1. "Қазақстан Республикасы Ұлттық Банкінің Қазақстан банкаралық есеп айырысу орталығы" шаруашылық жүргізу құқығы бар республикалық мемлекеттік кәсіпорнының Төлем жүйесін пайдаланушының жұмыс орнының қауіпсіздігін қамтамасыз ету ережелері бекітілсін және Қазақстан Республикасының Әділет министрлігінде мемлекеттік тіркеуден өткізілген күннен бастап күшіне енгізілсін.
2. Қазақстан Республикасы Ұлттық Банкінің Қазақстан банкаралық есеп айырысу орталығы (Абдулкаримов С.Х.):
1) Заң департаментімен (Шәріпов С.Б.) бірлесіп осы қаулыны және "Қазақстан Республикасы Ұлттық Банкінің Қазақстан банкаралық есеп айырысу орталығы" шаруашылық жүргізу құқығы бар республикалық мемлекеттік кәсіпорнының Төлем жүйесін пайдаланушының жұмыс орнының қауіпсіздігін қамтамасыз ету ережелерін Қазақстан Республикасының Әділет министрлігінде тіркеуден өткізсін;
2) Қазақстан Республикасының Әділет министрлігінде мемлекеттік тіркеуден өткізілген күннен бастап осы қаулыны және бекітілген Ережелерді төлем жүйесін пайдаланушылардың бәріне жіберсін.
3. Ақпарат технологиясы департаменті (Поликарпов О.Ю.) белгіленген тәртіппен Қазақстан Республикасы Ұлттық Банкі Басқармасының 1995 жылғы 19 қазандағы N 177 қаулысымен бекітілген Қазақстан Республикасы Ұлттық Банкінің бөлімшелері арасында, сондай-ақ Қазақстан Республикасының банктері арасында электронды төлемдер алмасқан кезде
бағдарлама-криптографиялық қорғау жүйесін қолдану тәртібі туралы
нұсқаулыққа өзгерістер әзірлеп, Қазақстан Республикасы Ұлттық Банкі
Басқармасының қарауына ұсынсын.
4. Осы қаулының орындалуына бақылау жасау Қазақстан Республикасының
Ұлттық Банкі Төрағасының орынбасары Н.Қ. Абдулинаға жүктелсін.
Ұлттық Банк
Төрағасы
Қазақстан Республикасының
Ұлттық Банкі Басқармасының
1999 жылғы 07 қазандағы
N 325 қаулысымен бекітілген
"Қазақстан Республикасы Ұлттық Банкінің Қазақстан банкаралық есеп
айырысу орталығы" шаруашылық жүргізу құқығына ие Республикалық
мемлекеттік кәсіпорнының төлем жүйесін пайдаланушысының жұмыс
орнының қауіпсіздігін қамтамасыз ету
ЕРЕЖЕСІ
1. Пайдаланылатын ұғымдар
Төлем жүйені пайдаланушы - Қазақстан Республикасы Ұлттық Банкінің Қазақстан банкаралық есеп айырысу орталығымен жүйе қызметін пайдалануға шарт жасасқан банк немесе банк операцияларының жекелеген түрлерін жүзеге асыратын ұйым.
Негізгі ақпарат криптографиялық кілттер немесе ақпараттың криптографиялық қайта құруды жүзеге асыра алатын өзге ақпарат.
Кілттерді үлестіретін орталығы негізгі ақпаратты жинағанда, жібергенде немесе генерация жүргізілгенде анықталған технологиялық процедураларды жүзеге асыратын ұйым.
Электронды құжат - төлем жүйесінде ақпарат берудің форматтарға сәйкес, электронды түрде құрастырылып тапсырылған құжат (хабар).
Рұқсат етілмеген қол жеткізу - осы ақпаратқа қол жеткізуге құқығы жоқ тұлғалардың ақпаратқа қол жеткізу.
Рұқсат етілмеген қол жеткізуден қорғайтын бағдарламалық-ақпараттық кешені - компьютерлерді басқа тұлғалар пайдаланудан қорғау жүйесі, қойылған бағдарламалық қамсыздандыру және деректердің тұтастығына бақылау жүргізу, сондай-ақ ақпараттық ресурстарға қол жеткізу рұқсат берудің тіркелген пайдаланушыларының өкілеттіктерді бөлу үшін.
Егжей-тегжейлі деректері бар конфигурацияның төлқұжаты - қағазда құрастырылып төлем жүйесін пайдаланушының бастығы расталған тізімі.
