10.10.2013 ж. № 8801 Қазақстан Республикасының Әділет министрлігінде тіркелген
|
Қазақстан Республикасының
Ұлттық Банкі
|
|
Национальный Банк
Республики Казахстан
|
_______________________________________________________________________________
|
БАСҚАРМАСЫНЫҢ
ҚАУЛЫСЫ
|
|
ПОСТАНОВЛЕНИЕ
ПРАВЛЕНИЯ
|
2013 жылғы 27 тамыздағы
|
№218
|
Алматы қ.
|
г. Алматы
|
Зейнетақы активтері мен жинақтарын есепке алуға арналған автоматтандырылған ақпараттық жүйелерге қойылатын талаптарды бекіту туралы
«Қазақстан Республикасында зейнетақымен қамсыздандыру туралы»
2013 жылғы 21 маусымдағы Қазақстан Республикасының Заңына сәйкес Қазақстан Республикасы Ұлттық Банкінің Басқармасы ҚАУЛЫ ЕТЕДІ:
1. Қоса беріліп отырған Зейнетақы активтері мен жинақтарын есепке алуға арналған автоматтандырылған ақпараттық жүйелерге қойылатын талаптар бекітілсін (бұдан әрі – Талаптар).
2. Осы қаулы 2014 жылғы 1 қаңтардан бастап қолданылатын міндетті кәсіптік зейнетақы жарналары есебінен қалыптастырылған зейнетақы активтері мен жинақтарын есепке алуға арналған автоматтандырылған ақпараттық жүйелерге қойылатын талаптарды айқындайтын нормалар бөлігінде, Талаптардың 5-тармағының 1), 2), 3) және 4) тармақшаларын, 6-тармағының 1) тармақшасын және 6) тармақшасының екінші және төртінші абзацтарын және 7-тармағын қоспағанда алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі.
Ұлттық Банк
Төрағасы
|
Г. Марченко
|
Қазақстан Республикасының
Ұлттық Банкі Басқармасының
2013 жылғы 27 тамыздағы
№ 218 қаулысымен
бекітілді
Зейнетақы активтері мен жинақтарын есепке алуға арналған автоматтандырылған ақпараттық жүйелерге қойылатын талаптар
Жалпы ережелер
Осы Зейнетақы активтері мен жинақтарын есепке алуға арналған автоматтандырылған ақпараттық жүйелерге қойылатын талаптар (бұдан әрі – Талаптар) «Қазақстан Республикасында зейнетақымен қамсыздандыру туралы» 2013 жылғы 21 маусымдағы Қазақстан Республикасының Заңына (бұдан әрі – Заң) сәйкес әзірленді және қолданыстағы электрондық ақпараттық ресурстардың сенімді және тұрақты жұмыс істеуін қамтамасыз ету және ақпараттық қауіпсіздік жүйелерін қалыптастыру мақсатында бірыңғай жинақтаушы зейнетақы қоры мен ерікті жинақтаушы зейнетақы қорының зейнетақы активтері мен жинақтарын есепке алуға арналған автоматтандырылған ақпараттық жүйелеріне қойылатын талаптарды белгілейді.
2. Талаптарда мынадай ұғымдар қолданылады:
1) автоматтандырылған ақпарат жүйелері - құжаттардың, техникалық құралдар жүйесiнiң және ақпаратты өңдеу тәсiлдерiнiң ұйымдастырылған түрде тәртiпке келтiрiлген жиынтығы;
2) автоматтандырылған ақпарат жүйелерінің басқарушысы (бұдан әрі басқарушы) – бірыңғай жинақтаушы зейнетақы қорының немесе ерікті жинақтаушы зейнетақы қорының автоматтандырылған ақпараттық жүйенің техникалық құралдарының жұмыс жасауын, оларды теңшеуді, қолдауды және оған қызмет көрсетуді қамтамасыз ететін және аппараттық-бағдарламалық құралдардың көмегімен ақпараттық процеске қатысатын қызметкері;
3) ақпарат қауіпсіздігі – ақпараттың және оның инфрақұрылымының кездейсоқ немесе әдейi жасалған, табиғи немесе жасанды сипаттағы iс-әрекеттерден, жария болудан, ұрлықтан, жоғалудан, жойылудан, бұрмаланудан, көшiруден, қолдан жасаудан, бұғаттаудан және рұқсатсыз кiру салдарынан туындайтын басқа да қауiптерден қорғалуы;
4) ақпаратты (деректердi, бағдарламалық қамтамасыз етудi, ақпараттық хабарларды) жария ету – ақпаратқа рұқсатсыз кiру рұқсатын алу және алынған мәлiметтердiң жария болуы нәтижесiнде болған iс-әрекет;
5) ақпаратты қорғау - ақпарат қауiпсiздiгiн қамтамасыз ететiн iс-шаралар кешенi;
6) аутентификация – кiру субъектiсiнiң немесе объектiсiнiң түпнұсқалығын көрсетiлген кiру деректемелерiнің жүйедегімен сәйкестігін анықтау арқылы растау;
7) зиянды бағдарламалық қамтамасыз ету – ақпараттық жүйелерге және ақпараттық ресурстарға зиян келтіру мақсатында құрылған бағдарламалық қамтамасыз ету;
8) қауіпсіздік басқарушысы – бірыңғай жинақтаушы зейнетақы қорының немесе ерікті жинақтаушы зейнетақы қорының ақпараттық жүйелерді, техникалық құралдарды қорғау бойынша іс-шараларды жүзеге асыруды, сондай-ақ қауіпсіздік саясаты шеңберінде жүйені қолдауды қамтамасыз ететін қызметкері;
9) қауiпсiздiк жүйесi - ұйымдастыру шараларының және ақпаратты қорғаудың бағдарламалық-техникалық құралдарының кешені;
10) қауiпсiздiк саясаты – таратылуы шектеулi ақпаратты басқаруды, қорғауды және бөлудi реттейтiн нормалар мен практикалық тәсiлдер;
11) мамандандырылған ұйым – телекоммуникациялық қызметтерді және деректерді сақтау және өңдеу қызметін ұсынатын ұйым;
12) модуль – белгілі бір функцияларды орындауға арналған автоматтандырылған ақпараттық жүйелер құрамдасы;
13) сәйкестендіргіш – жүйе субъектісіне және (немесе) объектісіне берілген және жүйеге және (немесе) жүйе ресурстарына кіруді реттеуге арналған бірегей дербес код немесе ат;
14) сәйкестендiру – жүйеге және (немесе) сәйкестендiру жүйесiнiң ресурсына кiру рұқсатын алу үшiн ұсынылған жүйеде бар сәйкестендiрушi тiзбенiң сәйкестiгiн беру немесе анықтау;
15) серверлік үй-жай – серверлік, жұмыс істейтін және жұмыс істемейтін желілік жабдықтың (телекоммуникациялық) және құрылымдық кабельдік жүйелердің серверлік орналасуына арналған үй-жай.
