Сноска. Заголовок в редакции постановления Правления Национального Банка РК от 28.01.2016 № 12 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).
В целях реализации Закона Республики Казахстан от 18 декабря 2000 года "О страховой деятельности" Правление Агентства Республики Казахстан по регулированию и надзору финансового рынка и финансовых организаций (далее - Агентство) ПОСТАНОВЛЯЕТ:
Сноска. Преамбула с изменениями, внесенными постановлениями Правления Агентства РК по регулированию и надзору финансового рынка и финансовых организаций от 03.09.2010 № 137 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования); от 27.12.2010 № 183 (вводится в действие по истечении 14 календарных дней со дня его гос.рег-ции в МЮ РК).1. Утвердить прилагаемые Требования к деятельности организации по формированию и ведению базы данных.
Сноска. Пункт 1 в редакции постановления Правления Национального Банка РК от 28.01.2016 № 12 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).2. Настоящее постановление вводится в действие по истечении четырнадцати дней со дня государственной регистрации в Министерстве юстиции Республики Казахстан.
3. Департаменту надзора за субъектами страхового рынка и другими финансовыми организациями (Каракулова Д.Ш.):
1) совместно с Юридическим департаментом (Байсынов М.Б.) принять меры к государственной регистрации в Министерстве юстиции Республики Казахстан настоящего постановления;
2) в десятидневный срок со дня государственной регистрации в Министерстве юстиции Республики Казахстан довести настоящее постановление до сведения заинтересованных подразделений Агентства, страховых (перестраховочных) организаций, организации, осуществляющей формирование и ведение базы данных, и Объединения юридических лиц "Ассоциация финансистов Казахстана".
4. Службе Председателя Агентства (Заборцева Е.Н.) обеспечить публикацию настоящего постановления в средствах массовой информации Республики Казахстан.
5. Контроль за исполнением настоящего постановления возложить на заместителя Председателя Агентства Узбекова Г.Н.
Председатель |
| Утверждена постановлением Правления Агентства Республики Казахстан по регулированию и надзору финансового рынка и финансовых организаций от 25 июня 2007 года N 177 |
Требования к деятельности организации
по формированию и ведению базы данных
Сноска. Заголовок Инструкции в редакции постановления Правления Национального Банка РК от 28.01.2016 № 12 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).
Настоящие Требования к деятельности организации по формированию и ведению базы данных (далее - Требования) разработаны в соответствии с Законом Республики Казахстан "О страховой деятельности" (далее - Закон о страховой деятельности) и устанавливают требования к деятельности организации по формированию и ведению базы данных (далее - Организация), включая требования к информационному процессу, формированию системы безопасности и установлению минимальных требований к электронному оборудованию, сохранности единой базы данных по страхованию (далее - база данных), и помещениям.
Сбор, обработка и защита персональных данных согласно Требованиям осуществляются в соответствии с Законом Республики Казахстан "О персональных данных и их защите.
Сноска. Преамбула - в редакции постановления Правления Агентства РК по регулированию и развитию финансового рынка от 23.11.2022 № 101 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).Глава 1. Общие положения
1. В Требованиях используются основные понятия, установленные Законом о страховой деятельности, Законом Республики Казахстан "Об электронном документе и электронной цифровой подписи", а также следующие понятия:
1) администратор безопасности информационных систем (далее – администратор) – работник Организации и пользователя базы данных, обеспечивающий функционирование системы электронного получения и (или) передачи данных, реализацию мер по их защите, осуществляющий генерацию поступающей и (или) передаваемой информации с учетом ее функций и полномочий;
2) политика информационной безопасности – нормы и практические приемы, регулирующие управление, защиту и распределение информации ограниченного распространения;
3) аутентификация – подтверждение подлинности субъекта или объекта доступа путем определения соответствия предъявленных реквизитов доступа имеющимся в системе;
4) пользователь базы данных – поставщики информации, указанные в пункте 3 статьи 80 Закона о страховой деятельности и получатели страхового отчета, указанные в подпунктах 3) и 3-1) пункта 4 статьи 80 Закона о страховой деятельности, участвующие в информационной системе формирования и использования страховых отчетов в соответствии с требованиями законов Республики Казахстан;
5) ответственное лицо – работник Организации и пользователя базы данных, обеспечивающий функционирование и контроль средств защиты информации от несанкционированного доступа;
6) зловредное программное обеспечение (компьютерные вирусы, сетевые черви и аналогичное программное обеспечение) - совокупность выполняемого кода, способная создавать свои копии (частично или полностью совпадающие с оригиналом) и внедрять их в различные объекты и (или) ресурсы компьютерных систем, сетей без ведома пользователя базы данных;
7) режим реального времени – режим работы информационной системы формирования и использования страховых отчетов, обеспечивающий поступление, обработку и обмен информации до 16.00 часов времени города Нур-Султан дня, следующего за днем заключения договора страхования;
8) ключевая информация – криптографические ключи и ключи электронной цифровой подписи;
9) оператор – работник пользователя базы данных, непосредственно осуществляющий прием, сбор, обработку, передачу и получение информации с использованием системы защиты;
10) информационная система формирования и использования страховых отчетов – совокупность информационных технологий, информационных сетей и средств их программно-технического обеспечения, предназначенных для реализации Организацией, поставщиками информации, указанными в пункте 3 статьи 80 Закона о страховой деятельности, получателями страховых отчетов (за исключением субъекта базы данных) информационных процессов;
11) меры по защите информационной системы формирования и использования страховых отчетов – организационно-технические мероприятия, направленные на обеспечение безопасного функционирования информационной системы формирования и использования страховых отчетов, в том числе программно-аппаратная защита электронных средств и компьютеров от несанкционированного доступа, обеспечивающая контроль доступа к установленному программному обеспечению и информации, предоставляющая средства разграничения полномочий зарегистрированных пользователей;
12) страховщик – страховая организация, филиал страховой (перестраховочной) организации-нерезидента Республики Казахстан, осуществляющие деятельность по заключению и исполнению договоров страхования на основании соответствующей лицензии уполномоченного органа;
13) идентификатор – уникальные персональный код и (или) имя, присвоенные субъекту и (или) объекту системы, и предназначенные для регламентированного доступа в систему и (или) к ресурсам системы;
14) идентификация – процесс присвоения или определения соответствия предъявленного для получения доступа в систему и (или) к ресурсу системы идентификатора перечню идентификаторов, имеющихся в системе;
15) уполномоченный орган – государственный орган, осуществляющий регулирование, контроль и надзор финансового рынка и финансовых организаций.
