Об утверждении Требований к автоматизированным информационным системам для учета пенсионных активов и накоплений

Постановление Правления Агентства Республики Казахстан по регулированию и развитию финансового рынка от 26 июня 2023 года № 60. Зарегистрировано в Министерстве юстиции Республики Казахстан 1 июля 2023 года № 33017

      Примечание ИЗПИ!
      Вводится в действие с 01.07.2023

      В соответствии с пунктом 5 статьи 57 Социального кодекса Республики Казахстан Правление Агентства Республики Казахстан по регулированию и развитию финансового рынка ПОСТАНОВЛЯЕТ:

      1. Утвердить Требования к автоматизированным информационным системам для учета пенсионных активов и накоплений согласно приложению 1 к настоящему постановлению.

      2. Признать утратившими силу нормативный правовой акт Республики Казахстан, а также отдельные структурные элементы некоторых нормативных правовых актов Республики Казахстан по перечню согласно приложению 2 к настоящему постановлению.

      3. Департаменту рынка ценных бумаг в установленном законодательством Республики Казахстан порядке обеспечить:

      1) совместно с Юридическим департаментом государственную регистрацию настоящего постановления в Министерстве юстиции Республики Казахстан;

      2) размещение настоящего постановления на официальном интернет-ресурсе Агентства Республики Казахстан по регулированию и развитию финансового рынка после его официального опубликования;

      3) в течение десяти рабочих дней после государственной регистрации настоящего постановления представление в Юридический департамент сведений об исполнении мероприятия, предусмотренного подпунктом 2) настоящего пункта.

      4. Контроль за исполнением настоящего постановления возложить на курирующего заместителя Председателя Агентства Республики Казахстан по регулированию и развитию финансового рынка.

      5. Настоящее постановление вводится в действие с 1 июля 2023 года и подлежит официальному опубликованию.

      Председатель Агентства
Республики Казахстан
по регулированию и развитию
финансового рынка
М. Абылкасымова

  Приложение 1 к постановлению
Правления Агентства
Республики Казахстан
по регулированию и развитию
финансового рынка
от 26 июня 2023 года № 60

Требования к автоматизированным информационным системам для учета пенсионных активов и накоплений

Глава 1. Общие положения

      1. Настоящие Требования к автоматизированным информационным системам для учета пенсионных активов и накоплений (далее - Требования) разработаны в соответствии с пунктом 5 статьи 57 Социального кодекса Республики Казахстан (далее – Социальный кодекс) и устанавливают требования к автоматизированным информационным системам единого накопительного пенсионного фонда и добровольного накопительного пенсионного фонда для учета пенсионных активов и накоплений.

      2. В Требованиях используются следующие понятия:

      1) автоматизированные информационные системы – организационно-упорядоченная совокупность информационно-коммуникационных технологий, обслуживающего персонала и технической документации, реализующих определенные технологические действия посредством информационного взаимодействия и предназначенных для решения конкретных функциональных задач;

      2) администратор автоматизированной информационной системы (далее - администратор) – сотрудник единого накопительного пенсионного фонда или добровольного накопительного пенсионного фонда, обеспечивающий функционирование, настройку, поддержку и сопровождение технических средств автоматизированной информационной системы и участвующий в информационном процессе с помощью аппаратно-программных средств;

      3) раскрытие информации (данных, программного обеспечения, информационных сообщений) – действие, происходящее в результате получения несанкционированного доступа к информации и возможного раскрытия полученных сведений;

      4) защита информации – комплекс мероприятий, обеспечивающих информационную безопасность в сфере информатизации (далее – информационная безопасность);

      5) аутентификация – подтверждение подлинности субъекта или объекта доступа путем определения соответствия предъявленных реквизитов доступа имеющимся в системе;

      6) вредоносное программное обеспечение – программное обеспечение, создаваемое с целью причинения вреда информационным системам и информационным ресурсам;

      7) идентификатор – уникальный персональный код или имя, присвоенный(-ое) субъекту и (или) объекту системы и предназначенный(-ое) для регламентированного доступа в систему и (или) к ресурсам системы;

      8) идентификация – присвоение или определение соответствия предъявленного для получения доступа в систему и (или) к ресурсу системы идентификатора перечню идентификаторов, имеющихся в системе;

      9) администратор безопасности – сотрудник единого накопительного пенсионного фонда или добровольного накопительного пенсионного фонда, обеспечивающий реализацию мер по защите информационных систем, технических средств, а также поддержание системы в рамках политики безопасности;

      10) система безопасности – комплекс организационных мер и программно-технических средств защиты информации;

      11) политика безопасности – нормы и практические приемы, регулирующие управление, защиту и распределение информации ограниченного распространения, которые определяют общие направления работы в области информационной безопасности и требования к защите автоматизированной информационной системы;

      12) специализированная организация – организация, предоставляющая телекоммуникационные услуги и услуги хранения и обработки данных;

      13) серверное помещение – помещение, предназначенное для размещения серверного, активного и пассивного сетевого (телекоммуникационного) оборудования (телекоммуникационного) и оборудования структурированных кабельных систем.

Глава 2. Требования к автоматизированным информационным системам для учета пенсионных активов и накоплений

      3. Автоматизированные информационные системы единого накопительного пенсионного фонда и добровольного накопительного пенсионного фонда для учета пенсионных активов и накоплений обеспечивают:

      1) надежное хранение информации, защиту от несанкционированного доступа, целостность программного обеспечения и полную сохранность информации в электронных архивах и базах данных при:

      полном или частичном отключении электропитания в любое время;

      аварии сетей, телекоммуникаций, разрыве установленных физических и виртуальных соединений на любом этапе выполнения операции;

      полном или частичном отказе любых вычислительных средств программного обеспечения в процессе выполнения любой функции программного обеспечения;

      попытке несанкционированного доступа к информации, хранящейся в автоматизированных информационных системах;

      2) многоуровневый доступ к данным, функциям, операциям, отчетам, реализованным в автоматизированных информационных системах, с обеспечением, как минимум, двух уровней доступа: администратор и пользователь;

      3) контроль полноты вводимых данных (при выполнении функций или операций без полного заполнения всех полей автоматизированная информационная система обеспечивает выдачу соответствующего уведомления);

      4) поиск информации по индивидуальному запросу и по любым критериям с сохранением запроса, а также сортировку информации по любым параметрам и возможность просмотра информации за предыдущие даты;

      5) обработку и хранение информации по датам без сокращений;

      6) возможность архивации (восстановление данных из архива);

      7) возможность вывода входных и выходных документов на экран, принтер или в файл.

      4. Автоматизированная информационная система единого накопительного пенсионного фонда включает следующий перечень функционала:

      1) персонифицированный учет пенсионных накоплений и условных пенсионных обязательств;

      2) формирование отчетности;

      3) взаимодействие с внешними пользователями;

      4) внутренний аудит;

      5) администрирование;

      6) ведение справочной информации (в том числе с выгрузкой в Excel).

      Персонифицированный учет пенсионных накоплений и условных пенсионных обязательств обеспечивает:

      1) ведение бухгалтерского учета операций с:

      индивидуальными пенсионными счетами вкладчиков (получателей) обязательных пенсионных взносов, физических лиц, за которых перечислены обязательные профессиональные пенсионные взносы, добровольные пенсионные взносы, (получателей обязательных профессиональных пенсионных взносов, добровольных пенсионных взносов) (далее – вкладчики (получатели);

      условными пенсионными счетами физических лиц, за которых перечислены обязательные пенсионные взносы работодателя;

      2) учет пенсионных взносов, накоплений, пени, поступающих на индивидуальные пенсионные счета вкладчиков (получателей) и условные пенсионные счета физических лиц;

      3) учет инвестиционного дохода на:

      индивидуальных пенсионных счетах вкладчиков (получателей) в разрезе управляющих инвестиционным портфелем;

      условных пенсионных счетах физических лиц, за которых перечислены обязательные пенсионные взносы работодателя;

      4) учет пенсионных выплат за счет обязательных пенсионных взносов, обязательных профессиональных пенсионных взносов, добровольных пенсионных взносов, обязательных пенсионных взносов работодателя;

      5) учет переводов пенсионных накоплений:

      за счет добровольных пенсионных взносов в другой добровольный накопительный пенсионный фонд;

      в страховую организацию;

      6) объединение индивидуальных пенсионных счетов за счет обязательных пенсионных взносов вкладчиков с сохранением истории по произведенным единым накопительным пенсионным фондом объединением индивидуальных пенсионных счетов вкладчиков (получателей) за счет обязательных пенсионных взносов;

      7) идентификацию вкладчиков (получателей) по уникальным реквизитам (индивидуальному идентификационному номеру, фамилии, имени, отчеству (при наличии) и другим параметрам);

      8) формирование платежных документов;

      9) осуществление проверки правильности формирования платежных документов;

      10) обмен данными с Государственной корпорацией "Правительство для граждан" (далее – Корпорация), состав и объем которых определены соответствующим соглашением, заключенным между единым накопительным пенсионным фондом и Корпорацией.

      Формирование отчетности осуществляется в виде электронных форм, электронных файлов и обеспечивает:

      1) формирование отчетов в соответствии с установленными требованиями Национального Банка Республики Казахстан;

      2) межформенный и внутриформенный контроль в отчетности;

      3) просмотр и печать (в том числе конвертация в Excel) отчетов.

      Взаимодействие с внешними пользователями предназначено для осуществления электронного информационного обмена с:

      1) банком-кастодианом;

      2) управляющим инвестиционным портфелем (при наличии);

      3) страховыми организациями;

      4) государственными органами путем интеграции посредством шлюза "электронного правительства" или внешнего шлюза "электронного правительства".

      Внутренний аудит предназначен для регистрации и идентификации происходящих системных событий в функционалах, указанных в подпунктах 1), 2) и 3) части первой настоящего пункта, с сохранением следующих атрибутов:

      1) аутентификации пользователя автоматизированной информационной системы с указанием даты и времени входа и выхода пользователя автоматизированной информационной системы;

      2) идентификации бизнес-процесса, результата выполнения бизнес-процесса.

      Внутренний аудит обеспечивает:

      1) просмотр и сохранение в файл электронного журнала аудита системных событий;

      2) перенос записей аудита автоматизированной информационной системы в архив с возможностью восстановления архивных записей;

      3) возможность аудита следующих событий:

      добавление, изменение, удаление записи;

      ведение справочников;

      формирование выходных форм пользователями;

      4) возможность отслеживания администратором событий, происходящих в функционалах, указанных в подпунктах 1), 2) и 3) части первой настоящего пункта, по каждому пользователю и (или) по автоматизированной информационной системе в целом;

      5) фиксацию событий в регистрационных журналах, содержащую следующие сведения:

      наименование аудируемого события;

      имя пользователя, инициировавшего аудируемое событие;

      местоположение;

      время события.

      Администрирование обеспечивает:

      1) регистрацию, изменение и блокировку пользователей в системе;

      2) администрирование системы;

      3) управление правами доступа пользователей к функциям системы;

      4) автоматизацию контроля над сложностью пароля;

      5) контроль активных подключений пользователей к базе данных системы;

      6) настройку параметров функционирования системы.

      5. Автоматизированная информационная система добровольного накопительного пенсионного фонда включает следующий перечень функционала:

      1) персонифицированный учет пенсионных накоплений добровольного накопительного пенсионного фонда;

      2) формирование отчетности;

      3) взаимодействие с внешними пользователями;

      4) внутренний аудит;

      5) администрирование;

      6) ведение справочной информации (с выгрузкой в Excel).

      Персонифицированный учет пенсионных накоплений добровольного накопительного пенсионного фонда обеспечивает:

      1) ведение персонального учета:

      договоров о пенсионном обеспечении за счет добровольных пенсионных взносов;

      пенсионных взносов, накоплений, пени, поступающих на индивидуальные пенсионные счета вкладчиков (получателей) добровольных пенсионных взносов;

      инвестиционного дохода на индивидуальных пенсионных счетах вкладчиков (получателей) добровольных пенсионных взносов;

      пенсионных выплат за счет добровольных пенсионных взносов;

      переводов пенсионных накоплений за счет добровольных пенсионных взносов в единый накопительный пенсионный фонд, другой добровольный накопительный пенсионный фонд или страховую организацию;

      2) ведение бухгалтерского учета операций с индивидуальными пенсионными счетами вкладчиков (получателей) добровольных пенсионных взносов;

      3) формирование платежных документов;

      4) осуществление проверки правильности формирования платежных документов;

      5) идентификацию вкладчиков (получателей) добровольных пенсионных взносов по уникальным реквизитам (по номеру договора, индивидуальному идентификационному номеру, фамилии, имени, отчеству (при наличии) и другим параметрам).

