Қазақстан Республикасы Қаржы нарығын реттеу және дамыту агенттігінің Басқармасы ҚАУЛЫ ЕТЕДІ:
1. "Орталық депозитарийге арналған тәуекелдерді басқару және ішкі бақылау жүйесін қалыптастыру қағидаларын бекіту туралы" Қазақстан Республикасы Ұлттық Банкі Басқармасының 2018 жылғы 28 желтоқсандағы № 318 қаулысына (Қазақстан Республикасының нормативтік құқықтық актілерін мемлекеттік тіркеу тізілімінде № 18180 болып тіркелген) мынадай өзгерістер енгізілсін:
көрсетілген қаулымен бекітілген Орталық депозитарийге арналған тәуекелдерді басқару және ішкі бақылау жүйесін қалыптастыру қағидаларында:
5-қосымшаға сәйкес Тәуекелдерді басқару және ішкі бақылау жүйесінің ішкі құжаттарына қойылатын талаптарда:
1-тармақ мынадай редакцияда жазылсын:
"1. Орталық депозитарийдің тәуекелдерді басқару жүйесі мына ішкі құжаттардың болуын көздейді, бірақ олармен шектелмейді:
1) орталық депозитарийдің тәуекелдерді басқару жөніндегі саясаты;
2) орталық депозитарийдің меншікті активтерін инвестициялау тәртібі;
3) ішкі бақылау мен ішкі аудитті жүзеге асыру рәсімдері;
4) қылмыстық жолмен алынған кірістерді заңдастыруға (жылыстауға) және терроризмді қаржыландыруға қарсы іс қимылға бағытталған рәсімдерді;
5) орталық депозитарийде орын алған және әлеуетті мүдде қайшылықтарын басқару рәсімі;
6) орталық депозитарийдің, оның қызметкерлерінің және үшінші тұлғалардың өз мүдделері үшін оларды пайдалануларын болдырмауға бағытталған коммерциялық және (немесе) Қазақстан Республикасының заңдарымен қорғалатын мәліметтерді (бұдан әрі – конфиденциалды ақпарат) сақтауды қамтамасыз ету рәсімдері;
7) қаржылық құралдарымен мәмілелер бойынша клирингті жүзеге асыру рәсімдері;
8) эмитенттер мен бағалы қағаздарды ұстаушылардың бағалы қағаздарды шығару, орналастыру және айналысы жөніндегі олардың қызметінің тәртібін регламенттейтін Қазақстан Республикасының бағалы қағаздар рыногы туралы заңнамасының талаптарына және орталық депозитарийдің ішкі құжаттарына сәйкестігі тұрғысынан мониторинг жүргізу және бақылау рәсімдері;
9) орталық депозитарийдің ақпараттық саясаты;
10) қауіпсіздік техникасы бойынша нұсқаулық;
11) ақпараттық қауіпсіздікті қамтамасыз ету жөніндегі құжаттама;
12) клиенттердің, эмитенттердің және (немесе) бағалы қағаздарды ұстаушылардың бұйрықтарын уақтылы орындамауды және (немесе) орындамауды, сондай-ақ деректерді орталық депозитарийдің есепке алу жүйесіне, бағалы қағаздардың ұйымдастырылған және ұйымдастырылмаған нарықтарында жасалған туынды қаржы құралдарымен мәмілелердің тізілімі жүйесіне қате енгізуді болдырмауға бағытталған рәсімдер;
13) орталық депозитарийдің операциялық процестерін қолданыстағы бақылаудың тиімділігін оңтайландыру бойынша рәсімдер;
14) орталық депозитарийдің қызметін жүзеге асыру процесінде ақпаратты жасау және жария ету рәсімдері;
15) резервтік техникалық орталыққа қойылатын талаптар;
16) бағалы қағаздарды ұстаушылар тізілімдерінің жүйесін құрайтын орталық депозитарийдің архивтік құжаттарын сақтауға арналған үй-жайға қойылатын талаптар;
17) басқарушылық ақпарат жүйесінің жұмыс істеу тәртібі;
18) орталық депозитарийдің директорлар кеңесі белгілеген өзге құжаттар.";
16-тармақ мынадай редакцияда жазылсын:
"16. Ақпараттық қауіпсіздікті қамтамасыз ету жөніндегі құжаттама мыналарды:
1) орталық депозитарийдің ақпараттық қауіпсіздік саясатын;
2) қорғалуға жататын және оның ішінде қызметтік, коммерциялық немесе заңмен қорғалатын өзге де құпияны құрайтын мәліметтерді қамтитын ақпарат тізбесін (бұдан әрі – қорғалатын ақпарат);
3) қорғалатын ақпаратпен жұмыс істеу тәртібін;
4) қорғалатын ақпаратты өңдейтін ақпараттық жүйелердің тізбесін;
