|
 Бақылау-касса машиналарының мемлекеттік тізіліміне енгізу үшін компьютер жүйесінің техникалық талаптарға сәйкестігіне қорытынды беру ережесі
Қазақстан Республикасы Ақпараттандыру және байланыс агенттігі төрағасының 2009 жылғы 27 шілдедегі N 330 бұйрығымен бекітілген
Қазақстан Республикасы
Ақпараттандыру және байланыс
агенттігі төрағасының
2009 жылғы 27 шілдедегі
N 330 бұйрығымен
бекітілген Бақылау-касса машиналарының мемлекеттік тізіліміне енгізу үшін компьютер жүйесінің техникалық талаптарға сәйкестігіне қорытынды беру ережесі 1. Жалпы ережелер 1. Осы Бақылау-касса машиналарының мемлекеттік тізіліміне енгізу үшін компьютер жүйесінің техникалық талаптарға сәйкестігіне қорытынды беру ережесі Ақпараттандыру және байланыс саласындағы Уәкілетті органның (бұдан әрі - Уәкілетті орган) бақылау-касса машиналарының мемлекеттік тізіліміне енгізу үшін (бұдан әрі – Мемлекеттік тізілім) бақылау-касса машиналары компьютерлік жүйелер (бұдан әрі – КЖ) болып табылатын техникалық талаптар мен құжаттарға сәйкестігіне қорытынды беру тәртібін белгілейді.
2. Осы Ережеде "Салық және бюджетке төленетін басқа да міндетті төлемдер туралы" Қазақстан Республикасының Кодексіне (бұдан әрі – Салық кодексі) сәйкес көзделген түсініктер пайдаланылады.
3. Мемлекеттік тізіліміне енгізу үшін компьютер жүйелері мынадай талаптарға сәйкес болуы тиіс:
тауарларды сатқан және қызметтерді көрсету кезінде ақшалай есеп айырысуды тіркеу үшін пайдалануы;
әрбір жеке төлемнің әр ауысымдық түзетілмейтін тіркеуді қамтамасыз ету;
ақпараттың жариялану мүмкіндігін жоюды қосқанда, ақпараттық қауіпсіздігін қамтамасыз ету;
қуатқа тәуелсіз ұзақ мерзімді ақпаратты сақтауды қамтамасыз ету;
жүйелерінің барлық функцияларына мемлекеттік және орыс тілдерінде тең қол жеткізуді қамтамасыз етуі;
деректердің резервтік көшірмелерін құруды, мұрағаттауды қамтамасыз ету;
қол жеткізу құқықтарын бақылаумен, штаттық қорғау құралдары бар ақпараттық жүйелердің пайдалануын қамтамасыз ету. 2. Мемлекеттік тізілімге енгізу үшін компьютер жүйесінің техникалық талаптарға сәйкестігі туралы қорытынды беру тәртібі 4. КЖ иесі (бұдан әрі - Өтініш беруші) КЖ Мемлекеттік тізілімге енгізу үшін Қазақстан Республикасының пайдаланыстағы заңнамасына сәйкес Уәкілетті органға мынадай құжаттарды мемлекеттік және орыс тілдерінде ұсынады:
1) осы Ережеге 1-қосымшада белгіленген нысан бойынша толтырылған өтініш-сауалнама;
2) КЖ функциональдық мүмкіндіктері мен сипаттамаларының толық сипаттамасы және "Салық инспекторының жұмыс орны" режимінде пайдалану бойынша нұсқаулық;
3) КЖ функцоналының көшірмесінен тұратын компакт-дискісі;
4) КЖ орнату және іске қосудың нұсқаулығы;
5) заңды тұлғаны мемлекеттік тіркеу, қайта тіркеу туралы куәліктің немесе заңды тұлға құрмай-ақ (жеке кәсiпкерлiк) мемлекеттік тіркеу туралы куәліктің нотариалды куәландырылған көшірмесін;
6) салық төлеуші ретінде тіркеу туралы куәліктің көшірмесі:
7) заңды тұлғаның құрылтайшы құжаттарының нотариалды куәландырылған көшірмесін;
8) "Лицензиалау туралы" Қазақстан Республикасының Заңына сәйкес міндетті лицензиалануға жататын, кәсіпкерлік қызметпен айналысуға құқығына лицензияның нотариалды куәландырылған көшірмесін;
9) статистикалық карточканың нотариалды куәландырылған көшiрмесiн;
10) Қазақстан Республикасының заңнамасына сәйкес сәйкестікті растайтын және КЖ құрамына кіретін техникалық және бағдарламалық құралдардың ақпараттық қауіпсіздіктің талаптары бойынша сәйкестігі сертификатының нотариатпен куәландырылған көшірмесі;
Құжаттар қағаз жүзінде және электрондық тасымалдағыштарда ұсынылады.
