Внесены изменения в постановления Правления Национального Банка РК «Об утверждении Правил выпуска, использования и погашения электронных денег, а также требований к эмитентам электронных денег и системам электронных денег на территории Республики Казахстан» и «Об утверждении Правил организации деятельности платежных организаций» (аннотация к документу от 20.12.2021)

Внесены изменения в постановления Правления Национального Банка РК «Об утверждении Правил выпуска, использования и погашения электронных денег, а также требований к эмитентам электронных денег и системам электронных денег на территории Республики Казахстан» и «Об утверждении Правил организации деятельности платежных организаций»

Аннотация к документу: Постановление Правления Национального Банка Республики Казахстан от 20 декабря 2021 года № 116 «О внесении изменений и дополнений в постановления Правления Национального Банка Республики Казахстан от 31 августа 2016 года № 202 «Об утверждении Правил выпуска, использования и погашения электронных денег, а также требований к эмитентам электронных денег и системам электронных денег на территории Республики Казахстан» и от 31 августа 2016 года № 215 «Об утверждении Правил организации деятельности платежных организаций» (не введено в действие)

В частности, в постановления внесены следующие изменения:

Постановление Правления Национального Банка Республики Казахстан от 31 августа 2016 года № 202 «Об утверждении Правил выпуска, использования и погашения электронных денег, а также требований к эмитентам электронных денег и системам электронных денег на территории Республики Казахстан»:

абзац первый пункта 4 изложен в следующей редакции:

«4. Эмитент в течение десяти календарных дней с даты начала осуществления деятельности по выпуску электронных денег уведомляет об этом Национальный Банк Республики Казахстан по форме согласно приложению 1 к Правилам и представляет следующие документы и сведения:»;

пункт 38 изложен в следующей редакции:

«38. Эмитент за тридцать календарных дней до момента прекращения выпуска электронных денег уведомляет об этом Национальный Банк Республики Казахстан по форме согласно приложению 1 к Правилам.»;

пункт 50 изложен в следующей редакции:

«50. Удаленная идентификация владельца электронных денег - физического лица осуществляется эмитентом и (или) оператором на основании сведений из доступных источников, полученных от операционного центра межбанковской системы переводов денег, в порядке и по основаниям, предусмотренным Правилами оказания банками, филиалами банков-нерезидентов Республики Казахстан и организациями, осуществляющими отдельные виды банковских операций, электронных банковских услуг, утвержденными постановлением Правления Национального Банка Республики Казахстан от 31 августа 2016 года № 212 (зарегистрировано в Реестре государственной регистрации нормативных правовых актов под № 14337).»;

дополнено главой 7 следующего содержания:

«Глава 7. Требования к программно-техническим средствам и системам управления информационной безопасностью операторов систем электронных денег, являющихся платежными организациями

55. Программное обеспечение обеспечивает:

1) надежное хранение информации, защиту от несанкционированного доступа, целостность баз данных и полную сохранность информации в электронных архивах и базах данных при полном или частичном отключении электропитания в любое время на любом участке оборудования;

2) многоуровневый доступ к входным данным, функциям, операциям, отчетам, реализованным в программном обеспечении, предусматривающим как минимум, два уровня доступа: администратор и пользователь;

3) контроль полноты вводимых данных полей обязательных к заполнению, необходимых для проведения и регистрации операций (при выполнении функций или операций без полного заполнения всех полей программа обеспечивает выдачу соответствующего уведомления);

4) поиск информации по критериям и параметрам, определенным для данной информационной системы, с сохранением запроса, а также сортировку информации по любым параметрам (определенным для данной информационной системы) и возможность просмотра информации за предыдущие даты, если такая информация подлежит хранению в информационной системе;

5) обработку информации и ее хранение по дате и времени;

6) автоматизированное формирование форм отчетов, представляемых операторами систем электронных денег в Национальный Банк Республики Казахстан, а также отчетов о проведенных операциях;

7) ведение и автоматизированное формирование журналов системы внутреннего учета. Программное обеспечение формирует журнал полностью, а также частично (на указанный диапазон дат, определенную дату);

8) возможность резервирования и восстановления данных, хранящихся в учетных системах;

9) возможность вывода выходных документов на экран, принтер или в файл;

10) возможность обмена электронными документами;

11) регистрацию и идентификацию происходящих в информационной системе событий с сохранением следующих атрибутов: дата и время начала события, наименование события, пользователь, производивший действие, идентификатор записи, дата и время окончания события, результат выполнения события.

56. Операторы систем электронных денег обеспечивают создание и функционирование системы управления информационной безопасностью, являющейся частью общей системы управления операторов систем электронных денег, предназначенной для управления процессом обеспечения информационной безопасности.

57. Система управления информационной безопасностью обеспечивает защиту информационных активов операторов систем электронных денег, допускающую минимальный уровень потенциального ущерба для бизнес-процессов операторов систем электронных денег.