Сноска. Пункт 1 – в редакции постановления Правления Агентства РК по регулированию и развитию финансового рынка от 23.11.2022 № 101 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).2. Поставщики информации и получатели страхового отчета (за исключением лиц, указанных в подпунктах 1), 1-1), 2), 2-1), 4), 6), 7), 8), 9), 10) и 11) пункта 4 статьи 80 Закона о страховой деятельности) обеспечивают выполнение организационных, технологических условий и требований, установленных законодательством Республики Казахстан о страховании и страховой деятельности, кредитных бюро и формировании кредитных историй и об информатизации, а также вытекающих из заключенных с Организацией договоров о предоставлении информации и (или) получении страховых отчетов.
Сноска. Пункт 2 – в редакции постановления Правления Агентства РК по регулированию и развитию финансового рынка от 23.11.2022 № 101 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).2-1. Исключен постановлением Правления Агентства РК по регулированию и развитию финансового рынка от 23.11.2022 № 101 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).
2-2. Внутренние правила, устанавливающие порядок деятельности Организации, содержат следующие сведения:
1) порядок заключения договора о предоставлении информации и (или) получении страховых отчетов;
2) перечень и формы страховых отчетов, представляемых из базы данных;
3) виды, сроки (периодичность), объем информации, содержащейся в страховых отчетах, и порядок получения страховых отчетов;
4) порядок оплаты услуг по предоставлению информации из базы данных;
5) виды, объем, сроки (периодичность), порядок предоставления информации для формирования базы данных;
6) права и обязанности Организации, поставщика информации и получателя страхового отчета;
7) ответственность Организации, поставщика информации и получателя страхового отчета;
8) режим работы Организации.
Сноска. Инструкция дополнена пунктом 2-2 в соответствии с постановлением Правления Агентства РК по регулированию и надзору финансового рынка и финансовых организаций от 03.09.2010 № 137 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).Глава 2. Формирование и использование страховых отчетов
3. Для формирования страховых отчетов между Организацией и поставщиками информации, указанными в подпунктах 1) и 1-1) пункта 3 статьи 80 Закона о страховой деятельности, заключаются договоры о предоставлении информации и (или) получении страховых отчетов.
Требования к содержанию договора о предоставлении информации и (или) получении страховых отчетов устанавливаются статьей 83 Закона о страховой деятельности.
Сноска. Пункт 3 – в редакции постановления Правления Агентства РК по регулированию и развитию финансового рынка от 23.11.2022 № 101 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).4. Регистрация в Организации поставщиков информации, указанных в пункте 3 статьи 80 Закона о страховой деятельности, осуществляется в соответствии со статьей 84 Закона о страховой деятельности.
Сноска. Пункт 4 в редакции постановления Правления Агентства РК по регулированию и надзору финансового рынка и финансовых организаций от 03.09.2010 № 137 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования); с изменениями, внесенными постановлением Правления Агентства РК по регулированию и надзору фин.рынка и фин.организаций от 27.12.2010 № 183(вводится в действие по истечении 14 календарных дней со дня его гос.рег-ции в МЮ РК).5. При поступлении от получателей страхового отчета, указанных в пункте 4 статьи 80 Закона о страховой деятельности, запроса о представлении страхового отчета на бумажном носителе, отчет таким получателям Организацией представляется в течение двух рабочих дней с даты получения запроса.
Предоставление страхового отчета лицам, указанным в пункте 4 статьи 80 Закона о страховой деятельности, осуществляется в соответствии с пунктом 6 статьи 80 Закона о страховой деятельности.
Сноска. Пункт 5 – в редакции постановления Правления Агентства РК по регулированию и развитию финансового рынка от 23.11.2022 № 101 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).6. Исключен постановлением Правления Агентства РК по регулированию и надзору финансового рынка и финансовых организаций от 03.09.2010 № 137 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).
7. Исключен постановлением Правления Агентства РК по регулированию и надзору финансового рынка и финансовых организаций от 03.09.2010 № 137 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).
8. Исключен постановлением Правления Агентства РК по регулированию и надзору фин.рынка и фин.организаций от 27.12.2010 № 183(вводится в действие по истечении 14 календарных дней со дня его гос.рег-ции в МЮ РК).
9. В страховом отчете для субъекта базы данных должна содержаться информация обо всех предоставленных страховых отчетах, с указанием даты выдачи, наименования и реквизитов получателей страхового отчета.
10. Организация при предоставлении страхового отчета указывает всех поставщиков информации и дату получения этой информации Организацией.
