Об утверждении Требований к деятельности организации по формированию и ведению базы данных

Постановление Правления Агентства Республики Казахстан по регулированию и надзору финансового рынка и финансовых организаций от 25 июня 2007 года № 177. Зарегистрировано в Министерстве юстиции Республики Казахстан 9 августа 2007 года № 4860.

Обновленный

      Сноска. Заголовок в редакции постановления Правления Национального Банка РК от 28.01.2016 № 12 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      В целях реализации Закона Республики Казахстан от 18 декабря 2000 года "О страховой деятельности" Правление Агентства Республики Казахстан по регулированию и надзору финансового рынка и финансовых организаций (далее - Агентство) ПОСТАНОВЛЯЕТ:

      Сноска. Преамбула с изменениями, внесенными постановлениями Правления Агентства РК по регулированию и надзору финансового рынка и финансовых организаций от 03.09.2010 № 137 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования); от 27.12.2010 № 183 (вводится в действие по истечении 14 календарных дней со дня его гос.рег-ции в МЮ РК).

      1. Утвердить прилагаемые Требования к деятельности организации по формированию и ведению базы данных.

      Сноска. Пункт 1 в редакции постановления Правления Национального Банка РК от 28.01.2016 № 12 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      2. Настоящее постановление вводится в действие по истечении четырнадцати дней со дня государственной регистрации в Министерстве юстиции Республики Казахстан.

      3. Департаменту надзора за субъектами страхового рынка и другими финансовыми организациями (Каракулова Д.Ш.):

      1) совместно с Юридическим департаментом (Байсынов М.Б.) принять меры к государственной регистрации в Министерстве юстиции Республики Казахстан настоящего постановления;

      2) в десятидневный срок со дня государственной регистрации в Министерстве юстиции Республики Казахстан довести настоящее постановление до сведения заинтересованных подразделений Агентства, страховых (перестраховочных) организаций, организации, осуществляющей формирование и ведение базы данных, и Объединения юридических лиц "Ассоциация финансистов Казахстана".

      4. Службе Председателя Агентства (Заборцева Е.Н.) обеспечить публикацию настоящего постановления в средствах массовой информации Республики Казахстан.

      5. Контроль за исполнением настоящего постановления возложить на заместителя Председателя Агентства Узбекова Г.Н.

Председатель



  Утверждена
постановлением Правления
Агентства Республики Казахстан
по регулированию и надзору
финансового рынка и финансовых
организаций
от 25 июня 2007 года N 177

Требования к деятельности организации
по формированию и ведению базы данных

      Сноска. Заголовок Инструкции в редакции постановления Правления Национального Банка РК от 28.01.2016 № 12 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      Настоящие Требования к деятельности организации по формированию и ведению базы данных (далее - Требования) разработаны в соответствии с Законом Республики Казахстан от 18 декабря 2000 года "О страховой деятельности" (далее - Закон о страховой деятельности) и устанавливают требования к деятельности организации по формированию и ведению базы данных (далее - Организация), включая требования к информационному процессу, формированию системы безопасности и установлению минимальных требований к электронному оборудованию, сохранности единой базы данных по страхованию (далее - база данных), и помещениям.

      Сбор, обработка и защита персональных данных согласно Требованиям осуществляются в соответствии с Законом Республики Казахстан от 21 мая 2013 года "О персональных данных и их защите".

      Сноска. Преамбула - в редакции постановления Правления Агентства РК по регулированию и развитию финансового рынка от 23.12.2020 № 127 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

Глава 1. Общие положения

      1. В Требованиях используются основные понятия, установленные Законом о страховой деятельности, Законом Республики Казахстан от 7 января 2003 года "Об электронном документе и электронной цифровой подписи", а также следующие понятия:

      1) администратор безопасности информационных систем (далее – администратор) – работник Организации и пользователя базы данных, обеспечивающий функционирование системы электронного получения и (или) передачи данных, реализацию мер по их защите, осуществляющий генерацию поступающей и (или) передаваемой информации с учетом ее функций и полномочий;

      2) политика информационной безопасности – нормы и практические приемы, регулирующие управление, защиту и распределение информации ограниченного распространения;

      3) аутентификация – подтверждение подлинности субъекта или объекта доступа путем определения соответствия предъявленных реквизитов доступа имеющимся в системе;

      4) пользователь базы данных – поставщики информации, указанные в пункте 3 статьи 80 Закона о страховой деятельности и получатели страхового отчета, указанные в подпунктах 3) и 5) пункта 4 статьи 80 Закона о страховой деятельности, участвующие в информационной системе формирования и использования страховых отчетов и обязанные заключить договор о предоставлении информации и (или) получении страховых отчетов в соответствии с требованиями Закона;

      5) ответственное лицо – работник Организации и пользователя базы данных, обеспечивающий функционирование и контроль средств защиты информации от несанкционированного доступа;

      6) зловредное программное обеспечение (компьютерные вирусы, сетевые черви и аналогичное программное обеспечение) - совокупность выполняемого кода, способная создавать свои копии (частично или полностью совпадающие с оригиналом) и внедрять их в различные объекты и (или) ресурсы компьютерных систем, сетей без ведома пользователя базы данных;

      7) режим реального времени – режим работы информационной системы формирования и использования страховых отчетов, обеспечивающий поступление, обработку и обмен информации до 12.00 часов времени города Нур-Султан дня, следующего за днем заключения договора страхования;

      8) ключевая информация – криптографические ключи и ключи электронной цифровой подписи;

      9) оператор – работник пользователя базы данных, непосредственно осуществляющий прием, сбор, обработку, передачу и получение информации с использованием системы защиты;

