Правление Агентства Республики Казахстан по регулированию и развитию финансового рынка ПОСТАНОВЛЯЕТ:
1. Внести в постановление Правления Национального Банка Республики Казахстан от 28 декабря 2018 года № 318 "Об утверждении Правил формирования системы управления рисками и внутреннего контроля для центрального депозитария" (зарегистрировано в Реестре государственной регистрации нормативных правовых актов Республики Казахстан под № 18180) следующие изменения:
в Правилах формирования системы управления рисками и внутреннего контроля для центрального депозитария, утвержденных указанным постановлением:
в Требованиях к внутренним документам системы управления рисками и внутреннего контроля согласно приложению 5:
пункт 1 изложить в следующей редакции:
"1. Система управления рисками центрального депозитария предусматривает, но не ограничивается наличием следующих внутренних документов:
1) политика центрального депозитария по управлению рисками;
2) порядок инвестирования собственных активов центрального депозитария;
3) процедуры осуществления внутреннего контроля и внутреннего аудита;
4) процедуры, направленные на противодействие легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;
5) процедуры управления существующими и потенциальными конфликтами интересов в центральном депозитарии;
6) процедуры обеспечения сохранности сведений, составляющих коммерческую и (или) иную охраняемую законами Республики Казахстан тайну (далее - конфиденциальная информация), направленные на предотвращение их использования в собственных интересах центрального депозитария, его работников или третьих лиц;
7) процедуры осуществления клиринга по сделкам с финансовыми инструментами;
8) процедуры мониторинга и контроля эмитентов и держателей ценных бумаг на предмет соответствия требованиям законодательства Республики Казахстан о рынке ценных бумаг, регламентирующего порядок их деятельности по выпуску, размещению и обращению ценных бумаг, и внутренним документам центрального депозитария;
9) информационная политика центрального депозитария;
10) инструкция по технике безопасности;
11) документация по обеспечению информационной безопасности;
12) процедуры, направленные на предотвращение несвоевременности исполнения и (или) неисполнения приказов клиентов, эмитентов и (или) держателей ценных бумаг, а также ошибочного ввода данных в систему учета центрального депозитария, систему реестров сделок с производными финансовыми инструментами, заключенных на организованном и неорганизованном рынках ценных бумаг;
13) процедуры по оптимизации эффективности существующего контроля операционных процессов центрального депозитария;
14) процедуры составления и раскрытия информации в процессе осуществления деятельности центрального депозитария;
15) требования к резервному техническому центру;
16) требования к помещению для хранения архивных документов центрального депозитария, составляющих систему реестров держателей ценных бумаг;
17) порядок функционирования системы управленческой информации;
18) иные документы, установленные советом директоров центрального депозитария.";
пункт 16 изложить в следующей редакции:
"16. Документация по обеспечению информационной безопасности определяет:
1) политику информационной безопасности центрального депозитария;
2) перечень информации, подлежащей защите и включающий, в том числе информацию о сведениях, составляющих служебную, коммерческую или иную охраняемую законом тайну (далее – защищаемая информация);
3) порядок работы с защищаемой информацией;
4) перечень информационных систем, обрабатывающих защищаемую информацию;
5) требования к обеспечению информационной безопасности при выборе, внедрении, разработке и тестировании информационных систем, обрабатывающих защищаемую информацию;
6) порядок управления доступом к информационным системам, обрабатывающим защищаемую информацию;
7) порядок резервного копирования, хранения, восстановления, тестирования работоспособности резервных копий информационных систем, обрабатывающих защищаемую информацию;
8) порядок обеспечения антивирусной защиты информационной инфраструктуры центрального депозитария;
9) перечень разрешенного к использованию в центральном депозитарии программного обеспечения;
10) периодичность и правила мониторинга отдельно или серийно возникающих событий в работе информационно-коммуникационной инфраструктуры или отдельных ее объектов, включая системы информационной безопасности, свидетельствующих о нарушении принятых мер обеспечения информационной безопасности либо о прежде неизвестной ситуации, которая может иметь отношение к информационной безопасности (далее - события информационной безопасности);
11) перечень событий информационной безопасности, подлежащих мониторингу;
12) перечень источников событий информационной безопасности;
13) порядок обработки отдельно или серийно возникающих сбоев в работе информационно-коммуникационной инфраструктуры или отдельных ее объектов, создающих угрозу их надлежащему функционированию и (или) условия для незаконного получения, копирования, распространения, модификации, уничтожения или блокирования защищаемой информации (далее - инциденты информационной безопасности);
14) порядок отнесения событий информационной безопасности к инцидентам информационной безопасности;
15) порядок доступа лиц, не являющихся работниками центрального депозитария, к информационным системам, обрабатывающим защищаемую информацию;
