Қолданушылардың назарына!!!
Қаулының қолданысқа енгізілу тәртібін 2-тармақтан қараңыз.
"Көлік құралдары иелерінің азаматтық-құқықтық жауапкершілігін міндетті сақтандыру туралы" Қазақстан Республикасының 2003 жылғы 1 шілдедегі Заңының 8-1 бабын іске асыру мақсатында Қазақстан Республикасы Қаржы нарығын және қаржы ұйымдарын реттеу мен қадағалау агенттігінің (бұдан әрі - Агенттік) Басқармасы ҚАУЛЫ ЕТЕДІ:
1. Ұсынылып отырған Көлік құралдары иелерінің азаматтық-құқықтық жауапкершілігін міндетті сақтандыру жөніндегі деректер базасын қалыптастыру және жүргізу жөніндегі Нұсқаулық бекітілсін.
2. Осы қаулы Қазақстан Республикасының Әділет министрлігінде мемлекеттік тіркеуден өткен күннен бастап он төрт күн өткеннен кейін қолданысқа енеді.
3. Бағалы қағаздар рыногының субъектілерін және жинақтаушы зейнетақы қорларын қадағалау департаменті (Қарақұлова Д.Ш.):
1) Заң департаментімен (Байсынов М.Б.) бірлесіп, осы қаулыны Қазақстан Республикасының Әділет министрлігінде мемлекеттік тіркеуден өткізу шараларын қолға алсын;
2) осы қаулы Қазақстан Республикасының Әділет министрлігінде мемлекеттік тіркеуден өткен күннен бастап он күндік мерзімде оны Агенттіктің мүдделі бөлімшелеріне, сақтандыру (қайта сақтандыру) ұйымдарына, деректер базасын қалыптастыруды және жүргізуді жүзеге асыратын ұйымдарға, "Қазақстан қаржыгерлер қауымдастығы" заңды тұлғалар бірлестігіне мәлімет үшін жіберсін.
4. Агенттік Төрағасы Қызметі (Заборцева Е.Н.) осы қаулыны Қазақстан Республикасының бұқаралық ақпарат құралдарында жариялауды қамтамасыз етсін.
5. Осы қаулының орындалуын бақылау Агенттік Төрағасының орынбасары Ғ.Н.Өзбековке жүктелсін.
Төраға
Қазақстан Республикасы Қаржы
нарығын және қаржы
ұйымдарын реттеу мен
қадағалау агенттігі
Басқармасының
2007 жылғы 25 маусымдағы N 177
қаулысымен бекітілген
Көлік құралдары иелерінің азаматтық-құқықтық жауапкершілігін міндетті сақтандыру жөніндегі деректер базасын қалыптастыру және жүргізу жөніндегі Нұсқаулық
Осы нұсқаулық "Көлік құралдары иелерінің азаматтық-құқықтық жауапкершілігін міндетті сақтандыру туралы" 2003 жылғы 1 шілдедегі Қазақстан Республикасының Заңына (бұдан әрі - Заң) сәйкес әзірленді және көлік құралдары иелерінің азаматтық-құқықтық жауапкершілігін міндетті сақтандыру жөніндегі деректер базасын қалыптастыру және жүргізу қызметін жан-жақты қамтиды.
1. Осы Нұсқаулықты қолдану үшін "Электрондық құжат және электрондық цифрлық қолтаңба туралы" Қазақстан Республикасының Заңында белгіленген мынадай негізгі ұғымдар пайдаланылады:
1) ақпарат жүйесі қауіпсіздігін басқарушы (бұдан әрі - басқарушы) - электронды деректерді қабылдау және (немесе) беру жүйесінің қызметін, оларды қорғау шараларын іске асыратын, келіп түскен және (немесе) беріліп отырған ақпараттың қызметі мен өкілеттігін ескере отырып, жайғастыруды қамтамасыз ететін ұйымның қызметкері;
2) ақпараттық қауіпсіздік саясаты - шектеулі таратылатын ақпаратты басқаруды, қорғауды және бөлуді реттейтін нормалар және практикалық тәсілдер;
3) деректер базасының құрылымы - деректер базасында және олардың арасындағы байланыс жазбаларын ұйымдастыру тәртібі;
4) деректер базасын пайдаланушы - сақтандыру есептерін ақпарат жүйесінде қалыптастыруға және пайдалануға қатысушы және Заң талаптарына сәйкес ақпарат ұсынуды және (немесе) сақтандыру есептерін алу туралы шарт жасауы міндетті Заңның 8-1-бабының 8-тармағының 2) және 4) тармақшаларында көрсетілген сақтандыру есебін алушылар және Заңның 8-1-бабының 5-тармағында көрсетілгендей ақпаратты жеткізушілер;
5) жауапты тұлға - ақпаратты қорғау құралдарын санкцияланбаған кіруден қорғауды және бақылауды қамтамасыз ететін Ұйымның және деректер базасын пайдаланушының қызметкері;
6) зиянды бағдарламалық қамтамасыз ету (компьютерлік вирустар, желілік зиянкестер және осыған ұқсас бағдарламалық қамтамасыз етулер) - өз көшірмесін жасау қабілеті бар (ішінара немесе түпнұсқамен толық түрде дәл келетін) және оларды деректер базасын пайдаланушының сұрауынсыз компьютер жүйесінің, желілердің әр түрлі объектілеріне және (немесе) ресурстарына енгізу қабілеті бар атқарылатын код жиынтығы;
7)