      10) информационная система формирования и использования страховых отчетов – совокупность информационных технологий, информационных сетей и средств их программно-технического обеспечения, предназначенных для реализации Организацией, поставщиками информации, указанными в пункте 3 статьи 80 Закона о страховой деятельности, получателями страховых отчетов (за исключением субъекта базы данных) информационных процессов;

      11) меры по защите информационной системы формирования и использования страховых отчетов – организационно-технические мероприятия, направленные на обеспечение безопасного функционирования информационной системы формирования и использования страховых отчетов, в том числе программно-аппаратная защита электронных средств и компьютеров от несанкционированного доступа, обеспечивающая контроль доступа к установленному программному обеспечению и информации, предоставляющая средства разграничения полномочий зарегистрированных пользователей;

      12) страховщик – страховая организация, филиал страховой (перестраховочной) организации-нерезидента Республики Казахстан, осуществляющие деятельность по заключению и исполнению договоров страхования на основании соответствующей лицензии уполномоченного органа;

      13) идентификатор – уникальные персональный код и (или) имя, присвоенные субъекту и (или) объекту системы, и предназначенные для регламентированного доступа в систему и (или) к ресурсам системы;

      14) идентификация – процесс присвоения или определения соответствия предъявленного для получения доступа в систему и (или) к ресурсу системы идентификатора перечню идентификаторов, имеющихся в системе;

      15) уполномоченный орган – государственный орган, осуществляющий регулирование, контроль и надзор финансового рынка и финансовых организаций.

      Сноска. Пункт 1 в редакции постановления Правления Агентства РК по регулированию и развитию финансового рынка от 12.02.2021 № 28 (вводится в действие со дня его первого официального опубликования).

      2. Поставщики информации и получатели страхового отчета (за исключением лиц, указанных в подпунктах 1), 2), 2-1), 4), 6), 7), 8) и 9) пункта 4 статьи 80 Закона о страховой деятельности) обеспечивают выполнение организационных, технологических условий и требований, установленных законодательством Республики Казахстан о страховании и страховой деятельности, кредитных бюро и формировании кредитных историй и об информатизации, а также вытекающих из заключенных с Организацией договоров о предоставлении информации и (или) получении страховых отчетов.

      Сноска. Пункт 2 в редакции постановления Правления Национального Банка РК от 27.08.2018 № 204 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      2-1. Осуществление деятельности Организации допускается только при наличии акта ввода системы управления базы данных в промышленную эксплуатацию по форме согласно приложению к Требованиям и внутренних правил, устанавливающих порядок деятельности Организации.

      Сноска. Инструкция дополнена пунктом 2-1 в соответствии с постановлением Правления Агентства РК по регулированию и надзору финансового рынка и финансовых организаций от 03.09.2010 № 137 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования); в редакции постановления Правления Национального Банка РК от 28.01.2016 № 12 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      2-2. Внутренние правила, устанавливающие порядок деятельности Организации, содержат следующие сведения:

      1) порядок заключения договора о предоставлении информации и (или) получении страховых отчетов;

      2) перечень и формы страховых отчетов, представляемых из базы данных;

      3) виды, сроки (периодичность), объем информации, содержащейся в страховых отчетах, и порядок получения страховых отчетов;

      4) порядок оплаты услуг по предоставлению информации из базы данных;

      5) виды, объем, сроки (периодичность), порядок предоставления информации для формирования базы данных;

      6) права и обязанности Организации, поставщика информации и получателя страхового отчета;

      7) ответственность Организации, поставщика информации и получателя страхового отчета;

      8) режим работы Организации.

      Сноска. Инструкция дополнена пунктом 2-2 в соответствии с постановлением Правления Агентства РК по регулированию и надзору финансового рынка и финансовых организаций от 03.09.2010 № 137 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

Глава 2. Формирование и использование страховых отчетов

      3. Для формирования страховых отчетов между Организацией и поставщиком информации, указанным в подпункте 1) пункта 3 статьи 80 Закона о страховой деятельности заключается договор о предоставлении информации и (или) получении страховых отчетов.

      Требования к содержанию договора о предоставлении информации и (или) получении страховых отчетов устанавливаются статьей 83 Закона о страховой деятельности.

      Сноска. Пункт 3 в редакции постановления Правления Агентства РК по регулированию и развитию финансового рынка от 12.02.2021 № 28 (вводится в действие со дня его первого официального опубликования).

      4. Регистрация в Организации поставщиков информации, указанных в пункте 3 статьи 80 Закона о страховой деятельности, осуществляется в соответствии со статьей 84 Закона о страховой деятельности.

      Сноска. Пункт 4 в редакции постановления Правления Агентства РК по регулированию и надзору финансового рынка и финансовых организаций от 03.09.2010 № 137 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования); с изменениями, внесенными постановлением Правления Агентства РК по регулированию и надзору фин.рынка и фин.организаций от 27.12.2010 № 183(вводится в действие по истечении 14 календарных дней со дня его гос.рег-ции в МЮ РК).

      5. В случае получения от получателей страхового отчета, указанных в пункте 4 статьи 80 Закона о страховой деятельности, запроса о представлении страхового отчета (ограниченного и (или) стандартного доступа) на бумажном носителе, отчет таким получателям представляется Организацией в течение двух рабочих дней с даты получения запроса.

      Предоставление страхового отчета лицам, указанным в пункте 4 статьи 80 Закона о страховой деятельности, осуществляется в соответствии с пунктом 6 статьи 80 Закона о страховой деятельности.

