Сноска. Заголовок с изменением, внесенным постановлением Правления Агентства РК по регулированию и надзору финансового рынка и финансовых организаций от 03.09.2010 № 137 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).
В целях реализации Закона Республики Казахстан от 18 декабря 2000 года "О страховой деятельности" и Закона Республики Казахстан от 1 июля 2003 года "Об обязательном страховании гражданско-правовой ответственности владельцев транспортных средств", Правление Агентства Республики Казахстан по регулированию и надзору финансового рынка и финансовых организаций (далее - Агентство) ПОСТАНОВЛЯЕТ:
Сноска. Преамбула с изменением, внесенным постановлением Правления Агентства РК по регулированию и надзору финансового рынка и финансовых организаций от 03.09.2010 № 137 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).
1. Утвердить прилагаемую Инструкцию по формированию и ведению базы данных.
Сноска. Пункт 1 с изменением, внесенным постановлением Правления Агентства РК по регулированию и надзору финансового рынка и финансовых организаций от 03.09.2010 № 137 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).
2. Настоящее постановление вводится в действие по истечении четырнадцати дней со дня государственной регистрации в Министерстве юстиции Республики Казахстан.
3. Департаменту надзора за субъектами страхового рынка и другими финансовыми организациями (Каракулова Д.Ш.):
1) совместно с Юридическим департаментом (Байсынов М.Б.) принять меры к государственной регистрации в Министерстве юстиции Республики Казахстан настоящего постановления;
2) в десятидневный срок со дня государственной регистрации в Министерстве юстиции Республики Казахстан довести настоящее постановление до сведения заинтересованных подразделений Агентства, страховых (перестраховочных) организаций, организации, осуществляющей формирование и ведение базы данных, и Объединения юридических лиц "Ассоциация финансистов Казахстана".
4. Службе Председателя Агентства (Заборцева Е.Н.) обеспечить публикацию настоящего постановления в средствах массовой информации Республики Казахстан.
5. Контроль за исполнением настоящего постановления возложить на заместителя Председателя Агентства Узбекова Г.Н.
Председатель
Утверждена
постановлением Правления
Агентства Республики Казахстан
по регулированию и надзору
финансового рынка и финансовых
организаций
от 25 июня 2007 года N 177
Инструкция по формированию и ведению базы данных
Сноска. Заголовок Инструкции в редакции постановления Правления Агентства РК по регулированию и надзору финансового рынка и финансовых организаций от 03.09.2010 № 137 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).
Настоящая Инструкция разработана в соответствии с Законом Республики Казахстан от 18 декабря 2000 года "О страховой деятельности" (далее – Закон о страховой деятельности) и Законом Республики Казахстан от 1 июля 2003 года "Об обязательном страховании гражданско-правовой ответственности владельцев транспортных средств" (далее – Закон) и детализирует деятельность организации по формированию и ведению базы данных (далее – Организация), в том числе устанавливает форму акта ввода в эксплуатацию системы управления базы данных, требования к содержанию внутренних правил, устанавливающих порядок деятельности Организации, требования к структуре базы данных, порядку предоставления поставщиками информации для формирования базы данных, дополнительные требования к содержанию информации, предоставляемой поставщиками информации, сроки ее предоставления в электронном виде, а также порядок предоставления страховых отчетов.
Сноска. Преамбула в редакции постановления Правления Агентства РК по регулированию и надзору финансового рынка и финансовых организаций от 03.09.2010 № 137 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).
Глава 1. Общие положения
1. Для применения настоящей Инструкции используются основные понятия, установленные Законом о страховой деятельности, Законом Республики Казахстан от 7 января 2003 года "Об электронном документе и электронной цифровой подписи", а также следующие понятия:
1) администратор безопасности информационных систем (далее - администратор) - работник Организации и пользователя базы данных, обеспечивающий функционирование системы электронного получения и (или) передачи данных, реализацию мер по их защите, осуществляющий генерацию поступающей и (или) передаваемой информации с учетом ее функций и полномочий;
2) политика информационной безопасности - нормы и практические приемы, регулирующие управление, защиту и распределение информации ограниченного распространения;
3) исключен постановлением Правления Агентства РК по регулированию и надзору финансового рынка и финансовых организаций от 03.09.2010 № 137 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования);
4) пользователь базы данных - поставщики информации, указанные в пункте 3 статьи 80 Закона о страховой деятельности и пункте 5 статьи 8-1 Закона, и получатели страхового отчета, указанные в подпунктах 3) и 5) пункта 4 статьи 80 Закона о страховой деятельности и подпунктах 2) и 4) пункта 8 статьи 8-1 Закона, участвующие в информационной системе формирования и использования страховых отчетов и обязанные заключить договор о предоставлении информации и (или) получении страховых отчетов в соответствии с требованиями Закона;
5) ответственное лицо - работник Организации и пользователя базы данных, обеспечивающий функционирование и контроль средств защиты информации от несанкционированного доступа;
6) зловредное программное обеспечение (компьютерные вирусы, сетевые черви и аналогичное программное обеспечение) - совокупность выполняемого кода, способная создавать свои копии (частично или полностью совпадающие с оригиналом) и внедрять их в различные объекты и (или) ресурсы компьютерных систем, сетей без ведома пользователя базы данных;
