Об утверждении Требований к деятельности организации по формированию и ведению базы данных

Постановление Правления Агентства Республики Казахстан по регулированию и надзору финансового рынка и финансовых организаций от 25 июня 2007 года № 177. Зарегистрировано в Министерстве юстиции Республики Казахстан 9 августа 2007 года № 4860

Обновленный

      Сноска. Заголовок в редакции постановления Правления Национального Банка РК от 28.01.2016 № 12 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      В целях реализации Закона Республики Казахстан от 18 декабря 2000 года "О страховой деятельности" Правление Агентства Республики Казахстан по регулированию и надзору финансового рынка и финансовых организаций (далее - Агентство) ПОСТАНОВЛЯЕТ:
      Сноска. Преамбула с изменениями, внесенными постановлениями Правления Агентства РК по регулированию и надзору финансового рынка и финансовых организаций от 03.09.2010 № 137 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования); от 27.12.2010 № 183 (вводится в действие по истечении 14 календарных дней со дня его гос.рег-ции в МЮ РК).

      1. Утвердить прилагаемые Требования к деятельности организации по формированию и ведению базы данных.
      Сноска. Пункт 1 в редакции постановления Правления Национального Банка РК от 28.01.2016 № 12 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      2. Настоящее постановление вводится в действие по истечении четырнадцати дней со дня государственной регистрации в Министерстве юстиции Республики Казахстан.

      3. Департаменту надзора за субъектами страхового рынка и другими финансовыми организациями (Каракулова Д.Ш.):
      1) совместно с Юридическим департаментом (Байсынов М.Б.) принять меры к государственной регистрации в Министерстве юстиции Республики Казахстан настоящего постановления;
      2) в десятидневный срок со дня государственной регистрации в Министерстве юстиции Республики Казахстан довести настоящее постановление до сведения заинтересованных подразделений Агентства, страховых (перестраховочных) организаций, организации, осуществляющей формирование и ведение базы данных, и Объединения юридических лиц "Ассоциация финансистов Казахстана".

      4. Службе Председателя Агентства (Заборцева Е.Н.) обеспечить публикацию настоящего постановления в средствах массовой информации Республики Казахстан.

      5. Контроль за исполнением настоящего постановления возложить на заместителя Председателя Агентства Узбекова Г.Н.

      Председатель

Утверждена               
постановлением Правления       
Агентства Республики Казахстан    
по регулированию и надзору      
финансового рынка и финансовых    
организаций             
от 25 июня 2007 года N 177      

  Требования к деятельности организации
по формированию и ведению базы данных

      Сноска. Заголовок Инструкции в редакции постановления Правления Национального Банка РК от 28.01.2016 № 12 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      Настоящие Требования к деятельности организации по формированию и ведению базы данных (далее - Требования) разработаны в соответствии с Законом Республики Казахстан от 18 декабря 2000 года «О страховой деятельности» (далее - Закон о страховой деятельности) и устанавливают требования к деятельности организации по формированию и ведению базы данных (далее - Организация), включая требования к информационному процессу, формированию системы безопасности и установлению минимальных требований к электронному оборудованию, сохранности единой базы данных по страхованию (далее - база данных), и помещениям, а также устанавливают форму акта ввода системы управления базы данных в промышленную эксплуатацию, требования к содержанию внутренних правил, устанавливающих порядок деятельности Организации, порядку предоставления поставщиками информации для формирования базы данных, дополнительные требования к содержанию информации, предоставляемой поставщиками информации, сроки ее предоставления в электронном виде, а также порядок предоставления страховых отчетов.
      Сноска. Преамбула в редакции постановления Правления Национального Банка РК от 28.01.2016 № 12 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

  Глава 1. Общие положения

      1. В Требованиях используются основные понятия, установленные Законом о страховой деятельности, Законом Республики Казахстан от 7 января 2003 года «Об электронном документе и электронной цифровой подписи», а также следующие понятия:

      1) администратор безопасности информационных систем (далее - администратор) - работник Организации и пользователя базы данных, обеспечивающий функционирование системы электронного получения и (или) передачи данных, реализацию мер по их защите, осуществляющий генерацию поступающей и (или) передаваемой информации с учетом ее функций и полномочий;

      2) политика информационной безопасности - нормы и практические приемы, регулирующие управление, защиту и распределение информации ограниченного распространения;
      3) исключен постановлением Правления Агентства РК по регулированию и надзору финансового рынка и финансовых организаций от 03.09.2010 № 137 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования);

      4) пользователь базы данных - поставщики информации, указанные в пункте 3 статьи 80 Закона о страховой деятельности и получатели страхового отчета, указанные в  подпунктах 3) и 5) пункта 4 статьи 80 Закона о страховой деятельности, участвующие в информационной системе формирования и использования страховых отчетов и обязанные заключить договор о предоставлении информации и (или) получении страховых отчетов в соответствии с требованиями Закона;

      5) ответственное лицо - работник Организации и пользователя базы данных, обеспечивающий функционирование и контроль средств защиты информации от несанкционированного доступа;

      6) зловредное программное обеспечение (компьютерные вирусы, сетевые черви и аналогичное программное обеспечение) - совокупность выполняемого кода, способная создавать свои копии (частично или полностью совпадающие с оригиналом) и внедрять их в различные объекты и (или) ресурсы компьютерных систем, сетей без ведома пользователя базы данных;

      7) режим реального времени - режим работы информационной системы формирования и использования страховых отчетов, обеспечивающий поступление, обработку и обмен информации до 12.00 часов времени города Астаны дня, следующего за днем заключения договора страхования;

      8) оператор - работник пользователя базы данных, непосредственно осуществляющий прием, сбор, обработку, передачу и получение информации с использованием системы защиты;