Зейнетақы активтері мен жинақтарын есепке алуға арналған автоматтандырылған ақпараттық жүйелеріне қойылатын талаптар
3. Бірыңғай жинақтаушы зейнетақы қорының және ерікті жинақтаушы зейнетақы қорының зейнетақы активтері мен жинақтарын есепке алуға арналған автоматтандырылған ақпараттық жүйелері:
1) ақпараттың сенімді сақталуын, рұқсатсыз кіруден қорғауды, бағдарламалық қамтамасыз етудің тұтастығын және электронды мұрағаттар мен дерекқорлардағы ақпараттың:
кез келген уақытта электр қуатын толық немесе ішінара ажыратқанда;
желілер, телекоммуникациялар апатында, операцияларды орындаудың кез келген кезеңіндегі орнатылған табиғи және виртуалды қосылыстар ажырағанда;
бағдарламалық қамтамасыз етудің кез келген функциясын орындау барысында бағдарламалық қамтамасыз етудің кез келген есептеу құралдары толық немесе ішінара тоқтап қалғанда;
автоматтандырылған ақпарат жүйелерінде сақталатын ақпаратқа рұқсатсыз кіруге талаптанғанда толық сақталуын;
2) кемінде кірудің екі деңгейін: басқарушы және пайдаланушы қамтамасыз ете отырып автоматтандырылған ақпарат жүйелерінде іске асырылған деректерге, функцияларға, операцияларға, есептерге көп деңгейлі кіруді;
3) енгізілген деректердің толықтығын бақылауды (барлық жолдарды толық толтырмай функцияларды немесе операцияларды орындаған жағдайда автоматтандырылған ақпарат жүйесі тиісті хабарламаны беруді қамтамасыз етеді);
4) жеке сұрату бойынша және кез келген критерийлер бойынша ақпарат іздеуді, сондай-ақ кез келген өлшемдер бойынша ақпарат іріктеу және алдыңғы күндердегі ақпаратты қарау мүмкіндігін;
5) ақпаратты күндер бойынша қысқартусыз өңдеуді және сақтауды;
6) мұрағаттау мүмкіндігін (деректерді мұрағаттан қалпына келтіру);
7) келіп түсетін және жіберілетін құжаттарды экранға, принтерге немесе файлға шығару мүмкіндігін қамтамасыз етеді.
4. Бірыңғай жинақтаушы зейнетақы қорының және ерікті жинақтаушы зейнетақы қорының автоматтандырылған ақпараттық жүйелері мынадай функционалдық модульдерден тұрады:
«Зейнетақы жинақтарын дербес есепке алу» модулі;
«Есептілік» модулі;
«Сыртқы пайдаланушылармен өзара әрекеттесу» модулі;
«Ішкі аудит» модулі.
«Зейнетақы жинақтарын дербес есепке алу» модулі мыналардың:
1) міндетті зейнетақы жарналарының, міндетті кәсіби зейнетақы жарналарының, ерікті зейнетақы жарналарының есебінен зейнетақымен қамсыздандыру шарттарының;
2) міндетті зейнетақы жарналары, міндетті кәсіби зейнетақы жарналары, ерікті зейнетақы жарналары салымшыларының (алушыларының) жеке зейнетақы шоттарына түскен зейнетақы жарналарының, жинақтардың, өсімпұлдардың;
3) міндетті зейнетақы жарналары, міндетті кәсіби зейнетақы жарналары, ерікті зейнетақы жарналары салымшыларының (алушыларының) жеке зейнетақы шоттарындағы инвестициялық табыстың;
4) міндетті зейнетақы жарналарының, міндетті кәсіби зейнетақы жарналарының, ерікті зейнетақы жарналарының есебінен зейнетақы төлемдерінің;
5) ерікті зейнетақы жарналарының есебінен бірыңғай жинақтаушы зейнетақы қорына, басқа ерікті жинақтаушы зейнетақы қорына немесе сақтандыру ұйымына зейнетақы жинақтары аударымының дербес есебін жүргізуге арналған.
