Инструкция АФН от 25.06.2007 N 177 "ИНСТРУКЦИЯ ПО ФОРМИРОВАНИЮ И ВЕДЕНИЮ БАЗЫ ДАННЫХ ПО ОБЯЗАТЕЛЬНОМУ СТРАХОВАНИЮ ГРАЖДАНСКО-ПРАВОВОЙ ОТВЕТСТВЕННОСТИ ВЛАДЕЛЬЦЕВ ТРАНСПОРТНЫХ СРЕДСТВ"
Настоящая Инструкция разработана в соответствии с Законом Республики Казахстан от 1 июля 2003 года "Об обязательном страховании гражданско-правовой ответственности владельцев транспортных средств" (далее - Закон) и детализирует деятельность организации по формированию и ведению базы данных по обязательному страхованию гражданско-правовой ответственности владельцев транспортных средств (далее - Организация).
Глава 1. Общие положения
1. Для применения настоящей Инструкции используются основные понятия, установленные Законом, Законом Республики Казахстан "Об электронном документе и электронной цифровой подписи", а также следующие понятия:
1) администратор безопасности информационных систем (далее - администратор) - работник Организации и пользователя базы данных, обеспечивающий функционирование системы электронного получения и (или) передачи данных, реализацию мер по их защите, осуществляющий генерацию поступающей и (или) передаваемой информации с учетом ее функций и полномочий;
2) политика информационной безопасности - нормы и практические приемы, регулирующие управление, защиту и распределение информации ограниченного распространения;
3) структура базы данных - порядок организации записей в базе данных и связей между ними;
4) пользователь базы данных - поставщики информации, указанные в пункте 5 статьи 8-1 Закона, и получатели страхового отчета, указанные в подпунктах 2) и 4) пункта 8 статьи 8-1 Закона, участвующие в информационной системе формирования и использования страховых отчетов и обязанные заключить договор о предоставлении информации и (или) получении страховых отчетов в соответствии с требованиями Закона;
5) ответственное лицо - работник Организации и пользователя базы данных, обеспечивающий функционирование и контроль средств защиты информации от несанкционированного доступа;
6) зловредное программное обеспечение (компьютерные вирусы, сетевые черви и аналогичное программное обеспечение) - совокупность выполняемого кода, способная создавать свои копии (частично или полностью совпадающие с оригиналом) и внедрять их в различные объекты и (или) ресурсы компьютерных систем, сетей без ведома пользователя базы данных;
7) режим реального времени - режим работы информационной системы формирования и использования страховых отчетов, обеспечивающий немедленное поступление, обработку и обмен информации;
8) оператор - работник пользователя базы данных, непосредственно осуществляющий прием, сбор, обработку, передачу и получение информации с использованием системы защиты;
9) информационная система формирования и использования страховых отчетов - совокупность информационных технологий, информационных сетей и средств их программно-технического обеспечения, предназначенных для реализации Организацией, поставщиками информации, указанными в пункте 5 статьи 8-1 Закона, получателями страховых отчетов (за исключением субъекта базы данных) информационных процессов;
10) меры по защите информационной системы формирования и использования страховых отчетов - организационно-технические мероприятия, направленные на обеспечение безопасного функционирования информационной системы формирования и использования страховых отчетов, в том числе программно-аппаратная защита электронных средств и компьютеров от несанкционированного доступа, обеспечивающая контроль доступа к установленному программному обеспечению и информации, предоставляющая средства разграничения полномочий зарегистрированных пользователей;
11) идентификатор - уникальные персональный код и (или) имя, присвоенные субъекту и (или) объекту системы, и предназначенные для регламентированного доступа в систему и (или) к ресурсам системы;
12) идентификация - процесс присвоения или определения соответствия предъявленного для получения доступа в систему и (или) к ресурсу системы идентификатора перечню идентификаторов, имеющихся в системе;
13) аутентификация - подтверждение подлинности субъекта или объекта доступа путем определения соответствия предъявленных реквизитов доступа имеющимся в системе;
14) уполномоченный орган - государственный орган, осуществляющий регулирование и надзор финансового рынка и финансовых организаций;
15) ключевая информация - криптографические ключи и ключи электронной цифровой подписи;
2. Поставщики информации и получатели страхового отчета (за исключением лиц, указанных в подпунктах 1), 3) и 5) пункта 8 статьи 8-1 Закона) обеспечивают выполнение организационных, технологических условий и требований, установленных законодательством Республики Казахстан, а также вытекающих из заключенных с Организацией договоров о предоставлении информации и (или) получении страховых отчетов.