7) режим реального времени - режим работы информационной системы формирования и использования страховых отчетов, обеспечивающий поступление, обработку и обмен информации до 12.00 часов времени города Астаны дня, следующего за днем заключения договора страхования;
8) оператор - работник пользователя базы данных, непосредственно осуществляющий прием, сбор, обработку, передачу и получение информации с использованием системы защиты;
9) информационная система формирования и использования страховых отчетов - совокупность информационных технологий, информационных сетей и средств их программно-технического обеспечения, предназначенных для реализации Организацией, поставщиками информации, указанными в пункте 3 статьи 80 Закона о страховой деятельности и пункте 5 статьи 8-1 Закона, получателями страховых отчетов (за исключением субъекта базы данных) информационных процессов;
10) меры по защите информационной системы формирования и использования страховых отчетов - организационно-технические мероприятия, направленные на обеспечение безопасного функционирования информационной системы формирования и использования страховых отчетов, в том числе программно-аппаратная защита электронных средств и компьютеров от несанкционированного доступа, обеспечивающая контроль доступа к установленному программному обеспечению и информации, предоставляющая средства разграничения полномочий зарегистрированных пользователей;
11) идентификатор - уникальные персональный код и (или) имя, присвоенные субъекту и (или) объекту системы, и предназначенные для регламентированного доступа в систему и (или) к ресурсам системы;
12) идентификация - процесс присвоения или определения соответствия предъявленного для получения доступа в систему и (или) к ресурсу системы идентификатора перечню идентификаторов, имеющихся в системе;
13) аутентификация - подтверждение подлинности субъекта или объекта доступа путем определения соответствия предъявленных реквизитов доступа имеющимся в системе;
14) уполномоченный орган - государственный орган, осуществляющий регулирование и надзор финансового рынка и финансовых организаций;
15) ключевая информация - криптографические ключи и ключи электронной цифровой подписи.
Сноска. Пункт 1 с изменениями, внесенными постановлениями Правления Агентства РК по регулированию и надзору финансового рынка и финансовых организаций от 26.09.2009 № 216 (порядок введения в действие см. п. 2); от 03.09.2010 № 137 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).
2. Поставщики информации и получатели страхового отчета (за исключением лиц, указанных в подпунктах 1), 2), 4), 6), 7), 8) пункта 4 статьи 80 Закона о страховой деятельности и подпунктах 1), 3) и 5) пункта 8 статьи 8-1 Закона) обеспечивают выполнение организационных, технологических условий и требований, установленных законодательством Республики Казахстан, а также вытекающих из заключенных с Организацией договоров о предоставлении информации и (или) получении страховых отчетов.
Сноска. Пункт 2 с изменением, внесенным постановлением Правления Агентства РК по регулированию и надзору финансового рынка и финансовых организаций от 03.09.2010 № 137 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).
2-1. Осуществление деятельности Организации допускается только при наличии акта ввода системы управления базы данных в эксплуатацию по форме согласно приложению 1 к настоящей Инструкции и внутренних правил, устанавливающих порядок деятельности Организации.
Сноска. Инструкция дополнена пунктом 2-1 в соответствии с постановлением Правления Агентства РК по регулированию и надзору финансового рынка и финансовых организаций от 03.09.2010 № 137 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).
2-2. Внутренние правила, устанавливающие порядок деятельности Организации, содержат следующие сведения:
1) порядок заключения договора о предоставлении информации и (или) получении страховых отчетов;
2) перечень и формы страховых отчетов, представляемых из базы данных;
3) виды, сроки (периодичность), объем информации, содержащейся в страховых отчетах, и порядок получения страховых отчетов;
4) порядок оплаты услуг по предоставлению информации из базы данных;
5) виды, объем, сроки (периодичность), порядок предоставления информации для формирования базы данных;
6) права и обязанности Организации, поставщика информации и получателя страхового отчета;
7) ответственность Организации, поставщика информации и получателя страхового отчета;
8) режим работы Организации.
Сноска. Инструкция дополнена пунктом 2-2 в соответствии с постановлением Правления Агентства РК по регулированию и надзору финансового рынка и финансовых организаций от 03.09.2010 № 137 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).
Глава 2. Формирование и использование страховых отчетов
3. Для формирования страховых отчетов между Организацией и поставщиком информации, указанным в подпункте 1) пункта 3 статьи 80 Закона о страховой деятельности и подпункте 1) пункта 5 статьи 8-1 Закона заключается договор о предоставлении информации и (или) получении страховых отчетов.
Требования к содержанию договора о предоставлении информации и (или) получении страховых отчетов устанавливаются статьей 83 Закона о страховой деятельности и статьей 8-3 Закона.
Сноска. Пункт 3 в редакции постановления Правления Агентства РК по регулированию и надзору финансового рынка и финансовых организаций от 03.09.2010 № 137 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).
4. Регистрация в Организации поставщиков информации, указанных в пункте 3 статьи 80 Закона о страховой деятельности и пункте 5 статьи 8-1 Закона, осуществляется в соответствии со статьей 84 Закона о страховой деятельности.
Сноска. Пункт 4 в редакции постановления Правления Агентства РК по регулированию и надзору финансового рынка и финансовых организаций от 03.09.2010 № 137 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).
