"Қазақстан Республикасының Ұлттық Банкі туралы" Қазақстан Республикасы Заңының 15-бабы екінші бөлігінің 42) және 52-1) тармақшаларына және "Төлемдер және төлем жүйелері туралы" Қазақстан Республикасы Заңының 4-бабы 1-тармағының 1) және 12) тармақшаларына сәйкес Қазақстан Республикасы Ұлттық Банкінің Басқармасы ҚАУЛЫ ЕТЕДІ:
1. "Қазақстан Республикасының аумағында электрондық ақша шығару, пайдалану және өтеу қағидаларын, сондай-ақ электрондық ақша эмитенттеріне және электрондық ақша жүйелеріне қойылатын талаптарды бекіту туралы" Қазақстан Республикасы Ұлттық Банкі Басқармасының 2016 жылғы 31 тамыздағы № 202 қаулысына (Нормативтік құқықтық актілерді мемлекеттік тіркеу тізілімінде № 14298 болып тіркелген) мынадай өзгерістер мен толықтырулар енгізілсін:
кіріспесі мынадай редакцияда жазылсын:
"Қазақстан Республикасының Ұлттық Банкі туралы" Қазақстан Республикасы Заңының 15-бабы екінші бөлігінің 42) тармақшасына және "Төлемдер және төлем жүйелері туралы" Қазақстан Республикасы Заңының 4-бабы 1-тармағының 12) тармақшасына сәйкес Қазақстан Республикасы Ұлттық Банкінің Басқармасы ҚАУЛЫ ЕТЕДІ:";
көрсетілген қаулымен бекітілген Қазақстан Республикасының аумағында электрондық ақша шығару, пайдалану және өтеу қағидаларында, сондай-ақ электрондық ақша эмитенттеріне және электрондық ақша жүйелеріне қойылатын талаптарда:
1-тармақтың бірінші бөлігі мынадай редакцияда жазылсын:
"1. Осы Қазақстан Республикасының аумағында электрондық ақша шығару, пайдалану және өтеу қағидалары, сондай-ақ электрондық ақша эмитенттеріне және электрондық ақша жүйелеріне қойылатын талаптар (бұдан әрі – Қағидалар) "Қазақстан Республикасының Ұлттық Банкі туралы" Қазақстан Республикасы Заңының 15-бабы екінші бөлігінің 42) тармақшасына және "Төлемдер және төлем жүйелері туралы" Қазақстан Республикасы Заңының (бұдан әрі – Төлемдер және төлем жүйелері туралы заң) 4-бабы 1-тармағының 12) тармақшасына сәйкес әзірленді және Қазақстан Республикасының аумағында электрондық ақшаны шығару, пайдалану және өтеу тәртібін, сондай-ақ Қазақстан Республикасының аумағындағы электрондық ақша эмитенттеріне (бұдан әрі – эмитент) және электрондық ақша жүйелеріне қойылатын талаптарды айқындайды.";
2-тармақ мынадай редакцияда жазылсын:
"2. Қағидаларда Төлемдер және төлем жүйелері туралы заңның 1-бабында көзделген ұғымдар, сондай-ақ мына ұғымдар пайдаланылады:
1) ақпараттық жүйелердегі бұзушылықтарды, іркілістерді қоса алғанда, ақпараттық қауіпсіздіктің оқыс оқиғаcы (бұдан әрі – ақпараттық қауіпсіздіктің оқыс оқиғаcы) – ақпараттық-коммуникациялық инфрақұрылымның немесе оның жекелеген объектілерінің жұмысында олардың тиісінше жұмыс істеуіне қауіп төндіретін және (немесе) электрондық ақша жүйесі операторының электрондық ақпараттық ресурстарын заңсыз алу, көшіріп алу, тарату, түрлендіру, жою немесе бұғаттау үшін жағдай жасайтын, жеке түрде немесе сериялы түрде туындайтын іркілістер;
2) ақпараттық жүйелердегі бұзушылықтар, іркілістер туралы мәліметтерді қоса алғанда, ақпараттық қауіпсіздіктің оқыс оқиғалары туралы ақпарат – ақпараттық-коммуникациялық инфрақұрылымның немесе оның жекелеген объектілерінің жұмысында олардың тиісінше жұмыс істеуіне қауіп төндіретін және (немесе) электрондық ақша жүйесі операторының электрондық ақпараттық ресурстарын заңсыз алу, көшіріп алу, тарату, түрлендіру, жою немесе бұғаттау үшін жағдай жасайтын, жеке түрде немесе сериялы түрде туындайтын іркілістер туралы ақпарат;
3) ақпараттық-коммуникациялық инфрақұрылымды қорғау аясы – электрондық ақша жүйесі операторының ақпараттық-коммуникациялық инфрақұрылымын сыртқы ақпараттық желілерден оқшаулайтын және ақпараттық қауіпсіздік қатерлерінен қорғауды қамтамасыз ететін бағдарламалық-аппараттық құралдар жиынтығы;
4) ақпараттық қауіпсіздік – электрондық ақпараттық ресурстардың, ақпараттық жүйелердің және ақпараттық-коммуникациялық инфрақұрылымның сыртқы және ішкі қатерлерден қауіптерден қорғалу жай-күйі;
5) ақпараттық қауіпсіздік қатері – ақпараттық қауіпсіздіктің оқыс оқиғаcының туындауына алғышарттар жасайтын жағдайлар мен факторлардың жиынтығы;
6) ақпараттық қауіпсіздікті қамтамасыз ету – электрондық ақша жүйесі операторының ақпараттық активтерінің конфиденциалдылық, тұтастық және қолжетімділік күйін ұстап тұруға бағытталған процесс;
7) қауіпсіздік рәсімі – электрондық ақшаны пайдалану кезінде электрондық ақша иесінің электрондық ақшаны пайдалану құқығын растауға және электрондық тәсілмен жіберілетін және алынатын хабарламалардың (бұдан әрі – электрондық хабарлама) мазмұнындағы қателерді және (немесе) өзгерістерді анықтауға арналған ұйымдастыру шараларының және ақпаратты қорғау бағдарламалық-техникалық құралдарының кешені;
