"Қазақстан Республикасы Ұлттық Банкінің Қазақстан банкаралық есеп айрысу орталығы" шаруашылық жүргізу құқығы бар республикалық мемлекеттік кәсіпорнының Төлем жүйесін пайдаланушының жұмыс орнының қауіпсіздігін қамтамасыз ету ережелерін бекіту туралы

Қазақстан Республикасы Ұлттық Банк Басқармасы 1999 жылғы 7 қазандағы N 325 қаулысы. Қазақстан Республикасы Әділет министрлігінің Нормативтік құқықтық актілерді тіркеу басқармасы 2000 жылғы 17 ақпан тіркелді. Тіркеу N 1059. Күші жойылды - Қазақстан Республикасы Ұлттық Банкі Басқармасының 2008 жылғы 28 қарашадағы N 95 Қаулысымен.

       Күші жойылды - ҚР Ұлттық Банкі Басқармасының 2008.11.28  N 95 Қаулысымен.

      "Қазақстан Республикасы Ұлттық Банкінің Қазақстан банкаралық есеп айырысу орталығы" шаруашылық жүргізу құқығы бар республикалық мемлекеттік кәсіпорнының (бұдан әрі - Қазақстан Республикасы Ұлттық Банкінің Қазақстан банкаралық есеп айырысу орталығы) Төлем жүйесін пайдаланушының жұмыс орнының қауіпсіздігін қамтамасыз ету тәртібін белгілеу мақсатында Қазақстан Республикасы Ұлттық Банкінің Басқармасы ҚАУЛЫ ЕТЕДІ:
      1. "Қазақстан Республикасы Ұлттық Банкінің Қазақстан банкаралық есеп айырысу орталығы" шаруашылық жүргізу құқығы бар республикалық мемлекеттік кәсіпорнының Төлем жүйесін пайдаланушының жұмыс орнының қауіпсіздігін қамтамасыз ету ережелері бекітілсін және Қазақстан Республикасының Әділет министрлігінде мемлекеттік тіркеуден өткізілген күннен бастап күшіне енгізілсін.
      2. Қазақстан Республикасы Ұлттық Банкінің Қазақстан банкаралық есеп айырысу орталығы (Абдулкаримов С.Х.):
      1) Заң департаментімен (Шәріпов С.Б.) бірлесіп осы қаулыны және "Қазақстан Республикасы Ұлттық Банкінің Қазақстан банкаралық есеп айырысу орталығы" шаруашылық жүргізу құқығы бар республикалық мемлекеттік кәсіпорнының Төлем жүйесін пайдаланушының жұмыс орнының қауіпсіздігін қамтамасыз ету ережелерін Қазақстан Республикасының Әділет министрлігінде тіркеуден өткізсін;
      2) Қазақстан Республикасының Әділет министрлігінде мемлекеттік тіркеуден өткізілген күннен бастап осы қаулыны және бекітілген Ережелерді төлем жүйесін пайдаланушылардың бәріне жіберсін.
      3. Ақпарат технологиясы департаменті (Поликарпов О.Ю.) белгіленген тәртіппен Қазақстан Республикасы Ұлттық Банкі Басқармасының 1995 жылғы 19 қазандағы N 177 қаулысымен бекітілген Қазақстан Республикасы Ұлттық Банкінің бөлімшелері арасында, сондай-ақ Қазақстан Республикасының банктері арасында электронды төлемдер алмасқан кезде бағдарлама-криптографиялық қорғау жүйесін қолдану тәртібі туралы нұсқаулыққа өзгерістер әзірлеп, Қазақстан Республикасы Ұлттық Банкі Басқармасының қарауына ұсынсын.
     4. Осы қаулының орындалуына бақылау жасау Қазақстан Республикасының Ұлттық Банкі Төрағасының орынбасары Н.Қ. Абдулинаға жүктелсін.

      Ұлттық Банк
      Төрағасы

Қазақстан Республикасының   
Ұлттық Банкі Басқармасының  
1999 жылғы 07 қазандағы   
N 325 қаулысымен бекітілген 

"Қазақстан Республикасы Ұлттық Банкінің Қазақстан
банкаралық есеп айырысу орталығы" шаруашылық жүргізу
құқығына ие Республикалық мемлекеттік кәсіпорнының төлем
жүйесін пайдаланушысының жұмыс орнының қауіпсіздігін
қамтамасыз ету
ЕРЕЖЕСІ