      Формирование отчетности осуществляется в виде электронных форм, электронных файлов и обеспечивает:

      1) формирование отчетов в соответствии с установленными требованиями Национального Банка Республики Казахстан;

      2) межформенный и внутриформенный контроль в отчетности;

      3) просмотр и печать (в том числе конвертация в Excel) отчетов.

      Взаимодействие с внешними пользователями предназначено для осуществления электронного информационного обмена с:

      1) банком-кастодианом;

      2) управляющим инвестиционным портфелем (при наличии);

      3) страховыми организациями;

      4) государственными органами путем интеграции посредством шлюза "электронного правительства" или внешнего шлюза "электронного правительства".

      Внутренний аудит предназначен для регистрации и идентификации происходящих системных событий в функционалах, указанных в подпунктах 1), 2) и 3) части первой настоящего пункта, с сохранением следующих атрибутов:

      1) аутентификации пользователя автоматизированной информационной системы с указанием даты и времени входа и выхода пользователя автоматизированной информационной системы;

      2) идентификации бизнес-процесса, результата выполнения бизнес-процесса.

      Внутренний аудит обеспечивает:

      1) просмотр и сохранение в файл электронного журнала аудита системных событий;

      2) перенос записей аудита автоматизированной информационной системы в архив с возможностью восстановления архивных записей;

      3) возможность аудита следующих событий:

      добавление, изменение, удаление записи;

      ведение справочников;

      формирование выходных форм пользователями;

      4) возможность отслеживания администратором событий, происходящих в функционалах, указанных в подпунктах 1), 2) и 3) части первой настоящего пункта, по каждому пользователю и (или) по автоматизированной информационной системе в целом.

      5) фиксацию событий в регистрационных журналах, содержащую следующие сведения:

      наименование аудируемого события;

      имя пользователя, инициировавшего аудируемое событие;

      местоположение;

      время события.

      Администрирование обеспечивает:

      1) регистрацию, изменение и блокировку пользователей в системе;

      2) администрирование системы;

      3) управление правами доступа пользователей к функциям системы;

      4) автоматизацию контроля над сложностью пароля;

      5) контроль активных подключений пользователей к базе данных системы;

      6) настройку параметров функционирования системы.

      6. Предоставление доступа к автоматизированной информационной системе единого накопительного пенсионного фонда и добровольного накопительного пенсионного фонда определяется внутренними документами единого накопительного пенсионного фонда и добровольного накопительного пенсионного фонда.

      7. При осуществлении пенсионных выплат за счет обязательных пенсионных взносов, обязательных профессиональных пенсионных взносов, добровольных пенсионных взносов, обязательных пенсионных взносов работодателя обеспечивается выполнение следующих функций:

      1) расчет сумм пенсионных выплат за счет обязательных пенсионных взносов, обязательных профессиональных пенсионных взносов, добровольных пенсионных взносов, обязательных пенсионных взносов работодателя по каждому получателю пенсионных выплат за счет обязательных пенсионных взносов, обязательных профессиональных пенсионных взносов, добровольных пенсионных взносов, обязательных пенсионных взносов работодателя;

      2) удержание подоходного налога с причитающейся суммы пенсионных выплат за счет обязательных пенсионных взносов, обязательных профессиональных пенсионных взносов, добровольных пенсионных взносов в соответствии с Кодексом Республики Казахстан "О налогах и других обязательных платежах в бюджет (Налоговый кодекс)";

      3) прогнозирование пенсионных выплат за счет обязательных пенсионных взносов, обязательных профессиональных пенсионных взносов, добровольных пенсионных взносов, обязательных пенсионных взносов работодателя на заданную дату и (или) на заданный промежуток времени.

      8. Допускается реализация в автоматизированных информационных системах дополнительных функций и задач, улучшающих функциональные характеристики системы в целом.

      9. Процесс разработки, внедрения и сопровождения автоматизированной информационной системы единого накопительного пенсионного фонда и добровольного накопительного пенсионного фонда обеспечивает выполнение этапов разработки, порядка внесения изменений, приема, тестирования, ввода в эксплуатацию и сопровождение программного обеспечения системы, требований к документированию всех этапов работ.

      В целях исключения несанкционированного изменения программного обеспечения и (или) информации в автоматизированной информационной системе внесение изменений в существующий функционал, разработка нового функционала, внедрение и ввод в эксплуатацию системы осуществляются согласно корпоративной стратегии развития единого накопительного пенсионного фонда и добровольного накопительного пенсионного фонда, утвержденной решением совета директоров единого накопительного пенсионного фонда, добровольного накопительного пенсионного фонда.

Глава 3. Требования к организации информационного процесса единого накопительного пенсионного фонда и добровольного накопительного пенсионного фонда

      10. Для создания информационно-коммуникационных технологий инфраструктуры и обеспечения информационной безопасности единого накопительного пенсионного фонда и добровольного накопительного пенсионного фонда обеспечивается выполнение соответствующих требований к:

      1) серверному помещению;

      2) техническим средствам;

      3) средствам связи;

      4) рабочим местам пользователей;

      5) программным средствам.

      11. Серверное помещение единого накопительного пенсионного фонда и добровольного накопительного пенсионного фонда соответствует следующим требованиям:

      1) при расположении помещения на первых и последних этажах зданий окна помещения оборудуются металлическими решетками или аналогичными средствами защиты, предназначенными для предотвращения физического проникновения в помещение;

      2) наличие специально выделенного помещения ограниченного доступа;

      3) наличие системы контроля доступа (индивидуальный электронный пропуск) для осуществления мониторинга событий доступа в помещение в режиме реального времени и записи событий доступа в помещение в электронном журнале с возможностью получения отчета о событиях доступа в помещение. Записи событий в электронном журнале хранятся не менее 6 (шести) месяцев;

      4) наличие системы видеоконтроля (в режиме реального времени с возможностью записи видеосигналов);

      5) наличие системы охранной сигнализации;

      6) наличие системы автоматического поддержания заданной температуры и влажности, достаточной для охлаждения всего оборудования до температуры, указанной производителем, в любое время года в период максимальной загрузки;

      7) наличие пожарной сигнализации и оборудования автоматического газового пожаротушения;

      8) наличие системы гарантированного питания – щита автоматического включения резерва, дизельного генерирующего устройства, работающих от сигнала с двух источников бесперебойного питания и непрерывно поддерживающих электричество в сети чистого питания.

      При аренде помещения центра обработки данных специализированных организаций, а также необходимых технических средств необходимо соответствие требованиям, предъявляемым к собственным серверным помещениям и техническим средствам единого накопительного пенсионного фонда или добровольного накопительного пенсионного фонда.

      12. Технические средства единого накопительного пенсионного фонда и добровольного накопительного пенсионного фонда соответствуют следующим требованиям:

      1) наличие собственного аппаратного обеспечения (компьютерное оборудование, серверы, аппаратные средства защиты, комплектующие и другое оборудование), наличие документов, подтверждающих принадлежность аппаратного обеспечения единому накопительному пенсионному фонду или добровольному накопительному пенсионному фонду или аренду аппаратного обеспечения у специализированной организации;

      2) наличие сертификата соответствия, выдаваемого производителем или поставщиком на используемое оборудование.

      13. Средства связи единого накопительного пенсионного фонда и добровольного накопительного пенсионного фонда по обмену данными с банком-кастодианом, управляющим инвестиционным портфелем (при наличии), государственными органами соответствуют следующим требованиям:

      1) наличие основного канала, обеспечивающего полноценный объем передаваемой и получаемой информации;

      2) наличие резервного канала, обеспечивающего полноценный объем передаваемой и получаемой информации;

      3) наличие физически разделенных каналов от разных провайдеров.

      14. Рабочие места пользователей автоматизированной информационной системы единого накопительного пенсионного фонда и добровольного накопительного пенсионного фонда соответствуют следующим требованиям:

      1) средства технической защиты помещения единого накопительного пенсионного фонда и добровольного накопительного пенсионного фонда исключают возможность неконтролируемого проникновения в это помещение лиц, не допущенных к рабочему месту. Допуск в помещение и к рабочему месту осуществляется в соответствии с регламентом и должностными обязанностями сотрудников единого накопительного пенсионного фонда и добровольного накопительного пенсионного фонда;

      2) все аппаратные средства имеют гарантийный срок (гарантийный талон) и (или) находятся на техническом сопровождении специализированной организации и (или) имеется возможность оперативной замены аппаратных средств в случае выхода их из строя;

      3) порядок доступа к рабочему месту пользователя посредством сети и иных технических каналов передачи данных исключает возможность несанкционированного доступа;

      4) порядок доступа к ресурсам (сетевое (серверное) оборудование, дисковое пространство, директории, сетевые ресурсы, базы данных), выделенным для накопления в них информации для передачи в рамках обмена информации, хранения, архивирования либо другой обработки информации, исключает возможность доступа к этим ресурсам лиц, не допущенных к работе с ними;

      5) рабочее место пользователя размещается в локальной сети (LAN);

      6) доступ к портам считывания (записи или копирования) информации компьютера пользователя отключен, в том числе и в настройках базовой системы ввода-вывода;

      7) системный блок персонального компьютера пользователя опечатывается или опломбировывается администратором безопасности;

      8) права по установлению и изменению настроек средств защиты от несанкционированного доступа рабочего места пользователя предоставляются только пользователям, выполняющим функции администратора;

      9) одно системное имя пользователя, по которому идентифицируется пользователь, соответствует одному физическому лицу;

      10) порядок хранения и использования технических средств, паролей или другой информации, обеспечивающих доступ к рабочему месту пользователя, исключает возможность их несанкционированного использования;

      11) доступ к сетевым ресурсам для рабочего места пользователя ограничивается в пределах защищенной подсети автоматизированной информационной системы;

      12) при наличии у пользователя резервного рабочего места условия и требования, установленные Требованиями, также распространяются и на такое рабочее место.

      15. Программные средства, используемые на рабочих местах пользователей, соответствуют следующим требованиям:

      1) используется только лицензионное программное обеспечение;

      2) на рабочем месте пользователя не допускается установка программных средств, которые не требуются для исполнения его должностных обязанностей;

      3) наличие на рабочем месте пользователя программных средств, позволяющих обеспечить идентификацию и аутентификацию пользователей;

      4) на рабочем месте пользователя устанавливается лицензионное антивирусное программное обеспечение с регулярно обновляемой антивирусной базой;

      5) возможность ведения электронных журналов в течение срока хранения электронных документов с целью контроля событий, связанных с доступом к компьютеру и действиями пользователей;

      6) программное обеспечение устанавливается на персональном компьютере, имеющем паспорт (описание рабочего места с подробными данными о его конфигурации, а также установленные на данном рабочем месте аппаратные и программные средства);

      7) паспорт, указанный в подпункте 6) настоящего пункта, оформляется согласно внутренним документам единого накопительного пенсионного фонда и добровольного накопительного пенсионного фонда и хранится у администратора безопасности.

Глава 4. Требования к обеспечению информационной безопасности автоматизированной информационной системы единого накопительного пенсионного фонда и добровольного накопительного пенсионного фонда

      16. В целях обеспечения информационной безопасности автоматизированной информационной системы единого накопительного пенсионного фонда и добровольного накопительного пенсионного фонда единый накопительный пенсионный фонд и добровольный накопительный пенсионный фонд обеспечивают создание системы управления информационной безопасностью.

      17. Система управления информационной безопасностью обеспечивает защиту информационных активов единого накопительного пенсионного фонда и добровольного накопительного пенсионного фонда, предусматривающую минимальный уровень потенциального ущерба для бизнес-процессов.

      18. Единый накопительный пенсионный фонд и добровольный накопительный пенсионный фонд обеспечивают надлежащий уровень системы управления информационной безопасностью, ее развитие и улучшение.