10-1. Поставщик информации, указанный в подпункте 1) пункта 3 статьи 80 Закона о страховой деятельности, представляет в Организацию сведения, предусмотренные постановлением Правления Агентства Республики Казахстан по регулированию и надзору финансового рынка и финансовых организаций от 1 марта 2010 года № 25 "Об утверждении Требований к осуществлению страховой организацией, филиалом страховой организации-нерезидента Республики Казахстан страховой деятельности, в том числе во взаимоотношениях с участниками страхового рынка, к договору поручения, заключаемому между страховой организацией и страховым агентом, и полномочиям страхового агента на осуществление посреднической деятельности на страховом рынке, а также минимальной программы обучения страховых агентов и требований к порядку проведения обучения", зарегистрированным в Реестре государственной регистрации нормативных правовых актов под № 6164, по обязательным видам страхования - в режиме реального времени, по добровольным видам страхования - в срок не позднее 6 (шестого) рабочего дня месяца, следующего за отчетным месяцем.
Сноска. Инструкция дополнена пунктом 10-1 в соответствии с постановлением Правления Агентства РК по регулированию и надзору финансового рынка и финансовых организаций от 03.09.2010 № 137 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования); в редакции постановления Правления Агентства РК по регулированию и развитию финансового рынка от 23.11.2022 № 101 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).11. Поставщик информации, указанный в подпункте 1) пункта 3 статьи 80 Закона о страховой деятельности, представляет в Организацию сведения, предусмотренные постановлением Правления Национального Банка Республики Казахстан от 29 октября 2018 года № 269 "Об установлении Требований к содержанию и порядку оформления страховых полисов", зарегистрированным в Реестре государственной регистрации нормативных правовых актов под № 17806, в режиме реального времени по обязательным видам страхования и в срок не позднее 6 (шестого) рабочего дня месяца, следующего за отчетным месяцем по добровольным видам страхования.
Сноска. Пункт 11 - в редакции постановления Правления Агентства РК по регулированию и развитию финансового рынка от 23.11.2022 № 101 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).11-1. По временно въезжающим (ввозимым) автотранспортным средствам на территорию Республики Казахстан при заключении договора обязательного страхования гражданско-правовой ответственности владельцев транспортных средств поставщиком информации, указанным в подпункте 1) пункта 3 статьи 80 Закона о страховой деятельности, представляются следующие сведения в режиме реального времени:
1) вид договора страхования (стандартный, комплексный);
2) уникальный номер договора страхования, присвоенный Организацией;
3) срок действия страхового полиса;
4) сведения о заявителе:
фамилия, имя, отчество (при его наличии), дата рождения, место жительства (для физического лица);
серия, номер, дата выдачи водительского удостоверения, стаж вождения (для физического лица);
наименование, место нахождения (для юридического лица);
признак резидентства (резидент или нерезидент Республики Казахстан);
5) сведения об автотранспортном средстве:
документ, подтверждающий регистрацию транспортного средства на срок ввоза;
тип транспортного средства в соответствии с Законом Республики Казахстан "Об обязательном страховании гражданско-правовой ответственности владельцев транспортных средств" (далее - Закон об обязательном страховании);
год выпуска;
номер кузова;
6) сведения о застрахованном (застрахованных):
фамилия, имя, отчество (при его наличии), дата рождения, место жительства;
серия, номер, дата выдачи водительского удостоверения, стаж вождения.
Сноска. Инструкция дополнена пунктом 11-1 в соответствии с постановлением Правления Агентства РК по регулированию и надзору финансового рынка и финансовых организаций от 26.09.2009 № 216 (порядок введения в действие см. п. 2); в редакции постановления Правления Агентства РК по регулированию и развитию финансового рынка от 23.11.2022 № 101 (вводится в действие с 01.01.2024).11-2. Поставщик информации, указанный в подпункте 1-1) пункта 3 статьи 80 Закона о страховой деятельности, представляет в Организацию сведения в рамках гарантируемых классов (видов) страхования, включенных в систему гарантирования страховых выплат на основании заключенного с Организацией договора о предоставлении информации.
Сноска. Инструкция дополнена пунктом 11-2, в соответствии с постановлением Правления Агентства РК по регулированию и развитию финансового рынка от 23.11.2022 № 101 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).11-3. Поставщик информации, указанный в подпункте 1-2) пункта 3 статьи 80 Закона о страховой деятельности, представляет в Организацию сведения по договорам пенсионного аннуитета, заключенным в рамках Закона Республики Казахстан "О пенсионном обеспечении в Республике Казахстан".
Сноска. Инструкция дополнена пунктом 11-3 в соответствии с постановлением Правления Агентства РК по регулированию и развитию финансового рынка от 23.11.2022 № 101 (вводится в действие с 01.01.2024).12. Исключен постановлением Правления Агентства РК по регулированию и надзору финансового рынка и финансовых организаций от 03.09.2010 № 137 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).
13. Организация присваивает уникальный номер договору обязательного страхования гражданско-правовой ответственности владельцев транспортных средств в следующем порядке:
1) внесение страховщиком сведений о страхователе (застрахованном), транспортном средстве (транспортных средствах) в базу данных на основе заявления страхователя для заключения договора обязательного страхования гражданско-правовой ответственности владельцев транспортных средств;
2) формирование в базе данных страхового отчета, содержащего сведения, необходимые для включения в страховой полис;
3) присвоение уникального номера страховому полису, являющегося номером страхового полиса.
Сноска. Пункт 13 – в редакции постановления Правления Агентства РК по регулированию и развитию финансового рынка от 23.11.2022 № 101 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).13-1. Организация присваивает уникальный номер заключенному договору обязательного (за исключением обязательного страхования гражданско-правовой ответственности владельцев транспортных средств), добровольного страхования в базе данных.