нақты уақыт режимі - көлік құралдары иелерінің азаматтық-құқықтық жауапкершілігін міндетті сақтандыру шарты жасалған күннен кейінгі күні Астана қаласының уақытымен 12.00 сағатқа дейін келіп түсуді, ақпаратты өңдеуді және айырбастауды қамтамасыз ететін, сақтандыру есептерін қалыптастыру мен пайдаланудың ақпарат жүйесінің жұмыс режимі;
8) оператор - қорғаныс жүйесін пайдалану арқылы хабарламаларды қабылдау, жинау, өңдеу, беру және қабылдауды тікелей жүзеге асыратын деректер базасын пайдаланушы қызметкер;
9) сақтандыру есептерін қалыптастырудың және пайдаланудың ақпараттық жүйесі - Заңның 8-1-бабының 5-тармағында көрсетілгендей ақпаратты жеткізуші Ұйым іске асыруға арналған ақпаратты жеткізушілердің, ақпараттық процестердің сақтандыру есептерін алушылардың (деректер базасы субъектісін қоспағанда) олардың бағдарламалық-техникалық қамтамасыз ету жөніндегі ақпараттық технологияларының, ақпараттық желілерінің құрал-жабдықтарының жиынтығы;
10) сақтандыру есептерін қалыптастырудың және пайдаланудың ақпараттық жүйесін қорғау жөніндегі шаралар - сақтандыру есептерін қалыптастырудың және пайдаланудың ақпараттық жүйесінің жұмыс істеу қауіпсіздігін қамтамасыз етуге бағытталған ұйымдастыру-техникалық іс-шаралар, оның ішінде белгіленген бағдарламалық қамтамасыз етуге кіруге бақылауды және тіркелген пайдаланушылардың өкілеттігін шектемейтін құралдарды беруді қамтамасыз ететін санкцияланбаған кіруден электронды құралдар мен компьютерлерді қорғайтын бағдарламалық-аппараттық қорғаныс;
11) сәйкестендіруші - бірегей дербес код және (немесе) жүйенің субъектісіне және (немесе) объектісіне берілген және жүйеге және (немесе) жүйе ресурстарына ретпен кіруге арналған есім;
12) сәйкестендіру - жүйеде бар сәйкестендірушілер тізбесінің жүйеге және (немесе) сәйкестендіруші жүйесінің ресурсына кіруге рұқсат алу үшін жасалған иелену немесе сәйкестікті белгілеу процесі;
13) түпнұсқалық - енгізудің көрсетілген деректемелерінің жүйеде барымен сәйкес келуін анықтау жолымен субъекті мен объектінің түпнұсқалығын растау;
14) уәкілетті орган - қаржы нарығын және қаржы ұйымдарын реттеуді және қадағалауды жүзеге асыратын мемлекеттік орган;
15) шешуші ақпарат - криптографиялық кілттер және электронды цифрлық қол қою кілттері.
Ескерту. 1-тармаққа өзгерту енгізілді - ҚР Қаржы нарығын және қаржы ұйымдарын реттеу мен қадағалау агенттігі Басқармасының 2009.09.26 N 216 қаулысымен.
2. Ақпаратты жеткізушілер және кредиттік есепті қабылдаушылар (Заңның 8-1-бабының 8-тармағының 1), 3) және 5) тармақшаларында көрсетілген тұлғалардан басқа) кредиттік бюромен ақпарат беру туралы жасалған шарттардан және Қазақстан Республикасының заңнамасында белгіленген, сондай-ақ Ұйыммен жасалған ақпаратты ұсыну және (немесе) сақтандыру есептерін қабылдау туралы жасалған шарттардан туындайтын ұйымдастыру, технологиялық талаптардың орындалуын қамтамасыз етеді.
2-тарау. Сақтандыру есептерін қалыптастыру және пайдалану
3. Заңның 8-2-бабының 2-тармағында көзделген ақпараттың тәртібі, мерзімі және көлемі Ақпаратты ұсыну және (немесе) сақтандыру есептерін қабылдау шартымен белгіленеді.
4. Заңның 8-1-бабының 1, 5-тармақтарында көрсетілген ақпаратты жеткізушілер және Заңның 8-1-бабының 8-тармағының 2) және 4) тармақшаларында көрсетілген сақтандыру есептерін қабылдаушылар ұйымда тіркелу үшін мынадай құжаттарды береді:
1) ұйымға тіркелу туралы өтініш;
2) көлік құралдары иелерінің азаматтық-құқықтық жауапкершілігін міндетті сақтандырылуын жүзеге асыруға құқық беретін уәкілетті орган берген лицензияның нотариатта куәландырылған көшірмесін (Заңның 8-1-бабының 8-тармағының 2) тармақшасында көрсетілген ақпаратты);
3) заңды тұлғаның мемлекеттік тіркелгендігі туралы куәліктің көшірмесі;
4) Ұйым белгілеген тәртіппен Ұйымның сұратуларын жүзеге асыруға уәкілетті тұлғалардың тегі, аты, бар болса - әкесінің аты туралы ақпарат.
5. Заңда және осы Нұсқаулықта белгіленген талаптарды ескеріп, Заңның 8-1-бабының 8-тармағының 2) және 4) тармақшаларында көрсетілген сақтандыру есептерін қабылдаушылардың сұратуы сақтандыру есебін ұсыну негіздемесі болып табылады.
6. Ұйымның қабылдаушылар тізілімінде бар ақпаратты сұратуды Ұйымнан сұратуға жауапты уәкілетті орган Заңның 8-1-бабының 8-тармағының 2) және 4) тармақшаларында көрсетілген сақтандыру есептерін қабылдаушылар атынан береді.