      9) информационная система формирования и использования страховых отчетов - совокупность информационных технологий, информационных сетей и средств их программно-технического обеспечения, предназначенных для реализации Организацией, поставщиками информации, указанными в пункте 3 статьи 80 Закона о страховой деятельности, получателями страховых отчетов (за исключением субъекта базы данных) информационных процессов;

      10) меры по защите информационной системы формирования и использования страховых отчетов - организационно-технические мероприятия, направленные на обеспечение безопасного функционирования информационной системы формирования и использования страховых отчетов, в том числе программно-аппаратная защита электронных средств и компьютеров от несанкционированного доступа, обеспечивающая контроль доступа к установленному программному обеспечению и информации, предоставляющая средства разграничения полномочий зарегистрированных пользователей;

      11) идентификатор - уникальные персональный код и (или) имя, присвоенные субъекту и (или) объекту системы, и предназначенные для регламентированного доступа в систему и (или) к ресурсам системы;

      12) идентификация - процесс присвоения или определения соответствия предъявленного для получения доступа в систему и (или) к ресурсу системы идентификатора перечню идентификаторов, имеющихся в системе;

      13) аутентификация - подтверждение подлинности субъекта или объекта доступа путем определения соответствия предъявленных реквизитов доступа имеющимся в системе;

      14) уполномоченный орган - государственный орган, осуществляющий регулирование, контроль и надзор финансового рынка и финансовых организаций;

      15) ключевая информация - криптографические ключи и ключи электронной цифровой подписи.
      Сноска. Пункт 1 с изменениями, внесенными постановлениями Правления Агентства РК по регулированию и надзору финансового рынка и финансовых организаций от 26.09.2009 № 216 (порядок введения в действие см. п. 2); от 03.09.2010 № 137 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования); от 27.12.2010 № 183 (вводится в действие по истечении 14 календарных дней со дня его гос.рег-ции в МЮ РК); от 28.01.2016 № 12 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования); от 30.05.2016 № 127 (вводится в действие по истечении десяти календарных дней после дня его первого официального).

      2. Поставщики информации и получатели страхового отчета (за исключением лиц, указанных в подпунктах 1), 2), 4), 6), 7), 8) пункта 4 статьи 80 Закона о страховой деятельности) обеспечивают выполнение организационных, технологических условий и требований, установленных законодательством Республики Казахстан, а также вытекающих из заключенных с Организацией договоров о предоставлении информации и (или) получении страховых отчетов.
      Сноска. Пункт 2 с изменениями, внесенными постановлениями Правления Агентства РК по регулированию и надзору финансового рынка и финансовых организаций от 03.09.2010 № 137 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования); от 27.12.2010 № 183 (вводится в действие по истечении 14 календарных дней со дня его гос.рег-ции в МЮ РК).
      2-1. Осуществление деятельности Организации допускается только при наличии акта ввода системы управления базы данных в промышленную эксплуатацию по форме согласно приложению к Требованиям и внутренних правил, устанавливающих порядок деятельности Организации.
      Сноска. Инструкция дополнена пунктом 2-1 в соответствии с постановлением Правления Агентства РК по регулированию и надзору финансового рынка и финансовых организаций от 03.09.2010 № 137 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования); в редакции постановления Правления Национального Банка РК от 28.01.2016 № 12 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).
      2-2. Внутренние правила, устанавливающие порядок деятельности Организации, содержат следующие сведения:
      1) порядок заключения договора о предоставлении информации и (или) получении страховых отчетов;
      2) перечень и формы страховых отчетов, представляемых из базы данных;
      3) виды, сроки (периодичность), объем информации, содержащейся в страховых отчетах, и порядок получения страховых отчетов;
      4) порядок оплаты услуг по предоставлению информации из базы данных;
      5) виды, объем, сроки (периодичность), порядок предоставления информации для формирования базы данных;
      6) права и обязанности Организации, поставщика информации и получателя страхового отчета;
      7) ответственность Организации, поставщика информации и получателя страхового отчета;
      8) режим работы Организации.
      Сноска. Инструкция дополнена пунктом 2-2 в соответствии с постановлением Правления Агентства РК по регулированию и надзору финансового рынка и финансовых организаций от 03.09.2010 № 137 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

  Глава 2. Формирование и использование страховых отчетов

      3. Для формирования страховых отчетов между Организацией и поставщиком информации, указанным в подпункте 1) пункта 3 статьи 80 Закона о страховой деятельности заключается договор о предоставлении информации и (или) получении страховых отчетов.
      Требования к содержанию договора о предоставлении информации и (или) получении страховых отчетов устанавливаются статьей 83 Закона о страховой деятельности и статьей 8-3 Закона.
      Сноска. Пункт 3 в редакции постановления Правления Агентства РК по регулированию и надзору финансового рынка и финансовых организаций от 03.09.2010 № 137 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования); с изменениями, внесенными постановлением Правления Агентства РК по регулированию и надзору фин.рынка и фин.организаций от 27.12.2010 № 183 (вводится в действие по истечении 14 календарных дней со дня его гос.рег-ции в МЮ РК).

      4. Регистрация в Организации поставщиков информации, указанных в пункте 3 статьи 80 Закона о страховой деятельности, осуществляется в соответствии со статьей 84 Закона о страховой деятельности.
      Сноска. Пункт 4 в редакции постановления Правления Агентства РК по регулированию и надзору финансового рынка и финансовых организаций от 03.09.2010 № 137 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования); с изменениями, внесенными постановлением Правления Агентства РК по регулированию и надзору фин.рынка и фин.организаций от 27.12.2010 № 183(вводится в действие по истечении 14 календарных дней со дня его гос.рег-ции в МЮ РК).

