"Бағалы қағаздар рыногы туралы" Қазақстан Республикасы Заңының 48-бабы 1-тармағының 2) тармақшасына және 49-1-бабына сәйкес Қазақстан Республикасы Қаржы нарығын реттеу және дамыту агенттігінің Басқармасы ҚАУЛЫ ЕТЕДІ:
1. "Бағалы қағаздар нарығында қызметті жүзеге асыруға қажетті бағдарламалық-техникалық құралдар мен өзге жабдықтарға қойылатын талаптарды бекіту туралы" Қазақстан Республикасы Ұлттық Банкі Басқармасының 2012 жылғы 28 сәуірдегі № 165 қаулысына (Қазақстан Республикасының нормативтік құқықтық актілерін мемлекеттік тіркеу тізілімінде № 7734 болып тіркелген) мынадай өзгеріс енгізілсін:
көрсетілген қаулымен бекітілген Бағалы қағаздар нарығында қызметті жүзеге асыруға қажетті бағдарламалық-техникалық құралдар мен өзге жабдықтарға қойылатын талаптар осы қаулыға қосымшаға сәйкес жаңа редакцияда жазылсын.
2. "Орталық депозитарийге арналған тәуекелдерді басқару және ішкі бақылау жүйесін қалыптастыру қағидаларын бекіту туралы" Қазақстан Республикасы Ұлттық Банкі Басқармасының 2018 жылғы 28 желтоқсандағы № 318 қаулысына (Қазақстан Республикасының нормативтік құқықтық актілерін мемлекеттік тіркеу тізілімінде № 18180 болып тіркелген) мынадай өзгерістер енгізілсін:
көрсетілген қаулымен бекітілген Орталық депозитарийге арналған тәуекелдерді басқару және ішкі бақылау жүйесін қалыптастыру қағидаларында:
1-тармақтың 11) тармақшасы мынадай редакцияда жазылсын:
"11) ақпараттық қауіпсіздікті қамтамасыз ету жөніндегі құжаттама;";
16-тармақ мынадай редакцияда жазылсын:
"16. Ақпараттық қауіпсіздікті қамтамасыз ету жөніндегі құжаттама мыналарды:
1) орталық депозитарийдің ақпараттық қауіпсіздік саясатын;
2) қорғалуға жататын және оның ішінде қызметтік, коммерциялық немесе заңмен қорғалатын өзге де құпияны құрайтын мәліметтерді қамтитын ақпарат тізбесін (бұдан әрі – қорғалатын ақпарат);
3) қорғалатын ақпаратпен жұмыс істеу тәртібін;
4) қорғалатын ақпаратты өңдейтін ақпараттық жүйелердің тізбесін;
5) қорғалатын ақпаратты өңдейтін ақпараттық жүйелерді таңдау, енгізу, әзірлеу және тестілеу кезінде ақпараттық қауіпсіздікті қамтамасыз етуге қойылатын талаптарды;
6) қорғалатын ақпаратты өңдейтін ақпараттық жүйелерге қолжетімділікті басқару тәртібін;
7) қорғалатын ақпаратты өңдейтін ақпараттық жүйелердің резервтік көшірмелерінің резервтік көшірмелерін жасау, сақтау, қалпына келтіру, жұмысқа қабілеттілігін тестілеу тәртібін;
8) орталық депозитарийді вирусқа қарсы қорғау тәртібін;
9) орталық депозитарийде пайдалануға рұқсат етілген бағдарламалық қамтылымның тізбесін;
10) ақпараттық қауіпсіздікті қамтамасыз етудің қабылданған шараларының бұзылғаны туралы не ақпараттық қауіпсіздікке қатысы болуы мүмкін бұрын белгісіз болған жағдай туралы куәландыратын ақпараттық қауіпсіздік жүйесін қоса алғанда, ақпараттық-коммуникациялық инфрақұрылымның немесе оның жекелеген объектілерінің жұмысында жеке немесе сериялы түрде туындайтын оқиғаларды (бұдан әрі – ақпараттық қауіпсіздік оқиғалары) мониторингтеудің кезеңділігі мен қағидаларын;
11) мониторингтелуге тиіс ақпараттық қауіпсіздік оқиғаларының тізбесін;
12) ақпараттық қауіпсіздік оқиғалары көздерінің тізбесін;
13) ақпараттық-коммуникациялық инфрақұрылымның немесе оның жекелеген объектілерінің жұмысында жекелеген немесе сериялы түрде туындайтын, олардың тиісінше жұмыс істеуіне қатер төндіретін және (немесе) қорғалатын ақпаратты заңсыз алу, көшірмесін түсіру, тарату, түрлендіру, жою немесе бұғаттау үшін жағдайлар жасайтын іркілістерді (бұдан әрі – ақпараттық қауіпсіздіктің оқыс оқиғалары) өңдеу тәртібін;
14) ақпараттық қауіпсіздік оқиғаларын ақпараттық қауіпсіздіктің оқыс оқиғаларына жатқызу тәртібін;
15) орталық депозитарийдің қызметкерлері болып табылмайтын адамдардың қорғалатын ақпаратты өңдейтін ақпараттық жүйелерге қол жеткізу тәртібін;
16) Интернетті және электрондық поштаны пайдалану тәртібін;
17) ақпараттық жүйелердің жаңартуларын басқару тәртібін айқындайды.";
18-тармақтың 4) тармақшасы мынадай редакцияда жазылсын:
"4) ақпараттық жүйелерді пайдаланумен байланысты тәуекелдер:
компьютерлік вирустарды жұқтыру;
лицензиясыз бағдарламаларды пайдалану;
ақпараттық жүйелерге авторизациясыз кіру;
серверлік жабдыққа техникалық қызмет көрсету кезіндегі қате;
электрмен қуаттау жүйесіндегі іркіліс;
серверлерді баптау жүйелеріндегі іркіліс;
серверлік жабдықтың техникалық іркілісі;
желілік жабдықтың техникалық іркілісі;
деректер тасымалдағыштарын (қатты дискілерді және өзге де тасымалдағыштарды) ұрлау, қасақана бүлдіру;
деректер тасымалдағыштарға (қатты дискілерге және өзге де тасымалдағыштарға) авторизациясыз кіру;
табиғи сипаттағы төтенше жағдай;
серверлік бөлмедегі өрт;
серверлік бөлмені су басу;
ақпараттық жүйедегі бағдарламалық іркіліс;
бағдарламалық қамтылымды әзірлеу бойынша тапсырыс берушінің формалды талабының болмауы;
бағдарламалық қамтылымды кодтаушылар үшін техникалық тапсырманы дұрыс құрастырмау;
бағдарламалық қамтылымның кодын жазу кезіндегі қате;
әзірленген бағдарламалық қамтылымды енгізу кезіндегі қате;
бағдарламалық қамтылымды әзірлеу және (немесе) енгізу кезіндегі қате.".
