондық тәсілмен жіберілетін және алынатын хабарламалардың (бұдан әрі – электрондық хабарлама) мазмұнындағы қателерді және (немесе) өзгерістерді анықтауға арналған ұйымдастыру шараларының және ақпаратты қорғау бағдарламалық-техникалық құралдарының кешені;

      8) электрондық ақша жүйесі операторының ақпараттық активі – ақпаратты сақтау және (немесе) өңдеу үшін пайдаланылатын ақпараттың және ақпараттық-коммуникациялық инфрақұрылым объектісінің жиынтығы;

      9) электрондық ақша жүйесі операторының ақпараттық-коммуникациялық инфрақұрылымы (бұдан әрі – ақпараттық инфрақұрылым) – электрондық ақпараттық ресурстарды қалыптастыру және оларға қолжетімділікті ұсыну мақсатында технологиялық ортаның жұмыс істеуін қамтамасыз етуге арналған ақпараттық-коммуникациялық инфрақұрылым объектілерінің жиынтығы;

      10) электрондық ақша жүйесінің ішкі қағидалары – электрондық ақшаны шығаруға, сатуға, сатып алуға, өтеуге, сондай-ақ оларды электрондық ақша жүйесінде пайдалана отырып операцияларды жүзеге асыруға негіз болатын қағидалар;

      11) электрондық ақша иесінің жеке кабинеті –электрондық ақша қалдығы, ол бойынша жүргізілген операциялар туралы қажетті ақпарат алу және электрондық ақша жүйесінің ішкі қағидаларында және электрондық ақша жүйесінің операторы (бұдан әрі – оператор) немесе эмитент пен электрондық ақшаның иесі арасында жасалған шарттарда көзделген тәртіппен электрондық ақшаны пайдалана отырып төлемдер мен өзге де операцияларды жүзеге асыру үшін электрондық ақша иесінің сол арқылы өзінің электрондық әмиянына қолжетімділігі болатын электрондық ақша жүйесінің интернет-ресурсындағы электрондық ақша иесінің жеке бөлімі. Электрондық ақша иесінің жеке кабинеті арқылы көрсетілетін қызметтер тізбесін оператор белгілейді;

      12) электрондық ақшамен айырбастау операциялары – бір эмитент шығарған электрондық ақшаны басқа электрондық ақша жүйесінің қатысушысы болып табылатын басқа эмитенттің электрондық ақшасына айырбастау операциялары;

      13) электрондық ақшаны мәжбүрлі түрде өтеу – электрондық ақшаның тең номиналдық құнын электрондық ақша иесінің банктік шотына не эмитенттің шоғырландырылған шотына жеке тұлға талап еткенге дейін аударуды көздейтін электрондық ақшаны өтеу операциясы;

      14) электрондық ақша шығаруды тоқтату –жеке тұлғаға немесе электрондық ақша жүйесінің агентіне (бұдан әрі – агент) олардың номиналдық құны бойынша тең ақша сомасына айырбастау арқылы электрондық ақша беру көзделетін эмитенттің төлем қызметін көрсету жөніндегі қызметін тоқтату;

      15) электрондық әмиянды бұғаттау – электрондық ақша иесінің электрондық әмиянында сақтаулы электрондық ақшаны пайдалануға толығымен немесе ішінара тыйым салу.";

      4-тармақтың бірінші абзацы мынадай редакцияда жазылсын:

      "4. Эмитент электрондық ақшаны шығару қызметін жүзеге асыру басталған күннен бастап күнтізбелік он күн ішінде бұл туралы Қазақстан Республикасының Ұлттық Банкіне Қағидаларға 1-қосымшаға сәйкес нысан бойынша хабарлайды және мынадай құжаттар мен мәліметтерді ұсынады:";

      38-тармақ мынадай редакцияда жазылсын:

      "38. Эмитент электрондық ақша шығаруды тоқтату сәтіне дейін күнтізбелік отыз күн бұрын бұл туралы Қазақстан Республикасының Ұлттық Банкіне Қағидаларға 1-қосымшаға сәйкес нысан бойынша хабарлайды.";

      50-тармақ мынадай редакцияда жазылсын:

      "50. Электрондық ақша иесі - жеке тұлғаны қашықтан сәйкестендіруді эмитент және (немесе) оператор Қазақстан Республикасы Ұлттық Банкі Басқармасының 2016 жылғы 31 тамыздағы № 212 қаулысымен (Нормативтік құқықтық актілерді мемлекеттік тіркеу тізілімінде № 14337 болып тіркелген) бекітілген Банктердің, Қазақстан Республикасы бейрезидент банктері филиалдарының және банк операцияларының жекелеген түрлерін жүзеге асыратын ұйымдардың электрондық банктік қызметтерді көрсету қағидаларында көзделген тәртіппен және негіздерде банкаралық ақша аудару жүйесінің операциялық орталығынан алынған қолжетімді көздерден алынған мәліметтер негізінде жүзеге асырады.";

      мынадай мазмұндағы 7-тараумен толықтырылсын:

      "7-тарау. Төлем ұйымдары болып табылатын электрондық ақша жүйелері операторларының бағдарламалық-техникалық құралдарына және ақпараттық қауіпсіздікті басқару жүйесіне қойылатын талаптар

      55. Бағдарламалық қамтамасыз ету мыналарды қамтамасыз етеді:

      1) ақпаратты сенімді сақтау, рұқсат етілмеген қолжетімділіктен қорғау, дерекқордың тұтастығы және жабдықтың кез келген учаскесінде кез келген уақытта электр қуаты толығымен немесе ішінара ажыратылған кезде ақпараттың электрондық мұрағаттарда және дерекқорда толық сақталуы;

      2) бағдарламалық қамтамасыз етуде іске асырылған, кем дегенде екі қолжетімділік деңгейі: әкімші және пайдаланушы көзделетін кіріс деректерге, функцияларға, операцияларға, есептерге көпдеңгейлі қолжетімділік;

      3) операцияларды жүргізу және тіркеу үшін қажетті, толтырылуы міндетті жолдардың енгізілетін деректерінің толық болуын бақылау (функцияларды немесе операцияларды барлық жолдарды толық толтырмай орындаған кезде бағдарлама тиісті хабарлама беруді қамтамасыз етеді);

      4) сұрау салуды сақтай отырып, осы ақпараттық жүйе үшін айқындалған өлшемшарттар мен параметрлер бойынша ақпаратты іздеу, сондай-ақ кез келген параметр бойынша ақпаратты сұрыптау (осы ақпараттық жүйе үшін айқындалған) және егер мұндай ақпарат ақпараттық жүйеде сақталуға тиіс болса, алдыңғы күндердегі ақпаратты қарау мүмкіндігі;

      5) ақпаратты өңдеу және оны күні мен уақыты бойынша сақтау;

      6) электрондық ақша жүйелерінің операторлары Қазақстан Республикасының Ұлттық Банкіне ұсынатын есептердің, сондай-ақ жүргізілген операциялар туралы есептедің нысандарын автоматтандырылған қалыптастыру;

      7) ішкі есепке алу жүйесінің журналдарын жүргізу және автоматтандырылған қалыптастыру. Бағдарламалық қамтамасыз ету журналды толығымен, сондай-ақ ішінара (көрсетілген күндер ауқымына, белгілі бір күнге) қалыптастырады;

      8) есепке алу жүйелерінде сақталудағы деректерді резервтеу және қалпына келтіру мүмкіндігі;

      9) шығыс құжаттарын экранға, принтерге немесе файлға шығару мүмкіндігі;

      10) электрондық құжаттармен алмасу мүмкіндігі;

      11) мынадай атрибуттарды: оқиғаның басталу күні мен уақытын, оқиғаның атауын, әрекетті жасаған пайдаланушыны, жазбаның сәйкестендіргішін, оқиғаның аяқталу күні мен уақытын, оқиғаның орындалу нәтижесін сақтай отырып, ақпараттық жүйеде болып жатқан оқиғаларды тіркеу және сәйкестендіру.

      56. Электрондық ақша жүйелерінің операторлары ақпараттық қауіпсіздікті қамтамасыз ету процесін басқаруға арналған электрондық ақша жүйелері операторларының жалпы басқару жүйесінің бір бөлігі болып табылатын ақпараттық қауіпсіздікті басқару жүйесін құруды және оның жұмыс істеуін қамтамасыз етеді.

      57. Ақпараттық қауіпсіздікті басқару жүйесі электрондық ақша жүйелері операторларының бизнес-процестері үшін ықтимал залалдың ең аз деңгейіне жол беретін электрондық ақша жүйелері операторларының ақпараттық активтерін қорғауды қамтамасыз етеді.

      58. Электрондық ақша жүйесінің операторы ақпараттық қауіпсіздікті басқару жүйесінің тиісті деңгейін, оның дамуы мен жақсаруын қамтамасыз етеді.

