«Қазақстан Республикасының кейбір заңнамалық актілеріне екінші деңгейдегі банктердің жұмыс істемейтін кредиттері мен активтері, қаржылық қызметтер көрсету және қаржы ұйымдары мен Қазақстан Республикасы Ұлттық Банкінің қызметі мәселелері бойынша өзгерістер мен толықтырулар енгізу туралы» 2015 жылғы 24 қарашадағы Қазақстан Республикасының Заңын іске асыру мақсатында және электрондық банктік қызметтерді көрсету кезінде банктердің және банк операцияларының жекелеген түрлерін жүзеге асыратын ұйымдардың ақпараттық жүйелерінің қауіпсіз және іркіліссіз жұмыс істеуіне қойылатын талаптарды белгілеу мақсатында Қазақстан Республикасы Ұлттық Банкінің Басқармасы ҚАУЛЫ ЕТЕДІ:
1. Қоса беріліп отырған Банктердің және банк операцияларының жекелеген түрлерін жүзеге асыратын ұйымдардың ақпараттық жүйелерінің қауіпсіз және іркіліссіз жұмыс істеуіне қойылатын талаптар бекітілсін.
2. Төлем жүйелерiн дамыту және басқару департаменті (Мұсаев Р.Н.) Қазақстан Республикасының заңнамасында белгіленген тәртіппен:
1) Құқықтық қамтамасыз ету департаментімен (Сарсенова Н.В.) бірлесіп осы қаулыны Қазақстан Республикасының Әділет министрлігінде мемлекеттік тіркеуді;
2) осы қаулыны «Қазақстан Республикасы Әділет министрлігінің Республикалық құқықтық ақпарат орталығы» шаруашылық жүргізу құқығындағы республикалық мемлекеттік кәсіпорнына:
Қазақстан Республикасының Әділет министрлігінде мемлекеттік тіркелгенінен кейін күнтізбелік он күн ішінде «Әділет» ақпараттық-құқықтық жүйесінде ресми жариялауға;
Қазақстан Республикасының Әділет министрлігінде мемлекеттік тіркелгеннен кейін оны Қазақстан Республикасының Ұлттық Банкі алған күннен бастап күнтізбелік он күн ішінде Қазақстан Республикасы нормативтік құқықтық актілерінің мемлекеттік тізіліміне, Қазақстан Республикасы нормативтік құқықтық актілерінің эталондық бақылау банкіне енгізуге жіберуді;
3) осы қаулы ресми жарияланғаннан кейін оны Қазақстан Республикасы Ұлттық Банкінің интернет-ресурсына орналастыруды қамтамасыз етсін.
3. Халықаралық қатынастар және жұртшылықпен байланыс департаменті (Қазыбаев А.Қ.) осы қаулыны Қазақстан Республикасының Әділет министрлігінде мемлекеттік тіркелгеннен кейін күнтізбелік он күн ішінде мерзімді баспасөз басылымдарында ресми жариялауға жіберуді қамтамасыз етсін.
4. Осы қаулының орындалуын бақылау Қазақстан Республикасының Ұлттық Банкі Төрағасының орынбасары Ғ.О. Пірматовқа жүктелсін.
5. Осы қаулы 2017 жылғы 1 қаңтардан бастап қолданысқа енгізіледі және ресми жариялануға жатады.
Ұлттық Банк
Төрағасы Д. Ақышев
Қазақстан Республикасы
Ұлттық Банкі Басқармасының
2016 жылғы 28 қаңтардағы
№ 34 қаулысымен
бекітілген
Банктердің және банк операцияларының жекелеген түрлерін жүзеге асыратын ұйымдардың ақпараттық жүйелерінің қауіпсіз және іркіліссіз жұмыс істеуіне қойылатын талаптар 1. Жалпы ережелер
1. Осы Банктердің және банк операцияларының жекелеген түрлерін жүзеге асыратын ұйымдардың ақпараттық жүйелерінің қауіпсіз және іркіліссіз жұмыс істеуіне қойылатын талаптар (бұдан әрі – Талаптар) Қазақстан Республикасының Ұлттық Банкі туралы» 1995 жылғы 30 наурыздағы, «Қазақстан Республикасындағы банктер және банк қызметі туралы» 1995 жылғы 31 тамыздағы (бұдан әрі – Банктер туралы заң), «Ақша төлемдері мен аударымдары туралы» 1998 жылғы 29 маусымдағы (бұдан әрі – Төлемдер туралы заң) Қазақстан Республикасының Заңдарына сәйкес әзірленді және электрондық банктік қызметтер көрсететін банктердің және банк операцияларының жекелеген түрлерін жүзеге асыратын ұйымдардың (бұдан әрі – банктер) ақпараттық жүйелерінің қауіпсіз және іркіліссіз жұмыс істеуіне қойылатын талаптарды белгіленеді.