8) электрондық ақша жүйесі операторының ақпараттық активі – ақпаратты сақтау және (немесе) өңдеу үшін пайдаланылатын ақпараттың және ақпараттық-коммуникациялық инфрақұрылым объектісінің жиынтығы;
9) электрондық ақша жүйесі операторының ақпараттық-коммуникациялық инфрақұрылымы (бұдан әрі – ақпараттық инфрақұрылым) – электрондық ақпараттық ресурстарды қалыптастыру және оларға қолжетімділікті ұсыну мақсатында технологиялық ортаның жұмыс істеуін қамтамасыз етуге арналған ақпараттық-коммуникациялық инфрақұрылым объектілерінің жиынтығы;
10) электрондық ақша жүйесінің ішкі қағидалары – электрондық ақшаны шығаруға, сатуға, сатып алуға, өтеуге, сондай-ақ оларды электрондық ақша жүйесінде пайдалана отырып операцияларды жүзеге асыруға негіз болатын қағидалар;
11) электрондық ақша иесінің жеке кабинеті –электрондық ақша қалдығы, ол бойынша жүргізілген операциялар туралы қажетті ақпарат алу және электрондық ақша жүйесінің ішкі қағидаларында және электрондық ақша жүйесінің операторы (бұдан әрі – оператор) немесе эмитент пен электрондық ақшаның иесі арасында жасалған шарттарда көзделген тәртіппен электрондық ақшаны пайдалана отырып төлемдер мен өзге де операцияларды жүзеге асыру үшін электрондық ақша иесінің сол арқылы өзінің электрондық әмиянына қолжетімділігі болатын электрондық ақша жүйесінің интернет-ресурсындағы электрондық ақша иесінің жеке бөлімі. Электрондық ақша иесінің жеке кабинеті арқылы көрсетілетін қызметтер тізбесін оператор белгілейді;
12) электрондық ақшамен айырбастау операциялары – бір эмитент шығарған электрондық ақшаны басқа электрондық ақша жүйесінің қатысушысы болып табылатын басқа эмитенттің электрондық ақшасына айырбастау операциялары;
13) электрондық ақшаны мәжбүрлі түрде өтеу – электрондық ақшаның тең номиналдық құнын электрондық ақша иесінің банктік шотына не эмитенттің шоғырландырылған шотына жеке тұлға талап еткенге дейін аударуды көздейтін электрондық ақшаны өтеу операциясы;
14) электрондық ақша шығаруды тоқтату –жеке тұлғаға немесе электрондық ақша жүйесінің агентіне (бұдан әрі – агент) олардың номиналдық құны бойынша тең ақша сомасына айырбастау арқылы электрондық ақша беру көзделетін эмитенттің төлем қызметін көрсету жөніндегі қызметін тоқтату;
15) электрондық әмиянды бұғаттау – электрондық ақша иесінің электрондық әмиянында сақтаулы электрондық ақшаны пайдалануға толығымен немесе ішінара тыйым салу.";
4-тармақтың бірінші абзацы мынадай редакцияда жазылсын:
"4. Эмитент электрондық ақшаны шығару қызметін жүзеге асыру басталған күннен бастап күнтізбелік он күн ішінде бұл туралы Қазақстан Республикасының Ұлттық Банкіне Қағидаларға 1-қосымшаға сәйкес нысан бойынша хабарлайды және мынадай құжаттар мен мәліметтерді ұсынады:";
38-тармақ мынадай редакцияда жазылсын:
"38. Эмитент электрондық ақша шығаруды тоқтату сәтіне дейін күнтізбелік отыз күн бұрын бұл туралы Қазақстан Республикасының Ұлттық Банкіне Қағидаларға 1-қосымшаға сәйкес нысан бойынша хабарлайды.";
50-тармақ мынадай редакцияда жазылсын:
"50. Электрондық ақша иесі - жеке тұлғаны қашықтан сәйкестендіруді эмитент және (немесе) оператор Қазақстан Республикасы Ұлттық Банкі Басқармасының 2016 жылғы 31 тамыздағы № 212 қаулысымен (Нормативтік құқықтық актілерді мемлекеттік тіркеу тізілімінде № 14337 болып тіркелген) бекітілген Банктердің, Қазақстан Республикасы бейрезидент банктері филиалдарының және банк операцияларының жекелеген түрлерін жүзеге асыратын ұйымдардың электрондық банктік қызметтерді көрсету қағидаларында көзделген тәртіппен және негіздерде банкаралық ақша аудару жүйесінің операциялық орталығынан алынған қолжетімді көздерден алынған мәліметтер негізінде жүзеге асырады.";
мынадай мазмұндағы 7-тараумен толықтырылсын:
"7-тарау. Төлем ұйымдары болып табылатын электрондық ақша жүйелері операторларының бағдарламалық-техникалық құралдарына және ақпараттық қауіпсіздікті басқару жүйесіне қойылатын талаптар
55. Бағдарламалық қамтамасыз ету мыналарды қамтамасыз етеді:
1) ақпаратты сенімді сақтау, рұқсат етілмеген қолжетімділіктен қорғау, дерекқордың тұтастығы және жабдықтың кез келген учаскесінде кез келген уақытта электр қуаты толығымен немесе ішінара ажыратылған кезде ақпараттың электрондық мұрағаттарда және дерекқорда толық сақталуы;