      59. Электрондық ақша жүйесінің операторы ақпараттың конфиденциалдылығын, тұтастығын және қолжетімділігін қамтамасыз ету мақсатында мынадай функцияларды жүзеге асырады:

      1) ақпараттық қауіпсіздікті басқару жүйесін ұйымдастырады, ақпараттық қауіпсіздікті қамтамасыз ету жөніндегі қызметті және қатерлерді анықтау және талдау, шабуылдарға қарсы іс-қимыл жасау және ақпараттық қауіпсіздіктің оқыс оқиғаларын тергеп-тексеру жөніндегі іс-шараларды үйлестіреді және бақылайды;

      2) ақпараттық қауіпсіздікті қамтамасыз ету процесін әдіснамалық қолдауды қамтамасыз етеді;

      3) өз өкілеттіктері шеңберінде ақпараттық қауіпсіздікті басқару, қамтамасыз ету және бақылау әдістерін, құралдары мен тетіктерін таңдайды, енгізеді және қолданады;

      4) ақпараттық қауіпсіздіктің оқыс оқиғалары туралы ақпаратты жинауды, шоғырландыруды, сақтауды және өңдеуді жүзеге асырады;

      5) ақпараттық қауіпсіздіктің оқыс оқиғалары туралы ақпаратты талдайды;

      6) ақпараттық қауіпсіздікті қамтамасыз ету процесін автоматтандыратын бағдарламалық-техникалық құралдарды енгізуді, тиісті жұмыс істеуін, сондай-ақ оларға қолжетімділікті ұсынуды қамтамасыз етеді;

      7) артықшылық берілген есептік жазбаларды пайдалану бойынша шектеулерді айқындайды;

      8) электрондық ақша жүйелері операторы қызметкерлерінің ақпараттық қауіпсіздік мәселелерінде хабардар болуын қамтамасыз ету жөніндегі іс-шараларды ұйымдастырады және өткізеді;

      9) электрондық ақша жүйелері операторының ақпараттық қауіпсіздігін басқару жүйесінің жай-күйіне мониторинг жүргізеді;

      10) кезең-кезеңімен (бірақ жылына кемінде бір реттен жиі емес) электрондық ақша жүйесі операторының басшылығына ақпараттық қауіпсіздікті басқару жүйесінің жай-күйі туралы хабарлайды.

      60. Электрондық ақша жүйесінің операторы ақпараттық активтерге қатысты қолайлы деңгейдің өлшемшарттарын көрсете отырып, ақпараттық қауіпсіздік тәуекелдерін басқарады.

      Ақпараттық қауіпсіздік тәуекелдері іске асырылған кезде осындай тәуекелдердің туындауын барынша азайтуға бағытталған іс-шаралар жоспары әзірленеді.

      61. Ақпараттық қауіпсіздікті қамтамасыз ету жөніндегі қызметке мониторинг жүргізу барысында алынған ақпараттық қауіпсіздіктің оқыс оқиғалары туралы ақпарат шоғырландырылуға, жүйеленуге және сақталуға тиіс.

      62. Ақпараттық қауіпсіздіктің оқыс оқиғалары туралы ақпаратты сақтау мерзімі кемінде 5 (бес) жылды құрайды.

      63. Электрондық ақша жүйесінің операторы ақпараттық қауіпсіздіктің оқыс оқиғасын, оның себептері мен салдарын жоюға шұғыл шаралар қабылдау тәртібін айқындайды.

      64. Электрондық ақша жүйелерінің операторы ақпараттық қауіпсіздіктің оқыс оқиғасы, қабылданған шаралар мен ұсынылатын түзету шаралары туралы барлық ақпаратты көрсете отырып, ақпараттық қауіпсіздіктің оқыс оқиғаларын есепке алу журналын жүргізеді.

      65. Электрондық ақша жүйесінің операторы Ұлттық Банкке ақпараттық қауіпсіздіктің мынадай анықталған оқыс оқиғалары:

      1) қолданбалы және жүйелік бағдарламалық қамтамасыз етудегі осалдықтарды пайдалану;

      2) ақпараттық жүйеге рұқсатсыз кіру;

      3) ақпараттық жүйеге немесе деректерді беру желісіне "қызмет көрсетуден бас тарту" шабуылы;

      4) серверді зиянды бағдарламамен немесе кодпен зақымдау;

      5) ақпараттық қауіпсіздікті бақылау бұзылуы салдарынан электрондық ақшаны рұқсатсыз аудару;

      6) электрондық ақша жүйесінің операторы қызметінің тұрақтылығына қатер төндіретін ақпараттық қауіпсіздіктің оқыс оқиғалары туралы ақпаратты береді.

      Осы тармақта көрсетілген ақпараттық қауіпсіздіктің оқыс оқиғалары туралы ақпаратты электрондық ақша жүйесінің операторы Қағидаларға 2-қосымшаға сәйкес нысан бойынша ақпараттық қауіпсіздіктің оқыс оқиғасының картасы түрінде мүмкіндігінше қысқа мерзімде, бірақ анықталған кезден бастап 48 сағаттан кешіктірмей береді.

      Ақпараттық қауіпсіздіктің өңделген оқыс оқиғалары бойынша ақпарат ақпараттық қауіпсіздіктің оқиғалары мен оқыс оқиғаларымен алмасу үшін Ұлттық Банктің платформасын пайдалана отырып, электрондық форматта ұсынылады.

      Ақпараттық қауіпсіздіктің әрбір оқыс оқиғасына ақпараттық қауіпсіздіктің оқыс оқиғасының жеке картасы толтырылады.";

      қосымшада жоғарғы оң жақ бұрыштағы мәтін мынадай редакцияда жазылсын:

  "Қазақстан Республикасының
аумағында электрондық ақша
шығару, пайдалану және өтеу
қағидалары, сондай-ақ
электрондық ақша
эмитенттеріне және
электрондық ақша жүйелеріне
қойылатын талаптарға
1-қосымша";

      осы қаулыға 1-қосымшаға сәйкес редакцияда 2-қосымшамен толықтырылсын.

      2. "Төлем ұйымдарының қызметін ұйымдастыру қағидаларын бекіту туралы" Қазақстан Республикасы Ұлттық Банкі Басқармасының 2016 жылғы 31 тамыздағы № 215 қаулысына (Нормативтік құқықтық актілерді мемлекеттік тіркеу тізілімінде № 14347 болып тіркелген) мынадай өзгерістер мен толықтырулар енгізілсін:

      кіріспе мынадай редакцияда жазылсын:

      "Қазақстан Республикасының Ұлттық Банкі туралы" Қазақстан Республикасы Заңының 15-бабы екінші бөлігінің 52-1) тармақшасына, "Мемлекеттік көрсетілетін қызметтер туралы", "Рұқсаттар және хабарламалар туралы" Қазақстан Республикасының заңдарына және "Төлемдер және төлем жүйелері туралы" Қазақстан Республикасы Заңының 4-бабы 1-тармағының 1) тармақшасына сәйкес Қазақстан Республикасы Ұлттық Банкінің Басқармасы ҚАУЛЫ ЕТЕДІ:";

      көрсетілген қаулымен бекітілген Төлем ұйымдарының қызметін ұйымдастыру қағидаларында:

      1 және 2-тармақтар мынадай редакцияда жазылсын:

      "1. Осы Төлем ұйымдарының қызметін ұйымдастыру қағидалары (бұдан әрі – Қағидалар) "Қазақстан Республикасының Ұлттық Банкі туралы" Қазақстан Республикасы Заңының 15-бабы екінші бөлігінің 52-1) тармақшасына, "Мемлекеттік көрсетілетін қызметтер туралы", "Рұқсаттар және хабарламалар туралы" Қазақстан Республикасының заңдарына, "Төлемдер және төлем жүйелері туралы" Қазақстан Республикасы Заңының (бұдан әрі – Төлемдер және төлем жүйелері туралы заң) 4-бабы 1-тармағының 1) тармақшасына сәйкес әзірленді және төлем ұйымдарының қызметін ұйымдастыру тәртібін айқындайды.

      Төлем ұйымдарының қызметін ұйымдастыру тәртібінде Қазақстан Республикасының Ұлттық Банкінде (бұдан әрі – Ұлттық Банк) төлем ұйымдарының есептік тіркелуі, Ұлттық Банктің төлем ұйымдарының тізілімін (бұдан әрі – тізілім) жүргізуі, төлем ұйымдарының төлем қызметтерін көрсетуі, төлем ұйымдарының филиалдарды ашу туралы хабарлауы, төлем ұйымдарының бағдарламалық-техникалық құралдары мен ақпараттық қауіпсіздікті басқару жүйесіне қойылатын талаптар қамтылады.

      2. Қағидаларда Төлемдер және төлем жүйелері туралы заңда көзделген ұғымдар және мына ұғымдар пайдаланылады.

