Об утверждении Правил выдачи заключений о соответствии компьютерной системы техническим требованиям для включения в государственный реестр контрольно-кассовых машин

Приказ Председателя Агентства Республики Казахстан по информатизации и связи от 27 июля 2009 года № 330. Зарегистрирован в Министерстве юстиции Республики Казахстан 31 июля 2009 года № 5732. Утратил силу приказом Министра транспорта и коммуникаций Республики Казахстан от 26 марта 2012 года № 132

      Сноска. Утратил силу приказом Министра транспорта и коммуникаций РК от 26.03.2012 № 132.

      В соответствии с пунктом 3 статьи 651 Кодекса Республики Казахстан "О налогах и других обязательных платежах в бюджет" (Налоговый Кодекс), с целью установления порядка выдачи заключений для включения компьютерных систем в Государственный реестр контрольно-кассовых машин, ПРИКАЗЫВАЮ:
      1. Утвердить прилагаемые Правила выдачи заключений о соответствии компьютерной системы техническим требованиям для включения в государственный реестр контрольно-кассовых машин.
      2. Департаменту информационных технологии Агентства Республики Казахстан по информатизации и связи (Елеусизова К.Б.) обеспечить в установленном порядке:
      1) государственную регистрацию настоящего приказа в Министерстве юстиции Республики Казахстан;
      2) после государственной регистрации настоящего приказа в Министерстве юстиции Республики Казахстан его официальное опубликование в средствах массовой информации.
      3. Признать утратившим силу приказ и.о. Председателя Агентства Республики Казахстан по информатизации и связи от 3 сентября 2004 года № 186-п "Об утверждении Правил выдачи заключений для включения (исключения) компьютерных систем в (из) Государственный(-ого) реестр(а) контрольно-кассовых машин с фискальной памятью, разрешенных к использованию на территории Республики Казахстан" (зарегистрированный в Реестре государственной регистрации нормативных правовых актов за № 3139, опубликованный в газетах "Юридическая газета" и "Заң газеті" от 18 ноября 2005 года).
      4. Контроль за исполнением настоящего приказа возложить на заместителя Председателя Агентства Республики Казахстан по информатизации и связи Дурмагамбетова Е.Д.
      5. Настоящий приказ вводится в действие со дня официального опубликования.

      Председатель                               К. Есекеев

      Согласовано
      Министр финансов
      Республики Казахстан
      __________ Б. Жамишев
      28 июля 2009 года

Утверждены                   
приказом Председателя        
Агентства Республики Казахстан
по информатизации и связи    
от 27 июля 2009 года № 330   

Правила
выдачи заключений о соответствии компьютерной системы
техническим требованиям для включения в государственный
реестр контрольно-кассовых машин

1. Общие положения

      1. Настоящие Правила выдачи заключений о соответствии компьютерной системы техническим требованиям для включения в государственный реестр контрольно-кассовых машин (далее - Правила) определяют порядок выдачи уполномоченным органом в области информатизации и связи (далее - Уполномоченный орган) заключений о соответствии контрольно-кассовых машин являющихся компьютерной системой (далее - КС) техническим требованиям для включения в государственный реестр контрольно-кассовых машин (далее - Государственный реестр).
      2. В настоящих Правилах используются понятия, предусмотренные Кодексом Республики Казахстан "О налогах и других обязательных платежах в бюджет" (Налоговый кодекс).
      3. Для включения в Государственный реестр КС должны соответствовать следующим требованиям:
      применяться для регистрации денежных расчетов при реализации товаров и оказании услуг;
      обеспечивать некорректируемую ежесменную регистрацию каждого отдельного платежа;
      обеспечивать информационную безопасность, включая устранение возможности раскрытия информации;
      обеспечивать энергонезависимое долговременное хранение информации;
      обеспечивать равный доступ ко всем функциям системы на государственном и русском языках;
      обеспечивать создание резервных копий, архивирование данных;
      обеспечивать использование информационных систем, имеющих штатные средства защиты, с контролем за правами доступа.

2. Порядок выдачи заключений о соответствии
компьютерной системы техническим требованиям для
включения КС в Государственный реестр

      4. Для включения КС в Государственный реестр, в соответствии с законодательством Республики Казахстан, владелец КС (далее - заявитель) представляет в Уполномоченный орган заявку, состоящую из следующих документов заполненных как на государственном и русском языках:
      1) заполненную анкету-заявление по форме, установленной в приложении 1 к настоящим Правилам;
      2) полное описание функциональных возможностей и характеристик КС и инструкцию по эксплуатации режима "Рабочее место налогового инспектора";
      3) компакт диск, содержащий функциональную копию КС;
      4) инструкцию по установке и запуску КС;
      5) нотариально засвидетельствованную копию свидетельства о государственной регистрации, перерегистрации юридического лица или свидетельства о государственной регистрации без образования юридического лица (индивидуального предпринимателя);
      6) нотариально засвидетельствованную копию свидетельства о регистрации в качестве налогоплательщика;
      7) нотариально засвидетельствованные копии учредительных документов юридического лица;
      8) нотариально засвидетельствованную копию лицензии на право занятия предпринимательской деятельностью, подлежащей обязательному лицензированию в соответствии с Законом Республики Казахстан "О лицензировании";
      9) нотариально засвидетельствованную копию статистической карточки юридического лица;
      10) нотариально засвидетельствованные копии сертификатов соответствия требованиям информационной безопасности технических и программных средств, входящих в состав КС и подлежащих подтверждению соответствия в соответствии с законодательством Республики Казахстан.
      Документы представляются на бумажном носителях либо электронным документом удостоверенной электронной цифровой подписью заявителя.
      5. Рассмотрение вопроса о выдаче заключения о соответствии компьютерной системы техническим требованиям и документам для включения КС в Государственный реестр и проверка сведений, представленных заявителем на соответствие установленным требованиям осуществляется Уполномоченным органом в течение тридцати календарных дней со дня поступления анкеты-заявления с приложением всех необходимых материалов.
      6. Уполномоченный орган при выявлении ошибок в оформлении документов, предоставления неполного пакета документов, и ненадлежащем оформлении документов, в течение трех рабочих дней после получения пакета документов оставляет заявку без рассмотрения и возвращает документы заявителю письменным обоснованием причин отказа.
      7. Уполномоченный орган в пределах своей компетенции осуществляет проверку специализированного технического оборудования и программного обеспечения согласно требованиям, установленным в приложении 2 к настоящим Правилам.
      8. Уполномоченный орган для проведения проверки специализированного технического оборудования и программного обеспечения может привлекать специалистов, консультантов, экспертов подведомственных организаций и государственных органов (далее - эксперты) на договорной или безвозмездной основе.
      9. Уполномоченный орган в ходе рассмотрения вопроса о выдаче заключения о соответствии КС техническим требованиям и документам в Государственный реестр производит тестирование режимов КС. В случае невозможности запуска системы в Уполномоченном органе допускается проведения тестирования на территории заявителя (на стенде заявителя) с обязательным участием представителей компании разработчика КС.
      10. Уполномоченный орган в пределах своей компетенции осуществляет запрос у заявителя детальную информацию о технических характеристиках КС, посещение заявителей с целью проведения экспертизы КС на месте.
      11. При подготовке заключения о соответствии КС техническим требованиям и документам для включения КС в Государственный реестр необходимо учитывать наличие "Рабочего места налогового инспектора", с помощью которого должна производиться постановка КС в режим фискализации.
      Процесс разработки, внедрения и сопровождения КС включает определение этапов разработки, порядка внесения изменений, приема, тестирования и ввода в эксплуатацию, требования к документированию всех этапов. Разработка, внедрение и сопровождение КС выполняется в соответствии с их внутренними документами и действующими на территории Республики Казахстан стандартами.
      При формировании и использовании КС и средств защиты применяются сертифицированные оборудование и программное обеспечение.
      Осуществляется проверка на отсутствие иного доступа к некорректируемой фискальной информации. Также необходимо учитывать создание запроса на формирование крипто-ключей и выдачу их для доступа к фискальным данным КС, обязательность фиксирования всех проводок фиксирующих денежные расчеты без возможности их дальнейшей корректировки, осуществляемых при торговых операциях, оказании услуг посредством наличных денег, платежных банковских карточек, чеков, получении фискальных отчетов.
      12. Средства криптографической защиты информации, используемые системой при формировании крипто-ключей доступа к фискальным данным и ассиметричного шифрования должны быть сертифицированы в соответствии с законодательством Республики Казахстан о техническом регулировании.
      13. Организация модуля "Рабочее место налогового инспектора", а также печать фискальных отчетов должны осуществляться согласно Техническому требованию и форме соответствия техническим требованиям контрольно-кассовой машины, утвержденной приказом Министра финансов Республики Казахстан от 30 декабря 2008 года № 636.
      14. Наличие в КС защиты программно-операционной среды от несанкционированного доступа и проникновения вирусных программ. КС должна иметь полное руководство по использованию системы и ее защиты в целом.
      15. КС должна собственными средствами обеспечивать невозможность корректировки данных в любое время, как на серверах, так и на клиентских машинах КС.
      16. КС должна обеспечивать информационную безопасность рабочего места (оператора, налогового инспектора) в соответствии с инструкцией по обеспечению информационной безопасности рабочего места, пользователя/ оператора.
      17. Соблюдение заявителем организационно-технических, технологических требований по защите программного обеспечения, соответствие используемых КС установленным настоящими Правилами и законодательством Республики Казахстан условиям и требованиям, подтверждается экспертной группой Уполномоченного органа, в которую также могут входить представители Национального банка Республики Казахстан, Налогового комитета Министерства финансов Республики Казахстан и эксперты. Форма подтверждения - Акт о соответствии требованиям.
      Акт о соответствии подписывается всеми членами экспертной группы и представителем заявителя. В случае, если один из членов экспертной группы не согласен с принятым решением и не подписывает акт о соответствии, он представляет в письменной форме информацию о причинах своего отказа экспертной группы и прилагает их к акту о соответствии.
      Акт о соответствии считается принятым при наличии двух третей подписей членов экспертной группы.
      18. По итогам рассмотрения заявки Уполномоченный орган выдает заключение о соответствии компьютерной системы техническим требованиям и документам для включения КС в государственный реестр контрольно-кассовых машин, предусмотренным Кодексом Республики Казахстан "О налогах и других обязательных платежах в бюджет" (Налоговый кодекс).
      19. Заключение о соответствии КС техническим требованиям и документам выдается по форме, установленной в приложении 3 к настоящим Правилам.
      20. В случае несоответствия КС к техническим требованиям и документам, Уполномоченный орган направляет заявителю мотивированное письмо с указанием причин отказа.
      21. После устранения выявленных несоответствий КС техническим требованиям и документам Заявитель вносит повторную заявку.
      22. В случаях изменений версии, модулей КС, а также условий их формирования, заявитель представляет соответствующую информацию на бумажном и электронном носителях в Уполномоченный орган в течение семи рабочих дней с момента ее внедрения в промышленную эксплуатацию.
      Уполномоченный орган проводит проверку измененных версий и модулей КС на соответствие техническим требованиям.