7. Ұйымның Заңның 8-1-бабының 8-тармағының 1), 3), 5) тармақшаларында көрсетілген сақтандыру есептерін қабылдаушыларға ұсынуы олардың қағаз немесе электронды жеткізушілермен берілген сұратуы негізінде жүзеге асырылады.
8. Ұйым сақтандыру есептерін ұсыну және ұсынылған сақтандыру есептерін есепке алу жөніндегі сұратулар есебін жүргізеді.
9. Деректер базасының субъектісіне арналған сақтандыру есебінде сақтандыру есебін қабылдаушылардың берілген күнін, атауын және деректемелерін көрсеткен барлық берілген сақтандыру есептері туралы ақпарат болуы тиіс.
10. Ұйым сақтандыру есептерін ұсыну кезінде барлық ақпаратты жеткізушілерді және осы ақпаратты Ұйымның алған күнін көрсетеді.
11. Заңның 8-1-бабының 5-тармағының 1) тармақшасында көрсетілген ақпаратты жеткізуші Заңның 8-2-бабының 2-тармағында көзделген мәліметтерді Ұйымға нақты уақыт режимінде береді.
11-1. Қазақстан Республикасының аумағына уақытша кіретін (алып кіргізілетін) автокөлік бойынша мәліметтерді ақпаратты жеткізуші көлік құралдары иелерінің азаматтық-құқықтық жауапкершілігін міндетті сақтандыру шарты жасалған күнінен бастап бес жұмыс күнінен кешіктірмей береді:
1) сақтандыру шартының түрі (стандартты, кешенді);
2) сақтандыру полисінің нөмірі;
3) сақтандыру полисі берілген күні;
4) өтініш беруші туралы мәліметтер:
тегі, аты, бар болса - әкесінің аты, туылған күні, тұрғылықты орны (жеке тұлға үшін);
жүргізуші куәлігінің сериясы, нөмірі, берілген күні, жүргізу стажы (жеке тұлға үшін);
атауы, орналасқан орны (заңды тұлға үшін);
резиденттік сипаты (Қазақстан Республикасының резиденті / резиденті емес);
5) автокөлік туралы мәліметтер:
алып кіргізу мерзіміне көлік құралы тіркелгенін растайтын құжат;
Заңға сәйкес көлік құралының типі;
шығарылым жылы:
кузовының нөмірі;
6) сақтандыру мерзімі туралы мәліметтер;
7) сақтандырылған (сақтандырылғандар) туралы мәліметтер:
тегі, аты, бар болса - әкесінің аты, туылған күні, тұрғылықты орны;
жүргізуші куәлігінің сериясы, нөмірі, берілген күні, жүргізу стажы (жеке тұлға үшін).
Ескерту. 11-1-тармақпен толықтырылды - ҚР Қаржы нарығын және қаржы ұйымдарын реттеу мен қадағалау агенттігі Басқармасының 2009.09.26 N 216 қаулысымен.
12. Ақпаратты жеткізушінің Заңның 8-1-бабының 5-тармағының 1) тармақшасында көрсетілген сақтандырылған сақтанушы туралы Ұйымға ұсынып отырған мәліметтер Заңның 10-бабының 5-тармағында көзделген сақтанушының өтінішінде көрсетілген сақтанушы және сақтандырылушы туралы мәліметтермен сәйкес келуі тиіс.
13. Ұйым деректер базасының құрылымын деректер базасының мынадай негізгі функцияларын орындауды қамтамасыз етіп отырған Заңда белгіленген талаптарды ескеріп, ақпаратты жеткізушімен келісу арқылы анықтайды:
14. Заңның 8-1-бабының 8-тармағының 3) және 4) тармақшаларында көрсетілген сақтандыру есебін қабылдаушыларға арналған сақтандыру есебінің мазмұнына қойылатын талаптар Заңның 8-1-бабының 9-тармағымен белгіленген.
15. Ұйымның Заңның 8-1-бабының 8-тармағының 2) тармақшасында көрсетілген сақтандыру есебін қабылдаушының сақтандыру есептерін қалыптастыруы және беруі оған жүктелген лауазымдық функцияларын ескере отырып, оның қызметкерлерінің, сондай-ақ бар өкілеттіктеріне сәйкес сақтандыру ұйымының атынан және тапсыруы бойынша сақтандыру шарттарын жасау жөніндегі делдалдық қызметті жүзеге асыратын тұлғалардың деректер базасындағы бар ақпаратқа кіру деңгейіне қатысты жүзеге асырылады.
16. Сақтандыру есептері мынадай түрлерге бөлінеді:
1) кіру рұқсаты шектеулі сақтандыру есебі - қосарлы сақтандыру туралы, сақтандыру төлемдері туралы, төленген сақтандыру сыйлықақылары туралы, сақтандыру сомасының мөлшерлері туралы және сақтанушының, сақтандырылушының немесе пайда алушының жеке басына қатысты өзге де мәліметтері бар сақтандыру есебі;
2) кіру рұқсаты стандартты сақтандыру есебі - сақтандыру жағдайлары, сақтанушының, сақтандырылушының немесе пайда алушының көлік құралы, сақтандыру құпиясына қатысы жоқ өзге де мәліметтер туралы ақпараты бар сақтандыру есебі.
17. Осы Нұсқаулықтың 16-тармағының 1) тармақшасында көзделген сақтандыру есептерін лауазымды міндеттеріне осы Нұсқаулықпен көзделген ішкі актіде көрсетілетін ақпараты бар сақтандыру жағдайларын қарау және реттеу кіретін Заңның 8-1-бабының 8-тармағының 2) тармақшасында көрсетілген сақтандыру есебін қабылдаушының қызметкерлері пайдаланады.