      1) ақпараттық жүйелердегі бұзушылықтарды, іркілістерді қоса алғанда, ақпараттық қауіпсіздіктің оқыс оқиғасы (бұдан әрі – ақпараттық қауіпсіздіктің оқыс оқиғасы) – ақпараттық-коммуникациялық инфрақұрылымның немесе оның жекелеген объектілерінің жұмысында олардың тиісінше жұмыс істеуіне қауіп төндіретін және (немесе) төлем ұйымының электрондық ақпараттық ресурстарын заңсыз алу, көшіріп алу, тарату, түрлендіру, жою немесе бұғаттау үшін жағдай жасайтын, жеке түрде немесе сериялы түрде туындайтын іркілістер;

      2) ақпараттық жүйелердегі бұзушылықтар, іркілістер туралы мәліметтерді қоса алғанда, ақпараттық қауіпсіздіктің оқыс оқиғалары туралы ақпарат – ақпараттық-коммуникациялық инфрақұрылымның немесе оның жекелеген объектілерінің жұмысында олардың тиісінше жұмыс істеуіне қауіп төндіретін және (немесе) төлем ұйымының электрондық ақпараттық ресурстарын заңсыз алу, көшіріп алу, тарату, түрлендіру, жою немесе бұғаттау үшін жағдай жасайтын, жеке түрде немесе сериялы түрде туындайтын іркілістер туралы ақпарат;

      3) ақпараттық қауіпсіздік – электрондық ақпараттық ресурстардың, ақпараттық жүйелердің және ақпараттық-коммуникациялық инфрақұрылымның сыртқы және ішкі қауіптерден қорғалу жай-күйі;

      4) ақпараттық қауіпсіздік қатері – ақпараттық қауіпсіздіктің оқыс оқиғаcының туындауына алғышарттар жасайтын жағдайлар мен факторлардың жиынтығы;

      5) ақпараттық қауіпсіздікті қамтамасыз ету – төлем ұйымының ақпараттық активтерінің конфиденциалдылық, тұтастық және қолжетімділік күйін ұстап тұруға бағытталған процесс;

      6) ақпараттық-коммуникациялық инфрақұрылымды қорғау аясы – төлем ұйымның ақпараттық-коммуникациялық инфрақұрылымын сыртқы ақпараттық желілерден оқшаулайтын және ақпараттық қауіпсіздік қатерлерінен қорғауды қамтамасыз ететін бағдарламалық-ақпараттық құралдардың жиынтығы;

      7) төлем ұйымының ақпараттық активі – ақпараттың және оны сақтау және (немесе) өңдеу үшін пайдаланылатын ақпараттық-коммуникациялық инфрақұрылым объектісінің жиынтығы;

      8) төлем ұйымының ақпараттық-коммуникациялық инфрақұрылымы (бұдан әрі – ақпараттық инфрақұрылым) – электрондық ақпараттық ресурстарды қалыптастыру және оларға қолжетімділікті ұсыну мақсатында технологиялық ортаның жұмыс істеуін қамтамасыз етуге арналған ақпараттық-коммуникациялық инфрақұрылым объектілерінің жиынтығы.";

      7 тармақ мынадай редакцияда жазылсын:

      "7. Төлем ұйымының қызметін жүзеге асыру қағидаларында мынадай міндетті талаптар қамтылады:

      1) төлем ұйымы көрсететін төлем қызметтерінің сипаттамасы;

      2) төлем ұйымының клиенттеріне төлем қызметтерін көрсету тәртібі мен мерзімдері;

      3) төлем ұйымы көрсететін төлем қызметтерінің құны (тарифтері);

      4) төлем ұйымы көрсететін төлем қызметтерін технологиялық қамтамасыз етуді қамтамасыз ететін үшінші тұлғалармен өзара іс-қимыл тәртібі;

      5) төлем ұйымы пайдаланатын тәуекелдерді басқару жүйесі туралы мәліметтер;

      6) клиенттермен даулы ахуалдарды реттеу және дауларды шешу тәртібі;

      7) ақпараттық қауіпсіздік шараларын сақтау тәртібі;

      8) көрсетілетін төлем қызметтерін жүзеге асыру үшін қажетті бағдарламалық-техникалық құралдардың және жабдықтардың сипаттамасы.";

      мынадай мазмұндағы 6-тараумен толықтырылсын:

      "6-тарау. Төлем ұйымдарының бағдарламалық-техникалық құралдарына және ақпараттық қауіпсіздікті басқару жүйесіне қойылатын талаптар

      34. Бағдарламалық қамтамасыз ету мыналарды:

      1) жабдықтың кез келген учаскесінде кез келген уақытта электрқуаты толық немесе ішінара ажыратылған кезде ақпаратты сенімді сақтауды, рұқсат етілмеген қолжеткізуден қорғауды, дерекқордың тұтастығын және электрондық архивтер мен дерекқорлардағы ақпараттың толық сақталуын;

      2) қолжеткізудің кемінде екі: әкімші және пайдаланушы деңгейін көздейтін бағдарламалық қамтамасыз етуде іске асырылған кіріс деректеріне, функцияларға, операцияларға, есептерге көп деңгейлі қолжетімділікті;

      3) операцияларды жүргізу және тіркеу үшін қажетті, толтырылуы міндетті жолдардың енгізілетін деректерінің толықтығын бақылауды (функцияларды немесе операцияларды барлық жолдарды толық толтырмай орындаған кезде бағдарлама тиісті хабарлама беруді қамтамасыз етеді);

      4) сұратуды сақтай отырып, осы ақпараттық жүйе үшін айқындалған өлшемшарттар мен өлшемдер бойынша ақпаратты іздеуді, сондай-ақ ақпаратты кез келген өлшем (осы ақпараттық жүйе үшін айқындалған) бойынша сұрыптауды және егер мұндай ақпарат ақпараттық жүйеде сақталуға жататын болса, алдыңғы күндердегі ақпаратты қарап шығу мүмкіндігін;

      5) ақпаратты өңдеуді және оны күні мен уақыты бойынша сақтауды;

      6) төлем ұйымдары Ұлттық Банкке ұсынатын есептердің, сондай-ақ жүргізілген операциялар туралы есептердің нысандарын автоматты түрде қалыптастыруды;

      7) ішкі есепке алу жүйесінің журналдарын жүргізуді және автоматтандырылған қалыптастыруды қамтамасыз етеді. Бағдарламалық қамтамасыз ету журналды толығымен, сондай-ақ ішінара (көрсетілген күндер ауқымына, белгілі бір күнге) қалыптастырады;

      8) есепке алу жүйелерінде сақталатын деректерді резервтеу және қалпына келтіру мүмкіндігін;

      9) шығыс құжаттарды экранға, принтерге немесе файлға шығару мүмкіндігін;

      10) электрондық құжаттармен алмасу мүмкіндігін;

      11) мынадай атрибуттарды: оқиғаның басталған күні мен уақытын, оқиғаның атауын, іс-әрекетті жүргізген пайдаланушыны, жазбаның сәйкестендіргішін, оқиғаның аяқталған күні мен уақытын, оқиғаның орындалу нәтижесін сақтай отырып, ақпараттық жүйеде болып жатқан оқиғаларды тіркеуді және сәйкестендіруді қамтамасыз етеді.

      35. Төлем ұйымдары ақпараттық қауіпсіздікті қамтамасыз ету процесін басқаруға арналған төлем ұйымының жалпы басқару жүйесінің бөлігі болып табылатын ақпараттық қауіпсіздікті басқару жүйесін құруды және оның жұмыс істеуін қамтамасыз етеді.

      36. Ақпараттық қауіпсіздікті басқару жүйесі төлем ұйымының бизнес-процестері үшін ықтимал залалдың ең төменгі деңгейіне жол беретін төлем ұйымының ақпараттық активтерін қорғауды қамтамасыз етеді.

      37. Төлем ұйымы ақпараттық қауіпсіздікті басқару жүйесінің тиісті деңгейін, оның дамуы мен жақсаруын қамтамасыз етеді.