5. КЖ Мемлекеттік тізілімге енгізуге техникалық талаптар мен құжаттарға сәйкестігіне қорытынды беру туралы мәселелерді қарауды және өтініш беруші ұсынған мәліметтерді тексеруді Уәкілетті орган белгіленген талаптарға сәйкес қажетті материалдар қоса берілген өтініш-сауалнаманы қабылдаған күннен бастап отыз жұмыс күнінің ішінде қарайды.
6. Уәкілетті орган құжаттарды рәсімдеу кезінде қателерді, құжаттардың пакеті толық еместігін және оларға жатпайтын құжаттардың рәсімделгенін анықтаған кезінде, құжаттардың пакетін алған күнінен кейін үш жұмыс күн ішінде өтінішті қараусыз қалдырады және өтініш берушіге құжаттардың қайтарылуының дәлелді себептері көрсетілген хатты жібереді.
7. Уәкілетті орган өз құзыреті шегінде осы Ережеге 2-қосымшаға сәйкес белгіленген талаптарына сәйкес арнайы техникалық жабдықты және бағдарламалық қамтамасыз етуді тексеруді жүргізеді.
8. Уәкілетті орган арнайы техникалық жабдықты және бағдарламалық қамтамасыз етуді тексеруді жүргізу үшін мамандарды, кеңесшілерді, кіші ведомствалық ұйымдардың және мемлекеттік органдардың сарапшыларын (бұдан әрі – сарапшылар) шарттық немесе ақысыз негізде тартуы мүмкін.
9. Уәкілетті орган Мемлекеттік тіркелімге КЖ қорытынды беру туралы мәселені қарау барысында КЖ режимінде тестілеуді жүргізеді. Уәкілетті органмен жүйені іске қосуды қарау мүмкін болмаған жағдайда, өтініш берушінің (өтініш берушінің стендінде) аумағында КЖ әзірлеуші компанияның өкілдерінің міндетті қатысуымен тестілеуді жүргізіледі.
10. Уәкілетті орган өз құзыреті шегінде өтініш берушіден КЖ техникалық сипаттамалары туралы қосымша ақпарат сұрауға, сараптама жүргізу мақсатында өтініш берушінің КЖ тұрған жеріне баруға құқылы.
11. КЖ Мемлекеттік тізілімге енгізуге қойылатын техникалық талаптар мен құжаттарға сәйкестігіне қорытындыны дайындаған кезде қажетті "Салық инспекторының жұмыс орны" бар болуын ескеруі қажет, оның көмегімен КЖ фискалдау режимінде қою енгізілуі тиіс.
КЖ әзірлеу, енгізу және сүйемелдеу үдерісі барлық кезеңдерін құжаттандыруға қойылатын талаптары, пайдалануға енгізу және тестілеудің, қабылдаудың өзгерістер енгізудің тәртібі, әзірлеудің кезеңдерін анықтау кіреді. КЖ әзірлеу, енгізу және сүйемелдеу Қазақстан Республикасы аумағындағы қолданыстағы стандарттармен және олардың ішкі құжаттарына сәйкес орындалады.