Приложение 1                   
к Правилам выдачи заключений   
о соответствии компьютерной    
системы техническим требованиям
для включения в государственный
реестр контрольно-кассовых машин

                         Анкета-заявление

Наименование заявителя
_____________________________________________
_____________________________________________________________________
          ___________________________
      РНН | | | | | | | | | | | | | |
      Местонахождение заявителя
      Область _____________ Город _________________
Район _______________ Улица __________________ Дом __________
Название КС _________________________________________________________
_____________________________________________________________________
      Разработчик КС ________________________________________________
      Версия _____________________ Дата создания КС _________________
      Местонахождение разработчика КС
      Область _____________ Город _________________
Район _______________ Улица __________________ Дом ___________
      Заявитель подтверждает, что вышеназванная КС соответствует
следующим требованиям:
      В конкретной регистрируемой КС осуществляется описание процедур
фискализации (да/нет, какими средствами обеспечивается) _____________
_____________________________________________________________________
      Идентификация пользователя сервера осуществляется на уровне
операционной системы (ОС) (да/нет, какими средствами обеспечивается)
какими именно
(____________________________________________________________________
      Идентификация пользователя базой данных (БД) осуществляется на
уровне системы управления базой данных (СУБД) (да/нет, какими
средствам обеспечивается)
_____________________________________________________________________
      Блокировка доступа к серверу средствами СУБД, в случае подбора
пароля (да/нет, какими средствами обеспечивается) ___________________
_____________________________________________________________________
      Срок действия паролей (кол-во дней):
      Пользователя ___ не менее 8-ми
знаков ______________________________________________________________
      администратора системы ________________________________________
      администратора базы данных ____________________________________
      Минимальная длина пароля (кол-во символов):
      для пользователя ______________________________________________
      для администратора системы ____________________________________
      для администратора базы данных ________________________________
      Проверка сложности пароля в КС (обязательное использование цифр
и специальных символов) (да/нет, какими средствами обеспечивается)
_____________________________________________________________________
      КС обеспечивает автоматический контроль длины пароля (да/нет,
какими средствами обеспечивается) ___________________________________
      КС исключает возможность подключения к серверному и клиентскому
приложению двух и более пользователей под одним системным именем
(да/нет, какими средствами обеспечивается)
_____________________________________________________________________
      Невозможность подключения пользователей приложения к БД
средствами, отличными от самого приложения (да/нет, какими средствами
обеспечивается)
_____________________________________________________________________
      Разграничение прав доступа пользователей к информации в БД
средствами СУБД (да/нет, какими средствами обеспечивается) __________
_____________________________________________________________________
      Разграничение прав доступа пользователей к информации в БД
средствами приложения (да/нет, какими средствами обеспечивается)
_____________________________________________________________________
      Каждая операция идентифицируется по пользователю, дате и
времени (да/нет, какими средствами обеспечивается) __________________
_____________________________________________________________________
      Каждая операция однозначно определяется последовательным
уникальным номером (да/нет, какими средствами обеспечивается) _______
_____________________________________________________________________
      КС представляет собой архитектуру: клиент-сервер, хост-терминал
(нужное подчеркнуть)
      Любая информация вносится в БД только с помощью приложения
(да/нет, какими средствами обеспечивается) __________________________
_____________________________________________________________________
      Невозможность корректировки внесенной в БД и находящихся на
клиентской стороне информации различными средствами после начала
операции (да/нет, какими средствами обеспечивается) _________________
_____________________________________________________________________
      Ошибочно введенная операция исправляется путем осуществления
операции "сторно" (да/нет, какими средствами обеспечивается) ________
_____________________________________________________________________
      Конечный пользователь имеет права владения БД только в рамках
выполняемых им функций (да/нет, какими средствами обеспечивается)
_____________________________________________________________________
      Разделение прав между администраторами приложения, СУБД и
сервера (указать акты, регламентирующие действия администраторов)
_____________________________________________________________________
      Аудиторские журналы автоматически фиксируют все действия
пользователей с административными правами и пользовательскими правами
(да/нет, какими средствами обеспечивается)___________________________
_____________________________________________________________________
      Аудиторские журналы автоматически фиксируют все действия
пользователей (да/нет, какими средствами обеспечивается) ____________
_____________________________________________________________________
      Отключение клиентского приложения от БД в случае простоя в
течение определенного времени (5 минут) (да/нет, какими средствами
обеспечивается, временной интервал) _________________________________
_____________________________________________________________________
      Ограничение действий клиентского приложения при работе с БД по
времени (да/нет, какими средствами обеспечивается, временной
интервал) ___________________________________________________________
_____________________________________________________________________
      Блокировка учетных записей, имеющие доступ без авторизации
(guest, anonymous и другие) средствами ОС (да/нет, какими средствами
обеспечивается, временной интервал) _________________________________
_____________________________________________________________________
      Меры по восстановлению данных в случае сбоев компьютерной
системы, электропитания и других:

Меры по восстановлению данных

Да

Нет

использование дублирующего сервера,
использование "кластерной" системы

применение на серверах подсистемы
RAID разных уровней (1-5)

создание резервных копий журналов
транзакций и БД



      Иное (указать)
_____________________________________________________________________
_____________________________________________________________________

      Создание резервных копий БД и системного журнала транзакций:


для БД

Для журнала
транзакций

периодичность создания резервных
копий (раз/месяц, год)

количество резервных копий (шт.)

срок хранения резервных копий (лет)

место хранения резервных копий
(резервный центр/сейф и т.д.)



      время полного восстановления системы __________________________
      наличие журнала восстановления БД резервных копий (да/нет) ____
      Наличие "Рабочее место налогового инспектора" (да/нет) _______;
      Наличие подробных процедур по фискализации компьютерной системы
в документации по использованию "Рабочее место налогового инспектора"
(да/нет) _______;
      Реализация в "Рабочее место налогового инспектора" режима
фискализации компьютерной системы (да/нет, какими средствами
обеспечивается) ____________________________________________________;
      Реализация режима формирования криптографиеских ключей для
доступа к фискальным данным (да/нет, какие алгоритмы и стандарты
используются) ______________________________________________________;
      Реализация в компьютерной системе криптографических функций
ассиметричного шифрования при сохранении данных во время закрытия
смены, для последующей подготовки фискальных отчетов (да/нет, какие
алгоритмы и стандарты используются) ________________________________;
      Реализация в "Рабочее место налогового инспектора" режима
получения фискальных отчетов (да/нет, какими средствами
обеспечивается) ____________________________________________________;
      Наличие документации по использованию "Рабочее место налогового
инспектора" (да/нет) _______________________________________________;

________________________________________     __________________
Ф.И.О. заявителя или его руководителя            подпись

      М.П.

Приложение 2                   
к Правилам выдачи заключений   
о соответствии компьютерной    
системы техническим требованиям
для включения в Государственный
реестр контрольно-кассовых машин

       Формирование системы безопасности и минимальные требования к
           помещениям, электронному и техническому оборудованию