6. «Зейнетақы жинақтарын дербес есепке алу» модулі мыналарды:
1) міндетті зейнетақы жарналары, міндетті кәсіби зейнетақы жарналары, ерікті зейнетақы жарналары салымшыларының (алушыларының) дербес зейнетақы шоттарымен операциялардың талдау және синтетикалық бухгалтерлік есебін жүргізуді;
2) бірыңғай жинақтаушы зейнетақы қоры жүргізген міндетті зейнетақы жарналарының есебінен салымшылардың (алушылардың) жеке зейнетақы шоттарын біріктірулер бойынша тарихын сақтай отырып салымшылардың (алушылардың) бірыңғай жинақтаушы зейнетақы қорындағы жеке зейнетақы шоттарын міндетті зейнетақы жарналарының есебінен біріктіруді;
3) төлем құжаттарын қалыптастыруды;
4) төлем құжаттарының дұрыс қалыптасқандығын тексеруді;
5) бірегей деректемелері бар салымшыларды (алушыларды) сәйкестендіруді (шарт нөмірі, жеке сәйкестендіру нөмірі, тегі, аты, бар болса – әкесінің аты және басқа параметрлер бойынша);
6) «Қазақстан Республикасының Еңбек және халықты әлеуметтік қорғау министрлігінің зейнетақы төлеу жөніндегі мемлекеттік орталық» республикалық мемлекеттік қазыналық кәсіпорынының (бұдан әрі – Орталық) автоматтандырылған ақпарат жүйесімен мыналар:
міндетті зейнетақы жарналарының, міндетті кәсіби зейнетақы жарналарының есебінен зейнетақымен қамсыздандыру туралы шарттарды жасаған және бұзған салымшылар жөніндегі ақпаратпен алмасу;
төлем құжаттарымен алмасу;
орталықтан түскен ақпараттың негізінде міндетті зейнетақы жарналарының, міндетті кәсіби зейнетақы жарналарының салымшыларының (алушыларының) деректемелеріне өзгеріс енгізу бойынша өзара іс-әрекет етуді жүзеге асыруды қамтамасыз етеді.
7. Міндетті зейнетақы жарналарының, міндетті кәсіби зейнетақы жарналарының, ерікті зейнетақы жарналарының есебінен зейнетақы төлемдерін жүзеге асырған кезде мынадай:
1) әрбір міндетті зейнетақы жарналарының, міндетті кәсіби зейнетақы жарналарының, ерікті зейнетақы жарналарының есебінен зейнетақы жинақтарын алушылар бойынша міндетті зейнетақы жарналарының, міндетті кәсіби зейнетақы жарналарының, ерікті зейнетақы жарналарының есебінен зейнетақы жинақтарының сомасы есебі;
2) Заңға сәйкес міндетті зейнетақы жарналарының, міндетті кәсіби зейнетақы жарналарының, ерікті зейнетақы жарналарының есебінен зейнетақы төлемдерінің тиесілі сомасынан табыс салығын ұстау;
3) міндетті зейнетақы жарналарының, міндетті кәсіби зейнетақы жарналарының, ерікті зейнетақы жарналарының есебінен берілген күнге және (немесе) берілген уақыт аралығына зейнетақы төлемдерін болжау функцияларының орындалуы қамтамасыз етіледі.
8. «Есептілік» модулі есептілікті электрондық нысандар, электрондық файлдар түрінде қалыптастыру және мынадай:
1) есептерді Қазақстан Республикасы Ұлттық Банкінің белгіленген талаптарына сәйкес қалыптастыру;
2) есептіліктегі нысан аралық және нысан ішіндегі бақылау функцияларының орындалуын қамтамасыз ету үшін арналған.
9. «Сыртқы пайдаланушылармен өзара әрекеттесу» модулі:
1) филиалдар мен өкілдіктермен;
2) кастодиан банкпен;
3) инвестициялық портфельді басқарушымен (бар болса);
4) актуарилермен;
5) мемлекеттік органдармен электрондық үкімет шлюзі арқылы интеграциялау жолымен электронды түрде ақпарат алмасу үшін арналған.
10. «Ішкі аудит» модулі Талаптардың 4-тармағының 1), 2) және 3) тармақшаларында көрсетілген модульдердегі жүйелі оқиғаларды тіркеу және сәйкестендіру үшін арналған, онда мынадай атрибуттар сақталады:
1) автоматтандырылған ақпарат жүйесін пайдаланушының кіру және шығу күні мен уақытын көрсете отырып, автоматтандырылған ақпарат жүйесін пайдаланушыны сәйкестендіру;
2) бизнес – процесті, бизнес – процестің орындалу нәтижесін сәйкестендіру.
11. «Ішкі аудит» мыналарды қамтамасыз етеді:
1) жүйелі оқиғалар аудитінің электрондық журналын қарау және оның файлына сақтау;
2) мұрағат жазбаларын қалпына келтіру мүмкіндігімен, автоматтандырылған ақпарат жүйесінің аудит жазбаларын мұрағатқа көшіру.
«Ішкі аудит» модулін басқарушы үшін әрбір пайдаланушы бойынша және (немесе) жалпы автоматтандырылған ақпарат жүйесі бойынша Талаптардың 4-тармағының 1), 2) және 3) тармақшаларында көрсетілген модульдердегі жүйелі оқиғаларды бақылау мүмкіндігі беріледі.
12. Автоматтандырылған ақпарат жүйелерінде жалпы жүйенің функционалдық сипаттамаларын жақсартатын қосымша функциялар мен міндеттерді (модульдерді) іске асыруға рұқсат беріледі.