Қол жеткізуді тіркеу құралдары - объектілерге қол жеткізу ақпаратты берілетін техникалық, бағдарламалық немесе өзге құралдары.
Төлем жүйесінің қауіпсіздік қызметі - Қазақстан Республикасы Ұлттық Банкінің Қазақстан банкаралық есеп айырысу орталығының құрылымдық бөлімшесі (қауіпсіздік бөлімі).
Қауіпсіздік офицері - рұқсат етілмеген қол жеткізуден ақпаратты қорғайтын құралдарды қолданылып қамтамасыз етіп, қалыпты жұмыс істеуіне бақылау жүргізетін жауапты тұлға.
Аттестация объектте қажетті және белгіленген талаптардың орындауын қамтамасыз ететін жеткілікті шарттардың бар екендігі туралы ресми қуаттау.
2. Жұмыс орнын орналастыру
1. Төлем жүйесін пайдаланушының жұмыс орыны арнайы бөлінген үй-жайда орналастырады.
2. Орналасқан жеріне, арнаулы жабдыққа және төлем жүйесін пайдаланушының жұмыс орны ұйымдастырылған үй-жайдың қорғауына, сол үй-жайға қол жеткізуге рұқсат берілмеген тұлғаларға төлем жүйесін пайдаланушының жұмыс орнына бақылаусыз дендеп кіру мүмкіндіктерді шығарып тастауға тиіс.
3. Үй-жай бақыланбалы аймақта тұруы қажет, бекем кіретін есіктерге сенімді құлыптар орнатылып қол жеткізуді тіркеу құралдары болуы қажет. Төлем жүйесін пайдаланушының жұмыс орны орналасқан үйден 50 метр радиуста күзетілетін және бақыланатын аймақ болмаған жағдайда, бөлмеге электромагниттік арналар бойынша ақпараттың жария болмауынан қорғайтын құралдар орнатылуға тиіс. Үй-жайлар бірінші және соңғы қабаттарда орналасқанда, сондай-ақ терезелерге жақын орналасқан балкондар, өрт басқыштары және т.б., үй-жайлар терезелерді торлармен жабдықтауға керек. Үй-жайлардың есіктері мен терезелері күзет дабылдамасымен жабдықтауға қажет. <*>
Ескерту. 3-тармақ өзгертілді - ҚР Ұлттық Банкі Басқармасының
2002 жылғы 28 ақпандағы N 61 қаулысымен. V021825_
3. Рұқсат етілмеген қол жеткізуден ақпаратты және бағдарламалық
қамтамасыз етуді қорғау
4. Төлем жүйесін пайдаланушының бағдарламалық қамтамасыз етуі осы мақсаттарға арнайы бөлінген конфигурация, аппараттық және бағдарламалық орнатылған құралдарының егжей-тегжейлі деректері туралы төлқұжаты бар дербес компьютерге орнатылуы қажет.
5. Төлем жүйесіне байланысты емес арнаулы міндеттерді шешу - электронды құжатты дайындау, өңдеу, беру, жүргізу үшін іс-қимылдардан басқа бағдарламалық құралдарды төлем жүйені пайдаланушының дербес компьютеріне орнатылуға рұқсат берілмейді.
6. Төлем жүйесін пайдаланушының дербес компьютері рұқсат етілмеген қол жеткізуден қорғайтын бағдарламалық-аппараттық кешені болуы қажет, оның ішіне пайдаланушыларды тану құралдары, және пайдаланушылардың қимылдарына және компьютерге қол жеткізу уақиғаларды бақылау мақсатында электронды құжаттарды сақтау мерзімінде электронды журналдар жүргізілетін мүмкіншілігі кіреді.
7. Ақпараттық жүйелерге кірер алдында пайдаланушының сәйкестендіру бір жүйелі атына бір жеке адамның сәйкестелуі қажет.
8. Төлем жүйесін пайдаланушының дербес компьютері бағдарламалық қамтамасыз етудің тұтастығын қамтамасыз ететін құралдары болуы қажет. Егер құралдардың тұтастығы бұзылып жатқан күдік болса немесе сол құралдардан тұтастығы бұзылып жатқаны туралы ескертулер алынса төлем жүйесінің қауіпсіздік қызметіне тез арада хабарлауға тиіс.
9. Төлем жүйесін пайдаланушының дербес компьютерінің жүйелі блогы мөрленіп немесе пломба салынуға тиіс.