КЖ және қорғау құралдарын қалыптастыру және пайдалану кезінде сертификатталған жабдық пен бағдарламалық қамтамасыз ету пайдаланылады.
Түзетілмейтін фискалдық ақпаратқа өзге де қол жеткізудің жоқтығына тексеру жүргізіледі. Сондай-ақ, КЖ жүйесінің фискалдық деректеріне қол жеткізу үшін крипто-кілттерді қалыптастыру және оларды беру сұранысын құру қажет, қызмет көрсету кезінде қолма-қол ақшамен, төлемдік банк карточкаларымен, чектермен, фискалдық есептерді алумен, сауда операцияларын жасаған, қызметтер көрсеткен кезде жүзеге асырылатын одан әрі түзету мүмкін емес барлық ақшалай есеп айырысуды тіркейтін міндетті тіркеу жүргізілуі тиіс.
12. Фискалдық деректерге қол жеткізудің және асимметриялық шифрлаудың крипто-кілттерін қалыптастыру кезінде жүйедегі пайдаланылатын бағдарламалық құралдары Қазақстан Республикасының техникалық реттеу заңнамасына сәйкес сертификатталуы тиіс.
13. "Салық инспекторының жұмыс орны" модулін қамтамасыз ету, сондай-ақ фискалдық есептер Қазақстан Республикасы Қаржы министрінің 2008 жылғы 30 желтоқсандағы N 636 бұйрығымен бекітілген техникалық талаптарға және бақылау-кассалық машиналардың техникалық талаптарға сәйкестілік нысанына сәйкес жүзеге асырылатын болады.
14. КЖ бағдарламалық операциялық ортаны рұқсатсыз қол жеткізуден және вирустық бағдарламаның кіруінен қорғаудың бар болуы қажет. Ақпараттық жүйені пайдаланушыда ақпараттық жүйені пайдалану және барлық құрамдас бөліктерін толығынан қорғау бойынша толық басшылығы болуы тиіс.
15. КЖ өзінің құралдарымен КЖ клиенттік машиналарында және серверлерінде, кез келген уақытта түзету мүмкін еместігін қамтамасыз етуі тиіс.
16. Пайдаланушының/оператордың жұмыс орнының ақпараттық қауіпсіздікті қамтамасыз ету бойынша нұсқаулыққа сәйкес (оператордың, салық инспекторының жұмыс орнының ақпараттық қауіпсіздігі қамтамасыз етіледі.
17. Осы ережемен және Қазақстан Республикасының заңнамасымен және талаптары және шарттарымен белгіленген пайдаланыстағы КЖ сәйкестігіне бағдарламалық қамтамасыз етуді қорғау бойынша ұйымдастырушылық-техникалық, технологиялық талаптардың өтініш берушімен сақталуы Уәкілетті органның, сондай-ақ Қазақстан Республикасы Қаржы министрлігінің Салық комитетінің және Қазақстан Республикасы Ўлттық Банкінің өкілдері және сарапшылары кіруі мүмкін сарапшылар тобымен бекітіледі. Бекіту формасы – талаптарына сәйкестігі туралы акті.
Сәйкестігі туралы актіге сарапшы тобының барлық мүшелері және өтініш берушінің өкілдерінің қолы қойылады. Егер сарапшы тобының мүшелерінен біреуі қабылданған шешіммен келіспеген жағдайда және сәйкестігі туралы актіге қолын қоймаса, ол өзінің бас тартуы туралы себептері туралы ақпаратты сарапшы топқа жазбаша түрде ұсынады және олар сәйкестігі туралы актіге қосымша беріледі.
Сәйкестігі туралы акті сарапшы тобының мүшелерінің үштен екісінің қолы қойылса, қабылданды деп есептеледі.
18. Уәкілетті орган өтінішті қараудың нәтижесі бойынша КЖ техникалық талаптар мен құжаттарға сәйкестігіне көзделген бақылау-касса машиналарының мемлекеттік тізіліміне енгізуге қорытынды береді.