Сноска. Инструкция дополнена пунктом 13-1, в соответствии с постановлением Правления Агентства РК по регулированию и развитию финансового рынка от 23.11.2022 № 101 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).14. Исключен постановлением Правления Агентства РК по регулированию и надзору финансового рынка и финансовых организаций от 03.09.2010 № 137 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).
15. Выдача страховых отчетов из базы данных получателям страхового отчета, указанным в пункте 4 статьи 80 Закона о страховой деятельности, осуществляется в зависимости от уровней доступа и вида страховых отчетов согласно пункту 5 статьи 80 Закона о страховой деятельности.
Сноска. Пункт 15 в редакции постановления Правления Агентства РК по регулированию и надзору финансового рынка и финансовых организаций от 03.09.2010 № 137 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования); с изменениями, внесенными постановлением Правления Агентства РК по регулированию и надзору фин.рынка и фин.организаций от 27.12.2010 № 183(вводится в действие по истечении 14 календарных дней со дня его гос.рег-ции в МЮ РК).16. Исключен постановлением Правления Агентства РК по регулированию и надзору финансового рынка и финансовых организаций от 03.09.2010 № 137 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).
17. Исключен постановлением Правления Агентства РК по регулированию и надзору финансового рынка и финансовых организаций от 03.09.2010 № 137 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).
18. В целях обоснованного применения размера страховой премии работники получателя страхового отчета, указанного в подпункте 1) пункта 3 статьи 80 Закона о страховой деятельности, в должностные обязанности которых входит заключение договоров обязательного страхования гражданско-правовой ответственности владельцев транспортных средств и лиц, осуществляющих посредническую деятельность по заключению договоров страхования от имени и по поручению страховщика в соответствии с предоставленными им полномочиями, получают страховой отчет о классе, присеваемом субъекту базы данных (наличие или отсутствие страховых случаев у субъекта базы данных), установленного пунктом 10 статьи 19 Закона об обязательном страховании.
Сноска. Пункт 18 в редакции постановления Правления Агентства РК по регулированию и развитию финансового рынка от 12.02.2021 № 28 (вводится в действие со дня его первого официального опубликования).Глава 3. Информационный процесс
19. Функционирование информационной системы формирования и использования страховых отчетов обеспечивает:
1) координацию и управляемость деятельности ее участников в рамках согласованных процедур и технологических параметров;
2) унификацию используемых программных и технических средств;
3) информационную безопасность, включая устранение возможности раскрытия информации;
4) внедрение высокоэффективных технологий;
5) гибкое и эффективное управление ресурсами;
6) рост качества услуг.
20. Организация и пользователи базы данных обеспечивают:
1) контроль ввода данных;
2) возможность вычисления параметров документов (номеров документов, кода связи, номера договора и другое);
3) генерацию сводной информации;
4) создание резервных копий, архивирование данных;
5) использование информационных систем, имеющих штатные средства защиты, с контролем за правами доступа;
6) наличие регламентированных процедур предоставления и получения электронных сообщений;
7) возможность подготовки аналитических и статистических отчетов.
21. Процесс разработки, внедрения и сопровождения информационных систем включает определение этапов разработки, порядка внесения изменений, приема, тестирования и ввода в промышленную эксплуатацию, требования к документированию всех этапов.
22. Разработка, внедрение и сопровождение информационных систем Организацией выполняется в соответствии с действующими на территории Республики Казахстан стандартами и внутренними документами Организации.
23. Разработка информационных систем выполняется Организацией на основании технического задания, утвержденного их первым руководителем.
Организация обеспечивает возможность приема информации от поставщиков информации либо устанавливает соответствующие требования к используемому ими программному обеспечению. В случае самостоятельной разработки программного обеспечения пользователями базы данных оно согласуется с Организацией.
24. В целях исключения несанкционированного изменения программного обеспечения и (или) данных информационной системы при необходимости внесения изменений (для устранения недостатков или доработки системы) в программное обеспечение, процесс внесения изменений осуществляются в соответствии с техническим заданием, стандартами, действующими на территории Республики Казахстан, и внутренними документами Организации.
Глава 4. Условия обмена информацией между
Организацией и пользователями базы данных
25. Обмен информацией между пользователями базы данных и Организацией осуществляется через специальную автоматизированную систему, соответствующую требованиям законодательства Республики Казахстан об информатизации и о техническом регулировании.
26. Информация, предоставленная поставщиком информации, возвращается Организацией без ее использования в информационной системе формирования и использования страховых отчетов, в случае ее неправильного или неполного оформления, несоответствия данных поставщика информации, получателя страхового отчета, субъекта базы данных требованиям к используемой информационной системе.
Сноска. Пункт 26 в редакции постановления Правления Национального Банка РК от 28.01.2016 № 12 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).26-1.Организация осуществляет обмен данными с поставщиками информации и получателями страхового отчета по выделенным каналам связи или через Интернет - ресурсы при условии:
1) наличия основного канала, пропускной способностью не менее 10 (десяти) мегабит в секунду;
2) наличия беспроводного резервного канала, пропускной способностью не менее 2 (двух) мегабит в секунду;
3) использования каналов разных провайдеров;
4) использования каналов исключительно для обмена информацией с поставщиками информации и получателями страховых отчетов.