      Сноска. Пункт 5 в редакции постановления Правления Агентства РК по регулированию и надзору финансового рынка и финансовых организаций от 03.09.2010 № 137 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования); с изменениями, внесенными постановлением Правления Агентства РК по регулированию и надзору фин.рынка и фин.организаций от 27.12.2010 № 183(вводится в действие по истечении 14 календарных дней со дня его гос.рег-ции в МЮ РК).

      6. Исключен постановлением Правления Агентства РК по регулированию и надзору финансового рынка и финансовых организаций от 03.09.2010 № 137 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      7. Исключен постановлением Правления Агентства РК по регулированию и надзору финансового рынка и финансовых организаций от 03.09.2010 № 137 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      8. Исключен постановлением Правления Агентства РК по регулированию и надзору фин.рынка и фин.организаций от 27.12.2010 № 183(вводится в действие по истечении 14 календарных дней со дня его гос.рег-ции в МЮ РК).

      9. В страховом отчете для субъекта базы данных должна содержаться информация обо всех предоставленных страховых отчетах, с указанием даты выдачи, наименования и реквизитов получателей страхового отчета.

      10. Организация при предоставлении страхового отчета указывает всех поставщиков информации и дату получения этой информации Организацией.

      10-1. Поставщик информации, указанный в подпункте 1) пункта 3 статьи 80 Закона о страховой деятельности, представляет в Организацию сведения, предусмотренные постановлением Правления Агентства Республики Казахстан по регулированию и надзору финансового рынка и финансовых организаций от 1 марта 2010 года № 25 "Об утверждении Требований к осуществлению страховой организацией страховой деятельности, в том числе по взаимоотношениям с участниками страхового рынка, и полномочия страхового агента на осуществление посреднической деятельности на страховом рынке", зарегистрированным в Реестре государственной регистрации нормативных правовых актов под № 6164, в режиме реального времени.

      Сноска. Инструкция дополнена пунктом 10-1 в соответствии с постановлением Правления Агентства РК по регулированию и надзору финансового рынка и финансовых организаций от 03.09.2010 № 137 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования); в редакции постановления Правления Национального Банка РК от 30.05.2016 № 127 (вводится в действие по истечении десяти календарных дней после дня его первого официального).

      11. Поставщик информации, указанный в подпункте 1) пункта 3 статьи 80 Закона о страховой деятельности, в режиме реального времени представляет в Организацию сведения, предусмотренные постановлением Правления Национального Банка Республики Казахстан от 29 октября 2018 года № 269 "Об установлении Требований по содержанию и оформлению страховых полисов", зарегистрированным в Реестре государственной регистрации нормативных правовых актов под № 17806.

      Сноска. Пункт 11 - в редакции постановления Правления Агентства РК по регулированию и развитию финансового рынка от 23.12.2020 № 127 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      11-1. По временно въезжающим (ввозимым) автотранспортным средствам на территорию Республики Казахстан при заключении договора обязательного страхования гражданско-правовой ответственности владельцев транспортных средств поставщиком информации, указанным в подпункте 1) пункта 3 статьи 80 Закона о страховой деятельности, представляются следующие сведения в режиме реального времени:

      1) вид договора страхования (стандартный, комплексный);

      2) уникальный номер договора страхования, присвоенный Организацией;

      3) срок действия страхового полиса;

      4) сведения о заявителе:

      фамилия, имя, отчество (при его наличии), дата рождения, место жительства (для физического лица);

      серия, номер, дата выдачи водительского удостоверения, стаж вождения (для физического лица);

      наименование, место нахождения (для юридического лица);

      признак резидентства (резидент или нерезидент Республики Казахстан);

      5) сведения об автотранспортном средстве:

      документ, подтверждающий регистрацию транспортного средства на срок ввоза;

      тип транспортного средства в соответствии с Законом Республики Казахстан от 1 июля 2003 года "Об обязательном страховании гражданско-правовой ответственности владельцев транспортных средств" (далее - Закон об обязательном страховании);

      год выпуска;

      номер кузова;

      6) сведения о застрахованном (застрахованных):

      фамилия, имя, отчество (при его наличии), дата рождения, место жительства;

      серия, номер, дата выдачи водительского удостоверения, стаж вождения;

      7) сведения о страховом агенте:

      фамилия, имя, отчество (при его наличии), контактный номер телефона и индивидуальный идентификационный номер страхового агента (если им является физическое лицо) или его наименование, место нахождения, контактный номер телефона и бизнес-идентификационный номер (если им является юридическое лицо);

      указание о наличии или отсутствии комиссионного вознаграждения, причитающегося страховому агенту.

      Сноска. Инструкция дополнена пунктом 11-1 в соответствии с постановлением Правления Агентства РК по регулированию и надзору финансового рынка и финансовых организаций от 26.09.2009 № 216 (порядок введения в действие см. п. 2); в редакции постановления Правления Агентства РК по регулированию и развитию финансового рынка от 23.12.2020 № 127 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      12. Исключен постановлением Правления Агентства РК по регулированию и надзору финансового рынка и финансовых организаций от 03.09.2010 № 137 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      13. Организация присваивает уникальный номер страховому полису в следующем порядке:

      1) внесение страховщиком сведений о страхователе (застрахованном), транспортном средстве (транспортных средствах) в базу данных на основе заявления страхователя для заключения договора обязательного страхования гражданско-правовой ответственности владельцев транспортных средств;

      2) формирование в базе данных страхового отчета, содержащего сведения, необходимые для включения в страховой полис;

      3) присвоение уникального номера страховому полису, являющегося номером страхового полиса.