Глава 2. Формирование и использование страховых отчетов
3. Порядок, сроки и объем информации, предусмотренной пунктом 2 статьи 8-2 Закона, устанавливаются договором о предоставлении информации и (или) получении страховых отчетов.
4. Для регистрации в Организации поставщики информации, указанные в пунктах 1, 5 статьи 8-1 Закона, и получатели страхового отчета, указанные в подпунктах 2) и 4) пункта 8 статьи 8-1 Закона, представляют следующие документы:
1) заявление о регистрации в Организации;
2) нотариально засвидетельствованную копию выдаваемой уполномоченным органом лицензии на право осуществления обязательного страхования гражданско-правовой ответственности владельцев транспортных средств (для получателей страхового отчета, указанных в подпункте 2) пункта 8 статьи 8-1 Закона);
3) копию свидетельства о государственной регистрации юридического лица;
4) информацию о фамилии, имени, при наличии - отчестве и должности лиц, уполномоченных осуществлять запросы в Организацию в порядке, определенном Организацией. При необходимости указанная информация удостоверяется электронной цифровой подписью этих лиц.
5. Основаниями для предоставления страхового отчета является запрос получателей страхового отчета, указанных в пункте 8 статьи 8-1 Закона, с учетом требований, установленных Законом и настоящей Инструкцией.
6. Запрос подается от имени получателей страхового отчета, указанных в подпунктах 2) и 4) пункта 8 статьи 8-1 Закона, уполномоченным лицом, ответственным за подачу запроса в Организацию, информация о котором содержится в реестре получателей Организации.
7. Предоставление Организацией получателям страхового отчета, указанным в подпунктах 1), 3), 5) пункта 8 статьи 8-1 Закона, осуществляется на основании их запроса на бумажном или электронном носителях.
8. Организация ведет учет запросов о предоставлении страховых отчетов и учет предоставленных страховых отчетов.
9. В страховом отчете для субъекта базы данных должна содержаться информация обо всех предоставленных страховых отчетах, с указанием даты выдачи, наименования и реквизитов получателей страхового отчета.
10. Организация при предоставлении страхового отчета указывает всех поставщиков информации и дату получения этой информации Организацией.
11. Поставщик информации, указанный в подпункте 1) пункта 5 статьи 8-1 Закона, представляет в Организацию сведения, предусмотренные пунктом 2 статьи 8-2 Закона, в режиме реального времени.
12. Сведения о страхователе, застрахованном, представляемые в Организацию поставщиком информации, указанным в подпункте 1) пункта 5 статьи 8-1 Закона, должны соответствовать сведениям о страхователе и застрахованном, указанным в заявлении страхователя, предусмотренном пунктом 5 статьи 10 Закона.
13. Структура базы данных определяется Организацией по согласованию с поставщиком информации с учетом требований, установленных Законом, которая обеспечивает выполнение следующих основных функций базы данных:
1) сбор информации, предусмотренной пунктом 2 статьи 8-2 Закона;
2) формирование и выдача страховых отчетов, требования к содержанию которых, установлены Законом и настоящей Инструкцией.
14. Требования к содержанию страхового отчета для получателей страхового отчета, указанных в подпунктах 3) и 4) пункта 8 статьи 8-1 Закона, установлены пунктом 9 статьи 8-1 Закона.
15. Формирование и выдача Организацией страховых отчетов получателю страхового отчета, указанному в подпункте 2) пункта 8 статьи 8-1 Закона, осуществляется в зависимости от уровня доступа к информации, содержащейся в базе данных, его работников, с учетом возложенных на них должностных функций, а также лиц, осуществляющих посредническую деятельность по заключению договоров страхования от имени и по поручению страховой организации в соответствии с предоставленными им полномочиями.