18. Заңның 8-1-бабының 8-тармағының 2) тармақшасында көрсетілгендей лауазымдық міндеттеріне көлік құралдары иелерінің азаматтық-құқықтық жауапкершілігін міндетті сақтандыру шарттарын жасау кіретін және өздеріне берілген өкілеттіктеріне сәйкес сақтандыру ұйымының атынан және тапсыру бойынша сақтандыру шарттарын жасау жөніндегі делдалдық қызметті жүзеге асыратын тұлғалар сақтандыру есебін қабылдайтын қызметкерлер сақтандыру сыйлықақысының мөлшерін негізді түрде қолдану мақсатында Заңның 19-бабының 9-тармағында белгіленген деректер базасының субъектісі берген (деректер базасының субъектісінде сақтандыру жағдайларының болуы және болмауы) сынып туралы сақтандыру есебін қабылдайды.
19. Сақтандыру есептерін қалыптастыру және пайдалану жөніндегі ақпарат жүйесінің жұмыс істеуі былайша қамтамасыз етіледі:
1) келісілген рәсімдер мен технологиялық параметрлер аясындағы оның қатысушыларының қызметін үйлестіру және басқару;
2) қолданыстағы бағдарламалық және техникалық құралдарды сәйкестендіру;
3) ақпараттарды ашу мүмкіндігін жоюды қосқандағы ақпарат қауіпсіздігі;
4) жоғары тиімділікті технологияларды енгізу;
5) ресурстарды икемді және тиімді басқару;
6) қызмет көрсету сапасын көтеру.
20. Ұйым және деректер базасын пайдаланушылар мыналарды қамтамасыз етеді:
1) деректерді енгізуді бақылауды;
2) құжаттардың параметрлерін есепке алу мүмкіндігі (құжаттар нөмірі, байланыс коды, шарт нөмірі және басқалар);
3) жиынтық ақпарат тудыруды;
4) резерв көшірмелерін жасау, деректерді архивтеуді;
5) кіруге рұқсат беру құқығын бақылайтын қорғаудың штатты құралдары бар ақпарат жүйесін пайдалануды;
6) электронды хабарламаларды ұсынуды және қабылдауды реттейтін рәсімдердің болуы;
7) талдамалық және статистикалық есептерді дайындау мүмкіндігі.
21. Ақпарат жүйесін әзірлеу, енгізу және қызмет көрсету процесінің құрамына әзірлеу кезеңдерін белгілеу, өндіріске пайдалануға қабылдау, өзгерістер жасау, тестілеу және енгізу тәртібі, барлық кезеңдерді құжаттамалау талаптары енеді.
22. Ұйымның ақпарат жүйесін әзірлеу, енгізу және қызмет көрсетуі Қазақстан Республикасының аумағында қолданылып жүрген стандарттар мен Ұйымның ішкі құжаттары арқылы орындалады.
23. Ұйым ақпарат жүйесін әзірлеуді оның бірінші басшысы бекіткен техникалық тапсырма негізінде орындайды.
Ұйым ақпаратты жеткізушілерден ақпаратты қабылдау мүмкіндігін қамтамасыз етеді не олар пайдаланып отырған бағдарламалық қамтамасыз етудің тиісті талаптарын белгілейді. Деректер базасының пайдаланушылары бағдарламалық қамтамасыз етуді жеке әзірлеген жағдайда ол Ұйыммен келісіледі.
24. Бағдарламалық қамтамасыз етуге өзгерістер енгізу қажет болған жағдайда (жүйенің кемшіліктерін алып тастау немесе жетілдіру) бағдарламалық қамтамасыз етуде және (немесе) ақпараттық жүйе деректерінде санкцияланбаған өзгерістерді болдырмау мақсатында өзгерістер енгізу процесі Қазақстан Республикасының аумағында қолданылып жүрген техникалық тапсырмаларға, стандарттарға және Ұйымның ішкі құжаттарына сәйкес жүзеге асырылады.
4-тарау. Ұйым мен деректер базасын пайдаланушылар арасындағы ақпарат алмасу талаптары
25. Ұйым мен деректер базасын пайдаланушылар арасында ақпарат алмасу Қазақстан Республикасының Ақпараттандыру және техникалық реттеу туралы заңнамасының талаптарына сәйкес келетін арнайы автоматтандырылған жүйе арқылы жүзеге асырылады.
26. Ақпаратты жеткізуші ұсынған ақпаратты ұйым оның дұрыс немесе толық ресімделмеуіне, ақпаратты жеткізушінің деректерінің, сақтандыру есебін қабылдаушының, деректер базасы субъектісінің қолданылып отырған ақпарат жүйесінің талаптарына сәйкес келмеуіне байланысты сақтандыру есептерін қалыптастыру және пайдалану жүйесінде пайдаланбай қайтарып беруі мүмкін.
5-тарау. Қауіпсіздік жүйесін қалыптастыру
27. Сақтандыру есептерін қалыптастырудың және пайдаланудың ақпараттық жүйесі мыналарды қамтамасыз етеді:
1) ақпараттың құпиялылығы - ақпаратты сақтау, өңдеу немесе коммуникациялық арналар бойынша беру кезінде оны ашылып қалудан сақтау;
2) ақпараттың сақталуы - бүлінуден қорғау, санкцияланбаған өзгерістерден, толықтырулардан, көшірме жасаудан немесе оның сақталуы, өңделуі немесе коммуникациялық арналар бойынша берілуі кезінде қорғалуы;
3) кіруге рұқсаттың болуы - бір пайдаланушының бірлесіп пайдалануға арналған ақпараттық жүйенің деректері мен өзге де ресурстарын, ұстап алынған ақпараттық хабарламаларды және (немесе) одан кейінгі кешігуі жөніндегі деректерден, сондай-ақ ақпараттық хабарламаларды және (немесе) олардың кешігуі жөніндегі деректерді ұсталып қалудан қорғау.
