Об утверждении Инструкции о требованиях к программному обеспечению и техническим средствам, обеспечивающим доступ в платежную систему Республики Казахстан

Постановление Правления Национального Банка Республики Казахстан от 30 октября 2000 года N 400. Зарегистрировано в Министерстве юстиции Республики Казахстан 9 декабря 2000 года N 1325. Утратило силу - постановлением Правления Национального Банка Республики Казахстан от 25 июля 2003 г. N 235

      В целях приведения нормативных правовых актов Национального Банка Республики Казахстан в соответствие с действующим законодательством Правление Национального Банка Республики Казахстан постановляет:
      1. Утвердить прилагаемую Инструкцию о требованиях к программному обеспечению и техническим средствам, обеспечивающим доступ в платежную систему Республики Казахстан, и ввести ее в действие по истечении двадцатидневного срока со дня государственной регистрации в Министерстве юстиции Республики Казахстан.
      2. Управлению платежных систем (Мусаев Р.Н.):
      1) совместно с Юридическим департаментом (Шарипов С.Б.) принять меры к государственной регистрации в Министерстве юстиции Республики Казахстан настоящего постановления и Инструкции о требованиях к программному обеспечению и техническим средствам, обеспечивающим доступ в платежную систему Республики Казахстан;
      2) в двадцатидневный срок со дня государственной регистрации в Министерстве юстиции Республики Казахстан довести настоящее постановление и Инструкцию о требованиях к программному обеспечению и техническим средствам, обеспечивающим доступ в платежную систему Республики Казахстан, до сведения заинтересованных подразделений центрального аппарата Национального Банка Республики Казахстан и банков второго уровня.
      3. Контроль за исполнением настоящего постановления возложить на заместителя Председателя Национального Банка Республики Казахстан Жангельдина Е.Т.

     Председатель
 Национального Банка                                      

                                                       Утверждена
                                               постановлением Правления
                                               Национального Банка
                                               Республики Казахстан
                                               30 октября 2000 г. N 400

           Инструкция о требованиях к программному обеспечению
             и техническим средствам, обеспечивающим доступ
                в платежную систему Республики Казахстан

                        Глава 1. Общие положения

      1. Настоящая Инструкция определяет требования к программному обеспечению и техническим средствам доступа в платежную систему Республики Казахстан (далее - платежная система).
      Программное обеспечение, обеспечивающее доступ в платежную систему (далее - терминал платежной системы) устанавливается в банках второго уровня и организациях, осуществляющих отдельные виды банковских операций, являющихся пользователями платежной системы (далее - пользователи).
      Терминал платежной системы должен обеспечивать безопасный доступ пользователей в платежную систему, а также защищенный обмен информацией между ними.
      2. Форматы сообщений платежной системы разрабатываются и утверждаются Республиканским государственным предприятием на праве хозяйственного ведения "Казахстанский центр межбанковских расчетов Национального Банка Республики Казахстан" (далее - Центр) и отражаются в документе "Система платежей - процедуры обмена и форматы сообщений".
      3. Терминал платежной системы должен обрабатывать сообщения в соответствии с форматами передачи информации в платежной системе, описанными в документе "Система платежей - процедуры обмена и форматы сообщений".

                   Глава 2. Авторизация пользователей

      4. Авторизация пользователя в платежной системе осуществляется в три этапа:
      1) определение имени пользователя - терминал платежной системы подключается к платежной системе на терминальную линию с помощью системы доступа, предоставляемой платежной системой, и получает приглашение "Lоgin:". В ответ на данное приглашение платежная система ожидает от пользователя ввода своего системного имени;
      2) авторизация терминала платежной системой (стадия 1) - платежная система определяет имя пользователя и посылает ему последовательность криптографической информации после символа "1>>>", и приглашение для ввода ответной информации "1<<<".
      Терминал платежной системы формирует ответную последовательность и передает ее в платежную систему. Платежная система анализирует полученную информацию и авторизует или отвергает пользователя;
      3) авторизация платежной системы терминалом (стадия 2) - платежная система посылает терминалу последовательность символов о готовности принять криптографическую последовательность "2<<<", терминал в ответ посылает данную последовательность, платежная система формирует ответную последовательность и отсылает терминалу. Терминал анализирует полученную информацию и авторизует или отвергает платежную систему.
      5. После завершения процесса авторизации платежная система выдает терминалу приглашение для ввода команд обмена сообщениями "->".
      6. При возникновении ошибки на одном из этапов авторизации пользователя в платежной системе для терминала выдается сообщение "ERROR" и связь разрывается.

