В целях реализации Закона Республики Казахстан от 5 июля 2012 года «О внесении изменений и дополнений в некоторые законодательные акты Республики Казахстан по вопросам организации деятельности Национального Банка Республики Казахстан, регулирования финансового рынка и финансовых организаций» Правление Национального Банка Республики Казахстан ПОСТАНОВЛЯЕТ:
1. Утвердить прилагаемые Требования к организационным мерам и программно-техническим средствам, обеспечивающим доступ банкам и организациям, осуществляющим отдельные виды банковских операций, в платежные системы.
2. Признать утратившим силу постановление Правления Национального Банка Республики Казахстан от 28 ноября 2008 года № 95 «Об утверждении Инструкции о требованиях к организационным мерам и программно-техническим средствам, обеспечивающим доступ банков и организаций, осуществляющих отдельные виды банковских операций, в платежные системы Республиканского государственного предприятия на праве хозяйственного ведения «Казахстанский центр межбанковских расчетов Национального Банка Республики Казахстан» (зарегистрированное в Реестре государственной регистрации нормативных правовых актов под № 5411, опубликованное 6 февраля 2009 года в газете «Юридическая газета» № 19 (1616).
3. Настоящее постановление вводится в действие по истечении шести месяцев после его первого официального опубликования.
4. Приостановить до 1 января 2014 года действие пункта 2 прилагаемых Требований к организационным мерам и программно-техническим средствам, обеспечивающим доступ банкам и организациям, осуществляющим отдельные виды банковских операций, в платежные системы, установив, что в период приостановления данный пункт действует в следующей редакции:
«2. Требования распространяют свое действие на всех пользователей платежной системы, за исключением Национального Банка Республики Казахстан».
Председатель
Национального Банка Г. Марченко
Утверждена
постановлением Правления
Национального Банка
Республики Казахстан
от 24 августа 2012 года № 269
Требования к организационным мерам и программно-техническим
средствам, обеспечивающим доступ банкам и организациям,
осуществляющим отдельные виды банковских операций, в платежные системы
1. Общие положения
1. Требования к организационным мерам и программно-техническим средствам, обеспечивающим доступ банкам и организациям, осуществляющим отдельные виды банковских операций, в платежные системы (далее - Требования) разработаны в соответствии с Законом Республики Казахстан от 30 марта 1995 года «О Национальном Банке Республики Казахстан» (далее – Закон о Национальном Банке) и устанавливают требования к организационным мерам и программно-техническим средствам, обеспечивающим доступ банкам и организациям, осуществляющим отдельные виды банковских операций, в платежные системы Республиканского государственного предприятия на праве хозяйственного ведения «Казахстанский центр межбанковских расчетов Национального Банка Республики Казахстан» (далее - платежная система).
2. Требования распространяют свое действие на всех пользователей платежной системы.
3. В Требованиях используются следующие понятия:
1) аутентификация - комплекс мер для подтверждения подлинности участия Республиканского государственного предприятия на праве хозяйственного ведения «Казахстанский центр межбанковских расчетов Национального Банка Республики Казахстан» (далее - Центр) и пользователей платежной системы при обмене сообщениями платежной системы, а также для подтверждения подлинности таких сообщений;
2) средства контроля доступа - технические, программные или другие средства, позволяющие фиксировать информацию о доступе к объектам;
3) ключевая информация - криптографические ключи или другая информация, позволяющая осуществлять криптографические преобразования информации;
4) несанкционированный доступ - доступ к информационным и программным ресурсам, с нарушением установленного пользователем платежной системы порядка доступа к ним;
5) программно-аппаратный комплекс защиты от несанкционированного доступа - система защиты персонального компьютера от использования посторонними лицами, а также для разграничения полномочий зарегистрированных пользователей по доступу к информационным и программным ресурсам;
6) информационная система пользователя платежной системы - программное обеспечение пользователя платежной системы, используемое для формирования или преобразования электронных документов, предназначенных для дальнейшего направления в платежную систему посредством терминала платежной системы;
7) рабочее место пользователя платежной системы - персональный компьютер (сервер), на котором установлен терминал платежной системы;
8) приложение терминала платежной системы – специальное программное обеспечение, предназначенное для удаленной работы с терминалом платежной системы;
9) подразделение безопасности пользователя платежной системы - структурное подразделение пользователя платежной системы, обеспечивающее безопасность и защиту информационных и программных ресурсов пользователя платежной системы;
10) пользователь платежной системы – юридические лица, заключившие договор с Центром о предоставлении услуг в платежной системе, и Центр;
11) терминал платежной системы - специальное программное обеспечение, обеспечивающее доступ в платежную систему, установленное у пользователей платежной системы.