3. Киберқауіпсіздік басқармасы Қазақстан Республикасының заңнамасында белгіленген тәртіппен:
1) Заң департаментімен бірлесіп осы қаулыны Қазақстан Республикасының Әділет министрлігінде мемлекеттік тіркеуді;
2) осы қаулыны ресми жарияланғаннан кейін Қазақстан Республикасы Қаржы нарығын реттеу және дамыту агенттігінің ресми интернет-ресурсына орналастыруды;
3) осы қаулы мемлекеттік тіркелгеннен кейін он жұмыс күні ішінде Заң департаментіне осы тармақтың 2) тармақшасында көзделген іс-шараның орындалуы туралы мәліметтерді ұсынуды қамтамасыз етсін.
4. Осы қаулының орындалуын бақылау Қазақстан Республикасының Қаржы нарығын реттеу және дамыту агенттігі Төрағасының жетекшілік ететін орынбасарына жүктелсін.
5. Осы қаулы алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі.
Қазақстан Республикасының Қаржы нарығын реттеу және дамыту Агенттігінің Төрағасы |
М. Абылкасымова |
Бағалы қағаздар нарығында қызметті жүзеге асыруға қажетті бағдарламалық-техникалық құралдар мен өзге жабдықтарға қойылатын талаптар
1-тарау. Жалпы ережелер
1. Осы Бағалы қағаздар нарығында қызметті жүзеге асыруға қажетті бағдарламалық-техникалық құралдар мен өзге жабдықтарға қойылатын талаптар (бұдан әрі – Талаптар) бағалы қағаздар нарығында қызметті жүзеге асыратын ұйымдардың (бұдан әрі – ұйымдар) бағдарламалық-техникалық құралдар мен өзге де жабдықтарда коммерциялық құпияны қамтитын ақпаратты өңдеу кезінде бағдарламалық-техникалық құралдар мен өзге де жабдықтардың ең аз қажетті функционалын (бұдан әрі – ақпараттық жүйе), сондай-ақ ақпараттық қауіпсіздікті қамтамасыз етуге қойылатын талаптар жиынтығын айқындайды.
2. Талаптар:
1) бағалы қағаздар нарығының кәсіби қатысушылары мен Қазақстан Республикасы Ұлттық Банкінің және (немесе) қаржы нарығы мен қаржы ұйымдарын реттеу, бақылау және қадағалау жөніндегі уәкілетті орган (бұдан әрі – уәкілетті орган) арасында жасалған тиісті келісім негізінде Қазақстан Республикасы Ұлттық Банкінің және (немесе) уәкілетті органның ақпараттық ресурстарын пайдалану кезінде туындайтын қатынастарға;
2) "өмірді сақтандыру" саласында қызметті жүзеге асыратын, бағалы қағаздар нарығында инвестициялық портфельді басқару жөніндегі қызметті жүзеге асыруға уәкілетті органның лицензиясы бар сақтандыру (қайта сақтандыру) ұйымдарына қолданылмайды.
3. Талаптарда мынадай ұғымдар пайдаланылады:
1) ақпараттық қауіпсіздікті қамтамасыз ету – ұйым ақпаратының конфиденциалдылығын, тұтастығын және қолжетімділігін қолдауға бағытталған процесс;
2) артықшылықты есептік жазба – ақпараттық жүйедегі басқа есептік жазбалардың кіру құқықтарын құру, жою және өзгерту артықшылықтары бар есептік жазба;
3) аудит журналы – бағдарламалық қамтамасыз етудің жұмыс істеу процесінде штаттық және маңызды іс-қимылдарды көрсету мақсатында әзірленген мамандандырылған құрал;
4) әкімші – ақпараттық жүйені немесе ақпараттық жүйелер тобын конфигурациялау құқығы берілген ұйымның қызметкері немесе бөлімшесі (қызметкерлері немесе бөлімшелері;
5) жұмыс станциясы – ұйымның ақпараттық жүйесін пайдаланушының стационарлық дербес компьютері;
6) қолжетімділік – ақпараттық жүйелерді пайдалану мүмкіндігі;
7) мобильдік құрылғы – жеке пайдаланылатын, операциялық жүйенің мобильді нұсқасы негізінде жұмыс істейтін электрондық құрылғы;
8) ноутбук – тасымалдауға және пайдалануға, оның ішінде қорғау периметрінен тыс, ыңғайлы нысанда орындалған дербес компьютер;
9) резервтік көшірме – бүлінген немесе бұзылған жағдайда бастапқы немесе жаңа орында деректерді қалпына келтіруге арналған ақпарат тасымалдағыштағы деректердің көшірмесі;
10) технологиялық есеп жазбасы – ақпараттық жүйелермен өзара іс-қимыл кезінде аутентификаттауға арналған ақпараттық жүйедегі есепке алу жазбасы.