13. Бірыңғай жинақтаушы зейнетақы қорының және ерікті жинақтаушы зейнетақы қорының автоматтандырылған ақпарат жүйесін әзірлеу, енгізу және ілеспе қызметін көрсету процесі бағдарламалық қамтамасыз етуді әзірлеу, өзгерістер енгізу, қабылдау, тестілеу, пайдалануға беру және ілеспе қызметін көрсету кезеңдерінің, жұмыстың барлық кезеңдерін құжаттандыруға қойылатын талаптардың орындалуын қамтамасыз етеді.
Бағдарламалық қамтамасыз етуді және (немесе) автоматтандырылған ақпарат жүйесіндегі ақпаратты рұқсатсыз өзгертуге жол бермеу мақсатында жұмыс істейтін модульдерге өзгерістер енгізу, жаңа модульдерді әзірлеу, жүйені енгізу және пайдалануға беру бірыңғай жинақтаушы зейнетақы қорының және ерікті жинақтаушы зейнетақы қорының директорлар кеңесі шешімімен бекітілген техникалық тапсырмаға сәйкес жүзеге асырылады.
3. Бірыңғай жинақтаушы зейнетақы қорының және ерікті жинақтаушы зейнетақы қорының ақпараттық процесін ұйымдастыруға қойылатын талаптар
14. Бірыңғай жинақтаушы зейнетақы қорының және ерікті жинақтаушы зейнетақы қорының ақпараттық-коммуникациялық технологиясы инфрақұрылымын құру және ақпарат қауіпсіздігін қамтамасыз ету үшін мыналарға қойылатын тиісті талаптардың орындалуы қамтамасыз етіледі:
серверлік үй-жайға;
техникалық құралдарға;
байланыс құралдарына;
пайдаланушылардың жұмыс орындарына;
бағдарламалық құралдарға.
15. Бірыңғай жинақтаушы зейнетақы қорының және ерікті жинақтаушы зейнетақы қорының серверлік үй-жайы мынадай талаптарға сәйкес келеді:
үй-жай үйдің бірінші немесе соңғы қабаттарында орналасқан жағдайда үй-жайдың терезелері металл торкөздермен немесе үй-жайға біреудің кіруін болдырмау үшін ұқсас қорғау құралдарымен жабдықталады;
арнайы бөлінген кіруі шектеулі үй-жайдың болуы;
үй-жайға кіру кезеңі туралы есеп алу мүмкіндігімен нақты уақыт режимінде үй-жайға кіру кезеңі мониторингін және үй-жайға кіру кезеңін электрондық журналға жазуды жүзеге асыруға арналған кіруді бақылау жүйесінің (жеке электронды рұқсатнама) болуы. Электрондық журналдағы оқиға жазбалары 6 (алты) айдан кем емес сақталады;
бейнебақылау жүйесінің болуы (бейнесигналдарды жазу мүмкіндігі бар нақты уақыт режимінде);
күзет сигнализациясы жүйесінің болуы;
бүкіл жабдықтың өндіруші көрсеткен температураға дейін жылдың кез келген мезгілінде неғұрлым көп жүктелген кезде салқындатуға жеткілікті берілген температура мен ылғалдылықты автоматты түрде ұстап тұру жүйесінің болуы;
өрт сигнализациясы жүйесінің және газбен автоматты өрт сөндіру жабдығының болуы;
кепілдік берілген қорек жүйесі – таза қорек желісіндегі электр қуатын үзіліссіз қолдау арқылы және резервті автоматты түрде қосу қалқанының, үзіліссіз қорек жүйесінің екі қайнар көзі сигналынан атқарылатын дизельді генератор қондырғысының болуы.
Мамандандырылған ұйымдардың деректерді өңдеу орталығының үй-жайын, сондай-ақ қажетті техникалық құралдарды жалдаған жағдайда меншікті серверлік үй-жайларға және бірыңғай жинақтаушы зейнетақы қорының немесе ерікті жинақтаушы зейнетақы қорының техникалық құралдарына қойылатын талаптарға сәйкес келуі қажет.
16. Бірыңғай жинақтаушы зейнетақы қорының және ерікті жинақтаушы зейнетақы қорының техникалық құралдары тиісті талаптарға сәйкес келеді:
меншікті аппараттық қамтамасыз етудің (компьютерлік жабдық, серверлер, аппараттық қорғау құралдары, жиынтық және басқа жабдық) болуы, аппараттық қамтамасыз етуді бірыңғай жинақтаушы зейнетақы қорына және ерікті жинақтаушы зейнетақы қорына тиістілігін немесе мамандандырылған ұйымнан жалдауды растайтын құжаттардың болуы;
пайдаланыстағы жабдықты өндіруші немесе жеткізуші беретін сәйкестік сертификатының болуы.
17. Бірыңғай жинақтаушы зейнетақы қорының және ерікті жинақтаушы зейнетақы қорының филиалдар мен өкілдіктермен, кастодиан банктермен, инвестициялық портфельді басқарушымен (бар болса), мемлекеттік органдармен деректермен алмасу бойынша байланыс құралдары мынадай талаптарға сәйкес келеді:
жіберілетін және алынатын ақпараттың толық көлемін қамтамасыз ететін негізгі арнаның болуы;
жіберілетін және алынатын ақпараттың толық көлемін қамтамасыз ететін резервтік арнаның болуы;
нақты бөлінген арналар әр түрлі провайдерлерден болуы.