      Сноска. Пункт 13 в редакции постановления Правления Национального Банка РК от 27.08.2018 № 204 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      14. Исключен постановлением Правления Агентства РК по регулированию и надзору финансового рынка и финансовых организаций от 03.09.2010 № 137 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      15. Выдача страховых отчетов из базы данных получателям страхового отчета, указанным в пункте 4 статьи 80 Закона о страховой деятельности, осуществляется в зависимости от уровней доступа и вида страховых отчетов согласно пункту 5 статьи 80 Закона о страховой деятельности.

      Сноска. Пункт 15 в редакции постановления Правления Агентства РК по регулированию и надзору финансового рынка и финансовых организаций от 03.09.2010 № 137 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования); с изменениями, внесенными постановлением Правления Агентства РК по регулированию и надзору фин.рынка и фин.организаций от 27.12.2010 № 183(вводится в действие по истечении 14 календарных дней со дня его гос.рег-ции в МЮ РК).

      16. Исключен постановлением Правления Агентства РК по регулированию и надзору финансового рынка и финансовых организаций от 03.09.2010 № 137 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      17. Исключен постановлением Правления Агентства РК по регулированию и надзору финансового рынка и финансовых организаций от 03.09.2010 № 137 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      18. В целях обоснованного применения размера страховой премии работники получателя страхового отчета, указанного в подпункте 1) пункта 3 статьи 80 Закона о страховой деятельности, в должностные обязанности которых входит заключение договоров обязательного страхования гражданско-правовой ответственности владельцев транспортных средств и лиц, осуществляющих посредническую деятельность по заключению договоров страхования от имени и по поручению страховщика в соответствии с предоставленными им полномочиями, получают страховой отчет о классе, присеваемом субъекту базы данных (наличие или отсутствие страховых случаев у субъекта базы данных), установленного пунктом 10 статьи 19 Закона об обязательном страховании.

      Сноска. Пункт 18 в редакции постановления Правления Агентства РК по регулированию и развитию финансового рынка от 12.02.2021 № 28 (вводится в действие со дня его первого официального опубликования).

Глава 3. Информационный процесс

      19. Функционирование информационной системы формирования и использования страховых отчетов обеспечивает:

      1) координацию и управляемость деятельности ее участников в рамках согласованных процедур и технологических параметров;

      2) унификацию используемых программных и технических средств;

      3) информационную безопасность, включая устранение возможности раскрытия информации;

      4) внедрение высокоэффективных технологий;

      5) гибкое и эффективное управление ресурсами;

      6) рост качества услуг.

      20. Организация и пользователи базы данных обеспечивают:

      1) контроль ввода данных;

      2) возможность вычисления параметров документов (номеров документов, кода связи, номера договора и другое);

      3) генерацию сводной информации;

      4) создание резервных копий, архивирование данных;

      5) использование информационных систем, имеющих штатные средства защиты, с контролем за правами доступа;

      6) наличие регламентированных процедур предоставления и получения электронных сообщений;

      7) возможность подготовки аналитических и статистических отчетов.

      21. Процесс разработки, внедрения и сопровождения информационных систем включает определение этапов разработки, порядка внесения изменений, приема, тестирования и ввода в промышленную эксплуатацию, требования к документированию всех этапов.

      22. Разработка, внедрение и сопровождение информационных систем Организацией выполняется в соответствии с действующими на территории Республики Казахстан стандартами и внутренними документами Организации.

      23. Разработка информационных систем выполняется Организацией на основании технического задания, утвержденного их первым руководителем.

      Организация обеспечивает возможность приема информации от поставщиков информации либо устанавливает соответствующие требования к используемому ими программному обеспечению. В случае самостоятельной разработки программного обеспечения пользователями базы данных оно согласуется с Организацией.

      24. В целях исключения несанкционированного изменения программного обеспечения и (или) данных информационной системы при необходимости внесения изменений (для устранения недостатков или доработки системы) в программное обеспечение, процесс внесения изменений осуществляются в соответствии с техническим заданием, стандартами, действующими на территории Республики Казахстан, и внутренними документами Организации.

Глава 4. Условия обмена информацией между
Организацией и пользователями базы данных

      25. Обмен информацией между пользователями базы данных и Организацией осуществляется через специальную автоматизированную систему, соответствующую требованиям законодательства Республики Казахстан об информатизации и о техническом регулировании.

      26. Информация, предоставленная поставщиком информации, возвращается Организацией без ее использования в информационной системе формирования и использования страховых отчетов, в случае ее неправильного или неполного оформления, несоответствия данных поставщика информации, получателя страхового отчета, субъекта базы данных требованиям к используемой информационной системе.

      Сноска. Пункт 26 в редакции постановления Правления Национального Банка РК от 28.01.2016 № 12 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      26-1.Организация осуществляет обмен данными с поставщиками информации и получателями страхового отчета по выделенным каналам связи или через Интернет - ресурсы при условии:

      1) наличия основного канала, пропускной способностью не менее 10 (десяти) мегабит в секунду;

      2) наличия беспроводного резервного канала, пропускной способностью не менее 2 (двух) мегабит в секунду;

      3) использования каналов разных провайдеров;

      4) использования каналов исключительно для обмена информацией с поставщиками информации и получателями страховых отчетов.

      Сноска. Глава 4 дополнена пунктом 26-1 в соответствии с постановлением Правления Агентства РК по регулированию и надзору фин.рынка и фин.организаций от 27.12.2010 № 183(вводится в действие по истечении 14 календарных дней со дня его гос.рег-ции в МЮ РК).