Сноска. Глава 4 дополнена пунктом 26-1 в соответствии с постановлением Правления Агентства РК по регулированию и надзору фин.рынка и фин.организаций от 27.12.2010 № 183(вводится в действие по истечении 14 календарных дней со дня его гос.рег-ции в МЮ РК).Глава 5. Формирование системы безопасности
27. Информационная система формирования и использования страховых отчетов обеспечивает:
1) конфиденциальность информации - защиту от раскрытия информации в ходе ее хранения, обработки или при передаче по коммуникационным каналам;
2) сохранность информации - защиту от повреждений, целостность и защищенность от несанкционированного изменения, дополнения, копирования или удаления в ходе ее хранения, обработки или при передаче по коммуникационным каналам;
3) доступность - защиту от использования одним пользователем данных и иных ресурсов информационной системы, предназначенных для совместного использования, перехвата информационных сообщений и (или) данных с последующей их задержкой, а также от перехвата информационных сообщений и (или) данных с последующей их задержкой.
28. Базовым компонентом обязательных мер по обеспечению безопасности информационной системы формирования и использования страховых отчетов является применение комплексного подхода к созданию системы информационной безопасности.
29. Комплексный подход к созданию системы информационной безопасности включает анализ и оценку рисков, в том числе по техническим каналам утечки информации, учет характера и важности защищаемой информации, контроль за обеспечением безопасности технологии обработки электронных документов.
30. Организация и пользователи базы данных проводят действия по оперативному выявлению подозрительных действий в реальном режиме времени и включающие мероприятия, направленные на установление:
1) нетипичного поведения (пользователей, программ или аппаратуры);
2) начала активности несанкционированных вторжений или использования зловредного программного обеспечения.
31. Основными направлениями, обеспечивающими комплексный подход к информационной безопасности на программно-техническом уровне являются:
1) контур безопасности;
2) внутрикорпоративная безопасность;
3) управление корпоративной безопасностью.
32. Контур безопасности предназначен для обеспечения защиты информационной системы формирования и использования страховых отчетов (далее - Контур безопасности). Контур безопасности реализует защиту центрального и дополнительных офисов (филиалов, представительств, удаленных офисов), информационных потоков между ними, а также информационных ресурсов, хранящихся на серверах и рабочих станциях внешних соединений информационной системы с другими сетями.
33. Процедуры безопасности Организации и пользователей базы данных предназначены для контроля несанкционированных вторжений и антивирусной защиты, обеспечения их внутренней информационной безопасности и предполагают необходимость построения и поддержания системы, обеспечивающей разделение пользователей на группы в соответствии с их статусом и правами, а также разделение ресурсов по уровню их конфиденциальности.
Сноска. Пункт 33 с изменением, внесенным постановлением Правления Агентства РК по регулированию и надзору финансового рынка и финансовых организаций от 03.09.2010 № 137 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).34. Управление корпоративной безопасностью, в рамках комплексной системы безопасности Организации и пользователей базы данных обеспечивается постоянным контролем за выполнением общих требований политики информационной безопасности, оперативным внесением в нее корректировок и повышения ее уровня.
35. Повышение уровня безопасности предусматривает:
1) определение политики информационной безопасности;
2) установление границ, в которых предполагается поддерживать режим информационной безопасности;
3) проведение оценки рисков;
4) выбор мер противодействия и управления рисками;
5) выбор средств и управления, обеспечивающих режим информационной безопасности.
36. Политика информационной безопасности содержит описание состава используемой информационной системы, список пользователей, их права (в зависимости от их служебного положения и характера выполняемых функций) на доступ к информации, программным и техническим средствам и определяет:
1) общие направления работы в области информационной безопасности;
2) цель и задачи защиты информационной системы;
3) основные принципы и способы достижения необходимого уровня безопасности;
4) определение должностных лиц, ответственных за разработку необходимых требований, определяющих политику информационной безопасности;
5) определение подразделений, ответственных за создание и поддержание работоспособности информационных систем и системы их защиты;
6) меры, предотвращающие нарушения режима безопасности информационных систем в случае возникновения обстоятельств непреодолимой силы, к которым относятся стихийные бедствия, аварии, пожары, отключение электроэнергии, повреждение линий связи, массовые беспорядки, забастовки, военные действия.
37. Организация и пользователи базы данных обеспечивают:
1) соответствие используемых управленческих решений, технологий, подходов и конкретных программно-аппаратных средств действующему законодательству Республики Казахстан;
2) принятие внутренних документов об организации безопасности информационной системы.
38. Процедурный уровень защиты информации включает мероприятия по обеспечению безопасности, предпринимаемые Организацией и пользователями базы данных по следующим направлениям:
1) управление персоналом;
2) физическая защита;
3) реагирование на нарушения режима безопасности;
4) планирование восстановительных работ.
39. Алгоритмы, используемые для защиты информации при аутентификации пользователей и передаче данных, сертифицируются в Республике Казахстан в соответствии с требованиями государственного стандарта Республики Казахстан СТ РК 1073-2007 "Средства криптографической защиты информации. Общие технические требования".
Сноска. Пункт 39 в редакции постановления Правления Национального Банка РК от 30.05.2016 № 127 (вводится в действие по истечении десяти календарных дней после дня его первого официального).40. План защиты информации включает следующие меры:
1) организационные;
2) программно-технические.
41. К организационным мерам обеспечения безопасности относятся:
1) физическая защита информационных систем;
2) поддержание работоспособности информационных систем, имеющих отношение к информационной безопасности;
3) установление каждому пользователю соответствующего права доступа, необходимого для выполнения им возложенных должностных обязанностей и обеспечения взаимозаменяемости;
4) планирование восстановительных работ.