      19. Документация по обеспечению информационной безопасности единого накопительного пенсионного фонда и добровольного накопительного пенсионного фонда включает:

      1) политику информационной безопасности;

      2) перечень информации, подлежащей защите и включающий, в том числе информацию о сведениях, составляющих служебную, коммерческую или иную охраняемую законом тайну (далее – защищаемая информация);

      3) порядок работы с защищаемой информацией;

      4) перечень информационных систем, обрабатывающих защищаемую информацию;

      5) порядок управления доступом к информационным системам, обрабатывающим защищаемую информацию;

      6) порядок резервного копирования, хранения, восстановления, тестирования работоспособности резервных копий информационных систем, обрабатывающих защищаемую информацию;

      7) порядок обеспечения антивирусной защиты информационной инфраструктуры единого накопительного пенсионного фонда и добровольного накопительного пенсионного фонда;

      8) перечень разрешенного к использованию в едином накопительном пенсионном фонде и добровольном накопительном пенсионном фонде программного обеспечения;

      9) периодичность и правила мониторинга отдельно или серийно возникающих событий в работе информационно-коммуникационной инфраструктуры или отдельных ее объектов, включая системы информационной безопасности, свидетельствующих о нарушении принятых мер обеспечения информационной безопасности либо о прежде неизвестной ситуации, которая имеет отношение к информационной безопасности (далее - события информационной безопасности);

      10) перечень событий информационной безопасности, подлежащих мониторингу;

      11) перечень источников событий информационной безопасности;

      12) порядок обработки отдельно или серийно возникающих сбоев в работе информационно-коммуникационной инфраструктуры или отдельных ее объектов, создающих угрозу их надлежащему функционированию и (или) условия для незаконного получения, копирования, распространения, модификации, уничтожения или блокирования защищаемой информации (далее - инциденты информационной безопасности);

      13) порядок отнесения событий информационной безопасности к инцидентам информационной безопасности;

      14) порядок доступа лиц, не являющихся работниками единого накопительного пенсионного фонда и добровольного накопительного пенсионного фонда, к информационным системам, обрабатывающим защищаемую информацию;

      15) порядок защиты информации при использовании Интернета и электронной почты;

      16) порядок управления обновлениями информационных систем.

      20. Политика информационной безопасности определяет:

      1) цели, задачи и основные принципы построения системы управления информационной безопасностью;

      2) область действия системы управления информационной безопасностью;

      3) требования к управлению доступом к создаваемой, хранимой и обрабатываемой информации в информационных активах единого накопительного пенсионного фонда и добровольного накопительного пенсионного фонда;

      4) требования к осуществлению мониторинга деятельности по обеспечению информационной безопасности;

      5) ответственность работников единого накопительного пенсионного фонда и добровольного накопительного пенсионного фонда за обеспечение информационной безопасности при исполнении возложенных на них функциональных обязанностей.

      21. Доступ к информации в автоматизированной информационной системе предоставляется работникам единого накопительного пенсионного фонда и добровольного накопительного пенсионного фонда в объеме, необходимом для исполнения их функциональных обязанностей.

      22. Предоставление доступа к автоматизированной информационной системе единого накопительного пенсионного фонда и добровольного накопительного пенсионного фонда производится путем формирования и внедрения ролей для обеспечения соответствия прав доступа пользователей автоматизированной информационной системы их функциональным обязанностям. Совокупность таких ролей представляет собой матрицу доступа к автоматизированной информационной системе, которая формируется в электронной форме или на бумажном носителе.

      23. Доступ к автоматизированной информационной системе осуществляется путем идентификации и аутентификации пользователей автоматизированной информационной системы.

      Идентификация и аутентификация пользователей автоматизированной информационной системы производится посредством ввода пары "учетная запись (идентификатор) – пароль" и (или) биометрической и (или) криптографической и (или) аппаратной аутентификации.

      24. В автоматизированной информационной системе используются только персонализированные пользовательские учетные записи.

      25. Использование технологических учетных записей осуществляется в соответствии с перечнем таких учетных записей для автоматизированной информационной системы с указанием лиц, персонально ответственных за их использование и актуальность.

      26. В автоматизированной информационной системе применяются функции по управлению учетными записями и паролями, а также блокировке учетных записей пользователей, определяемые внутренним документом единого накопительного пенсионного фонда и добровольного накопительного пенсионного фонда.

      27. В автоматизированной информационной системе применяются следующие параметры функции по управлению паролями и блокировками учетных записей пользователей:

      1) минимальная длина пароля – значение данного параметра составляет не менее 8 (восьми) символов. Проверка пароля на соответствие данному параметру производится при каждой смене пароля, в случае несоответствия – выдается уведомление пользователю;

      2) сложность пароля – возможность проверки наличия в пароле как минимум 3 (трех) групп символов: строчных букв, заглавных букв, цифровых значений, специальных символов. Проверка пароля на соответствие данному параметру производится при каждой смене пароля, в случае несоответствия – выдается уведомление пользователю;

      3) история пароля – новый пароль не повторяет как минимум 7 (семь) предыдущих паролей. Проверка пароля на соответствие данному параметру производится при каждой смене пароля, в случае несоответствия выдается уведомление пользователю;

      4) минимальный срок действия пароля – 1 (один) рабочий день;

      5) максимальный срок действия пароля – не более 60 (шестидесяти) календарных дней. Проверка пароля на соответствие данному параметру производится при каждом входе в автоматизированную информационную систему и смене пароля. По истечении максимального срока действия пароля автоматизированная информационная система блокирует доступ и требует обязательную смену пароля;

      6) при первом входе в автоматизированную информационную систему либо после смены пароля администратором, автоматизированная информационная система запрашивает у пользователя смену пароля с невозможностью отклонить данную процедуру. Данное правило превалирует над правилом о сроке действия пароля;

      7) при отсутствии активности пользователя в автоматизированной информационной системе более 30 (тридцати) календарных дней его учетная запись автоматически блокируется;

      8) при последовательном пятикратном вводе неправильного пароля учетная запись пользователя временно блокируется;

      9) при неактивности пользователя более 30 (тридцати) минут автоматизированная информационная система автоматически завершает сеанс работы пользователя либо блокирует рабочую станцию или ноутбук с возможностью разблокировки только при вводе аутентификационных данных пользователя.

      28. Уничтожение защищаемой информации производится методами, исключающими ее восстановление, с использованием любого из следующих методов уничтожения информации в зависимости от типа носителя:

      1) физическое уничтожение носителя информации;

      2) электромагнитное воздействие на носитель информации (для магнитных носителей);

      3) программное уничтожение электронной информации специализированными программными средствами.

      29. В едином накопительном пенсионном фонде и добровольном накопительном пенсионном фонде обеспечивается синхронизация системного времени автоматизированной информационной системы с централизованным источником эталонного времени.

      30. Разработка и доработка автоматизированной информационной системы не осуществляется в среде промышленной эксплуатации.

      31. Работники, осуществляющие разработку автоматизированной информационной системы, не имеют полномочий на перенос изменений автоматизированной информационной системы в промышленную среду, а также административный доступ к автоматизированной информационной системе в промышленной среде.

      32. Перед вводом в промышленную эксплуатацию автоматизированной информационной системы в ней изменяются настройки безопасности, установленные по умолчанию, на настройки, соответствующие требованиям к информационной безопасности. Указанные настройки включают замену паролей, используемых при тестировании, а также удаление всех тестовых учетных записей.

      33. Контроль использования привилегированных учетных записей обеспечивается путем:

      1) составления и утверждения перечня администраторов автоматизированной информационной системы (операционная система, система управления базами данных, приложение);

      2) введения двойного контроля при исполнении функций администрирования автоматизированной информационной системы и (или) внедрения специальных комплексов контроля использования привилегированных учетных записей.

      34. Защищенный депозитарий программного обеспечения, в котором хранятся эталонные исходные коды (при наличии) и исполняемые модули автоматизированных информационных систем, ведется в виде, обеспечивающем возможность своевременного восстановления работоспособности исполняемых модулей, автоматизированных информационных систем.

      35. Автоматизированная информационная система обеспечивается технической поддержкой, в состав которой входят услуги по предоставлению обновлений автоматизированной информационной системы, в том числе обновлений безопасности.

      36. В едином накопительном пенсионном фонде и добровольном накопительном пенсионном фонде обеспечивается ведение и неизменность аудиторского следа автоматизированной информационной системы, как на организационном, так и на техническом уровне.

      37. В автоматизированной информационной системе используется функция ведения аудиторского следа, которая отражает следующее:

      1) события установления соединений, идентификации, аутентификации и авторизации в автоматизированной информационной системе (успешные и неуспешные);

      2) события модификации настроек безопасности;

      3) события модификации групп пользователей и их полномочий;

      4) события модификации учетных записей пользователей и их полномочий;

      5) события, отражающие установку обновлений и (или) изменений в автоматизированной информационной системе;

      6) события изменения параметров аудита;

      7) события изменений системных параметров.

      38. Формат аудиторского следа включает следующую информацию:

      1) идентификатор (логин) пользователя, совершившего действие;

      2) дата и время совершения действия;

      3) наименование рабочей станции пользователя и (или) IP (АЙПИ) адрес, с которого совершено действие;

      4) название объектов, с которыми проводилось действие;

      5) тип или название совершенного действия;

      6) результат действия (успешно или не успешно).

      39. Срок хранения аудиторского следа составляет не менее 3 (трех) месяцев в оперативном доступе и не менее 5 (пяти) лет в архивном доступе.

      40. Для защиты автоматизированной информационной системы используется лицензионное антивирусное программное обеспечение или системы, обеспечивающие целостность и неизменность программной среды на рабочих станциях, ноутбуках и мобильных устройствах.

      41. Используемое антивирусное программное обеспечение соответствует следующим требованиям:

      1) обнаружение вирусов на основе известных сигнатур;

      2) обнаружение вирусов на основе эвристического анализа (поиска характерных для вирусов команд и поведенческого анализа);

      3) сканирование сменных носителей при подключении;

      4) запуск сканирования и обновления антивирусной базы по расписанию;

      5) наличие централизованной консоли администрирования и мониторинга;

      6) блокирование для пользователя возможности прерывания функционирования антивирусного программного обеспечения, а также процессов обновления антивирусного программного обеспечения и плановой проверки на отсутствие вирусов;

      7) для виртуальных сред – использование антивирусным программным обеспечением встроенных функций безопасности виртуальных сред (балансировка нагрузки, централизованная установка и проверка на уровне гипервизора и другие функции), при отсутствии таких возможностей – подтверждение производителя о тестировании антивирусного программного обеспечения в виртуальных средах, используемых в едином накопительном пенсионном фонде и добровольном накопительном пенсионном фонде;

      8) для мобильных устройств и иных устройств, используемых вне периметра защиты единого накопительного пенсионного фонда и добровольного накопительного пенсионного фонда, использование антивирусного программного обеспечения со встроенной функцией межсетевого экранирования.

      42. При использовании систем, обеспечивающих целостность и неизменность программной среды, минимальными требованиями являются:

      1) наличие лицензионного программного обеспечения, предусматривающего обновление и техническую поддержку;

      2) наличие централизованной консоли администрирования и мониторинга;

      3) наличие возможности блокирования для конечного пользователя возможности прерывания функционирования данной системы;

      4) наличие возможности проверки образа программной среды антивирусным программным обеспечением перед установкой на конечные устройства;

      5) наличие межсетевого экрана для мобильных устройств и иных устройств, используемых вне периметра защиты.

      43. Антивирусное программное обеспечение максимально исключает прерывание пользователем всех служебных процессов (сканирование по расписанию, обновление и другие процессы). Обновление антивирусного программного обеспечения производится не реже 1 (одного) раза в сутки, полное сканирование устройства – не реже 1 (одного) раза в неделю.

      44. В едином накопительном пенсионном фонде и добровольном накопительном пенсионном фонде обеспечивается своевременная установка обновлений безопасности автоматизированной информационной системы.

      45. Обновления безопасности автоматизированной информационной системы, устраняющие критичные уязвимости, устанавливаются не позднее 1 (одного месяца) со дня их публикации и распространения производителем.

      46. Обновления автоматизированной информационной системы до установки в промышленную среду проходят испытания в тестовой среде.

      47. В целях обеспечения непрерывности функционирования автоматизированной информационной системы во внутренних документах определяются:

      1) допустимые сроки простоя автоматизированной информационной системы;

      2) план восстановления автоматизированной информационной системы.

      48. При наличии резервного центра во внутренних документах единого накопительного пенсионного фонда и добровольного накопительного пенсионного фонда отражается:

      1) местонахождение резервного центра;

      2) перечень бизнес-процессов, технических, программных или других средств, обеспечивающих работу автоматизированной информационной системы;

      3) порядок восстановления работы автоматизированной информационной системы в резервном центре;

      4) критерии, позволяющие принять решение о завершении работы в резервном центре, порядок принятия такого решения, а также порядок возврата в штатный режим функционирования в основном центре;

      5) порядок проведения, периодичность и сценарии тестирования функционирования резервного центра.