Глава 5. Формирование системы безопасности

      27. Информационная система формирования и использования страховых отчетов обеспечивает:

      1) конфиденциальность информации - защиту от раскрытия информации в ходе ее хранения, обработки или при передаче по коммуникационным каналам;

      2) сохранность информации - защиту от повреждений, целостность и защищенность от несанкционированного изменения, дополнения, копирования или удаления в ходе ее хранения, обработки или при передаче по коммуникационным каналам;

      3) доступность - защиту от использования одним пользователем данных и иных ресурсов информационной системы, предназначенных для совместного использования, перехвата информационных сообщений и (или) данных с последующей их задержкой, а также от перехвата информационных сообщений и (или) данных с последующей их задержкой.

      28. Базовым компонентом обязательных мер по обеспечению безопасности информационной системы формирования и использования страховых отчетов является применение комплексного подхода к созданию системы информационной безопасности.

      29. Комплексный подход к созданию системы информационной безопасности включает анализ и оценку рисков, в том числе по техническим каналам утечки информации, учет характера и важности защищаемой информации, контроль за обеспечением безопасности технологии обработки электронных документов.

      30. Организация и пользователи базы данных проводят действия по оперативному выявлению подозрительных действий в реальном режиме времени и включающие мероприятия, направленные на установление:

      1) нетипичного поведения (пользователей, программ или аппаратуры);

      2) начала активности несанкционированных вторжений или использования зловредного программного обеспечения.

      31. Основными направлениями, обеспечивающими комплексный подход к информационной безопасности на программно-техническом уровне являются:

      1) контур безопасности;

      2) внутрикорпоративная безопасность;

      3) управление корпоративной безопасностью.

      32. Контур безопасности предназначен для обеспечения защиты информационной системы формирования и использования страховых отчетов (далее - Контур безопасности). Контур безопасности реализует защиту центрального и дополнительных офисов (филиалов, представительств, удаленных офисов), информационных потоков между ними, а также информационных ресурсов, хранящихся на серверах и рабочих станциях внешних соединений информационной системы с другими сетями.

      33. Процедуры безопасности Организации и пользователей базы данных предназначены для контроля несанкционированных вторжений и антивирусной защиты, обеспечения их внутренней информационной безопасности и предполагают необходимость построения и поддержания системы, обеспечивающей разделение пользователей на группы в соответствии с их статусом и правами, а также разделение ресурсов по уровню их конфиденциальности.

      Сноска. Пункт 33 с изменением, внесенным постановлением Правления Агентства РК по регулированию и надзору финансового рынка и финансовых организаций от 03.09.2010 № 137 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      34. Управление корпоративной безопасностью, в рамках комплексной системы безопасности Организации и пользователей базы данных обеспечивается постоянным контролем за выполнением общих требований политики информационной безопасности, оперативным внесением в нее корректировок и повышения ее уровня.

      35. Повышение уровня безопасности предусматривает:

      1) определение политики информационной безопасности;

      2) установление границ, в которых предполагается поддерживать режим информационной безопасности;

      3) проведение оценки рисков;

      4) выбор мер противодействия и управления рисками;

      5) выбор средств и управления, обеспечивающих режим информационной безопасности.

      36. Политика информационной безопасности содержит описание состава используемой информационной системы, список пользователей, их права (в зависимости от их служебного положения и характера выполняемых функций) на доступ к информации, программным и техническим средствам и определяет:

      1) общие направления работы в области информационной безопасности;

      2) цель и задачи защиты информационной системы;

      3) основные принципы и способы достижения необходимого уровня безопасности;

      4) определение должностных лиц, ответственных за разработку необходимых требований, определяющих политику информационной безопасности;

      5) определение подразделений, ответственных за создание и поддержание работоспособности информационных систем и системы их защиты;

      6) меры, предотвращающие нарушения режима безопасности информационных систем в случае возникновения обстоятельств непреодолимой силы, к которым относятся стихийные бедствия, аварии, пожары, отключение электроэнергии, повреждение линий связи, массовые беспорядки, забастовки, военные действия.

      37. Организация и пользователи базы данных обеспечивают:

      1) соответствие используемых управленческих решений, технологий, подходов и конкретных программно-аппаратных средств действующему законодательству Республики Казахстан;

      2) принятие внутренних документов об организации безопасности информационной системы.

      38. Процедурный уровень защиты информации включает мероприятия по обеспечению безопасности, предпринимаемые Организацией и пользователями базы данных по следующим направлениям:

      1) управление персоналом;

      2) физическая защита;

      3) реагирование на нарушения режима безопасности;

      4) планирование восстановительных работ.

      39. Алгоритмы, используемые для защиты информации при аутентификации пользователей и передаче данных, сертифицируются в Республике Казахстан в соответствии с требованиями государственного стандарта Республики Казахстан СТ РК 1073-2007 "Средства криптографической защиты информации. Общие технические требования".

      Сноска. Пункт 39 в редакции постановления Правления Национального Банка РК от 30.05.2016 № 127 (вводится в действие по истечении десяти календарных дней после дня его первого официального).

      40. План защиты информации включает следующие меры:

      1) организационные;

      2) программно-технические.

      41. К организационным мерам обеспечения безопасности относятся:

      1) физическая защита информационных систем;

      2) поддержание работоспособности информационных систем, имеющих отношение к информационной безопасности;

      3) установление каждому пользователю соответствующего права доступа, необходимого для выполнения им возложенных должностных обязанностей и обеспечения взаимозаменяемости;

      4) планирование восстановительных работ.