  1-тарау. Жалпы ережелер

      Осы Ереже "Қазақстан Республикасының Ұлттық Банкі туралы", " Ақша төлемi мен аударымы туралы ", " Электрондық құжат және электрондық цифрлық қолтаңба туралы " Қазақстан Республикасының Заңдарына сәйкес әзірленді және "Қазақстан Республикасы Ұлттық Банкінің Қазақстан банкаралық есеп айырысу орталығы" шаруашылық жүргізу құқығы бар республикалық мемлекеттік кәсіпорнының төлем жүйесін (бұдан әрі - төлем жүйесі) пайдаланушының жұмыс орнының қауіпсіздігін қамтамасыз ету тәртібін айқындайды.
      Осы Ереженің нормалары төлем жүйесінің барлық пайдаланушыларының орындауы үшін міндетті.
      Осы Ережеде мынадай ұғымдар пайдаланылады:
      1) алынып тасталды ;
      2) негізгі ақпарат - криптографиялық кілттер немесе ақпаратты криптографиялық қайта құруды жүзеге асыруға мүмкіндік беретін басқа ақпарат;
      3) рұқсат етілмеген кіру - ақпараттық және бағдарламалық ресурстарға кіруге құқықтары жоқ тұлғалардың ақпараттық және бағдарламалық ресурстарға кіруі;
      4) қауіпсіздік офицері - төлем жүйесінің ақпаратты төлем жүйесін пайдаланушының жұмыс орнында рұқсат етілмеген кіруден қорғаудың бағдарламалық-аппараттық кешенін орнатуды және жұмысын қамтамасыз ететін, сондай-ақ олардың жұмыс істеу қабілетін бақылауды жүзеге асыратын жауапты қызметкері;
      5) төлем жүйесін пайдаланушы - "Қазақстан Республикасы Ұлттық Банкінің Қазақстан банкаралық есеп айырысу орталығы" шаруашылық жүргізу құқығы бар республикалық мемлекеттік кәсіпорнымен төлем жүйесінде қызмет көрсету туралы шарт жасаған банк немесе банк операцияларының жекелеген түрлерін жүзеге асыратын ұйым;
      6) рұқсат етілмеген кіруден қорғаудың бағдарламалық-аппараттық кешені - компьютерлерді бөгде тұлғалардың пайдалануынан қорғау, орнатылған бағдарламалық қамтамасыз етудің және деректердің тұтастығын бақылау, сондай-ақ тіркелген пайдаланушылардың ақпарат ресурстарына кіру жөніндегі өкілеттіктерін шектеуге арналған жүйе;
      7) төлем жүйесін пайдаланушының жұмыс орны - төлем жүйесінің терминалы орнатылған дербес компьютер;
      8) төлем жүйесінің қауіпсіздік қызметі - "Қазақстан Республикасы Ұлттық Банкінің Қазақстан банкаралық есеп айырысу орталығы" шаруашылық жүргізу құқығы бар республикалық мемлекеттік кәсіпорнының ақпарат ресурстарының қауіпсіздігін және қорғауды қамтамасыз ететін құрылымдық бөлімше;
      9) кіруді тіркеу құралдары - объектілерге кіру туралы ақпаратты белгілеуге мүмкіндік беретін техникалық, бағдарламалық немесе басқа құралдар;
      10) төлем жүйесінің терминалы - төлем жүйесіне кіруді қамтамасыз ететін, төлем жүйесін пайдаланушылар болып табылатын екінші деңгейдегі банктерде және банк операцияларының жекелеген түрлерін жүзеге асыратын ұйымдарда орнатылатын бағдарламалық қамтамасыз ету;
      11) кілттерді бөлу орталығы - негізгі ақпаратты жинау, тарату немесе жасау кезінде белгілі бір технологиялық рәсімдерді жүзеге асыратын ұйым.
      Ескерту: 1-тарау жаңа редакцияда жазылды, өзгерту енгізілді - ҚР Ұлттық банкі Басқармасының 2006 жылғы 2 ақпандағы N 6 , 2007 жылғы 18 қаңтардағы N 5 қаулысымен .

  2-тарау. Жұмыс орнын орналастыру

      Ескерту: 2-тараудың атауына өзгерту енгізілді - ҚР Ұлттық банкі Басқармасының 2006 жылғы 2 ақпандағы N 6 қаулысымен .

      1. Төлем жүйесін пайдаланушының жұмыс орыны арнайы бөлінген үй-жайда орналастырады.

      2. Орналасқан жеріне, арнаулы жабдыққа және төлем жүйесін пайдаланушының жұмыс орны ұйымдастырылған үй-жайдың қорғауына, сол үй-жайға қол жеткізуге рұқсат берілмеген тұлғаларға төлем жүйесін пайдаланушының жұмыс орнына бақылаусыз дендеп кіру мүмкіндіктерді шығарып тастауға тиіс.

      3. Үй-жай бақыланбалы аймақта тұруы қажет, бекем кіретін есіктерге сенімді құлыптар орнатылып қол жеткізуді тіркеу құралдары болуы қажет. Төлем жүйесін пайдаланушының жұмыс орны орналасқан үйден 50 метр радиуста күзетілетін және бақыланатын аймақ болмаған жағдайда, бөлмеге электромагниттік арналар бойынша ақпараттың жария болмауынан қорғайтын құралдар орнатылуға тиіс. Үй-жайлар бірінші және соңғы қабаттарда орналасқанда, сондай-ақ терезелерге жақын орналасқан балкондар, өрт басқыштары және т.б., үй-жайлар терезелерді торлармен жабдықтауға керек. Үй-жайлардың есіктері мен терезелері күзет дабылдамасымен жабдықтауға қажет.
      Ескерту. 3-тармақ өзгертілді - ҚР Ұлттық Банкі Басқармасының 2002 жылғы 28 ақпандағы N 61 қаулысымен .
 

      3-1. Төлем жүйесін пайдаланушының жұмыс орнын жаңа орынға ауыстырған жағдайда төлем жүйесін пайдаланушы пайдаланылған сәттен бастап он жұмыс күні ішінде Қазақстан Республикасының Ұлттық Банкіне (бұдан әрі - Ұлттық Банк) хабарлайды.
      Ескерту: 3-1-тармақпен толықтырылды - ҚР Ұлттық банкі Басқармасының 2007 жылғы 18 қаңтардағы N 5 қаулысымен .