      38. Төлем ұйымы төлем ұйымы ақпаратының конфиденциалдылығын, тұтастығын және қолжетімділігін қамтамасыз ету мақсатында мынадай функцияларды жүзеге асырады:

      1) ақпараттық қауіпсіздікті басқару жүйесін ұйымдастырады, ақпараттық қауіпсіздікті қамтамасыз ету жөніндегі қызметті және қатерлерді анықтау және талдау, шабуылдарға қарсы іс-қимыл жасау және ақпараттық қауіпсіздіктің оқыс оқиғаларын тергеп-тексеру жөніндегі іс-шараларды үйлестіруді және бақылауды жүзеге асырады;

      2) ақпараттық қауіпсіздікті қамтамасыз ету процесін әдіснамалық қолдауды қамтамасыз етеді;

      3) өз өкілеттіктері шеңберінде ақпараттық қауіпсіздікті басқару, қамтамасыз ету және бақылау әдістерін, құралдары мен тетіктерін таңдауды, енгізуді және қолдануды жүзеге асырады;

      4) ақпараттық қауіпсіздіктің оқыс оқиғалары туралы ақпаратты жинауды, шоғырландыруды, сақтауды және өңдеуді жүзеге асырады;

      5) ақпараттық қауіпсіздіктің оқыс оқиғалары туралы ақпаратқа талдауды жүзеге асырады;

      6) ақпараттық қауіпсіздікті қамтамасыз ету процесін автоматтандыратын бағдарламалық-техникалық құралдарды енгізуді, тиісті жұмыс істеуін, сондай-ақ оларға қолжеткізуді қамтамасыз етеді;

      7) артықшылықты есептік жазбаларды пайдалану бойынша шектеулерді айқындайды;

      8) төлем ұйымы қызметкерлерінің ақпараттық қауіпсіздік мәселелерінде хабардар болуын қамтамасыз ету жөніндегі іс-шараларды ұйымдастырады және өткізеді;

      9) төлем ұйымының ақпараттық қауіпсіздігін басқару жүйесінің жай-күйіне мониторингті жүзеге асырады;

      10) мерзімді түрде (бірақ жылына кемінде бір рет) төлем ұйымының басшылығына төлем ұйымының ақпараттық қауіпсіздігін басқару жүйесінің жай-күйі туралы хабарлауды жүзеге асырады.

      39. Төлем ұйымы ақпараттық активтерге қатысты қолайлы деңгейдің өлшемшарттарын көрсете отырып, ақпараттық қауіпсіздік тәуекелдерін басқарады.

      Ақпараттық қауіпсіздік тәуекелдерін іске асыру кезінде осындай тәуекелдердің туындауын барынша азайтуға бағытталған іс-шаралар жоспары әзірленеді.

      40. Ақпараттық қауіпсіздікті қамтамасыз ету жөніндегі қызметке мониторинг жүргізу барысында алынған ақпараттық қауіпсіздіктің оқыс оқиғалары туралы ақпарат шоғырландырылуға, жүйелендірілуге және сақталуға тиіс.

      41. Ақпараттық қауіпсіздіктің оқыс оқиғалары туралы ақпаратты сақтау мерзімі кемінде 5 (бес) жылды құрайды.

      42. Төлем ұйымы ақпараттық қауіпсіздіктің оқыс оқиғасын, оның себептері мен салдарын жоюға шұғыл шаралар қабылдау тәртібін айқындайды.

      43. Төлем ұйымында ақпараттық қауіпсіздіктің оқыс оқиғасы, қабылданған шаралар және ұсынылатын түзету шаралары туралы барлық ақпаратты көрсете отырып, ақпараттық қауіпсіздіктің оқыс оқиғаларын есепке алу журналы жүргізіледі.

      44. Төлем ұйымы Ұлттық Банкке ақпараттық қауіпсіздіктің мынадай анықталған оқыс оқиғалары:

      1) қолданбалы және жүйелік бағдарламалық қамтамасыз етудегі осалдықтарды пайдалану;

      2) ақпараттық жүйеге рұқсатсыз кіру;

      3) ақпараттық жүйеге немесе деректерді беру желісіне "қызмет көрсетуден бас тарту" шабуылы;

      4) серверді зиянды бағдарламамен немесе кодпен зақымдау;

      5) ақпараттық қауіпсіздікті бақылауды бұзу салдарынан ақша қаражатын санкциясыз аудару;

      6) төлем ұйымы қызметінің тұрақтылығына қатер төндіретін ақпараттық қауіпсіздіктің оқыс оқиғалары туралы ақпарат ұсынады.

      Осы тармақта көрсетілген ақпараттық қауіпсіздіктің оқыс оқиғалары туралы ақпаратты төлем ұйымы Қағидаларға 7-қосымшаға сәйкес нысан бойынша ақпараттық қауіпсіздіктің оқыс оқиғасы картасы түрінде мүмкіндігінше қысқа мерзімде, бірақ анықталған кезден бастап 48 сағаттан кешіктірмей ұсынады.

      Ақпараттық қауіпсіздіктің өңделген оқыс оқиғалары бойынша ақпарат ақпараттық қауіпсіздіктің оқиғалары мен оқыс оқиғаларын алмасу үшін Ұлттық Банктің платформасын пайдалана отырып, электрондық форматта ұсынылады.

      Ақпараттық қауіпсіздіктің әрбір оқыс оқиғасына ақпараттық қауіпсіздіктің оқыс оқиғасының жеке картасы толтырылады.";

      осы қаулыға 2-қосымшаға сәйкес редакциядағы 7-қосымшамен толықтырылсын.

      3. Төлем жүйелері департаменті (Е.Т. Ашықбеков) Қазақстан Республикасының заңнамасында белгіленген тәртіппен:

      1) Заң департаментімен (А.С. Касенов) бірлесіп осы қаулының Қазақстан Республикасының Әділет министрлігінде мемлекеттік тіркеуді;

      2) осы қаулы ресми жарияланғаннан кейін оны Қазақстан Республикасы Ұлттық Банкінің ресми интернет-ресурсына орналастыруды;

      3) осы қаулы мемлекеттік тіркелгеннен кейін он жұмыс күні ішінде Заң департаментіне осы тармақтың 2) тармақшасында көзделген іс-шараның орындалуы туралы мәліметтерді ұсынуды қамтамасыз етсін.

      4. Осы қаулының орындалуын бақылау Қазақстан Республикасы Ұлттық Банкі Төрағасының орынбасары Б.Ш. Шолпанқұловқа жүктелсін.

      5. Осы қаулы 2022 жылғы 1 сәуірден бастап қолданысқа енгізіледі.

      Қазақстан Республикасы
Ұлттық Банкінің Төрағасы
Е. Досаев

      КЕЛІСІЛДІ
Қазақстан Республикасы
Ұлттық экономика министрлігі

      КЕЛІСІЛДІ
Қазақстан Республикасы
Цифрлық даму, инновациялар және
аэроғарыш өнеркәсібі министрлігі

  Қазақстан Республикасы
Ұлттық Банкі Басқармасының
2021 жылғы 20 желтоқсандағы
№ 116 Қаулыға
1-қосымша
Қазақстан Республикасының
аумағында электрондық ақша
шығару, пайдалану және өтеу
қағидаларына, сондай-ақ
электрондық ақша
эмитенттеріне және
электрондық ақша жүйелеріне
қойылатын талаптарға
2-қосымша
Нысан

Ақпараттық қауіпсіздіктің оқыс оқиғасы картасы

Жалпы мәліметтер

Ақпараттық қауіпсіздіктің оқыс оқиғасының сипаттамасы

Ақпараттық қауіпсіздіктің оқыс оқиғасы туралы ақпарат

1

Ақпараттық қауіпсіздіктің оқыс оқиғасының атауы


2

Анықталған күні мен уақыты (кк.аа.жжжж және сс:мм сағат белдеуін көрсете отырып UTC+X)


3

Анықталған орны (ұйым, филиал, ақпараттық инфрақұрылым сегменті)


4

Ақпараттық қауіпсіздіктің оқыс оқиғасы туралы ақпараттың дереккөзі (пайдаланушы, әкімші, ақпараттық қауіпсіздік әкімшісі, ақпараттық қауіпсіздік бөлімшесінің қызметкері немесе техникалық құрал)


5

Ақпараттық қауіпсіздіктің оқыс оқиғасы іске асырылған кезде қолданылған әдістер (әлеуметтік инженерия, зиянды кодты ендіру)


Ақпараттық қауіпсіздіктің оқыс оқиғасының мазмұны

6

Ақпараттық қауіпсіздіктің оқыс оқиғасының нышандары, белгілері


7

Негізгі оқиғалар (қолданбалы және жүйелік бағдарламалық қамтамасыз етуде осалдылықтарды пайдалану; ақпараттық жүйеге рұқсатсыз кіру; ақпараттық жүйеге немесе деректерді беру желісіне "қызмет көрсетуден бас тартуға" шабуылы; сервердің зиянды бағдарламамен немесе кодпен зақымдануы; ақша қаражатын рұқсат етілмеген аудару; электрондық ақша жүйесі операторы қызметінің тұрақтылығына қауіп төндіретін ақпараттық қауіпсіздіктің оқыс оқиғалары)


8

Зақымданған активтер (электрондық ақша жүйесі операторының ақпараттық инфрақұрылымының нақты деңгейі, желілік жабдығының деңгейі, желілік қосымшалар мен сервистердің деңгейі, операциялық жүйе деңгейі, технологиялық процестер мен қосымшаларының деңгейі және бизнес-процестердің деңгейі)