      1. Компьютерная система размещается в нежилом здании, помещении с ограниченным доступом.
      2. Система безопасности компьютерной системы должна отвечать требованиям, установленным настоящими Правилами:
      1) к серверному помещению и помещению ограниченного доступа;
      2) к системному программному обеспечению, используемому для автоматизации деятельности;
      3) к специализированному программному обеспечению (информационной системе), используемому для автоматизации деятельности;
      4) к техническим средствам (информационным ресурсам);
      5) к обеспечению безопасности информации.
      3. Оборудованное серверное помещение компьютерной системы содержит:
      1) систему контроля доступа (индивидуальный электронный пропуск);
      2) систему видеоконтроля входа в серверное помещение и кроссовые комнаты;
      3) автоматическую систему газового пожаротушения с обязательным, полным резервом баллонов с газом, и подключенной к системе гарантированного питания;
      4) систему охранной сигнализации дверей, окон и датчиками движения внутри гермозоны;
      5) безотказную систему чистого питания находящуюся в гермозоне серверной комнаты;
      6) систему гарантированного питания всей электрической сети серверной и кроссовых комнат, включая круглосуточное, дежурное освещение;
      7) систему кондиционирования с полным резервом;
      8) запрещается располагать в помещении рабочие места, не имеющие отношения к деятельности владельца КС;
      9) при расположении помещения ограниченного доступа на первых или последних этажах зданий, а также при наличии рядом с окнами балконов, пожарных лестниц, окна помещений оборудуются металлическими решетками.
      4. Серверное помещение должно располагаться в местах, где возможно впоследствии расширение пространства и есть возможность размещения крупногабаритной аппаратуры, и отвечать следующим требованиям:
      1) минимальный допустимый размер серверной комнаты - 20 квадратных метров;
      2) серверная комната должна быть соединена с главным электродом системы заземления здания кондуитом размером 1,5;
      3) требуемая минимальная высота потолка серверной комнаты должна составлять 2,44 метра.
      5. Рабочее место пользователя КС должно соответствовать следующим требованиям:
      1) программное обеспечение устанавливается на специально выделенном персональном компьютере, имеющем паспорт, в котором указано его месторасположение, конфигурация, а также аппаратные и программные средства, установленные на нем. Паспорт оформляется за подписью руководителя организации и хранится у ответственного лица;
      2) не допускается эксплуатация персонального компьютера ответственного лица и установка на нем программных средств, не связанных с целями подготовки, обработки, передачи или ведения электронных документов в рамках участия в информационной системе;
      3) персональный компьютер ответственного лица должен иметь комплекс защиты, включающий в себя:
      средства идентификации и аутентификации пользователей;
      возможность ведения электронных журналов в течение срока хранения электронных документов, с целью контроля деятельности, связанной с доступом к компьютеру и действиями пользователей;
      4) наличие одного системного имени пользователя (ответственного лица), по которому идентифицируется пользователь, при входе в информационную систему должно соответствовать одному физическому лицу;
      5) персональный компьютер должен иметь средства обеспечения целостности и конфиденциальности программного обеспечения;
      6) доступ к сетевым ресурсам и внешним носителям, а также к портам ввода-вывода информации с персонального компьютера оператора должен быть отключен, в том числе и в настройках базовой системы ввода-вывода;
      7) системный блок, порты ввода-вывода информации персонального компьютера опечатываются либо пломбируются администратором. Процесс опечатывания (пломбирования) фиксируется в специальном журнале с указанием фамилии, имени, при наличии - отчества, должности, даты, времени и цели нанесения пломбы (печати). Для ноутбуков разрешается использовать только отключение устройств в базовой системе ввода-вывода без опечатывания портов. Выносить из здания компьютеры и ноутбуки не допускается, за исключением случаев проведения профилактических и ремонтных работ, которые проводятся на основании заявки ответственного лица руководителю службы информационной безопасности;
      8) порядок доступа к иным ресурсам (дисковое пространство, директории, базы данных и резервные копии базы данных), выделенным для накопления в них информации для передачи в информационную среду с использованием системы защиты, получения информации из информационной среды, хранения, архивирования либо другой обработки информации, должен исключать возможность несанкционированного доступа к этим ресурсам;
      9) доступ к рабочему месту ответственного лица и в помещение ограниченного доступа осуществляется в соответствии с его должностными обязанностями.
      6. Использование заявителем системных программных обеспечений (операционные системы, системы управления базами данных, офисные программы, антивирусные программы) должны подтверждаться лицензиями, сертификатами.
      7. В целях информационной безопасности программное обеспечение должно обеспечивать следующее:
      1) идентификацию и аутентификацию с криптографическим преобразованием;
      2) разграничение прав пользователей;
      3) работу на уровне ядра программного обеспечения таким образом, чтобы ни одно значимое действие в рамках системы (будь то действие пользователя или процесса) не происходило без участия механизма безопасности;
      4) схема безопасности, реализованная в программном обеспечении, должна быть отделена от средств безопасности самой операционной системы, на которой будет реализовано программное обеспечение, в том смысле, что уязвимость средств безопасности операционной системы не должна влиять на работу безопасности программного обеспечения;
      5) замкнутое сохранение данных в программном обеспечении должно быть организовано способом, обеспечивающим:
      невозможность получения логического доступа к указанным данным вне рамок работы приложения программного обеспечения;
      любые перемещения данных в/из базу данных программного обеспечения под контролем механизмов безопасности;
      6) фиксирование информации, необходимой для идентификации факта, объекта и субъекта процесса удаления, изменение и возможность восстановления удаленных данных;
      7) возможность устойчивой работы при появлении сбоев;
      8) трехуровневую архитектуру "клиент-сервер" с тем, чтобы вывод из строя рабочего места пользователя или получение злоумышленником несанкционированного доступа к нему не сказывался на работе серверной части системы, а сбой сервера приложений не влиял на состояние данных системы;
      9) аудит системно-значимых событий с фиксированием в регистрационный журнал, а также с возможностью защиты со стороны любого субъекта;
      10) аудит действий пользователей и администраторов, как успешных, так и неудачных, начиная от попытки установления связи;
      11) контроль экспортируемых и импортируемых данных;
      12) возможность разработки (доработки) модулей и механизмов безопасности.
      8. Требования к техническим средствам заявителя:
      1) наличие собственного аппаратного обеспечения (компьютерное оборудование, серверы, аппаратные средства защиты, комплектующие и другое оборудование), также наличие документов, подтверждающих принадлежность аппаратного обеспечения заявителю;
      2) наличие сертификатов соответствия аппаратного обеспечения на соответствие требованиям безопасности, выданных органом подтверждения соответствия;
      3) наличие системы гарантированного питания - щита автоматического включения резерва, дизельного генерирующего устройства, работающих от сигнала с двух источников бесперебойного питания (далее - ИБП) и непрерывно поддерживающей электричество в сети чистого питания во всей организации. При этом, нагрузка каждого ИБП должна быть не более сорока процентов в штатном режиме.
      9. Серверы КС должны составлять отказоустойчивую завершенную систему и представлять собой кластер со стопроцентным дублированием аппаратной части. Резервный сервер базы данных кредитного бюро должен быть расположен от основного сервера на расстоянии не менее десяти километров.
      10. Требования к организации по обеспечению безопасности информации:
      1) наличие защищенного канала передачи данных с шифрованием трафика с помощью аппаратных граничных маршрутизаторов;
      2) наличие системы обнаружения (предотвращения) атак из сети Интернет в компьютерную сеть организации с помощью межсетевого экрана;
      3) наличие системы криптографической защиты компьютеров с помощью криптоключей и систем идентификации пользователя;
      4) наличие аппаратного сетевого анализатора трафика по идентификатору управления доступом к носителю сетевых карт пользователей;
      5) наличие системы резервного копирования - библиотеки на внешние носители информации.
      Для реализации вышеуказанных требований заявитель проводит анализ и оценку рисков, уязвимостей и угроз для обеспечения безопасности информации.
      11. Заявитель в процессе своей деятельности выполняет следующие требования:
      1) наличие службы информационной безопасности;
      2) наличие ответственных лиц по КС;
      3) наличие политики информационной безопасности;
      4) наличие политики формирования и использования паролей;
      5) наличие политики резервного копирования (архивирования);
      6) наличие документации с описанием процедур по ограничению доступа и обязанностей пользователей, администраторов безопасности, системных администраторов.
      12. Заявитель принимает внутренний документ, который определяет порядок работы с информационной системой, включающий:
      1) порядок назначения сотрудников, на которых возлагаются обязанности ответственных лиц;
      2) режим работы;
      3) права и обязанности ответственных лиц, включая должностные инструкции;
      4) список сотрудников, допущенных к рабочему месту оператора;
      5) список сотрудников, допускаемых к рабочему месту оператора в особых случаях (в кризисных ситуациях, а также в случаях замещения сотрудника).
      13. Ответственные лица:
      1) обеспечивают обязательность процедуры идентификации и аутентификации для доступа к ресурсам информационных систем;
      2) не допускают получения права доступа к информационным ресурсам неавторизованными пользователями;
      3) контролируют регулярность выполнения резервного копирования информации, обрабатываемой информационной системой;
      4) проводят плановую и внеплановую проверку надежности защиты ресурсов системы;
      5) обеспечивают защиту оборудования корпоративной сети, в том числе специальных межсетевых программных средств;
      6) принимают меры по отражению угрозы и выявлению нарушителей;
      7) регулярно просматривают журнал событий, проводят анализ с записями, где были попытки несанкционированного доступа к информации.
      14. Сотрудники заявителя (ответственное лицо, администратор, оператор) дают письменное обязательство о неразглашении и нераспространении информации, ставшей им известной в процессе исполнения ими служебных обязанностей.
      15. При увольнении ответственного лица производится внеплановая смена ключевой информации заявителя. Новая ключевая информация вводится в действие со дня их увольнения.
      16. Порядок хранения и использования внешних носителей с ключевой информацией у заявителя должен исключать возможность несанкционированного доступа к ним.
      17. Требования к доступу информации:
      1) разграничение прав доступа операторов к информации в БД как средствами СУБД, так и средствами приложения;
      2) идентификация операторов сервером и БД, как на уровне ОС, так и на уровне СУБД;
      3) исключение возможности подключения к приложению двух и более операторов под одним системным именем, а также подключения операторов к БД средствами, отличными от своего приложения;
      4) возможность внесения информации в БД только с помощью приложения;
      5) возможность создания индивидуальных графиков работ в рабочие и выходные дни;
      6) создание с помощью СУБД аудиторского журнала для отслеживания действий администратора по вводу, корректировке и удалению информации из БД;
      7) оператор рабочей станции должен иметь права владения БД только в рамках выполняемых им функций;
      8) автоматическое блокирование доступа к приложению с последующей проверкой идентификации средствами приложения, ОС и СУБД в случаях, когда приложение оператора неактивно в течение нескольких минут.
      18. Требования к операциям, осуществляемым с КС:
      1) идентификация каждой кассовой операции по оператор, дате и времени. Каждая операция должна однозначно определяться последовательным уникальным номером, а не клиентским приложением;
      2) формирование отчетов по операциям с наличными деньгами, платежными карточками и чеками о количестве полученных наличных денег за определенный период времени;
      3) исключение возможности удаления подтвержденных контролем операций и исправление ошибочно введенных операций путем осуществления операции "сторно";
      4) запрет корректировки внесенной в БД информации средствами приложения после подтверждения операции.
      19. Требования к паролю БКС:
      1) установление для каждого пользователя БКС индивидуального, уникального (в рамках соответствующей подсистемы регистрации) идентификатора (системное имя и пароль);
      2) блокирование рабочей станции средствами СУБД в случае подбора пароля после третьей неудачной попытки регистрации БКС;
      3) минимальная длина пароля пользователя должна составлять 6 символов, администраторов - 8 символов, с обязательным включением, помимо букв, цифр и специальных символов. Система должна предусматривать автоматический контроль длины пароля;
      4) срок действия пароля должен составлять не более 30 дней и контролироваться средствами ОС и СУБД.
      20. Требования по доступу к информации:
      1) разграничение прав доступа пользователей к информации в БД как средствами СУБД, так и средствами приложения;
      2) идентификация пользователя сервера и БД, как на уровне ОС, так и на уровне СУБД;
      3) исключение возможности подключения к приложению двух и более пользователей под одним системным именем, а также подключения пользователей приложения к БД средствами, отличными от своего приложения;
      4) возможность внесения информации в БД только с помощью приложения;
      5) возможность создания индивидуальных графиков работ в рабочие и выходные дни;
      6) создание с помощью СУБД аудиторского журнала для отслеживания действий конкретного пользователя, включая пользователей с административными правами, по вводу, корректировке и удалению информации из БД;
      7) оператор должен иметь права владения БД только в рамках выполняемых им функций;
      8) блокирование учетных записей, имеющих доступ без авторизации (guest, anonymous и другие) средствами ОС в целях исключения несанкционированного доступа к серверу и его ресурсам;
      9) автоматическое блокирование доступа к приложению с последующей проверкой идентификации средствами приложения, ОС и СУБД в случаях, когда приложение пользователя неактивно в течение 5 минут.