      49. В целях проверки готовности процессов восстановления деятельности автоматизированной информационной системы не менее 1 (одного) раза в год проводится тестирование восстановления автоматизированной информационной системы в соответствии с планом восстановления (далее – тестирование планов восстановления).

      Тестирование плана восстановления проводится по разработанной и утвержденной единым накопительным пенсионным фондом и добровольным накопительным пенсионным фондом программе, предусматривающей описание сценария возникновения нештатной ситуации, восстанавливаемых рабочих процессов, действий команды восстановления, требований по срокам и месту проведения работ.

      50. По итогам тестирования плана восстановления подготавливается документ о результатах тестирования (протокол) с указанием:

      1) перечня функционала автоматизированной информационной системы, по которому проведено тестирование;

      2) времени, затраченного на восстановление работы автоматизированной информационной системы;

      3) выявленных недостатков плана восстановления и предложений по их устранению.

  Приложение 2 к постановлению
Правления Агентства
Республики Казахстан
по регулированию и развитию
финансового рынка
от 26 июня 2023 года № 60

Перечень нормативного правового акта Республики Казахстан, а также отдельных структурных элементов некоторых нормативных правовых актов Республики Казахстан, которые признаются утратившими силу

      1. Постановление Правления Национального Банка Республики Казахстан от 27 августа 2013 года № 218 "Об утверждении Требований к автоматизированным информационным системам для учета пенсионных активов и накоплений" (зарегистрировано в Реестре государственной регистрации нормативных правовых актов под № 8801).

      2. Пункт 2 Перечня нормативных правовых актов Республики Казахстан по вопросам пенсионного обеспечения, в которые вносятся изменения и дополнения, утвержденного постановлением Правления Национального Банка Республики Казахстан от 28 ноября 2015 года № 209 "О внесении изменений и дополнений в некоторые нормативные правовые акты Республики Казахстан по вопросам пенсионного обеспечения" (зарегистрировано в Реестре государственной регистрации нормативных правовых актов под № 12529).

      3. Пункт 2 Перечня нормативных правовых актов Республики Казахстан по вопросам пенсионного обеспечения, в которые вносятся изменения и дополнение, утвержденного постановлением Правления Национального Банка Республики Казахстан от 22 декабря 2017 года № 254 "О внесении изменений и дополнения в некоторые нормативные правовые акты Республики Казахстан по вопросам пенсионного обеспечения" (зарегистрировано в Реестре государственной регистрации нормативных правовых актов под № 16246).

      4. Пункт 3 Перечня нормативных правовых актов Республики Казахстан по вопросам пенсионного обеспечения, в которые вносятся изменения, утвержденного постановлением Правления Национального Банка Республики Казахстан от 28 июня 2019 года № 103 "О внесении изменений в некоторые нормативные правовые акты Республики Казахстан по вопросам пенсионного обеспечения" (зарегистрировано в Реестре государственной регистрации нормативных правовых актов под № 18995).

Зейнетақы активтері мен жинақтарын есепке алу үшін автоматтандырылған ақпараттық жүйелерге қойылатын талаптарды бекіту туралы

Қазақстан Республикасы Қаржы нарығын реттеу және дамыту агенттігі Басқармасының 2023 жылғы 26 маусымдағы № 60 қаулысы. Қазақстан Республикасының Әділет министрлігінде 2023 жылғы 1 шiлдеде № 33017 болып тіркелді

      ЗҚАИ-ның ескертпесі!
      Осы қаулы 01.07.2023 бастап қолданысқа енгізіледі

      Қазақстан Республикасының Әлеуметтік кодексі 57-бабының 5-тармағына сәйкес Қазақстан Республикасы Қаржы нарығын реттеу және дамыту агенттігінің Басқармасы ҚАУЛЫ ЕТЕДІ:

      1. Осы қаулыға 1-қосымшаға сәйкес Зейнетақы активтері мен жинақтарын есепке алу үшін автоматтандырылған ақпараттық жүйелерге қойылатын талаптар бекітілсін.

      2. Осы қаулыға 2-қосымшаға сәйкес тізбе бойынша Қазақстан Республикасының нормативтік құқықтық актісінің, сондай-ақ Қазақстан Республикасының кейбір нормативтік құқықтық актілерінің жекелеген құрылымдық элементтерінің күші жойылды деп танылсын.

      3. Бағалы қағаздар нарығы департаменті Қазақстан Республикасының заңнамасында белгіленген тәртіппен:

      1) Заң департаментімен бірлесіп осы қаулыны Қазақстан Республикасының Әділет министрлігінде мемлекеттік тіркеуді;

      2) осы қаулыны ресми жарияланғаннан кейін Қазақстан Республикасы Қаржы нарығын реттеу және дамыту агенттігінің ресми интернет-ресурсына орналастыруды;

      3) осы қаулы мемлекеттік тіркелгеннен кейін он жұмыс күні ішінде Заң департаментіне осы тармақтың 2) тармақшасында көзделген іс-шараның орындалуы туралы мәліметтерді ұсынуды қамтамасыз етсін.

      4. Осы қаулының орындалуын бақылау Қазақстан Республикасының Қаржы нарығын реттеу және дамыту агенттігі Төрағасының жетекшілік ететін орынбасарына жүктелсін.

      5. Осы қаулы 2023 жылғы 1 шілдеден бастап қолданысқа енгізіледі және ресми жариялануға тиіс.

      Қазақстан Республикасының
Қаржы нарығын реттеу және
дамыту Агенттігінің Төрағасы
М. Абылкасымова

  Қазақстан Республикасының
Қаржы нарығын реттеу және
дамыту Агенттігінің
Басқармасының
2023 жылғы 26 маусымдағы
№ 60 Қаулыға
1-қосымша

Зейнетақы активтері мен жинақтарын есепке алу үшін автоматтандырылған ақпараттық жүйелерге қойылатын талаптар

1-тарау. Жалпы ережелер

      1. Осы зейнетақы активтері мен жинақтарын есепке алу үшін автоматтандырылған ақпараттық жүйелерге қойылатын талаптар (бұдан әрі – Талаптар) Қазақстан Республикасының Әлеуметтік кодексі (бұдан әрі – Әлеуметтік кодекс) 57-бабының 5-тармағына сәйкес әзірленді және зейнетақы активтері мен жинақтарын есепке алу үшін бірыңғай жинақтаушы зейнетақы қорының және ерікті жинақтаушы зейнетақы қорының автоматтандырылған ақпараттық жүйелеріне қойылатын талаптарды белгілейді.

      2. Талаптарда мынадай ұғымдар пайдаланылады:

      1) автоматтандырылған ақпараттық жүйелер – ақпараттық өзара іс-қимыл арқылы белгілі бір технологиялық әрекеттерді іске асыратын және нақты функционалдық міндеттерді шешуге арналған ақпараттық-коммуникациялық технологиялардың, қызмет көрсететін қызметкерлердің және техникалық құжаттаманың ұйымдастырушылық-реттелген жиынтығы;

      2) автоматтандырылған ақпарат жүйелерінің әкімшісі (бұдан әрі – әкімші) – бірыңғай жинақтаушы зейнетақы қорының немесе ерікті жинақтаушы зейнетақы қорының автоматтандырылған ақпараттық жүйенің техникалық құралдарының жұмыс жасауын, оларды теңшеуді, қолдауды және оған қызмет көрсетуді қамтамасыз ететін және аппараттық-бағдарламалық құралдардың көмегімен ақпараттық процеске қатысатын қызметкері;

      3) ақпаратты (деректерді, бағдарламалық қамтылымды, ақпараттық хабарларды) жария ету – ақпаратқа рұқсатсыз кіру рұқсатын алу және алынған мәліметтердің жария болуы нәтижесінде болған іс-әрекет;

      4) ақпаратты қорғау – ақпараттандыру саласындағы ақпараттық қауіпсіздікті (бұдан әрі – ақпараттық қауіпсіздік) қамтамасыз ететін іс-шаралар кешені;

      5) аутентификаттау – кіру субъектісінің немесе объектісінің түпнұсқалығын көрсетілген кіру деректемелерінің жүйедегі деректемелерге сәйкестігін анықтау арқылы растау;

      6) зиянды бағдарламалық қамтылым – ақпараттық жүйелерге және ақпараттық ресурстарға зиян келтіру мақсатында құрылған бағдарламалық қамтылым;

      7) идентификатор – жүйе субъектісіне және (немесе) объектісіне берілген және жүйеге және (немесе) жүйе ресурстарына кіруді реттеуге арналған бірегей дербес код немесе ат;

      8) идентификаттау – жүйеге және (немесе) идентификаттау жүйесінің ресурсына кіру рұқсатын алу үшін ұсынылған жүйеде бар идентификаттау тізбесінің сәйкестігін беру немесе анықтау;

      9) қауіпсіздік әкімшісі – бірыңғай жинақтаушы зейнетақы қорының немесе ерікті жинақтаушы зейнетақы қорының ақпараттық жүйелерді, техникалық құралдарды қорғау бойынша іс-шараларды жүзеге асыруды, сондай-ақ қауіпсіздік саясаты шеңберінде жүйені қолдауды қамтамасыз ететін қызметкері;

      10) қауіпсіздік жүйесі – ұйымдастыру шараларының және ақпаратты қорғаудың бағдарламалық-техникалық құралдарының кешені;

      11) қауіпсіздік саясаты – ақпараттық қауіпсіздік саласындағы жұмыстың жалпы бағыттарын және автоматтандырылған ақпараттық жүйені қорғауға қойылатын талаптарды айқындайтын, таратылуы шектеулі ақпаратты басқаруды, қорғауды және бөлуді реттейтін нормалар мен практикалық тәсілдер;

      12) мамандандырылған ұйым – телекоммуникациялық қызметтерді және деректерді сақтау және өңдеу қызметін ұсынатын ұйым;

      13) серверлік үй-жай – серверлік, жұмыс істейтін және жұмыс істемейтін желілік жабдықтың (телекоммуникациялық) және құрылымдық кабельдік жүйелердің серверлік орналасуына арналған үй-жай.

2-тарау. Зейнетақы активтері мен жинақтарын есепке алуға арналған автоматтандырылған ақпараттық жүйелеріне қойылатын талаптар

      3. Бірыңғай жинақтаушы зейнетақы қорының және ерікті жинақтаушы зейнетақы қорының зейнетақы активтері мен жинақтарын есепке алуға арналған автоматтандырылған ақпараттық жүйелері:

      1) мынадай:

      кез келген уақытта электр қуаты толық немесе ішінара ажырағанда;

      желілерде, телекоммуникацияларда апат болғанда, операцияларды орындаудың кез келген сатысында орнатылған табиғи және виртуалды қосылыстар ажырағанда;

      бағдарламалық қамтылымның кез келген функциясын орындау процесінде бағдарламалық қамтылымның кез келген есептеу құралдары толық немесе ішінара тоқтап қалғанда;

      автоматтандырылған ақпарат жүйелерінде сақталатын ақпаратқа рұқсатсыз қол жеткізуге әрекеттенген кезде ақпараттың сенімді сақталуын, рұқсатсыз қол жеткізуден қорғауды, бағдарламалық қамтылымның тұтастығын және электронды архивтер мен дерекқорлардағы ақпараттың толық сақталуын;

      2) әкімші және пайдаланушы түрінде қол жеткізудің кемінде екі деңгейін қамтамасыз ете отырып, автоматтандырылған ақпарат жүйелерінде іске асырылған деректерге, функцияларға, операцияларға, есептерге көп деңгейлі қол жеткізуді;

      3) енгізілген деректердің толықтығын бақылауды (барлық жолдарды толық толтырмай функцияларды немесе операцияларды орындаған кезде автоматтандырылған ақпарат жүйесі тиісті хабарламаны беруді қамтамасыз етеді);

      4) жеке сұрату бойынша және кез келген өлшемшарттар бойынша ақпарат іздеуді, сондай-ақ кез келген өлшемдер бойынша ақпарат іріктеу және алдыңғы күндердегі ақпаратты қарау мүмкіндігін;

      5) ақпаратты күндер бойынша қысқартусыз өңдеуді және сақтауды;

      6) архивтеу мүмкіндігін (деректерді архивтен қалпына келтіру);

      7) келіп түсетін және жіберілетін құжаттарды экранға, принтерге немесе файлға шығару мүмкіндігін қамтамасыз етеді.