2) бағдарламалық қамтамасыз етуде іске асырылған, кем дегенде екі қолжетімділік деңгейі: әкімші және пайдаланушы көзделетін кіріс деректерге, функцияларға, операцияларға, есептерге көпдеңгейлі қолжетімділік;
3) операцияларды жүргізу және тіркеу үшін қажетті, толтырылуы міндетті жолдардың енгізілетін деректерінің толық болуын бақылау (функцияларды немесе операцияларды барлық жолдарды толық толтырмай орындаған кезде бағдарлама тиісті хабарлама беруді қамтамасыз етеді);
4) сұрау салуды сақтай отырып, осы ақпараттық жүйе үшін айқындалған өлшемшарттар мен параметрлер бойынша ақпаратты іздеу, сондай-ақ кез келген параметр бойынша ақпаратты сұрыптау (осы ақпараттық жүйе үшін айқындалған) және егер мұндай ақпарат ақпараттық жүйеде сақталуға тиіс болса, алдыңғы күндердегі ақпаратты қарау мүмкіндігі;
5) ақпаратты өңдеу және оны күні мен уақыты бойынша сақтау;
6) электрондық ақша жүйелерінің операторлары Қазақстан Республикасының Ұлттық Банкіне ұсынатын есептердің, сондай-ақ жүргізілген операциялар туралы есептедің нысандарын автоматтандырылған қалыптастыру;
7) ішкі есепке алу жүйесінің журналдарын жүргізу және автоматтандырылған қалыптастыру. Бағдарламалық қамтамасыз ету журналды толығымен, сондай-ақ ішінара (көрсетілген күндер ауқымына, белгілі бір күнге) қалыптастырады;
8) есепке алу жүйелерінде сақталудағы деректерді резервтеу және қалпына келтіру мүмкіндігі;
9) шығыс құжаттарын экранға, принтерге немесе файлға шығару мүмкіндігі;
10) электрондық құжаттармен алмасу мүмкіндігі;
11) мынадай атрибуттарды: оқиғаның басталу күні мен уақытын, оқиғаның атауын, әрекетті жасаған пайдаланушыны, жазбаның сәйкестендіргішін, оқиғаның аяқталу күні мен уақытын, оқиғаның орындалу нәтижесін сақтай отырып, ақпараттық жүйеде болып жатқан оқиғаларды тіркеу және сәйкестендіру.
56. Электрондық ақша жүйелерінің операторлары ақпараттық қауіпсіздікті қамтамасыз ету процесін басқаруға арналған электрондық ақша жүйелері операторларының жалпы басқару жүйесінің бір бөлігі болып табылатын ақпараттық қауіпсіздікті басқару жүйесін құруды және оның жұмыс істеуін қамтамасыз етеді.
57. Ақпараттық қауіпсіздікті басқару жүйесі электрондық ақша жүйелері операторларының бизнес-процестері үшін ықтимал залалдың ең аз деңгейіне жол беретін электрондық ақша жүйелері операторларының ақпараттық активтерін қорғауды қамтамасыз етеді.
58. Электрондық ақша жүйесінің операторы ақпараттық қауіпсіздікті басқару жүйесінің тиісті деңгейін, оның дамуы мен жақсаруын қамтамасыз етеді.
59. Электрондық ақша жүйесінің операторы ақпараттың конфиденциалдылығын, тұтастығын және қолжетімділігін қамтамасыз ету мақсатында мынадай функцияларды жүзеге асырады:
1) ақпараттық қауіпсіздікті басқару жүйесін ұйымдастырады, ақпараттық қауіпсіздікті қамтамасыз ету жөніндегі қызметті және қатерлерді анықтау және талдау, шабуылдарға қарсы іс-қимыл жасау және ақпараттық қауіпсіздіктің оқыс оқиғаларын тергеп-тексеру жөніндегі іс-шараларды үйлестіреді және бақылайды;
2) ақпараттық қауіпсіздікті қамтамасыз ету процесін әдіснамалық қолдауды қамтамасыз етеді;
3) өз өкілеттіктері шеңберінде ақпараттық қауіпсіздікті басқару, қамтамасыз ету және бақылау әдістерін, құралдары мен тетіктерін таңдайды, енгізеді және қолданады;
4) ақпараттық қауіпсіздіктің оқыс оқиғалары туралы ақпаратты жинауды, шоғырландыруды, сақтауды және өңдеуді жүзеге асырады;
5) ақпараттық қауіпсіздіктің оқыс оқиғалары туралы ақпаратты талдайды;
6) ақпараттық қауіпсіздікті қамтамасыз ету процесін автоматтандыратын бағдарламалық-техникалық құралдарды енгізуді, тиісті жұмыс істеуін, сондай-ақ оларға қолжетімділікті ұсынуды қамтамасыз етеді;
7) артықшылық берілген есептік жазбаларды пайдалану бойынша шектеулерді айқындайды;
8) электрондық ақша жүйелері операторы қызметкерлерінің ақпараттық қауіпсіздік мәселелерінде хабардар болуын қамтамасыз ету жөніндегі іс-шараларды ұйымдастырады және өткізеді;
9) электрондық ақша жүйелері операторының ақпараттық қауіпсіздігін басқару жүйесінің жай-күйіне мониторинг жүргізеді;
10) кезең-кезеңімен (бірақ жылына кемінде бір реттен жиі емес) электрондық ақша жүйесі операторының басшылығына ақпараттық қауіпсіздікті басқару жүйесінің жай-күйі туралы хабарлайды.
60. Электрондық ақша жүйесінің операторы ақпараттық активтерге қатысты қолайлы деңгейдің өлшемшарттарын көрсете отырып, ақпараттық қауіпсіздік тәуекелдерін басқарады.
Ақпараттық қауіпсіздік тәуекелдері іске асырылған кезде осындай тәуекелдердің туындауын барынша азайтуға бағытталған іс-шаралар жоспары әзірленеді.