  3-тарау. Ақпаратты және бағдарламалық қамтамасыз
етуді рұқсат етілмеген кіруден қорғау

      Ескерту: 3-тараудың атауына өзгерту енгізілді - ҚР Ұлттық банкі Басқармасының 2006 жылғы 2 ақпандағы N 6 қаулысымен .

      4. Төлем жүйесінің терминалы осы мақсат үшін арнайы бөлінген, конфигурация, онда орнатылған аппараттық және бағдарламалық құралдар жөніндегі нақты деректері бар паспорты бар дербес компьютерде орнатылады.
      Ескерту: 4-тармақ жаңа редакцияда жазылды - ҚР Ұлттық банкі Басқармасының 2006 жылғы 2 ақпандағы N 6 қаулысымен .      

      5. Төлем жүйесіне байланысты емес арнаулы міндеттерді шешу - электронды құжатты дайындау, өңдеу, беру, жүргізу үшін іс-қимылдардан басқа бағдарламалық құралдарды төлем жүйені пайдаланушының жұмыс орнында орнатылуға рұқсат берілмейді.
      Ескерту: 5-тармаққа өзгерту енгізілді - ҚР Ұлттық банкі Басқармасының 2006 жылғы 2 ақпандағы N 6 қаулысымен .

      6. Төлем жүйесін пайдаланушының жұмыс орны рұқсат етілмеген қол жеткізуден қорғайтын бағдарламалық-аппараттық кешені болуы тиіс, оның ішіне пайдаланушыларды тану құралдары, және пайдаланушылардың қимылдарына және төлем жүйесін пайдаланушының жұмыс орнына қол жеткізу уақиғаларды бақылау мақсатында электронды құжаттарды сақтау мерзімінде электронды журналдар жүргізілетін мүмкіншілігі кіреді.
      Ескерту: 6-тармаққа өзгертулер енгізілді - ҚР Ұлттық банкі Басқармасының 2006 жылғы 2 ақпандағы N 6 қаулысымен .

      7. Ақпараттық жүйелерге кірер алдында пайдаланушының сәйкестендіру бір жүйелі атына бір жеке адамның сәйкестелуі қажет.

      8. Төлем жүйесін пайдаланушының жұмыс орны бағдарламалық қамтамасыз етудің тұтастығын қамтамасыз ететін құралдары болуы тиіс. Құралдар тұтастығының бұзылғаны туралы күдік болған немесе тұтастығының бұзылғаны туралы ескертулер алынған жағдайда төлем жүйесiнiң қауiпсiздiк қызметiне жедел хабарлау қажет.
      Ескерту: 8-тармаққа өзгертулер енгізілді - ҚР Ұлттық банкі Басқармасының 2006 жылғы 2 ақпандағы N 6 қаулысымен

      9. Төлем жүйесін пайдаланушының жұмыс орнының жүйелі блогы мөрленіп немесе пломба салынуға тиіс.
      Ескерту: 9-тармаққа өзгертулер енгізілді - ҚР Ұлттық банкі Басқармасының 2006 жылғы 2 ақпандағы N 6 қаулысымен .

      10. Төлем жүйесін пайдаланушының жұмыс орнына қол жеткізуді қаматамасыз ететін техникалық құралдарының, парольдерінің, код сөздерінің немесе өзге ақпараттың пайдалану және сақтау тәртібі рұқсат етілмеген пайдалану мүмкіндіктерді шығарып тастауға тиіс.

      11. Рұқсат етілмеген қол жеткізуден қорғайтын құралдарға әкімгер құқықтары тиісті өкілеттіктері бар төлем жүйесін пайдаланушының қауіпсіздік офицеріне ғана берілу қажет.

      12. Төлем жүйесін пайдаланушының ақпараттық жүйесінде дайындалған электронды құжаттарды төлем жүйесін пайдаланушының жұмыс орнына беру технологиясы (электронды құжаттар беру анықталған тәртібі) сол электронды құжаттарға рұқсат етілмеген қол жеткізу мүмкіндіктерді шығарып тастауға тиіс.

      13. Ресурстарға қол жеткізу тәртібі (диск кеңістігі, директориялар, жүйелі ресурстар, деректер қоры және т.б.) бөлінген төлем жүйесіне беру үшін олардың ішіне ақпаратты қорлану үшін, төлем жүйесінен ақпарат алу, сақтау, мұрағаттау немесе ақпаратты өзге өңдеп сол ресурстармен жұмыс істеуге рұқсат етілмеген тұлғаларға қол жеткізу мүмкіндіктерді шығарып тастауға тиіс.
 

      13-1. Төлем жүйесін пайдаланушы мен Қазақстан Республикасы Ұлттық Банкінің "Қазақстан банкаралық есеп айырысу орталығы" шаруашылық жүргізу құқығы бар республикалық мемлекеттік кәсіпорны арасында байланысты жүзеге асыратын бағдарламалық қамтамасыз етуге, рұқсат етілмеген кіруден қорғаудың бағдарламалық-аппараттық кешеніне, сондай-ақ төлем жүйесін пайдаланушының ақпарат жүйесінде дайындалған электрондық құжаттарды өткізу технологиясына өзгерістер енгізілген жағдайда төлем жүйесін пайдаланушы пайдаланылған сәттен бастап он жұмыс күні ішінде Ұлттық Банкке хабарлайды.
      Ескерту: 13-1-тармақпен толықтырылды - ҚР Ұлттық банкі Басқармасының 2007 жылғы 18 қаңтардағы N 5 қаулысымен .

