Примечание ИЗПИ!
Порядок введения в действие см. п. 4.
ПРИКАЗЫВАЮ:
1. Внести в приказ Министра национальной экономики Республики Казахстан от 26 февраля 2015 года № 141 "Об утверждении обязательных требований к электронной торговой системе товарных бирж" (зарегистрирован в Реестре государственной регистрации нормативных правовых актов за № 10695) следующие изменения и дополнения:
в Обязательных требованиях к электронной торговой системе товарных бирж, утвержденных указанным приказом:
пункт 2 изложить в следующей редакции:
"2. Настоящие обязательные требования включают в себя требования к программному и аппаратному обеспечению товарных бирж, информационной безопасности (далее – ИБ), размещению оборудования, а также иные организационно-технические требования, соблюдение которых необходимо в целях эффективного и бесперебойного функционирования электронной торговой системы товарной биржи.";
пункт 5 дополнить подпунктами 13-1) и 13-2) следующего содержания:
"13-1) ограничение возможности заключения сделок с использованием ЭТСТБ лицами, не обладающими таким правом в соответствии с внутренними документами товарной биржи;
13-2) автоматизированный сбор, обработку и хранение информации по сделкам в ЭТСТБ, по которым клиринговая организация осуществляет клиринговое обслуживание, ее сверку и корректировку.";
в пункте 6:
подпункты 1) и 2) изложить в следующей редакции:
"1) время открытия торгов;
2) время закрытия торгов;";
часть вторую изложить в следующей редакции:
"Формат времени фиксации – год, месяц, день, час, минута, секунда (с точностью минимум до 0,001 секунды).";
дополнить пунктами 9-1, 9-2 и 9-3 следующего содержания:
"9-1. В ЭТСТБ используются персонализированные пользовательские учетные записи.
При этом ЭТСТБ применяются функции по управлению учетными записями и паролями, а также блокировке учетных записей пользователей, определяемые внутренним документом товарной биржи.
Идентификация и аутентификация пользователей производится посредством ввода пары "учетная запись (идентификатор) – пароль" и (или) биометрической и (или) криптографической и (или) аппаратной аутентификации.
9-2. В регистрацию событий ИБ входит:
журналирования действий администраторов и пользователей;
применения системы мониторинга инцидентов и событий ИБ;
оповещения на основе автоматического распознавания критического события или инцидента ИБ.
9-3. Журналы регистрации событий хранятся в течение срока, указанного в технической документации по ИБ, но не менее трех лет и находятся в оперативном доступе не менее двух месяцев.";
в пункте 10:
подпункт 1) изложить в следующей редакции:
"1) ПС ЭТСТБ разрабатывается и эксплуатируется с использованием лицензионного программного обеспечения актуальной версии;
дополнить подпунктом 6-1) следующего содержания:
"6-1) ПС ЭТСТБ обеспечивает контроль денежных средств участника в ходе торгов под каждую выставленную заявку и заключенную сделку, в соответствии с размером биржевого обеспечения.";
дополнить пунктом 10-1 следующего содержания:
"10-1. ПС ЭТСТБ обеспечивается синхронизация системного времени информационной системы с централизованным источником эталонного сервера времени: time.windows.com.";
дополнить пунктами 11-1, 11-2 и 11-3 следующего содержания:
"11-1. ЭТСТБ обеспечиваются технической поддержкой, в состав которой входят услуги по предоставлению обновлений соответствующих компонентов ЭТСТБ и ПС, в том числе обновлений безопасности.
11-2. При наличии резервного центра во внутренних документах товарной биржи отражается:
1) местонахождение резервного центра;
2) перечень бизнес–процессов, технических, программных или других средств, обеспечивающих работу информационных систем, восстановление которых планируется в резервном центре;
3) порядок восстановления работы ЭТСТБ в резервном центре;
4) критерии, позволяющие принять решение о завершении работы в резервном центре, порядок принятия такого решения, а также порядок возврата в штатный режим функционирования в основном центре;
5) порядок проведения, периодичность и сценарии тестирования функционирования резервного центра.
11-3. В целях проверки готовности процессов восстановления деятельности ЭТСТБ не менее одного раза в год проводится тестирование восстановления информационных систем в соответствии с планами восстановления (далее – план тестового восстановления).