2. Талаптарда Төлемдер туралы заңда, «Ақпараттандыру туралы» Қазақстан Республикасының Заңында, Нормативтік құқықтық актілерді мемлекеттік тіркеу тізілімінде № 1351 тіркелген «Екінші деңгейдегі банктердің және банк операцияларының жекелеген түрлерін жүзеге асыратын ұйымдардың электрондық банк қызметiн көрсету ережесін бекіту туралы» Қазақстан Республикасы Ұлттық Банкі Басқармасының 2008 жылғы 28 наурыздағы № 18 қаулысында (бұдан әрі – № 18 ереже) көзделген ұғымдар, сондай-ақ мынадай ұғымдар пайдаланылады:
1) ақпараттық жүйенің объектісі – ақпараттық жүйенің электрондық банктік қызмет көрсету кезінде жекелеген функцияларды орындау үшін ақпаратты беруге, өңдеуге және сақтауға арналған жекелеген құрауышы;
2) банктің ақпараттық жүйесінің негізгі орталығы (бұдан әрі – негізгі орталық) – штаттық (күнделікті) режімде электрондық банктік қызмет көрсетуді қамтамасыз ететін бағдарламалық-техникалық құралдардың және қызмет көрсететін қызметкерлердің жиынтығы;
3) банктің ақпараттық жүйесінің резервтік орталығы (бұдан әрі – резервтік орталық) – негізгі орталықта төтенше жағдайлар туындаған немесе жоспарлы техникалық жұмыстар жүргізілген кезде электрондық банктік қызмет көрсетуді қамтамасыз ететін бағдарламалық-техникалық құралдардың және қызмет көрсететін қызметкерлердің жиынтығы;
4) банктің электрондық банктік қызмет көрсетуге арналған ақпараттық жүйесі (бұдан әрі – ақпараттық жүйе) – электрондық банктік қызмет көрсету қамтамасыз етілетін аппараттық-бағдарламалық кешенді қолдана отырып ақпаратты сақтауға, өңдеуге, іздеуге, таратуға, беруге және ұсынуға арналған жүйе;
5) жауапты қызметкер – банктің ақпараттық жүйесіндегі жұмыс үшін лауазымдық міндеттемелеріне сәйкес жауапты қызметкері;
6) жұмыс орны – ақпараттық жүйені немесе ақпараттық жүйе объектілерін басқару үшін бағдарламалық-пайдалану интерфейс орнатылған дербес компьютер (сервер);
7) қалпына келтіру командасы – банктің ішкі құжаттарында белгіленген бос тұрып қалу уақытын ескере отырып толық қалпына келтіруді не ақпараттық жүйенің жұмысын резервтік орталыққа ауыстыруды қамтамасыз ететін ақпараттық жүйеге немесе ақпараттық жүйе объектілеріне қолжетімділікті және толыққанды жұмысын қамтамасыз ету бойынша қызмет көрсететін ұйымдардың қызметкерлері;
8) пайдаланушы – банктің электрондық банктік қызметті алу үшін ақпараттық жүйеге өтініш білдіретін клиенті не жауапты қызметкер;
9) сәйкестендіру – ақпараттық жүйеге қол жеткізу субъектісінің немесе объектісінің түпнұсқалылығын қол жеткізудің ұсынылған деректемелерінің сәйкестігін анықтау арқылы растау.
3. Банктік операциялардың жекелеген түрлерін жүзеге асыратын ұйымдарды қоспағанда, банктердің ақпараттық жүйелерінің қауіпсіз және іркіліссіз жұмыс істеуін қамтамасыз ету мақсатында операциялық тәуекелді, іркіліссіз қызметті, ақпараттық технологиялар тәуекелдерін, ақпарат қауіпсіздігін басқару Нормативтік құқықтық актілерді мемлекеттік тіркеу тізілімінде № 9322 тіркелген «Екінші деңгейдегі банктерге арналған тәуекелдерді басқару және ішкі бақылау жүйесін қалыптастыру қағидаларын бекіту туралы» Қазақстан Республикасы Ұлттық Банкі Басқармасының 2014 жылғы 26 ақпандағы № 29 қаулысына сәйкес жүзеге асырылады.