      42. Физическая защита подразделяется на:

      1) физическое управление доступом;

      2) меры противопожарной безопасности;

      3) защита поддерживающей инфраструктуры;

      4) защита от перехвата данных, защита мобильных систем.

      43. Мероприятия по поддержанию работоспособности информационных систем подразделяются на:

      1) поддержку пользователей - предоставление консультаций по вопросам информационной безопасности, выявление их типичных ошибок и обеспечение памятками с рекомендациями для распространенных ситуаций;

      2) поддержку программного обеспечения - контроль лицензионной (сертифицированной) чистоты программного обеспечения;

      3) конфигурационное управление - контроль и фиксирование изменений, вносимых в программную и техническую конфигурацию;

      4) резервное копирование для восстановления информационной системы и данных в случае аварии и других обстоятельств непреодолимой силы;

      5) управление носителями данных - порядок учета, обращения и хранения;

      6) документирование - актуальное отражение текущего состояния дел.

      44. В случае нарушения режима безопасности информационных систем ответственные лица, администратор осуществляют:

      1) выполнение оперативных мероприятий с целью уменьшения наносимого вреда;

      2) анализ и оценку имеющихся сведений о нарушениях - изучение инцидента, выявление повторных нарушений, разработка мер по усовершенствованию системы защиты.

      45. Резервное копирование и восстановление после потери работоспособности информационной системы определяются требованиями, установленными в Организации и у пользователей базы данных.

Глава 6. Минимальные требования к электронному оборудованию,
сохранности базы данных и помещениям

      46. Программное обеспечение пользователя устанавливается на специально выделенном персональном компьютере, имеющем паспорт - описание рабочего места с подробными данными по его месторасположению, конфигурации, а также аппаратным и программным средствам, установленным на нем.

      47. Не допускается эксплуатация персонального компьютера пользователя и установка на нем программных средств, не связанных с целями подготовки, обработки, передачи или ведения электронных документов в рамках участия в информационной системе формирования и использования страховых отчетов.

      48. Персональный компьютер пользователя оснащается комплексом защиты, включающим в себя средства идентификации и аутентификации пользователей, возможность ведения электронных журналов в течение срока хранения электронных документов, с целью контроля деятельности, связанной с доступом к компьютеру и действиями пользователей.

      Сноска. Пункт 48 в редакции постановления Правления Национального Банка РК от 28.01.2016 № 12 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      49. Одному системному имени пользователя, по которому идентифицируется пользователь, при входе в информационные системы должно соответствовать одно физическое лицо.

      50. Паспорт - описание рабочего места оформляется за подписью руководителей Организации и пользователя и хранится у ответственного лица.

      51. Персональный компьютер пользователя оснащается средством обеспечения целостности программного обеспечения.

      Сноска. Пункт 51 в редакции постановления Правления Национального Банка РК от 28.01.2016 № 12 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      52. Системный блок персонального компьютера пользователя опечатывается либо пломбируется ответственным лицом. В случае необходимости, допуск к системному блоку осуществляется в присутствии ответственного лица. По окончании работ системный блок опечатывается либо пломбируется ответственным лицом.

      53. Порядок доступа к ресурсам (дисковое пространство, директории, сетевые ресурсы, базы данных и другие), выделенным для накопления в них информации для передачи в информационную среду с использованием системы защиты, получения информации из информационной среды, хранения, архивирования либо другой обработки информации, исключает возможность несанкционированного доступа к этим ресурсам.

      Сноска. Пункт 53 в редакции постановления Правления Национального Банка РК от 28.01.2016 № 12 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      54. Проведение и контроль работ по криптографической защите ведется ответственным лицом, который выполняет:

      1) учет, хранение и сопровождение программных средств криптографической защиты;

      2) генерацию криптографических ключей, получение, учет, хранение и выдачу информационных носителей, содержащих ключи;

      3) ведение списка владельцев криптографических ключей;

      4) обеспечение владельцев криптографических ключей необходимыми инструкциями.

      55. Рабочее место пользователя размещается в отдельном помещении.

      Сноска. Пункт 55 с изменениями, внесенными постановлением Правления Агентства РК по регулированию и надзору фин.рынка и фин.организаций от 27.12.2010 № 183(вводится в действие по истечении 14 календарных дней со дня его гос.рег-ции в МЮ РК).

      56. Месторасположение, в котором находится рабочее место пользователя, имеющего доступ к страховым отчетам ограниченного доступа, и средства охраны помещения должны исключать возможность неконтролируемого проникновения в это помещение лиц, не допущенных к рабочему месту пользователя.

      Сноска. Пункт 56 с изменениями, внесенными постановлением Правления Агентства РК по регулированию и надзору фин.рынка и фин.организаций от 27.12.2010 № 183(вводится в действие по истечении 14 календарных дней со дня его гос.рег-ции в МЮ РК).

      57. Техническое помещение Организации должно находиться в охраняемой зоне, иметь кодовые замки и средства регистрации доступа.

      При расположении помещения Организации на первых или последних этажах зданий, а также при наличии рядом с окнами балконов, пожарных лестниц, окна помещений оборудуются металлическими решетками.

      58. Средства технической защиты помещения Организации должны исключать возможность неконтролируемого проникновения в это помещение лиц. Допуск к работе в Организации осуществляется в соответствии с ее регламентом и должностными обязанностями работников.

      Сноска. Пункт 58 с изменениями, внесенными постановлением Правления Агентства РК по регулированию и надзору фин.рынка и фин.организаций от 27.12.2010 № 183(вводится в действие по истечении 14 календарных дней со дня его гос.рег-ции в МЮ РК).