10. Төлем жүйесін пайдаланушының жұмыс орнына қол жеткізуді қаматамасыз ететін техникалық құралдарының, парольдерінің, код сөздерінің немесе өзге ақпараттың пайдалану және сақтау тәртібі рұқсат етілмеген пайдалану мүмкіндіктерді шығарып тастауға тиіс.
11. Рұқсат етілмеген қол жеткізуден қорғайтын құралдарға әкімгер құқықтары тиісті өкілеттіктері бар төлем жүйесін пайдаланушының қауіпсіздік офицеріне ғана берілу қажет.
12. Төлем жүйесін пайдаланушының ақпараттық жүйесінде дайындалған электронды құжаттарды төлем жүйесін пайдаланушының жұмыс орнына беру технологиясы (электронды құжаттар беру анықталған тәртібі) сол электронды құжаттарға рұқсат етілмеген қол жеткізу мүмкіндіктерді шығарып тастауға тиіс.
13. Ресурстарға қол жеткізу тәртібі (диск кеңістігі, директориялар, жүйелі ресурстар, деректер қоры және т.б.) бөлінген төлем жүйесіне беру үшін олардың ішіне ақпаратты қорлану үшін, төлем жүйесінен ақпарат алу, сақтау, мұрағаттау немесе ақпаратты өзге өңдеп сол ресурстармен жұмыс істеуге рұқсат етілмеген тұлғаларға қол жеткізу мүмкіндіктерді шығарып тастауға тиіс.
4. Негізгі ақпаратты сақтау және пайдалану
14. негізгі ақпарат сыртқы иесінде (дискета, пластикалық карточка және т.б.) болуы тиіс.
15. Негізгі ақпаратты сыртқы иесінде сақтау және пайдалану тәртібі оларға рұқсат етілмеген қол жеткізуден мүмкіндіктерді шығарып тастауға тиіс.
16. Негізгі ақпаратқа қол жеткізуге рұқсат етілген тұлғалар қолданылып жүрген заңдарға сәйкес ақпарат сақталуына және жарияланбауына дербес жауап береді.
17. Негізгі ақпаратты сыртқы иесінде сақтау үшін үй-жайдың ішінде сенімді болып бекіте алатын құрылғылармен жабдықталған жағдандар орнатылуы тиіс.
18. Жұмыс күні біткен соң негізгі ақпаратты сақтау сыртқы иелері жағдандарда болуға тиіс.
19. Негiзгi ақпаратқа қол жеткiзуге рұқсат етiлген қызметкерлер жұмыстан босатылған жағдайда, негiзгi ақпаратты беделiн түсiрген немесе беделiн түсiру әрекеттер болған жағдайларда негiзгi ақпаратты жоспарланбай ауыстыру қажет. Негiзгi ақпаратқа қол жеткiзе алатын қызметкер жұмыстан босатылған күнiнен, немесе бұрыннан, жаңа негiзгi ақпарат iске қосылады.
20. Тыйым салынады:
1) негiзгi ақпарат иесiнен рұқсат етiлмеген көшiрмелердi түсiру;
2) негiзгi ақпарат иесiнiң мазмұнымен таныстыру және қол жеткiзiлмейтiн тұлғаларға негiзгi ақпарат иесiн тапсыру;
3) негiзгi ақпаратты дисплейге не принтерге шығару;
4) жүйенiң жұмыс iстеуiнiң көзделмеген тәртiптемесiнде негiзгi ақпарат иесiн оқитын құрылғысына тұрғызу;
5) негiзгi ақпараттың сыртқы иесiне өзге ақпаратты жазуға.
5. Қызмет көрсетушi қызметкерлерiнiң
жұмыс ұйымдастыруы
21. Төлем жүйесiн пайдаланушы шығаратын бұйрықта анықталады:
1) төлем жүйесiндегi жұмыс iстейтiн тәртiптемесi (жұмыс уақыты, үзiлiс уақыты, кешкi сағаттарда жұмыс iстеу тәртiбi, демалыс және мейрам күндерде жұмыс iстеу тәртiбi және т.б.);
2) төлем жүйесiн пайдаланушының жұмыс орнына қол жеткiзе алатын қызметкерлер тiзiмi;
3) негiзгi ақпаратпен сыртқы иелерге қол жеткiзе алатын қызметкерлер тiзiмi;
4) төлем жүйесiндегi электронды құжаттарды қабылдауға және беруге рұқсат берiле алатын қызметкерлер тiзiмi;
5) ерекше жағдайларда төлем жүйесiн пайдаланушының жұмыс орнына қол жеткiзе алатын қызметкерлер тiзiмi;
6) қауiпсiздiк офицердiң мiндеттерiн атқаратын қызметкерлер тiзiмi;
7) төлем жүйесiне берiлген және төлем жүйесiнен қабылдап алынған барлық электронды құжаттардың сақтауын және мұрағаттауын жүзеге асырайтын қызметкерлер тiзiмi.