9

Ақпараттық қауіпсіздіктің оқыс оқиғасының мәртебесі (аяқталған ақпараттық қауіпсіздіктің оқыс оқиғасы, ақпараттық қауіпсіздіктің оқыс оқиғасын жүзеге асыру әрекеті, ақпараттық қауіпсіздіктің оқыс оқиғасына күмән)


10

Залал


11

Қауіп көздері (анықталған идентификаторлар)


12

Ниеттілік (қасақана, қате)


Ақпараттық қауіпсіздіктің оқыс оқиғасы бойынша қабылданған шаралар

13

Қабылданған іс-әрекеттер (осалдылықты сәйкестендіру, оқшаулау, қалпына келтіру)


14

Ақпараттық қауіпсіздік тәуекелдерінің туындауын барынша азайтуға бағытталған жоспарланған іс-әрекеттер


15

Хабардар болған тұлғалар (лауазымды тұлғалардың (тегі, аты, әкесінің аты (ол бар болса), мемлекеттік органдардың, ұйымдардың атауы)


16

Тартылған мамандар (тегі, аты, әкесінің аты (ол бар болса), жұмыс орны, қызметі)


      Ақпараттық қауіпсіздік бөлімшесінің жауапты қызметкері

      ____________________________________________ __________________

      (тегі, аты, әкесінің аты (ол бар болса) (қолы)

      Күні 20 ___ жылғы "____" ______

  Қаулыға
2-қосымша
Төлем ұйымдарының қызметін
ұйымдастыру қағидаларына
7-қосымша
Нысан

Ақпараттық қауіпсіздіктің оқыс оқиғасы картасы

Жалпы мәліметтер

Ақпараттық қауіпсіздіктің оқыс оқиғасының сипаттамасы

Ақпараттық қауіпсіздіктің оқыс оқиғасы туралы ақпарат

1

Ақпараттық қауіпсіздіктің оқыс оқиғасының атауы


2

Анықталған күні мен уақыты (кк.аа.жжжж және сс:мм сағат белдеуін көрсете отырып UTC+X)


3

Анықталған орны (ұйым, филиал, ақпараттық инфрақұрылым сегменті)


4

Ақпараттық қауіпсіздіктің оқыс оқиғасы туралы ақпараттың дереккөзі (пайдаланушы, әкімші, ақпараттық қауіпсіздік әкімшісі, ақпараттық қауіпсіздік бөлімшесінің қызметкері немесе техникалық құрал)


5

Ақпараттық қауіпсіздіктің оқыс оқиғасы іске асырылған кезде қолданылған әдістер (әлеуметтік инженерия, зиянды кодты ендіру)


Ақпараттық қауіпсіздіктің оқыс оқиғасының мазмұны

6

Ақпараттық қауіпсіздіктің оқыс оқиғасының нышандары, белгілері


7

Негізгі оқиғалар (қолданбалы және жүйелік бағдарламалық қамтамасыз етуде осалдылықтарды пайдалану; ақпараттық жүйеге рұқсатсыз кіру; ақпараттық жүйеге немесе деректерді беру желісіне "қызмет көрсетуден бас тартуға" шабуылы; сервердің зиянды бағдарламамен немесе кодпен зақымдануы; ақша қаражатын рұқсат етілмеген аудару; электрондық ақша жүйесі операторы қызметінің тұрақтылығына қауіп төндіретін ақпараттық қауіпсіздіктің оқыс оқиғалары)


8

Зақымданған активтер (электрондық ақша жүйесі операторының ақпараттық инфрақұрылымының нақты деңгейі, желілік жабдығының деңгейі, желілік қосымшалар мен сервистердің деңгейі, операциялық жүйе деңгейі, технологиялық процестер мен қосымшаларының деңгейі және бизнес-процестердің деңгейі)


9

Ақпараттық қауіпсіздіктің оқыс оқиғасының мәртебесі (аяқталған ақпараттық қауіпсіздіктің оқыс оқиғасы, ақпараттық қауіпсіздіктің оқыс оқиғасын жүзеге асыру әрекеті, ақпараттық қауіпсіздіктің оқыс оқиғасына күмән)


10

Залал


11

Қауіп көздері (анықталған идентификаторлар)


12

Ниеттілік (қасақана, қате)


Ақпараттық қауіпсіздіктің оқыс оқиғасы бойынша қабылданған шаралар

13

Қабылданған іс-әрекеттер (осалдылықты сәйкестендіру, оқшаулау, қалпына келтіру)


14

Ақпараттық қауіпсіздік тәуекелдерінің туындауын барынша азайтуға бағытталған жоспарланған іс-әрекеттер


15

Хабардар болған тұлғалар (лауазымды тұлғалардың (тегі, аты, әкесінің аты (ол бар болса), мемлекеттік органдардың, ұйымдардың атауы)


16

Тартылған мамандар (тегі, аты, әкесінің аты (ол бар болса), жұмыс орны, қызметі)


      Ақпараттық қауіпсіздік бөлімшесінің жауапты қызметкері

      ____________________________________________ __________________

      (тегі, аты, әкесінің аты (ол бар болса) (қолы)

      Күні 20 ___ жылғы "____" ______

О внесении изменений и дополнений в постановления Правления Национального Банка Республики Казахстан от 31 августа 2016 года № 202 "Об утверждении Правил выпуска, использования и погашения электронных денег, а также требований к эмитентам электронных денег и системам электронных денег на территории Республики Казахстан" и от 31 августа 2016 года № 215 "Об утверждении Правил организации деятельности платежных организаций"

Постановление Правления Национального Банка Республики Казахстан от 20 декабря 2021 года № 116. Зарегистрировано в Министерстве юстиции Республики Казахстан 10 января 2022 года № 26413

      Примечание ИЗПИ!
      Порядок введения в действие см. п. 5.

      В соответствии с подпунктами 42) и 52-1) части второй статьи 15 Закона Республики Казахстан "О Национальном Банке Республики Казахстан" и подпунктами 1) и 12) пункта 1 статьи 4 Закона Республики Казахстан "О платежах и платежных системах" Правление Национального Банка Республики Казахстан ПОСТАНОВЛЯЕТ:

      1. Внести в постановление Правления Национального Банка Республики Казахстан от 31 августа 2016 года № 202 "Об утверждении Правил выпуска, использования и погашения электронных денег, а также требований к эмитентам электронных денег и системам электронных денег на территории Республики Казахстан" (зарегистрировано в Реестре государственной регистрации нормативных правовых актов под № 14298) следующие изменения и дополнения:

      преамбулу изложить в следующей редакции:

      "В соответствии с подпунктом 42) части второй статьи 15 Закона Республики Казахстан "О Национальном Банке Республики Казахстан" и подпунктом 12) пункта 1 статьи 4 Закона Республики Казахстан "О платежах и платежных системах" Правление Национального Банка Республики Казахстан ПОСТАНОВЛЯЕТ:";

      в Правилах выпуска, использования и погашения электронных денег, а также требованиях к эмитентам электронных денег и системам электронных денег на территории Республики Казахстан, утвержденных указанным постановлением:

      часть первую пункта 1 изложить в следующей редакции:

      "1. Настоящие Правила выпуска, использования и погашения электронных денег, а также требования к эмитентам электронных денег и системам электронных денег на территории Республики Казахстан (далее – Правила) разработаны в соответствии с подпунктом 42) части второй статьи 15 Закона Республики Казахстан "О Национальном Банке Республики Казахстан" и подпунктом 12) пункта 1 статьи 4 Закона Республики Казахстан "О платежах и платежных системах" (далее – Закон о платежах и платежных системах) и определяют порядок выпуска, использования и погашения электронных денег на территории Республики Казахстан, а также требования к эмитентам электронных денег (далее – эмитент) и системам электронных денег на территории Республики Казахстан.";

      пункт 2 изложить в следующей редакции:

      "2. В Правилах используются понятия, предусмотренные статьей 1 Закона о платежах и платежных системах, а также следующие понятия:

      1) инцидент информационной безопасности, включая нарушения, сбои в информационных системах (далее – инцидент информационной безопасности) – отдельно или серийно возникающие сбои в работе информационно-коммуникационной инфраструктуры или отдельных ее объектов, создающие угрозу их надлежащему функционированию и (или) условия для незаконного получения, копирования, распространения, модификации, уничтожения или блокирования электронных информационных ресурсов оператора системы электронных денег;

      2) информация об инцидентах информационной безопасности, включая сведения о нарушениях, сбоях в информационных системах – информация об отдельно или серийно возникающих сбоях в работе информационно-коммуникационной инфраструктуры или отдельных ее объектов, создающих угрозу их надлежащему функционированию и (или) условия для незаконного получения, копирования, распространения, модификации, уничтожения или блокирования электронных информационных ресурсов оператора системы электронных денег;

      3) периметр защиты информационно-коммуникационной инфраструктуры – совокупность программно-аппаратных средств, отделяющих информационно-коммуникационную инфраструктуру оператора системы электронных денег от внешних информационных сетей и обеспечивающих защиту от угроз информационной безопасности;