Глава 7. Иные вопросы деятельности базы данных

      59. Внутренним актом Организации и пользователя определяется порядок работы с системой защиты, включающий:

      1) порядок назначения сотрудников, на которых возлагаются обязанности ответственного лица, администратора, оператора;

      2) режим работы;

      3) права и обязанности ответственного лица, администратора и оператора, включая их должностные инструкции;

      4) список сотрудников, допущенных к рабочему месту оператора.

      60. Ответственные лица:

      1) обеспечивают обязательность процедуры идентификации и аутентификации для доступа к ресурсам информационных систем;

      2) не допускают получения права доступа к информационным ресурсам неавторизованными пользователями;

      3) контролируют регулярность выполнения резервного копирования информации, обрабатываемой информационной системой;

      4) проводят плановую и внеплановую проверку надежности защиты ресурсов системы;

      5) обеспечивают защиту информационных ресурсов, подключенных к глобальной сети Интернет, с помощью аппаратных межсетевых экранов "FireWall";

      6) принимают меры по отражению угрозы и выявлению нарушителей с помощью аппаратных средств, комбинирующих как систему обнаружения вторжений (IDS), так и систему предотвращения вторжений (IPS(IDPS));

      7) обеспечивают работоспособность средств защиты от утечки информации через съемные носители (гибкие диски, flash-карты, внешние накопители на жестких дисках и прочие);

      8) регулярно просматривают журнал событий, проводят анализ с записями, где были попытки несанкционированного доступа к информации;

      9) постоянно проводить антивирусную профилактическую работу.

      Сноска. Пункт 60 с изменениями, внесенными постановлением Правления Агентства РК по регулированию и надзору фин.рынка и фин.организаций от 27.12.2010 № 183(вводится в действие по истечении 14 календарных дней со дня его гос.рег-ции в МЮ РК).

      61. Ответственное лицо, администратор, оператор дают письменное обязательство о неразглашении и нераспространении информации, ставшей им известной в процессе исполнения ими служебных обязанностей.

      62. При увольнении работников пользователя (ответственного лица, администратора или оператора) производится внеплановая смена ключевой информации организации, о чем уведомляется Организация. Новая ключевая информация вводится в действие со дня их увольнения.

      63. Исключен постановлением Правления Агентства РК по регулированию и надзору фин.рынка и фин.организаций от 27.12.2010 № 183(вводится в действие по истечении 14 календарных дней со дня его гос.рег-ции в МЮ РК).

      64. Порядок хранения и использования внешних носителей с ключевой информацией исключает возможность несанкционированного доступа к ним.

      Сноска. Пункт 64 в редакции постановления Правления Национального Банка РК от 28.01.2016 № 12 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      65. При формировании и передаче электронного сообщения Организация и пользователь осуществляют защитные действия, в соответствии с установленным ими порядком использования программно-криптографической защиты и электронной цифровой подписи.

      66. В случае нарушения порядка защитных действий или его разглашения, сторона, установившая данное нарушение, немедленно уведомляет об этом другую сторону и принимает меры к ликвидации последствий.

      67. Исключен постановлением Правления Национального Банка РК от 28.01.2016 № 12 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

Глава 8. Заключительные положения

      Сноска. Глава 8 исключена постановлением Правления Национального Банка РК от 28.01.2016 № 12 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

  Приложение
к Требованиям к деятельности
организации по формированию и
ведению базы данных

      Сноска. Инструкция дополнена приложением 1 в соответствии с постановлением Правления Агентства РК по регулированию и надзору финансового рынка и финансовых организаций от 03.09.2010 № 137 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования); в редакции постановления Правления Национального Банка РК от 28.01.2016 № 12 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      Форма

Акт
ввода системы управления базы данных в
промышленную эксплуатацию

      ________________________________________________________________

      (наименование Организации по формированию и ведению базы данных)

"____"_____________ 20___ года

дата

__________________________

место составления


      В соответствии с пунктом 5 статьи 79 Закона Республики

      Казахстан от 18 декабря 2000 года "О страховой деятельности" (далее -

      Закон о страховой деятельности) создана комиссия в следующем составе:

      представители уполномоченного органа (указать должность,

      фамилию, имя, отчество (при его наличии)):

      _____________________________________________________________________

      _____________________________________________________________________

      _____________________________________________________________________

      ____________________________________________________________________,

      которая составила настоящий акт ввода системы управления базы

      данных в промышленную эксплуатацию Организации по формированию и

      ведению базы данных

      _____________________________________________________________________

      ____________________________________________________________________.

      (наименование)

      В работе комиссии участвуют представители Организации по

      формированию и ведению базы данных (указать должность, фамилию, имя,

      отчество (при его наличии)):

      _____________________________________________________________________

      _____________________________________________________________________

      _____________________________________________________________________

      Сведения относительно заключенных договоров о предоставлении

      информации с поставщиками информации, указанными в пункте 3 статьи 80

      Закона о страховой деятельности:

Наименование поставщика информации

Номер договора и дата заключения

Результат тестирования

Пояснения к результату тестирования

1

Страховщики




1.1









2

Уполномоченный государственный орган, осуществляющий государственный контроль за субъектами базы данных




2.1









3

Иные лица




3.1









4

Всего (количество)





      Организация информационного процесса по формированию и выдаче

      страховых отчетов:

      Описание системы управления базы данных:

      _____________________________________________________________________

      _____________________________________________________________________

      _____________________________________________________________________

      _____________________________________________________________________

      Результаты тестирования информационного процесса с поставщиками

      информации, заключившими договор о представлении информации:

      _____________________________________________________________________

      _____________________________________________________________________

      _____________________________________________________________________

      _____________________________________________________________________

      Краткое содержание пояснений представителей Организации по

      формированию и ведению базы данных:

      _____________________________________________________________________

      _____________________________________________________________________

      _____________________________________________________________________

      _____________________________________________________________________

      Комиссия проверила технические и иные документы, договоры о

      предоставлении информации с поставщиками информации, указанными в

      пункте 3 статьи 80 Закона о страховой деятельности, Организации по

      формированию и ведению базы данных __________________________________

      _____________________________________________________________________

      _____________________________________________________________________

      ____________________________________________________________________,

      (наименование)

      обследовала его системы управления базы данных и иных объектов,

      предназначенных для организации информационного процесса по

      формированию и выдаче страховых отчетов и установила, что данная

      Организация по формированию и ведению базы данных

      _____________________________________________________________________

      _____________________________________________________________________

      готова (не готова) к вводу системы управления базы данных в

      промышленную эксплуатацию.

      Организацией по формированию и ведению базы данных предъявлены

      следующие документы, касающиеся организации информационного процесса

      по формированию и выдаче страховых отчетов, системы управления базы

      данных и тестирования информационного процесса, которые приложены к

      акту комиссии:

      _____________________________________________________________________

      _____________________________________________________________________

      _____________________________________________________________________

      ____________________________________________________________________

      Акт составлен в двух экземплярах и по одному экземпляру

      передан:

      уполномоченному органу;

      Организации по формированию и ведению базы данных.

      Члены комиссии (фамилия, имя, отчество (при его наличии),

      подпись и дата подписания):

      _____________________________________________________________________

      _____________________________________________________________________

      _____________________________________________________________________

      ____________________________________________________________________

      Представители Организации по формированию и ведению базы данных

      (фамилия, имя, отчество (при его наличии), подпись и дата

      подписания):

      _____________________________________________________________________

      _____________________________________________________________________

      _____________________________________________________________________

      ____________________________________________________________________

      Руководитель Организации по формированию и ведению базы данных

      (фамилия, имя, отчество (при его наличии), подпись и дата

      подписания):

      _____________________________________________________________________

      _____________________________________________________________________

      _____________________________________________________________________

      _____________________________________________________________________

  Приложение 2
к Инструкции по формированию
и ведению базы данных

АКТ
о соответствии Организации, поставщика информации, указанного
в подпункте 1) пункта 3 статьи 80 Закона о страховой деятельности, предъявляемым требованиям для начала своей деятельности на рынке информационных услуг и выполнении им организационно-технических, технологических и иных условий по защите программного обеспечения, формированию информационных систем и информационных ресурсов
________ ____________________
дата место составления

      Сноска. Приложение 2 с изменениями, внесенными постановлениями Правления Агентства РК по регулированию и надзору финансового рынка и финансовых организаций от 03.09.2010 № 137 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования); от 27.12.2010 № 183(вводится в действие по истечении 14 календарных дней со дня его гос.рег-ции в МЮ РК).

      Настоящий акт о готовности Организации, поставщика информации,

      указанного в подпункте 1) пункта 3 статьи 80 Закона о страховой

      деятельности, к началу своей деятельности на рынке информационных услуг и выполнении им организационно-технических мер, технологических требований по защите программного обеспечения, соблюдения требований при формировании и эксплуатации информационных систем, используемых для формирования электронной базы данных страховых отчетов и средств ее защиты составлен комиссией в следующем составе:

      1) представители уполномоченного органа:

      _____________________________________________________________________

      _____________________________________________________________________

      _____________________________________________________________________

      _____________________________________________________________________

      2) представители Организации, поставщика информации, указанного

      в подпункте 1) пункта 3 статьи 80 Закона о страховой

      деятельности:

      _____________________________________________________________________

      _____________________________________________________________________

      _____________________________________________________________________

      ____________________________________________________________________

      Описание обследованных объектов и изученных комиссией документов:

      _____________________________________________________________________

      _____________________________________________________________________

      _____________________________________________________________________

      Краткое содержание пояснений представителей Организации,

      поставщика информации, указанного в подпункте 1) пункта 3 статьи 80

      Закона о страховой деятельности, и иных присутствовавших лиц:

      _____________________________________________________________________

      _____________________________________________________________________

      _____________________________________________________________________

      _____________________________________________________________________

      Проверкой комиссией технических и иных документов Организации,

      поставщика информации, указанного в подпункте 1) пункта 3 статьи 80

      Закона о страховой деятельности,______________________________, обследованием его технических помещений, электронно-компьютерного оборудования, систем связи и защитных устройств и иных объектов, предназначенных для работы в системе формирования электронной базы данных страховых отчетов установлено

      _____________________________________________________________________

      (соответствуют/не соответствуют предъявляемым

      требованиям и достаточны/недостаточны для начала продолжения

      деятельности организации на рынке информационных услуг).

      Организацией или поставщиком информации, указанного в

      подпункте 1) пункта 3 статьи 80 Закона о страховой деятельности, предъявлена техническая документация и иные документы, которые приложены к акту комиссии.

      Акт составлен в двух экземплярах и по одному экземпляру

      передан:

      уполномоченному органу;

      Организации или поставщику информации, указанному в подпункте

      1) пункта 3 статьи 80 Закона о страховой деятельности.

      Члены комиссии:

      _____________________________________________________________________

      _____________________________________________________________________

      _____________________________________________________________________

      Представитель проверяемой организации:

      _____________________________________________________________________

      _____________________________________________________________________

      _____________________________________________________________________