42. Физическая защита подразделяется на:
1) физическое управление доступом;
2) меры противопожарной безопасности;
3) защита поддерживающей инфраструктуры;
4) защита от перехвата данных, защита мобильных систем.
43. Мероприятия по поддержанию работоспособности информационных систем подразделяются на:
1) поддержку пользователей - предоставление консультаций по вопросам информационной безопасности, выявление их типичных ошибок и обеспечение памятками с рекомендациями для распространенных ситуаций;
2) поддержку программного обеспечения - контроль лицензионной (сертифицированной) чистоты программного обеспечения;
3) конфигурационное управление - контроль и фиксирование изменений, вносимых в программную и техническую конфигурацию;
4) резервное копирование для восстановления информационной системы и данных в случае аварии и других обстоятельств непреодолимой силы;
5) управление носителями данных - порядок учета, обращения и хранения;
6) документирование - актуальное отражение текущего состояния дел.
44. В случае нарушения режима безопасности информационных систем ответственные лица, администратор осуществляют:
1) выполнение оперативных мероприятий с целью уменьшения наносимого вреда;
2) анализ и оценку имеющихся сведений о нарушениях - изучение инцидента, выявление повторных нарушений, разработка мер по усовершенствованию системы защиты.
45. Резервное копирование и восстановление после потери работоспособности информационной системы определяются требованиями, установленными в Организации и у пользователей базы данных.
45-1. Организация обеспечивает наличие резервного сервера для хранения копий информации о субъектах единой страховой базы данных, находящегося вне границ населенного пункта, в котором расположена Организация.
Сноска. Инструкция дополнена пунктом 45-1, в соответствии с постановлением Правления Агентства РК по регулированию и развитию финансового рынка от 23.11.2022 № 101 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования). Глава 6. Минимальные требования к электронному оборудованию,
сохранности базы данных и помещениям
46. Программное обеспечение пользователя устанавливается на специально выделенном персональном компьютере, имеющем паспорт - описание рабочего места с подробными данными по его месторасположению, конфигурации, а также аппаратным и программным средствам, установленным на нем.
47. Не допускается эксплуатация персонального компьютера пользователя и установка на нем программных средств, не связанных с целями подготовки, обработки, передачи или ведения электронных документов в рамках участия в информационной системе формирования и использования страховых отчетов.
48. Персональный компьютер пользователя оснащается комплексом защиты, включающим в себя средства идентификации и аутентификации пользователей, возможность ведения электронных журналов в течение срока хранения электронных документов, с целью контроля деятельности, связанной с доступом к компьютеру и действиями пользователей.
Сноска. Пункт 48 в редакции постановления Правления Национального Банка РК от 28.01.2016 № 12 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).49. Одному системному имени пользователя, по которому идентифицируется пользователь, при входе в информационные системы должно соответствовать одно физическое лицо.
50. Паспорт - описание рабочего места оформляется за подписью руководителей Организации и пользователя и хранится у ответственного лица.
51. Персональный компьютер пользователя оснащается средством обеспечения целостности программного обеспечения.
Сноска. Пункт 51 в редакции постановления Правления Национального Банка РК от 28.01.2016 № 12 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).52. Системный блок персонального компьютера пользователя опечатывается либо пломбируется ответственным лицом. В случае необходимости, допуск к системному блоку осуществляется в присутствии ответственного лица. По окончании работ системный блок опечатывается либо пломбируется ответственным лицом.
53. Порядок доступа к ресурсам (дисковое пространство, директории, сетевые ресурсы, базы данных и другие), выделенным для накопления в них информации для передачи в информационную среду с использованием системы защиты, получения информации из информационной среды, хранения, архивирования либо другой обработки информации, исключает возможность несанкционированного доступа к этим ресурсам.
Сноска. Пункт 53 в редакции постановления Правления Национального Банка РК от 28.01.2016 № 12 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).54. Проведение и контроль работ по криптографической защите ведется ответственным лицом, который выполняет:
1) учет, хранение и сопровождение программных средств криптографической защиты;
2) генерацию криптографических ключей, получение, учет, хранение и выдачу информационных носителей, содержащих ключи;
3) ведение списка владельцев криптографических ключей;
4) обеспечение владельцев криптографических ключей необходимыми инструкциями.
55. Рабочее место пользователя размещается в отдельном помещении.
Сноска. Пункт 55 с изменениями, внесенными постановлением Правления Агентства РК по регулированию и надзору фин.рынка и фин.организаций от 27.12.2010 № 183(вводится в действие по истечении 14 календарных дней со дня его гос.рег-ции в МЮ РК).56. Месторасположение, в котором находится рабочее место пользователя, имеющего доступ к страховым отчетам ограниченного доступа, и средства охраны помещения должны исключать возможность неконтролируемого проникновения в это помещение лиц, не допущенных к рабочему месту пользователя.
Сноска. Пункт 56 с изменениями, внесенными постановлением Правления Агентства РК по регулированию и надзору фин.рынка и фин.организаций от 27.12.2010 № 183(вводится в действие по истечении 14 календарных дней со дня его гос.рег-ции в МЮ РК).57. Техническое помещение Организации должно находиться в охраняемой зоне, иметь кодовые замки и средства регистрации доступа.
При расположении помещения Организации на первых или последних этажах зданий, а также при наличии рядом с окнами балконов, пожарных лестниц, окна помещений оборудуются металлическими решетками.
58. Средства технической защиты помещения Организации должны исключать возможность неконтролируемого проникновения в это помещение лиц. Допуск к работе в Организации осуществляется в соответствии с ее регламентом и должностными обязанностями работников.