22. Төлем жүйесiн пайдаланушының iшкi ережелерiмен анықталады:
1) қол жеткiзуге мiндеттi тұлғаның және төлем жүйесiн пайдаланушының жұмыс орны орналасқан үй-жайға қол жеткiзуге тәртiбi мен бақылаудың процедуралары;
2) төлем жүйесiне берiлген және төлем жүйесiнен қабылдап алынған барлық электронды құжаттарды сақтаудың және мұрағаттаудың тәртiбi мен процедуралары, сондай-ақ сол мұрағатқа қол жеткiзу тәртiбi;
3) төлем жүйесiн пайдаланушының дербес компьютерiнiң жүйелi блогiндегi мөрлер немесе пломбалардың тұтастығы бойынша бақылау процедуралары.
23. Төлем жүйесiн пайдаланушының жұмыс орнына қол жеткiзе алатын қызметкерлерiне төлем жүйесiн пайдаланушының iшкi ережелерiмен және нұсқаулықтарымен анықталады:
1) нақты мiндеттерi мен өкiлеттiктерi;
2) төлем жүйесiнiң хабарларды беруге не қабылдауға рұқсат беру тәртiбi;
3) еңбек демалыстарға, жұмыстан босатқанға және орнын басуға сияқты уақытша жоқ болмаған жағдайлардың тәртiбi;
4) барлық келгендер, кеткендер, орнын басқандар, жоқ болғандар, кезектердi табыстау туралы, ерекше жағдаймен қол жеткiзiп үй-жайға келген тұлғалар туралы толық ақпараттар (күнi, уақыты, аты-жөнi, лауазымы, келудiң мақсаты, қолы) тiркеу тәртiбi;
5) негiзгi ақпаратпен сыртқы иесiнiң сақтау тәртiбi;
6) ескірiп қалған негiзгi ақпарат пайдалана тұра қол қойылған немесе шифрленген электронды құжаттар сақталатын мерзiмiнiң iшiнде ескірiп қалған негiзгi ақпаратты сақтау тәртiбi;
7) негiзгi ақпарат пайдаланған ұзақтығы мен шындығы туралы толық ақпараттар (күнi, уақыты, аты-жөнi, лауазымы, келудiң мақсаты, қолы) тiркеу тәртiбi;
8) төлем жүйесiн пайдаланушының жұмыс орнына қол жеткiзе алуды қамтамасыз ететiн техникалық құралдардың, код сөздердiң парольдерi және өзге ақпараттың сақтау және пайдалану тәртiбi.
24. Төлем жүйесiнде жұмыс iстеуге қауiпсiздiктi қамтамасыз ету ережелерiн жете бiлетiн, компьютерде жұмыс iстеуге практикалық дағдылары бар, жоғары iскерлiк және ағлақтық қадыр-қасиеттерi бар қызметкерлерге рұқсат берiледi.
25. Төлем жүйесiнде жұмыс iстеуге рұқсат берiлген қызметкерлерден құпия ақпараттарды, негiзгi ақпараттары мен парольдi жарияланбау, таратылмау жөнiнде мiндеттеме алу қажет.
26. Төлем жүйесiнде жұмыс iстеуге рұқсат берiлген қызметкерлер келесi санаттарға бөлiнуге тиiстi:
1) әкiмгер, меншiктi ашық және құпиялық кiлттердi тiкелей шығарып, кiлттердi бөлу орталығында кiлттердiң тiркеудi жүзеге асырады, кiлттердi бөлу орталығында меншiктi тiркелген кiлттердi пайдаланып, сондай-ақ өңдеуге - төлем жүйесiне хабар беруге және төлем жүйесiнен қабылдап алуға рұқсат бередi;
2) оператор (әкiмгердiң орнын басатын тұлға), хабардың тiкелей дайындауын, беруiн және қабылдауын жүзеге асырады;
3) қауiпсiздiк офицерi, төлем жүйесiн пайдаланушының жұмыс орнына қол жеткiзiлген қызметкерлердiң тiркеу және қауiпсiздiк талаптардың орындалуына бақылау жұмысын жүргiзу мiндеттердi атқарады.