28. Сақтандыру есептерін қалыптастыру және пайдалану жөніндегі ақпараттық жүйе қауіпсіздігін қамтамасыз ету жөніндегі міндетті іс-шаралардың базалық құрамы ақпарат қауіпсіздігі жүйесін құруға кешенді тәсілді қолдану болып табылады.
29. Ақпарат қауіпсіздігі жүйесін құру үшін кешенді тәсіл құрамына тәуекелдерді талдау және бағалау, оның ішінде техникалық арналар бойынша ақпараттың жылыстауы, қорғалатын ақпараттың сипаты мен маңыздылығын есепке алу, электронды құжаттарды өңдеу технологиясы қауіпсіздігін қамтамасыз етуді бақылау кіреді.
30. Ұйым және деректер базасының пайдаланушылары нақты уақыт режимінде күмәнді іс-қимылдарды жедел анықтау жөнінде және мыналарды белгілеуге бағытталған іс-шараларды қамтитын іс-қимылдар жасайды:
1) типтік емес іс-қимылдар (бағдарламалар немесе аспаптардың пайдаланушылары);
2) санкцияланбаған басып кірулердің немесе зиянды бағдарламалық қамтамасыз етуді пайдаланудың күшейе бастауы.
31. Ақпараттық қауіпсіздікті кешенді тәсілмен бағдарламалық - техникалық деңгейде қамтамасыз етуші негізгі бағыттар мыналар:
1) қауіпсіздік контуры;
2) ішкі корпоративті қауіпсіздік;
3) корпоративті қауіпсіздікті басқару.
32. Қауіпсіздік контуры (бұдан әрі - қауіпсіздік контуры) сақтандыру есептерін қалыптастыру және пайдалану жөніндегі ақпараттық жүйені қорғауды қамтамасыз етуге арналған. Қауіпсіздік контуры орталық және қосымша офистерді (филиалдар, өкілдіктер, шеткері офистер), олардың арасындағы ақпараттар ағынын, сондай-ақ ақпараттық жүйенің басқа желілермен сыртқы байланыстағы серверлер мен жұмыс станцияларында сақталып отырған ақпараттық ресурстарды қорғауды іске асырады.
33. Ұйымның және деректер базасын пайдаланушылардың рәсімдері санкцияланбаған басып кірулер мен вирусқа қарсы қорғанысты бақылауға, олардың ішкі ақпарат қауіпсіздігін қамтамасыз етуге арналған және олардың мәртебесі мен құқықтарына сәйкес пайдаланушыларды топтарға бөлуді қамтамасыз ететін жүйені құру және қолдау, сондай-ақ құпиялылық деңгейіне байланысты ресурстарды бөлу қажеттігіне арналып отыр.
34. Ұйымның және деректер базасын пайдаланушылардың кешенді қауіпсіздік жүйесі аясында корпоративті қауіпсіздікті басқару - ақпараттық қауіпсіздік саясатының жалпы талаптарын орындауды тұрақты бақылаумен, оған жедел түрде түзету енгізу және оның деңгейін көтеру арқылы қамтамасыз етіледі.
35. Қауіпсіздік деңгейін көтеру мыналарды көздейді:
1) ақпараттық қауіпсіздік саясатын белгілеу;
2) ақпараттық қауіпсіздік режиміне қолдау көрсету ұсынылатын шекараларды белгілеу;
3) тәуекелдерге баға беру;
4) тәуекелдерге қарсы іс-қимыл көрсету және оны басқару шараларын таңдау;
5) ақпараттық қауіпсіздік режимін қамтамасыз ететін құрал-жабдықтар мен басқаруды таңдау.
36. Ақпараттық қауіпсіздік саясатында қолданылып отырған ақпараттық жүйе құрамының сипаты, ұйымның ақпараттық жүйені пайдаланушыларының тізімі, олардың ақпараттарға, бағдарламаларға және техникалық құралдарға кіру құқықтары (олардың қызметтік жағдайы мен орындап отырған жұмысының сипатына байланысты) және ол мыналарды белгілейді:
1) ақпараттық қауіпсіздік аясындағы жұмыстың жалпы бағыттары;
2) ақпараттық жүйені қорғаудың мақсаты мен міндеттері;
3) қажетті қауіпсіздік деңгейіне жетудің негізгі принциптері мен тәсілдері;
4) ақпараттық қауіпсіздік саясатын белгілеуге қажетті талаптарды әзірлеуге жауапты тұлғаларды анықтау;
5) ақпараттық жүйенің және оны қорғау жүйесінің жұмыс қабілетін құруға және қолдау көрсетуге жауапты ұйымдар бөлімшелерін анықтау;
6) табиғи апаттар, апаттар, өрт, электр қуатының ажырауы, байланыс желілерінің бүлінуі, жаппай тәртіпсіздіктер, ереуілдер, әскери қимылдар сияқты дүлей күш пайда болған жағдайдағы ақпараттық жүйенің қауіпсіздік режимінің бұзылуын болдырмау жөніндегі шаралар.