16. Страховые отчеты подразделяются на следующие виды:
1) страховой отчет ограниченного доступа - страховой отчет, содержащий сведения о двойном страховании, о страховых выплатах, об уплаченных страховых премиях, о размерах страховой суммы и об иных сведениях, относящихся к личности страхователя, застрахованного или выгодоприобретателя;
2) страховой отчет стандартного доступа - страховой отчет, содержащий информацию о страховых случаях, о транспортном средстве страхователя, застрахованного или выгодоприобретателя, об иных сведениях, не относящихся к тайне страхования.
17. Страховые отчеты, предусмотренные подпунктом 1) пункта 16 настоящей Инструкции, используются работниками получателя страхового отчета, указанного в подпункте 2) пункта 8 статьи 8-1 Закона, в должностные обязанности которых входит рассмотрение и урегулирование страховых случаев, информация о которых отражается во внутреннем акте, предусмотренном настоящей Инструкцией.
18. В целях обоснованного применения размера страховой премии работники получателя страхового отчета, указанного в подпункте 2) пункта 8 статьи 8-1 Закона, в должностные обязанности которых входит заключение договоров обязательного страхования гражданско-правовой ответственности владельцев транспортных средств и лиц, осуществляющих посредническую деятельность по заключению договоров страхования от имени и по поручению страховой организации в соответствии с предоставленными им полномочиями, получают страховой отчет о классе, присваемом субъекту базы данных (наличие или отсутствие страховых случаев у субъекта базы данных), установленного пунктом 9 статьи 19 Закона.
Глава 3. Информационный процесс
19. Функционирование информационной системы формирования и использования страховых отчетов обеспечивает:
1) координацию и управляемость деятельности ее участников в рамках согласованных процедур и технологических параметров;
2) унификацию используемых программных и технических средств;
3) информационную безопасность, включая устранение возможности раскрытия информации;
4) внедрение высокоэффективных технологий;
5) гибкое и эффективное управление ресурсами;
6) рост качества услуг.
20. Организация и пользователи базы данных обеспечивают:
1) контроль ввода данных;
2) возможность вычисления параметров документов (номеров документов, кода связи, номера договора и другое);
3) генерацию сводной информации;
4) создание резервных копий, архивирование данных;
5) использование информационных систем, имеющих штатные средства защиты, с контролем за правами доступа;
6) наличие регламентированных процедур предоставления и получения электронных сообщений;
7) возможность подготовки аналитических и статистических отчетов.
21. Процесс разработки, внедрения и сопровождения информационных систем включает определение этапов разработки, порядка внесения изменений, приема, тестирования и ввода в промышленную эксплуатацию, требования к документированию всех этапов.
22. Разработка, внедрение и сопровождение информационных систем Организацией выполняется в соответствии с действующими на территории Республики Казахстан стандартами и внутренними документами Организации.
23. Разработка информационных систем выполняется Организацией на основании технического задания, утвержденного их первым руководителем.
Организация обеспечивает возможность приема информации от поставщиков информации либо устанавливает соответствующие требования к используемому ими программному обеспечению. В случае самостоятельной разработки программного обеспечения пользователями базы данных оно согласуется с Организацией.
24. В целях исключения несанкционированного изменения программного обеспечения и (или) данных информационной системы при необходимости внесения изменений (для устранения недостатков или доработки системы) в программное обеспечение, процесс внесения изменений осуществляются в соответствии с техническим заданием, стандартами, действующими на территории Республики Казахстан, и внутренними документами Организации.
Глава 4. Условия обмена информацией между Организацией и пользователями базы данных
25. Обмен информацией между пользователями базы данных и Организацией осуществляется через специальную автоматизированную систему, соответствующую требованиям законодательства Республики Казахстан об информатизации и о техническом регулировании.
26. Информация, предоставленная поставщиком информации, может быть возвращена Организацией без ее использования в информационной системе формирования и использования страховых отчетов, в связи с ее неправильным или неполным оформлением, несоответствием данных поставщика информации, получателя страхового отчета, субъекта базы данных требованиям в используемой информационной системе.