      5. В случае получения от получателей страхового отчета, указанных в пункте 4 статьи 80 Закона о страховой деятельности, запроса о представлении страхового отчета (ограниченного и (или) стандартного доступа) на бумажном носителе, отчет таким получателям представляется Организацией в течение двух рабочих дней с даты получения запроса.
      Предоставление страхового отчета лицам, указанным в пункте 4 статьи 80 Закона о страховой деятельности, осуществляется в соответствии с пунктом 6 статьи 80 Закона о страховой деятельности.
      Сноска. Пункт 5 в редакции постановления Правления Агентства РК по регулированию и надзору финансового рынка и финансовых организаций от 03.09.2010 № 137 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования); с изменениями, внесенными постановлением Правления Агентства РК по регулированию и надзору фин.рынка и фин.организаций от 27.12.2010 № 183(вводится в действие по истечении 14 календарных дней со дня его гос.рег-ции в МЮ РК).

      6. Исключен постановлением Правления Агентства РК по регулированию и надзору финансового рынка и финансовых организаций от 03.09.2010 № 137 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      7. Исключен постановлением Правления Агентства РК по регулированию и надзору финансового рынка и финансовых организаций от 03.09.2010 № 137 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      8. Исключен постановлением Правления Агентства РК по регулированию и надзору фин.рынка и фин.организаций от 27.12.2010 № 183(вводится в действие по истечении 14 календарных дней со дня его гос.рег-ции в МЮ РК). 

      9. В страховом отчете для субъекта базы данных должна содержаться информация обо всех предоставленных страховых отчетах, с указанием даты выдачи, наименования и реквизитов получателей страхового отчета.

      10. Организация при предоставлении страхового отчета указывает всех поставщиков информации и дату получения этой информации Организацией.

      10-1. Поставщик информации, указанный в подпункте 1) пункта 3 статьи 80 Закона о страховой деятельности, представляет в Организацию сведения, предусмотренные постановлением Правления Агентства Республики Казахстан по регулированию и надзору финансового рынка и финансовых организаций от 1 марта 2010 года № 25 «Об утверждении Требований к осуществлению страховой организацией страховой деятельности, в том числе по взаимоотношениям с участниками страхового рынка, и полномочия страхового агента на осуществление посреднической деятельности на страховом рынке», зарегистрированным в Реестре государственной регистрации нормативных правовых актов под № 6164, в режиме реального времени.
      Сноска. Инструкция дополнена пунктом 10-1 в соответствии с постановлением Правления Агентства РК по регулированию и надзору финансового рынка и финансовых организаций от 03.09.2010 № 137 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования); в редакции постановления Правления Национального Банка РК от 30.05.2016 № 127 (вводится в действие по истечении десяти календарных дней после дня его первого официального).

      11. Поставщик информации, указанный в подпункте 1) пункта 3 статьи 80 Закона о страховой деятельности, представляет в Организацию сведения, предусмотренные постановлением Правления Агентства Республики Казахстан по регулированию и надзору финансового рынка и финансовых организаций от 1 марта 2010 года № 24 «Об утверждении Требований к содержанию и изготовлению бланков страховых полисов, оформлению и выдаче страховых полисов по обязательному страхованию гражданско-правовой ответственности владельцев транспортных средств, обязательному страхованию гражданско-правовой ответственности туроператора или турагента, а также к содержанию заявлений страхователя для заключения договоров обязательного страхования по отдельным видам обязательного страхования», зарегистрированным в Реестре государственной регистрации нормативных правовых актов под № 6171 (далее – постановление № 24), в режиме реального времени.
      Сноска. Пункт 11 в редакции постановления Правления Национального Банка РК от 28.01.2016 № 12 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).
      11-1. Сведения по временно въезжающим (ввозимым) автотранспортным средствам на территорию Республики Казахстан представляются поставщиком информации, указанным в подпункте 1) пункта 3 статьи 80 Закона о страховой деятельности, не позднее пяти рабочих дней со дня заключения договора обязательного страхования гражданско-правовой ответственности владельцев транспортных средств:
      1) вид договора страхования (стандартный, комплексный);
      2) номер страхового полиса;
      3) дата выдачи страхового полиса;
      4) сведения о заявителе:
      фамилия, имя, при наличии - отчество, дата рождения, место жительства (для физического лица);
      серия, номер, дата выдачи водительского удостоверения, стаж вождения (для физического лица);
      наименование, место нахождения (для юридического лица);
      признак резидентства (резидент/нерезидент Республики Казахстан);
      5) сведения об автотранспортном средстве:
      документ, подтверждающий регистрацию транспортного средства на срок ввоза;
      тип транспортного средства в соответствии с Законом Республики Казахстан от 1 июля 2003 года "Об обязательном страховании гражданско-правовой ответственности владельцев транспортных средств" (далее - Закон об обязательном страховании);
      год выпуска;
      номер кузова;
      6) сведения о сроке страхования;
      7) сведения о застрахованном (застрахованных):
      фамилия, имя, при наличии - отчество, дата рождения, место жительства;
      серия, номер, дата выдачи водительского удостоверения, стаж вождения.
      Сноска. Инструкция дополнена пунктом 11-1 в соответствии с постановлением Правления Агентства РК по регулированию и надзору финансового рынка и финансовых организаций от 26.09.2009 № 216 (порядок введения в действие см. п. 2); с изменениями, внесенными постановлениями Правления Агентства РК по регулированию и надзору финансового рынка и финансовых организаций от 03.09.2010 № 137 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования); от 27.12.2010 № 183(вводится в действие по истечении 14 календарных дней со дня его гос.рег-ции в МЮ РК).