18. Қордың автоматтандырылған ақпарат жүйесін пайдаланушылардың жұмыс орындары мынадай талаптарға сәйкес келеді:
ұйымның үй-жайын техникалық қорғау құралдары жұмыс орнына кіруге рұқсат берілмеген тұлғалардың осы үй-жайға бақылаусыз кіру мүмкіндігін болдырмайды. Үй-жайға және жұмыс орнына кіру ұйым регламентіне және қызметкерлерінің лауазымдық міндеттеріне сәйкес жүзеге асырылады;
барлық аппараттық құралдарда кепілдік мерзімі (кепілдік талоны) болады және (немесе) мамандандырылған ұйымның техникалық ілеспе қызметінде болады;
пайдаланушының жұмыс орнына желі және деректерді берудің өзге техникалық арналары арқылы кіру тәртібі рұқсат берілмеген кіруге мүмкіндік бермейді;
ақпарат алмасу, сақтау, мұрағаттау не ақпаратты басқаша өңдеу шеңберінде беру үшін ақпарат жинауға берілген ресурстарға (желілік (серверлік) жабдық, дискілік кеңістік, директория, желілік ресурстар, деректер базасы) кіру тәртібі осы ресурстарға олармен жұмыс істеуге рұқсат берілмеген тұлғаларға кіру мүмкіндігі берілмейді;
пайдаланушының жұмыс орны жергілікті желіде (LAN) орналастырылады;
пайдаланушының компьютеріндегі ақпаратты оқу (жазу немесе көшіру) порттарына ену, оның ішінде кіру-шығу базалық жүйе теңшеуінде де ажыратылады;
пайдаланушының дербес компьютерінің жүйелі блогына қауіпсіздік басқарушысы мөр басады немесе пломба салады;
пайдаланушының жұмыс орнына рұқсатсыз кіруден қорғау құралдарына теңшеу орнату және өзгерту құқығы басқарушының міндетін орындайтын пайдаланушыларға ғана беріледі;
пайдаланушы сәйкес келтірілетін пайдаланушының бір жүйе аты бір жеке тұлғаға сәйкес келеледі;
техникалық құралдарды, пайдаланушының жұмыс орнына кіруді қамтамасыз ететін парольдерді немесе басқа ақпаратты сақтау және пайдалану тәртібі оларды рұқсатсыз пайдалану мүмкіндігін бермейді;
пайдаланушының жұмыс орнына арналған желілік ресурстарға кіру автоматтандырылған ақпарат жүйесінің қорғалған шағын желісі шегінде шектеледі;
пайдаланушыда резервтік жұмыс орны болған жағдайда Талаптарда белгіленген шарттар мен талаптар, сондай-ақ осындай жұмыс орнында қолданылады.
19. Пайдаланушылардың жұмыс орындарында пайдаланылатын бағдарламалық құралдар мынадай талаптарға сәйкес келеді:
тек лицензиялық бағдарламалық қамтамасыз ету пайдаланылады;
пайдаланушының жұмыс орнында оның қызметтік міндеттерін пайдалану үшін талап етілмейтін бағдарламалық құралдарды орнатуға жол берілмейді;
пайдаланушының жұмыс орнында пайдаланушыларды сәйкестендіруді және аутентификациялауды қамтамасыз етуге мүмкіндік беретін бағдарламалық құралдардың болуы;
пайдаланушының жұмыс орнында міндетті түрде үнемі жаңартылып тұратын вирусқа қарсы базасы бар лицензиялық вирусқа қарсы бағдарламалық қамтамасыз ету орнатылады;
компьютерге кіруіне және пайдаланушының іс-қимылына байланысты оқиғаларды бақылау мақсатында электрондық құжаттарды сақтау мерзімінде электрондық журналдарды жүргізу мүмкіндігі;
бағдарламалық қамтамасыз ету паспорты – жұмыс орнының конфигурациясы туралы толық деректерімен оның сипаттамасы, сондай-ақ осы жұмыс орнында орнатылған аппараттық және бағдарламалық құралдары бар дербес компьютерге оратылады;
паспорт бірыңғай жинақтаушы зейнетақы қорының және ерікті жинақтаушы зейнетақы қорының ішкі құжаттарына сәйкес ресімделеді және қауіпсіздік басқарушысында сақталады.
4. Бірыңғай жинақтаушы зейнетақы қорының және ерікті жинақтаушы зейнетақы қорының автоматтандырылған
ақпараттық жүйесінің автоматтандырылған қауіпсіздігін қамтамасыз етуге қойылатын талаптар
20. Ақпараттық қауіпсіздік жүйесінің негізгі мақсаты бірыңғай жинақтаушы зейнетақы қорының және ерікті жинақтаушы зейнетақы қорының тұрақты жұмыс істеуін қамтамасыз ету және қауіпсіздік қауіп-қатерлерін іске асыруды болдырмау, бірыңғай жинақтаушы зейнетақы қорының және ерікті жинақтаушы зейнетақы қорының мүдделерін кез келген жеке және заңды тұлғалардың құқыққа қайшы іс-әрекеттерінен қорғау, оның мүлкін ұрлауға, ақпаратты жариялауға, жоғалтуға, мәлім болуына, бұрмалауға және жоюға жол бермеу болып табылады.
21. Зейнетақы активтері мен жинақтарын есептеу үшін автоматтандырылған ақпараттық жүйенің ақпараттық қауіпсіздігін қамтамасыз ету бойынша негізгі құжат ақпараттық қауіпсіздікті қамтамасыз ету жөніндегі ескерту шаралардың кешенін қамтитын ақпараттық қауіпсіздік саясаты, бірыңғай жинақтаушы зейнетақы қоры және ерікті жинақтаушы зейнетақы қоры өз қызметтерінде қауіпсіздік саласында басшылыққа алатын қағидалар, рәсімдер және принциптер болып табылады және автоматтандырылған, телекоммуникациялық жүйелерді, автоматтандырылған жұмыс орындарын қамтиды.