Глава 5. Формирование системы безопасности
27. Информационная система формирования и использования страховых отчетов обеспечивает:
1) конфиденциальность информации - защиту от раскрытия информации в ходе ее хранения, обработки или при передаче по коммуникационным каналам;
2) сохранность информации - защиту от повреждений, целостность и защищенность от несанкционированного изменения, дополнения, копирования или удаления в ходе ее хранения, обработки или при передаче по коммуникационным каналам;
3) доступность - защиту от использования одним пользователем данных и иных ресурсов информационной системы, предназначенных для совместного использования, перехвата информационных сообщений и (или) данных с последующей их задержкой, а также от перехвата информационных сообщений и (или) данных с последующей их задержкой.
28. Базовым компонентом обязательных мер по обеспечению безопасности информационной системы формирования и использования страховых отчетов является применение комплексного подхода к созданию системы информационной безопасности.
29. Комплексный подход к созданию системы информационной безопасности включает анализ и оценку рисков, в том числе по техническим каналам утечки информации, учет характера и важности защищаемой информации, контроль за обеспечением безопасности технологии обработки электронных документов.
30. Организация и пользователи базы данных проводят действия по оперативному выявлению подозрительных действий в реальном режиме времени и включающие мероприятия, направленные на установление:
1) нетипичного поведения (пользователей, программ или аппаратуры);
2) начала активности несанкционированных вторжений или использования зловредного программного обеспечения.
31. Основными направлениями, обеспечивающими комплексный подход к информационной безопасности на программно-техническом уровне являются:
1) контур безопасности;
2) внутрикорпоративная безопасность;
3) управление корпоративной безопасностью.
32. Контур безопасности предназначен для обеспечения защиты информационной системы формирования и использования страховых отчетов (далее - Контур безопасности). Контур безопасности реализует защиту центрального и дополнительных офисов (филиалов, представительств, удаленных офисов), информационных потоков между ними, а также информационных ресурсов, хранящихся на серверах и рабочих станциях внешних соединений информационной системы с другими сетями.
33. Процедуры безопасности Организации и пользователей базы данных предназначены для контроля несанкционированных вторжений и антивирусной защиты, обеспечения их внутренней информационной безопасности и предполагает необходимость построения и поддержания системы, обеспечивающей разделение пользователей на группы в соответствии с их статусом и правами, а также разделение ресурсов по уровню их конфиденциальности.
34. Управление корпоративной безопасностью, в рамках комплексной системы безопасности Организации и пользователей базы данных обеспечивается постоянным контролем за выполнением общих требований политики информационной безопасности, оперативным внесением в нее корректировок и повышения ее уровня.
35. Повышение уровня безопасности предусматривает:
1) определение политики информационной безопасности;
2) установление границ, в которых предполагается поддерживать режим информационной безопасности;
3) проведение оценки рисков;
4) выбор мер противодействия и управления рисками;
5) выбор средств и управления, обеспечивающих режим информационной безопасности.
36. Политика информационной безопасности содержит описание состава используемой информационной системы, список пользователей, их права (в зависимости от их служебного положения и характера выполняемых функций) на доступ к информации, программным и техническим средствам и определяет:
1) общие направления работы в области информационной безопасности;
2) цель и задачи защиты информационной системы;
3) основные принципы и способы достижения необходимого уровня безопасности;
4) определение должностных лиц, ответственных за разработку необходимых требований, определяющих политику информационной безопасности;
5) определение подразделений, ответственных за создание и поддержание работоспособности информационных систем и системы их защиты;
6) меры, предотвращающие нарушения режима безопасности информационных систем в случае возникновения обстоятельств непреодолимой силы, к которым относятся стихийные бедствия, аварии, пожары, отключение электроэнергии, повреждение линий связи, массовые беспорядки, забастовки, военные действия.
37. Организация и пользователи базы данных обеспечивают:
1) соответствие используемых управленческих решений, технологий, подходов и конкретных программно-аппаратных средств действующему законодательству Республики Казахстан;
2) принятие внутренних документов об организации безопасности информационной системы.
38. Процедурный уровень защиты информации включает мероприятия по обеспечению безопасности, предпринимаемые Организацией и пользователями базы данных по следующим направлениям:
1) управление персоналом;
2) физическая защита;
3) реагирование на нарушения режима безопасности;
4) планирование восстановительных работ.