4. Форматы передачи информации, применяемые в платежной системе, устанавливаются Центром.
2. Размещение рабочего места пользователя платежной системы
5. Рабочее место пользователя платежной системы размещается в помещении с ограниченным допуском (далее - Помещение). Не допускается размещение в Помещении иных рабочих мест, не предназначенных для работы с платежной системой, за исключением рабочих мест работников, выполняющих функции операторов рабочего места пользователя платежной системы.
6. Помещение оборудуется металлическими входными дверьми, на которые устанавливаются механические замки.
7. Двери Помещения оборудуются средствами контроля доступа для осуществления мониторинга событий доступа в Помещение в режиме реального времени и записи событий доступа в Помещение в электронном журнале с возможностью получения отчета о событиях доступа в Помещение. Архив событий электронного журнала хранится пользователем платежной системы не менее шести месяцев.
8. Рабочее место пользователя платежной системы обеспечивается средствами защиты информации от утечки по электромагнитным каналам или жидкокристаллическим монитором с подключением его по цифровому интерфейсу.
9. При расположении Помещения на первых и последних этажах зданий, а также при наличии рядом с окнами балконов, пожарных лестниц, прилегающих крыш иных строений, окна Помещения оборудуются металлическими решетками или аналогичными средствами защиты, предназначенными для предотвращения физического проникновения в Помещение путем разбития оконных стекол.
10. Двери и окна Помещения оборудуются исправной охранной сигнализацией.
11. За входом в Помещение, а также за рабочим местом пользователя платежной системы устанавливается видеонаблюдение в режиме реального времени с возможностью записи видеосигналов. Архив записи видеосигналов хранится не менее периода контроля целостности печатей или пломб на системном блоке рабочего места пользователя платежной системы, установленного внутренними документами пользователя платежной системы.
12. При создании рабочего места пользователя платежной системы, получившего доступ в платежную систему, или переносе рабочего места пользователя платежной системы на новое место пользователь платежной системы в течение десяти рабочих дней с момента эксплуатации рабочего места пользователя платежной системы уведомляет об этом Национальный Банк Республики Казахстан (далее – Национальный Банк).
3. Взаимодействие пользователя платежной системы и Центра
13. Аутентификация пользователя платежной системы и Центра осуществляется путем двухстороннего обмена информацией с использованием средств криптографической защиты.
14. При возникновении ошибки в процессе аутентификации в платежной системе выдается сообщение об ошибке и связь разрывается.
15. Рабочее место пользователя платежной системы содержит средства, необходимые для обеспечения соединения по протоколу TCP/IP с прикладными серверами Центра, обеспечивающими работоспособность пользователя платежной системы.
16. Договор, заключаемый между пользователем платежной системы и юридическим лицом, обеспечивающим используемый для взаимодействия с платежной системой канал передачи данных, предусматривает ответственность при сбоях в работе такого канала передачи данных.
17. Пользователь платежной системы имеет резервный канал передачи данных с платежной системой. Основной канал передачи данных подключается к основному серверу платежной системы, а резервный канал передачи данных - к резервному серверу платежной системы.
4. Терминал платежной системы
18. Терминал платежной системы осуществляет прием и передачу сообщений платежной системы и является обязательным для использования пользователем платежной системы.
19. Терминал платежной системы обрабатывает сообщения платежной системы в соответствии с форматами передачи информации, применяемыми в платежной системе.
20. Терминал платежной системы выполняет следующие функции:
1) аутентификация пользователя платежной системы и Центра;
2) обеспечение конфиденциальности и аутентификации передаваемых и получаемых сообщений;
3) передача и прием сообщений от пользователя платежной системы к Центру и от Центра к пользователю платежной системы;
4) проверка целостности полученных сообщений платежной системы;
5) проверка целостности терминала платежной системы;
6) применение ключевой информации;
7) формирование и проверка электронной цифровой подписи сообщений;
8) проверка принадлежности электронной цифровой подписи сообщения пользователю платежной системы или Центру.
21. Терминал платежной системы обеспечивает ведение электронных журналов, в которых регистрируются следующие ключевые события и действия операторов и администраторов рабочего места пользователя платежной системы:
1) время и дата открытия и закрытия терминала платежной системы;
2) время и дата соединения с Центром и отсоединения от Центра;
3) время начала и время завершения действий операторов и администраторов платежной системы над сообщениями платежной системы, описание совершенных действий.