5) қорғалатын ақпаратты өңдейтін ақпараттық жүйелерді таңдау, енгізу, әзірлеу және тестілеу кезінде ақпараттық қауіпсіздікті қамтамасыз етуге қойылатын талаптарды;
6) қорғалатын ақпаратты өңдейтін ақпараттық жүйелерге қолжетімділікті басқару тәртібін;
7) қорғалатын ақпаратты өңдейтін ақпараттық жүйелердің резервтік көшірмелерінің резервтік көшірмелерін жасау, сақтау, қалпына келтіру, жұмысқа қабілеттілігін тестілеу тәртібін;
8) орталық депозитарийдің ақпараттық инфрақұрылымын вирусқа қарсы қорғауды қамтамасыз ету тәртібін;
9) орталық депозитарийде пайдалануға рұқсат етілген бағдарламалық қамтылымның тізбесін;
10) ақпараттық қауіпсіздікті қамтамасыз етудің қабылданған шараларының бұзылғаны туралы не ақпараттық қауіпсіздікке қатысы болуы мүмкін бұрын белгісіз болған жағдай туралы куәландыратын ақпараттық қауіпсіздік жүйесін қоса алғанда, ақпараттық-коммуникациялық инфрақұрылымның немесе оның жекелеген объектілерінің жұмысында жеке немесе сериялы түрде туындайтын оқиғаларды (бұдан әрі – ақпараттық қауіпсіздік оқиғалары) мониторингтеудің кезеңділігі мен қағидаларын;
11) мониторингтелуге тиіс ақпараттық қауіпсіздік оқиғаларының тізбесін;
12) ақпараттық қауіпсіздік оқиғалары көздерінің тізбесін;
13) ақпараттық-коммуникациялық инфрақұрылымның немесе оның жекелеген объектілерінің жұмысында жекелеген немесе сериялы түрде туындайтын, олардың тиісінше жұмыс істеуіне қатер төндіретін және (немесе) қорғалатын ақпаратты заңсыз алу, көшірмесін түсіру, тарату, түрлендіру, жою немесе бұғаттау үшін жағдайлар жасайтын іркілістерді (бұдан әрі – ақпараттық қауіпсіздіктің оқыс оқиғалары) өңдеу тәртібін;
14) ақпараттық қауіпсіздік оқиғаларын ақпараттық қауіпсіздіктің оқыс оқиғаларына жатқызу тәртібін;
15) орталық депозитарийдің қызметкерлері болып табылмайтын адамдардың қорғалатын ақпаратты өңдейтін ақпараттық жүйелерге қол жеткізу тәртібін;
16) Интернетті және электрондық поштаны пайдалану кезінде ақпаратты қорғау тәртібін;
17) ақпараттық жүйелердің жаңартуларын басқару тәртібін айқындайды.";
18-тармақ мынадай редакцияда жазылсын:
"18. Орталық депозитарийдің операциялық процестерін қолданыстағы бақылаудың тиімділігін оңтайландыру рәсімдері мыналарды айқындайды:
1) бастапқы құжаттар негізінде іс-әрекеттерді жүзеге асырумен байланысты тәуекелдер:
бастапқы құжаттарды уәкілетті емес тұлғаның ұсынуы;
бастапқы құжаттардың ұрлануы, айырбасталуы немесе жоғалуы;
қолданыста жоқ бұйрықты ақпараттық жүйеге, есепке алу және тізілімдер жүйелеріне енгізу;
бір бұйрықтың деректерін түрлі қызметкерлердің ақпараттық жүйеге, есепке алу және тізілімдер жүйелеріне екі рет енгізуі;
бұйрық деректерінің ақпараттық жүйеге, есепке алу және тізілімдер жүйелеріне дұрыс енгізілмеуі;
бұйрықты ақпараттық жүйеге, есепке алу және тізілімдер жүйелеріне енгізуді орындамау;
бұйрықты ақпараттық жүйеге, есепке алу және тізілімдер жүйелеріне уақтылы енгізбеу;
бұйрықтың ақпараттық жүйедегі, орталық депозитарийдің есепке алу жүйесіндегі дұрыс емес мәртебесін таңдау;
бұйрықтың ақпараттық жүйедегі, есепке алу және тізілімдер жүйелеріндегі мәртебесіне өзгеріс енгізбеу;
бұйрықтың ақпараттық жүйеде, есепке алу және тізілімдер жүйелеріндегі өзгертуге жатпайтын мәртебесін өзгерту;
ақпараттық жүйедегі, есепке алу және тізілімдер жүйелеріндегі өзгертуге жатпайтын анықтамалықтар деректерін өзгерту;
ақпараттық жүйеде, есепке алу және тізілімдер жүйелеріндегі анықтамалықтар деректерінің дұрыс өзгертілмеуі;
ақпараттық жүйедегі, есепке алу және тізілімдер жүйелеріндегі анықтамалықтар деректеріне өзгерістер енгізбеу;
тиісті құжатсыз ақпараттық жүйеде, есепке алу және тізілімдер жүйелерінде анықтамалықтар деректерін өзгерту;
