О внесении изменений в постановление Правления Национального Банка Республики Казахстан от 28 декабря 2018 года № 318 "Об утверждении Правил формирования системы управления рисками и внутреннего контроля для центрального депозитария"

Правление Агентства Республики Казахстан по регулированию и развитию финансового рынка ПОСТАНОВЛЯЕТ:

1. Внести в постановление Правления Национального Банка Республики Казахстан от 28 декабря 2018 года № 318 "Об утверждении Правил формирования системы управления рисками и внутреннего контроля для центрального депозитария" (зарегистрировано в Реестре государственной регистрации нормативных правовых актов Республики Казахстан под № 18180) следующие изменения:

в Правилах формирования системы управления рисками и внутреннего контроля для центрального депозитария, утвержденных указанным постановлением:

в Требованиях к внутренним документам системы управления рисками и внутреннего контроля согласно приложению 5:

пункт 1 изложить в следующей редакции:

"1. Система управления рисками центрального депозитария предусматривает, но не ограничивается наличием следующих внутренних документов:

1) политика центрального депозитария по управлению рисками;

2) порядок инвестирования собственных активов центрального депозитария;

3) процедуры осуществления внутреннего контроля и внутреннего аудита;

4) процедуры, направленные на противодействие легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;

5) процедуры управления существующими и потенциальными конфликтами интересов в центральном депозитарии;

6) процедуры обеспечения сохранности сведений, составляющих коммерческую и (или) иную охраняемую законами Республики Казахстан тайну (далее - конфиденциальная информация), направленные на предотвращение их использования в собственных интересах центрального депозитария, его работников или третьих лиц;

7) процедуры осуществления клиринга по сделкам с финансовыми инструментами;

8) процедуры мониторинга и контроля эмитентов и держателей ценных бумаг на предмет соответствия требованиям законодательства Республики Казахстан о рынке ценных бумаг, регламентирующего порядок их деятельности по выпуску, размещению и обращению ценных бумаг, и внутренним документам центрального депозитария;

9) информационная политика центрального депозитария;

10) инструкция по технике безопасности;

11) документация по обеспечению информационной безопасности;

12) процедуры, направленные на предотвращение несвоевременности исполнения и (или) неисполнения приказов клиентов, эмитентов и (или) держателей ценных бумаг, а также ошибочного ввода данных в систему учета центрального депозитария, систему реестров сделок с производными финансовыми инструментами, заключенных на организованном и неорганизованном рынках ценных бумаг;

13) процедуры по оптимизации эффективности существующего контроля операционных процессов центрального депозитария;

14) процедуры составления и раскрытия информации в процессе осуществления деятельности центрального депозитария;

15) требования к резервному техническому центру;

16) требования к помещению для хранения архивных документов центрального депозитария, составляющих систему реестров держателей ценных бумаг;

17) порядок функционирования системы управленческой информации;

18) иные документы, установленные советом директоров центрального депозитария.";

пункт 16 изложить в следующей редакции:

"16. Документация по обеспечению информационной безопасности определяет:

1) политику информационной безопасности центрального депозитария;

2) перечень информации, подлежащей защите и включающий, в том числе информацию о сведениях, составляющих служебную, коммерческую или иную охраняемую законом тайну (далее – защищаемая информация);

3) порядок работы с защищаемой информацией;

4) перечень информационных систем, обрабатывающих защищаемую информацию;

5) требования к обеспечению информационной безопасности при выборе, внедрении, разработке и тестировании информационных систем, обрабатывающих защищаемую информацию;

6) порядок управления доступом к информационным системам, обрабатывающим защищаемую информацию;

7) порядок резервного копирования, хранения, восстановления, тестирования работоспособности резервных копий информационных систем, обрабатывающих защищаемую информацию;

8) порядок обеспечения антивирусной защиты информационной инфраструктуры центрального депозитария;

9) перечень разрешенного к использованию в центральном депозитарии программного обеспечения;

10) периодичность и правила мониторинга отдельно или серийно возникающих событий в работе информационно-коммуникационной инфраструктуры или отдельных ее объектов, включая системы информационной безопасности, свидетельствующих о нарушении принятых мер обеспечения информационной безопасности либо о прежде неизвестной ситуации, которая может иметь отношение к информационной безопасности (далее - события информационной безопасности);

11) перечень событий информационной безопасности, подлежащих мониторингу;

12) перечень источников событий информационной безопасности;

13) порядок обработки отдельно или серийно возникающих сбоев в работе информационно-коммуникационной инфраструктуры или отдельных ее объектов, создающих угрозу их надлежащему функционированию и (или) условия для незаконного получения, копирования, распространения, модификации, уничтожения или блокирования защищаемой информации (далее - инциденты информационной безопасности);

14) порядок отнесения событий информационной безопасности к инцидентам информационной безопасности;

15) порядок доступа лиц, не являющихся работниками центрального депозитария, к информационным системам, обрабатывающим защищаемую информацию;

16) порядок защиты информации при использовании Интернета и электронной почты;

17) порядок управления обновлениями информационных систем.";

пункт 18 изложить в следующей редакции:

"18. Процедуры по оптимизации эффективности существующего контроля операционных процессов центрального депозитария определяют:

1) риски, связанные с осуществлением действий на основе первичных документов:

представление первичных документов неуполномоченным лицом;

кража, подмена или утеря первичных документов;

ввод несуществующего приказа в информационную систему, системы учета и реестров;

двойной ввод данных одного и того же приказа разными работниками в информационную систему, системы учета и реестров;

некорректный ввод данных приказа в информационную систему, системы учета и реестров;

невыполнение ввода приказа в информационную систему, системы учета и реестров;

несвоевременный ввод приказа в информационную систему, системы учета и реестров;

выбор некорректного статуса приказа в информационной системе, системе учета центрального депозитария;

невнесение изменения в статус приказа в информационной системе, системах учета и реестров;

изменение статуса приказа в информационной системе, системах учета и реестров, не подлежавшего изменению;

изменение данных справочников в информационной системе, системах учета и реестров, не подлежавших изменению;

некорректное изменение данных справочников в информационной системе, системах учета и реестров;

невнесение изменения в данные справочников в информационной системе, системах учета и реестров;

изменение данных справочников в информационной системе, системах учета и реестров без соответствующего документа;

несвоевременное изменение данных справочников в информационной системе, системах учета и реестров;

2) риски, связанные с выдачей отчетных и иных документов на основе первичных документов:

невыполнение формирования отчетного документа;

несвоевременное формирование отчетного документа;

некорректные данные в отчетном документе;

формирование отчета об исполнении с указанием неправильного статуса приказа;

выдача отчетного документа неуполномоченному лицу;

кража, подмена и утеря отчетных документов;

3) риски, связанные с использование информационных систем:

невыполнение процедур открытия (закрытия) операционного дня;

невыполнение включения терминала фондовой биржи;

некорректный формат входящего файла;

некорректное содержание входящего файла;

двойной ввод данных разными работниками для формирования записи в базе данных;

невыполнение формирования записи в базе данных;

некорректное формирование записи в базе данных;

повтор документов от отправителя в информационной системе (в течение операционного дня);

постановка приказа в очередь с отложенной датой расчетов;

ошибки при проведении транзакций в информационной системе;

исполнение приказа без встречного приказа (по сделкам, которые регистрируются на основании двух встречных приказов);

исполнение приказа по ценным бумагам, не находящимся в обращении;

исполнение приказа во время, не входящее в регламент;

прием приказа во время, не входящее в регламент;

исполнение приказа в момент не открытого операционного дня;

исполнение приказа в момент приостановления операций с ценными бумагами;

исполнение приказа на неразрешенные операции;

4) риски, связанные с эксплуатацией информационных систем:

заражение компьютерными вирусами;

использование нелицензионных программ;

неавторизованный доступ к информационным системам;

ошибка при техническом обслуживании серверного оборудования;

сбой в системе электропитания;

сбой систем кондиционирования серверов;

технический сбой серверного оборудования;

технический сбой сетевого оборудования;

кража, преднамеренная порча носителей данных (жестких дисков и иных носителей);

неавторизованный доступ к носителям данных (жестким дискам и иным носителям);

чрезвычайная ситуация природного характера;

пожар в серверной комнате;

затопление серверной комнаты;

программный сбой в информационной системе;

отсутствие формализованного требования заказчика по разработке программного обеспечения;

некорректное составление технического задания для кодировщиков программного обеспечения;

ошибка при написании кода программного обеспечения;

ошибка при внедрении разработанного программного обеспечения;

ошибка при разработке и (или) внедрении программного обеспечения.".

2. Управлению кибербезопасности в установленном законодательством Республики Казахстан порядке обеспечить:

1) совместно с Юридическим департаментом государственную регистрацию настоящего постановления в Министерстве юстиции Республики Казахстан;

2) размещение настоящего постановления на официальном интернет-ресурсе Агентства Республики Казахстан по регулированию и развитию финансового рынка после его официального опубликования;

3) в течение десяти рабочих дней после государственной регистрации настоящего постановления представление в Юридический департамент сведений об исполнении мероприятия, предусмотренного подпунктом 2) настоящего пункта.

3. Контроль за исполнением настоящего постановления возложить на курирующего заместителя Председателя Агентства Республики Казахстан по регулированию и развитию финансового рынка.

4. Настоящее постановление вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования.

Председатель Агентства
Республики Казахстан
по регулированию
и развитию финансового рынка

М. Абылкасымова

Параметр	Значение
Дата вступления в силу	07.06.2022
Дата изменения акта	30.05.2022
Дата принятия акта	30.05.2022
Информация об официальном опубликовании акта	Эталонный контрольный банк НПА РК в электронном виде, 09.06.2022
Место принятия	город Алматы
Орган, принявший акт	Агентство Республики Казахстан по регулированию и развитию финансового рынка (Образован Указом Президента РК от 11.11.2019 г. № 203)
Регион действия	Республика Казахстан
Регистрационный номер акта в Государственном реестре нормативных правовых актов Республики Казахстан	168597
Регистрационный номер НПА, присвоенный нормотворческим органом	40
Статус	Действующий
Сфера правоотношений	Денежная система и денежное обpащение. Валютное регулирование. Ценные бумаги Нормативные правовые акты: подготовка, принятие, изменение, опубликование, толкование, государственный учет
Форма акта
Юридическая сила	Акт Министерства или ведомства

Режим открытия документов

Информация о документе

История изменения документа