19. КЖ техникалық талаптар мен құжаттарға сәйкестігіне бақылау-касса машиналарының мемлекеттік тізіліміне енгізуге қорытындысы осы ережеге 3-қосымшада белгіленген нысанда беріледі.
20. КЖ қойылатын техникалық талаптар мен құжаттарға сәйкес келмеген жағдайда, Уәкілетті орган Өтініш берушіге бас тартудың дәлелді себептері көрсетілген хатты жібереді.
21. Өтініш беруші КЖ қойылатын техникалық талаптар мен құжаттарға анықталған сәйкес еместігін жойғаннан кейін, өтінішін қайтадан енгізеді.
22. КЖ мен бақылау-кассалық машиналарында, сондай-ақ оларды қалыптастыру жағдайы өзгерген жағдайда, өндірістік пайдалануға оны енгізген сәтінен бастап жеті жұмыс күні ішінде қағаз жүзіндегі және электрондық тасымалдағышта тиісті ақпаратты Уәкілетті органға ұсынады.
Уәкілетті орган КЖ өзгертілген нұсқалары мен модулдерінің техникалық талаптарға сәйкестігіне тексеруді жүргізеді. Бақылау-касса машиналарының
мемлекеттік тізіліміне енгізу
үшін компьютерлік жүйенің
техникалық талаптарға сәйкестігі
туралы қорытынды беру ережелеріне
1-қосымша Өтініш - сауалнама Өтініш берушінің атауы
____________________________________________ ________________________________________________________________ СТН |__|__|__|__|__|__|__|__|__|__|__| Өтініш берушінің орналасқан жері
Облысы ________________ қаласы ________________
ауданы ________________ көшесі ________________ үйі ______
КЖ атауы _________________________________________________
__________________________________________________________
КЖ
әзірлеуші ________________________________________________
__________________________________________________________
нұсқасы _______________ КЖ жасау датасы __________________ КЖ әзірлеушінің орналасқан жері
Облысы ________________ қаласы ______________
ауданы ____________ көшесі ______________________ үйі ____
Өтініш беруші жоғарыда аталған КЖ-ның мынадай талаптарға
сәйкестігін растайды екенін растайды, атап айтқанда:
Нақты тіркелген компьютерлік жүйеде фискализация іс-жосығының суреттемесі жүзеге асырылады
(иә/жоқ, қандай құралдармен қамтамасыз етіледі) ___________
_________________________________________________________________ Серверді пайдаланушыны сәйкестендіру операциялық жүйе деңгейінде жүзеге асырылады (ОЖ)
(иә/жоқ, қандай құралдармен қамтамасыз етіледі) ___________
_________________________________________________________________
Деректер қорларын (ДК) пайдаланушыны сәйкестендіру дерек қорларды басқару жүйесі (ДҚБЖ) деңгейінде жүзеге асырылады
(иә/жоқ, қандай құралдармен қамтамасыз етіледі) ___________
_________________________________________________________________
Парольды таңдаған жағдайда, ДҚБЖ құралдарымен серверге қол жеткізу (иә/жоқ, қандай құралдармен қамтамасыз етіледі) _________
_________________________________________________________________
Парольдың қолданылу мерзімі (күндер саны):
пайдаланушының ____________________________________________
жүйе әкімшісінің __________________________________________
дерекқор әкімшісінің ______________________________________
Парольдың ең аз ұзындығы (символдар саны):
пайдаланушының ___________________________________________
жүйе әкімшісінің _________________________________________
дерекқорлар әкімшісінің __________________________________
КЖ парольдың күрделілігін тексеру (сандарды және арнайы символдарды міндетті түрде пайдалану)
(иә/жоқ, қандай құралдармен қамтамасыз етіледі) __________ ________________________________________________________________
КЖ пароль ұзындығын автоматты бақылауды қамтамасыз етеді
