"Төлем жүйелерінің тізілімін жүргізу қағидаларын бекіту туралы" Қазақстан Республикасы Ұлттық Банкі Басқармасының 2016 жылғы 31 тамыздағы № 221 қаулысына өзгерістер мен толықтырулар енгізу туралы

Қазақстан Республикасы Ұлттық Банкі Басқармасының 2022 жылғы 28 сәуірдегі № 35 қаулысы. Қазақстан Республикасының Әділет министрлігінде 2022 жылғы 12 мамырда № 27998 болып тіркелді.

Қолданыстағы

      ЗҚАИ-ның ескертпесі!
      Бұйрықтың қолданысқа енгізілу тәртібін 5-т. қараңыз.

      "Қазақстан Республикасының Ұлттық Банкі туралы" Қазақстан Республикасы Заңының 15-бабы екінші бөлігінің 52-7) тармақшасына және "Төлемдер және төлем жүйелері туралы" Қазақстан Республикасы Заңының 4-бабы 1-тармағының 22) тармақшасына сәйкес Қазақстан Республикасы Ұлттық Банкінің Басқармасы ҚАУЛЫ ЕТЕДІ:

      1. "Төлем жүйелерінің тізілімін жүргізу қағидаларын бекіту туралы" Қазақстан Республикасы Ұлттық Банкі Басқармасының 2016 жылғы 31 тамыздағы № 221 қаулысына (Нормативтік құқықтық актілерді мемлекеттік тіркеу тізілімінде № 14297 болып тіркелген) мынадай өзгерістер мен толықтырулар енгізілсін:

      кіріспе мынадай редакцияда жазылсын:

      "Қазақстан Республикасының Ұлттық Банкі туралы" Қазақстан Республикасы Заңының 15-бабы екінші бөлігінің 52-7) тармақшасына және "Төлемдер және төлем жүйелері туралы" Қазақстан Республикасы Заңының 4-бабы 1-тармағының 22) тармақшасына сәйкес Қазақстан Республикасы Ұлттық Банкінің Басқармасы ҚАУЛЫ ЕТЕДІ:";

      көрсетілген қаулымен бекітілген Төлем жүйелерінің тізілімін жүргізу қағидаларында:

      3-тармақ мынадай редакцияда жазылсын:

      "3. Қағидаларда Төлемдер және төлем жүйелері туралы заңда және Нормативтік құқықтық актілерді мемлекеттік тіркеу тізілімінде № 14347 болып тіркелген "Төлем ұйымдарының қызметін ұйымдастыру қағидаларын бекіту туралы" Қазақстан Республикасы Ұлттық Банкі Басқармасының 2016 жылғы 31 тамыздағы № 215 қаулысымен бекітілген Төлем ұйымдарының қызметін ұйымдастыру қағидаларында көзделген ұғымдар пайдаланылады.";

      мынадай мазмұндағы 4-1 және 4-2-тармақтармен толықтырылсын:

      "4-1. Төлемдер және төлем жүйелері туралы заңның 5-бабы 2-тармағының 7) және 9) тармақшаларының талаптарына сәйкес төлем жүйесі операторының төлем жүйесінде ақпараттық қауіпсіздік шараларын сақтау тәртібі мыналарды:

      1) төлем жүйесінің инфрақұрылымы (бағдарламалық қамтамасыз ету және оның сипаттамалары, қуаттылығы, қолданылатын жабдық, резервтеуді қалпына келтіру және қорғау әдістері) жөніндегі мәліметтерді;

      2) төлем жүйесінің инфрақұрылымында қолданылатын технологияларды жетілдіру әдістері жөніндегі мәліметтерді;

      3) төлем жүйесі инфрақұрылымының халықаралық стандарттарға сәйкес келуі жөніндегі мәліметтерді;

      4) төлем жүйесінің инфрақұрылымында ақпараттық қауіпсіздікті сақтау жөніндегі шараларды қамтиды, олар мыналарды:

      төлем жүйесінің инфрақұрылымында ақпараттық қауіпсіздікті басқару жүйесін ұйымдастыруды, ақпараттық қауіпсіздікті қамтамасыз ету жөніндегі қызметті үйлестіруді және бақылауды және қатерлерді анықтау және талдау, шабуылдарға қарсы іс-қимыл жасау және ақпараттық қауіпсіздіктің оқыс оқиғаларын тергеп-тексеру жөніндегі іс-шараларды;

      төлем жүйесінің инфрақұрылымында ақпараттық қауіпсіздікті қамтамасыз ету процесін әдіснамалық қолдауды;

      төлем жүйесі инфрақұрылымының ақпараттық қауіпсіздігін басқару әдістерін, құралдары мен тетіктерін таңдауды, енгізуді және қолдануды, қамтамасыз етуді және бақылауды;

      төлем жүйесінің инфрақұрылымында ақпараттық қауіпсіздіктің оқыс оқиғалары туралы ақпаратты жинауды, шоғырландыруды, сақтауды және өңдеуді;

      төлем жүйесінің инфрақұрылымында ақпараттық қауіпсіздіктің оқыс оқиғалары туралы ақпаратты талдауды;

      төлем жүйесінің инфрақұрылымында ақпараттық қауіпсіздікті қамтамасыз ету процесін автоматтандыратын бағдарламалық-техникалық құралдарды енгізуді, тиісті жұмыс істеуін, сондай-ақ оларға қолжетімділікті ұсынуды;

      төлем жүйесінің инфрақұрылымында артықшылық берілген есептік жазбаларды пайдалану бойынша шектеулерді айқындауды;

      төлем жүйесі операторы қызметкерлерінің ақпараттық қауіпсіздік мәселелерінде хабардар болуын қамтамасыз ету жөніндегі іс-шараларды ұйымдастыруды және өткізуді;

      төлем жүйесі операторының ақпараттық қауіпсіздігін басқару жүйесінің жай-күйін мониторингтеуді;

      төлем жүйесі операторының басшылығына ақпараттық қауіпсіздікті басқару жүйесінің жай-күйі туралы мерзімде түрде (бірақ жылына бір реттен сиретпей) хабарлауды;

      төлем жүйесінің инфрақұрылымында ақпараттық қауіпсіздіктің оқыс оқиғалары туралы ақпаратты кемінде бес жыл сақтауды;

      Ұлттық Банкті Қазақстан Республикасындағы операциялар бойынша іске асырылған төлем жүйесінің инфрақұрылымындағы ақпараттық қауіпсіздіктің анықталған мынадай:

      төлем жүйесінің инфрақұрылымында қолданбалы және жүйелік бағдарламалық қамтамасыз етудегі осалдықтарды пайдалануға;

      төлем жүйесінің инфрақұрылымында ақпараттық жүйеге рұқсатсыз кіруге;

      төлем жүйесінің инфрақұрылымында ақпараттық жүйеге немесе деректерді беру желісіне "қызмет көрсетуден бас тарту" шабуылына;

      төлем жүйесінің инфрақұрылымында серверді зиянды бағдарламамен немесе кодпен (оқыс оқиғамен) зақымдауға;

      төлем жүйесінің инфрақұрылымында ақпараттық жүйелердің және бағдарламалық қамтамасыз етудің қауіпсіздігін бақылаудың бұзылуы салдарынан ақшаны рұқсатсыз аударуға алып келген оқыс оқиғалары туралы хабардар етуді қамтиды.

      Осы тармақта көрсетілген төлем жүйесінің инфрақұрылымындағы ақпараттық қауіпсіздіктің оқыс оқиғалары туралы ақпаратты төлем жүйесінің операторы мүмкіндігінше қысқа мерзімде, бірақ төлем жүйесінің операторы осындай оқыс оқиғаны анықтаған кезден бастап қырық сегіз сағаттан кешіктірмей ақпараттық қауіпсіздіктің оқыс оқиғасын анықтау фактісі бойынша Қағидаларға 1-1-қосымшаға сәйкес нысан бойынша және оны ұсыну кезінде оқыс оқиға туралы қолжетімді ақпараттың көлеміне сәйкес ақпараттық қауіпсіздіктің оқыс оқиғасының картасы түрінде береді.