ақпараттық жүйеде, есепке алу және тізілімдер жүйелерінде анықтамалықтар деректерін уақтылы өзгертпеу;
2) бастапқы құжаттар негізінде есептік және өзге құжаттарды берумен байланысты тәуекелдер:
есептік құжатты қалыптастыруды орындамау;
есептік құжатты уақтылы қалыптастырмау;
есептік құжаттағы дұрыс емес деректер;
бұйрықтың қате мәртебесін көрсете отырып орындау туралы есепті қалыптастыру;
есептік құжатты уәкілетті емес тұлғаға беру;
есептік құжаттарды ұрлау, айырбастау және жоғалту;
3) ақпараттық жүйелерді пайдалануға байланысты тәуекелдер:
операциялық күнді ашу (жабу) рәсімдерін орындамау;
қор биржасының терминалын қосуды орындамау;
кіріс файлының дұрыс емес форматы;
кіріс файлының дұрыс емес мазмұны;
түрлі қызметкерлердің дерекқорда жазбаны қалыптастыру үшін деректерді екі рет енгізуі;
дерекқорда жазбаны қалыптастыруды орындамау;
ақпараттық жүйеде жөнелтушіден келген құжаттардың қайталануы (операциялық күн ішінде);
есептеулерді кейінге қалдыру күнімен бұйрықты кезекке қою;
ақпараттық жүйеде транзакцияларды жүргізу кезіндегі қателер;
бұйрықты қарсы бұйрықсыз орындау (екі қарсы бұйрықтар негізінде тіркелетін мәмілелер бойынша);
айналыста болмаған бағалы қағаздар бойынша бұйрықты орындау;
регламентке кірмейтін уақытта бұйрықты орындау;
регламентке кірмейтін уақытта бұйрықты қабылдау;
ашылмаған операциялық күн кезінде бұйрықты орындау;
бағалы қағаздармен операцияларды тоқтата тұру кезінде бұйрықты орындау;
рұқсат етілмеген операциялар бойынша бұйрықты орындау;
4) ақпараттық жүйелерді пайдалануға байланысты тәуекелдер:
компьютерлік вирустардың енуі;
лицензиялық емес бағдарламаларды пайдалану;
ақпараттық жүйелерге рұқсатсыз кіру;
серверлік жабдыққа техникалық қызмет көрсету кезіндегі қателер;
электрлік қоректендіру жүйесіндегі іркілістер;
серверлерді кондиционирлеу жүйелерінің іркілістері;
серверлік жабдықтың техникалық іркілісі;
желілік жабдықтың техникалық іркілісі;
деректерді тасымалдағыштарды (қатты дискілерді және өзге тасымалдағыштарды) ұрлау, әдейі бүлдіру;
деректерді тасымалдағыштарға (қатты дискілердегі және өзге тасымалдағыштар) рұқсатсыз қол жеткізу;
табиғи сипаттағы төтенше жағдай;
серверлік бөлмедегі өрт;
серверлік бөлмені судың басып қалуы;
ақпараттық жүйедегі бағдарламалық іркіліс;
тапсырыс берушінің бағдарламалық қамтамасыз етуді әзірлеу бойынша қалыпқа келтірілген талаптарының болмауы;
бағдарламалық қамтамасыз етудің кодын белгілеушілер үшін техникалық тапсырманы дұрыс жасамау;
бағдарламалық қамтамасыз ету кодын жазу кезіндегі қате;
әзірленген бағдарламалық қамтамасыз етуді енгізу кезіндегі қате;
бағдарламалық қамтамасыз етуді әзірлеу және (немесе) енгізу кезіндегі қате.".
2. Киберқауіпсіздік басқармасы Қазақстан Республикасының заңнамасында белгіленген тәртіппен:
1) Заң департаментімен бірлесіп осы қаулыны Қазақстан Республикасының Әділет министрлігінде мемлекеттік тіркеуді;
2) осы қаулыны ресми жарияланғаннан кейін Қазақстан Республикасы Қаржы нарығын реттеу және дамыту агенттігінің ресми интернет-ресурсына орналастыруды;
3) осы қаулы мемлекеттік тіркелгеннен кейін он жұмыс күні ішінде Заң департаментіне осы тармақтың 2) тармақшасында көзделген іс-шараның орындалуы туралы мәліметтерді ұсынуды қамтамасыз етсін.
3. Осы қаулының орындалуын бақылау Қазақстан Республикасының Қаржы нарығын реттеу және дамыту агенттігі Төрағасының жетекшілік ететін орынбасарына жүктелсін.
4. Осы қаулы алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі.
|
Қазақстан Республикасының Қаржы нарығын реттеу және дамыту Агенттігінің Төрағасы |
М. Абылкасымова |