2-тарау. Ақпараттық жүйелердің функционалына қойылатын талаптар
4. Ақпараттық жүйелер:
1) операцияларды жүргізу және тіркеу үшін қажетті, толтырылуы міндетті жолдардың енгізілетін деректерінің толықтығын бақылауды (функцияларды немесе операцияларды барлық жолдарды толық толтырмай орындаған жағдайда, бағдарлама тиісті хабарламаны беруді қамтамасыз етеді);
2) сұратуды сақтай отырып, осы ақпараттық жүйе үшін айқындалған өлшемшарттар мен өлшемдер бойынша ақпарат іздеуді, сондай-ақ кез келген өлшемдер (осы ақпараттық жүйе үшін айқындалған) бойынша ақпаратты сұрыптауды және егер осындай ақпарат ақпараттық жүйеде сақталуға тиіс болса, өткен күндердегі ақпаратты қарау мүмкіндігін;
3) ақпаратты өңдеуді және оны күні мен уақыты бойынша сақтауды;
4) бағалы қағаздар нарығының кәсіби қатысушылары Қазақстан Республикасының Ұлттық Банкіне ұсынатын есептерді, сондай-ақ жеке шоттан үзінді-көшірмелердің, жүргізілген операциялар туралы есептердің нысандарын автоматтандырылған түрде қалыптастыруды;
5) "Бағалы қағаздар рыногы туралы" Қазақстан Республикасының Заңында (бұдан әрі – Бағалы қағаздар рыногы туралы заң) көзделген бағалы қағаздар нарығының кәсіби қатысушыларының ішкі есепке алу жүйесінің журналдарын жүргізуді және автоматты қалыптастыруды қамтамасыз етеді. Ақпараттық жүйе журналды толық, сондай-ақ ішінара (күндердің аталған диапазонына, белгілі бір күніне, нақты тіркелген тұлғаға, келіп түсетін құжаттың нақты мәртебесіне) қалыптастырады;
6) жіберілетін құжаттарды экранға, принтерге немесе файлға шығару мүмкіндігін;
7) осы ақпаратты енгізуде (қаржы құралдарын сатып алуға және сатуға өтінімдерді қор биржасының сауда жүйесіне енгізуді және орталық депозитарийдің ақпараттық жүйесі арқылы орталық депозитарийі клиенттерінің бұйрықтарды енгізуін қоспағанда) қателерді болдырмау мақсатында түрлі пайдаланушылардың бұйрықтарды екі рет енгізу жүйесін ("бірінші енгізу" және "екінші енгізу") немесе түрлі пайдаланушылардың бұйрықтарды енгізуді растау жүйесін (валидация немесе верификация) қолдануды қамтамасыз етеді.
Ақпаратты енгізу кезінде "екінші енгізуді" пайдаланушылар "бірінші енгізудің" пайдаланушылары енгізген ақпаратқа қол жеткізе алмайды. "Екінші енгізудің" деректері "бірінші енгізудің" деректеріне сәйкес келмеген жағдайда, ақпараттық жүйе тиісті хабарламаны көрсетеді.
Түрлі пайдаланушылардың бұйрықтарды енгізуін растау жүйесін (валидация немесе верификация) пайдалану кезінде бірінші пайдаланушы енгізген ақпаратты екінші пайдаланушы растайды.
Пайдаланылатын тәсіл (екі рет енгізу, валидация немесе верификация) және көрсетілген тәсілдерді қолдана отырып енгізілуге тиіс бұйрықтар тізбесі бағалы қағаздар нарығының кәсіби қатысушысының ішкі құжаттарында айқындалады;
8) электрондық құжаттармен алмасу мүмкіндігін қамтамасыз етеді.
5. Уәкілетті органның тиісті лицензиясы негізінде не Бағалы қағаздар рыногы туралы заңға сәйкес номиналды ұстаушы ретінде клиенттердің шоттарын жүргізу құқығымен брокерлік және (немесе) дилерлік қызметті, бағалы қағаздарды ұстаушылар тізілімдерінің жүйесін жүргізу жөніндегі қызметті, кастодиандық қызметті жүзеге асыратын ұйымдар үшін Талаптардың 4-тармағында көзделген талаптарға қоса ақпараттық жүйе:
1) мынадай операцияларды:
жеке шотты ашуды;
тіркелген тұлға, инвестициялық пай қоры немесе инвестициялық пай қорының басқарушы компаниясы туралы мәліметтердің өзгеруін;
эмиссиялық бағалы қағаздардың шығарылымын жою туралы жазба енгізуді;
тіркелген тұлғалардың шоттарынан (шоттарына) бағалы қағаздарды есептен шығаруды (есепке алуды);
эмитенттің орналастырылған акциялары саны өсуіне байланысты тіркелген тұлғаның жеке шотында акциялардың саны ұлғайғаны (эмитент сатып алған акцияларын есептемегенде) жөніндегі жазбаны енгізуді;
эмитенттің бағалы қағаздарын және өзге ақшалай міндеттемелерін эмитенттің жай акцияларына айырбастау туралы жазбаны енгізуді;
эмитенттің бір түрде орналастырылған акцияларын осы эмитенттің басқа түрдегі акцияларына айырбастау туралы жазбаны енгізуді;
бағалы қағаздардың ауыртпалығы және ауыртпалықты алып тастауды;
бағалы қағаздарды оқшаулау және бағалы қағаздарды оқшаулауды алып тастауды;
сенімгерлік басқарушы туралы жазбаны енгізуді және сенімгерлік басқарушы туралы жазбаны жоюды;
жеке шотты жабуды;
белгілі күнгі және уақыттағы жеке шоттан (қосалқы шоттан) үзінді-көшірмелерді, жүргізілген операциялар туралы есептерді және бағалы қағаздарды ұстаушылардың, орталық депозитарийдің, эмитенттердің және уәкілетті органның сұратулары бойынша есептерді жасауды және беруді;
2) тіркелген тұлғаның тегі, аты, әкесінің аты (ол бар болса) немесе толық атауы өзгерген кезде өзгеретін деректердің сақталуын және бұрынғы деректер бойынша тіркелген тұлғаны іздеуді;
3) барлық кезеңдегі жеке шот бойынша жүргізілген барлық операциялар бойынша ақпараттың сақталуын;
4) эмиссиялық бағалы қағаздармен операцияларды тіркеу процесінде орталық депозитарийдің ақпараттық жүйесімен өзара әрекеттесуін қамтамасыз етеді.
6. Бағалы қағаздар рыногы туралы заңға сәйкес оның клиенттеріне тиесілі қаржы құралдарын біріктірілген есепке алу үшін орталық депозитарийдің есепке алу жүйесінде ашылған депоненттің қосалқы шотына ие номиналды ұстаушы ретінде клиенттердің шоттарын жүргізу құқығымен брокерлік және (немесе) дилерлік қызметті жүзеге асыратын ұйымдар үшін ақпараттық жүйе Талаптардың 4 және 5-тармақтарында көзделген талаптарға қосымша мыналарды:
1) бағдарламалық қамтамасыз етудің жұмыс істеу процесінде аудит жүргізуді;
2) жоғарыда көрсетілген қосалқы шот бойынша орталық депозитарийдің қағидалар жиынтығына сәйкес талап етілетін қаржы құралдарының қалдықтары және қаржы құралдарымен жүргізілген операциялар туралы электрондық деректерді орталық депозитарийге автоматтандырылған түрде беруді қамтамасыз етеді.
