О внесении изменений и дополнений в приказ Министра национальной экономики Республики Казахстан от 26 февраля 2015 года № 141 "Об утверждении обязательных требований к электронной торговой системе товарных бирж"

Приказ Заместителя Премьер-Министра - Министра торговли и интеграции Республики Казахстан от 31 мая 2023 года № 193-НҚ. Зарегистрирован в Министерстве юстиции Республики Казахстан 1 июня 2023 года № 32662

Действующий

      Примечание ИЗПИ!
Порядок введения в действие см. п. 4.

      ПРИКАЗЫВАЮ:

      1. Внести в приказ Министра национальной экономики Республики Казахстан от 26 февраля 2015 года № 141 "Об утверждении обязательных требований к электронной торговой системе товарных бирж" (зарегистрирован в Реестре государственной регистрации нормативных правовых актов за № 10695) следующие изменения и дополнения:

      в Обязательных требованиях к электронной торговой системе товарных бирж, утвержденных указанным приказом:

      пункт 2 изложить в следующей редакции:

      "2. Настоящие обязательные требования включают в себя требования к программному и аппаратному обеспечению товарных бирж, информационной безопасности (далее – ИБ), размещению оборудования, а также иные организационно-технические требования, соблюдение которых необходимо в целях эффективного и бесперебойного функционирования электронной торговой системы товарной биржи.";

      пункт 5 дополнить подпунктами 13-1) и 13-2) следующего содержания:

      "13-1) ограничение возможности заключения сделок с использованием ЭТСТБ лицами, не обладающими таким правом в соответствии с внутренними документами товарной биржи;

      13-2) автоматизированный сбор, обработку и хранение информации по сделкам в ЭТСТБ, по которым клиринговая организация осуществляет клиринговое обслуживание, ее сверку и корректировку.";

      в пункте 6:

      подпункты 1) и 2) изложить в следующей редакции:

      "1) время открытия торгов;

      2) время закрытия торгов;";

      часть вторую изложить в следующей редакции:

      "Формат времени фиксации – год, месяц, день, час, минута, секунда (с точностью минимум до 0,001 секунды).";

      дополнить пунктами 9-1, 9-2 и 9-3 следующего содержания:

      "9-1. В ЭТСТБ используются персонализированные пользовательские учетные записи.

      При этом ЭТСТБ применяются функции по управлению учетными записями и паролями, а также блокировке учетных записей пользователей, определяемые внутренним документом товарной биржи.

      Идентификация и аутентификация пользователей производится посредством ввода пары "учетная запись (идентификатор) – пароль" и (или) биометрической и (или) криптографической и (или) аппаратной аутентификации.

      9-2. В регистрацию событий ИБ входит:

      журналирования действий администраторов и пользователей;

      применения системы мониторинга инцидентов и событий ИБ;

      оповещения на основе автоматического распознавания критического события или инцидента ИБ.

      9-3. Журналы регистрации событий хранятся в течение срока, указанного в технической документации по ИБ, но не менее трех лет и находятся в оперативном доступе не менее двух месяцев.";

      в пункте 10:

      подпункт 1) изложить в следующей редакции:

      "1) ПС ЭТСТБ разрабатывается и эксплуатируется с использованием лицензионного программного обеспечения актуальной версии;

      дополнить подпунктом 6-1) следующего содержания:

      "6-1) ПС ЭТСТБ обеспечивает контроль денежных средств участника в ходе торгов под каждую выставленную заявку и заключенную сделку, в соответствии с размером биржевого обеспечения.";

      дополнить пунктом 10-1 следующего содержания:

      "10-1. ПС ЭТСТБ обеспечивается синхронизация системного времени информационной системы с централизованным источником эталонного сервера времени: time.windows.com.";

      дополнить пунктами 11-1, 11-2 и 11-3 следующего содержания:

      "11-1. ЭТСТБ обеспечиваются технической поддержкой, в состав которой входят услуги по предоставлению обновлений соответствующих компонентов ЭТСТБ и ПС, в том числе обновлений безопасности.

      11-2. При наличии резервного центра во внутренних документах товарной биржи отражается:

      1) местонахождение резервного центра;

      2) перечень бизнес–процессов, технических, программных или других средств, обеспечивающих работу информационных систем, восстановление которых планируется в резервном центре;

      3) порядок восстановления работы ЭТСТБ в резервном центре;

      4) критерии, позволяющие принять решение о завершении работы в резервном центре, порядок принятия такого решения, а также порядок возврата в штатный режим функционирования в основном центре;

      5) порядок проведения, периодичность и сценарии тестирования функционирования резервного центра.

      11-3. В целях проверки готовности процессов восстановления деятельности ЭТСТБ не менее одного раза в год проводится тестирование восстановления информационных систем в соответствии с планами восстановления (далее – план тестового восстановления).