  4-тарау. Негiзгi ақпаратты сақтау және пайдалану

      Ескерту: 4-тараудың атауына өзгерту енгізілді - ҚР Ұлттық банкі Басқармасының 2006 жылғы 2 ақпандағы N 6 қаулысымен .

      14. негізгі ақпарат сыртқы иесінде (дискета, пластикалық карточка және т.б.) болуы тиіс.

      15. Негізгі ақпаратты сыртқы иесінде сақтау және пайдалану тәртібі оларға рұқсат етілмеген қол жеткізуден мүмкіндіктерді шығарып тастауға тиіс.

      16. Негізгі ақпаратқа қол жеткізуге рұқсат етілген тұлғалар қолданылып жүрген заңдарға сәйкес ақпарат сақталуына және жарияланбауына дербес жауап береді.

      17. Негізгі ақпаратты сыртқы иесінде сақтау үшін үй-жайдың ішінде сенімді болып бекіте алатын құрылғылармен жабдықталған жағдандар орнатылуы тиіс.

      18. Жұмыс күні біткен соң негізгі ақпаратты сақтау сыртқы иелері жағдандарда болуға тиіс.

      19. Негiзгi ақпаратқа қол жеткiзуге рұқсат етiлген қызметкерлер жұмыстан босатылған жағдайда, негiзгi ақпаратты беделiн түсiрген немесе беделiн түсiру әрекеттер болған жағдайларда негiзгi ақпаратты жоспарланбай ауыстыру қажет. Негiзгi ақпаратқа қол жеткiзе алатын қызметкер жұмыстан босатылған күнiнен, немесе бұрыннан, жаңа негiзгi ақпарат iске қосылады.

      20. Тыйым салынады:
      1) негiзгi ақпарат иесiнен рұқсат етiлмеген көшiрмелердi түсiру;
      2) негiзгi ақпарат иесiнiң мазмұнымен таныстыру және қол жеткiзiлмейтiн тұлғаларға негiзгi ақпарат иесiн тапсыру;
      3) негiзгi ақпаратты дисплейге не принтерге шығару;
      4) жүйенiң жұмыс iстеуiнiң көзделмеген тәртiптемесiнде негiзгi ақпарат иесiн оқитын құрылғысына тұрғызу;
      5) негiзгi ақпараттың сыртқы иесiне өзге ақпаратты жазуға.

  5-тарау. Қызмет көрсетушi қызметкерлердiң
жұмысын ұйымдастыру

      Ескерту: 5-тараудың атауына өзгерту енгізілді - ҚР Ұлттық банкі Басқармасының 2006 жылғы 2 ақпандағы N 6 қаулысымен .

      21. Төлем жүйесiн пайдаланушы шығаратын бұйрықта анықталады:
      1) төлем жүйесiндегi жұмыс iстейтiн тәртiптемесi (жұмыс уақыты, үзiлiс уақыты, кешкi сағаттарда жұмыс iстеу тәртiбi, демалыс және мейрам күндерде жұмыс iстеу тәртiбi және т.б.);
      2) төлем жүйесiн пайдаланушының жұмыс орнына қол жеткiзе алатын қызметкерлер тiзiмi;
      3) негiзгi ақпаратпен сыртқы иелерге қол жеткiзе алатын қызметкерлер тiзiмi;
      4) төлем жүйесiндегi электронды құжаттарды қабылдауға және беруге рұқсат берiле алатын қызметкерлер тiзiмi;
      5) ерекше жағдайларда төлем жүйесiн пайдаланушының жұмыс орнына қол жеткiзе алатын қызметкерлер тiзiмi;
      6) қауiпсiздiк офицердiң мiндеттерiн атқаратын қызметкерлер тiзiмi;
      7) төлем жүйесiне берiлген және төлем жүйесiнен қабылдап алынған барлық электронды құжаттардың сақтауын және мұрағаттауын жүзеге асырайтын қызметкерлер тiзiмi.

      22. Төлем жүйесiн пайдаланушының iшкi ережелерiмен анықталады:
      1) қол жеткiзуге мiндеттi тұлғаның және төлем жүйесiн пайдаланушының жұмыс орны орналасқан үй-жайға қол жеткiзуге тәртiбi мен бақылаудың процедуралары;
      2) төлем жүйесiне берiлген және төлем жүйесiнен қабылдап алынған барлық электронды құжаттарды сақтаудың және мұрағаттаудың тәртiбi мен процедуралары, сондай-ақ сол мұрағатқа қол жеткiзу тәртiбi;
      3) төлем жүйесiн пайдаланушының жұмыс орнының жүйелi блогiндегi мөрлер немесе пломбалардың тұтастығы бойынша бақылау процедуралары.
      Ескерту: 22-тармаққа өзгерту енгізілді - ҚР Ұлттық банкі Басқармасының 2006 жылғы 2 ақпандағы N 6 қаулысымен .