                   Глава 3. Порядок обмена сообщениями

      7. Для связи с платежной системой терминал должен использовать один из следующих протоколов:

     1) kermit через стек протоколов ТСР/IР;

     2) zmodem через Х.25;

     3) AFTP по ТСР/IР.

     8. При обмене информацией между терминалом и платежной системой должны использоваться следующие команды:

     1) "rz" - сообщить платежной системе о необходимости принять файлы от терминала по протоколу zмоdем;

     2) "sz" - сообщить платежной системе о готовности терминала принять файлы по протоколу zмоdем;

     3) "rk" - сообщить платежной системе о необходимости принять файлы от терминала по протоколу кеrмit;

     4) "sk" - сообщить платежной системе о готовности терминала принять файлы по протоколу кеrмit;

     5) "rtcp" - сообщить платежной системе о необходимости принять файлы от терминала по протоколу АFТР;

     6) "stср" - сообщить платежной системе о готовности терминала принять файлы по протоколу АFТР;

     7) "q" - выход из платежной системы.


      9. Каждое сообщение пользователя в платежную систему однозначно определяется последовательным уникальным номером сообщения.
      Номер начального сообщения при первом подключении пользователя к платежной системе должен быть установлен равным единице. Каждый номер последующего сообщения должен увеличиваться на единицу. Нумерация сообщений должна составлять непрерывную возрастающую последовательность, контролируемую платежной системой.
     Номер сообщения используется для контроля поступления сообщений пользователя в платежную систему. При несовпадении переданного пользователем номера сообщения с номером, ожидаемым платежной системой, пользователю должно выдаваться соответствующее сообщение.

            Глава 4. Требования к регистрации событий в терминале

     10. Терминал платежной системы должен производить идентификацию и регистрацию ответственного исполнителя (посредством пароля, смарт-карточки или иным способом).
     11. Терминал должен обеспечивать ведение журналов, в которых должны регистрироваться следующие ключевые события и действия ответственного исполнителя (аудиторский след):
     1) время открытия/закрытия терминала;
     2) время соединения/отсоединения ответственного исполнителя;
     3) время, идентификатор, содержание всех команд всех ответственных исполнителей;
     4) время, характер, признак завершения действий над сообщениями;
     5) все изменения в базах данных терминала.

                  Глава 5. Требования к защите информации

      12. Обязательным условием при подключении к платежной системе является использование пакета криптографической защиты "ТУМАР", который должен обеспечить:
      1) однозначную идентификацию терминала платежной системой;
      2) двустороннюю аутентификацию (аутентификация терминалом и Центром), при доступе в платежную систему;
      3) механизм формирования и проверки электронной цифровой подписи (целостность и авторство электронного документа);
      4) конфиденциальность информации (шифрование данных);
      5) целостность передаваемой информации (имитационная защита данных);
      6) целостность хранимой информации и программного обеспечения (хэширование данных);
      7) открытое распределение ключевой информации.
      Процедура работы с пакетом, а также требования пакета к аппаратному обеспечению приводятся в документации к программному комплексу криптографической защиты и электронной цифровой подписи "ТУМАР".

                  Глава 6. Требования к хранению информации

      13. Полученные и отправленные сообщения, составленные в электронной форме с использованием программно-технических средств и содержащие электронную цифровую подпись, а также ключи криптографии должны сохраняться пользователем на внешних носителях информации.