      12. Исключен постановлением Правления Агентства РК по регулированию и надзору финансового рынка и финансовых организаций от 03.09.2010 № 137 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      13. Организация присваивает уникальный номер страховому полису в следующем порядке:
      1) внесение страховщиком сведений о страхователе (застрахованном), транспортном средстве (транспортных средствах) в базу данных на основе заявления страхователя для заключения договора обязательного страхования гражданско-правовой ответственности владельцев транспортных средств, требования к содержанию которого установлены постановлением № 24;
      2) формирование в базе данных страхового отчета, содержащего сведения, необходимые для включения в страховой полис по обязательному страхованию;
      3) присвоение уникального номера страховому полису, являющегося номером страхового полиса;
      4) выведение информации, сформированной в базе данных, посредством ее распечатки на бланке страхового полиса.
      Сноска. Пункт 13 в редакции постановления Правления Национального Банка РК от 28.01.2016 № 12 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      14. Исключен постановлением Правления Агентства РК по регулированию и надзору финансового рынка и финансовых организаций от 03.09.2010 № 137 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      15. Выдача страховых отчетов из базы данных получателям страхового отчета, указанным в пункте 4 статьи 80 Закона о страховой деятельности, осуществляется в зависимости от уровней доступа и вида страховых отчетов согласно пункту 5 статьи 80 Закона о страховой деятельности.
      Сноска. Пункт 15 в редакции постановления Правления Агентства РК по регулированию и надзору финансового рынка и финансовых организаций от 03.09.2010 № 137 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования); с изменениями, внесенными постановлением Правления Агентства РК по регулированию и надзору фин.рынка и фин.организаций от 27.12.2010 № 183(вводится в действие по истечении 14 календарных дней со дня его гос.рег-ции в МЮ РК).

      16. Исключен постановлением Правления Агентства РК по регулированию и надзору финансового рынка и финансовых организаций от 03.09.2010 № 137 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      17. Исключен постановлением Правления Агентства РК по регулированию и надзору финансового рынка и финансовых организаций от 03.09.2010 № 137 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      18. В целях обоснованного применения размера страховой премии работники получателя страхового отчета, указанного в подпункте 1) пункта 3 статьи 80 закона о страховой деятельности, в должностные обязанности которых входит заключение договоров обязательного страхования гражданско-правовой ответственности владельцев транспортных средств и лиц, осуществляющих посредническую деятельность по заключению договоров страхования от имени и по поручению страховой организации в соответствии с предоставленными им полномочиями, получают страховой отчет о классе, присваемом субъекту базы данных (наличие или отсутствие страховых случаев у субъекта базы данных), установленного пунктом 10 статьи 19 Закона об обязательном страховании.
      Сноска. Пункт 18 с изменениями, внесенными постановлениями Правления Агентства РК по регулированию и надзору финансового рынка и финансовых организаций от 01.03.2010 № 23 (порядок введения в действие см. п. 4); от 27.12.2010 № 183(вводится в действие по истечении 14 календарных дней со дня его гос.рег-ции в МЮ РК).

  Глава 3. Информационный процесс

      19. Функционирование информационной системы формирования и использования страховых отчетов обеспечивает:
      1) координацию и управляемость деятельности ее участников в рамках согласованных процедур и технологических параметров;
      2) унификацию используемых программных и технических средств;
      3) информационную безопасность, включая устранение возможности раскрытия информации;
      4) внедрение высокоэффективных технологий;
      5) гибкое и эффективное управление ресурсами;
      6) рост качества услуг.

      20. Организация и пользователи базы данных обеспечивают:
      1) контроль ввода данных;
      2) возможность вычисления параметров документов (номеров документов, кода связи, номера договора и другое);
      3) генерацию сводной информации;
      4) создание резервных копий, архивирование данных;
      5) использование информационных систем, имеющих штатные средства защиты, с контролем за правами доступа;
      6) наличие регламентированных процедур предоставления и получения электронных сообщений;
      7) возможность подготовки аналитических и статистических отчетов.

      21. Процесс разработки, внедрения и сопровождения информационных систем включает определение этапов разработки, порядка внесения изменений, приема, тестирования и ввода в промышленную эксплуатацию, требования к документированию всех этапов.

      22. Разработка, внедрение и сопровождение информационных систем Организацией выполняется в соответствии с действующими на территории Республики Казахстан стандартами и внутренними документами Организации.

      23. Разработка информационных систем выполняется Организацией на основании технического задания, утвержденного их первым руководителем.
      Организация обеспечивает возможность приема информации от поставщиков информации либо устанавливает соответствующие требования к используемому ими программному обеспечению. В случае самостоятельной разработки программного обеспечения пользователями базы данных оно согласуется с Организацией.

      24. В целях исключения несанкционированного изменения программного обеспечения и (или) данных информационной системы при необходимости внесения изменений (для устранения недостатков или доработки системы) в программное обеспечение, процесс внесения изменений осуществляются в соответствии с техническим заданием, стандартами, действующими на территории Республики Казахстан, и внутренними документами Организации.

  Глава 4. Условия обмена информацией между
Организацией и пользователями базы данных

      25. Обмен информацией между пользователями базы данных и Организацией осуществляется через специальную автоматизированную систему, соответствующую требованиям законодательства Республики Казахстан об информатизации и о техническом регулировании.