(иә/жоқ, қандай құралдармен қамтамасыз етіледі) __________ ________________________________________________________________
КЖ бір жүйенің атымен қосымшаға екі не және одан да көп пайдаланушылардың қосылу мүмкіндігін болдырмайды
(иә/жоқ, қандай құралдармен қамтамасыз етіледі) __________ ________________________________________________________________
Қосымшаны пайдаланушылардың ДҚ-ға қосымшаның өзінен басқа құралдармен қосылуының мүмкін еместігі
(иә/жоқ, қандай құралдармен қамтамасыз етіледі) __________ ________________________________________________________________
Пайдаланушылардың ДҚ ақпаратына ДҚБЖ құралдарымен қол жеткізу құқығын ажырату
(иә/жоқ, қандай құралдармен қамтамасыз етіледі) __________ ________________________________________________________________
Пайдаланушылардың ДҚ ақпаратына қосымша құралдарымен қол жеткізу құқығын ажырату
(иә/жоқ, қандай құралдармен қамтамасыз етіледі) __________ ________________________________________________________________
Әрбір операция пайдаланушы, датасы және уақыты бойынша сәйкестендіріледі
(иә/жоқ, қандай құралдармен қамтамасыз етіледі) __________ ________________________________________________________________
Әрбір операция мағыналы тізбекті бірегей нөмірмен белгіленеді
(иә/жоқ, қандай құралдармен қамтамасыз етіледі) __________
________________________________________________________________
КЖ сәулет болып табылады: клиент-сервер, пост-терминал
(қажеттісінің астын сызу)
Кез келген ақпарат ДҚ-ға қосымшаның көмегімен енгізіледі
(иә/жоқ, қандай құралдармен қамтамасыз етіледі) __________ ________________________________________________________________
Операция басталғаннан кейін ДҚ-ға және клиенттік жағында енгізілген ақпаратқа қосымша құралдарымен түзетудің мүмкін еместігі
(иә/жоқ, қандай құралдармен қамтамасыз етіледі) __________ ________________________________________________________________
Қате енгізілген операция "түзету" операциясын жүзеге асыру жолымен түзетіледі
(иә/жоқ, қандай құралдармен қамтамасыз етіледі) __________ ________________________________________________________________
Соңғы пайдаланушы өзінің орындайтын функцияларының шеңберінде ДҚ иелік етуге құқылы
(иә/жоқ, қандай құралдармен қамтамасыз етіледі) ___________
_________________________________________________________________
Қосымша, ДҚБЖ және сервер әкімшілерінің арасында құқықтарды бөлу (әкімшілердің іс-қимылдарын реттейтін нормативтік құқықтық актілерді көрсету) _____________________________________________
________________________________________________________________
Аудиторлық журналдар әкімшілік құқықтары бар пайдаланушылардың барлық іс-қимылдарын автоматты түрде тіркейді
(иә/жоқ, қандай құралдармен қамтамасыз етіледі) __________
________________________________________________________________ ________________________________________________________________
Аудиторлық журналдар пайдаланушылардың барлық іс-қимылдарын автоматты түрде тіркейді (иә/жоқ, қандай құралдармен қамтамасыз етіледі) _______________________________________________________ ________________________________________________________________
Белгілі бір уақыт ішінде (5 минут) тұрып қалған жағдайда, Клиенттік қосымшаны оны ДҚ-дан ажырату (иә/жоқ, қандай құралдармен қамтамасыз етіледі, уақытша интервал) __________________________ ________________________________________________________________
ДҚ-мен жұмыс істегенде оператордың іс-қимылын уақыт бойынша шектеу