Тестирование по планам тестового восстановления проводится по разработанной и утвержденной внутренними документами товарной биржи, предусматривающей описание сценария возникновения нештатной ситуации, восстанавливаемых рабочих процессов и информационных систем, действий команды восстановления, требований по срокам и месту проведения работ.";
пункт 12 изложить в следующей редакции:
"12. По ИБ ЭТСТБ предъявляются следующие требования:
1) ЭТСТБ обеспечивается системой, включающей в себя комплекс организационно-технических мер и программно-аппаратных средств защиты информации;
2) ЭТСТБ обеспечивает многоуровневую защиту данных, включающую в себя защиту данных от несанкционированного доступа – использование процедур аутентификации и идентификации пользователя при входе в систему, наличие процедур шифрования информации, многоуровневый доступ к данным, предусматривающий наличие нескольких типов пользователей в соответствии с их полномочиями, отсутствие возможности внесения изменений в данные ЭТСТБ;
3) уполномоченным органом (советом директоров или правлением) товарной биржи утверждаются следующие внутренние нормативные документы, касающиеся ИБ ЭТСТБ: по вопросам защиты паролем и управления доступом к ЭТСТБ; физической безопасности ЭТСТБ; резервного копирования и восстановления данных ЭТСТБ; политики безопасности, направленной на своевременное выявление угроз безопасности, а также причин и условий, связанных с нарушением нормального функционирования ЭТСТБ;
4) работа участников биржи в ЭТСТБ с использованием средств криптографической защиты информации, в том числе средств электронно-цифровой подписи, осуществляется в порядке, установленном законодательством. При этом для обмена информацией применяется единый для всех участников технологического процесса торгов алгоритм шифрования;"
5) система обеспечения ИБ ПС ЭТСТБ реализовывается соответствующей политикой безопасности, обеспечивающей своевременное выявление угроз безопасности, а также причин и условий, связанных с нарушением их нормального функционирования;
6) соединение с ЭТСТБ осуществляется по защищенным либо выделенным каналам связи.";
дополнить пунктами 12-1, 12-2, 12-3 и 12-4 следующего содержания:
"12-1. Товарная биржа в целях соответствия ЭТСТБ требованиям ИБ обеспечивает:
1) наличие подразделения ИБ или должностного лица, ответственное за обеспечение ИБ или приобретение услуг в части обеспечения информационной безопасности;
2) создание собственного оперативного центра ИБ и обеспечение его функционирования или приобретение услуг оперативного центра ИБ;
3) наличие положительного акта испытаний на соответствие требованиям ИБ в соответствии с законодательством об информатизации;
4) наличие технической документации ИБ.
12-2. Для защиты внутренних данных ЭТСТБ применяются системы предотвращения утечки данных (DLP).
При этом ЭТСТБ обеспечиваются:
1) визуальное уведомление пользователя о проводимом контроле действий;
2) размещение центра управления и серверов системы предотвращения утечки данных в пределах локальной сети.
12-3. Для защиты ЭТСТБ используется лицензионное антивирусное программное обеспечение или системы, обеспечивающие целостность и неизменность программной среды на сервере, рабочих станциях.
Используемое антивирусное программное обеспечение соответствует следующим требованиям:
1) обнаружение вирусов на основе известных сигнатур;
2) обнаружение вирусов на основе эвристического анализа (поиска характерных для вирусов команд и поведенческого анализа);
3) сканирование сменных носителей при подключении;
4) запуск сканирования и обновления антивирусной базы по расписанию;
5) наличие централизованной консоли администрирования и мониторинга;
6) блокирование для пользователя возможности прерывания функционирования антивирусного программного обеспечения, а также процессов обновления антивирусного программного обеспечения и плановой проверки на отсутствие вирусов;
7) защита внутренней и внешней сети средствами антивирусного обеспечения.
12-4. Комплекс организационно-технических мер и программно-аппаратных средств защиты информации в ЭТСТБ от изменения, уничтожения, нарушения целостности и несанкционированного доступа обеспечиваются:
- аутентификацией и авторизацией пользователей;
- шифрованием данных, хранимых и передаваемых ЭТСТБ;
- контролем доступа к информации, включающий управление правами доступа, мониторинга активности пользователей, разграничение доступа и другие методы;
- защитой от вредоносных программ, включая использование антивирусных программ, межсетевых экранов, системы обнаружения вторжений и других мер;
- регулярным резервированием информации баз данных, журналов системы, журналов инцидентов ИБ;
- регулярным обновлением используемого программного обеспечения до актуальных версий;
- аудитом ИБ, включая регулярные проверки и анализ уязвимостей;
- мониторингом и анализом событий, включая использования систем логирования, мониторинга и уведомления;
- управлением конфигурацией, включая контролем версий, обновлением программного обеспечения до актуальных версий и мер, которые обеспечивают корректность и стабильность работы системы ЭТСТБ.".
2. Комитету торговли Министерства торговли и интеграции Республики Казахстан в установленном законодательством порядке обеспечить:
1) государственную регистрацию настоящего приказа в Министерстве юстиции Республики Казахстан;
2) размещение настоящего приказа на интернет-ресурсе Министерства торговли и интеграции Республики Казахстан.
3. Контроль за исполнением настоящего приказа возложить на курирующего вице-министра торговли и интеграции Республики Казахстан.
4. Настоящий приказ вводится в действие по истечении шестидесяти календарных дней после дня его первого официального опубликования.
Заместитель Премьер-Министра - Министр торговли и интеграции Республики Казахстан |
С. Жумангарин |
"СОГЛАСОВАН"
Агентство по защите
и развитию конкуренции
Республики Казахстан
"СОГЛАСОВАН"
Министерство цифрового развития,
инноваций и аэрокосмической
промышленности Республики Казахстан