Международные
Отправить по почте
Об утверждении Требований к организационным мерам и программно-техническим средствам, обеспечивающим доступ банкам и организациям, осуществляющим отдельные виды банковских операций, в платежные системы Постановление Правления Национального Банка Республики Казахстан от 24 августа 2012 года № 269.
Данная редакция действовала до внесения изменений от 28.01.2016 г.
В целях реализации Закона Республики Казахстан от 5 июля 2012 года «О внесении изменений и дополнений в некоторые законодательные акты Республики Казахстан по вопросам организации деятельности Национального Банка Республики Казахстан, регулирования финансового рынка и финансовых организаций» Правление Национального Банка Республики Казахстан ПОСТАНОВЛЯЕТ:
1. Утвердить прилагаемые Требования к организационным мерам и программно-техническим средствам, обеспечивающим доступ банкам и организациям, осуществляющим отдельные виды банковских операций, в платежные системы.
2. Признать утратившим силу постановление Правления Национального Банка Республики Казахстан от 28 ноября 2008 года № 95 «Об утверждении Инструкции о требованиях к организационным мерам и программно-техническим средствам, обеспечивающим доступ банков и организаций, осуществляющих отдельные виды банковских операций, в платежные системы Республиканского государственного предприятия на праве хозяйственного ведения «Казахстанский центр межбанковских расчетов Национального Банка Республики Казахстан» (зарегистрированное в Реестре государственной регистрации нормативных правовых актов под № 5411, опубликованное 6 февраля 2009 года в газете «Юридическая газета» № 19 (1616).
3. Настоящее постановление вводится в действие по истечении шести месяцев после его первого официального опубликования.
4. Приостановить до 1 января 2014 года действие пункта 2 прилагаемых Требований к организационным мерам и программно-техническим средствам, обеспечивающим доступ банкам и организациям, осуществляющим отдельные виды банковских операций, в платежные системы, установив, что в период приостановления данный пункт действует в следующей редакции:
«2. Требования распространяют свое действие на всех пользователей платежной системы, за исключением Национального Банка Республики Казахстан».
Председатель
Национального Банка Г. Марченко
Утверждена постановлением Правления Национального Банка Республики Казахстан от 24 августа 2012 года № 269
Требования к организационным мерам и программно-техническим средствам, обеспечивающим доступ банкам и организациям, осуществляющим отдельные виды банковских операций, в платежные системы
1. Общие положения
1. Требования к организационным мерам и программно-техническим средствам, обеспечивающим доступ банкам и организациям, осуществляющим отдельные виды банковских операций, в платежные системы (далее - Требования) разработаны в соответствии с Законом Республики Казахстан от 30 марта 1995 года «О Национальном Банке Республики Казахстан» (далее – Закон о Национальном Банке) и устанавливают требования к организационным мерам и программно-техническим средствам, обеспечивающим доступ банкам и организациям, осуществляющим отдельные виды банковских операций, в платежные системы Республиканского государственного предприятия на праве хозяйственного ведения «Казахстанский центр межбанковских расчетов Национального Банка Республики Казахстан» (далее - платежная система).
2. Требования распространяют свое действие на всех пользователей платежной системы.
3. В Требованиях используются следующие понятия:
1) аутентификация - комплекс мер для подтверждения подлинности участия Республиканского государственного предприятия на праве хозяйственного ведения «Казахстанский центр межбанковских расчетов Национального Банка Республики Казахстан» (далее - Центр) и пользователей платежной системы при обмене сообщениями платежной системы, а также для подтверждения подлинности таких сообщений;
2) средства контроля доступа - технические, программные или другие средства, позволяющие фиксировать информацию о доступе к объектам;
3) ключевая информация - криптографические ключи или другая информация, позволяющая осуществлять криптографические преобразования информации;
4) несанкционированный доступ - доступ к информационным и программным ресурсам, с нарушением установленного пользователем платежной системы порядка доступа к ним;
5) программно-аппаратный комплекс защиты от несанкционированного доступа - система защиты персонального компьютера от использования посторонними лицами, а также для разграничения полномочий зарегистрированных пользователей по доступу к информационным и программным ресурсам;
6) информационная система пользователя платежной системы - программное обеспечение пользователя платежной системы, используемое для формирования или преобразования электронных документов, предназначенных для дальнейшего направления в платежную систему посредством терминала платежной системы;
7) рабочее место пользователя платежной системы - персональный компьютер (сервер), на котором установлен терминал платежной системы;
8) приложение терминала платежной системы – специальное программное обеспечение, предназначенное для удаленной работы с терминалом платежной системы;
9) подразделение безопасности пользователя платежной системы - структурное подразделение пользователя платежной системы, обеспечивающее безопасность и защиту информационных и программных ресурсов пользователя платежной системы;
10) пользователь платежной системы – юридические лица, заключившие договор с Центром о предоставлении услуг в платежной системе, и Центр;
11) терминал платежной системы - специальное программное обеспечение, обеспечивающее доступ в платежную систему, установленное у пользователей платежной системы.