      26. Информация, предоставленная поставщиком информации, возвращается Организацией без ее использования в информационной системе формирования и использования страховых отчетов, в случае ее неправильного или неполного оформления, несоответствия данных поставщика информации, получателя страхового отчета, субъекта базы данных требованиям к используемой информационной системе.
      Сноска. Пункт 26 в редакции постановления Правления Национального Банка РК от 28.01.2016 № 12 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).
      26-1.Организация осуществляет обмен данными с поставщиками информации и получателями страхового отчета по выделенным каналам связи или через Интернет - ресурсы при условии:
      1) наличия основного канала, пропускной способностью не менее 10 (десяти) мегабит в секунду;
      2) наличия беспроводного резервного канала, пропускной способностью не менее 2 (двух) мегабит в секунду;
      3) использования каналов разных провайдеров;
      4) использования каналов исключительно для обмена информацией с поставщиками информации и получателями страховых отчетов.
      Сноска. Глава 4 дополнена пунктом 26-1 в соответствии с постановлением Правления Агентства РК по регулированию и надзору фин.рынка и фин.организаций от 27.12.2010 № 183(вводится в действие по истечении 14 календарных дней со дня его гос.рег-ции в МЮ РК).

  Глава 5. Формирование системы безопасности

      27. Информационная система формирования и использования страховых отчетов обеспечивает:
      1) конфиденциальность информации - защиту от раскрытия информации в ходе ее хранения, обработки или при передаче по коммуникационным каналам;
      2) сохранность информации - защиту от повреждений, целостность и защищенность от несанкционированного изменения, дополнения, копирования или удаления в ходе ее хранения, обработки или при передаче по коммуникационным каналам;
      3) доступность - защиту от использования одним пользователем данных и иных ресурсов информационной системы, предназначенных для совместного использования, перехвата информационных сообщений и (или) данных с последующей их задержкой, а также от перехвата информационных сообщений и (или) данных с последующей их задержкой.

      28. Базовым компонентом обязательных мер по обеспечению безопасности информационной системы формирования и использования страховых отчетов является применение комплексного подхода к созданию системы информационной безопасности.

      29. Комплексный подход к созданию системы информационной безопасности включает анализ и оценку рисков, в том числе по техническим каналам утечки информации, учет характера и важности защищаемой информации, контроль за обеспечением безопасности технологии обработки электронных документов.

      30. Организация и пользователи базы данных проводят действия по оперативному выявлению подозрительных действий в реальном режиме времени и включающие мероприятия, направленные на установление:
      1) нетипичного поведения (пользователей, программ или аппаратуры);
      2) начала активности несанкционированных вторжений или использования зловредного программного обеспечения.

      31. Основными направлениями, обеспечивающими комплексный подход к информационной безопасности на программно-техническом уровне являются:
      1) контур безопасности;
      2) внутрикорпоративная безопасность;
      3) управление корпоративной безопасностью.

      32. Контур безопасности предназначен для обеспечения защиты информационной системы формирования и использования страховых отчетов (далее - Контур безопасности). Контур безопасности реализует защиту центрального и дополнительных офисов (филиалов, представительств, удаленных офисов), информационных потоков между ними, а также информационных ресурсов, хранящихся на серверах и рабочих станциях внешних соединений информационной системы с другими сетями.

      33. Процедуры безопасности Организации и пользователей базы данных предназначены для контроля несанкционированных вторжений и антивирусной защиты, обеспечения их внутренней информационной безопасности и предполагают необходимость построения и поддержания системы, обеспечивающей разделение пользователей на группы в соответствии с их статусом и правами, а также разделение ресурсов по уровню их конфиденциальности.
      Сноска. Пункт 33 с изменением, внесенным постановлением Правления Агентства РК по регулированию и надзору финансового рынка и финансовых организаций от 03.09.2010 № 137 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      34. Управление корпоративной безопасностью, в рамках комплексной системы безопасности Организации и пользователей базы данных обеспечивается постоянным контролем за выполнением общих требований политики информационной безопасности, оперативным внесением в нее корректировок и повышения ее уровня.

      35. Повышение уровня безопасности предусматривает:
      1) определение политики информационной безопасности;
      2) установление границ, в которых предполагается поддерживать режим информационной безопасности;
      3) проведение оценки рисков;
      4) выбор мер противодействия и управления рисками;
      5) выбор средств и управления, обеспечивающих режим информационной безопасности.

      36. Политика информационной безопасности содержит описание состава используемой информационной системы, список пользователей, их права (в зависимости от их служебного положения и характера выполняемых функций) на доступ к информации, программным и техническим средствам и определяет:
      1) общие направления работы в области информационной безопасности;
      2) цель и задачи защиты информационной системы;
      3) основные принципы и способы достижения необходимого уровня безопасности;
      4) определение должностных лиц, ответственных за разработку необходимых требований, определяющих политику информационной безопасности;
      5) определение подразделений, ответственных за создание и поддержание работоспособности информационных систем и системы их защиты;
      6) меры, предотвращающие нарушения режима безопасности информационных систем в случае возникновения обстоятельств непреодолимой силы, к которым относятся стихийные бедствия, аварии, пожары, отключение электроэнергии, повреждение линий связи, массовые беспорядки, забастовки, военные действия.

      37. Организация и пользователи базы данных обеспечивают:
      1) соответствие используемых управленческих решений, технологий, подходов и конкретных программно-аппаратных средств действующему законодательству Республики Казахстан;
      2) принятие внутренних документов об организации безопасности информационной системы.

      38. Процедурный уровень защиты информации включает мероприятия по обеспечению безопасности, предпринимаемые Организацией и пользователями базы данных по следующим направлениям:
      1) управление персоналом;
      2) физическая защита;
      3) реагирование на нарушения режима безопасности;
      4) планирование восстановительных работ.

      39. Алгоритмы, используемые для защиты информации при аутентификации пользователей и передаче данных, сертифицируются в Республике Казахстан в соответствии с требованиями государственного стандарта Республики Казахстан СТ РК 1073-2007 «Средства криптографической защиты информации. Общие технические требования».
      Сноска. Пункт 39 в редакции постановления Правления Национального Банка РК от 30.05.2016 № 127 (вводится в действие по истечении десяти календарных дней после дня его первого официального).