      4. Бірыңғай жинақтаушы зейнетақы қорының автоматтандырылған ақпараттық жүйесі мынадай функционалдық модульдерді қамтиды:

      1) зейнетақы жинақтарын және шартты зейнетақы міндеттемелерін дербес есепке алу;

      2) есептілікті қалыптастыру;

      3) сыртқы пайдаланушылармен өзара іс-қимыл;

      4) ішкі аудит;

      5) әкімшілендіру;

      6) анықтамалық ақпаратты жүргізу (оның ішінде Excel бағдарламасына түсіру арқылы).

      Зейнетақы жинақтарын және шартты зейнетақы міндеттемелерін дербес есепке алу мыналарды қамтамасыз етеді:

      1) мына:

      міндетті зейнетақы жарналары салымшыларының (алушыларының), міндетті кәсіптік зейнетақы жарналары, ерікті зейнетақы жарналары аударылған жеке тұлғалардың (міндетті кәсіптік зейнетақы жарналарын, ерікті зейнетақы жарналарын алушылардың) (бұдан әрі – салымшылар (алушылар) жеке зейнетақы шоттарымен;

      жұмыс берушінің міндетті зейнетақы жарналары аударылған жеке тұлғалардың шартты зейнетақы шоттарымен операциялардың бухгалтерлік есебін жүргізу;

      2) салымшылардың (алушылардың) жеке зейнетақы шоттарына және жеке тұлғалардың шартты зейнетақы шоттарына түсетін зейнетақы жарналарын, жинақтарды, өсімпұлдарды есепке алу;

      3) инвестициялық кірісті:

      инвестициялық портфельді басқарушылар бөлігінде салымшылардың (алушылардың) жеке зейнетақы шоттарында;

      жұмыс берушінің міндетті зейнетақы жарналары аударылған жеке тұлғалардың шартты зейнетақы шоттарында есепке алу;

      4) міндетті зейнетақы жарналары, міндетті кәсіптік зейнетақы жарналары, ерікті зейнетақы жарналары, жұмыс берушінің міндетті зейнетақы жарналары есебінен зейнетақы төлемдерін есепке алу;

      5) зейнетақы жинақтарының:

      басқа ерікті жинақтаушы зейнетақы қорына ерікті зейнетақы жарналары есебінен;

      сақтандыру ұйымына аударымдарын есепке алу;

      6) бірыңғай жинақтаушы зейнетақы қоры жүргізген салымшылардың (алушылардың) міндетті зейнетақы жарналары есебінен жеке зейнетақы шоттарының бірлестігі бойынша тарихты сақтай отырып, салымшылардың міндетті зейнетақы жарналары есебінен жеке зейнетақы шоттарын біріктіру;

      7) салымшыларды (алушыларды) бірегей деректемелер (жеке сәйкестендіру нөмірі, тегі, аты, әкесінің аты (бар болса) және басқа өлшемдер) бойынша идентификаттау;

      8) төлем құжаттарын қалыптастыру;

      9) төлем құжаттарын қалыптастырудың дұрыстығын тексеруді жүзеге асыру;

      10) "Азаматтарға арналған үкімет" мемлекеттік корпорациясымен (бұдан әрі – Корпорация) құрамы мен көлемі зейнетақы жинақтарының құпиясын сақтауды қамтамасыз етуді ескере отырып, бірыңғай жинақтаушы зейнетақы қоры және Корпорация арасында жасалған тиісті келісіммен айқындалған деректер алмасу.

      Есептілікті қалыптастыру электрондық нысандар, электрондық файлдар түрінде жүзеге асырылады және:

      1) Қазақстан Республикасы Ұлттық Банкінің белгіленген талаптарына сәйкес есептерді қалыптастыруды;

      2) есептіліктегі формааралық және формаішілік бақылауды;

      3) есептерді қарауды және басып шығаруды (оның ішінде Excel-ге айналдыру) қамтамасыз етеді.

      Сыртқы пайдаланушылармен өзара іс-қимыл:

      1) кастодиан-банкпен;

      2) инвестициялық портфельді басқарушымен (бар болса);

      3) сақтандыру ұйымдарымен;

      4) "электрондық үкімет" шлюзі немесе "электрондық үкіметтің" сыртқы шлюзі арқылы ықпалдастыру жолымен мемлекеттік органдармен электрондық ақпарат алмасуды жүзеге асыруға арналған.

      Ішкі аудит:

      1) автоматтандырылған ақпараттық жүйені пайдаланушының кіру және шығу күні мен уақытын көрсете отырып, автоматтандырылған ақпараттық жүйені пайдаланушыны аутентификаттау;

      2) бизнес-процесті, бизнес-процесті орындау нәтижесін идентификаттау сияқты атрибуттарды сақтай отырып, осы тармақтың бірінші бөлігінің 1), 2) және 3) тармақшаларында көрсетілген функционалдарда болып жатқан жүйелік оқиғаларды тіркеуге және идентификаттауға арналған.

      Ішкі аудит:

      1) жүйелік оқиғалар аудитінің электрондық журналын қарауды және файлға сақтауды;

      2) архивтік жазбаларды қалпына келтіру мүмкіндігімен автоматтандырылған ақпараттық жүйенің аудит жазбаларын архивке көшіруді;

      3) мынадай оқиғаларға аудит жүргізу мүмкіндігін:

      жазбаны қосу, өзгерту, жою;

      анықтамалықтарды жүргізу;

      пайдаланушылардың шығыс нысандарын қалыптастыру;

      4) әкімшінің осы тармақтың бірінші бөлігінің 1), 2) және 3) тармақшаларында көрсетілген функционалдарда болып жатқан оқиғаларды әрбір пайдаланушы бойынша және (немесе) тұтастай автоматтандырылған ақпараттық жүйе бойынша қадағалау мүмкіндігін;

      5) мынадай:

      аудит жүргізілетін оқиғаның атауы;

      аудит жүргізілетін оқиғаны бастаған пайдаланушының аты;

      орналасқан жері;

      оқиға уақыты сияқты мәліметтерді қамтитын тіркеу журналдарындағы оқиғаларды тіркеуді қамтамасыз етеді.

      Әкімшілендіру:

      1) жүйеде пайдаланушыларды тіркеуді, өзгертуді және бұғаттауды;

      2) жүйені әкімшілендіруді;

      3) пайдаланушылардың жүйе функцияларына қол жеткізу құқықтарын басқаруды;

      4) құпиясөздің күрделілігін бақылауды автоматтандыруды;

      5) пайдаланушылардың жүйенің дерекқорына белсенді қосылуын бақылауды;

      6) жүйенің жұмыс істеу өлшемдерін реттеуді қамтамасыз етеді.

      5. Ерікті жинақтаушы зейнетақы қорының автоматтандырылған ақпараттық жүйесі функционалдың мынадай тізбесін қамтиды:

      1) ерікті жинақтаушы зейнетақы қорының зейнетақы жинақтарын дербес есепке алу;

      2) есептілікті қалыптастыру;

      3) сыртқы пайдаланушылармен өзара іс-қимыл;

      4) ішкі аудит;

      5) әкімшілендіру;

      6) анықтамалық ақпаратты жүргізу (Excel бағдарламасына түсірумен).

      Ерікті жинақтаушы зейнетақы қорының зейнетақы жинақтарын дербес есепке алу мыналарды қамтамасыз етеді:

      1) мына:

      ерікті зейнетақы жарналары есебінен зейнетақымен қамсыздандыру туралы шарттарды;

      ерікті зейнетақы жарналары салымшыларының (алушыларының) жеке зейнетақы шоттарына түсетін зейнетақы жарналарын, жинақтарын, өсімпұлдарды;

      ерікті зейнетақы жарналары салымшыларының (алушыларының) жеке зейнетақы шоттарындағы инвестициялық кірісті;

      ерікті зейнетақы жарналары есебінен төленетін зейнетақы төлемдерін;

      ерікті зейнетақы жарналары есебінен зейнетақы жинақтарын бірыңғай жинақтаушы зейнетақы қорына, басқа ерікті жинақтаушы зейнетақы қорына немесе сақтандыру ұйымына аударымдарды дербес есепке алуды жүргізу;

      2) ерікті зейнетақы жарналары салымшыларының (алушыларының) жеке зейнетақы шоттарымен операциялардың бухгалтерлік есебін жүргізу;

      3) төлем құжаттарын қалыптастыру;

      4) төлем құжаттарын қалыптастырудың дұрыстығын тексеруді жүзеге асыру;

      5) ерікті зейнетақы жарналарының салымшыларын (алушыларын) бірегей деректемелер (шарттың нөмірі, жеке сәйкестендіру нөмірі, тегі, аты, әкесінің аты (бар болса) және басқа да өлшемдер бойынша) бойынша идентификаттау.

      Есептілікті қалыптастыру электрондық нысандар, электрондық файлдар түрінде жүзеге асырылады және:

      1) Қазақстан Республикасы Ұлттық Банкінің белгіленген талаптарына сәйкес есептерді қалыптастыруды;

      2) есептіліктегі формааралық және формаішілік бақылауды;

      3) есептерді қарауды және басып шығаруды (оның ішінде Excel-ге айналдыру) қамтамасыз етеді.

      Сыртқы пайдаланушылармен өзара іс-қимыл:

      1) кастодиан-банкпен;

      2) инвестициялық портфельді басқарушымен (бар болса);

      3) сақтандыру ұйымдарымен;

      4) "электрондық үкімет" шлюзі немесе "электрондық үкіметтің" сыртқы шлюзі арқылы ықпалдастыру жолымен мемлекеттік органдармен электрондық ақпараттық алмасуды жүзеге асыруға арналған.

      Ішкі аудит мынадай атрибуттарды сақтай отырып, осы тармақтың бірінші бөлігінің 1), 2) және 3) тармақшаларында көрсетілген функционалдарда болып жатқан жүйелік оқиғаларды тіркеуге және идентификаттауға арналған:

      1) автоматтандырылған ақпараттық жүйені пайдаланушының кіру және шығу күні мен уақытын көрсете отырып, автоматтандырылған ақпараттық жүйені пайдаланушыны аутентификаттау;

      2) бизнес-процесті, бизнес-процесті орындау нәтижесін идентификаттау.

      Ішкі аудит:

      1) жүйелік оқиғалар аудитінің электрондық журналын қарауды және файлға сақтауды;

      2) архивтік жазбаларды қалпына келтіру мүмкіндігімен автоматтандырылған ақпараттық жүйенің аудит жазбаларын архивке көшіруді;

      3) мынадай оқиғаларға аудит жүргізу мүмкіндігін:

      жазбаны қосу, өзгерту, жою;

      анықтамалықтарды жүргізу;

      пайдаланушылардың шығыс нысандарын қалыптастыру;

      4) әкімшінің осы тармақтың бірінші бөлігінің 1), 2) және 3) тармақшаларында көрсетілген функционалдарда болып жатқан оқиғаларды әрбір пайдаланушы бойынша және (немесе) тұтастай автоматтандырылған ақпараттық жүйе бойынша қадағалау мүмкіндігін;

      5) мынадай:

      аудит жүргізілетін оқиғаның атауы;

      аудит жүргізілетін оқиғаны бастаған пайдаланушының аты;

      орналасқан жері;

      оқиға уақыты сияқты мәліметтерді қамтитын тіркеу журналдарындағы оқиғаларды тіркеуді қамтамасыз етеді.

      Әкімшілендіру:

      1) жүйеде пайдаланушыларды тіркеуді, өзгертуді және бұғаттауды;

      2) жүйені әкімшілендіруді;

      3) пайдаланушылардың жүйе функцияларына қол жеткізу құқықтарын басқаруды;

      4) құпиясөздің күрделілігін бақылауды автоматтандыруды;

      5) пайдаланушылардың жүйенің дерекқорына белсенді қосылуын бақылауды;

      6) жүйенің жұмыс істеу өлшемдерін реттеуді қамтамасыз етеді.

      6. Бірыңғай жинақтаушы зейнетақы қорының және ерікті жинақтаушы зейнетақы қорының автоматтандырылған ақпараттық жүйесіне қолжетімділікті ұсыну бірыңғай жинақтаушы зейнетақы қорының және ерікті жинақтаушы зейнетақы қорының ішкі құжаттарымен айқындалады.