      Тестирование по планам тестового восстановления проводится по разработанной и утвержденной внутренними документами товарной биржи, предусматривающей описание сценария возникновения нештатной ситуации, восстанавливаемых рабочих процессов и информационных систем, действий команды восстановления, требований по срокам и месту проведения работ.";

      пункт 12 изложить в следующей редакции:

      "12. По ИБ ЭТСТБ предъявляются следующие требования:

      1) ЭТСТБ обеспечивается системой, включающей в себя комплекс организационно-технических мер и программно-аппаратных средств защиты информации;

      2) ЭТСТБ обеспечивает многоуровневую защиту данных, включающую в себя защиту данных от несанкционированного доступа – использование процедур аутентификации и идентификации пользователя при входе в систему, наличие процедур шифрования информации, многоуровневый доступ к данным, предусматривающий наличие нескольких типов пользователей в соответствии с их полномочиями, отсутствие возможности внесения изменений в данные ЭТСТБ;

      3) уполномоченным органом (советом директоров или правлением) товарной биржи утверждаются следующие внутренние нормативные документы, касающиеся ИБ ЭТСТБ: по вопросам защиты паролем и управления доступом к ЭТСТБ; физической безопасности ЭТСТБ; резервного копирования и восстановления данных ЭТСТБ; политики безопасности, направленной на своевременное выявление угроз безопасности, а также причин и условий, связанных с нарушением нормального функционирования ЭТСТБ;

      4) работа участников биржи в ЭТСТБ с использованием средств криптографической защиты информации, в том числе средств электронно-цифровой подписи, осуществляется в порядке, установленном законодательством. При этом для обмена информацией применяется единый для всех участников технологического процесса торгов алгоритм шифрования;"

      5) система обеспечения ИБ ПС ЭТСТБ реализовывается соответствующей политикой безопасности, обеспечивающей своевременное выявление угроз безопасности, а также причин и условий, связанных с нарушением их нормального функционирования;

      6) соединение с ЭТСТБ осуществляется по защищенным либо выделенным каналам связи.";

      дополнить пунктами 12-1, 12-2, 12-3 и 12-4 следующего содержания:

      "12-1. Товарная биржа в целях соответствия ЭТСТБ требованиям ИБ обеспечивает:

      1) наличие подразделения ИБ или должностного лица, ответственное за обеспечение ИБ или приобретение услуг в части обеспечения информационной безопасности;

      2) создание собственного оперативного центра ИБ и обеспечение его функционирования или приобретение услуг оперативного центра ИБ;

      3) наличие положительного акта испытаний на соответствие требованиям ИБ в соответствии с законодательством об информатизации;

      4) наличие технической документации ИБ.

      12-2. Для защиты внутренних данных ЭТСТБ применяются системы предотвращения утечки данных (DLP).

      При этом ЭТСТБ обеспечиваются:

      1) визуальное уведомление пользователя о проводимом контроле действий;

      2) размещение центра управления и серверов системы предотвращения утечки данных в пределах локальной сети.

      12-3. Для защиты ЭТСТБ используется лицензионное антивирусное программное обеспечение или системы, обеспечивающие целостность и неизменность программной среды на сервере, рабочих станциях.

      Используемое антивирусное программное обеспечение соответствует следующим требованиям:

      1) обнаружение вирусов на основе известных сигнатур;

      2) обнаружение вирусов на основе эвристического анализа (поиска характерных для вирусов команд и поведенческого анализа);

      3) сканирование сменных носителей при подключении;

      4) запуск сканирования и обновления антивирусной базы по расписанию;

      5) наличие централизованной консоли администрирования и мониторинга;

      6) блокирование для пользователя возможности прерывания функционирования антивирусного программного обеспечения, а также процессов обновления антивирусного программного обеспечения и плановой проверки на отсутствие вирусов;

      7) защита внутренней и внешней сети средствами антивирусного обеспечения.

      12-4. Комплекс организационно-технических мер и программно-аппаратных средств защиты информации в ЭТСТБ от изменения, уничтожения, нарушения целостности и несанкционированного доступа обеспечиваются:

      - аутентификацией и авторизацией пользователей;

      - шифрованием данных, хранимых и передаваемых ЭТСТБ;

      - контролем доступа к информации, включающий управление правами доступа, мониторинга активности пользователей, разграничение доступа и другие методы;

      - защитой от вредоносных программ, включая использование антивирусных программ, межсетевых экранов, системы обнаружения вторжений и других мер;

      - регулярным резервированием информации баз данных, журналов системы, журналов инцидентов ИБ;

      - регулярным обновлением используемого программного обеспечения до актуальных версий;

      - аудитом ИБ, включая регулярные проверки и анализ уязвимостей;

      - мониторингом и анализом событий, включая использования систем логирования, мониторинга и уведомления;

      - управлением конфигурацией, включая контролем версий, обновлением программного обеспечения до актуальных версий и мер, которые обеспечивают корректность и стабильность работы системы ЭТСТБ.".

      2. Комитету торговли Министерства торговли и интеграции Республики Казахстан в установленном законодательством порядке обеспечить:

      1) государственную регистрацию настоящего приказа в Министерстве юстиции Республики Казахстан;

      2) размещение настоящего приказа на интернет-ресурсе Министерства торговли и интеграции Республики Казахстан.

      3. Контроль за исполнением настоящего приказа возложить на курирующего вице-министра торговли и интеграции Республики Казахстан.

      4. Настоящий приказ вводится в действие по истечении шестидесяти календарных дней после дня его первого официального опубликования.

      Заместитель Премьер-Министра -
Министр торговли и интеграции
Республики Казахстан
С. Жумангарин

      "СОГЛАСОВАН"
Агентство по защите
и развитию конкуренции
Республики Казахстан

 

      "СОГЛАСОВАН"
Министерство цифрового развития,
инноваций и аэрокосмической
промышленности Республики Казахстан