      40. План защиты информации включает следующие меры:
      1) организационные;
      2) программно-технические.
 

      41. К организационным мерам обеспечения безопасности относятся:
      1) физическая защита информационных систем;
      2) поддержание работоспособности информационных систем, имеющих отношение к информационной безопасности;
      3) установление каждому пользователю соответствующего права доступа, необходимого для выполнения им возложенных должностных обязанностей и обеспечения взаимозаменяемости;
      4) планирование восстановительных работ.
 

      42. Физическая защита подразделяется на:
      1) физическое управление доступом;
      2) меры противопожарной безопасности;
      3) защита поддерживающей инфраструктуры;
      4) защита от перехвата данных, защита мобильных систем.
 

      43. Мероприятия по поддержанию работоспособности информационных систем подразделяются на:
      1) поддержку пользователей - предоставление консультаций по вопросам информационной безопасности, выявление их типичных ошибок и обеспечение памятками с рекомендациями для распространенных ситуаций;
      2) поддержку программного обеспечения - контроль лицензионной (сертифицированной) чистоты программного обеспечения;
      3) конфигурационное управление - контроль и фиксирование изменений, вносимых в программную и техническую конфигурацию;
      4) резервное копирование для восстановления информационной системы и данных в случае аварии и других обстоятельств непреодолимой силы;
      5) управление носителями данных - порядок учета, обращения и хранения;
      6) документирование - актуальное отражение текущего состояния дел.
 

      44. В случае нарушения режима безопасности информационных систем ответственные лица, администратор осуществляют:
      1) выполнение оперативных мероприятий с целью уменьшения наносимого вреда;
      2) анализ и оценку имеющихся сведений о нарушениях - изучение инцидента, выявление повторных нарушений, разработка мер по усовершенствованию системы защиты.
 

      45. Резервное копирование и восстановление после потери работоспособности информационной системы определяются требованиями, установленными в Организации и у пользователей базы данных.

Глава 6. Минимальные требования к электронному оборудованию,
сохранности базы данных и помещениям

      46. Программное обеспечение пользователя устанавливается на специально выделенном персональном компьютере, имеющем паспорт - описание рабочего места с подробными данными по его месторасположению, конфигурации, а также аппаратным и программным средствам, установленным на нем.
 

      47. Не допускается эксплуатация персонального компьютера пользователя и установка на нем программных средств, не связанных с целями подготовки, обработки, передачи или ведения электронных документов в рамках участия в информационной системе формирования и использования страховых отчетов.
 

      48. Персональный компьютер пользователя оснащается комплексом защиты, включающим в себя средства идентификации и аутентификации пользователей, возможность ведения электронных журналов в течение срока хранения электронных документов, с целью контроля деятельности, связанной с доступом к компьютеру и действиями пользователей.
      Сноска. Пункт 48 в редакции постановления Правления Национального Банка РК от 28.01.2016 № 12 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      49. Одному системному имени пользователя, по которому идентифицируется пользователь, при входе в информационные системы должно соответствовать одно физическое лицо.  

      50. Паспорт - описание рабочего места оформляется за подписью руководителей Организации и пользователя и хранится у ответственного лица.  

      51. Персональный компьютер пользователя оснащается средством обеспечения целостности программного обеспечения.
      Сноска. Пункт 51 в редакции постановления Правления Национального Банка РК от 28.01.2016 № 12 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      52. Системный блок персонального компьютера пользователя опечатывается либо пломбируется ответственным лицом. В случае необходимости, допуск к системному блоку осуществляется в присутствии ответственного лица. По окончании работ системный блок опечатывается либо пломбируется ответственным лицом.  

      53. Порядок доступа к ресурсам (дисковое пространство, директории, сетевые ресурсы, базы данных и другие), выделенным для накопления в них информации для передачи в информационную среду с использованием системы защиты, получения информации из информационной среды, хранения, архивирования либо другой обработки информации, исключает возможность несанкционированного доступа к этим ресурсам.
      Сноска. Пункт 53 в редакции постановления Правления Национального Банка РК от 28.01.2016 № 12 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      54. Проведение и контроль работ по криптографической защите ведется ответственным лицом, который выполняет:
      1) учет, хранение и сопровождение программных средств криптографической защиты;
      2) генерацию криптографических ключей, получение, учет, хранение и выдачу информационных носителей, содержащих ключи;
      3) ведение списка владельцев криптографических ключей;
      4) обеспечение владельцев криптографических ключей необходимыми инструкциями.  

      55. Рабочее место пользователя размещается в отдельном помещении.  
      Сноска. Пункт 55 с изменениями, внесенными постановлением Правления Агентства РК по регулированию и надзору фин.рынка и фин.организаций от 27.12.2010 № 183(вводится в действие по истечении 14 календарных дней со дня его гос.рег-ции в МЮ РК).

      56. Месторасположение, в котором находится рабочее место пользователя, имеющего доступ к страховым отчетам ограниченного доступа, и средства охраны помещения должны исключать возможность неконтролируемого проникновения в это помещение лиц, не допущенных к рабочему месту пользователя.  
      Сноска. Пункт 56 с изменениями, внесенными постановлением Правления Агентства РК по регулированию и надзору фин.рынка и фин.организаций от 27.12.2010 № 183(вводится в действие по истечении 14 календарных дней со дня его гос.рег-ции в МЮ РК).

      57. Техническое помещение Организации должно находиться в охраняемой зоне, иметь кодовые замки и средства регистрации доступа.
      При расположении помещения Организации на первых или последних этажах зданий, а также при наличии рядом с окнами балконов, пожарных лестниц, окна помещений оборудуются металлическими решетками.  