7. Номиналды ұстаушы ретінде клиенттердің шоттарын жүргізу құқығымен брокерлік және (немесе) дилерлік қызметті, кастодиандық қызметті жүзеге асыруға лицензиялары бар ұйымдардың ақпараттық жүйесі Талаптардың 4 және 5-тармақтарында көзделген талаптарға қосымша:
1) клиенттердің номиналды ұстауға және (немесе) кастодиандық қамтамасыз етуге берілген активтерін есепке алу мүмкіндігін;
2) клиент активтерін жеке есепке алуды, оны есептеу бойынша барлық операцияларды жүргізуді, жеке шот бойынша операциялардың тарихын талдау мүмкіндігін, оның ішінде операциялық күн ішінде кез келген күні мен уақытындағы жағдай бойынша ақша қалдығы туралы, сондай-ақ әрбір клиенттің және клиенттің ақшасын есепке алу және сақтау жүзеге асырылатын ұйымның бөлігінде ақша қозғалысы туралы мәліметтерді автоматтандырылған қалыптастыруды, мына ақпаратты қоса алғанда бірақ олармен шектелмейді:
ақшамен операция жүргізу күні мен уақыты;
операцияның атауы;
растайтын құжаттың деректемелері мен атауы;
клиенттің тегі, аты, әкесінің аты (ол бар болса) немесе атауы;
қаржы құралдарымен мәмілелер бойынша есеп айырысулар жүзеге асырылатын есеп айырысу-депозитарлық жүйесінің атауы;
брокердің және (немесе) дилердің және оның клиенттерінің ақшасын есепке алу және сақтау жүзеге асырылатын ұйымның атауы;
клиенттің шоты бойынша ақша бойынша әрбір операцияның сомасы;
брокердің және (немесе) дилердің, кастодианның, қор биржасының және өзге ұйымдардың көрсетілгені (жүргізілгені) үшін сыйақы есептелген және (немесе) есептен шығарылған қызмет көрсетуді және (немесе) мәмілені (операцияны) көрсете отырып осы сыйақысының сомасы;
төлемнің мақсаты;
ақшамен операция бойынша контрагенттің атауы және оның шотының деректемелері;
екінші деңгейдегі банктің, Қазақстан Республикасының бейрезидент- банкі филиалының немесе банк операцияларының жекелеген түрлерін жүзеге асыратын, ақшамен операциялар бойынша контрагент тарапынан іс-әрекет жасайтын ұйымның атауы және оның шотының деректемелері;
3) эмиссиялық бағалы қағаздармен мәмілелерді тіркеу процесінде қор биржасының және (немесе) клиринг ұйымның ақпараттық жүйесімен өзара әрекеттесуін қамтамасыз етеді.
8. Номиналды ұстаушы ретінде клиенттердің шоттарын жүргізу құқығымен брокерлік және (немесе) дилерлік қызметті жүзеге асыруға лицензиялары бар ұйымдардың ақпараттық жүйесі Талаптардың 4, 5, 6 және 7-тармақтарында көзделген талаптарға қосымша мыналарды:
Нормативтік құқықтық актілерді мемлекеттік тіркеу тізілімінде № 8796 болып тіркелген Қазақстан Республикасы Ұлттық Банкі Басқармасының 2013 жылғы 27 тамыздағы № 214 қаулысымен бекітілген Бағалы қағаздар нарығында брокерлік және дилерлік қызметті, инвестициялық портфельді басқару жөніндегі қызметті жүзеге асыратын ұйымдар үшін тәуекелдерді басқару және ішкі бақылау жүйесін қалыптастыру қағидаларында белгіленген бір клиентке шаққандағы тәуекелдердің мәндерін автоматтандырылған есептеуді. Осы есептеуді қолдану клиенттің осы брокердің және (немесе) дилердің немесе осы тапсырысты орындау үшін брокер және (немесе) дилер болып табылатын инвестициялық портфельді басқаруды жүзеге асыратын ұйымның банктік және (немесе) жеке шотында ақшасының және (немесе) бағалы қағаздарының жеткілікті саны болмаған кезде клиенттік тапсырыстарды орындаған жағдайда жүзеге асырылады;
Нормативтік құқықтық актілерді мемлекеттік тіркеу тізілімінде № 17005 болып тіркелген, Қазақстан Республикасы Ұлттық Банкі Басқармасының 2018 жылғы 27 сәуірдегі № 80 қаулысымен бекітілген Бағалы қағаздар нарығында брокерлік және (немесе) дилерлік қызметті жүзеге асыратын ұйымдардың сақтауға міндетті пруденциялық нормативтердің мәндерін есептеу қағидаларына сәйкес брокер және (немесе) дилер үшін пруденциялық нормативтердің мәндерін автоматтандырылған есептеуді;
брокерге және (немесе) бірінші санаттағы дилерге тиесілі қаржы құралдарын және ақшаны олардың клиенттерінің қаржы құралдары мен ақшасынан бөлек есепке алуды жүзеге асыруды қамтамасыз етеді.
Инвестициялық портфельді басқаруды жүзеге асыратын ұйымдардың ақпараттық жүйесі Талаптардың 4-тармағында көзделген талаптарға қосымша мыналарды:
Нормативтік құқықтық актілерді мемлекеттік тіркеу тізілімінде № 17008 болып тіркелген, Қазақстан Республикасы Ұлттық Банкі Басқармасының 2018 жылғы 27 сәуірдегі № 79 қаулысымен бекітілген Инвестициялық портфельді басқаруды жүзеге асыратын ұйымдар сақтауға тиісті пруденциялық нормативтердің мәндерін есеп айырысу қағидаларына сәйкес инвестициялық портфельді басқаруды жүзеге асыратын ұйым үшін пруденциялық нормативтердің мәндерін автоматтандырылған есептеуді;
инвестициялық портфельді басқаруды жүзеге асыратын ұйымға тиесілі қаржы құралдарын және ақшаны олардың клиенттерінің қаржы құралдары мен ақшасынан бөлек есепке алуды жүзеге асыруды қамтамасыз етеді.