5. В случае получения от получателей страхового отчета, указанных в пункте 4 статьи 80 Закона о страховой деятельности и пункте 8 статьи 8-1 Закона, запроса о представлении страхового отчета (ограниченного и (или) стандартного доступа) на бумажном носителе, отчет таким получателям представляется Организацией в течение двух рабочих дней с даты получения запроса.
Предоставление страхового отчета лицам, указанным в пункте 4 статьи 80 Закона о страховой деятельности и пункте 8 статьи 8-1 Закона, осуществляется в соответствии с пунктом 6 статьи 80 Закона о страховой деятельности.
Сноска. Пункт 5 в редакции постановления Правления Агентства РК по регулированию и надзору финансового рынка и финансовых организаций от 03.09.2010 № 137 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).
6. Исключен постановлением Правления Агентства РК по регулированию и надзору финансового рынка и финансовых организаций от 03.09.2010 № 137 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).
7. Исключен постановлением Правления Агентства РК по регулированию и надзору финансового рынка и финансовых организаций от 03.09.2010 № 137 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).
8. Организация ведет учет запросов о предоставлении страховых отчетов и учет предоставленных страховых отчетов.
9. В страховом отчете для субъекта базы данных должна содержаться информация обо всех предоставленных страховых отчетах, с указанием даты выдачи, наименования и реквизитов получателей страхового отчета.
10. Организация при предоставлении страхового отчета указывает всех поставщиков информации и дату получения этой информации Организацией.
10-1. Поставщик информации, указанный в подпункте 1) пункта 3 статьи 80 Закона о страховой деятельности, подпункте 1) пункта 5 статьи 8-1 Закона представляет в Организацию сведения, предусмотренные приложением 1 к Требованиям к осуществлению страховой организацией страховой деятельности, в том числе по взаимоотношениям с участниками страхового рынка, и полномочий страхового агента на осуществление посреднической деятельности, утвержденным постановлением Правления Агентства Республики Казахстан по регулированию и надзору финансового рынка и финансовых организаций от 1 марта 2010 года № 25 (зарегистрированным в Реестре государственной регистрации нормативных правовых актов под № 6164), в режиме реального времени.
Сноска. Инструкция дополнена пунктом 10-1 в соответствии с постановлением Правления Агентства РК по регулированию и надзору финансового рынка и финансовых организаций от 03.09.2010 № 137 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).
11. Поставщик информации, указанный в подпункте 1) пункта 5 статьи 8-1 Закона, представляет в Организацию сведения, предусмотренные Приложением 2 к постановлению Правления Агентства Республики Казахстан по регулированию и надзору финансового рынка и финансовых организаций от 1 марта 2010 года № 24 (зарегистрированным в Реестре государственной регистрации нормативных правовых актов под № 6171), в режиме реального времени.
Сноска. Пункт 11 в редакции постановления Правления Агентства РК по регулированию и надзору финансового рынка и финансовых организаций от 03.09.2010 № 137 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).
11-1. Сведения по временно въезжающим (ввозимым) автотранспортным средствам на территорию Республики Казахстан представляются поставщиком информации, указанным в подпункте 1) пункта 5 статьи 8-1 Закона, не позднее пяти рабочих дней со дня заключения договора обязательного страхования гражданско-правовой ответственности владельцев транспортных средств:
1) вид договора страхования (стандартный, комплексный);
2) номер страхового полиса;
3) дата выдачи страхового полиса;
4) сведения о заявителе:
фамилия, имя, при наличии - отчество, дата рождения, место жительства (для физического лица);
серия, номер, дата выдачи водительского удостоверения, стаж вождения (для физического лица);
наименование, место нахождения (для юридического лица);
признак резидентства (резидент/нерезидент Республики Казахстан);
5) сведения об автотранспортном средстве:
документ, подтверждающий регистрацию транспортного средства на срок ввоза;
тип транспортного средства в соответствии с Законом;
год выпуска;
номер кузова;
6) сведения о сроке страхования;
7) сведения о застрахованном (застрахованных):
фамилия, имя, при наличии - отчество, дата рождения, место жительства;
серия, номер, дата выдачи водительского удостоверения, стаж вождения.
Сноска. Инструкция дополнена пунктом 11-1 в соответствии с постановлением Правления Агентства РК по регулированию и надзору финансового рынка и финансовых организаций от 26.09.2009 № 216 (порядок введения в действие см. п. 2); с изменением, внесенным постановлением Правления Агентства РК по регулированию и надзору финансового рынка и финансовых организаций от 03.09.2010 № 137 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).
12. Исключен постановлением Правления Агентства РК по регулированию и надзору финансового рынка и финансовых организаций от 03.09.2010 № 137 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).
13. Структура базы данных определяется Организацией по согласованию с поставщиком информации с учетом требований, установленных Законом о страховой деятельности и Законом, которая обеспечивает выполнение следующих основных функций базы данных:
1) сбор информации, предусмотренной пунктом 1 статьи 81 Закона о страховой деятельности и пунктом 2 статьи 8-2 Закона;
2) формирование и выдача страховых отчетов, требования к содержанию которых, установлены Законом о страховой деятельности, Законом и настоящей Инструкцией;
3) присвоение уникального номера страховому полису, в соответствии с постановлением Правления Агентства Республики Казахстан по регулированию и надзору финансового рынка и финансовых организаций от 1 марта 2010 года № 24 (зарегистрированным в Реестре государственной регистрации нормативных правовых актов под № 6171).