      Ақпараттық қауіпсіздіктің әрбір оқыс оқиғасына ақпараттық қауіпсіздіктің оқыс оқиғасының жеке картасы толтырылады.

      4-2. Төлем жүйесінің инфрақұрылымында төлем жүйесі операторының төлем жүйесінде қолданылатын технологиялары бойынша ақпаратты қамтитын ақпараттық жүйелер жөніндегі мәліметтерде бағдарламалық модульдердің сипаттамасы қамтылады, олар мыналарды:

      1) жабдықтың кез келген учаскесінде кез келген уақытта электр қуаты толық немесе ішінара ажыратылған кезде ақпаратты сенімді сақтауды, рұқсатсыз қолжетімділіктен қорғауды, дерекқордың тұтастығын және электрондық архивтер мен дерекқорлардағы ақпараттың толық сақталуын;

      2) әкімші және пайдаланушы сияқты кірудің кемінде екі деңгейін көздейтін бағдарламалық қамтамасыз етуде іске асырылған кіріс деректеріне, функцияларға, операцияларға, есептерге көп деңгейлі қолжеткізуді;

      3) есепке алу жүйелерінде сақталатын деректерді резервтеу және қалпына келтіру мүмкіндігін;

      4) мынадай атрибуттарды: оқиғаның басталған күні мен уақытын, оқиғаның атауын, іс-әрекетті жүргізген пайдаланушыны, жазбаның сәйкестендіргішін, оқиғаның аяқталған күні мен уақытын, оқиғаның орындалу нәтижесін сақтай отырып, ақпараттық жүйеде орын алған оқиғаларды тіркеуді және сәйкестендіруді қамтамасыз етеді.";

      осы қаулыға қосымшаға сәйкес редакцияда 1-1-қосымшамен толықтырылсын.

      2. Осы қаулы қолданысқа енгізілгенге дейін Ұлттық Банкті қоспағанда, Қазақстан Республикасының аумағында жұмыс істейтін төлем жүйелерінің операторлары осы қаулы қолданысқа енгізілген күннен бастап жиырма жұмыс күні ішінде Қазақстан Республикасының Ұлттық Банкіне Нормативтік құқықтық актілерді мемлекеттік тіркеу тізілімінде № 14297 болып тіркелген "Төлем жүйелерінің тізілімін жүргізу қағидаларын бекіту туралы" Қазақстан Республикасы Ұлттық Банкі Басқармасының 2016 жылғы 31 тамыздағы № 221 қаулысымен бекітілген Төлем жүйелерінің тізілімін жүргізу қағидаларының 4-тармағының 2-бөлігінде көзделген мәліметтер мен құжаттарды қағаз тасымалдағышта не электрондық түрде ұсынсын.

      3. Төлем жүйелері департаменті (Е.Т. Ашықбеков) Қазақстан Республикасының заңнамасында белгіленген тәртіппен:

      1) Заң департаментімен (А.С. Касенов) бірлесіп осы қаулыны Қазақстан Республикасының Әділет министрлігінде мемлекеттік тіркеуді;

      2) осы қаулы ресми жарияланғаннан кейін Қазақстан Республикасы Ұлттық Банкінің ресми интернет-ресурсына орналастыруды;

      3) осы қаулы мемлекеттік тіркелгеннен кейін он жұмыс күні ішінде Заң департаментіне осы тармақтың 2) тармақшасында көзделген іс-шараның орындалуы туралы мәліметтерді ұсынуды қамтамасыз етсін.

      4. Осы қаулының орындалуын бақылау Қазақстан Республикасының Ұлттық Банкі Төрағасының орынбасары Б.Ш. Шолпанқұловқа жүктелсін.

      5. Осы қаулы алғашқы ресми жарияланған күнінен кейін күнтізбелік алпыс күн өткен соң қолданысқа енгізіледі.