37. Ұйым және деректер базасын пайдаланушылар мыналарды қамтамасыз етеді:
1) пайдаланылып отырған басқару шешімдерінің, технологияларының, тәсілдерінің және бағдарламалық-аспаптық құралдардың Қазақстан Республикасының қолданылып жүрген заңнамасына сәйкестігін;
2) ақпараттық жүйе қауіпсіздігін ұйымдастыру туралы ішкі құжаттарды қабылдауды.
38. Ақпараттарды қорғаудың рәсімдік деңгейіне ұйымдардың мына бағыттар бойынша қауіпсіздікті қамтамасыз ету іс-шаралары кіреді:
1) қызметкерлерді басқару;
2) физикалық қорғаныс;
3) қауіпсіздік режимінің бұзылуын байқау;
4) қалпына келтіру жұмыстарын жоспарлау.
39. Ұйым және деректер базасын пайдаланушылар құрал-жабдықтарын сәйкестендіру/түпнұсқаландыру мына талаптарға сәйкес келуі тиіс:
1) желілік қауіп-қатерге беріктік;
2) пайдаланылып отырған ақпараттық желіге бірыңғай кіруді қамтамасыз ету.
40. Ақпаратты қорғау жоспарына мына шаралар кіреді:
1) ұйымдастыру;
2) бағдарламалық-техникалық.
41. Қауіпсіздікті қамтамасыз етудің ұйымдастыру шараларына мыналар жатады:
1) ақпараттық жүйені физикалық қорғау;
2) ақпарат қауіпсіздігіне қатысы бар ақпарат жүйесінің жұмысқа қабілеттілігіне қолдау жасау;
3) әр пайдаланушыға оларға тапсырылған қызметтік міндеттеріне және өзара ауысымдылықты қамтамасыз ету үшін тиісті кіру құқығын қою;
4) қалпына келтіру жұмыстарын жоспарлау.
42. Физикалық қорғаныс мыналарға бөлінеді:
1) кіруге рұқсатты физикалық басқару;
2) өртке қарсы қауіпсіздік шаралары;
3) ықпал етуші инфрақұрылымды қорғау;
4) деректерді жаулап алудан қорғау, жылжымалы жүйені қорғау.
43. Ақпараттық жүйенің жұмыс қабілетін қолдау жөніндегі іс-шаралар мыналарға бөлінеді:
1) пайдаланушыларды қолдау - ақпараттық қауіпсіздік мәселелері бойынша кеңестер беру, олардың үнемі кездесетін қателерін анықтау және жария жағдайлар үшін ұсынымдары бар жадынамалармен қамтамасыз ету;
2) бағдарламалық қамтамасыз етуді қолдау - бағдарламалық қамтамасыз етудің лицензиялық (сертификатталған) тазалығын бақылау;
3) конфигурациялық басқару - бағдарламалық және техникалық конфигурацияға енгізілген өзгерістерді бақылау және белгілеу;
4) ақпараттық жүйені қалпына келтіру үшін резервтік көшірме жасау және дүлей апат жағдайындағы апаттар мен басқа жағдайлардағы деректер;
5) деректерді тасымалдаушыларды басқару - есеп жүргізу, айналыс және сақтау тәртібі;
6) құжаттамаландыру - істің ағымдық жағдайының актуалды көрінісі.
44. Ақпараттық жүйенің қауіпсіздік режимі бұзылған жағдайда жауапты тұлғалар, басқарушы мыналарды жүзеге асырады:
1) келтірілген зиянды кеміту мақсатындағы жедел шараларды орындау;
2) тәртіп бұзу туралы бар мәліметтерді талдау және баға беру - жанжалды зерттеу, екінші рет тәртіп бұзуды анықтау, қорғау жүйесін жетілдіру жөніндегі шараларды әзірлеу.
45. Резервтік көшірме жасау және ақпараттық жүйенің жұмыс қабілеті жоғалған соң оны қалпына келтіру Ұйым мен деректер базасын пайдаланушылардың белгілеген талаптары бойынша анықталады.
6-тарау. Электронды жабдықтарға, деректер базасының және үй-жайлардың сақталуына қойылатын ең төменгі талаптар
46. Пайдаланушының бағдарламалық қамтамасыз етуі тұрақты орны, конфигурациясы туралы жан-жақты деректері бар жұмыс орны сипатталған паспорты бар, сондай-ақ онда қойылған аппараттық және бағдарламалық құралдары бар арнайы бөлінген дербес компьютерге қойылады.
47. Пайдаланушының дербес компьютерін пайдаланған кезде оған сақтандыру есебін қалыптастыру және пайдалану жөніндегі ақпараттық жүйеге қатысу аясында электронды құжаттарды дайындау, өңдеу, беру немесе енгізу мақсатымен байланысы жоқ бағдарламалық құралдарды қоюға тиым салынады.
48. Пайдаланушының дербес компьютерінде құрамында пайдаланушылардың сәйкестендіру, түпнұсқалық құралдары бар қорғаныс кешені, компьютерге кіруге және пайдаланушылардың іс-қимылдарына байланысты қызметті бақылау мақсатында электронды құжаттарды сақтау мерзімі аралығында электронды журналдарды жүргізу мүмкіншілігі болуы тиіс.
49. Ақпараттық жүйеге кіру кезінде пайдаланушы сәйкестендіретін пайдаланушының бір жүйелі атына бір жеке тұлға сәйкес келуі тиіс.
50. Жұмыс орнының сипаттамасы - паспорт - Ұйым және пайдаланушы басшысының қолымен ресімделеді және жауапты басқарушы тұлғада сақталады.
51. Пайдаланушының дербес компьютерінде бағдарламалық қамтамасыз етудің тұтастығын қамтамасыз ететін құралдар болуы тиіс.