22. Ақпараттық қауіпсіздік саясаты:
ақпараттық қауіпсіздік саласында жұмыстың жалпы бағыттарын;
ақпараттық жүйені қорғау мақсатын;
ақпараттық жүйені, оның жалпы және жеке бөліктерін қорғауға қойылатын жалпы талаптарын;
қауіпсіздіктің қажетті деңгейіне қол жеткізудің негізгі принциптері мен тәсілдерін;
ақпараттық қауіпсіздік саясатын анықтайтын қажетті талаптарды әзірлеуге жауапты лауазымды тұлғалардың тізбесін;
ақпараттық жүйелерді қорғаудың жұмысқа қабілеттілігін құруға және қолдауға жауапты бөлімшелердің тізбесін;
қауіпсіздік саясатын айқындайтын қажетті талаптарды әзірлеуге және бақылауға жауапты қауіпсіздік басқарушысын бекітуді;
табиғат апаттары, апаттар, өрттер, электроэнергияның сөнуі, байланыс желілерінің зақымдануы, жаппай тәртіпсіздіктер, ереуiлдер, әскери іс-қимылдар жататын дүлей күштiң әсерi пайда болған жағдайда ақпараттық жүйелердің қауіпсіздік режимін бұзуды болдырмайтын шараларды айқындайды.
23. Ақпараттық қауіпсіздік саясаты ақпараттық жүйе үшін нақты болып танылған тәуекелдерді талдау негізінде құрылады және мыналарды:
ақпараттық жүйе құрамының сипаттамасын;
бірыңғай жинақтаушы зейнетақы қорының және ерікті жинақтаушы зейнетақы қорының автоматтандырылған ақпараттық жүйесін пайдаланушылардың тізімін, олардың ақпаратқа, бағдарламалық және техникалық құралдарға қол жеткізуіне құқықтары мен басымдықтарын (олардың қызметтік жағдайына және орындайтын функцияларының сипатына қарай).
ұйымдастыру және бағдарламалық – техникалық шаралар қосылған ақпаратты қорғау жөніндегі іс-шаралар жоспарын қамтиды.
24. Ақпараттық жүйені сенімді әрі тиімді қорғау жүйесін құру үшін мынадай принциптер мен тәсілдер пайдаланылады:
қызметкердің дайындығы ақпараттық қорғау жүйесін басқаруға, пайдалануға немесе жұмыс істеуіне қатысушы қызметкерлердің барлығын міндетті кезең-кезеңімен оқытуды қамтамасыз етеді;
осы қызметті көрсететін ұйымдардың шарт негізінде ақпараттық жүйелерді қорғау құралдарын және жүйелерін әзірлеу мен орнату үшін тарту.
25. Ұйымдастыру шаралары Қазақстан Республикасының нормативтік құқықтық актілерін және бірыңғай жинақтаушы зейнетақы қорының және ерікті жинақтаушы зейнетақы қорының ішкі талаптарын сақтауды және бірыңғай жинақтаушы зейнетақы қорының және ерікті жинақтаушы зейнетақы қорының ішіндегі қауіпсіздік жағдайын бақылауды, бұзушылықтар жағдайында ден қоюды, бірыңғай жинақтаушы зейнетақы қорындағы және ерікті жинақтаушы зейнетақы қорындағы өзгерістерді ескере отырып, қорғау шараларын дамытуды қамтамасыз етеді.
26. Қауіпсіздікті қамтамасыз етуді ұйымдастыру шараларына мынадай іс-шаралар жатады:
ақпараттық жүйелерді физикалық қорғау;
ақпараттық қауіпсіздікке қатынасы бар ақпараттық жүйелердің жұмысқа қабілеттілігін қолдау;
әрбір пайдаланушыға өзіне жүктелген қызметтік міндеттерін орындауды және бірін-бірі ауыстыруды қамтамасыз ету үшін қажетті тиісті қол жеткізу құқығын беру;
жауапты тұлғалардың ақпараттық қауіпсіздік режимін бұзуына ден қоюы;
қалпына келтіру жұмыстарын жоспарлау.
27. Физикалық қорғау мыналарға бөлінеді:
рұқсат беруді физикалық басқару;
өртке қарсы қауіпсіздік шаралары;
қолдау инфрақұрылымын қорғау;
деректерді қолға түсіруден қорғау, мобильді жүйелерді қорғау.
28. Ақпараттық жүйелердің жұмысқа қабілеттілігін қолдау жөніндегі іс-шаралар:
пайдаланушыларды қолдау – ақпараттық қауіпсіздік мәселелері бойынша кеңес берулерді ұйымдастыру, олардың кәдімгі қателерін анықтау және таралып жайылған жағдайлар үшін ұсынымдары бар жадынамалармен қамтамасыз ету;
бағдарламалық қамтамасыз етуді қолдау – бағдарламалық қамтамасыз етудің лицензиялық (сертификатталған) тазалығын бақылау;
конфигурациялық басқару – бағдарламалық және техникалық конфигурацияға енгізілетін өзгерістерді бақылау және белгілеу;
апат және басқа да дүлей күштің әсері жағдайында ақпараттық жүйені және деректерді қалпына келтіру үшін резервтік көшірме жасау;
деректер тасымалдағыштарын басқару – есепке алу, айналыс және сақтау ережелері;
құжаттау – істердің ағымдағы жағдайының маңызды көрінісі.