9. Уәкілетті органның тиісті лицензиясы негізінде не Бағалы қағаздар рыногы туралы заңға сәйкес номиналды ұстаушы ретінде клиенттердің шоттарын жүргізу құқығымен брокерлік және (немесе) дилерлік қызметті, бағалы қағаздарды ұстаушылар тізілімдерінің жүйесін жүргізу жөніндегі қызметті, кастодиандық қызметті жүзеге асыратын ұйымдар алмасатын электрондық құжаттардың үлгі нысандары орталық депозитарийдің ішкі құжатында айқындалады және орталық депозитарийдің қағидалар жинағында айқындалған талаптарға сәйкес келеді.
10. Қор биржасының ақпараттық жүйесі Талаптардың 4-тармағында көзделген талаптарға қосымша мыналарды қамтамасыз етеді:
1) қор биржасының сауда жүйесін әрбір пайдаланған кезде осы қор биржасының сауда жүйесін пайдалану арқылы қор биржасының мүшесі атынан мәміле жасауға және іс-әрекеттерді жасауға уәкілетті жеке тұлғаларды (трейдер) сәйкестендіруді;
2) қор биржасының сауда-саттыққа жіберілген, сауда-сатыққа қатысудан шеттетілген трейдерлері тізілімін жүргізу (шеттету себептерін көрсетумен);
3) қор биржасының ішкі құжаттарына сәйкес құқығы жоқ тұлғалардың қор биржасының сауда жүйесін пайдалана отырып мәмілелер жасау мүмкіндігін шектеуді;
4) Бағалы қағаздар рыногы туралы заңының 56-бабының 5 және 6-тармақтарында белгіленген талаптарға, сондай-ақ Нормативтік құқықтық актілерді мемлекеттік тіркеу тізілімінде № 5406 тіркелген Қазақстан Республикасы Қаржы нарығын және қаржы ұйымдарын реттеу мен қадағалау агенттігі Басқармасының 2008 жылғы 29 қазандағы № 170 қаулысымен бекітілген Бағалы қағаздармен және басқа қаржы құралдармен сауда ұйымдастыру қызметін жүзеге асыру қағидаларының 9-тарауында белгіленген жағдайларға сәйкес келетін бағалы қағаздармен жасалған мәмілелерді анықтау тұрғысынан қор биржасының сауда жүйесінде жасалатын мәмілелер өлшемдеріне мониторинг жүргізуді;
5) уәкілетті органға осы тармағының 4) тармақшасында көзделген функцияларды жүзеге асыруды қамтамасыз ететін қор биржасының бағдарламалық қамтамасыз етуіне қол жеткізуді (түзетулер енгізу мүмкіндігінсіз) ұсынуды;
6) қор биржасының сауда жүйесінде жасалған мәмілелердің Бағалы қағаздар нарығы туралы заңнаманың және қор биржасының қағидаларына сәйкестігіне мониторинг жүргізуді;
7) қор биржасының мүшелері және бағалы қағаздарды қор биржасының тізіміне енгізуді болжап отырған немесе енгізген эмитенттер ұсынатын, оның ішінде олардың қаржылық жағдайына мониторинг жүргізу мақсатында қаржылық есеп беруді және өзге ақпаратты автоматты түрде жинау, өңдеу және сақтауды;
8) эмитенттердің қор биржасының тізіміне енгізілген бағалы қағаздарды, бағалы қағаздар нарығы туралы заңмен және "Акционерлік қоғамдар туралы" Қазақстан Республикасының заңнамасымен және қор биржасының ішкі құжаттарымен белгіленген көлемдегі ақпаратты ашу мониторингін жүргізу мүмкіндігі.
11. Орталық депозитарийдің ақпараттық жүйесі Талаптардың 4-тармағында, 5-тармағының 1), 2) және 3) тармақшаларында және 7-тармағында көзделген талаптарға қосымша мыналарды:
1) тіркелген тұлғаның жеке шоты (қосалқы шоты) бойынша операцияларды жасағанға дейін:
Бағалы қағаздар нарығы туралы заңның, Нормативтік құқықтық актілерді мемлекеттік тіркеу тізілімінде № 17920 болып тіркелген, Қазақстан Республикасы Ұлттық Банкі Басқармасының 2018 жылғы 29 қарашадағы № 307 қаулысымен бекітілген Орталық депозитарийдің қызметін жүзеге асыру қағидаларының (бұдан әрі – № 307 Қағидалар) және орталық депозитарий қағидаларының жиынтығының талаптарын ескере отырып, осындай операцияны жасау мүмкіндігі туралы;
тіркелген тұлғаның жеке шоты (қосалқы шоты) бойынша операция жасауға негіз болатын құжаттар деректемелерінің болуы және орталық депозитарийдің қағидалар жиынтығының талаптарына сәйкес келуі тұрғысынан;
2) тіркелген тұлғаның жеке шоты (қосалқы шоты) бойынша операция жасалатын құжаттарды беретін тұлғалардың, осы іс-әрекеттерді жасауға өкілетін, сондай-ақ жеке шот (қосалқы шот) бойынша операция тіркелетін немесе ақпараттық операция жүргізілетін бұйрықтарға қол қойған тұлғалардың өкілетін растайтын құжаттарды сәйкестендіру;
3) егер осы тармақтың 1) тармақшасына сәйкес жүргізілген тексерудің қорытындылары бойынша:
жасалуы болжанған операциялардың Бағалы қағаздар нарығы туралы заңнаманың, № 307 Қағидалардың және орталық депозитарий қағидалары жиынтығының талаптарына сәйкес келмеуі анықталса;
тіркелген тұлғаның жеке шоты (қосалқы шоты) бойынша операциялар жасалатын құжаттар деректемелерінің болмауы немесе орталық депозитарий қағидаларының жиынтығы талаптарына сәйкес келмеуі белгіленсе;
тіркелген тұлғаның жеке шоты (қосалқы шоты) бойынша операциялар жасалатын құжаттарды беретін тұлғалардың осы іс-әрекеттерді жасауға өкілеті расталмаса, тіркелген тұлғаның жеке шоты (қосалқы шоты) бойынша операциялар жасаудан бас тартуды;
4) операциялық күн жабылғаннан кейін, егер келесі операциялық күн ашылмаса, тіркелген тұлғаның жеке шоты (қосалқы шоты) бойынша операциялар жүргізу үшін мүмкіндіктерді шектеуді;
5) ақпараттық жүйенің жұмыс істеуі процесінде аудит журналын жүргізуді;
6) ұйымдастырылған және ұйымдастырылмаған нарықтарда жасалған туынды қаржы құралдарымен мәмілелер тізілімін жүргізу.