22. Доступ операторов и администраторов рабочего места пользователя платежной системы к терминалу платежной системы либо к его приложению обеспечивается только после успешного выполнения процедур идентификации и аутентификации.
23. Эксплуатация терминала платежной системы осуществляется с использованием технических средств, которые обеспечивают надежную и бесперебойную работу терминала платежной системы и соответствуют требованиям, указанным в документации к терминалу платежной системы.
24. Терминал платежной системы либо его приложение устанавливается на специально выделенном для этих целей персональном компьютере (сервере), имеющем инвентарный номер учета и паспорт с подробными данными по конфигурации, аппаратным и программным средствам, установленным на нем.
25. Администрирование терминала платежной системы или его приложения осуществляется непосредственно с рабочего места пользователя платежной системы и в присутствии офицера безопасности рабочего места пользователя платежной системы.
26. В случае выявления некорректной работы терминала платежной системы, при которой может быть нанесен ущерб пользователям платежной системы или Центру, последний закрывает доступ этому терминалу платежной системы в платежную систему с одновременным извещением пользователя платежной системы и указанием соответствующих причин.
27. Обязательным условием подключения пользователя платежной системы к платежной системе является использование средства криптографической защиты информации «ТУМАР», которое обеспечивает:
1) механизм формирования и проверки электронной цифровой подписи;
2) конфиденциальность информации (шифрование данных);
3) целостность передаваемой информации (имитационная защита данных);
4) целостность хранимой информации и программного обеспечения (хэширование данных).
5. Ключевая информация
28. Ключевая информация находится на внешнем носителе. Доступ к ключевой информации предоставляется только операторам рабочего места пользователя платежной системы.
29. Ключевая информация загружается в терминал платежной системы только с внешнего носителя. Наличие несанкционированных копий ключевой информации, в том числе на жестком диске рабочего места пользователя платежной системы, не допускается.
30. Порядок хранения и использования внешних носителей с ключевой информацией исключает возможность несанкционированного доступа к ним.
31. Лица, имеющие доступ к ключевой информации, обеспечивают сохранность и неразглашение информации, полученной в результате работы с платежной системой.
32. Плановая смена ключевой информации осуществляется не реже одного раза в год.
33. Для хранения внешних носителей с ключевой информацией в помещении работников, ответственных за хранение внешних носителей с ключевой информацией, устанавливаются сейфы, оборудованные запирающими устройствами. При неиспользовании ключевой информации внешние носители с ключевой информацией находятся в сейфах.
34. В случаях увольнения работников, имевших доступ к ключевой информации, или выявления попытки несанкционированного доступа к ключевой информации производится внеплановая смена ключевой информации. Новая ключевая информация вводится в действие не позднее дня увольнения работника, имеющего доступ к ключевой информации, либо не позднее дня выявления попытки несанкционированного доступа к ключевой информации.
35. Процедуры по хранению и уходу за внешними носителями с ключевой информацией осуществляются в соответствии с рекомендациями изготовителя.
36. Устаревшая ключевая информация хранится пользователем платежной системы в течение срока хранения электронных документов, подписанных или зашифрованных с использованием этой ключевой информации.
37. Пользователю платежной системы не допускается:
1) снимать несанкционированные копии ключевой информации;
2) знакомить с содержанием внешних носителей с ключевой информацией или передавать их лицам, не имеющим к ним доступ;
3) выводить ключевую информацию на дисплей или принтер;
4) использовать внешний носитель с ключевой информацией в режимах, не предусмотренных условиями функционирования, установленными его производителем;
5) записывать на внешний носитель с ключевой информацией постороннюю информацию;
6) использовать чужую ключевую информацию.
6. Требования к рабочему месту пользователя платежной системы
38. На рабочем месте пользователя платежной системы устанавливается программно-аппаратный комплекс защиты от несанкционированного доступа, включающий в себя средства опознавания пользователя, возможность ведения электронных журналов в течение срока хранения электронных документов платежной системы с целью контроля событий, связанных с доступом к рабочему месту пользователя платежной системы и действиями пользователей.
39. На рабочее место пользователя платежной системы устанавливаются средства обнаружения вредоносных программного кода и/или программы. В случае выявления факта заражения данная информация немедленно сообщается в подразделение безопасности пользователя платежной системы.
40. Установка на рабочем месте пользователя платежной системы аппаратных и программных средств, не предусмотренных Требованиями и не предназначенных для решения задач по подготовке, обработке, передаче или ведения электронных документов в рамках платежной системы, не допускается.
41. Одному системному имени пользователя, по которому идентифицируется пользователь на входе в информационные системы пользователя платежной системы, соответствует одно физическое лицо.