29. Қауіпсіздік басқарушылары ақпараттық жүйелердің қауіпсіздік режимін бұзған жағдайда:
келтірілетін зиянды азайту мақсатында шұғыл іс-шараларды орындауды – рұқсат етілмеген қол жеткізуді істеген адамды анықтауды және оны оқшаулауды;
жинақталған бұзушылық статистикасын шолуды – қақтығыстарды талдауды, қайталанған бұзушылықтарды анықтауды, қорғау жүйелерін жетілдіру жөніндегі шараларды әзірлеуді жүзеге асырады.
30. Ақпараттық қауіпсіздікті қамтамасыз ету жөніндегі бағдарламалық – техникалық шараларға мынадай жүйелер қосылады:
рұқсат беруді басқару;
техникалық жай-күйді хаттамалау және тексеру.
31. Рұқсат беруді басқару жүйесі мынадай іс-шараларды орындауды қамтамасыз етеді:
деректер, міндеттер топтарының тізбесін анықтау және оларға құпиялылық деңгейін орнату;
деректердің әрбір топтарын қорғау тәсілдерін және рәсімдерін белгілеу;
ақпараттық жүйелерді пайдаланушылардың топтарын анықтау, оларды орындайтын қызметтері бойынша санаттарға бөлу және оларға ақпаратқа қол жеткізу деңгейін орнату.
32. Ақпараттық жүйенің қауіпсіздігін қозғайтын және тексеруді талап ететін оқиғалардың қатарына:
жүйеге кіру (табысты немесе табыссыз);
жүйеден шығу;
жойылған жүйеге назар аудару жатады.
33. Жергілікті желідегі жұмыс саясатына мыналар кіреді:
жалпы ережелер;
ақпаратқа, бағдарламалық және техникалық құралдарға рұқсат беру кезіндегі пайдаланушылардың құқықтары (қызметтік жағдайына және атқарып отырған функцияларының сипатына қатысты);
Жергілікті желідегі жұмыс кезіндегі пайдаланушының міндеттері;
Қызметкердің міндеті;
компьютерлерде және жергілікті желіде пайдаланылатын бағдарламалық қамтамасыз ету тізімі.
34. Резервтік көшірме жасау саясатына мыналар кіреді:
1) жалпы ережелер;
2) резервтік көшірме жасау тәртібі;
3) резервтік көшірме жасаудың қорытындыларын бақылау;
4) резервтік көшірме жасау арқылы ақпаратты қалпына келтіру;
5) резервтік көшірмелерді сақтау;
6) ақпаратты күн сайын резервтік көшірме жасаумен қамтамасыз ете отырып, сейсмоқауіпсіз аймақта орналасқан резервтік сервердің болуы.
35. Лауазымдық міндеттерге сәйкес ақпараттық қауіпсіздікті сақтауға мыналар жауапкершілік алады:
бірыңғай жинақтаушы зейнетақы қоры мен ерікті жинақтаушы зейнетақы қорының бірінші басшысы;
автоматтандырылған ақпараттық жүйені басқарушы;
қауіпсіздік басқарушысы;
4) бірыңғай жинақтаушы зейнетақы қоры мен ерікті жинақтаушы зейнетақы қорының бірінші басшыларының бұйрықтарымен анықталған тұлға.
36. Қауіпсіздік басқарушысы:
тәуекелдерді талдауды, қорғауды талап ететін объектілерді анықтауды, және қауіпсіздік режимінің бұзылуынан болуы мүмкін зиян мөлшерін және тиімді қорғау құралдарын таңдай отырып, ақпараттық жүйенің осал жерлеріне баға беріп, анықтауды жүзеге асырады;
вирусқа қарсы бақылауға және жүйеге дұрыс кіруге байланысты (тіркеу кезінде өзінің ғана сәйкестендіргішін көрсете отырып) қауіпсіздік шараларына және төтенше (әдеттегіден тыс) жағдайлардағы қағидаларға қызметкерлерді оқытуды қамтамасыз етеді;
ақпараттық жүйенің ресурстарына кіруге рұқсат беруді сәйкестендіру және аутентификациялау рәсімдерінің міндеттілігін қамтамасыз етеді;
ақпараттық ресурстарға рұқсат берілмеген пайдаланушылардың кіруге рұқсат алуына жол бермейді, пайдаланушыларға кіру аты және бастапқы парольдер тек тіркеу нысандары толтырылған соң ғана беріледі;
ақпараттық жүйе өңдейтін ақпаратты резервтік көшірме жасауды орындаудың тұрақтылығын бақылайды;
жүйе ресурстарын қорғаудың сенімділігіне жоспарлы және жоспардан тыс тексерулер жүргізеді;
бар қауіпсіздік саясатының тиімділігі туралы арнайы тағайындалған жауапты орындаушыларды хабардар етеді және қорғау жүйесін жақсарту жөніндегі ұсыныстарды олардың қарауына енгізеді;
корпоративті желінің жабдықтарын, оның ішінде арнайы желіаралық бағдарлама құралдарын қорғауды қамтамасыз етеді;
қауіп-қатері бар оқиғаларға шұғыл және тиімді түрде қатысады, қауіп-қатерді көрсету және тәртіп бұзушыларды анықтау бойынша шаралар қабылдайды, арнайы тағайындалған жауапты орындаушылар қорғанысты бұзу әрекеттері туралы белгілейді және хабардар етеді;
сезікті жағдайларды анықтау, бар зиянды бағдарламалық қамтамасыз етудің және оның ақпараттық жүйенің және оның компоненттерінің жұмысына ықпалын болдырмау мақсатында ақпараттық жүйенің жұмыс істеу процесін қадағалайтын тексерілген бағдарламалық-техникалық құралдарды пайдаланады;
күн сайын жалпы ақпараттық жүйеге және айырықша файлдық серверлерге қатысты тіркелген ақпаратқа талдау жүргізеді;
ақпараттық қауіпсіздік саласындағы жаңалықтарға шолу жасайды, олар туралы пайдаланушыларды және арнайы тағайындалған жауапты орындаушыларды хабардар етеді.