12. Клиринг ұйымның ақпараттық жүйесі Талаптардың 4-тармағында көзделген талаптарға қосымша мыналарды:
1) клирингтік ұйым клирингтік қызмет көрсетуді, оны салыстыруды және түзетуді жүзеге асыратын мәмілелер бойынша ақпаратты автоматты түрде жинау, өңдеу және сақтауды;
2) сауда-саттықты ұйымдастырушы сауда жүйесінде және (немесе) тауар биржасында клиринг қызмет көрсетуге қабылданған барлық жасалған мәмілелердің өлшемдерін есепке алуды;
3) сауда-саттыққа клирингтік қатысушылардың талаптарын және (немесе) міндеттемелерін есептеуді, оның ішінде сауда-саттыққа клирингтік қатысушыларының таза позицияларын айқындауды жүзеге асыру мүмкіндігін;
4) осы тармақтың 3) тармақшаларында көрсетілген ақпаратты орталық депозитарийге және (немесе) қаржы құралдарымен мәмілелер бойынша есеп айырысуларды (төлемдерді) жүзеге асыратын өзге ұйымдарға автоматты түрде беруді;
5) есепті сауда-саттыққа клирингтік қатысушылары үшін клиринг қызметінің нәтижелері бойынша құруды қамтамасыз етеді.
13. Ақпараттық жүйелердің деректерін, олардың файлдары мен теңшеулерін резервтік сақтау қамтамасыз етіледі, бұл ақпараттық жүйенің жұмыс істейтін көшірмесін қалпына келтіруді қамтамасыз етеді. Ақпаратты резервтік көшіру, сақтау, қалпына келтіру тәртібі мен кезеңділігі, резервтік көшірмелерден ақпараттық жүйелердің жұмыс қабілеттілігін қалпына келтіруді тестілеу кезеңділігі ұйымның ішкі құжаттарында айқындалады.
14. Операцияларды орындау кезінде ақпараттық жүйе келесі жағдайлар туындаған кезде хабарлама береді:
1) жеке шоттан есептен шығаруға жататын бағалы қағаздардың (ақшаның) саны шоттағы бағалы қағаздардың (ақшаның) санынан асып кетсе;
2) есептен шығаруға жататын бағалы қағаздарға ауыртпалық салынса немесе олар бұғатталса. Хабарламада жеке шотқа сілтеме және кепіл ұстаушының бөлімі болады;
3) дербес шотта ескерілетін есептен шығарылатын бағалы қағаздар бірнеше тұлғаның ортақ меншігінде болады;
4) бағалы қағаздар есептен шығарылатын жеке шот бұғатталған.
15. Қате түзетілген кезде ақпараттық жүйеде тіркеу журналының қате жазбасының "түсініктеме" жолында "қате" деген мәтін жазылады (қате операция туралы жазбаны түзету мүмкін болған жағдайда) және қатені түзетуге арналған операция туралы тіркеу журналы жазбасының нөмірі көрсетіледі.
3-тарау. Коммерциялық құпияны қамтитын ақпаратты ақпараттық жүйелерде өңдеу кезінде ақпараттық қауіпсіздікті қамтамасыз етуге қойылатын талаптар
16. Ақпараттық жүйелердегі ақпаратқа қол жеткізу ұйым қызметкерлеріне олардың функционалдық міндеттерін орындау үшін қажетті көлемде ұсынылады.
17. Ұйымның ақпараттық жүйелеріне қол жеткізуді ұсыну ақпараттық жүйелерді пайдаланушылардың қол жеткізу құқықтарының олардың функционалдық міндеттеріне сәйкестігін қамтамасыз ету үшін рөлдерді қалыптастыру және енгізу арқылы жүзеге асырылады. Мұндай рөлдердің жиынтығы электрондық нысанда немесе қағаз тасымалдағышта қалыптасатын ақпараттық жүйеге қол жеткізу матрицасы болып табылады.
18. Ақпараттық жүйелерге қол жеткізу ақпараттық жүйелерді пайдаланушыларды идентификаттау және аутентификаттау арқылы жүзеге асырылады.
Ақпараттық жүйелерді пайдаланушыларды идентификаттау және аутентификаттау "есептік жазба (идентификатор) – пароль" жұбын енгізу және (немесе) биометриялық және (немесе) криптографиялық және (немесе) аппараттық аутентификаттау арқылы жүргізіледі.
19. Ақпараттық жүйелерде дербес пайдаланушының есепке алу жазбалары ғана қолданылады.
20. Технологиялық есепке алу жазбаларын пайдалану әрбір ақпараттық жүйе үшін оларды пайдалану мен өзектілігі үшін дербес жауапты адамдар көрсетіле отырып, осындай есепке алу жазбаларының тізбесіне сәйкес жүзеге асырылады.
21. Ақпараттық жүйелерде ұйымның ішкі құжатында айқындалатын есепке алу жазбалары мен парольдерді басқару, сондай-ақ пайдаланушылардың есепке алу жазбаларын бұғаттау функциялары қолданылады.