                  Глава 7. Требования к техническим средствам

      14. Технические средства должны обеспечивать надежную и бесперебойную работу терминала платежной системы и корректное завершение работы в случае возникновения аварийной ситуации.
      Технические средства должны соответствовать основным требованиям, предъявляемым к ним терминалом платежной системы.

           Глава 8. Требования по вводу терминала в эксплуатацию

      15. До начала эксплуатации терминал платежной системы должен быть представлен для тестирования Центру. При удовлетворительном результате тестирования терминал признается пригодным к эксплуатации и выдается разрешение на его использование.
      При этом терминал должен иметь серийный номер, присваиваемый ему в момент приобретения пользователем. Контроль серийного номера осуществляется Центром.
      16. При загрузке выполняемого модуля терминала платежной системы должен обеспечиваться контроль его целостности с использованием специализированных криптографических механизмов.
      17. Если в процессе эксплуатации терминала платежной системы появляются сбои при его работе с платежной системой или передается информация, имеющая неверную электронную подпись, а также в особых случаях, когда информация, передаваемая терминалом в платежную систему, может нанести ущерб ее пользователям или Центру, последний имеет право закрыть вход терминалу в платежную систему, провести его проверку, в том числе условия его эксплуатации.
      18. В случае нарушения правил эксплуатации или несанкционированного изменения программного обеспечения терминала платежной системы, Центр имеет право запретить его использование.
      19. При внесении изменений в программное обеспечение терминала платежной системы необходимо его обязательное тестирование Центром.

     Председатель                         

    

 

    

     

     

Қазақстан Республикасының төлем жүйесіне енуді қамтамасыз ететін бағдарламалық қамтамасыз етуге және техникалық құрал-жабдықтарға қойылатын талаптар туралы нұсқаулықты бекіту жөнінде

Қазақстан Республикасының Ұлттық Банкі Басқармасының 2000 жылғы 30 қазандағы N 400 Қаулысы. Қазақстан Республикасы Әділет министрлігінде 2000 жылғы 9 желтоқсанда N 1325 тіркелді. Күші жойылды - ҚР Ұлттық Банкі Басқармасының 2003 жылғы 25 шілдедегі N 235 қаулысымен.

      Қазақстан Республикасы Ұлттық Банкiнiң нормативтiк құқықтық актілерін Қазақстан Республикасының қолданылып жүрген заңдарына сәйкес келтiру мақсатында Қазақстан Республикасы Ұлттық Банкiнiң Басқармасы қаулы етеді:
      1. Қазақстан Республикасының төлем жүйесiне енудi қамтамасыз ететiн бағдарламалық қамтамасыз етуге және техникалық құрал-жабдықтарға қойылатын талаптар туралы нұсқаулық бекiтiлсiн және Қазақстан Республикасының Әдiлет министрлiгiнде мемлекеттiк тiркелген күннен бастап жиырма күн өткеннен кейiн күшiне енгiзiлсiн.
      2. Төлем жүйесi басқармасы (Мұсаев Р.Н.):
      1) Заң департаментiмен (Шәрiпов С.Б.) бiрлесiп осы қаулыны және Қазақстан Республикасының төлем жүйесiне енудi қамтамасыз ететiн бағдарламалық қамтамасыз етуге және техникалық құрал-жабдықтарға қойылатын талаптар туралы нұсқаулықты Қазақстан Республикасының Әдiлет министрлiгiнде мемлекеттiк тiркеуден өткiзу шараларын қабылдасын;
      2) Қазақстан Республикасының Әдiлет министрлiгiнде мемлекеттiк тiркеуден өткiзiлген күннен бастап жиырма күндiк мерзiмде осы қаулыны және Қазақстан Республикасының төлем жүйесiне енудi қамтамасыз ететiн бағдарламалық қамтамасыз етуге және техникалық құрал-жабдықтарға қойылатын талаптар туралы нұсқаулықты Қазақстан Республикасы Ұлттық Банкiнiң орталық аппаратының мүдделi бөлiмшелерiне және екiншi деңгейдегi банктерге жiберсiн.
      3. Осы қаулының орындалуын бақылау Қазақстан Республикасының Ұлттық Банкi Төрағасының орынбасары Е.Т. Жанкелдинге жүктелсiн.