Приложение 3                   
к Правилам выдачи заключений   
о соответствии компьютерной    
системы техническим требованиям
для включения в Государственный
реестр контрольно-кассовых машин

                                Заключение
             Агентства Республики Казахстан по информатизации
         и связи о соответствии компьютерной системы техническим
            требованиям для включения в государственный реестр
                         контрольно-кассовых машин

      г. Астана                             "____"____________ 200__ г.

      1. Заявитель __________________________________________________
      2. Местонахождение заявителя: _________________________________
      Область _____________ Город ______________________
      Район ____________ Улица ___________ Дом _________
      Телефон ________________________ Факс ___________
      3. ____________________________________________________________
                              (наименование КС)
      _______________________________________________________________,
      версия ____________, дата создания ______________,
      Разработчик ________________________________________
      Местонахождение разработчика:
      Страна _____ Область ____________ Город ____________
      Район _________________ Улица __________ Дом ________
      Телефон _______________ Факс ________________________
      Соответствует техническим требованиям, предусмотренным
      законодательством Республики Казахстан.

      Председатель Агентства Республики
      Казахстан по информатизации и связи               _____________
                                                          (подпись)

      М.П.

Компьютер жүйелерін бақылау-кассалық машиналарының мемлекеттік тізіліміне енгізуге қорытынды беру ережесін бекіту туралы

Қазақстан Республикасы Ақпараттындыру және байланыс агенттігі төрағасының 2009 жылғы 27 шілдедегі N 330 Бұйрығы. Қазақстан Республикасының Әділет министрлігінде 2009 жылғы 31 шілдеде Нормативтік құқықтық кесімдерді мемлекеттік тіркеудің тізіліміне N 5732 болып енгізілді. Күші жойылды - Қазақстан Республикасы Көлік және коммуникация министрінің 2012 жылғы 26 наурыздағы № 132 бұйрығымен

      Ескерту. Бұйрықтың күші жойылды - ҚР Көлік және коммуникация министрінің 2012.03.26 № 132 (қол қойған күнінен бастап қолданысқа енгізіледі) бұйрығымен.

      "Салық және бюджетке төленетін басқа да міндетті төлемдер туралы" (Салық кодексі) Қазақстан Республикасының Кодексінің 651- бабының 3-тармағына сәйкес, компьютер жүйелерін бақылау-кассалық машиналарының мемлекеттік тізіліміне енгізуге қорытынды беру тәртібін белгілеу мақсатында БҰЙЫРАМЫН:
      1. Қоса беріліп отырған Компьютер жүйелерін бақылау-кассалық машиналарының мемлекеттік тізіліміне енгізуге қорытынды беру ережесі бекітілсін.
      2. Қазақстан Республикасы Ақпараттандыру және байланыс агенттігінің Ақпараттық технологиялар департаменті (Қ.Б. Елеусізова) заңнамада белгіленген тәртіпте:
      1) осы бұйрықтың Қазақстан Республикасы Әділет министрлігінде мемлекеттік тіркелуін қамтамасыз етсін;
      2) Қазақстан Республикасы Әділет министрлігінде мемлекеттік тіркеуден кейін осы бұйрықты оны бұқаралық ақпарат құралдарында ресми жарияласын.
      3. "Компьютер жүйелерін Қазақстан Республикасының аумағында пайдалануға рұқсат етілген фискалдық жады бар бақылау-кассалық машиналарының мемлекеттік тізіліміне (нен) енгізуге (шығаруға) қорытынды беру ережесі" Қазақстан Республикасы Ақпараттандыру және байланыс агенттігі төрағасының 2004 жылғы 3 қыркүйектегі N 186-ө бұйрығының (N 3139 нормативтік-құқықтық кесімдердің мемлекеттік тіркеу тіркелімінде тіркелген) күші жойылған деп танылсын (Нормативтік құқықтық актілерді мемлекеттік тіркеу тізілімінде N 3139 болып тіркелген, 2005 жылғы 18 қарашадағы "Юридическая газета" және "Заң газеті" газеттерінде жарияланған).
      4. Осы бұйрықтың орындалуын бақылау Қазақстан Республикасы Ақпараттандыру және байланыс жөніндегі агенттігі төрағасының орынбасары Е.Д. Дурмағамбетовке жүктелсін.
      5. Осы бұйрық ресми түрде жарияланған күнінен бастап қолданысқа енгізіледі.

       Төраға                                       Қ. Есекеев

      Қазақстан Республикасының
      Қаржы министрі
      ______________ Б. Жәмішев
      2009 жылғы "_____" _____
      келісілген

Қазақстан Республикасы  
Ақпараттандыру және байланыс
агенттігі төрағасының  
2009 жылғы 27 шілдедегі 
N 330 бұйрығымен    
бекітілген       

Бақылау-касса машиналарының мемлекеттік тізіліміне енгізу үшін компьютер жүйесінің техникалық талаптарға сәйкестігіне қорытынды беру ережесі 1. Жалпы ережелер

      1. Осы Бақылау-касса машиналарының мемлекеттік тізіліміне енгізу үшін компьютер жүйесінің техникалық талаптарға сәйкестігіне қорытынды беру ережесі Ақпараттандыру және байланыс саласындағы Уәкілетті органның (бұдан әрі - Уәкілетті орган) бақылау-касса машиналарының мемлекеттік тізіліміне енгізу үшін (бұдан әрі – Мемлекеттік тізілім) бақылау-касса машиналары компьютерлік жүйелер (бұдан әрі – КЖ) болып табылатын техникалық талаптар мен құжаттарға сәйкестігіне қорытынды беру тәртібін белгілейді.
      2. Осы Ережеде "Салық және бюджетке төленетін басқа да міндетті төлемдер туралы" Қазақстан Республикасының Кодексіне (бұдан әрі – Салық кодексі) сәйкес көзделген түсініктер пайдаланылады.
      3. Мемлекеттік тізіліміне енгізу үшін компьютер жүйелері мынадай талаптарға сәйкес болуы тиіс:
      тауарларды сатқан және қызметтерді көрсету кезінде ақшалай есеп айырысуды тіркеу үшін пайдалануы;
      әрбір жеке төлемнің әр ауысымдық түзетілмейтін тіркеуді қамтамасыз ету;
      ақпараттың жариялану мүмкіндігін жоюды қосқанда, ақпараттық қауіпсіздігін қамтамасыз ету;
      қуатқа тәуелсіз ұзақ мерзімді ақпаратты сақтауды қамтамасыз ету;
      жүйелерінің барлық функцияларына мемлекеттік және орыс тілдерінде тең қол жеткізуді қамтамасыз етуі;
      деректердің резервтік көшірмелерін құруды, мұрағаттауды қамтамасыз ету;
      қол жеткізу құқықтарын бақылаумен, штаттық қорғау құралдары бар ақпараттық жүйелердің пайдалануын қамтамасыз ету.

2. Мемлекеттік тізілімге енгізу үшін компьютер жүйесінің техникалық талаптарға сәйкестігі туралы қорытынды беру тәртібі