2. Жұмыс орындарына қойылатын талаптар
4. Банк жұмыс орындарында мыналарды қамтамасыз етеді:
1) жауапты қызметкерді сәйкестендіру және бірдейлестіру құралы кіретін, рұқсат етілмеген кіруден қорғаудың бағдарламалық немесе бағдарламалық-аппараттық кешенін орнатуды және жұмысын;
2) электр желісінде кернеу болмаған кезде ақпараттық жүйедегі жұмысты дұрыс аяқтау үшін қажетті, бірақ он минуттан кем емес уақыт ішінде жұмыс орнының жұмысын жүзеге асыруға мүмкіндік беретін үздіксіз электр қуатын беретін техникалық құралдарды орнатуды және жұмысын. Банктің ғимаратында орнатылған жалпы үздіксіз қуат бері көзін пайдалануға рұқсат етіледі;
3) зиян келтірілетін бағдарламалық кодты және/немесе бағдарламаларды анықтау құралдарын орнатуды және жұмысын. Келтірілген зиян фактісі анықталған жағдайда осы ақпарат банктің қауіпсіздік бөлімшесіне жіберіледі;
4) берілетін ақпаратты және баланыс арналарын бағдарламалық не бағдарламалық-аппараттық қорғауды. Берілетін ақпаратты арнайы бөлінген жұмыс орындарына тиісті бағдарламалық-аппараттық құралдар орнату арқылы қорғауға рұқсат етіледі.
5. Жұмыс орнына қолжетімділік беретін техникалық құралдарды, парольдерді немесе басқа ақпаратты сақтау және пайдалану тәртібі деректерді рұқсат етілмеген кіруден қорғауды қамтамасыз етеді.
6. Ақпаратты ақпараттық жүйеге беру, ақпараттық жүйеден ақпаратты алу, ақпаратты сақтау, мұрағаттау немесе басқа да өңдеу үшін жинақтауға арналып бөлінген ресурстарға (дискілік кеңестік, директория, желілік ресурстар, дерекқорлар) кіру тәртібі осы ресурстарға олармен жұмыс істеуге рұқсаты жоқ тұлғалардың кіруінен қорғауды қамтамасыз етеді.
7. Жауапты қызметкердің жұмыс орнына қолжетімділігі оның лауазымдық міндеттеріне сәйкес жүзеге асырылады.
8. Пайдаланушының пайдаланушы ақпараттық жүйенің кірісінде сәйкестендірілетін бір жүйелік атына әкімшінің функцияларын орындайтын қызметкерлерді қоспағанда бір жауапты қызметкер сәйкес келеді. Әкімшінің функцияларын орындайтын қызметкер үшін пайдаланушының бірнеше жүйелік атын құруға рұқсат етіледі.
9. Жұмыс орнына деректерді беру желісі және өзге техникалық арналар арқылы кіру тәртібі рұқсат етілмеген кіру мүмкіндігін азайтады.
10. Банктің ақпараттық жүйеге кіруге рұқсаты бар жауапты қызметкерлердің жұмыс тәртібі көзделетін ішкі құжаттарында:
1) жауапты қызметкерлерді тағайындау тәртібі;
2) жауапты қызметкерлердің жұмыс режімі;
3) лауазымдық нұсқалықтарын қоса алғанда жауапты қызметкерлердің құқықтары мен міндеттері;
4) қалпына келтіру командасының тізімі айқындалады.
3. Ақпараттық жүйенің құрылымы және жұмыс істеуі жөніндегі құжаттамаға қойылатын талаптар
11. Банктің ақпараттық жүйелердің құрылымы және жұмыс істеуі жөніндегі құжаттамасында:
1) ақпараттық жүйелердің және олардың объектілерінің тізбесі, олардың мақсаты және негізгі сипаттамалары, жүйелердің орталықтандыру иерархиясы мен дәрежесі деңгейлерінің санына қойылатын талаптар, оның ішінде ақпараттық жүйенің әрбір объектісі бойынша функциялардың, міндеттердің тізбесі;
2) ақпараттық жүйелердің құрауыштары арасында ақпарат алмасуға арналған байланыстың тәсілде мен құралдарына қойылатын талаптар;
3) ақпараттық жүйелердің жұмысын қалпына келтіру жоспарлары (бұдан әрі – қалпына келтіру жоспары;
4) ақпараттық жүйелердің жұмыс істеу режімдеріне қойылатын талаптар;
5) ақпараттық жүйелердің жұмыс істеу мониторингіне қойылатын талаптар;
6) қалпына келтіру командасының жауапты қызметкелерінің жіктеліміне, санына және жұмыс режіміне қойылатын талаптар көрсетіледі.