      Ұлттық Банк
      Төрағасы

Қазақстан Республикасының Ұлттық
Банкi Басқармасының 2000 жылғы
30 қазандағы N 400 қаулысымен 
БЕКIТIЛГЕН        

Қазақстан Республикасының төлем жүйесiне енудi қамтамасыз
ететiн бағдарламалық қамтамасыз етуге және техникалық
құрал-жабдықтарға қойылатын талаптар туралы нұсқаулық

1-тарау. Жалпы ережелер

      1. Осы нұсқаулық Қазақстан Республикасының төлем жүйесiне (бұдан әрi - төлем жүйесi) енудi бағдарламалық қамтамасыз етуге және техникалық құрал-жабдықтарға қойылатын талаптарды белгiлейдi.
      Төлем жүйесiне енудi қамтамасыз ететiн бағдарламалық қамтамасыз ету (бұдан әрi - төлем жүйесiнiң терминалы) төлем жүйесiнiң пайдаланушылары (бұдан әрi - пайдаланушылар) болып табылатын екiншi деңгейдегi банктерде және банктiк операциялардың жекелеген түрлерiн жүзеге асыратын ұйымдарда орнатылады.
      Төлем жүйесiнiң терминалы пайдаланушылардың төлем жүйесiне қауiпсiз енуiн, сондай-ақ олардың арасындағы ақпараттың қорғалған алмасуын қамтамасыз етуi тиiс.
      2. "Қазақстан Республикасы Ұлттық Банкiнiң Қазақстан банкаралық есеп айырысу орталығы" шаруашылық жүргiзу құқығы бар республикалық мемлекеттiк кәсiпорны (бұдан әрi - Орталық) төлем жүйесi хабарларының өлшемдерiн әзiрлеп бекiтедi және "Төлемдер жүйесi - алмасу рәсiмдерi мен хабарлар өлшемi" құжатында көрiнедi.
      3. Төлем жүйесiнiң терминалы хабарларды "Төлемдер жүйесi - алмасу рәсiмдерi мен хабарлар өлшемi" құжатында сипатталған төлем жүйесiндегi ақпарат беру өлшемiмен сәйкес өңдеуi керек.

2-тарау. Пайдаланушылардың авторизациясы

      4. Төлем жүйесiндегi пайдаланушының авторизациясы үш кезеңде жүзеге асады:
      1) пайдаланушы атын анықтау - төлем жүйесiнiң терминалы төлем жүйесiне ену жүйесi арқылы терминал бағытына қосылады және "login" шақыруын алады. Осы шақыруға жауап ретiнде төлем жүйесi пайдаланушыдан өз жүйелік атының енгiзiлуiн күтедi;
      2) төлем жүйесi терминалының авторизациясы (1-саты) - төлем жүйесi пайдаланушының атын анықтап, оған "1" символынан кейiн криптографиялық ақпараттың бiр iздiлiгiн және жауап қайтару ақпаратын енгiзу үшiн "1<<<" шақыруын жiбередi.
      Төлем жүйесiнiң терминалы жауап қайтарудың бiр iздiлiгiн қалыптастырады және оны төлем жүйесiне жiбередi. Төлем жүйесi алынған ақпаратты талдайды және пайдаланушыға құқық бередi немесе керi қайтарады;
      3) төлем жүйесiнiң терминал арқылы авторизациясы (2-саты) - төлем жүйесi терминалға "2<<<" криптографиялық бiрiздiлiгiн қабылдауға дайын екендiгi туралы символдардың бiрiздiлiгiн жiбередi, терминал жауап ретiнде осы бiрiздiлiктi жiбередi, төлем жүйесi жауап қайтару бiрiздiлiгiн қалыптастырады және оны терминалға жiбередi. Терминал алынған ақпаратты талдайды және төлем жүйесiне құқық бередi немесе керi қайтарады.
      5. Авторизация процесi аяқталғаннан кейiн төлем жүйесi терминалға хабарларды алмасу командаларын енгiзу үшiн "->" шақыруын бередi.
      6. Төлем жүйесiндегi пайдаланушы авторизациясының бiр кезеңiнде қате көрiнген жағдайда терминал үшiн "ERROR" хабары берiледi және байланыс үзiледi.