52. Пайдаланушының дербес компьютерінің жүйелі блогын жауапты тұлға мөрмен жабады не таңбалайды. Қажет болған жағдайда жүйелі блокқа кіру жауапты тұлғаның қатысуымен жүзеге асырылады. Жұмыс аяқталған кезде жүйелі блокты жауапты тұлға мөрмен жабады не таңбалайды.
53. Қорғаныс жүйесін пайдалана отырып, ақпаратты ортаға жинақталып белгіленген ақпаратты жіберу, ақпараттық ортадан ақпарат алу, ақпаратты сақтау, архивтеу не басқаша өңдеу белгіленген ресурстарға кіру тәртібі бойынша (дискілік кеңістік, директориялар, желілік ресурстар, деректер базасы және басқалар) осы ресурстарға санкцияланбаған кіру мүмкіндігін болдырмауы тиіс.
54. Криптографиялық қорғаныс бойынша жауапты тұлға жұмысты жүргізуді және бақылауды былай орындайды:
1) криптографиялық қорғаныстың бағдарламалық құралдарын есепке алу, сақтау және қызмет жасау;
2) криптографиялық кілттерді жасау, кілттері бар ақпаратты тасымалдағыштарды алу, есептеу, сақтау және беру;
1) криптографиялық кілттер иелерінің тізімін жүргізу;
2) криптографиялық кілттер иелерін қажетті нұсқаулармен қамтамасыз ету.
55. Қорғау жүйесінің жұмыс орны жеке үй-жайда орналасады.
56. Пайдаланушының жұмыс орны тұрған жер және күзет үй-жайының техникалық құралдары (кіруге рұқсатты бақылау және күзет-өрт дабылы) пайдаланушының жұмыс орнына жіберілмеген адамдардың үй-жайға бақылаусыз кіру мүмкіндігін болдырмауы тиіс. Ұйымның үй-жайы күзетілетін аймақта болуы, коды бар кілті және кіруге тіркелу құралдары болуы тиіс.
57. Ұйым үйдің бірінші немесе соңғы қабатында орналасқан жағдайда, сондай-ақ балкондар терезелерімен, өрт баспалдақтарымен қатар болған жағдайда үй-жай терезелері металл тормен жабдықталады.
58. Ұйымның және пайдаланушының үй-жайын техникалық жағынан қорғау құралдары (кіруге рұқсатты бақылау) пайдаланушының жұмыс орнына жіберілмеген адамдардың үй-жайға бақылаусыз кіру мүмкіндігін болдырмауы тиіс. Ұйымда жұмысқа кіру оның регламентіне және қызметкерлердің қызметтік міндеттеріне сәйкес жүзеге асырылады.
7-тарау. Деректер базасы қызметінің өзге де мәселелері
59. Қорғаныс жүйесінің жұмыс тәртібі Ұйымның және пайдаланушының ішкі актісімен, мыналарды қоса отырып белгіленеді:
1) жауапты тұлға, басқарушы, оператор міндеті жүктелетін қызметкерлерді тағайындау тәртібі;
2) жұмыс режимі;
3) жауапты тұлға, басқарушы, операторлардың қызметтік нұсқаулықтарын қосқандағы құқықтары мен міндеттері;
4) оператордың жұмыс орнына рұқсатпен жіберілген қызметкерлердің тізімі.
60. Жауапты тұлғалар:
1) ақпараттық жүйе ресурстарына кіру рұқсаты үшін сәйкестендіру және түпнұсқалық рәсімдерінің міндеттілігін қамтамасыз етеді;
2) рұқсат берілмеген пайдаланушылардың ақпараттық ресурстарға кіру құқығын алуына жол бермейді;
3) ақпарат жүйе өңдеген ақпаратқа резервтік көшірме жасауды орындаудың тұрақтылығын бақылайды;
4) жүйе ресурстарының қорғалу сенімділігіне жоспарлы және жоспардан тыс тексеру жүргізеді;
5) корпоративті желінің жабдықтарын, оның ішінде арнайы желіаралық бағдарламалық құралдарын қорғауды қамтамасыз етеді;
6) қауіп төнген және тәртіп бұзу анықталған жағдайда шаралар көреді;
7) түсіріп алатын тасымалдағыштар арқылы (икемді дискілер, flash-карттар, қатты дискілердегі сыртқы жинақтаушылар және басқалар) ақпараттың жылыстауынан құралдардың жұмысқа қабілеттілігін қорғауды қамтамасыз етеді;
8) оқиғалар журналын тұрақты қарайды, ақпаратқа станцияланбаған кіруге тырысулар бар жазбаларға талдама жасайды.
61. Жауапты тұлға, басқарушы, оператор олар қызметтік міндеттерін атқару барысында белгілі болған ақпараттарды жарияламау және таратпау туралы жазбаша өздеріне міндеттеме қабылдайды.
62. Пайдаланушының қызметкерлері (жауапты тұлға, басқарушы немесе оператор) жұмыстан шыққан жағдайда ұйымның шешуші ақпараты жоспардан тыс ауысатын болғандықтан, ол туралы Ұйымға хабарланады. Жаңа шешуші ақпарат олар жұмыстан шыққан күннен бастап қолданысқа енеді.
63. Шешуші ақпарат сыртқы тасымалдағышта (дискет, пластикалық карточка) болуы тиіс.
64. Шешуші ақпараты бар сыртқы тасымалдағыштарды сақтау және пайдалану тәртібінде оларға санкцияланбаған кіру мүмкіндігі болмауы тиіс.