39. Средства идентификации/аутентификации Организации и пользователей базы данных должны соответствовать условиям:
1) устойчивости к сетевым угрозам;
2) обеспечения единого входа в используемую информационную сеть.
41. План защиты информации включает следующие меры:
1) организационные;
2) программно-технические.
40. К организационным мерам обеспечения безопасности относятся:
1) физическая защита информационных систем;
2) поддержание работоспособности информационных систем, имеющих отношение к информационной безопасности;
3) установление каждому пользователю соответствующего права доступа, необходимого для выполнения им возложенных должностных обязанностей и обеспечения взаимозаменяемости;
4) планирование восстановительных работ.
41. Физическая защита подразделяется на:
1) физическое управление доступом;
2) меры противопожарной безопасности;
3) защита поддерживающей инфраструктуры;
4) защита от перехвата данных, защита мобильных систем.
42. Мероприятия по поддержанию работоспособности информационных систем подразделяются на:
1) поддержку пользователей - предоставление консультаций по вопросам информационной безопасности, выявление их типичных ошибок и обеспечение памятками с рекомендациями для распространенных ситуаций;
2) поддержку программного обеспечения - контроль лицензионной (сертифицированной) чистоты программного обеспечения;
3) конфигурационное управление - контроль и фиксирование изменений, вносимых в программную и техническую конфигурацию;
4) резервное копирование для восстановления информационной системы и данных в случае аварии и других обстоятельств непреодолимой силы;
5) управление носителями данных - порядок учета, обращения и хранения;
6) документирование - актуальное отражение текущего состояния дел.
43. В случае нарушения режима безопасности информационных систем ответственные лица, администратор осуществляют:
1) выполнение оперативных мероприятий с целью уменьшения наносимого вреда;
2) анализ и оценку имеющихся сведений о нарушениях - изучение инцидента, выявление повторных нарушений, разработка мер по усовершенствованию системы защиты.
44. Резервное копирование и восстановление после потери работоспособности информационной системы определяются требованиями, установленными в Организации и у пользователей базы данных.
Глава 6. Минимальные требования к электронному оборудованию, сохранности базы данных и помещениям
45. Программное обеспечение пользователя устанавливается на специально выделенном персональном компьютере, имеющем паспорт - описание рабочего места с подробными данными по его месторасположению, конфигурации, а также аппаратным и программным средствам, установленным на нем.
46. Не допускается эксплуатация персонального компьютера пользователя и установка на нем программных средств, не связанных с целями подготовки, обработки, передачи или ведения электронных документов в рамках участия в информационной системе формирования и использования страховых отчетов.
47. Персональный компьютер пользователя должен иметь комплекс защиты, включающий в себя средства идентификации и аутентификации пользователей, возможность ведения электронных журналов в течение срока хранения электронных документов, с целью контроля деятельности, связанной с доступом к компьютеру и действиями пользователей.
48. Одному системному имени пользователя, по которому идентифицируется пользователь, при входе в информационные системы должно соответствовать одно физическое лицо.
49. Паспорт - описание рабочего места оформляется за подписью руководителей Организации и пользователя и хранится у ответственного лица.
50. Персональный компьютер пользователя должен иметь средства обеспечения целостности программного обеспечения.
51. Системный блок персонального компьютера пользователя опечатывается либо пломбируется ответственным лицом. В случае необходимости, допуск к системному блоку осуществляется в присутствии ответственного лица. По окончании работ системный блок опечатывается либо пломбируется ответственным лицом.
52. Порядок доступа к ресурсам (дисковое пространство, директории, сетевые ресурсы, базы данных и другое), выделенным для накопления в них информации для передачи в информационную среду с использованием системы защиты, получения информации из информационной среды, хранения, архивирования либо другой обработки информации, должен исключать возможность несанкционированного доступа к этим ресурсам.
53. Проведение и контроль работ по криптографической защите ведется ответственным лицом, который выполняет:
1) учет, хранение и сопровождение программных средств криптографической защиты;
2) генерацию криптографических ключей, получение, учет, хранение и выдачу информационных носителей, содержащих ключи;
3) ведение списка владельцев криптографических ключей;
4) обеспечение владельцев криптографических ключей необходимыми инструкциями.