Присвоение уникального номера производится в следующем порядке:
1) внесение страховщиком сведений о страхователе (застрахованном), транспортном средстве (транспортных средствах) в базу данных на основе заявления страхователя, требования, к содержанию которого установлены нормативным правовым актом уполномоченного органа;
2) формирование в базе данных страхового отчета, содержащего сведения, необходимые для включения в страховой полис по обязательному страхованию;
3) присвоение уникального номера страховому полису, являющимся номером страхового полиса;
4) информация, сформированная в базе данных, выводится посредством распечатки ее на бланке страхового полиса.
Сноска. Пункт 13 в редакции постановления Правления Агентства РК по регулированию и надзору финансового рынка и финансовых организаций от 01.03.2010 № 23 (порядок введения в действие см. п. 4); с изменениями, внесенными постановлением Правления Агентства РК по регулированию и надзору финансового рынка и финансовых организаций от 03.09.2010 № 137 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).
14. Исключен постановлением Правления Агентства РК по регулированию и надзору финансового рынка и финансовых организаций от 03.09.2010 № 137 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).
15. Выдача страховых отчетов из базы данных получателям страхового отчета, указанным в пункте 4 статьи 80 Закона о страховой деятельности и пункте 8 статьи 8-1 Закона, осуществляется в зависимости от уровней доступа и вида страховых отчетов согласно пункту 5 статьи 80 Закона о страховой деятельности.
Сноска. Пункт 15 в редакции постановления Правления Агентства РК по регулированию и надзору финансового рынка и финансовых организаций от 03.09.2010 № 137 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).
16. Исключен постановлением Правления Агентства РК по регулированию и надзору финансового рынка и финансовых организаций от 03.09.2010 № 137 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).
17. Исключен постановлением Правления Агентства РК по регулированию и надзору финансового рынка и финансовых организаций от 03.09.2010 № 137 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).
18. В целях обоснованного применения размера страховой премии работники получателя страхового отчета, указанного в подпункте 2) пункта 8 статьи 8-1 Закона, в должностные обязанности которых входит заключение договоров обязательного страхования гражданско-правовой ответственности владельцев транспортных средств и лиц, осуществляющих посредническую деятельность по заключению договоров страхования от имени и по поручению страховой организации в соответствии с предоставленными им полномочиями, получают страховой отчет о классе, присваемом субъекту базы данных (наличие или отсутствие страховых случаев у субъекта базы данных), установленного пунктом 10 статьи 19 Закона.
Сноска. Пункт 18 с изменениями, внесенными постановлением Правления Агентства РК по регулированию и надзору финансового рынка и финансовых организаций от 01.03.2010 № 23 (порядок введения в действие см. п. 4).
Глава 3. Информационный процесс
19. Функционирование информационной системы формирования и использования страховых отчетов обеспечивает:
1) координацию и управляемость деятельности ее участников в рамках согласованных процедур и технологических параметров;
2) унификацию используемых программных и технических средств;
3) информационную безопасность, включая устранение возможности раскрытия информации;
4) внедрение высокоэффективных технологий;
5) гибкое и эффективное управление ресурсами;
6) рост качества услуг.
20. Организация и пользователи базы данных обеспечивают:
1) контроль ввода данных;
2) возможность вычисления параметров документов (номеров документов, кода связи, номера договора и другое);
3) генерацию сводной информации;
4) создание резервных копий, архивирование данных;
5) использование информационных систем, имеющих штатные средства защиты, с контролем за правами доступа;
6) наличие регламентированных процедур предоставления и получения электронных сообщений;
7) возможность подготовки аналитических и статистических отчетов.
21. Процесс разработки, внедрения и сопровождения информационных систем включает определение этапов разработки, порядка внесения изменений, приема, тестирования и ввода в промышленную эксплуатацию, требования к документированию всех этапов.
22. Разработка, внедрение и сопровождение информационных систем Организацией выполняется в соответствии с действующими на территории Республики Казахстан стандартами и внутренними документами Организации.
23. Разработка информационных систем выполняется Организацией на основании технического задания, утвержденного их первым руководителем.
Организация обеспечивает возможность приема информации от поставщиков информации либо устанавливает соответствующие требования к используемому ими программному обеспечению. В случае самостоятельной разработки программного обеспечения пользователями базы данных оно согласуется с Организацией.
24. В целях исключения несанкционированного изменения программного обеспечения и (или) данных информационной системы при необходимости внесения изменений (для устранения недостатков или доработки системы) в программное обеспечение, процесс внесения изменений осуществляются в соответствии с техническим заданием, стандартами, действующими на территории Республики Казахстан, и внутренними документами Организации.
Глава 4. Условия обмена информацией между
Организацией и пользователями базы данных
25. Обмен информацией между пользователями базы данных и Организацией осуществляется через специальную автоматизированную систему, соответствующую требованиям законодательства Республики Казахстан об информатизации и о техническом регулировании.
26. Информация, предоставленная поставщиком информации, может быть возвращена Организацией без ее использования в информационной системе формирования и использования страховых отчетов, в связи с ее неправильным или неполным оформлением, несоответствием данных поставщика информации, получателя страхового отчета, субъекта базы данных требованиям в используемой информационной системе.