27. Ағымдағы және жедел қауiпсiздiк туралы мәселелер шешу қажеттiлiгi болса әкiмгер қауiпсiздiк офицерiмен бiрге төлем жүйенiң қауiпсiздiк қызметiмен өзара бiрiгiп шешедi.
6. Төлем жүйесiн пайдаланушының жұмыс
орнына аттестация
28. Төлем жүйесін пайдаланушының жұмыс орны осы Ереженің талаптарын орындау үшін Қазақстан Республикасы Ұлттық Банкінің басшылығы бекіткен Төлем жүйесін пайдаланушылардың жұмыс орындарын аттестациялау жөніндегі іс-шаралардың жоспарында белгіленген мерзімде Қазақстан Республикасы Ұлттық Банкінің аттестациясынан өтуі тиіс. Төлем жүйесiн пайдаланушының жұмыс орны келесi жағдайларда қайталап аттестация арқылы өтедi: <*>
1) пайдаланушының жұмыс орны жаңа жерге ауысуы;
2) <*>
3) бағдарламалық қамтамасыз етуiне өзгертулер енгiзу;
4) рұқсат етiлмеген қол жеткiзуден қорғайтын бағдарламалық-аппараттық кешенiне өзгертулер енгiзу;
5) внесение изменений в технологию передачи электронных документов, подготовленных в информационной системе пользователя платежной системы, на рабочее место пользователя платежной системы;
6) аттестация нәтижелері бекiтiлген жоқ. <*>
РҚАО-ның ескертуі: 5-тармақшаның қазақша аудармасы болмағандықтан
орысша мәтінде беріліп отыр.
Ескерту. 28-тармақ өзгертілді - ҚР Ұлттық Банкі Басқармасының
2002 жылғы 28 ақпандағы N 61 қаулысымен. V021825_
29. Төлем жүйесін пайдаланушының осы Ережелерде белгіленген шарттар мен талаптарды орындауын тексеруді жүзеге асыру мақсатында Қазақстан Республикасының Ұлттық Банкі тиісті комиссияны тағайындайды. <*>
Ескерту. 29-тармақ жаңа редакцияда - ҚР Ұлттық Банкі Басқармасының
2002 жылғы 28 ақпандағы N 61 қаулысымен. V021825_
30. <*>
Ескерту. 30-тармақ алынып тасталынды - ҚР Ұлттық Банкі Басқармасының
2002 жылғы 28 ақпандағы N 61 қаулысымен. V021825_
31. Комиссия төлем жүйесін пайдаланушының жұмыс орнына жүргізілген тексеру негізінде оның нәтижелері туралы есеп жасайды, оған комиссия мүшелері, төлем жүйесін пайдаланушының басшылығы бұрыштама қойып, Қазақстан Республикасы Ұлттық Банкінің басшылығына ұсынылады. <*>
Ескерту. 31-тармақ жаңа редакцияда - ҚР Ұлттық Банкі Басқармасының
2002 жылғы 28 ақпандағы N 61 қаулысымен. V021825_
32. Төлем жүйесін пайдаланушы осы Ережелердің барлық талаптарын орындаған жағдайда Қазақстан Республикасының Ұлттық Банкі төлем жүйесін пайдаланушыға аттестациядан өткені туралы жазбаша растауды жібереді. <*>
Ескерту. 32-тармақ жаңа редакцияда - ҚР Ұлттық Банкі Басқармасының
2002 жылғы 28 ақпандағы N 61 қаулысымен.
V021825_
33. Төлем жүйесін пайдаланушы осы Ережелердің талаптарын орындамаған
жағдайда Қазақстан Республикасының Ұлттық Банкі оған аттестациядан қайта
өту мерзімін белгілеуге құқылы. Сонымен қатар мұндай пайдаланушы
аттестациядан өткенге дейін оған қызмет көрсету тоқтатылуы мүмкін.
<*>
Ескерту. 33-тармақ жаңа редакцияда - ҚР Ұлттық Банкі Басқармасының
2002 жылғы 28 ақпандағы N 61 қаулысымен.
V021825_
34.
<*>
Ескерту. 34-тармақ алынып тасталынды - ҚР Ұлттық Банкі Басқармасының
2002 жылғы 28 ақпандағы N 61 қаулысымен.
V021825_
Ұлттық Банкi
Төрағасы
Оқығандар:
Омарбекова А.Т.
Икебаева Ә.Ж.