16) порядок защиты информации при использовании Интернета и электронной почты;
17) порядок управления обновлениями информационных систем.";
пункт 18 изложить в следующей редакции:
"18. Процедуры по оптимизации эффективности существующего контроля операционных процессов центрального депозитария определяют:
1) риски, связанные с осуществлением действий на основе первичных документов:
представление первичных документов неуполномоченным лицом;
кража, подмена или утеря первичных документов;
ввод несуществующего приказа в информационную систему, системы учета и реестров;
двойной ввод данных одного и того же приказа разными работниками в информационную систему, системы учета и реестров;
некорректный ввод данных приказа в информационную систему, системы учета и реестров;
невыполнение ввода приказа в информационную систему, системы учета и реестров;
несвоевременный ввод приказа в информационную систему, системы учета и реестров;
выбор некорректного статуса приказа в информационной системе, системе учета центрального депозитария;
невнесение изменения в статус приказа в информационной системе, системах учета и реестров;
изменение статуса приказа в информационной системе, системах учета и реестров, не подлежавшего изменению;
изменение данных справочников в информационной системе, системах учета и реестров, не подлежавших изменению;
некорректное изменение данных справочников в информационной системе, системах учета и реестров;
невнесение изменения в данные справочников в информационной системе, системах учета и реестров;
изменение данных справочников в информационной системе, системах учета и реестров без соответствующего документа;
несвоевременное изменение данных справочников в информационной системе, системах учета и реестров;
2) риски, связанные с выдачей отчетных и иных документов на основе первичных документов:
невыполнение формирования отчетного документа;
несвоевременное формирование отчетного документа;
некорректные данные в отчетном документе;
формирование отчета об исполнении с указанием неправильного статуса приказа;
выдача отчетного документа неуполномоченному лицу;
кража, подмена и утеря отчетных документов;
3) риски, связанные с использование информационных систем:
невыполнение процедур открытия (закрытия) операционного дня;
невыполнение включения терминала фондовой биржи;
некорректный формат входящего файла;
некорректное содержание входящего файла;
двойной ввод данных разными работниками для формирования записи в базе данных;
невыполнение формирования записи в базе данных;
некорректное формирование записи в базе данных;
повтор документов от отправителя в информационной системе (в течение операционного дня);
постановка приказа в очередь с отложенной датой расчетов;
ошибки при проведении транзакций в информационной системе;
исполнение приказа без встречного приказа (по сделкам, которые регистрируются на основании двух встречных приказов);
исполнение приказа по ценным бумагам, не находящимся в обращении;
исполнение приказа во время, не входящее в регламент;
прием приказа во время, не входящее в регламент;
исполнение приказа в момент не открытого операционного дня;
исполнение приказа в момент приостановления операций с ценными бумагами;
исполнение приказа на неразрешенные операции;
4) риски, связанные с эксплуатацией информационных систем:
заражение компьютерными вирусами;
использование нелицензионных программ;
неавторизованный доступ к информационным системам;
ошибка при техническом обслуживании серверного оборудования;
сбой в системе электропитания;
сбой систем кондиционирования серверов;
технический сбой серверного оборудования;
технический сбой сетевого оборудования;
кража, преднамеренная порча носителей данных (жестких дисков и иных носителей);
неавторизованный доступ к носителям данных (жестким дискам и иным носителям);
чрезвычайная ситуация природного характера;
пожар в серверной комнате;
затопление серверной комнаты;
программный сбой в информационной системе;
отсутствие формализованного требования заказчика по разработке программного обеспечения;
некорректное составление технического задания для кодировщиков программного обеспечения;
ошибка при написании кода программного обеспечения;
ошибка при внедрении разработанного программного обеспечения;
ошибка при разработке и (или) внедрении программного обеспечения.".
2. Управлению кибербезопасности в установленном законодательством Республики Казахстан порядке обеспечить:
1) совместно с Юридическим департаментом государственную регистрацию настоящего постановления в Министерстве юстиции Республики Казахстан;
2) размещение настоящего постановления на официальном интернет-ресурсе Агентства Республики Казахстан по регулированию и развитию финансового рынка после его официального опубликования;
3) в течение десяти рабочих дней после государственной регистрации настоящего постановления представление в Юридический департамент сведений об исполнении мероприятия, предусмотренного подпунктом 2) настоящего пункта.
3. Контроль за исполнением настоящего постановления возложить на курирующего заместителя Председателя Агентства Республики Казахстан по регулированию и развитию финансового рынка.
4. Настоящее постановление вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования.
Председатель Агентства Республики Казахстан по регулированию и развитию финансового рынка |
М. Абылкасымова |