Глава 5. Формирование системы безопасности
27. Информационная система формирования и использования страховых отчетов обеспечивает:
1) конфиденциальность информации - защиту от раскрытия информации в ходе ее хранения, обработки или при передаче по коммуникационным каналам;
2) сохранность информации - защиту от повреждений, целостность и защищенность от несанкционированного изменения, дополнения, копирования или удаления в ходе ее хранения, обработки или при передаче по коммуникационным каналам;
3) доступность - защиту от использования одним пользователем данных и иных ресурсов информационной системы, предназначенных для совместного использования, перехвата информационных сообщений и (или) данных с последующей их задержкой, а также от перехвата информационных сообщений и (или) данных с последующей их задержкой.
28. Базовым компонентом обязательных мер по обеспечению безопасности информационной системы формирования и использования страховых отчетов является применение комплексного подхода к созданию системы информационной безопасности.
29. Комплексный подход к созданию системы информационной безопасности включает анализ и оценку рисков, в том числе по техническим каналам утечки информации, учет характера и важности защищаемой информации, контроль за обеспечением безопасности технологии обработки электронных документов.
30. Организация и пользователи базы данных проводят действия по оперативному выявлению подозрительных действий в реальном режиме времени и включающие мероприятия, направленные на установление:
1) нетипичного поведения (пользователей, программ или аппаратуры);
2) начала активности несанкционированных вторжений или использования зловредного программного обеспечения.
31. Основными направлениями, обеспечивающими комплексный подход к информационной безопасности на программно-техническом уровне являются:
1) контур безопасности;
2) внутрикорпоративная безопасность;
3) управление корпоративной безопасностью.
32. Контур безопасности предназначен для обеспечения защиты информационной системы формирования и использования страховых отчетов (далее - Контур безопасности). Контур безопасности реализует защиту центрального и дополнительных офисов (филиалов, представительств, удаленных офисов), информационных потоков между ними, а также информационных ресурсов, хранящихся на серверах и рабочих станциях внешних соединений информационной системы с другими сетями.
33. Процедуры безопасности Организации и пользователей базы данных предназначены для контроля несанкционированных вторжений и антивирусной защиты, обеспечения их внутренней информационной безопасности и предполагают необходимость построения и поддержания системы, обеспечивающей разделение пользователей на группы в соответствии с их статусом и правами, а также разделение ресурсов по уровню их конфиденциальности.
Сноска. Пункт 33 с изменением, внесенным постановлением Правления Агентства РК по регулированию и надзору финансового рынка и финансовых организаций от 03.09.2010 № 137 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).
34. Управление корпоративной безопасностью, в рамках комплексной системы безопасности Организации и пользователей базы данных обеспечивается постоянным контролем за выполнением общих требований политики информационной безопасности, оперативным внесением в нее корректировок и повышения ее уровня.
35. Повышение уровня безопасности предусматривает:
1) определение политики информационной безопасности;
2) установление границ, в которых предполагается поддерживать режим информационной безопасности;
3) проведение оценки рисков;
4) выбор мер противодействия и управления рисками;
5) выбор средств и управления, обеспечивающих режим информационной безопасности.
36. Политика информационной безопасности содержит описание состава используемой информационной системы, список пользователей, их права (в зависимости от их служебного положения и характера выполняемых функций) на доступ к информации, программным и техническим средствам и определяет:
1) общие направления работы в области информационной безопасности;
2) цель и задачи защиты информационной системы;
3) основные принципы и способы достижения необходимого уровня безопасности;
4) определение должностных лиц, ответственных за разработку необходимых требований, определяющих политику информационной безопасности;
5) определение подразделений, ответственных за создание и поддержание работоспособности информационных систем и системы их защиты;
6) меры, предотвращающие нарушения режима безопасности информационных систем в случае возникновения обстоятельств непреодолимой силы, к которым относятся стихийные бедствия, аварии, пожары, отключение электроэнергии, повреждение линий связи, массовые беспорядки, забастовки, военные действия.
37. Организация и пользователи базы данных обеспечивают:
1) соответствие используемых управленческих решений, технологий, подходов и конкретных программно-аппаратных средств действующему законодательству Республики Казахстан;
2) принятие внутренних документов об организации безопасности информационной системы.
38. Процедурный уровень защиты информации включает мероприятия по обеспечению безопасности, предпринимаемые Организацией и пользователями базы данных по следующим направлениям:
1) управление персоналом;
2) физическая защита;
3) реагирование на нарушения режима безопасности;
4) планирование восстановительных работ.
39. Средства идентификации/аутентификации Организации и пользователей базы данных должны соответствовать условиям:
1) устойчивости к сетевым угрозам;
2) обеспечения единого входа в используемую информационную сеть.
40. План защиты информации включает следующие меры:
1) организационные;
2) программно-технические.
41. К организационным мерам обеспечения безопасности относятся:
1) физическая защита информационных систем;
2) поддержание работоспособности информационных систем, имеющих отношение к информационной безопасности;
3) установление каждому пользователю соответствующего права доступа, необходимого для выполнения им возложенных должностных обязанностей и обеспечения взаимозаменяемости;
4) планирование восстановительных работ.