4. Форматы передачи информации, применяемые в платежной системе, устанавливаются Центром.
2. Размещение рабочего места пользователя платежной системы
5. Рабочее место пользователя платежной системы размещается в помещении с ограниченным допуском (далее - Помещение). Не допускается размещение в Помещении иных рабочих мест, не предназначенных для работы с платежной системой, за исключением рабочих мест работников, выполняющих функции операторов рабочего места пользователя платежной системы.
6. Помещение оборудуется металлическими входными дверьми, на которые устанавливаются механические замки.
7. Двери Помещения оборудуются средствами контроля доступа для осуществления мониторинга событий доступа в Помещение в режиме реального времени и записи событий доступа в Помещение в электронном журнале с возможностью получения отчета о событиях доступа в Помещение. Архив событий электронного журнала хранится пользователем платежной системы не менее шести месяцев.
8. Рабочее место пользователя платежной системы обеспечивается средствами защиты информации от утечки по электромагнитным каналам или жидкокристаллическим монитором с подключением его по цифровому интерфейсу.
9. При расположении Помещения на первых и последних этажах зданий, а также при наличии рядом с окнами балконов, пожарных лестниц, прилегающих крыш иных строений, окна Помещения оборудуются металлическими решетками или аналогичными средствами защиты, предназначенными для предотвращения физического проникновения в Помещение путем разбития оконных стекол.
10. Двери и окна Помещения оборудуются исправной охранной сигнализацией.
11. За входом в Помещение, а также за рабочим местом пользователя платежной системы устанавливается видеонаблюдение в режиме реального времени с возможностью записи видеосигналов. Архив записи видеосигналов хранится не менее периода контроля целостности печатей или пломб на системном блоке рабочего места пользователя платежной системы, установленного внутренними документами пользователя платежной системы.
12. При создании рабочего места пользователя платежной системы, получившего доступ в платежную систему, или переносе рабочего места пользователя платежной системы на новое место пользователь платежной системы в течение десяти рабочих дней с момента эксплуатации рабочего места пользователя платежной системы уведомляет об этом Национальный Банк Республики Казахстан (далее – Национальный Банк).
3. Взаимодействие пользователя платежной системы и Центра
13. Аутентификация пользователя платежной системы и Центра осуществляется путем двухстороннего обмена информацией с использованием средств криптографической защиты.
14. При возникновении ошибки в процессе аутентификации в платежной системе выдается сообщение об ошибке и связь разрывается.
15. Рабочее место пользователя платежной системы содержит средства, необходимые для обеспечения соединения по протоколу TCP/IP с прикладными серверами Центра, обеспечивающими работоспособность пользователя платежной системы.
16. Договор, заключаемый между пользователем платежной системы и юридическим лицом, обеспечивающим используемый для взаимодействия с платежной системой канал передачи данных, предусматривает ответственность при сбоях в работе такого канала передачи данных.
17. Пользователь платежной системы имеет резервный канал передачи данных с платежной системой. Основной канал передачи данных подключается к основному серверу платежной системы, а резервный канал передачи данных - к резервному серверу платежной системы.
4. Терминал платежной системы
18. Терминал платежной системы осуществляет прием и передачу сообщений платежной системы и является обязательным для использования пользователем платежной системы.
19. Терминал платежной системы обрабатывает сообщения платежной системы в соответствии с форматами передачи информации, применяемыми в платежной системе.
20. Терминал платежной системы выполняет следующие функции:
1) аутентификация пользователя платежной системы и Центра;
2) обеспечение конфиденциальности и аутентификации передаваемых и получаемых сообщений;
3) передача и прием сообщений от пользователя платежной системы к Центру и от Центра к пользователю платежной системы;