58. Оператор системы электронных денег обеспечивает надлежащий уровень системы управления информационной безопасностью, ее развитие и улучшение.

59. Оператор системы электронных денег в целях обеспечения конфиденциальности, целостности и доступности информации осуществляет следующие функции:

1) организует систему управления информационной безопасностью, осуществляет координацию и контроль деятельности по обеспечению информационной безопасности и мероприятий по выявлению и анализу угроз, противодействию атакам и расследованию инцидентов информационной безопасности;

2) обеспечивает методологическую поддержку процесса обеспечения информационной безопасности;

3) осуществляет выбор, внедрение и применение методов, средств и механизмов управления, обеспечения и контроля информационной безопасности в рамках своих полномочий;

4) осуществляет сбор, консолидацию, хранение и обработку информации об инцидентах информационной безопасности;

5) осуществляет анализ информации об инцидентах информационной безопасности;

6) обеспечивает внедрение, надлежащее функционирование программно-технических средств, автоматизирующих процесс обеспечения информационной безопасности, а также предоставление доступа к ним;

7) определяет ограничения по использованию привилегированных учетных записей;

8) организует и проводит мероприятия по обеспечению осведомленности работников оператора систем электронных денег в вопросах информационной безопасности;

9) осуществляет мониторинг состояния системы управления информационной безопасностью оператора систем электронных денег;

10) периодически (но не реже одного раза в год) осуществляет информирование руководства оператора системы электронных денег о состоянии системы управления информационной безопасностью.

60. Оператор системы электронных денег управляет рисками информационной безопасности с указанием критериев приемлемого уровня по отношению к информационным активам.

При реализации рисков информационной безопасности разрабатывается план мероприятий, направленный на минимизацию возникновения подобных рисков.

61. Информация об инцидентах информационной безопасности, полученная в ходе мониторинга деятельности по обеспечению информационной безопасности, подлежит консолидации, систематизации и хранению.

62. Срок хранения информации об инцидентах информационной безопасности составляет не менее 5 (пяти) лет.

63. Оператором системы электронных денег определяется порядок принятия неотложных мер к устранению инцидента информационной безопасности, его причин и последствий.

64. Оператор систем электронных денег ведет журнал учета инцидентов информационной безопасности с отражением всей информации об инциденте информационной безопасности, принятых мерах и предлагаемых корректирующих мерах.

65. Оператор системы электронных денег предоставляет в Национальный Банк информацию о следующих выявленных инцидентах информационной безопасности:

1) эксплуатация уязвимостей в прикладном и системном программном обеспечении;

2) несанкционированный доступ в информационную систему;

3) атака «отказ в обслуживании» на информационную систему или сеть передачи данных;

4) заражение сервера вредоносной программой или кодом;

5) совершение несанкционированного перевода электронных денег вследствие нарушения контролей информационной безопасности;

6) инцидентах информационной безопасности, несущих угрозу стабильности деятельности оператора системы электронных денег.

Информация об инцидентах информационной безопасности, указанных в настоящем пункте, предоставляется оператором системы электронных денег в возможно короткий срок, но не позднее 48 часов с момента выявления, в виде карты инцидента информационной безопасности по форме согласно приложению 2 к Правилам.

Информация по обработанным инцидентам информационной безопасности представляется в электронном формате с использованием платформы Национального Банка для обмена событиями и инцидентами информационной безопасности.

На каждый инцидент информационной безопасности заполняется отдельная карта инцидента информационной безопасности.»;

Постановление Правления Национального Банка Республики Казахстан от 31 августа 2016 года № 215 «Об утверждении Правил организации деятельности платежных организаций»:

пункт 7 изложить в следующей редакции:

«7. Правила осуществления деятельности платежной организации содержат следующие обязательные условия:

1) описание платежных услуг, оказываемых платежной организацией;

2) порядок и сроки оказания платежных услуг клиентам платежной организации;

3) стоимость платежных услуг (тарифы), оказываемых платежной организацией;

4) порядок взаимодействия с третьими лицами, обеспечивающими технологическое обеспечение платежных услуг, оказываемых платежной организацией;

5) сведения о системе управления рисками, используемой платежной организацией;

6) порядок урегулирования спорных ситуаций и разрешения споров с клиентами;

7) порядок соблюдения мер информационной безопасности;

8) описание программно-технических средств и оборудования, необходимого для осуществления платежных услуг.»;

дополнить главой 6 следующего содержания:

«Глава 6. Требования к программно-техническим средствам платежных организаций и системе управления информационной безопасностью

34. Программное обеспечение обеспечивает:

1) надежное хранение информации, защиту от несанкционированного доступа, целостность баз данных и полную сохранность информации в электронных архивах и базах данных при полном или частичном отключении электропитания в любое время на любом участке оборудования;

2) многоуровневый доступ к входным данным, функциям, операциям, отчетам, реализованным в программном обеспечении, предусматривающим как минимум, два уровня доступа: администратор и пользователь;