      4. КЖ иесі (бұдан әрі - Өтініш беруші) КЖ Мемлекеттік тізілімге енгізу үшін Қазақстан Республикасының пайдаланыстағы заңнамасына сәйкес Уәкілетті органға мынадай құжаттарды мемлекеттік және орыс тілдерінде ұсынады:
      1) осы Ережеге 1-қосымшада белгіленген нысан бойынша толтырылған өтініш-сауалнама;
      2) КЖ функциональдық мүмкіндіктері мен сипаттамаларының толық сипаттамасы және "Салық инспекторының жұмыс орны" режимінде пайдалану бойынша нұсқаулық;
      3) КЖ функцоналының көшірмесінен тұратын компакт-дискісі;
      4) КЖ орнату және іске қосудың нұсқаулығы;
      5) заңды тұлғаны мемлекеттік тіркеу, қайта тіркеу туралы куәліктің немесе заңды тұлға құрмай-ақ (жеке кәсiпкерлiк) мемлекеттік тіркеу туралы куәліктің нотариалды куәландырылған көшірмесін;
      6) салық төлеуші ретінде тіркеу туралы куәліктің көшірмесі:
      7) заңды тұлғаның құрылтайшы құжаттарының нотариалды куәландырылған көшірмесін;
      8) "Лицензиалау туралы" Қазақстан Республикасының Заңына сәйкес міндетті лицензиалануға жататын, кәсіпкерлік қызметпен айналысуға құқығына лицензияның нотариалды куәландырылған көшірмесін;
      9) статистикалық карточканың нотариалды куәландырылған көшiрмесiн;
      10) Қазақстан Республикасының заңнамасына сәйкес сәйкестікті растайтын және КЖ құрамына кіретін техникалық және бағдарламалық құралдардың ақпараттық қауіпсіздіктің талаптары бойынша сәйкестігі сертификатының нотариатпен куәландырылған көшірмесі;
      Құжаттар қағаз жүзінде және электрондық тасымалдағыштарда ұсынылады.
      5. КЖ Мемлекеттік тізілімге енгізуге техникалық талаптар мен құжаттарға сәйкестігіне қорытынды беру туралы мәселелерді қарауды және өтініш беруші ұсынған мәліметтерді тексеруді Уәкілетті орган белгіленген талаптарға сәйкес қажетті материалдар қоса берілген өтініш-сауалнаманы қабылдаған күннен бастап отыз жұмыс күнінің ішінде қарайды.
      6. Уәкілетті орган құжаттарды рәсімдеу кезінде қателерді, құжаттардың пакеті толық еместігін және оларға жатпайтын құжаттардың рәсімделгенін анықтаған кезінде, құжаттардың пакетін алған күнінен кейін үш жұмыс күн ішінде өтінішті қараусыз қалдырады және өтініш берушіге құжаттардың қайтарылуының дәлелді себептері көрсетілген хатты жібереді.
      7. Уәкілетті орган өз құзыреті шегінде осы Ережеге 2-қосымшаға сәйкес белгіленген талаптарына сәйкес арнайы техникалық жабдықты және бағдарламалық қамтамасыз етуді тексеруді жүргізеді.
      8. Уәкілетті орган арнайы техникалық жабдықты және бағдарламалық қамтамасыз етуді тексеруді жүргізу үшін мамандарды, кеңесшілерді, кіші ведомствалық ұйымдардың және мемлекеттік органдардың сарапшыларын (бұдан әрі – сарапшылар) шарттық немесе ақысыз негізде тартуы мүмкін.
      9. Уәкілетті орган Мемлекеттік тіркелімге КЖ қорытынды беру туралы мәселені қарау барысында КЖ режимінде тестілеуді жүргізеді. Уәкілетті органмен жүйені іске қосуды қарау мүмкін болмаған жағдайда, өтініш берушінің (өтініш берушінің стендінде) аумағында КЖ әзірлеуші компанияның өкілдерінің міндетті қатысуымен тестілеуді жүргізіледі.
      10. Уәкілетті орган өз құзыреті шегінде өтініш берушіден КЖ техникалық сипаттамалары туралы қосымша ақпарат сұрауға, сараптама жүргізу мақсатында өтініш берушінің КЖ тұрған жеріне баруға құқылы.
      11. КЖ Мемлекеттік тізілімге енгізуге қойылатын техникалық талаптар мен құжаттарға сәйкестігіне қорытындыны дайындаған кезде қажетті "Салық инспекторының жұмыс орны" бар болуын ескеруі қажет, оның көмегімен КЖ фискалдау режимінде қою енгізілуі тиіс.
      КЖ әзірлеу, енгізу және сүйемелдеу үдерісі барлық кезеңдерін құжаттандыруға қойылатын талаптары, пайдалануға енгізу және тестілеудің, қабылдаудың өзгерістер енгізудің тәртібі, әзірлеудің кезеңдерін анықтау кіреді. КЖ әзірлеу, енгізу және сүйемелдеу Қазақстан Республикасы аумағындағы қолданыстағы стандарттармен және олардың ішкі құжаттарына сәйкес орындалады.
      КЖ және қорғау құралдарын қалыптастыру және пайдалану кезінде сертификатталған жабдық пен бағдарламалық қамтамасыз ету пайдаланылады.
      Түзетілмейтін фискалдық ақпаратқа өзге де қол жеткізудің жоқтығына тексеру жүргізіледі. Сондай-ақ, КЖ жүйесінің фискалдық деректеріне қол жеткізу үшін крипто-кілттерді қалыптастыру және оларды беру сұранысын құру қажет, қызмет көрсету кезінде қолма-қол ақшамен, төлемдік банк карточкаларымен, чектермен, фискалдық есептерді алумен, сауда операцияларын жасаған, қызметтер көрсеткен кезде жүзеге асырылатын одан әрі түзету мүмкін емес барлық ақшалай есеп айырысуды тіркейтін міндетті тіркеу жүргізілуі тиіс.
      12. Фискалдық деректерге қол жеткізудің және асимметриялық шифрлаудың крипто-кілттерін қалыптастыру кезінде жүйедегі пайдаланылатын бағдарламалық құралдары Қазақстан Республикасының техникалық реттеу заңнамасына сәйкес сертификатталуы тиіс.
      13. "Салық инспекторының жұмыс орны" модулін қамтамасыз ету, сондай-ақ фискалдық есептер Қазақстан Республикасы Қаржы министрінің 2008 жылғы 30 желтоқсандағы N 636 бұйрығымен бекітілген техникалық талаптарға және бақылау-кассалық машиналардың техникалық талаптарға сәйкестілік нысанына сәйкес жүзеге асырылатын болады.
      14. КЖ бағдарламалық операциялық ортаны рұқсатсыз қол жеткізуден және вирустық бағдарламаның кіруінен қорғаудың бар болуы қажет. Ақпараттық жүйені пайдаланушыда ақпараттық жүйені пайдалану және барлық құрамдас бөліктерін толығынан қорғау бойынша толық басшылығы болуы тиіс.
      15. КЖ өзінің құралдарымен КЖ клиенттік машиналарында және серверлерінде, кез келген уақытта түзету мүмкін еместігін қамтамасыз етуі тиіс.
      16. Пайдаланушының/оператордың жұмыс орнының ақпараттық қауіпсіздікті қамтамасыз ету бойынша нұсқаулыққа сәйкес (оператордың, салық инспекторының жұмыс орнының ақпараттық қауіпсіздігі қамтамасыз етіледі.
      17. Осы ережемен және Қазақстан Республикасының заңнамасымен және талаптары және шарттарымен белгіленген пайдаланыстағы КЖ сәйкестігіне бағдарламалық қамтамасыз етуді қорғау бойынша ұйымдастырушылық-техникалық, технологиялық талаптардың өтініш берушімен сақталуы Уәкілетті органның, сондай-ақ Қазақстан Республикасы Қаржы министрлігінің Салық комитетінің және Қазақстан Республикасы Ұлттық Банкінің өкілдері және сарапшылары кіруі мүмкін сарапшылар тобымен бекітіледі. Бекіту формасы – талаптарына сәйкестігі туралы акті.
      Сәйкестігі туралы актіге сарапшы тобының барлық мүшелері және өтініш берушінің өкілдерінің қолы қойылады. Егер сарапшы тобының мүшелерінен біреуі қабылданған шешіммен келіспеген жағдайда және сәйкестігі туралы актіге қолын қоймаса, ол өзінің бас тартуы туралы себептері туралы ақпаратты сарапшы топқа жазбаша түрде ұсынады және олар сәйкестігі туралы актіге қосымша беріледі.
      Сәйкестігі туралы акті сарапшы тобының мүшелерінің үштен екісінің қолы қойылса, қабылданды деп есептеледі.
      18. Уәкілетті орган өтінішті қараудың нәтижесі бойынша КЖ техникалық талаптар мен құжаттарға сәйкестігіне көзделген бақылау-касса машиналарының мемлекеттік тізіліміне енгізуге қорытынды береді.
      19. КЖ техникалық талаптар мен құжаттарға сәйкестігіне бақылау-касса машиналарының мемлекеттік тізіліміне енгізуге қорытындысы осы ережеге 3-қосымшада белгіленген нысанда беріледі.
      20. КЖ қойылатын техникалық талаптар мен құжаттарға сәйкес келмеген жағдайда, Уәкілетті орган Өтініш берушіге бас тартудың дәлелді себептері көрсетілген хатты жібереді.
      21. Өтініш беруші КЖ қойылатын техникалық талаптар мен құжаттарға анықталған сәйкес еместігін жойғаннан кейін, өтінішін қайтадан енгізеді.
      22. КЖ мен бақылау-кассалық машиналарында, сондай-ақ оларды қалыптастыру жағдайы өзгерген жағдайда, өндірістік пайдалануға оны енгізген сәтінен бастап жеті жұмыс күні ішінде қағаз жүзіндегі және электрондық тасымалдағышта тиісті ақпаратты Уәкілетті органға ұсынады.
      Уәкілетті орган КЖ өзгертілген нұсқалары мен модулдерінің техникалық талаптарға сәйкестігіне тексеруді жүргізеді.