61. Ақпараттық қауіпсіздікті қамтамасыз ету жөніндегі қызметке мониторинг жүргізу барысында алынған ақпараттық қауіпсіздіктің оқыс оқиғалары туралы ақпарат шоғырландырылуға, жүйеленуге және сақталуға тиіс.
62. Ақпараттық қауіпсіздіктің оқыс оқиғалары туралы ақпаратты сақтау мерзімі кемінде 5 (бес) жылды құрайды.
63. Электрондық ақша жүйесінің операторы ақпараттық қауіпсіздіктің оқыс оқиғасын, оның себептері мен салдарын жоюға шұғыл шаралар қабылдау тәртібін айқындайды.
64. Электрондық ақша жүйелерінің операторы ақпараттық қауіпсіздіктің оқыс оқиғасы, қабылданған шаралар мен ұсынылатын түзету шаралары туралы барлық ақпаратты көрсете отырып, ақпараттық қауіпсіздіктің оқыс оқиғаларын есепке алу журналын жүргізеді.
65. Электрондық ақша жүйесінің операторы Ұлттық Банкке ақпараттық қауіпсіздіктің мынадай анықталған оқыс оқиғалары:
1) қолданбалы және жүйелік бағдарламалық қамтамасыз етудегі осалдықтарды пайдалану;
2) ақпараттық жүйеге рұқсатсыз кіру;
3) ақпараттық жүйеге немесе деректерді беру желісіне "қызмет көрсетуден бас тарту" шабуылы;
4) серверді зиянды бағдарламамен немесе кодпен зақымдау;
5) ақпараттық қауіпсіздікті бақылау бұзылуы салдарынан электрондық ақшаны рұқсатсыз аудару;
6) электрондық ақша жүйесінің операторы қызметінің тұрақтылығына қатер төндіретін ақпараттық қауіпсіздіктің оқыс оқиғалары туралы ақпаратты береді.
Осы тармақта көрсетілген ақпараттық қауіпсіздіктің оқыс оқиғалары туралы ақпаратты электрондық ақша жүйесінің операторы Қағидаларға 2-қосымшаға сәйкес нысан бойынша ақпараттық қауіпсіздіктің оқыс оқиғасының картасы түрінде мүмкіндігінше қысқа мерзімде, бірақ анықталған кезден бастап 48 сағаттан кешіктірмей береді.
Ақпараттық қауіпсіздіктің өңделген оқыс оқиғалары бойынша ақпарат ақпараттық қауіпсіздіктің оқиғалары мен оқыс оқиғаларымен алмасу үшін Ұлттық Банктің платформасын пайдалана отырып, электрондық форматта ұсынылады.
Ақпараттық қауіпсіздіктің әрбір оқыс оқиғасына ақпараттық қауіпсіздіктің оқыс оқиғасының жеке картасы толтырылады.";
қосымшада жоғарғы оң жақ бұрыштағы мәтін мынадай редакцияда жазылсын:
"Қазақстан Республикасының аумағында электрондық ақша шығару, пайдалану және өтеу қағидалары, сондай-ақ электрондық ақша эмитенттеріне және электрондық ақша жүйелеріне қойылатын талаптарға 1-қосымша"; |
осы қаулыға 1-қосымшаға сәйкес редакцияда 2-қосымшамен толықтырылсын.
2. "Төлем ұйымдарының қызметін ұйымдастыру қағидаларын бекіту туралы" Қазақстан Республикасы Ұлттық Банкі Басқармасының 2016 жылғы 31 тамыздағы № 215 қаулысына (Нормативтік құқықтық актілерді мемлекеттік тіркеу тізілімінде № 14347 болып тіркелген) мынадай өзгерістер мен толықтырулар енгізілсін:
кіріспе мынадай редакцияда жазылсын:
"Қазақстан Республикасының Ұлттық Банкі туралы" Қазақстан Республикасы Заңының 15-бабы екінші бөлігінің 52-1) тармақшасына, "Мемлекеттік көрсетілетін қызметтер туралы", "Рұқсаттар және хабарламалар туралы" Қазақстан Республикасының заңдарына және "Төлемдер және төлем жүйелері туралы" Қазақстан Республикасы Заңының 4-бабы 1-тармағының 1) тармақшасына сәйкес Қазақстан Республикасы Ұлттық Банкінің Басқармасы ҚАУЛЫ ЕТЕДІ:";
көрсетілген қаулымен бекітілген Төлем ұйымдарының қызметін ұйымдастыру қағидаларында:
1 және 2-тармақтар мынадай редакцияда жазылсын:
"1. Осы Төлем ұйымдарының қызметін ұйымдастыру қағидалары (бұдан әрі – Қағидалар) "Қазақстан Республикасының Ұлттық Банкі туралы" Қазақстан Республикасы Заңының 15-бабы екінші бөлігінің 52-1) тармақшасына, "Мемлекеттік көрсетілетін қызметтер туралы", "Рұқсаттар және хабарламалар туралы" Қазақстан Республикасының заңдарына, "Төлемдер және төлем жүйелері туралы" Қазақстан Республикасы Заңының (бұдан әрі – Төлемдер және төлем жүйелері туралы заң) 4-бабы 1-тармағының 1) тармақшасына сәйкес әзірленді және төлем ұйымдарының қызметін ұйымдастыру тәртібін айқындайды.
Төлем ұйымдарының қызметін ұйымдастыру тәртібінде Қазақстан Республикасының Ұлттық Банкінде (бұдан әрі – Ұлттық Банк) төлем ұйымдарының есептік тіркелуі, Ұлттық Банктің төлем ұйымдарының тізілімін (бұдан әрі – тізілім) жүргізуі, төлем ұйымдарының төлем қызметтерін көрсетуі, төлем ұйымдарының филиалдарды ашу туралы хабарлауы, төлем ұйымдарының бағдарламалық-техникалық құралдары мен ақпараттық қауіпсіздікті басқару жүйесіне қойылатын талаптар қамтылады.