      23. Төлем жүйесiн пайдаланушының жұмыс орнына қол жеткiзе алатын қызметкерлерiне төлем жүйесiн пайдаланушының iшкi ережелерiмен және нұсқаулықтарымен анықталады:
      1) нақты мiндеттерi мен өкiлеттiктерi;
      2) төлем жүйесiнiң хабарларды беруге не қабылдауға рұқсат беру тәртiбi;
      3) еңбек демалыстарға, жұмыстан босатқанға және орнын басуға сияқты уақытша жоқ болмаған жағдайлардың тәртiбi;
      4) барлық келгендер, кеткендер, орнын басқандар, жоқ болғандар, кезектердi табыстау туралы, ерекше жағдаймен қол жеткiзiп үй-жайға келген тұлғалар туралы толық ақпараттар (күнi, уақыты, аты-жөнi, лауазымы, келудiң мақсаты, қолы) тiркеу тәртiбi;
      5) негiзгi ақпаратпен сыртқы иесiнiң сақтау тәртiбi;
      6) ескірiп қалған негiзгi ақпарат пайдалана тұра қол қойылған немесе шифрленген электронды құжаттар сақталатын мерзiмiнiң iшiнде ескірiп қалған негiзгi ақпаратты сақтау тәртiбi;
      7) негiзгi ақпарат пайдаланған ұзақтығы мен шындығы туралы толық ақпараттар (күнi, уақыты, аты-жөнi, лауазымы, келудiң мақсаты, қолы) тiркеу тәртiбi;
      8) төлем жүйесiн пайдаланушының жұмыс орнына қол жеткiзе алуды қамтамасыз ететiн техникалық құралдардың, код сөздердiң парольдерi және өзге ақпараттың сақтау және пайдалану тәртiбi.

      24. <*>
      Ескерту: 24-тармақ алынып тасталды - ҚР Ұлттық банкі Басқармасының 2006 жылғы 2 ақпандағы N 6 қаулысымен .

      25. Төлем жүйесiнде жұмыс iстеуге рұқсат берiлген қызметкерлерден құпия ақпараттарды, негiзгi ақпараттары мен парольдi жарияланбау, таратылмау жөнiнде мiндеттеме алу қажет.

      26. Төлем жүйесiнде жұмыс iстеуге рұқсат берiлген қызметкерлер келесi санаттарға бөлiнуге тиiстi:
      1) әкiмгер, меншiктi ашық және құпиялық кiлттердi тiкелей шығарып, кiлттердi бөлу орталығында кiлттердiң тiркеудi жүзеге асырады, кiлттердi бөлу орталығында меншiктi тiркелген кiлттердi пайдаланып, сондай-ақ өңдеуге - төлем жүйесiне хабар беруге және төлем жүйесiнен қабылдап алуға рұқсат бередi;
      2) оператор (әкiмгердiң орнын басатын тұлға), хабардың тiкелей дайындауын, беруiн және қабылдауын жүзеге асырады;
      3) қауiпсiздiк офицерi, төлем жүйесiн пайдаланушының жұмыс орнына қол жеткiзiлген қызметкерлердiң тiркеу және қауiпсiздiк талаптардың орындалуына бақылау жұмысын жүргiзу мiндеттердi атқарады.

      27. Ағымдағы және жедел қауiпсiздiк туралы мәселелер шешу қажеттiлiгi болса әкiмгер қауiпсiздiк офицерiмен бiрге төлем жүйенiң қауiпсiздiк қызметiмен өзара бiрiгiп шешедi.

  6-тарау. Төлем жүйесiн пайдаланушының жұмыс
орнын аттестациялау

      Ескерту: 6-тарау (28-34 тармақтар) алынып тасталды - ҚР Ұлттық банкі Басқармасының 2007 жылғы 18 қаңтардағы N 5 қаулысымен .

7-тарау. Қорытынды ережелер

      Ескерту: 7-тараумен толықтырылды - ҚР Ұлттық банкі Басқармасының 2007 жылғы 18 қаңтардағы N 5 қаулысымен .

      35. Төлем жүйесін пайдаланушының осы Ережелерде белгіленген шарттарды және талаптарды сақтауын тексеру "Қазақстан Республикасының Ұлттық Банкі туралы" Қазақстан Республикасының Заңында көзделген тәртіппен жүзеге асырылады.

      36. Осы ережелермен реттелмеген мәселелер Қазақстан Республикасының заңнамасында белгіленген тәртіппен шешіледі.

      Ұлттық Банкi
      Төрағасы

Об утверждении Правил обеспечения безопасности рабочего места пользователя платежной системы Республиканского государственного предприятия на праве хозяйственного ведения "Казахстанский центр межбанковских расчетов Национального Банка Республики Казахстан"

Постановление Правления Национального Банка Республики Казахстан от 7 октября 1999 года N 325. Зарегистрирован в Министерстве юстиции Республики Казахстан 17.02.2000г. за N 1059. Утратило силу постановлением Правления Национального Банка Республики Казахстан от 28 ноября 2008 года № 95.

       Сноска. Утратило силу постановлением Правления НБ РК от 28.11.2008 года № 95 (порядок введения в действие см. п. 2 ).