42. Физическая защита подразделяется на:
1) физическое управление доступом;
2) меры противопожарной безопасности;
3) защита поддерживающей инфраструктуры;
4) защита от перехвата данных, защита мобильных систем.
43. Мероприятия по поддержанию работоспособности информационных систем подразделяются на:
1) поддержку пользователей - предоставление консультаций по вопросам информационной безопасности, выявление их типичных ошибок и обеспечение памятками с рекомендациями для распространенных ситуаций;
2) поддержку программного обеспечения - контроль лицензионной (сертифицированной) чистоты программного обеспечения;
3) конфигурационное управление - контроль и фиксирование изменений, вносимых в программную и техническую конфигурацию;
4) резервное копирование для восстановления информационной системы и данных в случае аварии и других обстоятельств непреодолимой силы;
5) управление носителями данных - порядок учета, обращения и хранения;
6) документирование - актуальное отражение текущего состояния дел.
44. В случае нарушения режима безопасности информационных систем ответственные лица, администратор осуществляют:
1) выполнение оперативных мероприятий с целью уменьшения наносимого вреда;
2) анализ и оценку имеющихся сведений о нарушениях - изучение инцидента, выявление повторных нарушений, разработка мер по усовершенствованию системы защиты.
45. Резервное копирование и восстановление после потери работоспособности информационной системы определяются требованиями, установленными в Организации и у пользователей базы данных.
Глава 6. Минимальные требования к электронному оборудованию,
сохранности базы данных и помещениям
46. Программное обеспечение пользователя устанавливается на специально выделенном персональном компьютере, имеющем паспорт - описание рабочего места с подробными данными по его месторасположению, конфигурации, а также аппаратным и программным средствам, установленным на нем.
47. Не допускается эксплуатация персонального компьютера пользователя и установка на нем программных средств, не связанных с целями подготовки, обработки, передачи или ведения электронных документов в рамках участия в информационной системе формирования и использования страховых отчетов.
48. Персональный компьютер пользователя должен быть оснащен комплексом защиты, включающий в себя средства идентификации и аутентификации пользователей, возможность ведения электронных журналов в течение срока хранения электронных документов, с целью контроля деятельности, связанной с доступом к компьютеру и действиями пользователей.
Сноска. Пункт 48 с изменением, внесенным постановлением Правления Агентства РК по регулированию и надзору финансового рынка и финансовых организаций от 03.09.2010 № 137 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).
49. Одному системному имени пользователя, по которому идентифицируется пользователь, при входе в информационные системы должно соответствовать одно физическое лицо.
50. Паспорт - описание рабочего места оформляется за подписью руководителей Организации и пользователя и хранится у ответственного лица.
51. Персональный компьютер пользователя должен быть оснащен средством обеспечения целостности программного обеспечения.
Сноска. Пункт 51 с изменением, внесенным постановлением Правления Агентства РК по регулированию и надзору финансового рынка и финансовых организаций от 03.09.2010 № 137 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).
52. Системный блок персонального компьютера пользователя опечатывается либо пломбируется ответственным лицом. В случае необходимости, допуск к системному блоку осуществляется в присутствии ответственного лица. По окончании работ системный блок опечатывается либо пломбируется ответственным лицом.
53. Порядок доступа к ресурсам (дисковое пространство, директории, сетевые ресурсы, базы данных и другое), выделенным для накопления в них информации для передачи в информационную среду с использованием системы защиты, получения информации из информационной среды, хранения, архивирования либо другой обработки информации, должен исключать возможность несанкционированного доступа к этим ресурсам.
54. Проведение и контроль работ по криптографической защите ведется ответственным лицом, который выполняет:
1) учет, хранение и сопровождение программных средств криптографической защиты;
2) генерацию криптографических ключей, получение, учет, хранение и выдачу информационных носителей, содержащих ключи;
3) ведение списка владельцев криптографических ключей;
4) обеспечение владельцев криптографических ключей необходимыми инструкциями.
55. Рабочее место размещается в отдельном помещении.
56. Месторасположение, в котором находится рабочее место пользователя и технические средства охраны помещения (контроль доступа и охранно-пожарная сигнализация) должны исключать возможность неконтролируемого проникновения в это помещение лиц, не допущенных к рабочему месту пользователя.
57. Техническое помещение Организации должно находиться в охраняемой зоне, иметь кодовые замки и средства регистрации доступа.
При расположении помещения Организации на первых или последних этажах зданий, а также при наличии рядом с окнами балконов, пожарных лестниц, окна помещений оборудуются металлическими решетками.
58. Средства технической защиты помещения Организации и пользователя (контроль доступа), должны исключать возможность неконтролируемого проникновения в это помещение лиц, не допущенных к рабочему месту пользователя. Допуск к работе в Организации осуществляется в соответствии с ее регламентом и должностными обязанностями работников.
Глава 7. Иные вопросы деятельности базы данных
59. Внутренним актом Организации и пользователя определяется порядок работы с системой защиты, включающий:
1) порядок назначения сотрудников, на которых возлагаются обязанности ответственного лица, администратора, оператора;
2) режим работы;
3) права и обязанности ответственного лица, администратора и оператора, включая их должностные инструкции;
4) список сотрудников, допущенных к рабочему месту оператора.