3) контроль полноты вводимых данных полей обязательных к заполнению, необходимых для проведения и регистрации операций (при выполнении функций или операций без полного заполнения всех полей программа обеспечивает выдачу соответствующего уведомления);

4) поиск информации по критериям и параметрам, определенным для данной информационной системы, с сохранением запроса, а также сортировку информации по любым параметрам (определенным для данной информационной системы) и возможность просмотра информации за предыдущие даты, если такая информация подлежит хранению в информационной системе;

5) обработку информации и ее хранение по дате и времени;

6) автоматизированное формирование форм отчетов, представляемых платежными организациями в Национальный Банк, а также отчетов о проведенных операциях;

7) ведение и автоматизированное формирование журналов системы внутреннего учета. Программное обеспечение формирует журнал полностью, а также частично (на указанный диапазон дат, определенную дату);

8) возможность резервирования и восстановления данных, хранящихся в учетных системах;

9) возможность вывода выходных документов на экран, принтер или в файл;

10) возможность обмена электронными документами;

11) регистрацию и идентификацию происходящих в информационной системе событий с сохранением следующих атрибутов: дата и время начала события, наименование события, пользователь, производивший действие, идентификатор записи, дата и время окончания события, результат выполнения события.

35. Платежные организации обеспечивают создание и функционирование системы управления информационной безопасностью, являющейся частью общей системы управления платежной организации, предназначенной для управления процессом обеспечения информационной безопасности.

36. Система управления информационной безопасностью обеспечивает защиту информационных активов платежной организации, допускающую минимальный уровень потенциального ущерба для бизнес-процессов платежной организации.

37. Платежная организация обеспечивает надлежащий уровень системы управления информационной безопасностью, ее развитие и улучшение.

38. Платежная организация в целях обеспечения конфиденциальности, целостности и доступности информации платежной организации осуществляет следующие функции:

1) организует систему управления информационной безопасностью, осуществляет координацию и контроль деятельности по обеспечению информационной безопасности и мероприятий по выявлению и анализу угроз, противодействию атакам и расследованию инцидентов информационной безопасности;

2) обеспечивает методологическую поддержку процесса обеспечения информационной безопасности;

3) осуществляет выбор, внедрение и применение методов, средств и механизмов управления, обеспечения и контроля информационной безопасности в рамках своих полномочий;

4) осуществляет сбор, консолидацию, хранение и обработку информации об инцидентах информационной безопасности;

5) осуществляет анализ информации об инцидентах информационной безопасности;

6) обеспечивает внедрение, надлежащее функционирование программно-технических средств, автоматизирующих процесс обеспечения информационной безопасности, а также предоставление доступа к ним;

7) определяет ограничения по использованию привилегированных учетных записей;

8) организует и проводит мероприятия по обеспечению осведомленности работников платежной организации в вопросах информационной безопасности;

9) осуществляет мониторинг состояния системы управления информационной безопасностью платежной организации;

10) периодически (но не реже одного раза в год) осуществляет информирование руководства платежной организации о состоянии системы управления информационной безопасностью платежной организации.

39. Платежная организация управляет рисками информационной безопасности с указанием критериев приемлемого уровня по отношению к информационным активам.

При реализации рисков информационной безопасности разрабатывается план мероприятий, направленный на минимизацию возникновения подобных рисков.

40. Информация об инцидентах информационной безопасности, полученная в ходе мониторинга деятельности по обеспечению информационной безопасности, подлежит консолидации, систематизации и хранению.

41. Срок хранения информации об инцидентах информационной безопасности составляет не менее 5 (пяти) лет.

42. Платежной организацией определяется порядок принятия неотложных мер к устранению инцидента информационной безопасности, его причин и последствий.

43. В платежной организации ведется журнал учета инцидентов информационной безопасности с отражением всей информации об инциденте информационной безопасности, принятых мерах и предлагаемых корректирующих мерах.

44. Платежная организация предоставляет в Национальный Банк информацию о следующих выявленных инцидентах информационной безопасности:

1) эксплуатация уязвимостей в прикладном и системном программном обеспечении;

2) несанкционированный доступ в информационную систему;

3) атака «отказ в обслуживании» на информационную систему или сеть передачи данных;

4) заражение сервера вредоносной программой или кодом;

5) совершение несанкционированного перевода денежных средств вследствие нарушения контролей информационной безопасности;

6) инцидентах информационной безопасности, несущих угрозу стабильности деятельности платежной организации.

Информация об инцидентах информационной безопасности, указанных в настоящем пункте, предоставляется платежной организацией в возможно короткий срок, но не позднее 48 часов с момента выявления, в виде карты инцидента информационной безопасности по форме согласно приложению 7 к Правилам.

Информация по обработанным инцидентам информационной безопасности представляется в электронном формате с использованием платформы Национального Банка для обмена событиями и инцидентами информационной безопасности.

На каждый инцидент информационной безопасности заполняется отдельная карта инцидента информационной безопасности.»;

Постановление вводится в действие с 1 апреля 2022 года.