2. Қағидаларда Төлемдер және төлем жүйелері туралы заңда көзделген ұғымдар және мына ұғымдар пайдаланылады.
1) ақпараттық жүйелердегі бұзушылықтарды, іркілістерді қоса алғанда, ақпараттық қауіпсіздіктің оқыс оқиғасы (бұдан әрі – ақпараттық қауіпсіздіктің оқыс оқиғасы) – ақпараттық-коммуникациялық инфрақұрылымның немесе оның жекелеген объектілерінің жұмысында олардың тиісінше жұмыс істеуіне қауіп төндіретін және (немесе) төлем ұйымының электрондық ақпараттық ресурстарын заңсыз алу, көшіріп алу, тарату, түрлендіру, жою немесе бұғаттау үшін жағдай жасайтын, жеке түрде немесе сериялы түрде туындайтын іркілістер;
2) ақпараттық жүйелердегі бұзушылықтар, іркілістер туралы мәліметтерді қоса алғанда, ақпараттық қауіпсіздіктің оқыс оқиғалары туралы ақпарат – ақпараттық-коммуникациялық инфрақұрылымның немесе оның жекелеген объектілерінің жұмысында олардың тиісінше жұмыс істеуіне қауіп төндіретін және (немесе) төлем ұйымының электрондық ақпараттық ресурстарын заңсыз алу, көшіріп алу, тарату, түрлендіру, жою немесе бұғаттау үшін жағдай жасайтын, жеке түрде немесе сериялы түрде туындайтын іркілістер туралы ақпарат;
3) ақпараттық қауіпсіздік – электрондық ақпараттық ресурстардың, ақпараттық жүйелердің және ақпараттық-коммуникациялық инфрақұрылымның сыртқы және ішкі қауіптерден қорғалу жай-күйі;
4) ақпараттық қауіпсіздік қатері – ақпараттық қауіпсіздіктің оқыс оқиғаcының туындауына алғышарттар жасайтын жағдайлар мен факторлардың жиынтығы;
5) ақпараттық қауіпсіздікті қамтамасыз ету – төлем ұйымының ақпараттық активтерінің конфиденциалдылық, тұтастық және қолжетімділік күйін ұстап тұруға бағытталған процесс;
6) ақпараттық-коммуникациялық инфрақұрылымды қорғау аясы – төлем ұйымның ақпараттық-коммуникациялық инфрақұрылымын сыртқы ақпараттық желілерден оқшаулайтын және ақпараттық қауіпсіздік қатерлерінен қорғауды қамтамасыз ететін бағдарламалық-ақпараттық құралдардың жиынтығы;
7) төлем ұйымының ақпараттық активі – ақпараттың және оны сақтау және (немесе) өңдеу үшін пайдаланылатын ақпараттық-коммуникациялық инфрақұрылым объектісінің жиынтығы;
8) төлем ұйымының ақпараттық-коммуникациялық инфрақұрылымы (бұдан әрі – ақпараттық инфрақұрылым) – электрондық ақпараттық ресурстарды қалыптастыру және оларға қолжетімділікті ұсыну мақсатында технологиялық ортаның жұмыс істеуін қамтамасыз етуге арналған ақпараттық-коммуникациялық инфрақұрылым объектілерінің жиынтығы.";
7 тармақ мынадай редакцияда жазылсын:
"7. Төлем ұйымының қызметін жүзеге асыру қағидаларында мынадай міндетті талаптар қамтылады:
1) төлем ұйымы көрсететін төлем қызметтерінің сипаттамасы;
2) төлем ұйымының клиенттеріне төлем қызметтерін көрсету тәртібі мен мерзімдері;
3) төлем ұйымы көрсететін төлем қызметтерінің құны (тарифтері);
4) төлем ұйымы көрсететін төлем қызметтерін технологиялық қамтамасыз етуді қамтамасыз ететін үшінші тұлғалармен өзара іс-қимыл тәртібі;
5) төлем ұйымы пайдаланатын тәуекелдерді басқару жүйесі туралы мәліметтер;
6) клиенттермен даулы ахуалдарды реттеу және дауларды шешу тәртібі;
7) ақпараттық қауіпсіздік шараларын сақтау тәртібі;
8) көрсетілетін төлем қызметтерін жүзеге асыру үшін қажетті бағдарламалық-техникалық құралдардың және жабдықтардың сипаттамасы.";
мынадай мазмұндағы 6-тараумен толықтырылсын:
"6-тарау. Төлем ұйымдарының бағдарламалық-техникалық құралдарына және ақпараттық қауіпсіздікті басқару жүйесіне қойылатын талаптар
34. Бағдарламалық қамтамасыз ету мыналарды:
1) жабдықтың кез келген учаскесінде кез келген уақытта электрқуаты толық немесе ішінара ажыратылған кезде ақпаратты сенімді сақтауды, рұқсат етілмеген қолжеткізуден қорғауды, дерекқордың тұтастығын және электрондық архивтер мен дерекқорлардағы ақпараттың толық сақталуын;
2) қолжеткізудің кемінде екі: әкімші және пайдаланушы деңгейін көздейтін бағдарламалық қамтамасыз етуде іске асырылған кіріс деректеріне, функцияларға, операцияларға, есептерге көп деңгейлі қолжетімділікті;
3) операцияларды жүргізу және тіркеу үшін қажетті, толтырылуы міндетті жолдардың енгізілетін деректерінің толықтығын бақылауды (функцияларды немесе операцияларды барлық жолдарды толық толтырмай орындаған кезде бағдарлама тиісті хабарлама беруді қамтамасыз етеді);
4) сұратуды сақтай отырып, осы ақпараттық жүйе үшін айқындалған өлшемшарттар мен өлшемдер бойынша ақпаратты іздеуді, сондай-ақ ақпаратты кез келген өлшем (осы ақпараттық жүйе үшін айқындалған) бойынша сұрыптауды және егер мұндай ақпарат ақпараттық жүйеде сақталуға жататын болса, алдыңғы күндердегі ақпаратты қарап шығу мүмкіндігін;
5) ақпаратты өңдеуді және оны күні мен уақыты бойынша сақтауды;
6) төлем ұйымдары Ұлттық Банкке ұсынатын есептердің, сондай-ақ жүргізілген операциялар туралы есептердің нысандарын автоматты түрде қалыптастыруды;
7) ішкі есепке алу жүйесінің журналдарын жүргізуді және автоматтандырылған қалыптастыруды қамтамасыз етеді. Бағдарламалық қамтамасыз ету журналды толығымен, сондай-ақ ішінара (көрсетілген күндер ауқымына, белгілі бір күнге) қалыптастырады;
8) есепке алу жүйелерінде сақталатын деректерді резервтеу және қалпына келтіру мүмкіндігін;
9) шығыс құжаттарды экранға, принтерге немесе файлға шығару мүмкіндігін;
10) электрондық құжаттармен алмасу мүмкіндігін;
11) мынадай атрибуттарды: оқиғаның басталған күні мен уақытын, оқиғаның атауын, іс-әрекетті жүргізген пайдаланушыны, жазбаның сәйкестендіргішін, оқиғаның аяқталған күні мен уақытын, оқиғаның орындалу нәтижесін сақтай отырып, ақпараттық жүйеде болып жатқан оқиғаларды тіркеуді және сәйкестендіруді қамтамасыз етеді.