      4) информационная безопасность – состояние защищенности электронных информационных ресурсов, информационных систем и информационно-коммуникационной инфраструктуры от внешних и внутренних угроз;

      5) угроза информационной безопасности – совокупность условий и факторов, создающих предпосылки к возникновению инцидента информационной безопасности;

      6) обеспечение информационной безопасности – процесс, направленный на поддержание состояния конфиденциальности, целостности и доступности информационных активов оператора системы электронных денег;

      7) процедура безопасности – комплекс организационных мер и программно-технических средств защиты информации, предназначенных для удостоверения прав владельца электронных денег на использование электронных денег и обнаружения ошибок и (или) изменений в содержании передаваемых и получаемых электронным способом сообщений (далее - электронное сообщение) при использовании электронных денег;

      8) информационный актив оператора системы электронных денег – совокупность информации и объекта информационно-коммуникационной инфраструктуры, используемого для ее хранения и (или) обработки;

      9) информационно-коммуникационная инфраструктура оператора системы электронных денег (далее – информационная инфраструктура) – совокупность объектов информационно-коммуникационной инфраструктуры, предназначенных для обеспечения функционирования технологической среды в целях формирования электронных информационных ресурсов и предоставления доступа к ним;

      10) внутренние правила системы электронных денег – правила, в соответствии с которыми производятся выпуск, реализация, приобретение, погашение электронных денег, а также осуществляются операции с их использованием в системе электронных денег;

      11) личный кабинет владельца электронных денег – персональный раздел владельца электронных денег на интернет-ресурсе системы электронных денег, посредством которого владелец электронных денег имеет доступ к своему электронному кошельку для получения необходимой информации об остатке электронных денег, операциях, проведенных по нему, осуществления платежей и иных операций с использованием электронных денег в порядке, предусмотренном внутренними правилами системы электронных денег и договорами, заключенными между оператором системы электронных денег (далее – оператор) или эмитентом и владельцем электронных денег. Перечень предоставляемых услуг посредством личного кабинета владельца электронных денег устанавливается оператором;

      12) обменные операции с электронными деньгами – операции по обмену электронных денег, выпущенных одним эмитентом, на электронные деньги другого эмитента, являющегося участником другой системы электронных денег;

      13) принудительное погашение электронных денег – операция по погашению электронных денег, предусматривающая перечисление равной номинальной их стоимости на банковский счет владельца электронных денег либо на консолидированный счет эмитента до их востребования физическим лицом;

      14) прекращение выпуска электронных денег – прекращение деятельности эмитента по оказанию платежной услуги, предусматривающей выдачу электронных денег физическому лицу или агенту системы электронных денег (далее – агент) путем обмена на равную по их номинальной стоимости сумму денег;

      15) блокирование электронного кошелька – полный или частичный запрет на использование электронных денег, хранящихся в электронном кошельке владельца электронных денег.";

      абзац первый пункта 4 изложить в следующей редакции:

      "4. Эмитент в течение десяти календарных дней с даты начала осуществления деятельности по выпуску электронных денег уведомляет об этом Национальный Банк Республики Казахстан по форме согласно приложению 1 к Правилам и представляет следующие документы и сведения:";

      пункт 38 изложить в следующей редакции:

      "38. Эмитент за тридцать календарных дней до момента прекращения выпуска электронных денег уведомляет об этом Национальный Банк Республики Казахстан по форме согласно приложению 1 к Правилам.";

      пункт 50 изложить в следующей редакции:

      "50. Удаленная идентификация владельца электронных денег - физического лица осуществляется эмитентом и (или) оператором на основании сведений из доступных источников, полученных от операционного центра межбанковской системы переводов денег, в порядке и по основаниям, предусмотренным Правилами оказания банками, филиалами банков-нерезидентов Республики Казахстан и организациями, осуществляющими отдельные виды банковских операций, электронных банковских услуг, утвержденными постановлением Правления Национального Банка Республики Казахстан от 31 августа 2016 года № 212 (зарегистрировано в Реестре государственной регистрации нормативных правовых актов под № 14337).";

      дополнить главой 7 следующего содержания:

      "Глава 7. Требования к программно-техническим средствам и системам управления информационной безопасностью операторов систем электронных денег, являющихся платежными организациями

      55. Программное обеспечение обеспечивает:

      1) надежное хранение информации, защиту от несанкционированного доступа, целостность баз данных и полную сохранность информации в электронных архивах и базах данных при полном или частичном отключении электропитания в любое время на любом участке оборудования;

      2) многоуровневый доступ к входным данным, функциям, операциям, отчетам, реализованным в программном обеспечении, предусматривающим как минимум, два уровня доступа: администратор и пользователь;

      3) контроль полноты вводимых данных полей обязательных к заполнению, необходимых для проведения и регистрации операций (при выполнении функций или операций без полного заполнения всех полей программа обеспечивает выдачу соответствующего уведомления);

      4) поиск информации по критериям и параметрам, определенным для данной информационной системы, с сохранением запроса, а также сортировку информации по любым параметрам (определенным для данной информационной системы) и возможность просмотра информации за предыдущие даты, если такая информация подлежит хранению в информационной системе;

      5) обработку информации и ее хранение по дате и времени;

      6) автоматизированное формирование форм отчетов, представляемых операторами систем электронных денег в Национальный Банк Республики Казахстан, а также отчетов о проведенных операциях;

      7) ведение и автоматизированное формирование журналов системы внутреннего учета. Программное обеспечение формирует журнал полностью, а также частично (на указанный диапазон дат, определенную дату);

      8) возможность резервирования и восстановления данных, хранящихся в учетных системах;

      9) возможность вывода выходных документов на экран, принтер или в файл;

      10) возможность обмена электронными документами;

      11) регистрацию и идентификацию происходящих в информационной системе событий с сохранением следующих атрибутов: дата и время начала события, наименование события, пользователь, производивший действие, идентификатор записи, дата и время окончания события, результат выполнения события.

      56. Операторы систем электронных денег обеспечивают создание и функционирование системы управления информационной безопасностью, являющейся частью общей системы управления операторов систем электронных денег, предназначенной для управления процессом обеспечения информационной безопасности.

      57. Система управления информационной безопасностью обеспечивает защиту информационных активов операторов систем электронных денег, допускающую минимальный уровень потенциального ущерба для бизнес-процессов операторов систем электронных денег.

      58. Оператор системы электронных денег обеспечивает надлежащий уровень системы управления информационной безопасностью, ее развитие и улучшение.

      59. Оператор системы электронных денег в целях обеспечения конфиденциальности, целостности и доступности информации осуществляет следующие функции:

      1) организует систему управления информационной безопасностью, осуществляет координацию и контроль деятельности по обеспечению информационной безопасности и мероприятий по выявлению и анализу угроз, противодействию атакам и расследованию инцидентов информационной безопасности;

      2) обеспечивает методологическую поддержку процесса обеспечения информационной безопасности;

      3) осуществляет выбор, внедрение и применение методов, средств и механизмов управления, обеспечения и контроля информационной безопасности в рамках своих полномочий;

      4) осуществляет сбор, консолидацию, хранение и обработку информации об инцидентах информационной безопасности;

      5) осуществляет анализ информации об инцидентах информационной безопасности;

      6) обеспечивает внедрение, надлежащее функционирование программно-технических средств, автоматизирующих процесс обеспечения информационной безопасности, а также предоставление доступа к ним;

      7) определяет ограничения по использованию привилегированных учетных записей;

      8) организует и проводит мероприятия по обеспечению осведомленности работников оператора систем электронных денег в вопросах информационной безопасности;

      9) осуществляет мониторинг состояния системы управления информационной безопасностью оператора систем электронных денег;

      10) периодически (но не реже одного раза в год) осуществляет информирование руководства оператора системы электронных денег о состоянии системы управления информационной безопасностью.

      60. Оператор системы электронных денег управляет рисками информационной безопасности с указанием критериев приемлемого уровня по отношению к информационным активам.

      При реализации рисков информационной безопасности разрабатывается план мероприятий, направленный на минимизацию возникновения подобных рисков.

      61. Информация об инцидентах информационной безопасности, полученная в ходе мониторинга деятельности по обеспечению информационной безопасности, подлежит консолидации, систематизации и хранению.

      62. Срок хранения информации об инцидентах информационной безопасности составляет не менее 5 (пяти) лет.

      63. Оператором системы электронных денег определяется порядок принятия неотложных мер к устранению инцидента информационной безопасности, его причин и последствий.

      64. Оператор систем электронных денег ведет журнал учета инцидентов информационной безопасности с отражением всей информации об инциденте информационной безопасности, принятых мерах и предлагаемых корректирующих мерах.