22. Ақпараттық жүйелерде парольдерді басқару және пайдаланушылардың есепке алу жазбаларын бұғаттау функциясының келесі өлшемдері қолданылады:
1) парольдің барынша қысқа ұзындығы - бұл өлшемнің мәні кемінде 8 символдан тұрады. Парольдің осы өлшемге сәйкестігін тексеру пароль әрбір ауысқан сайын жүргізіледі, сәйкес келмеген жағдайда, пайдаланушыға хабарлама беріледі;
2) парольдің күрделілігі - парольде кемінде символдың үш тобының болуын тексеру мүмкіндігі: кіші әріптер, бас әріптер, цифрлар, арнайы символдар. Парольдің осы өлшемге сәйкестігін тексеру пароль әрбір ауысқан сайын жүргізіледі, сәйкес келмеген жағдайда, пайдаланушыға хабарлама беріледі;
3) пароль тарихы - жаңа пароль кем дегенде алдыңғы жеті парольді қайталамайды. Парольдің осы өлшемге сәйкестігін тексеру пароль әрбір ауысқан сайын жүргізіледі, сәйкес келмеген жағдайда, пайдаланушыға хабарлама беріледі;
4) парольді барынша қысқа қолдану мерзімі - 1 (бір) жұмыс күні;
5) парольді барынша ұзақ қолдану мерзімі - күнтізбелік 60 (алпыс) күннен аспайды. Парольдің осы өлшемге сәйкестігін тексеру ақпараттық жүйеге әрбір кірген және пароль әрбір ауысқан сайын жүргізіледі. Парольдің барынша ұзақ әрекет ету мерзімі өткеннен кейін ақпараттық жүйе қолжетімділікті бұғаттайды және парольді міндетті түрде өзгертуді талап етеді;
6) ақпараттық жүйеге бірінші рет кірген кезде не әкімші парольді ауыстырғаннан кейін ақпараттық жүйе пайдаланушыдан осы рәсімді қабылдамау мүмкіндігімен парольді ауыстыруды сұрайды. Бұл ереже парольді қолдану мерзімі туралы ережеден басым болады;
7) ақпараттық жүйеде пайдаланушының белсенділігі күнтізбелік 30 (отыз) күннен астам болмаған жағдайда, оның есепке алу жазбасы автоматты түрде бұғатталады;
8) қате парольді қатарынан бес рет енгізген кезде пайдаланушының есепке алу жазбасы уақытша бұғатталады;
9) пайдаланушы 30 (отыз) минуттан артық белсенді болмаған кезде, ақпараттық жүйе пайдаланушының жұмыс сеансын автоматты түрде аяқтайды не пайдаланушының аутентификациялық деректерін енгізген кезде ғана жұмыс станциясын немесе бұғаттан шығару мүмкіндігі бар ноутбукты бұғаттайды.
23. Қорғалатын ақпаратты жою тасымалдағыштың түріне байланысты ақпаратты жоюдың мынадай әдістерінің кез келгенін пайдалана отырып, оны қалпына келтіруді болдырмайтын әдістермен жүргізіледі:
1) ақпарат тасымалдағышты нақты жою;
2) ақпарат тасымалдағышқа электромагниттік әсер ету (магниттік тасымалдағыштар үшін);
3) электрондық ақпаратты мамандандырылған бағдарламалық құралдармен бағдарламалық жою.
24. Ақпараттық жүйенің жүйелік уақытын эталондық уақыттың орталықтандырылған дереккөзімен синхрондау қамтамасыз етіледі.
25. Ақпараттық жүйелерді әзірлеу және пысықтау өнеркәсіптік пайдалану ортасында жүзеге асырылмайды.
26. Ақпараттық жүйелерді әзірлеуді жүзеге асыратын қызметкерлердің ақпараттық жүйенің өзгерістерін өнеркәсіптік ортаға көшіруге, сондай-ақ өнеркәсіптік ортадағы ақпараттық жүйелерге әкімшілік қол жеткізуге өкілеттіктері жоқ.
27. Ақпараттық жүйені өнеркәсіптік пайдалануға енгізер алдында оның әдеттегі тәртіп бойынша орнатылған қауіпсіздік теңшеулері ақпараттық қауіпсіздік талаптарына сәйкес келетін теңшеулерге өзгертіледі. Бұл теңшеулер тестілеу кезінде қолданылатын парольдерді ауыстыруды, сондай-ақ барлық тестілік есептік жазбаларды жоюды қамтиды.
28. Артықшылықты есептік жазбалардың пайдаланылуын бақылау:
1) ақпараттық жүйелер (операциялық жүйе, дерекқорды басқару жүйесі, қосымша) әкімшілерінің тізбесін жасау және бекіту;
2) ақпараттық жүйелерді басқару функцияларын орындау және (немесе) артықшылықты есептік жазбалардың пайдаланылуын бақылаудың арнайы кешендерін енгізу кезінде қосарланған бақылауды енгізу арқылы қамтамасыз етіледі.
29. Ақпараттық жүйелердің эталондық бастапқы кодтары (бар болса) және орындалатын модульдері сақталатын бағдарламалық қамтылымның қорғалған депозитарийі ақпараттық жүйелердің орындалатын модульдерінің жұмыс қабілеттілігін уақтылы қалпына келтіру мүмкіндігін қамтамасыз ететін түрде жүргізіледі.
30. Ақпараттық жүйелер техникалық қолдаумен қамтамасыз етіледі, оның құрамына тиісті ақпараттық жүйе жаңартуларын, оның ішінде қауіпсіздік жаңартуларын ұсыну қызметтері кіреді.
31. Ақпараттық жүйенің аудиторлық ізінің ұйымдастырушылық және техникалық деңгейде енгізілуі және өзгермеуі қамтамасыз етіледі.
32. Ақпараттық жүйелерде аудиторлық ізді жүргізу функциясы қолданылады, ол мыналарды көрсетеді:
1) ақпараттық жүйедегі қосылуларды орнату, сәйкестендіру, аутентификациялау және авторизациялау оқиғаларын (табысты және сәтсіз);
2) қауіпсіздік теңшеулерін түрлендіру оқиғалары;
3) пайдаланушылар топтарын түрлендіру оқиғалары және олардың өкілеттіктері;
4) пайдаланушылардың есептік жазбаларын және олардың өкілеттіктерін түрлендіру оқиғалары;
5) ақпараттық жүйедегі жаңартулардың және (немесе) өзгерістердің орнатылуын көрсететін оқиғалар;
6) аудит өлшемдерін өзгерту оқиғалары;
7) жүйелік өлшемдерді өзгерту оқиғалары.
33. Аудиторлық із форматы мынадай ақпаратты қамтиды:
1) әрекетті жасаған пайдаланушының сәйкестендіргіші (логині);
2) әрекеттің жасалған күні мен уақыты;
3) пайдаланушының жұмыс станциясының атауы және (немесе) әрекет жасалған ІP (АЙПИ) мекенжайы;
4) әрекет жүргізілген объектілердің атауы;
5) жасалған әрекеттің түрі немесе атауы;
6) әрекеттің нәтижесі (сәтті немесе сәтсіз).
34. Аудиторлық ізді сақтау мерзімі жедел қолжетімділікте кемінде 3 (үш) айды және архивтік қолжетімділікте кемінде 5 (бес) жылды құрайды. Бірнеше ақпараттық жүйенің аудиторлық ізін біріктіріп сақтау аудиторлық ізді сақтаудың мамандандырылған ақпараттық жүйесінде жүзеге асырылады.