Бақылау-касса машиналарының     
мемлекеттік тізіліміне енгізу   
үшін компьютерлік жүйенің       
техникалық талаптарға сәйкестігі
туралы қорытынды беру ережелеріне
1-қосымша               

Өтініш - сауалнама

Өтініш берушінің атауы
____________________________________________         ________________________________________________________________      СТН |__|__|__|__|__|__|__|__|__|__|__|

      Өтініш берушінің орналасқан жері
      Облысы ________________ қаласы ________________
      ауданы ________________ көшесі ________________ үйі ______
      КЖ атауы _________________________________________________
      __________________________________________________________
      КЖ
      әзірлеуші ________________________________________________
      __________________________________________________________
      нұсқасы _______________ КЖ жасау датасы __________________

      КЖ әзірлеушінің орналасқан жері
      Облысы ________________ қаласы ______________
      ауданы ____________ көшесі ______________________ үйі ____
      Өтініш беруші жоғарыда аталған КЖ-ның мынадай талаптарға
      сәйкестігін растайды екенін растайды, атап айтқанда:
      Нақты тіркелген компьютерлік жүйеде фискализация іс-жосығының суреттемесі жүзеге асырылады
      (иә/жоқ, қандай құралдармен қамтамасыз етіледі) ___________
______ ___________________________________________________________

      Серверді пайдаланушыны сәйкестендіру операциялық жүйе деңгейінде жүзеге асырылады (ОЖ)
      (иә/жоқ, қандай құралдармен қамтамасыз етіледі) ___________
____ _____________________________________________________________
      Деректер қорларын (ДК) пайдаланушыны сәйкестендіру дерек қорларды басқару жүйесі (ДҚБЖ) деңгейінде жүзеге асырылады
      (иә/жоқ, қандай құралдармен қамтамасыз етіледі) ___________
____ _____________________________________________________________
      Парольды таңдаған жағдайда, ДҚБЖ құралдарымен серверге қол жеткізу (иә/жоқ, қандай құралдармен қамтамасыз етіледі) _________
_________________________________________________________________
      Парольдың қолданылу мерзімі (күндер саны):
      пайдаланушының ____________________________________________
      жүйе әкімшісінің __________________________________________
      дерекқор әкімшісінің ______________________________________
      Парольдың ең аз ұзындығы (символдар саны):
      пайдаланушының ___________________________________________
      жүйе әкімшісінің _________________________________________
      дерекқорлар әкімшісінің __________________________________
      КЖ парольдың күрделілігін тексеру (сандарды және арнайы символдарды міндетті түрде пайдалану)
      (иә/жоқ, қандай құралдармен қамтамасыз етіледі) __________      ________________________________________________________________
      КЖ пароль ұзындығын автоматты бақылауды қамтамасыз етеді
      (иә/жоқ, қандай құралдармен қамтамасыз етіледі) __________      ________________________________________________________________
      КЖ бір жүйенің атымен қосымшаға екі не және одан да көп пайдаланушылардың қосылу мүмкіндігін болдырмайды
      (иә/жоқ, қандай құралдармен қамтамасыз етіледі) __________      ________________________________________________________________
      Қосымшаны пайдаланушылардың ДҚ-ға қосымшаның өзінен басқа       құралдармен қосылуының мүмкін еместігі
      (иә/жоқ, қандай құралдармен қамтамасыз етіледі) __________     ________________________________________________________________
      Пайдаланушылардың ДҚ ақпаратына ДҚБЖ құралдарымен қол жеткізу құқығын ажырату
      (иә/жоқ, қандай құралдармен қамтамасыз етіледі) __________      ________________________________________________________________
      Пайдаланушылардың ДҚ ақпаратына қосымша құралдарымен қол жеткізу құқығын ажырату
      (иә/жоқ, қандай құралдармен қамтамасыз етіледі) __________      ________________________________________________________________
      Әрбір операция пайдаланушы, датасы және уақыты бойынша сәйкестендіріледі
      (иә/жоқ, қандай құралдармен қамтамасыз етіледі) __________      ________________________________________________________________
      Әрбір операция мағыналы тізбекті бірегей нөмірмен белгіленеді
      (иә/жоқ, қандай құралдармен қамтамасыз етіледі) __________
________________________________________________________________
      КЖ сәулет болып табылады: клиент-сервер, пост-терминал
        (қажеттісінің астын сызу)
      Кез келген ақпарат ДҚ-ға қосымшаның көмегімен енгізіледі
      (иә/жоқ, қандай құралдармен қамтамасыз етіледі) __________      ________________________________________________________________
      Операция басталғаннан кейін ДҚ-ға және клиенттік жағында енгізілген ақпаратқа қосымша құралдарымен түзетудің мүмкін еместігі
      (иә/жоқ, қандай құралдармен қамтамасыз етіледі) __________      ________________________________________________________________
      Қате енгізілген операция "түзету" операциясын жүзеге асыру жолымен түзетіледі
      (иә/жоқ, қандай құралдармен қамтамасыз етіледі) __________      ________________________________________________________________
      Соңғы пайдаланушы өзінің орындайтын функцияларының шеңберінде ДҚ иелік етуге құқылы
      (иә/жоқ, қандай құралдармен қамтамасыз етіледі) ___________
_________________________________________________________________
      Қосымша, ДҚБЖ және сервер әкімшілерінің арасында құқықтарды бөлу (әкімшілердің іс-қимылдарын реттейтін нормативтік құқықтық актілерді көрсету) _____________________________________________
________________________________________________________________
      Аудиторлық журналдар әкімшілік құқықтары бар пайдаланушылардың барлық іс-қимылдарын автоматты түрде тіркейді
      (иә/жоқ, қандай құралдармен қамтамасыз етіледі) __________
________________________________________________________________     ________________________________________________________________
      Аудиторлық журналдар пайдаланушылардың барлық іс-қимылдарын автоматты түрде тіркейді (иә/жоқ, қандай құралдармен қамтамасыз етіледі) _______________________________________________________      ________________________________________________________________
      Белгілі бір уақыт ішінде (5 минут) тұрып қалған жағдайда, Клиенттік қосымшаны оны ДҚ-дан ажырату (иә/жоқ, қандай құралдармен қамтамасыз етіледі, уақытша интервал) __________________________      ________________________________________________________________
      ДҚ-мен жұмыс істегенде оператордың іс-қимылын уақыт бойынша шектеу
      (иә/жоқ, қандай құралдармен қамтамасыз етіледі, уақытша интервал) ______________________________________________________      ________________________________________________________________      ________________________________________________________________
      Авторландырусыз қол жеткізуі бар есепке алу жазуларын ОЖ құралдарымен қорғау (guest, anonymosі және басқалар)
      (иә/жоқ, қандай құралдармен қамтамасыз етіледі, уақытша интервал) ______________________________________________________      ________________________________________________________________      ________________________________________________________________
      Компьютерлік жүйе, электр қоректендіру және басқалары жұмыс тоқтап істемей қалған жағдайда, деректерді қалпына келтіру бойынша шаралар:        

Деректерді қалпына келтіру бойынша шаралар

Иә

Жоқ

қосарланушы серверді пайдалану, "кластер" жүйесін пайдалану



серверлерде түрлі деңгейдегі (1-5) RAID кіші жүйесін қолдану



Транзакциялар мен ДҚ журналдарының резервтік көшірмесін жасау



      Өзгесі (көрсетілсін) _______________________________________
      ____________________________________________________________

      Транзакциялар мен ДҚ журналдарының резервтік көшірмесін жасау:  


ДҚ үшін

Транзакциялар журналы үшін

резервтік көшірмелерді жасау мерзімділігі (айына/ жылына/рет,) резервтік көшірмелердің саны (дана)



резервтік көшірмелердің сақтау мерзімі (жыл)



резервтік көшірмелерді сақтау орны (резервтік орталық/сейф ж.т.б.)



      Жүйені толық қалпына келтіру уақыты
       _______________________________
       ДҚ қалпына келтіру журналының резервтік көшірмелерінің бар болуы
      (иә/жоқ) _____________________
      "Салық инспекторының жұмыс орны" болуы (иә/жоқ) ___________;
      "Салық инспекторының жұмыс орны" пайдалану бойынша құжаттардағы компьютерлік жүйесін фискалдау бойынша ұқсас рәсімдердің болуы (иә/жоқ) ________________________________________________________;
      "Салық инспекторының жұмыс орны" компьютерлік жүйесінің фискалдау режимінде іске асыру (иә/жоқ, қандай құралдармен қамтамасыз етіледі) _____________________________________________________;
      Фискальдық деректерге қол жеткізу үшін криптографиялық кілттерді қалыптастырудың режимін іске асыру (иә/жоқ, қандай алгоритмдері және стандарттары пайдалануда) ______________________________________________________________;
      Келесі фискальдық есептер үшін жұмысын аяқтаған уақытындағы деректерді сақтау кезінде ассиметриялық шифрлаудың криптографиялық функцияларын компьютерлік жүйеде іске асыру (иә/жоқ, қандай алгоритмдері және стандарттары пайдалануда) __________________;
      Фискальдық есептерді алудың режимінде іске асыру "Салық инспекторының жұмыс орны" (иә/жоқ, қандай құралдармен қамтамасыз етіледі) ___________

___________________________________________________  __________
    өтініш берушінің немесе оның басшысының Т.А.Ә.       қолы
      М.О.

Бақылау-касса машиналарының     
мемлекеттік тізіліміне енгізу   
үшін компьютерлік жүйенің       
техникалық талаптарға сәйкестігі
туралы қорытынды беру ережелеріне
2-қосымша               

Қауіпсіздік жүйесін қалыптастыру және үй-жайына, электрондық және техникалық жабдығына қойылатын кішкене талаптары