Сноска. Пункт 58 с изменениями, внесенными постановлением Правления Агентства РК по регулированию и надзору фин.рынка и фин.организаций от 27.12.2010 № 183(вводится в действие по истечении 14 календарных дней со дня его гос.рег-ции в МЮ РК).Глава 7. Иные вопросы деятельности базы данных
59. Внутренним актом Организации и пользователя определяется порядок работы с системой защиты, включающий:
1) порядок назначения сотрудников, на которых возлагаются обязанности ответственного лица, администратора, оператора;
2) режим работы;
3) права и обязанности ответственного лица, администратора и оператора, включая их должностные инструкции;
4) список сотрудников, допущенных к рабочему месту оператора.
60. Ответственные лица:
1) обеспечивают обязательность процедуры идентификации и аутентификации для доступа к ресурсам информационных систем;
2) не допускают получения права доступа к информационным ресурсам неавторизованными пользователями;
3) контролируют регулярность выполнения резервного копирования информации, обрабатываемой информационной системой;
4) проводят плановую и внеплановую проверку надежности защиты ресурсов системы;
5) обеспечивают защиту информационных ресурсов, подключенных к глобальной сети Интернет, с помощью аппаратных межсетевых экранов "FireWall";
6) принимают меры по отражению угрозы и выявлению нарушителей с помощью аппаратных средств, комбинирующих как систему обнаружения вторжений (IDS), так и систему предотвращения вторжений (IPS(IDPS));
7) обеспечивают работоспособность средств защиты от утечки информации через съемные носители (гибкие диски, flash-карты, внешние накопители на жестких дисках и прочие);
8) регулярно просматривают журнал событий, проводят анализ с записями, где были попытки несанкционированного доступа к информации;
9) постоянно проводить антивирусную профилактическую работу.
Сноска. Пункт 60 с изменениями, внесенными постановлением Правления Агентства РК по регулированию и надзору фин.рынка и фин.организаций от 27.12.2010 № 183(вводится в действие по истечении 14 календарных дней со дня его гос.рег-ции в МЮ РК).61. Ответственное лицо, администратор, оператор дают письменное обязательство о неразглашении и нераспространении информации, ставшей им известной в процессе исполнения ими служебных обязанностей.
62. При увольнении работников пользователя (ответственного лица, администратора или оператора) производится внеплановая смена ключевой информации организации, о чем уведомляется Организация. Новая ключевая информация вводится в действие со дня их увольнения.
63. Исключен постановлением Правления Агентства РК по регулированию и надзору фин.рынка и фин.организаций от 27.12.2010 № 183(вводится в действие по истечении 14 календарных дней со дня его гос.рег-ции в МЮ РК).
64. Порядок хранения и использования внешних носителей с ключевой информацией исключает возможность несанкционированного доступа к ним.
Сноска. Пункт 64 в редакции постановления Правления Национального Банка РК от 28.01.2016 № 12 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).65. При формировании и передаче электронного сообщения Организация и пользователь осуществляют защитные действия, в соответствии с установленным ими порядком использования программно-криптографической защиты и электронной цифровой подписи.
66. В случае нарушения порядка защитных действий или его разглашения, сторона, установившая данное нарушение, немедленно уведомляет об этом другую сторону и принимает меры к ликвидации последствий.
67. Исключен постановлением Правления Национального Банка РК от 28.01.2016 № 12 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).
Глава 8. Заключительные положения
Сноска. Глава 8 исключена постановлением Правления Национального Банка РК от 28.01.2016 № 12 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).
| Приложение к Требованиям к деятельности организации по формированию и ведению базы данных |
Сноска. Инструкция дополнена приложением 1 в соответствии с постановлением Правления Агентства РК по регулированию и надзору финансового рынка и финансовых организаций от 03.09.2010 № 137 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования); в редакции постановления Правления Национального Банка РК от 28.01.2016 № 12 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).
Форма
Акт
ввода системы управления базы данных в
промышленную эксплуатацию
________________________________________________________________
(наименование Организации по формированию и ведению базы данных)
"____"_____________ 20___ года дата | __________________________ место составления |
В соответствии с пунктом 5 статьи 79 Закона Республики
Казахстан от 18 декабря 2000 года "О страховой деятельности" (далее -
Закон о страховой деятельности) создана комиссия в следующем составе:
представители уполномоченного органа (указать должность,
фамилию, имя, отчество (при его наличии)):