35. Төлем ұйымдары ақпараттық қауіпсіздікті қамтамасыз ету процесін басқаруға арналған төлем ұйымының жалпы басқару жүйесінің бөлігі болып табылатын ақпараттық қауіпсіздікті басқару жүйесін құруды және оның жұмыс істеуін қамтамасыз етеді.
36. Ақпараттық қауіпсіздікті басқару жүйесі төлем ұйымының бизнес-процестері үшін ықтимал залалдың ең төменгі деңгейіне жол беретін төлем ұйымының ақпараттық активтерін қорғауды қамтамасыз етеді.
37. Төлем ұйымы ақпараттық қауіпсіздікті басқару жүйесінің тиісті деңгейін, оның дамуы мен жақсаруын қамтамасыз етеді.
38. Төлем ұйымы төлем ұйымы ақпаратының конфиденциалдылығын, тұтастығын және қолжетімділігін қамтамасыз ету мақсатында мынадай функцияларды жүзеге асырады:
1) ақпараттық қауіпсіздікті басқару жүйесін ұйымдастырады, ақпараттық қауіпсіздікті қамтамасыз ету жөніндегі қызметті және қатерлерді анықтау және талдау, шабуылдарға қарсы іс-қимыл жасау және ақпараттық қауіпсіздіктің оқыс оқиғаларын тергеп-тексеру жөніндегі іс-шараларды үйлестіруді және бақылауды жүзеге асырады;
2) ақпараттық қауіпсіздікті қамтамасыз ету процесін әдіснамалық қолдауды қамтамасыз етеді;
3) өз өкілеттіктері шеңберінде ақпараттық қауіпсіздікті басқару, қамтамасыз ету және бақылау әдістерін, құралдары мен тетіктерін таңдауды, енгізуді және қолдануды жүзеге асырады;
4) ақпараттық қауіпсіздіктің оқыс оқиғалары туралы ақпаратты жинауды, шоғырландыруды, сақтауды және өңдеуді жүзеге асырады;
5) ақпараттық қауіпсіздіктің оқыс оқиғалары туралы ақпаратқа талдауды жүзеге асырады;
6) ақпараттық қауіпсіздікті қамтамасыз ету процесін автоматтандыратын бағдарламалық-техникалық құралдарды енгізуді, тиісті жұмыс істеуін, сондай-ақ оларға қолжеткізуді қамтамасыз етеді;
7) артықшылықты есептік жазбаларды пайдалану бойынша шектеулерді айқындайды;
8) төлем ұйымы қызметкерлерінің ақпараттық қауіпсіздік мәселелерінде хабардар болуын қамтамасыз ету жөніндегі іс-шараларды ұйымдастырады және өткізеді;
9) төлем ұйымының ақпараттық қауіпсіздігін басқару жүйесінің жай-күйіне мониторингті жүзеге асырады;
10) мерзімді түрде (бірақ жылына кемінде бір рет) төлем ұйымының басшылығына төлем ұйымының ақпараттық қауіпсіздігін басқару жүйесінің жай-күйі туралы хабарлауды жүзеге асырады.
39. Төлем ұйымы ақпараттық активтерге қатысты қолайлы деңгейдің өлшемшарттарын көрсете отырып, ақпараттық қауіпсіздік тәуекелдерін басқарады.
Ақпараттық қауіпсіздік тәуекелдерін іске асыру кезінде осындай тәуекелдердің туындауын барынша азайтуға бағытталған іс-шаралар жоспары әзірленеді.
40. Ақпараттық қауіпсіздікті қамтамасыз ету жөніндегі қызметке мониторинг жүргізу барысында алынған ақпараттық қауіпсіздіктің оқыс оқиғалары туралы ақпарат шоғырландырылуға, жүйелендірілуге және сақталуға тиіс.
41. Ақпараттық қауіпсіздіктің оқыс оқиғалары туралы ақпаратты сақтау мерзімі кемінде 5 (бес) жылды құрайды.
42. Төлем ұйымы ақпараттық қауіпсіздіктің оқыс оқиғасын, оның себептері мен салдарын жоюға шұғыл шаралар қабылдау тәртібін айқындайды.