12. Ақпараттық жүйенің құрылымы және жұмыс істеуі жөніндегі құжаттама банк айқындаған жүйелі, бірақ жылына бір реттен кем емес негізде маңызын арттыру мәніне қайта қаралуға жатады.
4. Ақпараттық жүйелер жұмысының қауіпсіздігіне қойылатын талаптар
13. Пайдаланушы электрондық банктік қызмет алу үшін ақпараттық жүйеге жүгінген кезде банк:
1) клиенттердің электрондық банктік қызмет алуы бойынша іс-әрекеттерін, оның ішінде байланыс орнату әрекеттеріне бастап сәтті және сол сияқты сәтсіз іс-әрекеттерін электрондық журналдарда операцияларды жүргізу уақытын көрсете отырып, оларға енгізілген деректерді өзгерту мүмкіндігінсіз тіркеуді қамтамасыз етеді. Электрондық журналдардың мәліметтерін сақтау кезеңі кемінде 2 (екі) айды құрайды;
2) ақпараттық жүйедегі рұқсат етілмеген операциялардың немесе рұқсат етілмеген операцияларды жүргізу үшін жағдайлар жасауға бағытталған іс-әрекеттердің автоматты түрдегі мониторингіне, анықтауға және бұғаттауға арналған бағдарламалық қамтамасыз етудің жұмыс істеуін;
3) пайдаланушының жұмыс орны істен шыққан немесе теріс пиғылды адам оған рұқсат етілмеген қолжетімділік алған кезде жүйенің серверлік бөлімінің жұмысына әсер етпейтін, ал қосымшалар сервері істен шыққан кезде осы жүйелердің жай-күйіне әсер етпейтін «клиент–сервер» архитектурасын;
4) деректерді кейіннен қалпына келтіру мүмкіндігімен резервтік көшіруді және мұрағаттауды;
5) Талаптардың 4-тармағының 4) тармақшасында көзделген іс-әрекеттерді орындауды қамтамасыз етеді.
14. Электрондық банктік қызметтерді көрсету кезінде банк құпиясына жататын жіберілетін деректердің және (немесе) оларды дербес компьютерлерден, телефондардан, электрондық терминалдардан және өзге құрылғылардан жіберілетін деректерді өңдеу жүйесіне дейін өткізуге арналған ақпараттық-коммуникациялық желінің шифрын белгілеу жүзеге асырылады.
15. Электрондық банктік қызметтерді көрсету кезінде қауіпсіздік рәсімдеріне қойылатын талаптар № 18 қағидаларда белгіленеді.
5. Ақпараттық жүйелердің іркіліссіз жұмыс істеуін қамтамасыз етуге қойылатын талаптар
16. Электрондық банктік қызметтердің іркіліссіз көрсетілуін қамтамасыз ету мақсатында банктер ішкі құжаттарда қалпына келтіру жоспарын, оны қайта қарау және тестілеу тәртібін айқындайды.
17. Қалпына келтіру жоспарын әзірлеу мынадай факторлар ескеріле отырып жүзеге асырылады:
1) төтенше жағдайлардың түрі және сипаты, олардың банк қызметіне әсер ету дәрежесі;
2) қалпына келтіру басымдығы көрсетіле отырып, электрондық банктік қызметтерді көрсетуді қамтамасыз ететін ақпараттық жүйелердің және олардың объектілерінің тізбесі;
3) ақпараттық жүйелердің жұмысы тоқтаған кезде туындайтын зиян және олардың жұмысын қалпына келтіруге арналған шығындар.
18. Ақпараттық жүйелердің тізбесін көрсету кезінде оларды қалпына келтірудің рұқсат етілген мерзімдері айқындалады. Мерзімдерді банктер ақпараттық жүйенің жұмысындағы бос тұрып қалу маңыздылығына қарай белгілейді.
