| Внесены изменения в Правила ведения реестра платежных систем |
| В частности, в правила внесены следующие изменения: пункт 3 изложен в следующей редакции: «3. В Правилах используются понятия, предусмотренные Законом о платежах и платежных системах и Правилами организации деятельности платежных организаций, утвержденными постановлением Правления Национального Банка Республики Казахстан от 31 августа 2016 года № 215 «Об утверждении Правил организации деятельности платежных организаций», зарегистрированным в Реестре государственной регистрации нормативных правовых актов под № 14347.»; дополнены пунктами 4-1 и 4-2 следующего содержания: «4-1. Порядок соблюдения мер информационной безопасности в платежной системе в соответствии с требованиями подпунктов 7) и 9) пункта 2 статьи 5 Закона о платежах и платежных системах оператора платежной системы включает: 1) сведения по инфраструктуре платежной системы (программное обеспечение и его характеристики, мощности, применяемое оборудование, методы восстановления и защиты резервирования); 2) сведения по методам совершенствования применяемых технологий в инфраструктуре платежной системы; 3) сведения по соответствию инфраструктуры платежной системы международным стандартам; 4) меры по соблюдению информационной безопасности в инфраструктуре платежной системы, обеспечивающие: организацию системы управления информационной безопасностью, осуществление координации и контроля деятельности по обеспечению информационной безопасности инфраструктуры платежной системы и мероприятия по выявлению и анализу угроз, противодействию атакам и расследованию инцидентов информационной безопасности инфраструктуры платежной системы; методологическую поддержку процесса обеспечения информационной безопасности инфраструктуры платежной системы; выбор, внедрение и применение методов, средств и механизмов управления, обеспечение и контроль информационной безопасности инфраструктуры платежной системы; сбор, консолидацию, хранение и обработку информации об инцидентах информационной безопасности в инфраструктуре платежной системы; анализ информации об инцидентах информационной безопасности в инфраструктуре платежной системы; внедрение, надлежащего функционирования программно-технических средств, автоматизирующих процесс обеспечения информационной безопасности инфраструктуры платежной системы, а также предоставление доступа к ним; определение ограничения по использованию привилегированных учетных записей в инфраструктуре платежной системы; организацию и проведение мероприятия по обеспечению осведомленности работников оператора платежной системы в вопросах информационной безопасности; мониторинг состояния системы управления информационной безопасностью оператора платежной системы; периодическое (но не реже одного раза в год) информирование руководства оператора платежной системы о состоянии системы управления информационной безопасностью; хранение информации об инцидентах информационной безопасности в инфраструктуре платежной системы не менее пяти лет; информирование Национального Банка о следующих выявленных инцидентах информационной безопасности в инфраструктуре платежной системы, реализованных по операциям в Республике Казахстан: эксплуатация уязвимостей в прикладном и системном программном обеспечении инфраструктуры платежной системы; несанкционированный доступ в информационную систему инфраструктуры платежной системы; атака «отказ в обслуживании» на информационную систему или сеть передачи данных инфраструктуры платежной системы; заражение сервера инфраструктуры платежной системы вредоносной программой или кодом (инцидентом); повлекшие за собой совершение несанкционированного перевода денег вследствие нарушения контролей безопасности информационных систем и программного обеспечения инфраструктуры платежной системы. Информация об инцидентах информационной безопасности в инфраструктуре платежной системы, указанных в настоящем пункте, предоставляется оператором платежной системы в возможно короткий срок, но не позднее сорока восьми часов с момента выявления такого инцидента оператором платежной системы по факту выявления инцидента информационной безопасности в виде карты инцидента информационной безопасности по форме согласно приложению 1-1 к Правилам и в соответствии с объемом доступной информации об инциденте на момент ее предоставления. На каждый инцидент информационной безопасности заполняется отдельная карта инцидента информационной безопасности. 4-2. Сведения по информационным системам инфраструктуры платежной системы, содержащие информацию по применяемым в платежной системе технологиям оператора платежной системы включают описание программных модулей, обеспечивающих: 1) надежное хранение информации, защиту от несанкционированного доступа, целостность баз данных и полную сохранность информации в электронных архивах и базах данных при полном или частичном отключении электропитания в любое время на любом участке оборудования; 2) многоуровневый доступ к входным данным, функциям, операциям, отчетам, реализованным в программном обеспечении, предусматривающим как минимум, два уровня доступа: администратор и пользователь; 3) возможность резервирования и восстановления данных, хранящихся в учетных системах; 4) регистрацию и идентификацию происходящих в информационной системе событий с сохранением следующих атрибутов: дата и время начала события, наименование события, пользователь, производивший действие, идентификатор записи, дата и время окончания события, результат выполнения события.»; дополнены приложением 1-1 в редакции согласно приложению к постановлению. Постановление вводится в действие по истечении шестидесяти календарных дней после дня его первого официального опубликования. |