65. Ұйым және пайдаланушы электронды хабарламасын қалыптастыру және беру кезінде қорғаныс іс-қимылдарын бағдарламалық-криптографиялық қорғаныстың және электронды сандық қол қоюдың белгіленген тәртібіне сәйкес жүзеге асырады.
66. Қорғаныс іс-қимылдары немесе оны жариялау тәртібі бұзылған жағдайда осы тәртіп бұзуды анықтаған жақ бұл туралы дереу келесі ұйымды хабардар етеді және зардаптарды жою жөнінде шаралар көреді.
67. Ұйым және пайдаланушы Заңның 8-1-бабының 5-тармағының 1) тармақшасында көрсетілген ақпараттың ақпараттық жүйесінің қатысушысының бағдарламалық қамтамасыз етуді қорғау бойынша ұйымдық-техникалық, технологиялық талаптарға, олар пайдаланып отырған осы ақпараттық жүйенің осы Нұсқаулықтың Қосымшасына сәйкес нысанға сай және Қазақстан Республикасының заңнамасымен белгіленген шарттар мен талаптарға сәйкестігін орындауды (сақтауды) тексеруді Қазақстан Республикасының заңнамасының шарттары мен талаптарымен белгіленген акт жасаушы қаржы рыногын және қаржы ұйымдарын реттеу және қадағалау жөніндегі мемлекеттік уәкілетті органның комиссиясы жүзеге асырады.
68. Осы Нұсқаулықпен реттелмейтін мәселелер Қазақстан Республикасының заңнамасында белгіленген тәртіп бойынша шешіледі.
Көлік құралдары иелерінің
азаматтық-құқықтық жауапкершілігін
міндетті сақтандыру жөніндегі
деректер базасын қалыптастыру
және жүргізу жөніндегі Нұсқаулыққа
қосымша
Заңның 8-1-бабының 5-тармағының 1) тармақшасында
көрсетілген Ұйымның, ақпаратты жеткізушінің ақпараттық
қызмет көрсету рыногындағы өз қызметін бастау үшін
қойылатын талаптарға сәйкестігін және оның бағдарламалық
қамтамасыз ету, ақпараттық жүйелер мен ақпараттық
ресурстарды қалыптастыру, бағдарламалық қамтамасыз етуді
қорғау жөніндегі ұйымдастыру-техникалық, технологиялық
және өзге де талаптарды орындау жөніндегі
АКТІ
_____________ _____________
күні жасалған орны
Заңның 8-1-бабының 5-тармағының 1) тармақшасында көрсетілген Ұйымның, ақпаратты жеткізушінің ақпараттық қызмет көрсету рыногындағы өз қызметін бастау үшін қойылатын талаптарға сәйкестігін және оның бағдарламалық қамтамасыз ету, ақпараттық жүйелер мен ақпараттық ресурстарды қалыптастыру, бағдарламалық қамтамасыз етуді қорғау жөніндегі ұйымдастыру-техникалық, технологиялық және өзге де талаптарды орындау жөніндегі осы актіні мынадай құрамдағы комиссия жасады:
1) уәкілетті органның өкілдері:
____________________________________________________________________
____________________________________________________________________
____________________________________________________________________
____________________________________________________________________
2) Заңның 8-1-бабының 5-тармағының 1) тармақшасында көрсетілген Ұйымның, ақпаратты жеткізушінің өкілдері:
____________________________________________________________________
____________________________________________________________________
____________________________________________________________________
Комиссия зерттеген объектілердің және зерделеген құжаттардың сипаттамасы:
____________________________________________________________________
____________________________________________________________________
____________________________________________________________________
____________________________________________________________________
Заңның 8-1-бабының 5-тармағының 1) тармақшасында көрсетілген Ұйымның, ақпаратты жеткізушінің өкілдерінің және өзге де келушілердің түсіндірмелерінің қысқаша мазмұны:
____________________________________________________________________
____________________________________________________________________
____________________________________________________________________
Заңның 8-1-бабының 5-тармағының 1) тармақшасында көрсетілген Ұйымның, ақпаратты жеткізушінің өкілдерінің техникалық және өзге де құжаттарын тексеруі, оның кредиттік тарихтың электронды деректер базасын қалыптастыру жүйесіндегі жұмыстарға арналған техникалық үй-жайын, электронды-компьютерлік жабдықтарын, байланыс жүйесін және қорғаныс құрылғыларын және өзге де объектілерін зерттеу кезінде
____________________________________________________________________
_____________________________ анықталды (ұсынылып отырған талаптарға сәйкес/сәйкес емес және ақпараттық қызмет рыногында қызметті жалғастыруды ұйымдастырудың басы жеткілікті/жеткіліксіз). Заңның 8-1-бабының 5-тармағының 1) тармақшасында көрсетілген Ұйымның, ақпаратты жеткізушінің өкілдерінің комиссия актісіне қоса берілген техникалық құжаттамасын және өзге де құжаттарды береді.
Акт екі данада жасалды және бір-бір данамен мыналарға жіберілді:
уәкілетті органға;
Заңның 8-1-бабының 5-тармағының 1) тармақшасында көрсетілген ақпаратты Ұйымға, ақпаратты жеткізушіге;
Кредиттік тарихты қалыптастыру және пайдалану жөніндегі ақпарат жүйесінің қатысушысына.
Комиссия мүшелері:
____________________________________________________________________
____________________________________________________________________
________________________________________________________________________________________________________________________________________
Тексеруші ұйым өкілі:
____________________________________________________________________
____________________________________________________________________
________________________________________________________________________________________________________________________________________
____________________________________________________________________