19. Қалпына келтіру жоспарында мынадай талаптар қамтылады:
1) резервтік орталықтың болуы және орналасқан жері;
2) бизнес–процестердің, ақпараттық жүйе объектілерінің, ақпараттық жүйенің жұмысын қамтамасыз ететін, қалпына келтіру резервтік орталықта талап етілетін техникалық, бағдарламалық немесе басқа құралдардың тізбесі;
3) ақпараттық жүйенің резервтік орталығының жұмыс істеуіне тестілеу жүргізу тәртібі, кезеңділігі және сценарийлері;
4) төтенше жағдайлардың салдарлары жойылғаннан кейін бұзылған ақпараттық жүйелерді қалпына келтіру тәртібі, төтенше жағдай режіміндегі жұмыстың аяқталуы туралы шешім қабылдауға мүмкіндік беретін критерийлер және осындай шешім қабылдау тәртібі, сондай-ақ қалыпты жұмыс істеу режіміне қайтып келу тәртібі.
20. Ақпараттық жүйенің қызметін қалпына келтіруге арналған резервтік орталықтың және байланыс арналарының жұмыс істеуге дайындығын тексеру мақсатында банктер жылына кемінде бір рет қалпына келтіру жоспарына сәйкес резервтік орталықтың және байланыс арналарының жұмыс істеуін тестілеуді (бұдан әрі – Жоспарды тестілеу) жүргізеді.
21. Жоспарды тестілеу банк әзірленген және бекітілген, төтенше жағдайлардың туындау сценарийінің, қалпына келтірілетін жұмыс процестерінің және ақпараттық жүйе объектілерінің, қалпына келтіру командасы іс-қимылдарының, жұмысты жүргізу мерзімдері мен орны жөніндегі талаптардың сипаты көзделетін бағдарлама бойынша жүргізіледі.
22. Банк Жоспарды тестілеу қорытындысы бойынша мыналар:
1) тестілеу жүргізілген ақпараттық жүйелердің және олардың объектілерінің тізбесі;
2) ақпараттық жүйелердің және олардың объектілерінің жұмысын қалпына келтіруге жұмсалған уақыт;
3) анықталған осалдықтар және оларды жою жөніндегі ұсыныстар көрсетіле отырып тестілеу нәтижелері туралы құжат (хаттама) дайындалады.
Тестілеу нәтижелері туралы мәліметтерді банк Қазақстан Республикасының Ұлттық Банкіне (бұдан әрі – Ұлттық Банк) тестілеу нәтижелері туралы құжатты банктің уәкілетті органы бекіткеннен кейін он жұмыс күні ішінде ұсынылады.
23. Ақпараттық жүйенің жұмысында істен шығу (бос тұрып қалу) туындаған кезде банк негізгі орталықтың жұмысын қалпына келтіруді қамтамасыз етеді.
Негізгі орталықтың жұмысын қалпына келтірудің барынша рұқсат етілген мерзім кезеңінде қалпына келтіруге мүмкін болмаған кезде ақпараттық жүйені резервтік орталықтың жұмысына ауыстыру жүзеге асырады.
Ақпараттық жүйені резервтік орталыққа ауыстыру бойынша стандартты уақыт нормативі істен шығу (бос тұрып қалу) туындаған сәттен бастап төрт сағаттан аспайды.
24. Банк Банктер туралы заңға сәйкес клиенттерге жіберілетін, ақпараттық жүйенің жұмысын қамтамасыз ететін техникалық, бағдарламалық және басқа құралдарға енгізілетін және клиенттің электрондық банктік қызметке қолжетімділігіне әсер ететін өзгерістерді (жаңартуларды) жоспарланып отырған қолданысқа енгізу туралы хабарламаларда (еркін нысандағы) қолжетімділігі жоспарланып отырған өзгерістерге әсер ететін электрондық банктік қызмет түрін, сондай-ақ олардың болжанып отырған қолжетімді болмау уақытын көрсетеді. Клиенттерге жоспарланып отырған өзгерістер туралы хабарламаны жеткізу жөніндегі ең төменгі талаптарда банктің интернет–ресурсына хабарландыруды орналастыру қамтылады.
25. Банк тоқсан сайын, есепті тоқсаннан кейінгі айдың онынан кешіктірмей Ұлттық Банкке есепті кезеңде ақпараттық жүйенің жұмысында орын алған кемінде бір сағат жоспарлы және жоспардан тыс істен шығу (бос тұрып қалу) туралы ақпаратты жібереді.
Мәліметтерде клиенттердің қолжетімділігі тоқтатыла тұрған электрондық банктік қызмет түрі, тыс істен шығу (бос тұрып қалу) уақытының кезеңі, қолданылған іс-әрекеттер және тыс істен шығуды (бос тұрып қалуды) жою бойынша жұмыс нәтижелері туралы ақпарат қамтылады.