      65. Оператор системы электронных денег предоставляет в Национальный Банк информацию о следующих выявленных инцидентах информационной безопасности:

      1) эксплуатация уязвимостей в прикладном и системном программном обеспечении;

      2) несанкционированный доступ в информационную систему;

      3) атака "отказ в обслуживании" на информационную систему или сеть передачи данных;

      4) заражение сервера вредоносной программой или кодом;

      5) совершение несанкционированного перевода электронных денег вследствие нарушения контролей информационной безопасности;

      6) инцидентах информационной безопасности, несущих угрозу стабильности деятельности оператора системы электронных денег.

      Информация об инцидентах информационной безопасности, указанных в настоящем пункте, предоставляется оператором системы электронных денег в возможно короткий срок, но не позднее 48 часов с момента выявления, в виде карты инцидента информационной безопасности по форме согласно приложению 2 к Правилам.

      Информация по обработанным инцидентам информационной безопасности представляется в электронном формате с использованием платформы Национального Банка для обмена событиями и инцидентами информационной безопасности.

      На каждый инцидент информационной безопасности заполняется отдельная карта инцидента информационной безопасности.";

      в приложении текст в правом верхнем углу изложить в следующей редакции:

  "Приложение 1
к Правилам выпуска,
использования и погашения
электронных денег,
а также требованиям
к эмитентам электронных денег
и системам электронных денег
на территории Республики Казахстан";

      дополнить приложением 2 в редакции согласно приложению 1 к настоящему постановлению.

      2. Внести в постановление Правления Национального Банка Республики Казахстан от 31 августа 2016 года № 215 "Об утверждении Правил организации деятельности платежных организаций" (зарегистрировано в Реестре государственной регистрации нормативных правовых актов под № 14347) следующие изменения и дополнения:

      преамбулу изложить в следующей редакции:

      "В соответствии с подпунктом 52-1) части второй статьи 15 Закона Республики Казахстан "О Национальном Банке Республики Казахстан", законами Республики Казахстан "О государственных услугах", "О разрешениях и уведомлениях", и подпунктом 1) пункта 1 статьи 4 Закона Республики Казахстан "О платежах и платежных системах" Правление Национального Банка Республики Казахстан ПОСТАНОВЛЯЕТ:";

      в Правилах организации деятельности платежных организаций, утвержденных указанным постановлением:

      пункты 1 и 2 изложить в следующей редакции:

      "1. Настоящие Правила организации деятельности платежных организаций (далее – Правила) разработаны в соответствии с подпунктом 52-1) части второй статьи 15 Закона Республики Казахстан "О Национальном Банке Республики Казахстан", законами Республики Казахстан "О государственных услугах", "О разрешениях и уведомлениях", подпунктом 1) пункта 1 статьи 4 Закона Республики Казахстан "О платежах и платежных системах" (далее – Закон о платежах и платежных системах) и определяют порядок организации деятельности платежных организаций.

      Порядок организации деятельности платежных организаций включает учетную регистрацию платежных организаций в Национальном Банке Республики Казахстан (далее – Национальный Банк), ведение Национальным Банком реестра платежных организаций (далее – реестр), оказание платежных услуг платежными организациями, уведомление платежными организациями об открытии филиалов, требования к программно-техническим средствам платежных организаций и системе управления информационной безопасности.

      2. В Правилах используются понятия, предусмотренные Законом о платежах и платежных системах, и следующие понятия:

      1) информация об инцидентах информационной безопасности, включая сведения о нарушениях, сбоях в информационных системах – информация об отдельно или серийно возникающих сбоях в работе информационно-коммуникационной инфраструктуры или отдельных ее объектов, создающих угрозу их надлежащему функционированию и (или) условия для незаконного получения, копирования, распространения, модификации, уничтожения или блокирования электронных информационных ресурсов платежной организации;

      2) инцидент информационной безопасности, включая нарушения, сбои в информационных системах (далее – инцидент информационной безопасности) – отдельно или серийно возникающие сбои в работе информационно-коммуникационной инфраструктуры или отдельных ее объектов, создающие угрозу их надлежащему функционированию и (или) условия для незаконного получения, копирования, распространения, модификации, уничтожения или блокирования электронных информационных ресурсов платежной организации;

      3) информационная безопасность – состояние защищенности электронных информационных ресурсов, информационных систем и информационно-коммуникационной инфраструктуры от внешних и внутренних угроз;

      4) угроза информационной безопасности – совокупность условий и факторов, создающих предпосылки к возникновению инцидента информационной безопасности;

      5) обеспечение информационной безопасности – процесс, направленный на поддержание состояния конфиденциальности, целостности и доступности информационных активов платежной организации;

      6) периметр защиты информационно-коммуникационной инфраструктуры – совокупность программно-аппаратных средств, отделяющих информационно-коммуникационную инфраструктуру платежной организации от внешних информационных сетей и обеспечивающих защиту от угроз информационной безопасности;

      7) информационно-коммуникационная инфраструктура платежной организации (далее – информационная инфраструктура) – совокупность объектов информационно-коммуникационной инфраструктуры, предназначенных для обеспечения функционирования технологической среды в целях формирования электронных информационных ресурсов и предоставления доступа к ним.";

      8) информационный актив платежной организации – совокупность информации и объекта информационно-коммуникационной инфраструктуры, используемого для ее хранения и (или) обработки.";

      пункт 7 изложить в следующей редакции:

      "7. Правила осуществления деятельности платежной организации содержат следующие обязательные условия:

      1) описание платежных услуг, оказываемых платежной организацией;

      2) порядок и сроки оказания платежных услуг клиентам платежной организации;

      3) стоимость платежных услуг (тарифы), оказываемых платежной организацией;

      4) порядок взаимодействия с третьими лицами, обеспечивающими технологическое обеспечение платежных услуг, оказываемых платежной организацией;

      5) сведения о системе управления рисками, используемой платежной организацией;

      6) порядок урегулирования спорных ситуаций и разрешения споров с клиентами;

      7) порядок соблюдения мер информационной безопасности;

      8) описание программно-технических средств и оборудования, необходимого для осуществления платежных услуг.";

      дополнить главой 6 следующего содержания:

      "Глава 6. Требования к программно-техническим средствам платежных организаций и системе управления информационной безопасностью

      34. Программное обеспечение обеспечивает:

      1) надежное хранение информации, защиту от несанкционированного доступа, целостность баз данных и полную сохранность информации в электронных архивах и базах данных при полном или частичном отключении электропитания в любое время на любом участке оборудования;

      2) многоуровневый доступ к входным данным, функциям, операциям, отчетам, реализованным в программном обеспечении, предусматривающим как минимум, два уровня доступа: администратор и пользователь;

      3) контроль полноты вводимых данных полей обязательных к заполнению, необходимых для проведения и регистрации операций (при выполнении функций или операций без полного заполнения всех полей программа обеспечивает выдачу соответствующего уведомления);

      4) поиск информации по критериям и параметрам, определенным для данной информационной системы, с сохранением запроса, а также сортировку информации по любым параметрам (определенным для данной информационной системы) и возможность просмотра информации за предыдущие даты, если такая информация подлежит хранению в информационной системе;

      5) обработку информации и ее хранение по дате и времени;

      6) автоматизированное формирование форм отчетов, представляемых платежными организациями в Национальный Банк, а также отчетов о проведенных операциях;

      7) ведение и автоматизированное формирование журналов системы внутреннего учета. Программное обеспечение формирует журнал полностью, а также частично (на указанный диапазон дат, определенную дату);

      8) возможность резервирования и восстановления данных, хранящихся в учетных системах;

      9) возможность вывода выходных документов на экран, принтер или в файл;

      10) возможность обмена электронными документами;

      11) регистрацию и идентификацию происходящих в информационной системе событий с сохранением следующих атрибутов: дата и время начала события, наименование события, пользователь, производивший действие, идентификатор записи, дата и время окончания события, результат выполнения события.

      35. Платежные организации обеспечивают создание и функционирование системы управления информационной безопасностью, являющейся частью общей системы управления платежной организации, предназначенной для управления процессом обеспечения информационной безопасности.

      36. Система управления информационной безопасностью обеспечивает защиту информационных активов платежной организации, допускающую минимальный уровень потенциального ущерба для бизнес-процессов платежной организации.

      37. Платежная организация обеспечивает надлежащий уровень системы управления информационной безопасностью, ее развитие и улучшение.