54. Рабочее место размещается в отдельном помещении.
55. Месторасположение, в котором находится рабочее место пользователя и технические средства охраны помещения (контроль доступа и охранно-пожарная сигнализация) должны исключать возможность неконтролируемого проникновения в это помещение лиц, не допущенных к рабочему месту пользователя.
56. Техническое помещение Организации должно находиться в охраняемой зоне, иметь кодовые замки и средства регистрации доступа.
При расположении помещения Организации на первых или последних этажах зданий, а также при наличии рядом с окнами балконов, пожарных лестниц, окна помещений оборудуются металлическими решетками.
57. Средства технической защиты помещения Организации и пользователя (контроль доступа), должны исключать возможность неконтролируемого проникновения в это помещение лиц, не допущенных к рабочему месту пользователя. Допуск к работе в Организации осуществляется в соответствии с ее регламентом и должностными обязанностями работников.
Глава 7. Иные вопросы деятельности базы данных
58. Внутренним актом Организации и пользователя определяется порядок работы с системой защиты, включающий:
1) порядок назначения сотрудников, на которых возлагаются обязанности ответственного лица, администратора, оператора;
2) режим работы;
3) права и обязанности ответственного лица, администратора и оператора, включая их должностные инструкции;
4) список сотрудников, допущенных к рабочему месту оператора.
59. Ответственные лица:
1) обеспечивают обязательность процедуры идентификации и аутентификации для доступа к ресурсам информационных систем;
2) не допускают получения права доступа к информационным ресурсам неавторизованными пользователями;
3) контролируют регулярность выполнения резервного копирования информации, обрабатываемой информационной системой;
4) проводят плановую и внеплановую проверку надежности защиты ресурсов системы;
5) обеспечивают защиту оборудования корпоративной сети, в том числе специальных межсетевых программных средств;
6) принимают меры по отражению угрозы и выявлению нарушителей;
7) обеспечивают работоспособность средств защиты от утечки информации через съемные носители (гибкие диски, flash-карты, внешние накопители на жестких дисках и прочие);
8) регулярно просматривают журнал событий, проводят анализ с записями, где были попытки несанкционированного доступа к информации.
60. Ответственное лицо, администратор, оператор дают письменное обязательство о неразглашении и нераспространении информации, ставшей им известной в процессе исполнения ими служебных обязанностей.
61. При увольнении работников пользователя (ответственного лица, администратора или оператора) производится внеплановая смена ключевой информации организации, о чем уведомляется Организация. Новая ключевая информация вводится в действие со дня их увольнения.
62. Ключевая информация должна находиться на внешнем носителе (дискета, пластиковая карточка).
63. Порядок хранения и использования внешних носителей с ключевой информацией должен исключать возможность несанкционированного доступа к ним.
64. При формировании и передаче электронного сообщения Организация и пользователь осуществляют защитные действия, в соответствии с установленным ими порядком использования программно-криптографической защиты и электронной цифровой подписи.
65. В случае нарушения порядка защитных действий или его разглашения, сторона, установившая данное нарушение, немедленно уведомляет об этом другую сторону и принимает меры к ликвидации последствий.
66. Проверка выполнения (соблюдения) Организацией и поставщиком информации, указанным в подпункте 1) пункта 5 статьи 8-1 Закона, организационно-технических, технологических требований по защите программного обеспечения, соответствия используемых им информационных систем установленным настоящей Инструкцией и законодательством Республики Казахстан условиям и требованиям, осуществляется комиссией уполномоченным государственным органом по регулированию и надзору финансового рынка и финансовых организаций, которая составляет акт о соответствии по форме согласно Приложению к настоящей Инструкции.
Глава 8. Заключительные положения
67. Вопросы, не урегулированные настоящей Инструкцией, разрешаются в порядке, определенном законодательством Республики Казахстан.
Приложение 1. АКТ о соответствии Организации, поставщика информации, указанного в подпункте 1) пункта 5 статьи 8-1 Закона, предъявляемым требованиям для начала своей деятельности на рынке информационных услуг и выполнении им организационно-технических, технологических и иных условий по защите программного обеспечения, формированию информационных систем и информационных ресурсов
[не приводится]