42. Системный блок рабочего места пользователя платежной системы опечатывается или опломбируется с указанием на стикере или пломбе даты последнего опечатывания или опломбирования и инвентарного номера учета персонального компьютера.
43. Порядок хранения и использования технических средств, паролей или другой информации, обеспечивающих доступ к рабочему месту пользователя платежной системы, исключает возможность их несанкционированного использования.
44. Права по установлению и изменению настроек средств защиты от несанкционированного доступа рабочего места пользователя платежной системы предоставляются только работникам, выполняющим функции офицера безопасности рабочего места пользователя платежной системы.
45. Порядок доступа к ресурсам (дисковое пространство, директории, сетевые ресурсы, базы данных), выделенным для накопления в них информации для передачи в платежную систему, получения информации из платежной системы, хранения, архивирования либо другой обработки информации, исключает возможность доступа к этим ресурсам лиц, не допущенных к работе с ними.
46. Порядок доступа к рабочему месту пользователя платежной системы посредством сети и иных технических каналов передачи данных исключает возможность несанкционированного доступа.
47. Рабочее место пользователя платежной системы оснащается техническими средствами бесперебойного электропитания, позволяющего осуществлять работу персонального компьютера при отсутствии напряжения в электросети в течение времени, необходимого для корректного завершения работы в системе, но не менее 30 (тридцати) минут.
48. В случае внесения изменений в программное обеспечение, посредством которого осуществляется связь между пользователем платежной системы и Центром, в программно-аппаратный комплекс защиты от несанкционированного доступа рабочего места пользователя платежной системы, а также в технологию передачи электронных документов, подготовленных в информационной системе пользователя платежной системы, на рабочее место пользователя платежной системы, пользователь платежной системы в течение десяти рабочих дней со дня эксплуатации уведомляет об этом Национальный Банк.
7. Организация работ обслуживающего персонала
49. Лица, допущенные к работе с платежной системой, подразделяются на следующие категории:
1) администратор рабочего места пользователя платежной системы - лицо, непосредственно осуществляющее администрирование терминала платежной системы;
2) оператор рабочего места пользователя платежной системы - лицо, непосредственно осуществляющее подготовку, передачу и прием сообщений платежной системы с использованием собственных открытых и закрытых ключей, а также выработку и регистрацию ключей в Центре в присутствии офицера безопасности рабочего места пользователя платежной системы;
3) офицер безопасности рабочего места пользователя платежной системы - лицо, обеспечивающее установку и функционирование на рабочем месте пользователя платежной системы программно-аппаратного комплекса защиты информации от несанкционированного доступа, средств защиты информации от утечки по электромагнитным каналам, а также осуществляющее контроль за их работоспособностью и за выполнением требований безопасности.
50. В случае наличия возможности создания платежных сообщений в формате МТ 100 и (или) МТ 102 посредством терминала платежной системы либо его приложения при организации работ обслуживающего персонала не допускается совмещение в одном лице категорий или отдельных функций из разных категорий лиц, указанных в пункте 49 Требований.
51. Пользователь платежной системы осуществляет ведение следующих внутренних журналов регистрации:
1) журнал посещений Помещения лицами, допускаемыми к рабочему месту пользователя платежной системы в случае необходимости устранения причин ненадлежащего функционирования рабочего места пользователя платежной системы и в других случаях, предусмотренных внутренними документами пользователя платежной системы (далее - особые случаи), и не допущенными к рабочему месту пользователя платежной системы, с указанием цели посещения;
2) журнал использования ключевой информации.
52. Журналы регистрации, указанные в пункте 51 Требований, ведутся в произвольной форме, пронумеровываются, прошнуровываются и скрепляются печатью пользователя платежной системы. Ошибочные записи в журналах регистрации подлежат корректировке и заверяются подписью ответственного лица пользователя платежной системы.
53. Журналы регистрации, указанные в пункте 51 Требований, хранятся пользователем платежной системы не менее одного года с момента внесения последней записи.