3-тарау. Хабарлар алмасу тәртiбi

      7. Төлем жүйесiмен байланыс үшiн терминал мына хаттамалардың бiреуiн пайдалануы тиiс:
      1) ТСР/IР хаттамалардың бөлiмшесi арқылы kermit;
      2) Х.25 арқылы zmodem;
      3) ТСР/IР бойынша АҒТР.
      8. Терминал мен төлем жүйесi арасында ақпарат алмасқан кезде мынадай командалар қолданылуы тиiс:
      1) "rz"- төлем жүйесiне zmodem хаттамасы бойынша терминалдан файлдар қабылдаудың қажеттiлiгi туралы хабар беру;
      2) "sz" - төлем жүйесiне zmodem хаттамасы бойынша терминалдың файлдар қабылдауға дайындығы туралы хабар беру;
      3) "rk" - төлем жүйесіне kermit хаттамасы бойынша терминалдан файлдар қабылдаудың қажеттілігі туралы хабар беру;
      4) "sk" - төлем жүйесіне kermit хаттамасы бойынша терминалдың файлдар қабылдауға дайындығы туралы хабар беру;
      5) "rtсp" - төлем жүйесіне AFTP хаттамасы бойынша терминалдан файлдар қабылдаудың қажеттілігі туралы хабар беру;
      6) "stсp" - төлем жүйесіне AFTP хаттамасы бойынша терминалдың файлдар қабылдауға дайындығы туралы хабар беру;
      7) "q" - төлем жүйесінен шығу.
      9. Пайдаланушының төлем жүйесіне әрбір хабары хабардың жүйелі бірегей нөмірі арқылы бірдей анықталады.
      Пайдаланушының төлем жүйесіне алғаш қосылуы кезінде бастапқы хабардың нөмірі бірге тең болып белгіленуі керек. Кейінгі хабардың әрбір нөмірі бірлікке артып отыруы тиіс. Хабарлардың нөмірленуі төлем жүйесі бақылау жасайтын үздіксіз артатын бірізділікті құрауы тиіс.
      Хабардың нөмiрi пайдаланушы хабарларының төлем жүйесiне түсуiн бақылау үшiн қолданылады. Пайдаланушы берген хабар нөмiрi төлем жүйесi күтетiн нөмiрмен сәйкес келмеген жағдайда пайдаланушыға тиiстi хабар берiлуi керек.

4-тарау. Терминалдағы оқиғаларды тiркеуге
қойылатын талаптар

      10. Төлем жүйесiнiң терминалы жауапты атқарушының бiрегейлiгi мен тiркелуiн (пароль, смарт-карточкасы және өзге тәсiл арқылы) жүзеге асыруы тиiс.
      11. Терминал жауапты атқарушының мынадай негiзгi оқиғалары мен iс-әрекеттерi тiркелуi тиiс журналдардың (аудиторлық iз) жүргiзiлуiн қамтамасыз етуi керек:
      1) терминалдың ашылу/жабылу уақыты;
      2) жауапты атқарушының қосылу/ажырау уақыты;
      3) барлық жауапты атқарушылардың барлық командаларының уақыты, бiрегейлiгi, мазмұны;
      4) хабарлардың iс-әрекетiнiң аяқталу уақыты, сипаты, белгiсi;
      5) терминалдың деректер базаларындағы барлық өзгерiстер.