43. Төлем ұйымында ақпараттық қауіпсіздіктің оқыс оқиғасы, қабылданған шаралар және ұсынылатын түзету шаралары туралы барлық ақпаратты көрсете отырып, ақпараттық қауіпсіздіктің оқыс оқиғаларын есепке алу журналы жүргізіледі.
44. Төлем ұйымы Ұлттық Банкке ақпараттық қауіпсіздіктің мынадай анықталған оқыс оқиғалары:
1) қолданбалы және жүйелік бағдарламалық қамтамасыз етудегі осалдықтарды пайдалану;
2) ақпараттық жүйеге рұқсатсыз кіру;
3) ақпараттық жүйеге немесе деректерді беру желісіне "қызмет көрсетуден бас тарту" шабуылы;
4) серверді зиянды бағдарламамен немесе кодпен зақымдау;
5) ақпараттық қауіпсіздікті бақылауды бұзу салдарынан ақша қаражатын санкциясыз аудару;
6) төлем ұйымы қызметінің тұрақтылығына қатер төндіретін ақпараттық қауіпсіздіктің оқыс оқиғалары туралы ақпарат ұсынады.
Осы тармақта көрсетілген ақпараттық қауіпсіздіктің оқыс оқиғалары туралы ақпаратты төлем ұйымы Қағидаларға 7-қосымшаға сәйкес нысан бойынша ақпараттық қауіпсіздіктің оқыс оқиғасы картасы түрінде мүмкіндігінше қысқа мерзімде, бірақ анықталған кезден бастап 48 сағаттан кешіктірмей ұсынады.
Ақпараттық қауіпсіздіктің өңделген оқыс оқиғалары бойынша ақпарат ақпараттық қауіпсіздіктің оқиғалары мен оқыс оқиғаларын алмасу үшін Ұлттық Банктің платформасын пайдалана отырып, электрондық форматта ұсынылады.
Ақпараттық қауіпсіздіктің әрбір оқыс оқиғасына ақпараттық қауіпсіздіктің оқыс оқиғасының жеке картасы толтырылады.";
осы қаулыға 2-қосымшаға сәйкес редакциядағы 7-қосымшамен толықтырылсын.
3. Төлем жүйелері департаменті (Е.Т. Ашықбеков) Қазақстан Республикасының заңнамасында белгіленген тәртіппен:
1) Заң департаментімен (А.С. Касенов) бірлесіп осы қаулының Қазақстан Республикасының Әділет министрлігінде мемлекеттік тіркеуді;
2) осы қаулы ресми жарияланғаннан кейін оны Қазақстан Республикасы Ұлттық Банкінің ресми интернет-ресурсына орналастыруды;
3) осы қаулы мемлекеттік тіркелгеннен кейін он жұмыс күні ішінде Заң департаментіне осы тармақтың 2) тармақшасында көзделген іс-шараның орындалуы туралы мәліметтерді ұсынуды қамтамасыз етсін.
4. Осы қаулының орындалуын бақылау Қазақстан Республикасы Ұлттық Банкі Төрағасының орынбасары Б.Ш. Шолпанқұловқа жүктелсін.
5. Осы қаулы 2022 жылғы 1 сәуірден бастап қолданысқа енгізіледі.
Қазақстан Республикасы Ұлттық Банкінің Төрағасы |
Е. Досаев |
КЕЛІСІЛДІ Қазақстан Республикасы Ұлттық экономика министрлігі |
КЕЛІСІЛДІ Қазақстан Республикасы Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрлігі |
Қазақстан Республикасы Ұлттық Банкі Басқармасының 2021 жылғы 20 желтоқсандағы № 116 Қаулыға 1-қосымша Қазақстан Республикасының аумағында электрондық ақша шығару, пайдалану және өтеу қағидаларына, сондай-ақ электрондық ақша эмитенттеріне және электрондық ақша жүйелеріне қойылатын талаптарға 2-қосымша Нысан |
Ақпараттық қауіпсіздіктің оқыс оқиғасы картасы
№ | Жалпы мәліметтер | |
Ақпараттық қауіпсіздіктің оқыс оқиғасының сипаттамасы | Ақпараттық қауіпсіздіктің оқыс оқиғасы туралы ақпарат | |
1 | Ақпараттық қауіпсіздіктің оқыс оқиғасының атауы | |
2 | Анықталған күні мен уақыты (кк.аа.жжжж және сс:мм сағат белдеуін көрсете отырып UTC+X) | |
3 | Анықталған орны (ұйым, филиал, ақпараттық инфрақұрылым сегменті) | |
4 | Ақпараттық қауіпсіздіктің оқыс оқиғасы туралы ақпараттың дереккөзі (пайдаланушы, әкімші, ақпараттық қауіпсіздік әкімшісі, ақпараттық қауіпсіздік бөлімшесінің қызметкері немесе техникалық құрал) | |
5 | Ақпараттық қауіпсіздіктің оқыс оқиғасы іске асырылған кезде қолданылған әдістер (әлеуметтік инженерия, зиянды кодты ендіру) | |
Ақпараттық қауіпсіздіктің оқыс оқиғасының мазмұны | ||
6 | Ақпараттық қауіпсіздіктің оқыс оқиғасының нышандары, белгілері | |
7 | Негізгі оқиғалар (қолданбалы және жүйелік бағдарламалық қамтамасыз етуде осалдылықтарды пайдалану; ақпараттық жүйеге рұқсатсыз кіру; ақпараттық жүйеге немесе деректерді беру желісіне "қызмет көрсетуден бас тартуға" шабуылы; сервердің зиянды бағдарламамен немесе кодпен зақымдануы; ақша қаражатын рұқсат етілмеген аудару; электрондық ақша жүйесі операторы қызметінің тұрақтылығына қауіп төндіретін ақпараттық қауіпсіздіктің оқыс оқиғалары) | |