      В целях установления порядка обеспечения безопасности рабочего места пользователя платежной системы Республиканского государственного предприятия на праве хозяйственного ведения "Казахстанский центр межбанковских расчетов Национального Банка Республики Казахстан" (далее - Казахстанский центр межбанковских расчетов Национального Банка Республики Казахстан) Правление Национального Банка Республики Казахстан постановляет:
      1. Утвердить прилагаемые Правила обеспечения безопасности рабочего места пользователя платежной системы Республиканского государственного предприятия на праве хозяйственного ведения "Казахстанский центр межбанковских расчетов Национального Банка Республики Казахстан" и ввести их в действие со дня государственной регистрации в Министерстве юстиции Республики Казахстан.
      2. Казахстанскому центру межбанковских расчетов Национального Банка Республики Казахстан (Абдулкаримов С.Х.):
      1) совместно с Юридическим департаментом (Шарипов С.Б.) зарегистрировать настоящее постановление и Правила обеспечения безопасности рабочего места пользователя платежной системы Республиканского государственного предприятия на праве хозяйственного ведения "Казахстанский центр межбанковских расчетов Национального Банка Республики Казахстан" в Министерстве юстиции Республики Казахстан;
      2) в недельный срок со дня государственной регистрации в Министерстве юстиции Республики Казахстан довести настоящее постановление и утвержденные Правила до сведения всех пользователей платежной системы.
      3. Департаменту информационных технологий (Поликарпов О.Ю.) в установленном порядке подготовить изменения в Инструкцию о порядке применения системы программно-криптографической защиты при обмене электронными платежами между подразделениями Национального Банка Республики Казахстан, а также банками Республики Казахстан, утвержденную постановлением Правления Национального Банка Республики Казахстан от 19 октября 1995 года N 177, и внести на рассмотрение Правления Национального Банка Республики Казахстан.
      4. Контроль за исполнением настоящее постановления возложить на заместителя Председателя Национального Банка Республики Казахстан Абдулину Н.К.

       Председатель
      Национального Банка

Утверждены         
Постановлением Правления 
Национального Банка   
Республики Казахстан  
от 7 октября 1999 года N 325
 

Правила обеспечения безопасности
рабочего места пользователя платежной системы
Республиканского Государственного предприятия на праве
хозяйственного ведения "Казахстанский центр межбанковских
расчетов Национального Банка Республики Казахстан"
 

Глава 1. Общие положения

      Настоящие Правила разработаны в соответствии с Законами Республики Казахстан " О Национальном Банке Республики Казахстан", " О платежах и переводах денег ", " Об электронном документе и электронной цифровой подписи" и определяют порядок обеспечения безопасности рабочего места пользователя платежной системы Республиканского государственного предприятия на праве хозяйственного ведения "Казахстанский центр межбанковских расчетов Национального Банка Республики Казахстан (далее - платежная система)".
      Нормы настоящих Правил обязательны для исполнения всеми пользователями платежной системы.
      В настоящих Правилах используются следующие понятия:

      1) (исключен - постановлением Правления Нац. Банка РК от 18 января 2007 г. N 5 )

      2) ключевая информация - криптографические ключи или другая информация, позволяющая осуществлять криптографические преобразования информации;

      3) несанкционированный доступ - доступ к информационным и программным ресурсам лиц, не имеющих права доступа к ним;

      4) офицер безопасности - ответственный работник пользователя платежной системы, обеспечивающий установку и функционирование программно-аппаратного комплекса защиты информации от несанкционированного доступа на рабочем месте пользователя платежной системы, а также осуществляющий контроль за их работоспособностью;

      5) пользователь платежной системы - банк или организация, осуществляющая отдельные виды банковских операций, заключившие договор с Республиканским государственным предприятием на праве хозяйственного ведения "Казахстанский центр межбанковских расчетов Национального Банка Республики Казахстан" о предоставлении услуг в платежной системе;

      6) программно-аппаратный комплекс защиты от несанкционированного доступа - система защиты компьютеров от использования посторонними лицами, контроля целостности установленного программного обеспечения и данных, а также для разграничения полномочий зарегистрированных пользователей по доступу к информационным ресурсам;

      7) рабочее место пользователя платежной системы - персональный компьютер, на котором установлен терминал платежной системы;

      8) служба безопасности платежной системы - структурное подразделение, обеспечивающее безопасность и защиту информационных ресурсов Республиканского государственного предприятия на праве хозяйственного ведения "Казахстанский центр межбанковских расчетов Национального Банка Республики Казахстан";

      9) средства регистрации доступа - технические, программные или другие средства, позволяющие фиксировать информацию о доступе к объектам;

      10) терминал платежной системы - программное обеспечение, обеспечивающее доступ в платежную систему, устанавливаемое в банках второго уровня и организациях, осуществляющих отдельные виды банковских операций, являющихся пользователями платежной системы;

      11) центр распределения ключей - организация, осуществляющая определенные технологические процедуры при сборе, рассылке или генерации ключевой информации.
      Сноска: Глава 1 в новой редакции - постановлением Правления Национального Банка Республики Казахстан от 2 февраля 2006 года N 6 .
 

Глава 2. Размещение рабочего места

       Сноска: В наименование главы 2 внесены изменения - постановлением Правления Национального Банка Республики Казахстан от 2 февраля 2006 года N 6 .
 

       1. Рабочее место пользователя платежной системы размещается в специально выделенном помещении.
      2. Место нахождения, специальное оборудование и охрана помещения, в котором организуется рабочее место пользователя платежной системы, должны исключать возможность неконтролируемого проникновения в это помещение лиц, не допущенных к рабочему месту пользователя платежной системы.
      3. Помещение должно находиться в контролируемой зоне, иметь прочные входные двери, на которые устанавливаются надежные замки, иметь средства регистрации доступа. При отсутствии охраняемой и контролируемой зоны в радиусе 50 метров от здания, где расположено рабочее место пользователя платежной системы, в помещении должны быть установлены средства защиты информации от утечки по электромагнитным каналам. При расположении помещений на первых и последних этажах зданий, а также при наличии рядом с окнами балконов, пожарных лестниц и т.п., окна помещений необходимо оборудовать решетками. Двери и окна помещений должны быть оборудованы охранной сигнализацией.
      Сноска. Пункт 3 с изменениями, внесенными постановлением Правления Нац. Банка РК от 28 февраля 2002 года N 61 .
      3-1. В случае переноса рабочего места пользователя платежной системы на новое место пользователь платежной системы в течение десяти рабочих дней с момента эксплуатации уведомляет Национальный Банк Республики Казахстан (далее - Национальный Банк). <*>
      Сноска. Глава 2 дополнена пунктом 3-1 постановлением Правления Нац. Банка РК от 18 января 2007 г. N 5 (вводится в действие по истечении 14 дней со дня гос. регистрации).
 