37. Жүйенің пайдаланушылары:
Ақпараттық жүйе қауіпсіздігін қамтамасыз ететін ішкі талаптарды білуі және сақтауы;
өз ақпараттарының конфиденциалдылығы мен толықтығын қамтамасыз ету үшін қол жетімді тіркелген қорғау механизмдерін пайдалануы;
ұзақтығы сегіз әріптік-цифрлық символдардан кем емес жеке пароль таңдауы;
жеке парольдің басқа адамдарға қол жетімді болмауын қамтамасыз етуі;
5) ақпараттық қауіпсіздік жүйесінің басқарушыларын және(немесе) арнайы тағайындалған жауапты орындаушыларды қауіпсіздіктің бұзылғандығы және өзге де күмәнді жағдайларды хабардар етеді.
6) ақпараттық жүйенің ресурстарын қорғау кезінде осал жерлерді анықтаған жағдайда бұл туралы ақпараттық жүйенің қауіпсіздік басқарушысына және (немесе) арнайы тағайындалған жауапты орындаушыларға дереу хабарлау;
7) сәйкестендірілген және аутентификацияланған түзетілген ақпаратты ұсынуды қамтамасыз ету;
8) қауіпті кодтың еніп кетуін ескерту, оны анықтау және жою рәсімдерін орындау;
9) әдеттен тыс жағдайларда өзін ұстау нормаларын атқару, апаттардың және өзге де дүлей күштің әсері кезіндегі іс-қимылдардың қалыптылығы орындалуы тиіс.
38. Қордың автоматтандырылған ақпараттық жүйенің ақпараттық қауіпсіздігін қамтамасыз ету үшін мынадай талаптар орындалады:
аппараттық және бағдарламалық құралдардың көмегімен трафикті шифрлау арқылы деректер беру арналарын қорғау;
сезікті жағдайларды анықтау, бар зиянды бағдарламалық қамтамасыз етуді және оның ақпараттық жүйенің және оның компоненттерінің жұмысына ықпалын болдырмау мақсатында ақпараттық жүйенің жұмыс істеу процесін қадағалайтын тексерілген бағдарламалық-техникалық құралдарды пайдаланады;
интернет желісінен ұйымның компьютерлік желісіне жасалған шабуылдарды анықтау (болдырмау) жүйесін пайдалану;
ең кем дегенде бір бағдарламалық–аппараттық желіаралық экранның болуы;
тұрақты негізде осал тұстарды талдау және оған баға беру;
кіріс деректеріне, функцияларға, операцияларға, есептерге рұқсат беру отыз күнтізбелік күн ішінде бір рет ауыстырылатын тиісті парольді енгізу арқылы қамтамасыз етіледі;
Пароль үш реттен артық дұрыс енгізілмеген жағдайда, автоматтандырылған ақпараттық жүйенің пайдаланушысының есептік жазбасына тосқауыл қойылады. Одан әрі тосқауылды алып тастау автоматтандырылған ақпараттық жүйенің пайдаланушысының өтінімі негізінде жасалады;
автоматтандырылған ақпараттық жүйе парольді ауыстырған кезде осының алдындағы парольдерді пайдалануды бақылайды (осының алдындағы үш парольден кем емес);
бірыңғай жинақтаушы зейнетақы жүйесінің немесе ерікті жинақтаушы зейнетақы қорының автоматтандырылған ақпараттық жүйесі операцияларды жасау уақытына немесе автоматтандырылған ақпараттық жүйеге және осы операцияны немесе жазбаны жүзеге асырушы пайдаланушының сәйкестендіргішіне өзгерістер енгізуге қатысты мәліметтерді сақтауды қамтамасыз етеді;
электр қорегін ажырату, желідегі, телекоммуникациядағы апат, қосылғыштардың ажырауы, санкцияланбаған кіру әрекеттері нәтижесінде үзілген пайдаланушының немесе басқарушының операцияларды автоматты түрде аяқтауы.
39. Ақпаратты қорғау «басқарушы» рұқсат беру деңгейіндегі мынадай функциялармен қамтамасыз етіледі:
1) пайдаланушылар тобын анықтау, оларды атқаратын функциялары бойынша санаттарға бөлу және олардың ақпаратқа кіру, паролдерді ауыстыру деңгейлерін белгілеу;
2) пайдаланушылардың автоматтандырылған ақпараттық жүйенің деректеріне және функцияларына кіруіне тосқауыл қою;
3) автоматтандырылған ақпараттық жүйенің жұмыс істеу параметрлерін күйіне келтіру;
4) автоматтандырылған ақпараттық жүйеге қосылған пайдаланушыларды қарау;
5) операциялық күнді ашу (жабу);
6) қажет болған жағдайда пайдаланушыларды автоматтандырылған ақпараттық жүйеден ажырату.
Достарыңызбен бөлісу: |