54. Внутренними документами пользователя платежной системы определяются:
1) режим работы с платежной системой с указанием времени работы и перерывов, порядка работы в вечернее время, в выходные и праздничные дни, а также в случае продления операционного дня платежной системы;
2) список работников, допущенных к рабочему месту пользователя платежной системы, с указанием занимаемых должностей и выполняемых функций;
3) список работников, имеющих доступ к внешним носителям с ключевой информацией, с указанием занимаемых должностей;
4) список работников, выполняющих функции офицеров безопасности, администраторов и операторов рабочего места пользователя платежной системы, с указанием занимаемых должностей;
5) список работников, осуществляющих архивирование и хранение электронных документов, переданных в платежную систему, и полученных из платежной системы, с указанием занимаемых должностей;
6) список работников, осуществляющих пломбирование и дальнейший контроль целостности печатей или пломб на системном блоке рабочего места пользователя платежной системы, с указанием занимаемых должностей;
7) список работников, имеющих доступ к ресурсам, указанным в пункте 45 Требований, с указанием уровня доступа и выполняемых функций;
8) список работников и ресурсов, имеющих доступ к рабочему месту пользователя платежной системы посредством сети и иных технических каналов передачи данных, с указанием целей предоставления доступа;
9) порядок и процедуры контроля доступа в Помещение с определением работника, ответственного за допуск, и указанием порядка временного доступа в Помещение лиц, не допущенных к рабочему месту пользователя платежной системы и допущенных к рабочему месту пользователя платежной системы в особых случаях, а также действий при обнаружении вскрытия входных дверей и окон Помещения;
10) порядок архивирования и дальнейшего хранения электронных документов, переданных в платежную систему и полученных из платежной системы, с указанием условий, сроков и места их хранения, а также порядка доступа к этим архивам;
11) порядок пломбирования и дальнейшего контроля целостности печатей или пломб на системном блоке рабочего места пользователя платежной системы с указанием периодичности такого контроля и действий при обнаружении нарушения целостности печати или пломбы;
12) порядок фиксирования в журнале регистрации полной информации (дата, время, фамилия, роспись) об осуществлении пломбирования и контроля целостности печатей или пломб на системном блоке рабочего места пользователя платежной системы с определением работника, ответственного за его ведение;
13) функции и полномочия работников, допущенных к рабочему месту пользователя платежной системы;
14) порядок отпусков, увольнения и замещения, в случае временного отсутствия работников, допущенных к рабочему месту пользователя платежной системы;
15) порядок фиксирования в журнале регистрации полной информации (дата, время, фамилия, должность, цель посещения, роспись) обо всех посещениях Помещения лицами, допускаемыми к рабочему месту пользователя платежной системы в особых случаях, и лицами, не допущенными к рабочему месту пользователя платежной системы, с определением работника, ответственного за его ведение;
16) порядок хранения внешних носителей с ключевой информацией с определением работников, ответственных за их хранение с указанием условий и места хранения;
17) порядок хранения устаревшей ключевой информации с определением работников, ответственных за ее хранение, с указанием условий, сроков и места хранения;
18) порядок фиксирования в журнале регистрации полной информации (дата, время, фамилия, роспись) о факте и продолжительности использования ключевой информации и о замене ключевой информации с определением работника, ответственного за его ведение;
19) порядок хранения и использования технических средств, паролей или другой информации, обеспечивающих доступ к рабочему месту пользователя платежной системы, с указанием условий и мест хранения, процедур доступа к ним и сроков смены;
20) порядок передачи электронных документов, подготовленных в информационной системе пользователя платежной системы, на рабочее место пользователя платежной системы;
21) порядок работы с программно-аппаратным комплексом защиты от несанкционированного доступа и средствами обеспечения целостности программного обеспечения, установленными на рабочем месте пользователя платежных систем;
22) порядок и процедуры работы с терминалом платежной системы;
23) порядок работы с основным и резервным каналами передачи данных с указанием случаев и процедур перехода с одного канала на другой.
55. В списках работников, предусмотренных подпунктами 2) - 8) пункта 54 Требований, указываются фамилии и инициалы включенных в список работников.
56. С работников, допущенных к работе в платежной системе, пользователь платежных систем получает специальное обязательство о неразглашении и нераспространении технических средств, паролей или другой информации, обеспечивающих доступ к рабочему месту пользователя платежной системы, а также конфиденциальной и ключевой информации.
57. При необходимости решения текущих и оперативных вопросов в части безопасности оператор и офицер безопасности рабочего места пользователя платежной системы взаимодействуют с подразделением безопасности пользователя платежной системы.
8. Заключительные положения
58. В случае наличия у пользователя платежной системы резервного рабочего места пользователя платежной системы, условия и требования, установленные Требованиями, также распространяются и на такое рабочее место.
59. Национальный Банк в течение десяти календарных дней со дня получения уведомления, предусмотренного пунктами 12 или 48 Требований, принимает решение о необходимости/отсутствии необходимости проведения проверки пользователя платежной системы.
При принятии решения о необходимости проведения проверки пользователя платежной системы Национальный Банк в течение двух месяцев со дня принятия указанного решения осуществляет проверку в порядке, установленном Законом о Национальном Банке.