35. Ақпараттық жүйелерді қорғау үшін лицензияланған, вирусқа қарсы бағдарламалық қамтылым немесе жұмыс станцияларында, ноутбуктерде және мобильді құрылғыларда бағдарламалық ортаның тұтастығын және өзгермеуін қамтамасыз ететін жүйелер пайдаланылады.
36. Пайдаланылатын вирусқа қарсы бағдарламалық қамтылым мынадай талаптарға сәйкес келеді:
1) белгілі сигнатуралар негізінде вирустарды анықтау;
2) эвристикалық талдау (вирустарға тән командаларды іздеу және мінез-құлқын талдау) негізінде вирустарды анықтау;
3) қосылған кезде ауыстырмалы тасымалдағыштарды сканерлеу;
4) кесте бойынша сканерлеуді іске қосу және вирусқа қарсы базаны жаңарту;
5) басқарудың және мониторингтің орталықтандырылған консолінің болуы;
6) пайдаланушы үшін вирусқа қарсы бағдарламалық қамтылымның жұмыс істеуін, сондай-ақ вирусқа қарсы бағдарламалық қамтылымды жаңарту процестерін тоқтату және вирустардың болмауын жоспарлы тексеру мүмкіндігін бұғаттау;
7) виртуалды орталар үшін – вирусқа қарсы бағдарламалық қамтылыммен виртуалдық орталардың (жүктемені теңдестіру, орталықтандырылған орнату және гипервизор деңгейінде тексеру және басқа да функциялар) кіріктірілген қауіпсіздік функцияларын пайдалану, мұндай мүмкіндіктер болмаған кезде – ұйым пайдаланатын виртуалды орталарда вирусқа қарсы бағдарламалық қамтылымды тестілеу туралы өндірушінің растауы;
8) мобильді құрылғылар және ұйымды қорғау периметрінен тыс пайдаланылатын өзге де құрылғылар үшін желіаралық экрандау функциясы кіріктірілген вирусқа қарсы бағдарламалық қамтылымды пайдалану.
37. Бағдарламалық ортаның тұтастығы мен тұрақтылығын қамтамасыз ететін жүйелерді пайдалану кезіндегі ең қарапайым талаптар мынадай:
1) жаңартуды және техникалық қолдауды көздейтін лицензиясы бар бағдарламалық қамтылымның болуы;
2) басқару және мониторингтеудің орталықтандырылған консолінің болуы;
3) соңғы пайдаланушы үшін берілген жүйенің қызмет етуін тоқтата тұру мүмкіндігінің – бұғаттау мүмкіндігінің болуы;
4) соңғы құрылғыларға орнату алдында бағдарламалық орта үлгісін вирусқа қарсы бағдарламалық қамтылыммен тексеру мүмкіндігінің болуы;
5) ұялы құрылғылар үшін және қорғаныс аумағынан тыс қолданылатын басқа да құрылғылар үшін желіаралық экранның болуы.
38. Вирусқа қарсы бағдарламалық қамтылым пайдаланушының барлық қызмет ету процестерін тоқтатуды барынша болдырмайды (кесте бойынша сканерлеу, жаңарту және басқа да процестер). Вирусқа қарсы бағдарламалық қамтылымның жаңаруы тәулігіне бір реттен, құрылғыны толығымен сканерлеу – аптасына бір реттен артық орындалмайды.
39. Ақпараттық жүйелердің қауіпсіздігін жаңартуларды уақтылы орнату қамтамасыз етіледі.
40. Маңызды осалдықтарды жоятын ақпараттық жүйелердің қауіпсіздігін жаңартулар оларды өндіруші жарияланған және таратқан күннен бастап бір айдан кешіктірмей орнатылады.
41. Өндірістік ортаға орнатқанға дейін ақпараттық жүйелердің жаңартулары тестілеу ортасында сынақтан өтеді.
42. Ақпараттық жүйелердің үздіксіз қызмет етуін қамтамсыз ету мақсатында ішкі құжаттарда:
1) ақпараттық жүйелердің тоқтап қалуының ықтималды мерзімдері;
2) қалпына келтіруге жататын ақпараттық жүйелер тізбесі және оларды қалпына келтіру тәсілдері;
3) ақпараттық жүйелерді қалпына келтіру туралы шешімдерді қабылдау өлшемшарттары мен тәртібі;
4) ақпараттық жүйелерді қалпына келтіру жоспарлары анықталады.
43. Резервтік орталық болған жағдайда, ішкі құжаттарда:
1) резервтік ортаның орналасқан орны;
2) бизнес-процестердің, техникалық, бағдарламалық немесе резервтік орталықта қалпына келтіру жоспарланған ақпараттық жүйелердің жұмыстарын қамтамасыз ететін басқа құралдардың тізбесі;
3) резервтік орталықтағы ақпараттық жүйелердің жұмысын қалпына келтіру тәртібі;
4) резервтік орталықтағы жұмыстың аяқталғаны туралы шешім қабылдауға мүмкіндік беретін өлшемшарттар, мұндай шешімді қабылдау тәртібі, сондай-ақ негізгі орталықта қызмет етудің штаттық режиміне қайтару тәртібі;
5) резервтік орталықтықтың қызмет етуін тестілеуді өткізу тәртібі, кезеңділігі мен сценарийі көрсетіледі.
44. Ақпараттық жүйелердің қызметін қалпына келтіру процестерінің дайындығын тексеру мақсатында кем дегенде жылына бір рет қалпына келтіру жоспарларына (бұдан әрі – қалпына келтіру жоспарларын тестілеу) сәйкес ақпараттық жүйелерді қалпына келтіруді тестілеу жүргізіліп отырады.
Қалпына келтіру жоспарларын тестілеу штаттық емес жағдайдың туындау сценарийінің, қалпына келтірілетін жұмыс процестерінің және ақпараттық жүйелердің, жұмыстарды жүргізу мерзімдері мен орындарының сипаттамасын көздейтін әзірленген және бекітілген бағдарлама бойынша жүргізіледі.
45. Қалпына келтіру жоспарларын тестілеу қорытындылары бойынша төмендегілер:
1) тестілеу өткізілген ақпараттық жүйелер тізбесі;
2) ақпараттық жүйелерді қалпына келтіруге жұмсалған уақыт;
3) қалпына келтіру жоспарының анықталған кемшіліктері мен оларды жою бойынша ұсыныстар көрсетілген тестілеу нәтижелері туралы құжат (хаттама) дайындалады.