60. Ответственные лица:
1) обеспечивают обязательность процедуры идентификации и аутентификации для доступа к ресурсам информационных систем;
2) не допускают получения права доступа к информационным ресурсам неавторизованными пользователями;
3) контролируют регулярность выполнения резервного копирования информации, обрабатываемой информационной системой;
4) проводят плановую и внеплановую проверку надежности защиты ресурсов системы;
5) обеспечивают защиту оборудования корпоративной сети, в том числе специальных межсетевых программных средств;
6) принимают меры по отражению угрозы и выявлению нарушителей;
7) обеспечивают работоспособность средств защиты от утечки информации через съемные носители (гибкие диски, flash-карты, внешние накопители на жестких дисках и прочие);
8) регулярно просматривают журнал событий, проводят анализ с записями, где были попытки несанкционированного доступа к информации.
61. Ответственное лицо, администратор, оператор дают письменное обязательство о неразглашении и нераспространении информации, ставшей им известной в процессе исполнения ими служебных обязанностей.
62. При увольнении работников пользователя (ответственного лица, администратора или оператора) производится внеплановая смена ключевой информации организации, о чем уведомляется Организация. Новая ключевая информация вводится в действие со дня их увольнения.
63. Ключевая информация должна находиться на внешнем носителе (дискета, пластиковая карточка).
64. Порядок хранения и использования внешних носителей с ключевой информацией должен исключать возможность несанкционированного доступа к ним.
65. При формировании и передаче электронного сообщения Организация и пользователь осуществляют защитные действия, в соответствии с установленным ими порядком использования программно-криптографической защиты и электронной цифровой подписи.
66. В случае нарушения порядка защитных действий или его разглашения, сторона, установившая данное нарушение, немедленно уведомляет об этом другую сторону и принимает меры к ликвидации последствий.
67. Проверка выполнения (соблюдения) Организацией и поставщиком информации, указанным в подпункте 1) пункта 3 статьи 80 Закона о страховой деятельности и подпункте 1) пункта 5 статьи 8-1 Закона, организационно-технических, технологических требований по защите программного обеспечения, соответствия используемых им информационных систем установленным Законом о страховой деятельности, Законом и настоящей Инструкцией условиям и требованиям, осуществляется комиссией уполномоченным государственным органом по регулированию и надзору финансового рынка и финансовых организаций, которая составляет акт о соответствии по форме согласно Приложению 2 к настоящей Инструкции.
Сноска. Пункт 67 с изменениями, внесенными постановлением Правления Агентства РК по регулированию и надзору финансового рынка и финансовых организаций от 03.09.2010 № 137 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).
Глава 8. Заключительные положения
68. Вопросы, не урегулированные настоящей Инструкцией, разрешаются в порядке, определенном законодательством Республики Казахстан.
Приложение 1
к Инструкции по формированию
и ведению базы данных
Акт
ввода системы управления базы данных в эксплуатацию
Сноска. Инструкция дополнена приложением 1 в соответствии с постановлением Правления Агентства РК по регулированию и надзору финансового рынка и финансовых организаций от 03.09.2010 № 137 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).
__________________________________________
(наименование Организации по формированию
и ведению базы данных)
__________________________ __________________________
дата место составления
В соответствии с пунктом 5 статьи 79 Закона Республики
Казахстан от 18 декабря 2000 года "О страховой деятельности" (далее –
Закон о страховой деятельности) создана комиссия в следующем составе:
представители уполномоченного органа по регулированию и надзору
финансового рынка и финансовых организаций (указать должность,
фамилию, имя, при наличии - отчество):
_______________________________________________________________
_______________________________________________________________
_______________________________________________________________
_______________________________________________________________
представители уполномоченного органа в сфере информатизации
(указать должность, фамилию, имя, при наличии - отчество):
_______________________________________________________________
_______________________________________________________________
_______________________________________________________________
______________________________________________________________,
которая составила настоящий акт ввода системы управления базы
данных в эксплуатацию Организации по формированию и ведению базы
данных
_____________________________________________________________.
(наименование)
В работе комиссии участвуют представители Организации по
формированию и ведению базы данных (указать должность, фамилию, имя,
при наличии - отчество):
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
Информация относительно заключенных договорах о предоставлении
информации с поставщиками информации, указанными в пункте 3 статьи
80 Закона о страховой деятельности:
№ |
Наименование поставщика |
Номер договора |
Результат |
Пояснения к |
1 |
Страховщики |
|||
1.1 |
||||
… |
||||
2 |
Уполномоченные государственные |
|||
2.1 |
||||
… |
||||
3 |
Иные лица |
|||
3.1 |
||||
… |
||||
4 |
Всего (количество) |
Организация информационного процесса по формированию и выдачи
страховых отчетов:
Описание системы управления базы данных:
___________________________________________________________________
___________________________________________________________________
___________________________________________________________________
___________________________________________________________________
______________________________________________________________
Результаты тестирования информационного процесса с поставщиками
информации, заключившими договор о представлении информации:
___________________________________________________________________
___________________________________________________________________
___________________________________________________________________
______________________________________________________________
Краткое содержание пояснений представителей Организации по
формированию и ведению базы данных:
___________________________________________________________________
___________________________________________________________________
___________________________________________________________________
______________________________________________________________
Комиссия проверила технические и иные документы, договоры о
предоставлении информации с поставщиками информации, указанными в
пункте 3 статьи 80 Закона о страховой деятельности, Организации по
формированию и ведению базы данных ________________________________,
(наименование)
обследовала его системы управления базы данных и иных объектов,
предназначенных для организации информационного процесса по
формированию и выдачи страховых отчетов и установила, что данная
Организация по формированию и ведению базы данных _________________
к вводу системы управления базы данных в эксплуатацию
готова/не готова.