5-тарау. Ақпаратты қорғауға қойылатын талаптар

      12. Төлем жүйесiне қосылған кезде мыналарды қамтамасыз етуi тиiс "ТҰМАР" криптографиялық қорғау пакетiн пайдалану мiндеттi талап болып табылады:
      1) терминалдың төлем жүйесiмен бiрдей бiрегейленуi;
      2) төлем жүйесіне ену кезінде екі жақты аутентификация (терминалмен және Орталықпен аутентификация);
      3) электрондық сандық жазбаны қалыптастыру және тексеру тетігі (электронды құжаттың бүтіндігі мен авторлығы);
      4) ақпараттың құпиялылығы (деректерді шифрлеу);
      5) берілетін ақпараттың (деректердің имитациялық қорғалуы);
      6) сақталатын ақпараттың және бағдарламалық қамтамасыз етудің бүтіндігі (деректердің хэширленуі);
      7) негізгі ақпараттың ашық бөлінуі.
      Пакетпен жұмыс iстеу рәсiмi, сондай-ақ пакеттiң аппараттық қамтамасыз етуге қойылатын талаптары "ТҰМАР" криптографиялық қорғау мен электрондық сандық жазбасының бағдарламалық кешенiне арналған құжаттамада келтiрiледi.

6-тарау. Ақпаратты сақтауға қойылатын талаптар

      13. Бағдарламалық-техникалық құралдарды пайдалану арқылы электронды нысанда құрастырылған, электрондық сандық жазбасы бар алынған және жiберiлген хабарларды, сондай-ақ криптография кiлттерiн пайдаланушы ақпараттың сыртқы тасымалдаушыларында сақтауы тиiс.

7-тарау. Техникалық құралдарға қойылатын талаптар

      14. Техникалық құралдар төлем жүйесi терминалының сенiмдi, үздiксiз жұмысын және апат жағдайы болған жағдайда жұмыстың дұрыс аяқталуын қамтамасыз етуi керек.
      Техникалық құралдар төлем жүйесiнiң терминалы қоятын негiзгi талаптарға сәйкес болуы тиiс.

8-тарау. Терминалды пайдалануға беруге қойылатын талаптар

      15. Төлем жүйесiнiң терминалы пайдалануға берiлгенге дейiн Орталыққа сынақтан өту үшiн берiлуi керек. Сынақтың нәтижесi қанағаттанарлық болған жағдайда терминал пайдалануға жарамды болып танылады және оны пайдалануға рұқсат берiледi.
      Осыған орай терминалдың пайдаланушы сатып алған кезде берiлетiн сериялық нөмiрi болуы тиiс. Сериялық нөмiрге Орталық бақылау жасайды.
      16. Төлем жүйесi терминалының орындалатын модулiн толтырған кезде арнайы криптографиялық тетiктердi пайдалану арқылы оның бүтiндiгiне бақылау жасау қамтамасыз етiлуi тиiс.
      17. Егер төлем жүйесi терминалын пайдалану барысында оның төлем жүйесімен мен жұмысы кезінде жұмыстың істен шығуы пайда болса немесе теріс электрондық жазбасы бар ақпарат берілетін болса, сондай-ақ төлем жүйесіне терминалдың беретін ақпараты оны пайдаланушыларға не Орталыққа зиян келтіруi мүмкін ерекше жағдайларда, Орталықтың төлем жүйесіне терминалдың енуін жабуға, терминалды, соның ішінде оны пайдалануға қойылатын талаптарды тексеруге құқығы бар.
      18. Төлем жүйесi терминалын пайдалану ережесін бұзған жағдайда немесе бағдарламалық қамтамасыз етудің рұқсат етілмеген өзгерісі кезінде Орталық оның қолданылуына тыйым салуға құқығы бар.
      19. Төлем жүйесi терминалының бағдарламалық қамтамасыз етуіне өзгерістер енгізген кезде оны міндетті түрде Орталық сынақтан өткізу қажет.

      Төраға