      58. Средства технической защиты помещения Организации должны исключать возможность неконтролируемого проникновения в это помещение лиц. Допуск к работе в Организации осуществляется в соответствии с ее регламентом и должностными обязанностями работников.
      Сноска. Пункт 58 с изменениями, внесенными постановлением Правления Агентства РК по регулированию и надзору фин.рынка и фин.организаций от 27.12.2010 № 183(вводится в действие по истечении 14 календарных дней со дня его гос.рег-ции в МЮ РК).

Глава 7. Иные вопросы деятельности базы данных

      59. Внутренним актом Организации и пользователя определяется порядок работы с системой защиты, включающий:
      1) порядок назначения сотрудников, на которых возлагаются обязанности ответственного лица, администратора, оператора;
      2) режим работы;
      3) права и обязанности ответственного лица, администратора и оператора, включая их должностные инструкции;
      4) список сотрудников, допущенных к рабочему месту оператора.  

      60. Ответственные лица:
      1) обеспечивают обязательность процедуры идентификации и аутентификации для доступа к ресурсам информационных систем;
      2) не допускают получения права доступа к информационным ресурсам неавторизованными пользователями;
      3) контролируют регулярность выполнения резервного копирования информации, обрабатываемой информационной системой;
      4) проводят плановую и внеплановую проверку надежности защиты ресурсов системы;
      5) обеспечивают защиту информационных ресурсов, подключенных к глобальной сети Интернет, с помощью аппаратных межсетевых экранов "FireWall";
      6) принимают меры по отражению угрозы и выявлению нарушителей с помощью аппаратных средств, комбинирующих как систему обнаружения вторжений (IDS), так и систему предотвращения вторжений (IPS(IDPS));
      7) обеспечивают работоспособность средств защиты от утечки информации через съемные носители (гибкие диски, flash-карты, внешние накопители на жестких дисках и прочие);
      8) регулярно просматривают журнал событий, проводят анализ с записями, где были попытки несанкционированного доступа к информации;
      9) постоянно проводить антивирусную профилактическую работу.
      Сноска. Пункт 60 с изменениями, внесенными постановлением Правления Агентства РК по регулированию и надзору фин.рынка и фин.организаций от 27.12.2010 № 183(вводится в действие по истечении 14 календарных дней со дня его гос.рег-ции в МЮ РК).  

      61. Ответственное лицо, администратор, оператор дают письменное обязательство о неразглашении и нераспространении информации, ставшей им известной в процессе исполнения ими служебных обязанностей.  

      62. При увольнении работников пользователя (ответственного лица, администратора или оператора) производится внеплановая смена ключевой информации организации, о чем уведомляется Организация. Новая ключевая информация вводится в действие со дня их увольнения.  

      63. Исключен постановлением Правления Агентства РК по регулированию и надзору фин.рынка и фин.организаций от 27.12.2010 № 183(вводится в действие по истечении 14 календарных дней со дня его гос.рег-ции в МЮ РК).     

      64. Порядок хранения и использования внешних носителей с ключевой информацией исключает возможность несанкционированного доступа к ним.
      Сноска. Пункт 64 в редакции постановления Правления Национального Банка РК от 28.01.2016 № 12 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      65. При формировании и передаче электронного сообщения Организация и пользователь осуществляют защитные действия, в соответствии с установленным ими порядком использования программно-криптографической защиты и электронной цифровой подписи.  

      66. В случае нарушения порядка защитных действий или его разглашения, сторона, установившая данное нарушение, немедленно уведомляет об этом другую сторону и принимает меры к ликвидации последствий.  

      67. Исключен постановлением Правления Национального Банка РК от 28.01.2016 № 12 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

Глава 8. Заключительные положения

      Сноска. Глава 8 исключена постановлением Правления Национального Банка РК от 28.01.2016 № 12 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

Приложение         
к Требованиям к деятельности
организации по формированию и
ведению базы данных    

      Сноска. Инструкция дополнена приложением 1 в соответствии с постановлением Правления Агентства РК по регулированию и надзору финансового рынка и финансовых организаций от 03.09.2010 № 137 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования); в редакции постановления Правления Национального Банка РК от 28.01.2016 № 12 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

Форма           

                                Акт
            ввода системы управления базы данных в
                    промышленную эксплуатацию
     ________________________________________________________________
     (наименование Организации по формированию и ведению базы данных)

«____»_____________ 20___ года
          дата

     __________________________
         место составления

      В соответствии с пунктом 5 статьи 79 Закона Республики
Казахстан от 18 декабря 2000 года «О страховой деятельности» (далее -
Закон о страховой деятельности) создана комиссия в следующем составе:
      представители уполномоченного органа (указать должность,
фамилию, имя, отчество (при его наличии)):
_____________________________________________________________________
_____________________________________________________________________
_____________________________________________________________________
____________________________________________________________________,
      которая составила настоящий акт ввода системы управления базы
данных в промышленную эксплуатацию Организации по формированию и
ведению базы данных
_____________________________________________________________________
____________________________________________________________________.
                             (наименование)

      В работе комиссии участвуют представители Организации по
формированию и ведению базы данных (указать должность, фамилию, имя,
отчество (при его наличии)):
_____________________________________________________________________
_____________________________________________________________________
_____________________________________________________________________
      Сведения относительно заключенных договоров о предоставлении
информации с поставщиками информации, указанными в пункте 3 статьи 80
Закона о страховой деятельности:

Наименование поставщика информации

Номер договора и дата заключения

Результат тестирования

Пояснения к результату тестирования

1

Страховщики




1.1









2

Уполномоченный государственный орган, осуществляющий государственный контроль за субъектами базы данных




2.1









3

Иные лица




3.1









4

Всего (количество)