(иә/жоқ, қандай құралдармен қамтамасыз етіледі, уақытша интервал) ______________________________________________________ ________________________________________________________________ ________________________________________________________________
Авторландырусыз қол жеткізуі бар есепке алу жазуларын ОЖ құралдарымен қорғау (guest, anonymosі және басқалар)
(иә/жоқ, қандай құралдармен қамтамасыз етіледі, уақытша интервал) ______________________________________________________ ________________________________________________________________ ________________________________________________________________
Компьютерлік жүйе, электр қоректендіру және басқалары жұмыс тоқтап істемей қалған жағдайда, деректерді қалпына келтіру бойынша шаралар: | Деректерді қалпына келтіру бойынша шаралар | Иә | Жоқ | | қосарланушы серверді пайдалану, "кластер" жүйесін пайдалану | | | | серверлерде түрлі деңгейдегі (1-5) RAID кіші жүйесін қолдану | | | | Транзакциялар мен ДҚ журналдарының резервтік көшірмесін жасау | | | Өзгесі (көрсетілсін) _______________________________________
____________________________________________________________ Транзакциялар мен ДҚ журналдарының резервтік көшірмесін жасау: | | ДҚ үшін | Транзакциялар журналы үшін | | резервтік көшірмелерді жасау мерзімділігі (айына/ жылына/рет,) резервтік көшірмелердің саны (дана) | | | | резервтік көшірмелердің сақтау мерзімі (жыл) | | | | резервтік көшірмелерді сақтау орны (резервтік орталық/сейф ж.т.б.) | | | Жүйені толық қалпына келтіру уақыты
_______________________________
ДҚ қалпына келтіру журналының резервтік көшірмелерінің бар болуы
(иә/жоқ) _____________________
"Салық инспекторының жұмыс орны" болуы (иә/жоқ) ___________;
"Салық инспекторының жұмыс орны" пайдалану бойынша құжаттардағы компьютерлік жүйесін фискалдау бойынша ұқсас рәсімдердің болуы (иә/жоқ) ________________________________________________________;
"Салық инспекторының жұмыс орны" компьютерлік жүйесінің фискалдау режимінде іске асыру (иә/жоқ, қандай құралдармен қамтамасыз етіледі) _____________________________________________________;
Фискальдық деректерге қол жеткізу үшін криптографиялық кілттерді қалыптастырудың режимін іске асыру (иә/жоқ, қандай алгоритмдері және стандарттары пайдалануда) ______________________________________________________________;
Келесі фискальдық есептер үшін жұмысын аяқтаған уақытындағы деректерді сақтау кезінде ассиметриялық шифрлаудың криптографиялық функцияларын компьютерлік жүйеде іске асыру (иә/жоқ, қандай алгоритмдері және стандарттары пайдалануда) __________________;
Фискальдық есептерді алудың режимінде іске асыру "Салық инспекторының жұмыс орны" (иә/жоқ, қандай құралдармен қамтамасыз етіледі) ___________ ___________________________________________________ __________
өтініш берушінің немесе оның басшысының Т.А.Ә. қолы
М.О. Бақылау-касса машиналарының
мемлекеттік тізіліміне енгізу
үшін компьютерлік жүйенің
техникалық талаптарға сәйкестігі
туралы қорытынды беру ережелеріне
2-қосымша Қауіпсіздік жүйесін қалыптастыру және үй-жайына, электрондық және техникалық жабдығына қойылатын кішкене талаптары 1. Компьютерлік жүйе тұрғын емес үйде, кіруі шектеулі үй-жайда орналасады.
2. Компьютерлік жүйенің қауіпсіздік жүйесі осы Ережемен белгіленген мынадай талаптарға:
1) серверлік үй-жайға және кіруі шектеулі үй-жайға;
2) қызметін автоматтандыру үшін пайдаланылатын жүйелі бағдарламалық қамтамасыз етуге;
3) қызметін автоматтандыру үшін пайдаланылатын арнайы бағдарламалық қамтамасыз етуге (ақпараттық жүйеге);
4) техникалық құрал-жабдықтарына (ақпараттық ресурстарына);
5) ақпарат қауіпсіздігін қамтамасыз етуге жауап беруі тиіс.