      1. Компьютерлік жүйе тұрғын емес үйде, кіруі шектеулі үй-жайда орналасады .
      2. Компьютерлік жүйенің қауіпсіздік жүйесі осы Ережемен белгіленген мынадай талаптарға:
      1) серверлік үй-жайға және кіруі шектеулі үй-жайға;
      2) қызметін автоматтандыру үшін пайдаланылатын жүйелі бағдарламалық қамтамасыз етуге;
      3) қызметін автоматтандыру үшін пайдаланылатын арнайы бағдарламалық қамтамасыз етуге (ақпараттық жүйеге);
      4) техникалық құрал-жабдықтарына (ақпараттық ресурстарына);
      5) ақпарат қауіпсіздігін қамтамасыз етуге жауап беруі тиіс.
      3. Компьютерлік жүйенің жабдықталған серверлік үй-жайында мыналар бар:
      1) кіруді бақылау жүйесі (жеке электронды рұқсатнама);
      2) серверлік үй-жайына кіру бейне бақылау жүйесі және кросс бөлмелері;
      3) толық толтырылған міндетті резервтік газы бар және кепілдік берілген қорек жүйесіне қосылған өрт сөндіру автоматты жүйесі;
      4) есік, терезелердің күзет сигнализациясы және герметикалық аймақтың ішіндегі датчиктер жүйесі;
      5) серверлік бөлменің гермоаймағында тұрған таза қоректің тоқтаусыз жүйесі;
      6) тәулік бойғы кезекшілік жарықты қосқандағы серверлік және кросс бөлмелерінің барлық электр желісінің кепілдік берілген қорек жүйесі;
      7) резерві толық кондиционирлеу жүйесін;
      8) КЖ иесінің қызметіне қатысы жоқ үй-жайдағы жұмыс орнын орналастыруға тиым салынады;
      9) кіруі шектеулі үй-жай үйдің бірінші немесе соңғы қабаттарында орналасқан жағдайда, сондай-ақ балкондардың терезелерінің жанында өрт баспалдақтары бар болса, үй-жайдың терезелері металл торкөздермен жабдықталады.
      4. Серверлік үй-жай соңынан кеңістікті кеңейту мүмкіндігі бар және ірі габариттік аппаратураларды орналастыру мүмкіндігі бар жерлерге орналасуы және мынадай талаптарға жауап беруі тиіс:
      1) cерверлік бөлменің ең төменгі қол жетімді мөлшері - 20 шаршы метр;
      2) cерверлік бөлме кондуитті мөлшері 1,5 үйдің жерге қосылу жүйесінің бас электродымен қосылуы тиіс;
      3) cерверлік бөлменің талап етілетін биіктігі 2,44 метр болуы тиіс.
      5. КЖ пайдаланушының жұмыс орны мынадай талаптарға сәйкес келуі тиіс:
      1) бағдарламалық қамтамасыз ету тұрғылықты орны, конфигурациясы, сондай-ақ оған орнатылған аппараттық және бағдарламалық құрал-жабдықтары қойылған арнайы бөлінген дербес компьютерге орнатылады. Паспорт ұйым басшысының қолымен ресімделеді және ол жауапты тұлғада сақталады;
      2) жауапты тұлғаның дербес компьютерін пайдалануға және дайындау, өңдеу, жіберу мақсаттарымен байланыссыз немесе ақпараттық жүйеге қатысу аясындағы электрондық құжаттарды жүргізу жүйесінде бағдарламалық құрал-жабдықтарды қоюға жол берілмейді;
      3) жауапты тұлғаның дербес компьютерінде мынадай қорғаныс кешені болуы тиіс:
      пайдаланушының бірегейлендіретін және аутентификациялайтын құрал-жабдықтары;
      компьютерьге кіруге және пайдаланушылардың іс-қимылдарына байланысты қызметті бақылау мақсатында электронды құжаттарды сақтау мерзімі аралығында электронды журналдарды жүргізу мүмкіндігі;
      4) пайдаланушы бірегейлендіретін пайдаланушының (жауапты тұлғаның) бір жүйелі атының болуы, ақпараттық жүйеге кіру кезінде онда бір жеке тұлға сәйкес келуі тиіс;
      5) дербес компьютерде бағдарламалық қамтамасыз етудің бүтіндігі мен құпиялылығын қамтамасыз ететін құрал-жабдық болуы тиіс;
      6) желілік ресурстар мен сыртқы тасымалдаушыларға, сондай-ақ оператордың дербес компьютеріне ақпаратты кіргізу-шығару порттары, оның ішінде кіргізу-шығару базалық жүйесін жұмысқа дайындау да ажыратылуы тиіс;
      7) дербес компьютердің жүйелі блогын, ақпаратты кіргізу-шығару порттарын басқарушы мөрмен жабады не пломбылайды. Мөрмен жабу (пломбылау) процесі тегін, атын, бар болса - әкесінің атын, қызметін, келу күнін, уақытын және пломбылау (мөрмен жабу) мақсатын көрсете отырып, арнайы журналында тіркеледі. Ноутбуктер үшін порттарды мөрмен жаппай, кіргізу-шығару базалық жүйесіндегі қондырғыларды ажыратуды пайдалануға ғана рұқсат беріледі. Үйден ақпараттық қауіпсіздік қызметі басшысының жауапты қызметкерінің өтінімдері негізінде жасалатын профилактикалық және жөндеу жұмыстарын жүргізуден басқа жағдайларда компьютерлер мен ноутбуктерді алып шығуға тыйым салынады;
      8) қорғаныс жүйесін пайдалана отырып, ақпараттық ортаға берілетін ақпаратты жинақтау үшін бөлінген өзге ресурстарға (дискілік кеңістік, директория, деректер базасы және деректер базасының резервтік көшірмелері) кіру тәртібі, ақпараттық ортадан ақпарат алу, ақпаратты сақтау, архивтеу және басқа да өңдеу осы ресурстарға санкцияланбаған кіру мүмкіндігін болдырмауы тиіс;
      9) жауапты тұлғаның жұмыс орнына және кіруі шектеулі үй-жайына кіру оның лауазымдық міндеттеріне сәйкес жүзеге асырылады.
      6. Өтініш берушінің жүйелі бағдарламалық қамтамасыз етулерін пайдалануы (операциялық жүйелер, деректер базасын басқару жүйесі, офистік бағдарламалар, вирусқа қарсы бағдарламалар) лицензиямен, сертификаттармен расталуы тиіс.
      7. Ақпараттық қауіпсіздік мақсатында кредиттік бюроның бағдарламалық қамтамасыз етуі мыналарды қамтамасыз етуі тиіс:
      1) криптографиялық қайта құру арқылы бірегейлендіруді және аутентификациялауды;
      2) пайдаланушылардың құқықтарын шектемеу;
      3) бағдарламалық қамтамасыз ету ядросы деңгейіндегі жұмысты қамтамасыз ету нәтижесі бойынша жүйе аясындағы бірде-бір мәні бар іс-қимыл (пайдаланушының немесе процестегі іс-қимыл болса да) қауіпсіздік механизмінің қатысуынсыз өтпеуі тиіс;
      4) бағдарламалық қамтамасыз етуде іске асырылған қауіпсіздік схемасы, бағдарламалық қамтамасыз ету іске асырылатын операциялық жүйенің өзінің қауіпсіздік құралдарынан оқшаулануы тиіс, былайша айтқанда, операциялық жүйенің өзінің қауіпсіздік құралдарының осалдығы бағдарламалық қамтамасыз етудің қауіпсіздік жұмысына әсер етпеуі тиіс;
      5) бағдарламалық қамтамасыз етудегі деректердің тұйықталып сақталуы мынадай тәсілмен ұйымдастырылып, қамтамасыз етілуі тиіс:
      бағдарламалық қамтамасыз етудің қосымшаларының жұмыс аясынан тыс аталған деректерге логикалық жағынан кіру мүмкін болмаған жағдайда;
      бағдарламалық қамтамасыз етудің деректер базасына/базасынан жасалған кез-келген ауыстырулар қауіпсіздік механизмдерінің бақылауымен;
      6) фактіні, объектіні және жою процесіндегі субъектіні сәйкестендіру үшін қажетті ақпаратты белгілеу, белгілі бір уақыт аралығында жойылған, өзгертілген деректерді қалпына келтіру мүмкіндігі;
      7) іркілістер пайда болған кезде тұрақты жұмыс істету мүмкіндігі;
      8) пайдаланушының жұмыс орны істен шыққан немесе қаскүнем оған санкцияланбаған жолмен кіруі жүйенің серверлік бөлігінің жұмысында байқалмаған, ал сервер қосымшаларының іркілісі жүйе деректерінің жай-күйіне әсер етпеген жағдайдағы "клиент-сервер" үш деңгейлі сәулетімен;
      9) тіркеу журналында белгілеу, сондай-ақ кез-келген субъект тарапынан қорғау мүмкіндігі болатын жүйелі маңызды оқиғалар аудиті;
      10) пайдаланушылар мен басқарушылардың байланыс орнату әрекетінен бастап, сәтті, сондай-ақ сәтсіз іс-қимылдарының аудиті;
      11) экспортқа және импортқа шығарылатын деректерді бақылау;
      12) қауіпсіздік модульдері мен механизмдерін әзірлеу (пысықтау) мүмкіндігі;
      8. Өтініш берушінің техникалық құрал-жабдықтарына қойылатын талаптар:
      1) меншікті аппараттық қамтамасыз етудің болуы (компьютерлік жабдықтар, серверлер, қорғаныстың аппараттық құрал-жабдықтары, комплектілік және өзге де жабдықтар), сондай-ақ кредиттік бюроның аппараттық қамтамасыз етілудегі керек-жарақтарын растайтын құжаттардың болуы;
      2) сәйкестілікті растаушы орган берген қауіпсіздік талаптарына сәйкестікке аппараттық қамтамасыз ету сәйкестілігі сертификаттарының болуы;
      3) кепілдік берілген қорек жүйесі – бар ұйымда таза қорек желісіндегі электр қуатын үзіліссіз қолдау арқылы және резервті автоматты түрде қосу қалқанының, үзіліссіз қорек жүйесінің (бұдан әрі - ҮҚЖ) екі қайнар көзі сигналынан атқарылатын дизельді генератор қондырғысының болуы.
      9. Компьютерлік жүйенің серверлері бас тартатын тұрақты аяқталған жүйеден тұруы тиіс және аппараттық бөлікті жүз пайыз қайталайтын кластерді білдіруі тиіс. Кредиттік бюроның деректер базасының резервтік серверлері негізгі серверден он километрден кем емес аралықта орналасуы тиіс.
      10. Ақпарат қауіпсіздігін қамтамасыз ететін ұйымға қойылатын талаптар:
      1) аппаратты шекаралық маршрутизаторлардың көмегімен трафикті шифрлау арқылы деректер берудің қорғанысты арнасының болуы;
      2) интернет желісінен ұйымның компьютер желісіне жасалатын шабуылдарды желіаралық экранның көмегімен анықтау (болдырмау) жүйелерінің болуы;
      3) пайдаланушының криптокілті мен сәйкестендіру жүйесінің көмегімен компьютерлерді криптографиялық жағынан қорғау жүйесінің болуы;
      4) пайдаланушылардың желілік карталарының тасымалдағыштарына кіруді басқаратын сәйкестендіру жөніндегі трафикті аппараттық желілік талдаушының болуы;
      5) резервтік көшірме жасау – ақпаратты сыртқа тасымалдағыштар кітапханасы жүйесінің болуы.
      Өтініш беруші жоғарыда аталған талаптарды іске асыру үшін, ақпарат қауіпсіздігін осалдықтар мен қауіп-қатерден сақтау үшін тәуекелдерді талдайды және баға береді.
      11. Өтініш беруші өз қызметі процесінде мынадай талаптарды орындайды:
      1) ақпарат қауіпсіздігі қызметінің болуы;
      2) кредиттік тарихтар бойынша жауапты тұлғалардың болуы;
      3) ақпарат қауіпсіздігі қызметі саясатының болуы;
      4) парольдерді қалыптастыру және пайдалану саясатының болуы;
      5) резервтік көшірме жасау саясатының болуы (мұрағатталуы);
      6) пайдаланушылардың, қауіпсіздік басқарушыларының, жүйелі басқарушылардың кіруіне шек қою және олардың міндеттері жөніндегі рәсімдерді сипаттайтын құжаттаманың болуы.
      12. Өтініш беруші мыналар бар ақпараттық жүйемен жұмыс тәртібін анықтайтын ішкі құжатты қабылдайды:
      1) жауапты тұлға болу міндеті жүктелетін қызметкерлерді тағайындау тәртібін;
      2) жұмыс режимін;
      3) лауазымдық нұсқаулықтарды қосқандағы жауапты тұлғалардың құқықтары мен міндеттері;
      4) оператордың жұмыс орнына кіруге рұқсат берілген қызметкерлердің тізімі;
      5) оператордың жұмыс орнына айырықша жағдайларда (дағдарыс жағдайында, сондай-ақ қызметкердің орнын ауыстырған жағдайда) ғана кіруге рұқсат берілген қызметкерлердің тізімі.
      13. Жауапты тұлғалар:
      1) ақпараттық жүйе ресурсына кіру үшін бірегейлендіру және аутентификациялау рәсімдерінің міндеттілігін қамтамасыз етеді;
      2) рұқсат берілмеген пайдаланушылардың ақпараттық ресурстарға кіру құқығын алуына жол берілмейді;
      3) ақпараттық жүйе өңделіп отырған ақпараттың резервтік көшірмесін жасаудың тұрақты болуына бақылау жасайды;
      4) жүйе ресурстарының қорғалу сенімділігін жоспарлы түрде және жоспардан тыс тексеру жүргізеді;
      5) корпоративті желінің жабдықтарын, оның ішінде арнайы желіаралық бағдарламалық құрал-жабдықтарды қорғауды қамтамасыз етеді;
      6) қауіп-қатерді көрсету және бұзушыларды анықтау жөнінде шаралар қабылдайды;
      7) оқиғалар журналын, ондағы ақпаратқа рұқсатсыз қол жеткізу әрекеттерінің болғандығы туралы жазбаларды тұрақты қарап отырады.
      14. Өтініш берушінің қызметкерлері (жауапты тұлға, басқарушы, оператор) олардың қызметтік міндеттерін орындау барысында белгілі болған ақпаратты жарияламау және таратпау туралы жазбаша міндеттеме береді.
      15. Жауапты тұлға жұмыстан шыққан жағдайда өтініш берушінің кілт жөніндегі ақпараты жоспардан тыс ауыстырылады, бұл туралы кредиттік бюро хабардар етіледі. Өтініш берушінің кілт жөніндегі жаңа ақпарат олар жұмыстан шығарылған күннен бастап қолданысқа енгізіледі.
      16. Өтініш берушінің кілт жөніндегі жаңа ақпараттағы сыртқы тасымалдаушыларды сақтау және пайдалану тәртібі оған рұқсатсыз қол жеткізу мүмкіндігін болдырмауы тиіс.
      17. Ақпаратқа қол жеткізуге қойылатын талаптар:
      1) қосымша құралдарымен, ДҚБЖ құралдарымен де БЖ-ға ақпаратқа оператордың ену құқығын шектеу;
      2) ДҚБЖ деңгейінде, ОЖ деңгейінде де серверді және ДБ операторлардың бірегейлендіруі;
      3) бір жүйелік атпен екі және одан да астам операторлардың қосымшаға қосылу, сондай-ақ өз қосымшасына ұқсамайтын құралдармен ДБ-на операторлардың қосылу мүмкіндігін болдырмау;
      4) қосымшаның көмегімен ғана ДБ-на ақпаратты енгізу мүмкіндігі;
      5) жұмыс және демалыс күндеріндегі жеке жұмыс графиктерін құру мүмкіндігі;
      6) ДБ-нан ақпаратты енгізу, түзету және алып тастау бойынша әкімшілік іс-әрекеттерін қадағалау үшін аудиторлық журналды ДҚБЖ көмегімен құру;
      7) жұмыс станциясының операторында олардың орындалатын функцияларының шегінде ғана ДБ-сын иелену құқығы болуы керек;
      8) бірнеше минут ішінде оператордың қосымшасы белсенді емес жағдайда ОЖ және ДҚБЖ қосымша құралдарымен бірегейлендіруді одан кейінгі тексерумен қосымшаға қол жеткізуді автоматты түрде болдырмау.
      18. КЖ-мен жүзеге асырылатын операцияларға талаптар:
      1) жұмыс станциясы, күні мен уақытының операторы бойынша әрбір касса операциясын бірегейлендіру. Әрбір операция бір жақты ерекше нөмірмен дәйектілікпен, клиенттік қосымшамен емес айқындалуы тиіс;
      2) белгілі уақыт кезеңі үшін алынған және берілген қолма-қол ақша саны туралы қолма-қол ақшамен, төлем карточкалармен және чектермен операциялар бойынша есеп берулерді қалыптастыру;
      3) операцияларды расталған бақылаумен жою мүмкіндігін алып тастау және "сторно" операцияларын жүзеге асыру жолымен қате енгізілген операцияларды түзету;
      4) операциялар расталғаннан кейін қосымшаның құралдарымен ДҚ енгізілген ақпаратты түзетуге тиым салу.
      19. БКЖ пароліне талаптар:
      1) БКЖ-ның әрбір пайдаланушысы үшін дербес, ерекше (тіркеудің тиісті жүйесі астының шегінде) сәйкестендірушіні (жүйелік аты және пароль) орнату;
      2) БКЖ-ны үшінші рет сәтсіз тіркеуден кейін паролді таңдап алу жағдайында ДББЖ құралдарымен жұмыс станциясын бұғаттау;
      3) пайдаланушы паролінің ең аз ұзындығы 6 белгіні, әріптерден, сандар мен арнайы белгілерден басқа, міндетті енгізумен администраторлардыкі 8 белгі құрауы тиіс;
      4) паролдің қызмет ету мерзімі 30 күннен кем емесін құрауы және ОЖ мен ДББЖ құралдарымен бақылануы тиіс.
      20. Ақпаратқа қол жеткізу бойынша талаптар:
      1) қосымша құралдарымен, ДББЖ құралдарымен де БЖ-ға ақпаратқа пайдаланушының ену құқығын шектеу;
      2) ДБЖЖ деңгейінде, ОЖ деңгейінде де серверді және ДБ пайдаланушыны бірегейлендіру;
      3) бір жүйелік атпен екі және одан да астам пайдаланушылардың қосымшаға қосылу, сондай-ақ өз қосымшасына ұқсамайтын құралдармен басқа ДБ-на пайдаланушыны қосылу мүмкіндігін болдырмау;
      4) қосымшаның көмегімен ғана ДБ-на ақпаратты енгізу мүмкіндігі;
      5) жұмыс және демалыс күндеріндегі жеке жұмыс графиктерін құру мүмкіндігі;
      6) ДБ-нан ақпаратты енгізу, түзету және алып тастау бойынша әкімшілік құқықтармен пайдаланушыларды қоса нақты пайдаланушының іс-әрекеттерін қадағалау үшін аудиторлық журналды ДББЖ көмегімен құру;
      7) оператордың олардың орындалатын функцияларының шегінде ғана ДБ-сын иелену құқығы болуы керек;
      8) серверге және оның ресурстарына санкцияланбаған енуді алып тастау мақсатында ОЖ құралдарымен авторизациялаусыз (guest, anonymous және басқалары) енуге мүмкіндігі бар есептік жазбаларды бұғаттау;
      9) 5 минут ішінде пайдаланушының қосымшасы белсенді емес жағдайларда, ОЖ және ДББЖ, қосымша құралдарымен бірегейлендіруді одан кейінгі тексерумен қосымшаға енуді автоматты болдырмау.