      Организация информационного процесса по формированию и выдаче
страховых отчетов:
      Описание системы управления базы данных:
_____________________________________________________________________
_____________________________________________________________________
_____________________________________________________________________
_____________________________________________________________________
      Результаты тестирования информационного процесса с поставщиками
информации, заключившими договор о представлении информации:
_____________________________________________________________________
_____________________________________________________________________
_____________________________________________________________________
_____________________________________________________________________
      Краткое содержание пояснений представителей Организации по
формированию и ведению базы данных:
_____________________________________________________________________
_____________________________________________________________________
_____________________________________________________________________
_____________________________________________________________________
      Комиссия проверила технические и иные документы, договоры о
предоставлении информации с поставщиками информации, указанными в
пункте 3 статьи 80 Закона о страховой деятельности, Организации по
формированию и ведению базы данных __________________________________
_____________________________________________________________________
_____________________________________________________________________
____________________________________________________________________,
                             (наименование)
      обследовала его системы управления базы данных и иных объектов,
предназначенных для организации информационного процесса по
формированию и выдаче страховых отчетов и установила, что данная
Организация по формированию и ведению базы данных
_____________________________________________________________________
_____________________________________________________________________
готова (не готова) к вводу системы управления базы данных в
промышленную эксплуатацию.
      Организацией по формированию и ведению базы данных предъявлены
следующие документы, касающиеся организации информационного процесса
по формированию и выдаче страховых отчетов, системы управления базы
данных и тестирования информационного процесса, которые приложены к
акту комиссии:
_____________________________________________________________________
_____________________________________________________________________
_____________________________________________________________________
____________________________________________________________________
      Акт составлен в двух экземплярах и по одному экземпляру
передан:
      уполномоченному органу;
      Организации по формированию и ведению базы данных.
      Члены комиссии (фамилия, имя, отчество (при его наличии),
подпись и дата подписания):
_____________________________________________________________________
_____________________________________________________________________
_____________________________________________________________________
____________________________________________________________________
      Представители Организации по формированию и ведению базы данных
(фамилия, имя, отчество (при его наличии), подпись и дата
подписания):
_____________________________________________________________________
_____________________________________________________________________
_____________________________________________________________________
____________________________________________________________________
      Руководитель Организации по формированию и ведению базы данных
(фамилия, имя, отчество (при его наличии), подпись и дата
подписания):
_____________________________________________________________________
_____________________________________________________________________
_____________________________________________________________________
_____________________________________________________________________

Приложение 2         
к Инструкции по формированию 
и ведению базы данных    

АКТ
о соответствии Организации, поставщика информации, указанного
в подпункте 1) пункта 3 статьи 80 Закона о страховой деятельности, предъявляемым требованиям для начала своей деятельности на рынке информационных услуг и выполнении им организационно-технических, технологических и иных условий по защите программного обеспечения, формированию информационных систем и информационных ресурсов
              ________  ____________________
                дата      место составления

      Сноска. Приложение 2 с изменениями, внесенными постановлениями Правления Агентства РК по регулированию и надзору финансового рынка и финансовых организаций от 03.09.2010 № 137 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования); от 27.12.2010 № 183(вводится в действие по истечении 14 календарных дней со дня его гос.рег-ции в МЮ РК).  

      Настоящий акт о готовности Организации, поставщика информации,
указанного в подпункте 1) пункта 3 статьи 80 Закона о страховой
деятельности, к началу своей деятельности на рынке информационных услуг и выполнении им организационно-технических мер, технологических требований по защите программного обеспечения, соблюдения требований при формировании и эксплуатации информационных систем, используемых для формирования электронной базы данных страховых отчетов и средств ее защиты составлен комиссией в следующем составе:
      1) представители уполномоченного органа:
_____________________________________________________________________
_____________________________________________________________________
_____________________________________________________________________
_____________________________________________________________________

      2) представители Организации, поставщика информации, указанного
в подпункте 1) пункта 3 статьи 80 Закона о страховой
деятельности:
_____________________________________________________________________
_____________________________________________________________________
_____________________________________________________________________
____________________________________________________________________

Описание обследованных объектов и изученных комиссией документов:
_____________________________________________________________________
_____________________________________________________________________
_____________________________________________________________________

      Краткое содержание пояснений представителей Организации,
поставщика информации, указанного в подпункте 1) пункта 3 статьи 80
Закона о страховой деятельности, и иных присутствовавших лиц:
_____________________________________________________________________
_____________________________________________________________________
_____________________________________________________________________
_____________________________________________________________________

      Проверкой комиссией технических и иных документов Организации,
поставщика информации, указанного в подпункте 1) пункта 3 статьи 80
Закона о страховой деятельности,______________________________, обследованием его технических помещений, электронно-компьютерного оборудования, систем связи и защитных устройств и иных объектов, предназначенных для работы в системе формирования электронной базы данных страховых отчетов установлено
_____________________________________________________________________
           (соответствуют/не соответствуют предъявляемым
    требованиям и достаточны/недостаточны для начала продолжения
      деятельности организации на рынке информационных услуг).

      Организацией или поставщиком информации, указанного в
подпункте 1) пункта 3 статьи 80 Закона о страховой деятельности, предъявлена техническая документация и иные документы, которые приложены к акту комиссии.
      Акт составлен в двух экземплярах и по одному экземпляру
передан:
      уполномоченному органу;
      Организации или поставщику информации, указанному в подпункте
1) пункта 3 статьи 80 Закона о страховой деятельности.

      Члены комиссии:
_____________________________________________________________________
_____________________________________________________________________
_____________________________________________________________________

      Представитель проверяемой организации:
_____________________________________________________________________
_____________________________________________________________________
_____________________________________________________________________