      7. Міндетті зейнетақы жарналарының, міндетті кәсіби зейнетақы жарналарының, ерікті зейнетақы жарналарының, жұмыс берушінің міндетті зейнетақы жарналарының есебінен зейнетақы төлемдерін жүзеге асырған кезде:

      1) міндетті зейнетақы жарналарының, міндетті кәсіби зейнетақы жарналарының, ерікті зейнетақы жарналарының, жұмыс берушінің міндетті зейнетақы жарналарының есебінен әрбір зейнетақы төлемдерін алушы бойынша міндетті зейнетақы жарналарының, міндетті кәсіби зейнетақы жарналарының, ерікті зейнетақы жарналарының, жұмыс берушінің міндетті зейнетақы жарналарының есебінен зейнетақы төлемдерінің сомасын есептеу;

      2) "Салық және бюджетке төленетін басқа да міндетті төлемдер туралы" Қазақстан Республикасының кодексіне (Салық кодексі) сәйкес міндетті зейнетақы жарналарының, міндетті кәсіби зейнетақы жарналарының, ерікті зейнетақы жарналарының есебінен зейнетақы төлемдерінің тиесілі сомасынан табыс салығын ұстау;

      3) міндетті зейнетақы жарналарының, міндетті кәсіби зейнетақы жарналарының, ерікті зейнетақы жарналарының, жұмыс берушінің міндетті зейнетақы жарналарының есебінен берілген күнге және (немесе) берілген уақыт аралығына зейнетақы төлемдерін болжау функцияларының орындалуы қамтамасыз етіледі.

      8. Автоматтандырылған ақпараттық жүйелерде жалпы жүйенің функционалдық сипаттамаларын жақсартатын қосымша функциялар мен міндеттерді іске асыруға рұқсат беріледі.

      9. Бірыңғай жинақтаушы зейнетақы қорының және ерікті жинақтаушы зейнетақы қорының автоматтандырылған ақпарат жүйесін әзірлеу, енгізу және ілеспе қызметін көрсету процесі бағдарламалық қамтылымды әзірлеу, өзгерістер енгізу тәртібі, қабылдау, тестілеу, пайдалануға беру және ілеспе қызметін көрсету кезеңдерінің, жұмыстың барлық кезеңдерін құжаттандыруға қойылатын талаптардың орындалуын қамтамасыз етеді.

      Бағдарламалық қамтылымды және (немесе) автоматтандырылған ақпарат жүйесіндегі ақпаратты рұқсатсыз өзгертуге жол бермеу мақсатында жұмыс істейтін функционалда өзгерістер енгізу, жаңа функционалды әзірлеу, жүйені енгізу және пайдалануға беру бірыңғай жинақтаушы зейнетақы қорының, ерікті жинақтаушы зейнетақы қорының директорлар кеңесі шешімімен бекітілген бірыңғай жинақтаушы зейнетақы қорының, ерікті жинақтаушы зейнетақы қорының даму корпоративтік стратегиясына сәйкес жүзеге асырылады.

3-тарау. Бірыңғай жинақтаушы зейнетақы қорының және ерікті жинақтаушы зейнетақы қорының ақпараттық процесін ұйымдастыруға қойылатын талаптар

      10. Бірыңғай жинақтаушы зейнетақы қорының және ерікті жинақтаушы зейнетақы қорының ақпараттық-коммуникациялық технологиясы инфрақұрылымын құру және ақпарат қауіпсіздігін қамтамасыз ету үшін:

      1) серверлік үй-жайға;

      2) техникалық құралдарға;

      3) байланыс құралдарына;

      4) пайдаланушылардың жұмыс орындарына;

      5) бағдарламалық құралдарға қойылатын тиісті талаптардың орындалуы қамтамасыз етіледі.

      11. Бірыңғай жинақтаушы зейнетақы қорының және ерікті жинақтаушы зейнетақы қорының серверлік үй-жайы мынадай талаптарға сәйкес келеді:

      1) үй-жай ғимараттардың бірінші немесе соңғы қабаттарында орналасқан жағдайда үй-жайдың терезелері металл торкөздермен немесе үй-жайға біреудің кіруін болдырмау үшін ұқсас қорғау құралдарымен жабдықталады;

      2) арнайы бөлінген кіруі шектеулі үй-жайдың болуы;

      3) нақты уақыт режимінде үй-жайға кіру оқиғаларын мониторингтеуді жүзеге асыру және үй-жайға кіру оқиғалары туралы есепті алу мүмкіндігімен электрондық журналда үй-жайға кіру оқиғаларын жазу үшін кіруді бақылау жүйесінің (жеке электрондық рұқсатнама) болуы;

      4) бейнебақылау жүйесінің болуы (бейнесигналдарды жазу мүмкіндігі бар нақты уақыт режимінде);

      5) күзет сигнализациясы жүйесінің болуы;

      6) бүкіл жабдықтың өндіруші көрсеткен температураға дейін жылдың кез келген мезгілінде неғұрлым көп жүктелген кезде салқындатуға жеткілікті берілген температура мен ылғалдылықты автоматты түрде ұстап тұру жүйесінің болуы;

      7) өрт сигнализациясы жүйесінің және газбен автоматты өрт сөндіру жабдығының болуы;

      8) кепілді электр қуаты жүйесінің – екі үздіксіз электр қуаты көзінің сигналынан жұмыс істейтін және таза электр қуаты желісінде электр қуатын үздіксіз қамтамасыз ететін резервті автоматты түрде қосу қалқаны, дизельді генератор қондырғысының болуы.

      Мамандандырылған ұйымдардың деректерді өңдеу орталығының үй-жайын, сондай-ақ қажетті техникалық құралдарды жалдаған жағдайда меншікті серверлік үй-жайларға және бірыңғай жинақтаушы зейнетақы қорының немесе ерікті жинақтаушы зейнетақы қорының техникалық құралдарына қойылатын талаптарға сәйкес келуі қажет.

      12. Бірыңғай жинақтаушы зейнетақы қорының және ерікті жинақтаушы зейнетақы қорының техникалық құралдары мынадай талаптарға сәйкес келеді:

      1) меншікті аппараттық қамтамасыз етудің (компьютерлік жабдық, серверлер, аппараттық қорғау құралдары, жиынтық және басқа жабдық) болуы, аппараттық қамтамасыз етудің бірыңғай жинақтаушы зейнетақы қорына және ерікті жинақтаушы зейнетақы қорына тиістілігін немесе мамандандырылған ұйымнан жалдауды растайтын құжаттардың болуы;

      2) қолданыстағы жабдыққа өндіруші немесе өнім беруші беретін сәйкестік сертификатының болуы.

      13. Бірыңғай жинақтаушы зейнетақы қорының және ерікті жинақтаушы зейнетақы қорының кастодиан-банктермен, инвестициялық портфельді басқарушымен (бар болса), мемлекеттік органдармен деректермен алмасу бойынша байланыс құралдары мынадай талаптарға сәйкес келеді:

      1) жіберілетін және алынатын ақпараттың толық көлемін қамтамасыз ететін негізгі арнаның болуы;

      2) жіберілетін және алынатын ақпараттың толық көлемін қамтамасыз ететін резервтік арнаның болуы;

      3) нақты бөлінген арналар әр түрлі провайдерлерден болуы.

      14. Бірыңғай жинақтаушы зейнетақы қорының және ерікті жинақтаушы зейнетақы қорының автоматтандырылған ақпарат жүйесін пайдаланушылардың жұмыс орындары мынадай талаптарға сәйкес келеді:

      1) бірыңғай жинақтаушы зейнетақы қорының және ерікті жинақтаушы зейнетақы қорының үй-жайын техникалық қорғау құралдары жұмыс орнына кіруге рұқсат берілмеген тұлғалардың осы үй-жайға бақылаусыз кіру мүмкіндігін болдырмайды. Үй-жайға және жұмыс орнына кіру бірыңғай жинақтаушы зейнетақы қорының және ерікті жинақтаушы зейнетақы қорының регламентіне және қызметкерлерінің лауазымдық міндеттеріне сәйкес жүзеге асырылады;

      2) барлық аппараттық құралдарда кепілдік мерзімі (кепілдік талоны) болады және (немесе) мамандандырылған ұйым техникалық қызмет көрсетеді және (немесе) олар істен шыққан жағдайда аппараттық құралдарды жедел ауыстыру мүмкіндігі болады;

      3) пайдаланушының жұмыс орнына желі және деректерді берудің өзге техникалық арналары арқылы кіру тәртібі рұқсат берілмеген кіруге мүмкіндік бермейді;

      4) ақпарат алмасу, сақтау, архивтеу не ақпаратты басқаша өңдеу шеңберінде беру үшін ақпарат жинауға бөлінген ресурстарға (желілік (серверлік) жабдық, дискілік кеңістік, директория, желілік ресурстар, дерекқор) қол жеткізу тәртібінде олармен жұмыс істеуге рұқсат берілмеген тұлғаларға осы ресурстарға қол жеткізуге мүмкіндік берілмейді;

      5) пайдаланушының жұмыс орны жергілікті желіде (LAN) орналастырылады;

      6) пайдаланушының компьютеріндегі ақпаратты оқу (жазу немесе көшіру) порттарына ену, оның ішінде кіру-шығу базалық жүйе теңшеуінде де ажыратылады;

      7) пайдаланушының дербес компьютерінің жүйелі блогына қауіпсіздік әкімшісі мөр басады немесе пломба салады;

      8) пайдаланушының жұмыс орнына рұқсатсыз кіруден қорғау құралдарына теңшеу орнату және өзгерту құқығы әкімшінің міндетін орындайтын пайдаланушыларға ғана беріледі;

      9) ол бойынша пайдаланушыны идентификаттайтын пайдаланушының бір жүйелік аты бір жеке тұлғаға сәйкес келеді;

      10) техникалық құралдарды, пайдаланушының жұмыс орнына кіруді қамтамасыз ететін құпиясөздерді немесе басқа ақпаратты сақтау және пайдалану тәртібі оларды рұқсатсыз пайдалану мүмкіндігін бермейді;

      11) пайдаланушының жұмыс орнына арналған желілік ресурстарға кіру автоматтандырылған ақпарат жүйесінің қорғалған шағын желісі шегінде шектеледі;

      12) пайдаланушыда резервтік жұмыс орны болған жағдайда, Талаптарда белгіленген шарттар мен талаптар, сондай-ақ осындай жұмыс орнына да қолданылады.

      15. Пайдаланушылардың жұмыс орындарында пайдаланылатын бағдарламалық құралдар мынадай талаптарға сәйкес келеді:

      1) тек лицензиялық бағдарламалық қамтылым пайдаланылады;

      2) пайдаланушының жұмыс орнында оның қызметтік міндеттерін пайдалану үшін талап етілмейтін бағдарламалық құралдарды орнатуға жол берілмейді;

      3) пайдаланушының жұмыс орнында пайдаланушыларды идентификаттауды және аутентификаттауды қамтамасыз етуге мүмкіндік беретін бағдарламалық құралдардың болуы;

      4) пайдаланушының жұмыс орнында міндетті түрде үнемі жаңартылып тұратын вирусқа қарсы базасы бар лицензиялық вирусқа қарсы бағдарламалық қамтылым орнатылады;

      5) компьютерге кіруіне және пайдаланушының іс-қимылына байланысты оқиғаларды бақылау мақсатында электрондық құжаттарды сақтау мерзімінде электрондық журналдарды жүргізу мүмкіндігі;

      6) бағдарламалық қамтылым паспорты (жұмыс орнының конфигурациясы туралы толық деректерімен оның сипаттамасы, сондай-ақ осы жұмыс орнында орнатылған аппараттық және бағдарламалық құралдары) бар дербес компьютерге орнатылады;

      7) осы тармақтың 6) тармақшасына көрсетілген паспорт бірыңғай жинақтаушы зейнетақы қорының және ерікті жинақтаушы зейнетақы қорының ішкі құжаттарына сәйкес ресімделеді және қауіпсіздік әкімшісінде сақталады.

4-тарау. Бірыңғай жинақтаушы зейнетақы қорының және ерікті жинақтаушы зейнетақы қорының автоматтандырылған ақпараттық жүйесінің ақпараттық қауіпсіздігін қамтамасыз етуге қойылатын талаптар

      16. Бірыңғай жинақтаушы зейнетақы қорының және ерікті жинақтаушы зейнетақы қорының автоматтандырылған ақпараттық жүйесінің ақпараттық қауіпсіздігін қамтамасыз ету мақсатында бірыңғай жинақтаушы зейнетақы қоры және ерікті жинақтаушы зейнетақы қоры ақпараттық қауіпсіздікті басқару жүйесін құруды қамтамасыз етеді.

      17. Ақпараттық қауіпсіздікті қамтамасыз ету жүйесі бірыңғай жинақтаушы зейнетақы қорының және ерікті жинақтаушы зейнетақы қорының бизнес-процестер үшін ықтимал залалдың ең төменгі деңгейін көздейтін ақпараттық активтерін қорғауды қамтамасыз етеді.