Бақылау-касса машиналарының     
мемлекеттік тізіліміне енгізу   
үшін компьютерлік жүйенің       
техникалық талаптарға сәйкестігі
туралы қорытынды беру ережелеріне
3-қосымша               

Бақылау-касса машиналарының мемлекеттік тізіліміне енгізу үшін компьютерлік жүйенің техникалық талаптарға сәйкестігі туралы  Қазақстан Республикасы Ақпараттандыру және байланыс агенттігінің берген қорытындысы

Астана қаласы                            200__ж. "___"____________

1. Өтініш беруші
__________________________________________________________________
2. Өтініш берушінің орналасқан жері:
Облысы ___________ Қаласы ________________________________________
Ауданы ________________ Көшесі ______________________ Үйі ________
Телефоны _________________ Факсы _________________________________
3. _______________________________________________________________
                             (КЖ атауы)
__________________________________________________________________,
нұсқасы __________________, жасалған датасы_______________________,
Әзірлеуші ________________________________________________________
Әзірлеушінің орналасқан жері:
Елі ______________ Облысы ___________________ Қаласы ______________
Ауданы _________________ Көшесі _________________ Үйі _____________
Телефоны ________________Факсы_____________________________________
      Қазақстан Республикасының заңнамасында көзделген техникалық талаптарға сәйкес.

Қазақстан Республикасы
Ақпараттандыру және
байланыс агенттігінің                   __________________
      төрағасы                                (қолы)

М.О.