Глава 3. Защита информации и программного
обеспечения от несанкционированного доступа

      Сноска: В наименование главы 3 внесены изменения - постановлением Правления Национального Банка Республики Казахстан от 2 февраля 2006 года N 6 .
 

        4. Терминал платежной системы устанавливается на специально выделенном для этих целей персональном компьютере, имеющем паспорт с подробными данными по конфигурации, аппаратным и программным средствам, установленным на нем. <*>
      Сноска: Пункт 4 в новой редакции - постановлением Правления Национального Банка Республики Казахстан от 2 февраля 2006 года N 6 .
      5. Установка на рабочем месте пользователя платежной системы программных средств, не предназначенных для решения задач по подготовке, обработке, передачи или ведения электронных документов в рамках платежной системы, не допускается. <*>
      Сноска: В пункт 5 внесены изменения - постановлением Правления Национального Банка Республики Казахстан от 2 февраля 2006 года N 6 .
      6. Рабочее место пользователя платежной системы должно иметь программно-аппаратный комплекс защиты от несанкционированного доступа, включающий в себя средства опознавания пользователей, возможность ведения электронных журналов в течение срока хранения электронных документов с целью контроля событий, связанных с доступом к рабочему месту пользователя платежной системы и действиями пользователей. <*>
      Сноска: В пункт 6 внесены изменения - постановлением Правления Национального Банка Республики Казахстан от 2 февраля 2006 года N 6 .
      7. Одному системному имени пользователя, по которому идентифицируется пользователь на входе в информационные системы, должно соответствовать одно физическое лицо.
      8. Рабочее место пользователя платежной системы должно иметь средства обеспечения целостности программного обеспечения. В случае подозрения на нарушение целостности или получения предупреждений о нарушении целостности этих средств необходимо немедленно сообщать в службу безопасности платежной системы. <*>
      Сноска: В пункт 8 внесены изменения - постановлением Правления Национального Банка Республики Казахстан от 2 февраля 2006 года N 6 .
      9. Системный блок рабочего места пользователя платежной системы должен быть опечатан или опломбирован. <*>
      Сноска: В пункт 9 внесены изменения - постановлением Правления Национального Банка Республики Казахстан от 2 февраля 2006 года N 6 .
      10. Порядок хранения и использования технических средств, паролей, кодовых слов или др. информации, обеспечивающих доступ к рабочему месту пользователя платежной системы, должен исключать возможность их несанкционированного использования.
      11. Права администратора средств защиты от несанкционированного доступа необходимо предоставить только офицеру безопасности пользователя платежной системы, наделенному соответствующими полномочиями.
      12. Технология передачи электронных документов (определенный порядок передачи электронных документов), подготовленных в информационной системе пользователя платежной системы, на рабочее место пользователя платежной системы должна исключать возможность несанкционированного доступа к этим электронным документам.
      13. Порядок доступа к ресурсам (дисковое пространство, директории, сетевые ресурсы, базы данных и т.п.), выделенным для накопления в них информации для передачи в платежную систему, получения информации из платежной системы, хранения, архивирования либо другой обработки информации, должен исключать возможность доступа к этим ресурсам лиц, не допущенных к работе с ними.
      13-1. В случае внесения изменений в программное обеспечение, посредством которого осуществляется связь между пользователем платежной системы и Республиканским государственным предприятием на праве хозяйственного ведения "Казахстанский центр межбанковских расчетов Национального Банка Республики Казахстан", в программно-аппаратный комплекс защиты от несанкционированного доступа, а также в технологию передачи электронных документов, подготовленных в информационной системе пользователя платежной системы, пользователь платежной системы в течение десяти рабочих дней с момента эксплуатации уведомляет Национальный Банк.
      Сноска. Глава 3 дополнена пунктом 13-1 постановлением Правления Нац. Банка РК от 18 января 2007 г. N 5 (вводится в действие по истечении 14 дней со дня гос. регистрации).
 

Глава 4. Хранение и использование ключевой информации

      Сноска: В наименование главы 4 внесены изменения - постановлением Правления Национального Банка Республики Казахстан от 2 февраля 2006 года N 6 .
 