_____________________________________________________________________
_____________________________________________________________________
_____________________________________________________________________
____________________________________________________________________,
которая составила настоящий акт ввода системы управления базы
данных в промышленную эксплуатацию Организации по формированию и
ведению базы данных
_____________________________________________________________________
____________________________________________________________________.
(наименование)
В работе комиссии участвуют представители Организации по
формированию и ведению базы данных (указать должность, фамилию, имя,
отчество (при его наличии)):
_____________________________________________________________________
_____________________________________________________________________
_____________________________________________________________________
Сведения относительно заключенных договоров о предоставлении
информации с поставщиками информации, указанными в пункте 3 статьи 80
Закона о страховой деятельности:
№ | Наименование поставщика информации | Номер договора и дата заключения | Результат тестирования | Пояснения к результату тестирования |
1 | Страховщики | |||
1.1 | ||||
… | ||||
2 | Уполномоченный государственный орган, осуществляющий государственный контроль за субъектами базы данных | |||
2.1 | ||||
… | ||||
3 | Иные лица | |||
3.1 | ||||
… | ||||
4 | Всего (количество) |
Организация информационного процесса по формированию и выдаче
страховых отчетов:
Описание системы управления базы данных:
_____________________________________________________________________
_____________________________________________________________________
_____________________________________________________________________
_____________________________________________________________________
Результаты тестирования информационного процесса с поставщиками
информации, заключившими договор о представлении информации:
_____________________________________________________________________
_____________________________________________________________________
_____________________________________________________________________
_____________________________________________________________________
Краткое содержание пояснений представителей Организации по
формированию и ведению базы данных:
_____________________________________________________________________
_____________________________________________________________________
_____________________________________________________________________
_____________________________________________________________________
Комиссия проверила технические и иные документы, договоры о
предоставлении информации с поставщиками информации, указанными в
пункте 3 статьи 80 Закона о страховой деятельности, Организации по
формированию и ведению базы данных __________________________________
_____________________________________________________________________
_____________________________________________________________________
____________________________________________________________________,
(наименование)
обследовала его системы управления базы данных и иных объектов,
предназначенных для организации информационного процесса по
формированию и выдаче страховых отчетов и установила, что данная
Организация по формированию и ведению базы данных
_____________________________________________________________________
_____________________________________________________________________
готова (не готова) к вводу системы управления базы данных в
промышленную эксплуатацию.
Организацией по формированию и ведению базы данных предъявлены
следующие документы, касающиеся организации информационного процесса
по формированию и выдаче страховых отчетов, системы управления базы
данных и тестирования информационного процесса, которые приложены к
акту комиссии:
_____________________________________________________________________
_____________________________________________________________________
_____________________________________________________________________
____________________________________________________________________
Акт составлен в двух экземплярах и по одному экземпляру
передан:
уполномоченному органу;
Организации по формированию и ведению базы данных.
Члены комиссии (фамилия, имя, отчество (при его наличии),
подпись и дата подписания):
_____________________________________________________________________
_____________________________________________________________________
_____________________________________________________________________
____________________________________________________________________
Представители Организации по формированию и ведению базы данных
(фамилия, имя, отчество (при его наличии), подпись и дата
подписания):
_____________________________________________________________________
_____________________________________________________________________
_____________________________________________________________________
____________________________________________________________________
Руководитель Организации по формированию и ведению базы данных
(фамилия, имя, отчество (при его наличии), подпись и дата
подписания):
_____________________________________________________________________
_____________________________________________________________________
_____________________________________________________________________
_____________________________________________________________________
| Приложение 2 к Инструкции по формированию и ведению базы данных |
АКТ
о соответствии Организации, поставщика информации, указанного
в подпункте 1) пункта 3 статьи 80 Закона о страховой деятельности, предъявляемым требованиям для начала своей деятельности на рынке информационных услуг и выполнении им организационно-технических, технологических и иных условий по защите программного обеспечения, формированию информационных систем и информационных ресурсов
________ ____________________
дата место составления
Сноска. Приложение 2 с изменениями, внесенными постановлениями Правления Агентства РК по регулированию и надзору финансового рынка и финансовых организаций от 03.09.2010 № 137 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования); от 27.12.2010 № 183(вводится в действие по истечении 14 календарных дней со дня его гос.рег-ции в МЮ РК).
Настоящий акт о готовности Организации, поставщика информации,
указанного в подпункте 1) пункта 3 статьи 80 Закона о страховой
деятельности, к началу своей деятельности на рынке информационных услуг и выполнении им организационно-технических мер, технологических требований по защите программного обеспечения, соблюдения требований при формировании и эксплуатации информационных систем, используемых для формирования электронной базы данных страховых отчетов и средств ее защиты составлен комиссией в следующем составе:
1) представители уполномоченного органа:
_____________________________________________________________________
_____________________________________________________________________
_____________________________________________________________________
_____________________________________________________________________
2) представители Организации, поставщика информации, указанного
в подпункте 1) пункта 3 статьи 80 Закона о страховой
деятельности:
_____________________________________________________________________
_____________________________________________________________________
_____________________________________________________________________
____________________________________________________________________
Описание обследованных объектов и изученных комиссией документов:
_____________________________________________________________________
_____________________________________________________________________
_____________________________________________________________________
Краткое содержание пояснений представителей Организации,
поставщика информации, указанного в подпункте 1) пункта 3 статьи 80
Закона о страховой деятельности, и иных присутствовавших лиц:
_____________________________________________________________________
_____________________________________________________________________
_____________________________________________________________________
_____________________________________________________________________
Проверкой комиссией технических и иных документов Организации,
поставщика информации, указанного в подпункте 1) пункта 3 статьи 80
Закона о страховой деятельности,______________________________, обследованием его технических помещений, электронно-компьютерного оборудования, систем связи и защитных устройств и иных объектов, предназначенных для работы в системе формирования электронной базы данных страховых отчетов установлено
_____________________________________________________________________
(соответствуют/не соответствуют предъявляемым
требованиям и достаточны/недостаточны для начала продолжения
деятельности организации на рынке информационных услуг).
Организацией или поставщиком информации, указанного в
подпункте 1) пункта 3 статьи 80 Закона о страховой деятельности, предъявлена техническая документация и иные документы, которые приложены к акту комиссии.
Акт составлен в двух экземплярах и по одному экземпляру
передан:
уполномоченному органу;
Организации или поставщику информации, указанному в подпункте
1) пункта 3 статьи 80 Закона о страховой деятельности.
Члены комиссии:
_____________________________________________________________________
_____________________________________________________________________
_____________________________________________________________________
Представитель проверяемой организации:
_____________________________________________________________________
_____________________________________________________________________
_____________________________________________________________________