8 | Зақымданған активтер (электрондық ақша жүйесі операторының ақпараттық инфрақұрылымының нақты деңгейі, желілік жабдығының деңгейі, желілік қосымшалар мен сервистердің деңгейі, операциялық жүйе деңгейі, технологиялық процестер мен қосымшаларының деңгейі және бизнес-процестердің деңгейі) | |
9 | Ақпараттық қауіпсіздіктің оқыс оқиғасының мәртебесі (аяқталған ақпараттық қауіпсіздіктің оқыс оқиғасы, ақпараттық қауіпсіздіктің оқыс оқиғасын жүзеге асыру әрекеті, ақпараттық қауіпсіздіктің оқыс оқиғасына күмән) | |
10 | Залал | |
11 | Қауіп көздері (анықталған идентификаторлар) | |
12 | Ниеттілік (қасақана, қате) | |
Ақпараттық қауіпсіздіктің оқыс оқиғасы бойынша қабылданған шаралар | ||
13 | Қабылданған іс-әрекеттер (осалдылықты сәйкестендіру, оқшаулау, қалпына келтіру) | |
14 | Ақпараттық қауіпсіздік тәуекелдерінің туындауын барынша азайтуға бағытталған жоспарланған іс-әрекеттер | |
15 | Хабардар болған тұлғалар (лауазымды тұлғалардың (тегі, аты, әкесінің аты (ол бар болса), мемлекеттік органдардың, ұйымдардың атауы) | |
16 | Тартылған мамандар (тегі, аты, әкесінің аты (ол бар болса), жұмыс орны, қызметі) |
Ақпараттық қауіпсіздік бөлімшесінің жауапты қызметкері
____________________________________________ __________________
(тегі, аты, әкесінің аты (ол бар болса) (қолы)
Күні 20 ___ жылғы "____" ______
Қаулыға 2-қосымша Төлем ұйымдарының қызметін ұйымдастыру қағидаларына 7-қосымша Нысан |
Ақпараттық қауіпсіздіктің оқыс оқиғасы картасы
№ | Жалпы мәліметтер | |
Ақпараттық қауіпсіздіктің оқыс оқиғасының сипаттамасы | Ақпараттық қауіпсіздіктің оқыс оқиғасы туралы ақпарат | |
1 | Ақпараттық қауіпсіздіктің оқыс оқиғасының атауы | |
2 | Анықталған күні мен уақыты (кк.аа.жжжж және сс:мм сағат белдеуін көрсете отырып UTC+X) | |
3 | Анықталған орны (ұйым, филиал, ақпараттық инфрақұрылым сегменті) | |
4 | Ақпараттық қауіпсіздіктің оқыс оқиғасы туралы ақпараттың дереккөзі (пайдаланушы, әкімші, ақпараттық қауіпсіздік әкімшісі, ақпараттық қауіпсіздік бөлімшесінің қызметкері немесе техникалық құрал) | |
5 | Ақпараттық қауіпсіздіктің оқыс оқиғасы іске асырылған кезде қолданылған әдістер (әлеуметтік инженерия, зиянды кодты ендіру) | |
Ақпараттық қауіпсіздіктің оқыс оқиғасының мазмұны | ||
6 | Ақпараттық қауіпсіздіктің оқыс оқиғасының нышандары, белгілері | |
7 | Негізгі оқиғалар (қолданбалы және жүйелік бағдарламалық қамтамасыз етуде осалдылықтарды пайдалану; ақпараттық жүйеге рұқсатсыз кіру; ақпараттық жүйеге немесе деректерді беру желісіне "қызмет көрсетуден бас тартуға" шабуылы; сервердің зиянды бағдарламамен немесе кодпен зақымдануы; ақша қаражатын рұқсат етілмеген аудару; электрондық ақша жүйесі операторы қызметінің тұрақтылығына қауіп төндіретін ақпараттық қауіпсіздіктің оқыс оқиғалары) | |
8 | Зақымданған активтер (электрондық ақша жүйесі операторының ақпараттық инфрақұрылымының нақты деңгейі, желілік жабдығының деңгейі, желілік қосымшалар мен сервистердің деңгейі, операциялық жүйе деңгейі, технологиялық процестер мен қосымшаларының деңгейі және бизнес-процестердің деңгейі) | |
9 | Ақпараттық қауіпсіздіктің оқыс оқиғасының мәртебесі (аяқталған ақпараттық қауіпсіздіктің оқыс оқиғасы, ақпараттық қауіпсіздіктің оқыс оқиғасын жүзеге асыру әрекеті, ақпараттық қауіпсіздіктің оқыс оқиғасына күмән) | |
10 | Залал | |
11 | Қауіп көздері (анықталған идентификаторлар) | |
12 | Ниеттілік (қасақана, қате) | |
Ақпараттық қауіпсіздіктің оқыс оқиғасы бойынша қабылданған шаралар | ||
13 | Қабылданған іс-әрекеттер (осалдылықты сәйкестендіру, оқшаулау, қалпына келтіру) | |
14 | Ақпараттық қауіпсіздік тәуекелдерінің туындауын барынша азайтуға бағытталған жоспарланған іс-әрекеттер | |
15 | Хабардар болған тұлғалар (лауазымды тұлғалардың (тегі, аты, әкесінің аты (ол бар болса), мемлекеттік органдардың, ұйымдардың атауы) | |
16 | Тартылған мамандар (тегі, аты, әкесінің аты (ол бар болса), жұмыс орны, қызметі) |
Ақпараттық қауіпсіздік бөлімшесінің жауапты қызметкері
____________________________________________ __________________
(тегі, аты, әкесінің аты (ол бар болса) (қолы)
Күні 20 ___ жылғы "____" ______