      Қазақстан Республикасы
Ұлттық Банкінің Төрағасы
Г. Пирматов

  2022 жылғы 28 сәуірдегі
№ 35 Қаулыға қосымша
Төлем жүйелерінің тізілімін
жүргізу қағидаларына
1-1-қосымша

      Нысан

Ақпараттық қауіпсіздіктің оқыс оқиғасы картасы

Жалпы мәліметтер

Ақпараттық қауіпсіздіктің оқыс оқиғасының сипаттамасы

Ақпараттық қауіпсіздіктің оқыс оқиғасы туралы ақпарат

1

Ақпараттық қауіпсіздіктің оқыс оқиғасының атауы


2

Анықталған күні мен уақыты (жжжж кк.аа.және сс:мм сағат белдеуін көрсете отырып UTC+X)


3

Анықталған орны (ұйым, филиал, ақпараттық инфрақұрылым сегменті)


4

Ақпараттық қауіпсіздіктің оқыс оқиғасы туралы ақпараттың дереккөзі (пайдаланушы, әкімші, ақпараттық қауіпсіздік әкімшісі, ақпараттық қауіпсіздік бөлімшесінің қызметкері немесе техникалық құрал)


5

Ақпараттық қауіпсіздіктің оқыс оқиғасы іске асырылған кезде қолданылған әдістер (әлеуметтік инженерия, зиянды кодты ендіру)


Ақпараттық қауіпсіздіктің оқыс оқиғасының мазмұны

6

Ақпараттық қауіпсіздіктің оқыс оқиғасының симптомдары, белгілері


7

Негізгі оқиғалар (қолданбалы және жүйелік бағдарламалық қамтамасыз етудегі осалдықтарды пайдалану;
ақпараттық жүйеге рұқсатсыз кіру;
ақпараттық жүйеге немесе деректерді беру желісіне "қызмет көрсетуден бас тарту" шабуылы;
сервердің зиянды бағдарламамен немесе кодпен зақымдануы;
ақша қаражатын рұқсатсыз аудару;
электрондық ақша жүйесінің операторы қызметінің тұрақтылығына қауіп төндіретін ақпараттық қауіпсіздіктің өзге де оқыс оқиғалары)


8

Зақымданған активтер (электрондық ақша жүйесі операторының ақпараттық инфрақұрылымының нақты деңгейі, желілік жабдығының деңгейі, желілік қосымшалары мен сервистерінің деңгейі, операциялық жүйелерінің деңгейі, технологиялық процестері мен қосымшаларының деңгейі және бизнес-процестерінің деңгейі)


9

Ақпараттық қауіпсіздіктің оқыс оқиғасының мәртебесі (орын алған ақпараттық қауіпсіздіктің оқыс оқиғасы, ақпараттық қауіпсіздіктің оқыс оқиғасын жүзеге асыру мүмкіндігі, ақпараттық қауіпсіздіктің оқыс оқиғасына күдік)


10

Зиян


11

Қауіп көздері (анықталған идентификаторлар)


12

Қасақана (қасақана, қате)


Ақпараттық қауіпсіздіктің оқыс оқиғасы бойынша қабылданған шаралар

13

Қабылданған іс-әрекеттер (осалдықтарды сәйкестендіру, бұғаттау, қалпына келтіру және өзгелері)


14

Ақпараттық қауіпсіздік тәуекелдерінің туындауын барынша азайтуға бағытталған жоспарланған іс-әрекеттер


15

Хабардар болған тұлғалар (лауазымды тұлғалардың (тегі, аты, әкесінің аты (ол бар болса), мемлекеттік органдардың, ұйымдардың атауы)


16

Тартылған мамандар (тегі, аты, әкесінің аты (ол бар болса), жұмыс орны, қызметі)


      Ақпараттық қауіпсіздік жөніндегі жауапты қызметкер ____________________________________________ __________________
(тегі, аты, әкесінің аты (ол бар болса) (қолы)
Күні 20 ___ жылғы "____" ______