      18. Бірыңғай жинақтаушы зейнетақы қоры және ерікті жинақтаушы зейнетақы қоры ақпараттық қауіпсіздікті басқару жүйесінің тиісті деңгейін, оны дамытуды және жақсартуды қамтамасыз етеді.

      19. Бірыңғай жинақтаушы зейнетақы қорының және ерікті жинақтаушы зейнетақы қорының ақпараттық қауіпсіздігін қамтамасыз ету жөніндегі құжаттамаға мыналар кіреді:

      1) ақпараттық қауіпсіздік саясаты;

      2) қорғауға жататын және оның ішінде қызметтік, коммерциялық немесе заңмен қорғалатын өзге де құпияны (бұдан әрі – қорғалатын ақпарат) құрайтын мәліметтер туралы ақпаратты қамтитын ақпарат тізбесі;

      3) қорғалатын ақпаратпен жұмыс істеу тәртібі;

      4) қорғалатын ақпаратты өңдейтін ақпараттық жүйелер тізбесі;

      5) қорғалатын ақпаратты өңдейтін ақпараттық жүйелерге кіруді басқару тәртібі;

      6) қорғалатын ақпаратты өңдейтін ақпараттық жүйелерді резервтік көшіру, сақтау, резервтік көшірмелердің жұмысқа жарамдылығын қалпына келтіру, тестілеу тәртібі;

      7) бірыңғай жинақтаушы зейнетақы қорының және ерікті жинақтаушы зейнетақы қорының ақпараттық инфрақұрылымын вирусқа қарсы қорғауды қамтамасыз ету тәртібі;

      8) бірыңғай жинақтаушы зейнетақы қорында және ерікті жинақтаушы зейнетақы қорында пайдалануға рұқсат етілген бағдарламалық қамтылым тізбесі;

      9) ақпараттық қауіпсіздікті қамтамасыз етудің қабылданған шараларының бұзылғанын не ақпараттық қауіпсіздікке қатысы бар, бұрын белгісіз болған оқиға туралы куәландыратын ақпараттық қауіпсіздік жүйелерін қоса алғанда, ақпараттық-коммуникациялық инфрақұрылымның немесе оның жекелеген объектілерінің жұмысында жеке немесе сериялық туындайтын оқиғаларды (бұдан әрі – ақпараттық қауіпсіздік оқиғалары) мониторингтеудің кезеңділігі мен қағидалары;

      10) мониторингтеуге жататын ақпараттық қауіпсіздік оқиғаларының тізбесі;

      11) ақпараттық қауіпсіздік оқиғаларының пайда болу көздерінің тізбесі;

      12) ақпараттық-коммуникациялық инфрақұрылымның немесе оның жекелеген объектілерінің жұмысында олардың тиісінше жұмыс істеуіне қауіп төндіретін және (немесе) қорғалатын ақпаратты заңсыз алу, көшіру, тарату, өзгерту, жою немесе бұғаттау үшін жағдай туғызатын жеке немесе сериялық түрде туындайтын іркілістерді (бұдан әрі - ақпараттық қауіпсіздіктің оқыс оқиғалары) өңдеу тәртібі;

      13) ақпараттық қауіпсіздік оқиғаларын ақпараттық қауіпсіздіктің оқыс оқиғаларына жатқызу тәртібі;

      14) бірыңғай жинақтаушы зейнетақы қорының және ерікті жинақтаушы зейнетақы қорының қызметкерлері болып табылмайтын адамдардың қорғалатын ақпаратты өңдейтін ақпараттық жүйелерге қол жеткізу тәртібі;

      15) Интернет пен электрондық поштаны пайдалану кезінде ақпаратты қорғау тәртібі;

      16) ақпараттық жүйелерді жаңартуды басқару тәртібі.

      20. Ақпараттық қауіпсіздік саясаты мыналарды анықтайды:

      1) ақпараттық қауіпсіздікті басқару жүйесін құрудың мақсаттары, міндеттері және негізгі қағидаттары;

      2) ақпараттық қауіпсіздікті басқару жүйесінің қолданылу аясы;

      3) бірыңғай жинақтаушы зейнетақы қорының және ерікті жинақтаушы зейнетақы қорының ақпараттық активтерде құрылатын, сақталатын және өңделетін ақпаратқа қол жеткізуін басқаруға қойылатын талаптар;

      4) ақпараттық қауіпсіздікті қамтамасыз ету қызметіне мониторинг жүргізуге қойылатын талаптар;

      5) бірыңғай жинақтаушы зейнетақы қорының және ерікті жинақтаушы зейнетақы қорының қызметкерлеріне жүктелген функционалдық міндеттерді орындау кезінде олардың ақпараттық қауіпсіздікті қамтамасыз етудегі жауапкершілігі.

      21. Бірыңғай жинақтаушы зейнетақы қорының және ерікті жинақтаушы зейнетақы қорының қызметкерлеріне автоматтандырылған ақпараттық жүйедегі ақпаратқа қол жеткізу олардың функционалдық міндеттерін орындау үшін қажетті көлемде беріледі.

      22. Бірыңғай жинақтаушы зейнетақы қорының және ерікті жинақтаушы зейнетақы қорының автоматтандырылған ақпараттық жүйесіне қол жеткізу автоматтандырылған ақпараттық жүйені пайдаланушылардың қол жеткізу құқықтарының олардың функционалдық міндеттеріне сәйкестігін қамтамасыз етуге арналған рөлдерін қалыптастыру және енгізу жолымен жүргізіледі. Мұндай рөлдердің жиынтығы автоматтандырылған ақпараттық жүйеге қол жеткізу матрицасы болып табылады, ол электрондық нысанда немесе қағаз тасымалдағышта қалыптастырылады.

      23. Автоматтандырылған ақпараттық жүйеге қол жеткізу автоматтандырылған ақпараттық жүйені пайдаланушыларды идентификаттау және аутентификаттау арқылы жүзеге асырылады.

      Автоматтандырылған ақпараттық жүйені пайдаланушыларды идентификаттау және аутентификаттау "есептік жазба (идентификатор) –құпиясөз" жұбын енгізу және (немесе) биометриялық және (немесе) криптографиялық және (немесе) аппараттық аутентификаттау арқылы жүргізіледі.

      24. Автоматтандырылған ақпараттық жүйеде тек дербестендірілген пайдаланушылық есепке алу жазбалары қолданылады.

      25. Технологиялық есепке алу жазбаларын пайдалану автоматтандырылған ақпараттық жүйе үшін оларды пайдалануға және өзектілігіне дербес жауапты адамдарды көрсете отырып, осындай есепке алу жазбаларының тізбесіне сәйкес жүзеге асырылады.

      26. Автоматтандырылған ақпараттық жүйеде бірыңғай жинақтаушы зейнетақы қорының және ерікті жинақтаушы зейнетақы қорының ішкі құжатында айқындалатын есепке алу жазбалары мен құпиясөздерді басқару, сондай-ақ пайдаланушылардың есепке алу жазбаларын бұғаттау функциялары қолданылады.

      27. Автоматтандырылған ақпараттық жүйеде құпиясөздерді басқару және пайдаланушылардың есепке алу жазбаларын бұғаттау функциясының келесі өлшемдері қолданылады:

      1) құпиясөздің барынша қысқа ұзындығы – бұл өлшемнің мәні кемінде 8 (сегіз) символдан тұрады. Құпиясөздің осы өлшемге сәйкестігін тексеру құпиясөз әрбір ауысқан сайын жүргізіледі, сәйкес келмеген жағдайда, пайдаланушыға хабарлама беріледі;

      2) құпиясөздің күрделілігі – құпиясөзде кемінде символдың 3 (үш) тобының болуын тексеру мүмкіндігі: кіші әріптер, бас әріптер, цифрлық мәндер, арнайы символдар. Құпиясөздің осы өлшемге сәйкестігін тексеру құпиясөз әрбір ауысқан сайын жүргізіледі, сәйкес келмеген жағдайда, пайдаланушыға хабарлама беріледі;

      3) құпиясөз тарихы - жаңа құпиясөз кем дегенде алдыңғы 7 (жеті) құпиясөзді қайталамайды. Құпиясөздің осы өлшемге сәйкестігін тексеру құпиясөз әрбір ауысқан сайын жүргізіледі, сәйкес келмеген жағдайда, пайдаланушыға хабарлама беріледі;

      4) құпиясөзді қолданудың барынша қысқа мерзімі - 1 (бір) жұмыс күні;

      5) құпиясөзді қолданудың барынша ұзақ мерзімі - күнтізбелік 60 (алпыс) күннен аспайды. Құпиясөздің осы өлшемге сәйкестігін тексеру автоматтандырылған ақпараттық жүйеге әрбір кірген және құпиясөз әрбір ауысқан сайын жүргізіледі. Құпиясөздің барынша ұзақ әрекет ету мерзімі өткеннен кейін автоматтандырылған ақпараттық жүйе қолжетімділікті бұғаттайды және құпиясөзді міндетті түрде өзгертуді талап етеді;

      6) автоматтандырылған ақпараттық жүйеге бірінші рет кірген кезде не әкімші құпиясөзді ауыстырғаннан кейін автоматтандырылған ақпараттық жүйе пайдаланушыдан құпиясөзді ауыстыруды сұрайды, бұл ретте аталған рәсімді жою мүмкін болмайды. Бұл ереже құпиясөзді қолдану мерзімі туралы ережеден басым болады;

      7) пайдаланушы автоматтандырылған ақпараттық жүйеде күнтізбелік 30 (отыз) күннен астам уақыт белсенді болмаған жағдайда, оның есептік жазбасы автоматты түрде бұғатталады;

      8) қате құпиясөзді қатарынан бес рет енгізген кезде пайдаланушының есептік жазбасы уақытша бұғатталады;

      9) пайдаланушы 30 (отыз) минуттан артық белсенді болмаған кезде, автоматтандырылған ақпараттық жүйе пайдаланушының жұмыс сеансын автоматты түрде аяқтайды не пайдаланушының аутентификациялық деректерін енгізген кезде ғана жұмыс станциясын немесе бұғаттан шығару мүмкіндігі бар ноутбукты бұғаттайды.

      28. Қорғалатын ақпаратты жою тасымалдағыштың түріне байланысты ақпаратты жоюдың мынадай әдістерінің кез келгенін пайдалана отырып, оны қалпына келтіруді болдырмайтын әдістермен жүргізіледі:

      1) ақпарат тасымалдағышты нақты жою;

      2) ақпарат тасымалдағышқа электромагниттік әсер ету (магниттік тасымалдағыштар үшін);

      3) электрондық ақпаратты мамандандырылған бағдарламалық құралдармен бағдарламалық жою.

      29. Бірыңғай жинақтаушы зейнетақы қорында және ерікті жинақтаушы зейнетақы қорында автоматтандырылған ақпараттық жүйенің жүйелік уақытын эталондық уақыттың орталықтандырылған дереккөзімен синхрондау қамтамасыз етіледі.

      30. Автоматтандырылған ақпараттық жүйелерді әзірлеу және пысықтау өнеркәсіптік пайдалану ортасында жүзеге асырылмайды.

      31. Автоматтандырылған ақпараттық жүйені әзірлеуді жүзеге асыратын қызметкерлердің автоматтандырылған ақпараттық жүйенің өзгерістерін өнеркәсіптік ортаға көшіруге, сондай-ақ өнеркәсіптік ортадағы автоматтандырылған ақпараттық жүйеге әкімшілік қол жеткізуге өкілеттіктері жоқ.

      32. Автоматтандырылған ақпараттық жүйені өнеркәсіптік пайдалануға енгізер алдында оның әдеттегі тәртіп бойынша орнатылған қауіпсіздік теңшеулері ақпараттық қауіпсіздік талаптарына сәйкес келетін теңшеулерге өзгертіледі. Бұл теңшеулер тестілеу кезінде қолданылатын құпиясөздерді ауыстыруды, сондай-ақ барлық тестілік есепке алу жазбаларын жоюды қамтиды.

      33. Артықшылықты есептік жазбалардың пайдаланылуын бақылау:

      1) автоматтандырылған ақпараттық жүйе (операциялық жүйе, дерекқорды басқару жүйесі, қосымша) әкімшілерінің тізбесін жасау және бекіту;

      2) автоматтандырылған ақпараттық жүйені басқару функцияларын орындау және (немесе) артықшылықты есепке алу жазбаларының пайдаланылуын бақылаудың арнайы кешендерін енгізу кезінде қосарланған бақылауды енгізу арқылы қамтамасыз етіледі.