      38. Платежная организация в целях обеспечения конфиденциальности, целостности и доступности информации платежной организации осуществляет следующие функции:

      1) организует систему управления информационной безопасностью, осуществляет координацию и контроль деятельности по обеспечению информационной безопасности и мероприятий по выявлению и анализу угроз, противодействию атакам и расследованию инцидентов информационной безопасности;

      2) обеспечивает методологическую поддержку процесса обеспечения информационной безопасности;

      3) осуществляет выбор, внедрение и применение методов, средств и механизмов управления, обеспечения и контроля информационной безопасности в рамках своих полномочий;

      4) осуществляет сбор, консолидацию, хранение и обработку информации об инцидентах информационной безопасности;

      5) осуществляет анализ информации об инцидентах информационной безопасности;

      6) обеспечивает внедрение, надлежащее функционирование программно-технических средств, автоматизирующих процесс обеспечения информационной безопасности, а также предоставление доступа к ним;

      7) определяет ограничения по использованию привилегированных учетных записей;

      8) организует и проводит мероприятия по обеспечению осведомленности работников платежной организации в вопросах информационной безопасности;

      9) осуществляет мониторинг состояния системы управления информационной безопасностью платежной организации;

      10) периодически (но не реже одного раза в год) осуществляет информирование руководства платежной организации о состоянии системы управления информационной безопасностью платежной организации.

      39. Платежная организация управляет рисками информационной безопасности с указанием критериев приемлемого уровня по отношению к информационным активам.

      При реализации рисков информационной безопасности разрабатывается план мероприятий, направленный на минимизацию возникновения подобных рисков.

      40. Информация об инцидентах информационной безопасности, полученная в ходе мониторинга деятельности по обеспечению информационной безопасности, подлежит консолидации, систематизации и хранению.

      41. Срок хранения информации об инцидентах информационной безопасности составляет не менее 5 (пяти) лет.

      42. Платежной организацией определяется порядок принятия неотложных мер к устранению инцидента информационной безопасности, его причин и последствий.

      43. В платежной организации ведется журнал учета инцидентов информационной безопасности с отражением всей информации об инциденте информационной безопасности, принятых мерах и предлагаемых корректирующих мерах.

      44. Платежная организация предоставляет в Национальный Банк информацию о следующих выявленных инцидентах информационной безопасности:

      1) эксплуатация уязвимостей в прикладном и системном программном обеспечении;

      2) несанкционированный доступ в информационную систему;

      3) атака "отказ в обслуживании" на информационную систему или сеть передачи данных;

      4) заражение сервера вредоносной программой или кодом;

      5) совершение несанкционированного перевода денежных средств вследствие нарушения контролей информационной безопасности;

      6) инцидентах информационной безопасности, несущих угрозу стабильности деятельности платежной организации.

      Информация об инцидентах информационной безопасности, указанных в настоящем пункте, предоставляется платежной организацией в возможно короткий срок, но не позднее 48 часов с момента выявления, в виде карты инцидента информационной безопасности по форме согласно приложению 7 к Правилам.

      Информация по обработанным инцидентам информационной безопасности представляется в электронном формате с использованием платформы Национального Банка для обмена событиями и инцидентами информационной безопасности.

      На каждый инцидент информационной безопасности заполняется отдельная карта инцидента информационной безопасности.";

      дополнить приложением 7 в редакции согласно приложению 2 к настоящему постановлению.

      3. Департаменту платежных систем (Ашыкбеков Е.Т.) в установленном законодательством Республики Казахстан порядке обеспечить:

      1) совместно с Юридическим департаментом (Касенов А.С.) государственную регистрацию настоящего постановления в Министерстве юстиции Республики Казахстан;

      2) размещение настоящего постановления на официальном интернет-ресурсе Национального Банка Республики Казахстан после его официального опубликования;

      3) в течение десяти рабочих дней после государственной регистрации настоящего постановления представление в Юридический департамент сведений об исполнении мероприятия, предусмотренного подпунктом 2) настоящего пункта.

      4. Контроль за исполнением настоящего постановления возложить на заместителя Председателя Национального Банка Республики Казахстан Шолпанкулова Б.Ш.

      5. Настоящее постановление вводится в действие с 1 апреля 2022 года.

      Председатель
Национального Банка
Республики Казахстан
Е. Досаев

      СОГЛАСОВАНО
Министерство национальной экономики
Республики Казахстан

      СОГЛАСОВАНО
Министерство цифрового развития,
инноваций и аэрокосмической промышленности
Республики Казахстан

  Приложение 1
к постановлению Правления
Национального Банка
Республики Казахстан
от 20 декабря 2021 года № 116
  Приложение 2
к Правилам выпуска,
использования и погашения
электронных денег,
а также требованиям к эмитентам
электронных денег и системам
электронных денег
на территории
Республики Казахстан
  Форма

Карта инцидента информационной безопасности

Общие сведения

Характеристики инцидента информационной безопасности

Информация об инциденте информационной безопасности

1

Наименование инцидента информационной безопасности


2

Дата и время выявления (дд.мм.гггг и чч:мм с указанием часового пояса UTC+X)


3

Место выявления (организация, филиал, сегмент информационной инфраструктуры)


4

Источник информации об инциденте информационной безопасности (пользователь, администратор, администратор информационной безопасности, работник подразделения информационной безопасности или техническое средство)


5

Использованные методы при реализации инцидента информационной безопасности (социальная инженерия, внедрение вредоносного кода)


Содержание инцидента информационной безопасности

6

Симптомы, признаки инцидента информационной безопасности


7

Основные события (эксплуатация уязвимостей в прикладном и системном программном обеспечении;
несанкционированный доступ в информационную систему;
атака "отказ в обслуживании" на информационную систему или сеть передачи данных;
заражение сервера вредоносной программой или кодом;
совершение несанкционированного перевода денежных средств;
инциденты информационной безопасности, несущие угрозу стабильности деятельности оператора системы электронных денег)


8

Пораженные активы (физический уровень информационной инфраструктуры,
уровень сетевого оборудования,
уровень сетевых приложений и сервисов, уровень операционных систем,
уровень технологических процессов и приложений и уровень бизнес-процессов оператора системы электронных денег)


9

Статус инцидента информационной безопасности (свершившийся инцидент информационной безопасности, попытка осуществления инцидента информационной безопасности, подозрение на инцидент информационной безопасности)


10

Ущерб


11

Источник угрозы (выявленные идентификаторы)


12

Преднамеренность (намеренный, ошибочный)


Предпринятые меры по инциденту информационной безопасности

13

Предпринятые действия (идентификация уязвимости, блокирование, восстановление)


14

Запланированные действия, направленные на минимизацию возникновения рисков информационной безопасности


15

Оповещенные лица (фамилия, имя, отчество (при его наличии) должностных лиц, наименование государственных органов, организаций)


16

Привлеченные специалисты
(фамилия, имя, отчество (при его наличии) место работы, должность, номер телефона)


      Ответственный работник по информационной безопасности
____________________________________________ __________________
(фамилия, имя, отчество (при его наличии) (подпись)
Дата "____" ______ 20 ___ года

  Приложение 2
к постановлению
  Приложение 7
к Правилам организации деятельности
платежных организаций
  Форма

Карта инцидента информационной безопасности

Общие сведения

Характеристики инцидента информационной безопасности

Информация об инциденте информационной безопасности

1

Наименование инцидента информационной безопасности


2

Дата и время выявления (дд.мм.гггг и чч:мм с указанием часового пояса UTC+X)


3

Место выявления (организация, филиал, сегмент информационной инфраструктуры)


4

Источник информации об инциденте информационной безопасности (пользователь, администратор, администратор информационной безопасности, работник подразделения информационной безопасности или техническое средство)


5

Использованные методы при реализации инцидента информационной безопасности (социальная инженерия, внедрение вредоносного кода)


Содержание инцидента информационной безопасности

6

Симптомы, признаки инцидента информационной безопасности


7

Основные события (эксплуатация уязвимостей в прикладном и системном программном обеспечении;
несанкционированный доступ в информационную систему;
атака "отказ в обслуживании" на информационную систему или сеть передачи данных;
заражение сервера вредоносной программой или кодом;
совершение несанкционированного перевода денежных средств;
инциденты информационной безопасности, несущие угрозу стабильности деятельности платежной организации)


8

Пораженные активы (физический уровень информационной инфраструктуры,
уровень сетевого оборудования,
уровень сетевых приложений и сервисов, уровень операционных систем,
уровень технологических процессов и приложений и уровень бизнес-процессов платежной организации)


9

Статус инцидента информационной безопасности (свершившийся инцидент информационной безопасности, попытка осуществления инцидента информационной безопасности, подозрение на инцидент информационной безопасности)


10

Ущерб


11

Источник угрозы (выявленные идентификаторы)


12

Преднамеренность (намеренный, ошибочный)


Предпринятые меры по инциденту информационной безопасности

13

Предпринятые действия (идентификация уязвимости, блокирование, восстановление)


14

Запланированные действия, направленные на минимизацию возникновения рисков информационной безопасности


15

Оповещенные лица (фамилия, имя, отчество (при его наличии) должностных лиц, наименование государственных органов, организаций)


16

Привлеченные специалисты
(фамилия, имя, отчество (при его наличии) место работы, должность, номер телефона)


      Ответственный работник по информационной безопасности
      ____________________________________________ __________________
(фамилия, имя, отчество (при его наличии) (подпись)
Дата "____" ______ 20 ___ года