Организацией по формированию и ведению базы данных предъявлены
следующие документы, касающиеся организации информационного процесса
по формированию и выдачи страховых отчетов, системы управления базы
данных и тестирования информационного процесса, которые приложены к
акту комиссии:
___________________________________________________________________
___________________________________________________________________
___________________________________________________________________
______________________________________________________________
Акт составлен в трех экземплярах и по одному экземпляру передан:
уполномоченному органу по регулированию и надзору финансового
рынка и финансовых организаций;
уполномоченному органу в сфере информатизации;
Организации по формированию и ведению базы данных.
Члены комиссии (фамилия, имя, при наличии - отчество, подпись
и дата подписания):
___________________________________________________________________
___________________________________________________________________
___________________________________________________________________
________________________________________________________________
Представители Организации по формированию и ведению базы данных
(фамилия, имя, при наличии - отчество, подпись и дата подписания):
____________________________________________________________________
____________________________________________________________________
____________________________________________________________________
_________________________________________________________________
Руководитель Организации по формированию и ведению базы данных
(фамилия, имя, при наличии - отчество, подпись и дата подписания):
____________________________________________________________________
____________________________________________________________________
____________________________________________________________________
_______________________________________________________________".
Приложение 2
к Инструкции по формированию
и ведению базы данных
АКТ
о соответствии Организации, поставщика информации, указанного
в подпункте 1) пункта 3 статьи 80 Закона о страховой деятельности
и подпункте 1) пункта 5 статьи 8-1 Закона, предъявляемым
требованиям для начала своей деятельности на рынке
информационных услуг и выполнении им организационно-
технических, технологических и иных условий по защите
программного обеспечения, формированию информационных систем
и информационных ресурсов
________ ____________________
дата место составления
Сноска. Приложение 2 с изменениями, внесенными постановлением Правления Агентства РК по регулированию и надзору финансового рынка и финансовых организаций от 03.09.2010 № 137 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).
Настоящий акт о готовности Организации, поставщика информации,
указанного в подпункте 1) пункта 3 статьи 80 Закона о страховой
деятельности и подпункте 1) пункта 5 статьи 8-1 Закона, к началу
своей деятельности на рынке информационных услуг и выполнении им
организационно-технических мер, технологических требований по защите
программного обеспечения, соблюдения требований при формировании и
эксплуатации информационных систем, используемых для формирования
электронной базы данных страховых отчетов и средств ее защиты
составлен комиссией в следующем составе:
1) представители уполномоченного органа:
_____________________________________________________________________
_____________________________________________________________________
_____________________________________________________________________
_____________________________________________________________________
2) представители Организации, поставщика информации, указанного
в подпункте 1) пункта 3 статьи 80 Закона о страховой
деятельности и подпункте 1) пункта 5 статьи 8-1 Закона:
_____________________________________________________________________
_____________________________________________________________________
_____________________________________________________________________
____________________________________________________________________
Описание обследованных объектов и изученных комиссией документов:
_____________________________________________________________________
_____________________________________________________________________
_____________________________________________________________________
Краткое содержание пояснений представителей Организации,
поставщика информации, указанного в подпункте 1) пункта 3 статьи 80
Закона о страховой деятельности и подпункте 1) пункта 5 статьи 8-1
Закона, и иных присутствовавших лиц:
_____________________________________________________________________
_____________________________________________________________________
_____________________________________________________________________
_____________________________________________________________________
Проверкой комиссией технических и иных документов Организации,
поставщика информации, указанного в подпункте 1) пункта 3 статьи 80
Закона о страховой деятельности и подпункте 1) пункта 5 статьи 8-1
Закона,______________________________, обследованием его технических
помещений, электронно-компьютерного оборудования, систем связи и
защитных устройств и иных объектов, предназначенных для работы в
системе формирования электронной базы данных страховых отчетов
установлено
_____________________________________________________________________
(соответствуют/не соответствуют предъявляемым
требованиям и достаточны/недостаточны для начала продолжения
деятельности организации на рынке информационных услуг).
Организацией или поставщиком информации, указанного в
подпункте 1) пункта 3 статьи 80 Закона о страховой деятельности и
подпункте 1) пункта 5 статьи 8-1 Закона, предъявлена техническая
документация и иные документы, которые приложены к акту комиссии.
Акт составлен в двух экземплярах и по одному экземпляру
передан:
уполномоченному органу;
Организации или поставщику информации, указанному в подпункте
1) пункта 3 статьи 80 Закона о страховой деятельности и подпункте 1)
пункта 5 статьи 8-1 Закона.
Члены комиссии:
_____________________________________________________________________
_____________________________________________________________________
_____________________________________________________________________
Представитель проверяемой организации:
_____________________________________________________________________
_____________________________________________________________________
_____________________________________________________________________