      34. Автоматтандырылған ақпараттық жүйелердің эталондық бастапқы кодтары (бар болса) және орындалатын модульдері сақталатын бағдарламалық қамтылымның қорғалған депозитарийі автоматтандырылған ақпараттық жүйелердің орындалатын модульдерінің жұмыс қабілеттілігін уақтылы қалпына келтіру мүмкіндігін қамтамасыз ететін түрде жүргізіледі.

      35.Автоматтандырылған ақпараттық жүйе техникалық қызмет көрсетумен қамтамасыз етіледі, оның құрамына автоматтандырылған ақпараттық жүйенің жаңартуларын, оның ішінде қауіпсіздік жаңартуларын ұсыну қызметтері кіреді.

      36. Бірыңғай жинақтаушы зейнетақы қорында және ерікті жинақтаушы зейнетақы қорында автоматтандырылған ақпараттық жүйенің аудиторлық ізінің ұйымдастырушылық және техникалық деңгейде енгізілуі және өзгермеуі қамтамасыз етіледі.

      37. Автоматтандырылған ақпараттық жүйеде аудиторлық ізді жүргізу функциясы қолданылады, ол мыналарды көрсетеді:

      1) автоматтандырылған ақпараттық жүйедегі қосылуларды орнату, идентификаттау, аутентификаттау және авторизациялау оқиғалары (сәтті және сәтсіз);

      2) қауіпсіздік теңшеулерін түрлендіру оқиғалары;

      3) пайдаланушылар топтарын түрлендіру оқиғалары және олардың өкілеттіктері;

      4) пайдаланушылардың есептік жазбаларын және олардың өкілеттіктерін түрлендіру оқиғалары;

      5) ақпараттық жүйедегі жаңартулардың және (немесе) өзгерістердің орнатылуын көрсететін оқиғалар;

      6) аудит өлшемдерін өзгерту оқиғалары;

      7) жүйелік өлшемдерді өзгерту оқиғалары.

      38. Аудиторлық із форматы мынадай ақпаратты қамтиды:

      1) әрекетті жасаған пайдаланушының идентификаторы (логині);

      2) әрекеттің жасалған күні мен уақыты;

      3) пайдаланушының жұмыс станциясының атауы және (немесе) әрекет жасалған ІP (АЙПИ) мекенжайы;

      4) әрекет жүргізілген объектілердің атауы;

      5) жасалған әрекеттің түрі немесе атауы;

      6) әрекеттің нәтижесі (сәтті немесе сәтсіз).

      39. Аудиторлық ізді сақтау мерзімі жедел қолжетімділікте кемінде 3 (үш) айды және архивтік қолжетімділікте кемінде 5 (бес) жылды құрайды.

      40. Автоматтандырылған ақпараттық жүйелерді қорғау үшін лицензияланған, вирусқа қарсы бағдарламалық қамтылым немесе жұмыс станцияларында, ноутбуктерде және мобильді құрылғыларда бағдарламалық ортаның тұтастығын және өзгермеуін қамтамасыз ететін жүйелер пайдаланылады.

      41. Пайдаланылатын вирусқа қарсы бағдарламалық қамтылым мынадай талаптарға сәйкес келеді:

      1) белгілі сигнатуралар негізінде вирустарды анықтау;

      2) эвристикалық талдау (вирустарға тән командаларды іздеу және әрекетін талдау) негізінде вирустарды анықтау;

      3) қосылған кезде ауыстырмалы тасымалдағыштарды сканерлеу;

      4) кесте бойынша сканерлеуді іске қосу және вирусқа қарсы базаны жаңарту;

      5) басқарудың және мониторингтеудің орталықтандырылған консолінің болуы;

      6) пайдаланушы үшін вирусқа қарсы бағдарламалық қамтылымның жұмыс істеуін, сондай-ақ вирусқа қарсы бағдарламалық қамтылымды жаңарту процестерін тоқтату және вирустардың болмауын жоспарлы тексеру мүмкіндігін бұғаттау;

      7) виртуалды орталар үшін – вирусқа қарсы бағдарламалық қамтылыммен виртуалдық орталардың (жүктемені теңдестіру, орталықтандырылған орнату және гипервизор деңгейінде тексеру және басқа да функциялар) кіріктірілген қауіпсіздік функцияларын пайдалану, мұндай мүмкіндіктер болмаған кезде – бірыңғай жинақтаушы зейнетақы қорында және ерікті жинақтаушы зейнетақы қорында пайдаланатын виртуалды орталарда вирусқа қарсы бағдарламалық қамтылымды тестілеу туралы өндірушінің растауы;

      8) мобильді құрылғылар және бірыңғай жинақтаушы зейнетақы қорын және ерікті жинақтаушы зейнетақы қорын қорғау аясынан тыс пайдаланылатын өзге де құрылғылар үшін желіаралық экрандау функциясы кіріктірілген вирусқа қарсы бағдарламалық қамтылымды пайдалану.

      42. Бағдарламалық ортаның тұтастығы мен өзгермеуін қамтамасыз ететін жүйелерді пайдалану кезіндегі ең қарапайым талаптар мынадай:

      1) жаңартуды және техникалық қолдауды көздейтін лицензиясы бар бағдарламалық қамтылымның болуы;

      2) басқарудың және мониторингтеудің орталықтандырылған консолінің болуы;

      3) соңғы пайдаланушы үшін берілген жүйенің қызмет етуін тоқтата тұру мүмкіндігінің – бұғаттау мүмкіндігінің болуы;

      4) соңғы құрылғыларға орнату алдында бағдарламалық орта үлгісін вирусқа қарсы бағдарламалық қамтылыммен тексеру мүмкіндігінің болуы;

      5) ұялы құрылғылар үшін және қорғаныс аумағынан тыс қолданылатын басқа да құрылғылар үшін желіаралық экранның болуы.

      43. Вирусқа қарсы бағдарламалық қамтылым пайдаланушының барлық қызмет ету процесін тоқтатуды барынша болдырмайды (кесте бойынша сканерлеу, жаңарту және басқа да процестер). Вирусқа қарсы бағдарламалық қамтылымды жаңарту тәулігіне 1 (бір) реттен, құрылғыны толығымен сканерлеу – аптасына 1 (бір) реттен артық жүргізілмейді.

      44. Бірыңғай жинақтаушы зейнетақы қорында және ерікті жинақтаушы зейнетақы қорында автоматтандырылған ақпараттық жүйе қауіпсіздігінің жаңартуларын уақтылы орнату қамтамасыз етіледі.

      45. Маңызды осалдықтарды жоятын автоматтандырылған ақпараттық жүйе қауіпсіздігінің жаңартулары оларды өндіруші жариялаған және таратқан күннен бастап 1 (бір) айдан кешіктірмей орнатылады.

      46. Автоматтандырылған ақпараттық жүйені өндірістік ортаға орнатқанға дейін оның жаңартулары тестілеу ортасында сынақтан өтеді.

      47. Автоматтандырылған ақпараттық жүйенің үздіксіз жұмыс істеуін қамтамсыз ету мақсатында ішкі құжаттарда:

      1) автоматтандырылған ақпараттық жүйенің тоқтап қалуының ықтималды мерзімдері;

      2) автоматтандырылған ақпараттық жүйені қалпына келтіру жоспары анықталады.

      48. Резервтік орталық болған жағдайда бірыңғай жинақтаушы зейнетақы қорының және ерікті жинақтаушы зейнетақы қорының ішкі құжаттарында:

      1) резервтік ортаның орналасқан орны;

      2) бизнес-процестердің, техникалық, бағдарламалық немесе автоматтандырылған ақпараттық жүйенің жұмысын қамтамасыз ететін басқа құралдардың тізбесі;

      3) резервтік орталықтағы автоматтандырылған ақпараттық жүйенің жұмысын қалпына келтіру тәртібі;

      4) резервтік орталықтағы жұмыстың аяқталғаны туралы шешім қабылдауға мүмкіндік беретін өлшемшарттар, мұндай шешімді қабылдау тәртібі, сондай-ақ негізгі орталықта қызмет етудің штаттық режиміне қайтару тәртібі;

      5) резервтік орталықтың жұмыс жасауын тестілеуді өткізу тәртібі, кезеңділігі мен сценарийі көрсетіледі.

      49. Автоматтандырылған ақпараттық жүйенің қызметін қалпына келтіру процестерінің дайындығын тексеру мақсатында жылына кемінде 1 (бір) рет қалпына келтіру жоспарларына (бұдан әрі – қалпына келтіру жоспарларын тестілеу) сәйкес автоматтандырылған ақпараттық жүйені қалпына келтіруді тестілеу жүргізіліп отырады.

      Қалпына келтіру жоспарын тестілеу бірыңғай жинақтаушы зейнетақы қоры және ерікті жинақтаушы зейнетақы қоры штаттан тыс жағдайдың туындау сценарийінің, қалпына келтірілетін жұмыс процестерінің, қалпына келтіру командасы әрекеттерінің, жұмыстарды жүргізу мерзімдері мен орны бойынша талаптардың сипаттамасын көздейтін әзірлеген және бекіткен бағдарлама бойынша жүргізіледі.

      50. Қалпына келтіру жоспарын тестілеу қорытындылары бойынша:

      1) тестілеу өткізілген автоматтандырылған ақпараттық жүйе модульдерінің тізбесін;

      2) автоматтандырылған ақпараттық жүйені қалпына келтіруге жұмсалған уақытты;

      3) қалпына келтіру жоспарының анықталған кемшіліктері мен оларды жою бойынша ұсыныстарды көрсете отырып, тестілеу нәтижелері туралы құжат (хаттама) дайындалады.

  Қазақстан Республикасының
Қаржы нарығын реттеу және
дамыту Агенттігінің
Басқармасының
2023 жылғы 26 маусымдағы
№ 60 Қаулығы
2-қосымша

Күші жойылды деп танылған Қазақстан Республикасы нормативтік құқықтық актісінің, сондай-ақ Қазақстан Республикасы нормативтік құқықтық актілерінің жекелеген құрылымдық элементтерінің тізбесі

      1. "Зейнетақы активтері мен жинақтарын есепке алуға арналған автоматтандырылған ақпараттық жүйелерге қойылатын талаптарды бекіту туралы" Қазақстан Республикасы Ұлттық Банкі Басқармасының 2013 жылғы 27 тамыздағы № 218 қаулысы (Нормативтік құқықтық актілерді мемлекеттік тіркеу тізілімінде № 8801 болып тіркелген).

      2. "Қазақстан Республикасының кейбір нормативтік құқықтық актілеріне зейнетақымен қамсыздандыру мәселелері бойынша өзгерістер мен толықтырулар енгізу туралы" Қазақстан Республикасы Ұлттық банкі басқармасының 2015 жылғы 28 қарашадағы № 209 қаулысымен (Нормативтік құқықтық актілерді мемлекеттік тіркеу тізілімінде № 12529 болып тіркелген) бекітілген Өзгерістер мен толықтырулар енгізілетін Қазақстан Республикасының зейнетақымен қамсыздандыру мәселелері бойынша нормативтік құқықтық актілері тізбесінің 2-тармағы.

      3. "Қазақстан Республикасының кейбір нормативтік құқықтық актілеріне зейнетақымен қамсыздандыру мәселелері бойынша өзгерістер мен толықтыру енгізу туралы" Қазақстан Республикасы Ұлттық Банкі Басқармасының 2017 жылғы 22 желтоқсандағы № 254 қаулысымен (Нормативтік құқықтық актілерді мемлекеттік тіркеу тізілімінде № 16246 болып тіркелген) бекітілген Зейнетақымен қамсыздандыру мәселелері бойынша өзгерістер мен толықтыру енгізілетін Қазақстан Республикасының нормативтік құқықтық актілері тізбесінің 2-тармағы.

      4. "Қазақстан Республикасының кейбір нормативтік құқықтық актілеріне зейнетақымен қамсыздандыру мәселелері бойынша өзгерістер енгізу туралы" Қазақстан Республикасы Ұлттық Банкі Басқармасының 2019 жылғы 28 маусымдағы № 103 қаулысымен (Нормативтік құқықтық актілерді мемлекеттік тіркеу тізілімінде № 18995 болып тіркелген) бекітілген Өзгерістер енгізілетін Қазақстан Республикасының зейнетақымен қамсыздандыру мәселелері бойынша нормативтік құқықтық актілері тізбесінің 3-тармағы.