       14. Ключевая информация должна находиться на внешнем носителе (дискета, пластиковая карточка и т.п.).
      15. Порядок хранения и использования внешних носителей с ключевой информацией должен исключать возможность несанкционированного доступа к ним.
      16. Лица, имеющие доступ к ключевой информации несут персональную ответственность за сохранность и неразглашение информации в соответствии с действующим законодательством.
      17. Для хранения внешних носителей ключевой информации в помещении должны устанавливаться сейфы, оборудованные надежными запирающими устройствами.
      18. После окончания рабочего дня внешние носители ключевой информации должны находиться в сейфах.
      19. В случаях увольнения сотрудников, имевших доступ к ключевой информации, дискредитации или попытки дискредитации ключевой информации необходимо произвести внеплановую смену ключевой информации. Новая ключевая информация вводится в действие со дня увольнения сотрудника, имеющего доступ к ключевой информации, или ранее.
      20. Запрещается:
      1) снимать несанкционированные копии с носителей ключевой информации;
      2) знакомить с содержанием носителей ключевой информации или передавать носители ключевой информации лицам, к ним не допущенным;
      3) выводить ключевую информацию на дисплей или принтер;
      4) вставлять носитель с ключевой информацией в считывающее устройство в режимах, не предусмотренных функционированием системы;
      5) записывать на внешний носитель ключевой информации постороннюю информацию.
 

Глава 5. Организация работ обслуживающего персонала

      Сноска: В наименование главы 5 внесены изменения - постановлением Правления Национального Банка Республики Казахстан от 2 февраля 2006 года N 6 .
 

       21. Приказом пользователя платежной системы определяются:
      1) режим работы (время работы, время перерывов, порядок работы в вечернее время, порядок работы в выходные и праздничные дни и др.) с платежной системой;
      2) список сотрудников, допущенных к рабочему месту пользователя платежной системы;
      3) список сотрудников, имеющих доступ к внешним носителям с ключевой информацией;
      4) список сотрудников, дающих санкции на прием или передачу электронных документов платежной системы;
      5) список сотрудников, допускаемых к рабочему месту пользователя платежной системы в особых случаях;
      6) список сотрудников, выполняющих функции офицера безопасности;
      7) список сотрудников, осуществляющих архивирование и хранение всех электронных документов, переданных в платежную систему и полученных из платежной системы, а также устаревшей ключевой информации;
      22. Внутренними правилами пользователя платежной системы определяются:
      1) порядок и процедуры контроля доступа в помещение, в котором находится рабочее место пользователя платежной системы и ответственного за допуск;
      2) порядок и процедуры архивирования, хранения всех электронных документов, переданных в платежную систему и полученных из платежной системы, а также порядок доступа к этим архивам;
      3) порядок контроля целостности печатей или пломб на системном блоке рабочего места пользователя платежной системы. <*>
      Сноска: В пункт 22 внесены изменения - постановлением Правления Национального Банка Республики Казахстан от 2 февраля 2006 года N 6 .
      23. Внутренними правилами и инструкциями пользователя платежной системы для сотрудников, допущенных к рабочему месту пользователя платежной системы, определяются:
      1) конкретные функции и полномочия;
      2) порядок санкционирования приема или передачи сообщений платежной системы;
      3) порядок отпусков, увольнения и замещения, в случае временного отсутствия;
      4) порядок фиксирования полной информации (дата, время, фамилия, должность, цель посещения, роспись) обо всех приходах, уходах, замещении, отсутствии, передачи дежурств, посещении помещения лицами, допуск которых осуществляется по особым условиям, и т.п.;
      5) порядок хранения внешних носителей с ключевой информацией;
      6) порядок хранения устаревшей ключевой информации в течение срока хранения электронных документов, подписанных или зашифрованных с использованием этой ключевой информации;
      7) порядок фиксирования полной информации (дата, время, фамилия, должность, роспись) о факте и продолжительности использования ключевой информации;
      8) порядок хранения и использования технических средств, паролей кодовых слов или другой информации, обеспечивающих доступ к рабочему месту пользователя платежной системы.
      24. (пункт исключен - постановлением Правления Национального Банка Республики Казахстан от 2 февраля 2006 года N 6 ).
      25. С сотрудников, допущенных к работе в платежной системе, необходимо получить обязательство о неразглашении и нераспространении конфиденциальной информации, ключевой информации и паролей.
      26. Лица, допущенные к работе в платежной системе, должны подразделяться на следующие категории:
      1) администратор, осуществляющий непосредственно выработку собственных открытых и секретных ключей, регистрацию ключей в центре распределения ключей, использование собственных зарегистрированных в центре распределения ключей, а также обработку, санкционирование передачи сообщений в платежную систему и приема сообщений из платежной системы;
      2) оператор (лицо, замещающее администратора), непосредственно осуществляющий подготовку, передачу и прием сообщений;
      3) офицер безопасности, в функции которого входит регистрация сотрудников, допущенных к рабочему месту пользователя платежной системы, и контроль за выполнением требований безопасности.
      27. При необходимости решения текущих и оперативных вопросов в части безопасности, администратор и офицер безопасности взаимодействуют со службой безопасности платежной системы.
 

Глава 6. (Исключена постановлением Правления Нац. Банка РК от 18 января 2007 г. N 5 (вводится в действие по истечении 14 дней со дня гос. регистрации).

Глава 7. Заключительные положения

      Сноска. Правила дополнены главой 7 постановлением Правления Нац. Банка РК от 18 января 2007 г. N 5 (вводится в действие по истечении 14 дней со дня гос. регистрации).

      35. Проверка соблюдения пользователем платежной системы условий и требований, установленных настоящими Правилами, осуществляется в порядке, предусмотренном Законом Республики Казахстан "О Национальном Банке Республики Казахстан".
 

      36. Вопросы, неурегулированные настоящими Правилами, разрешаются в порядке, установленном законодательством Республики Казахстан.

      Председатель
      Национального Банка