3. Компьютерлік жүйенің жабдықталған серверлік үй-жайында мыналар бар:
1) кіруді бақылау жүйесі (жеке электронды рұқсатнама);
2) серверлік үй-жайына кіру бейне бақылау жүйесі және кросс бөлмелері;
3) толық толтырылған міндетті резервтік газы бар және кепілдік берілген қорек жүйесіне қосылған өрт сөндіру автоматты жүйесі;
4) есік, терезелердің күзет сигнализациясы және герметикалық аймақтың ішіндегі датчиктер жүйесі;
5) серверлік бөлменің гермоаймағында тұрған таза қоректің тоқтаусыз жүйесі;
6) тәулік бойғы кезекшілік жарықты қосқандағы серверлік және кросс бөлмелерінің барлық электр желісінің кепілдік берілген қорек жүйесі;
7) резерві толық кондиционирлеу жүйесін;
8) КЖ иесінің қызметіне қатысы жоқ үй-жайдағы жұмыс орнын орналастыруға тиым салынады;
9) кіруі шектеулі үй-жай үйдің бірінші немесе соңғы қабаттарында орналасқан жағдайда, сондай-ақ балкондардың терезелерінің жанында өрт баспалдақтары бар болса, үй-жайдың терезелері металл торкөздермен жабдықталады.
4. Серверлік үй-жай соңынан кеңістікті кеңейту мүмкіндігі бар және ірі габариттік аппаратураларды орналастыру мүмкіндігі бар жерлерге орналасуы және мынадай талаптарға жауап беруі тиіс:
1) cерверлік бөлменің ең төменгі қол жетімді мөлшері - 20 шаршы метр;
2) cерверлік бөлме кондуитті мөлшері 1,5 үйдің жерге қосылу жүйесінің бас электродымен қосылуы тиіс;
3) cерверлік бөлменің талап етілетін биіктігі 2,44 метр болуы тиіс.
5. КЖ пайдаланушының жұмыс орны мынадай талаптарға сәйкес келуі тиіс:
1) бағдарламалық қамтамасыз ету тұрғылықты орны, конфигурациясы, сондай-ақ оған орнатылған аппараттық және бағдарламалық құрал-жабдықтары қойылған арнайы бөлінген дербес компьютерге орнатылады. Паспорт ұйым басшысының қолымен ресімделеді және ол жауапты тұлғада сақталады;
2) жауапты тұлғаның дербес компьютерін пайдалануға және дайындау, өңдеу, жіберу мақсаттарымен байланыссыз немесе ақпараттық жүйеге қатысу аясындағы электрондық құжаттарды жүргізу жүйесінде бағдарламалық құрал-жабдықтарды қоюға жол берілмейді;
3) жауапты тұлғаның дербес компьютерінде мынадай қорғаныс кешені болуы тиіс:
пайдаланушының бірегейлендіретін және аутентификациялайтын құрал-жабдықтары;
компьютерьге кіруге және пайдаланушылардың іс-қимылдарына байланысты қызметті бақылау мақсатында электронды құжаттарды сақтау мерзімі аралығында электронды журналдарды жүргізу мүмкіндігі;
4) пайдаланушы бірегейлендіретін пайдаланушының (жауапты тұлғаның) бір жүйелі атының болуы, ақпараттық жүйеге кіру кезінде онда бір жеке тұлға сәйкес келуі тиіс;
5) дербес компьютерде бағдарламалық қамтамасыз етудің бүтіндігі мен құпиялылығын қамтамасыз ететін құрал-жабдық болуы тиіс;
6) желілік ресурстар мен сыртқы тасымалдаушыларға, сондай-ақ оператордың дербес компьютеріне ақпаратты кіргізу-шығару порттары, оның ішінде кіргізу-шығару базалық жүйесін жұмысқа дайындау да ажыратылуы тиіс;
7) дербес компьютердің жүйелі блогын, ақпаратты кіргізу-шығару порттарын басқарушы мөрмен жабады не пломбылайды. Мөрмен жабу (пломбылау) процесі тегін, атын, бар болса - әкесінің атын, қызметін, келу күнін, уақытын және пломбылау (мөрмен жабу) мақсатын көрсете отырып, арнайы журналында тіркеледі. Ноутбуктер үшін порттарды мөрмен жаппай, кіргізу-шығару базалық жүйесіндегі қондырғыларды ажыратуды пайдалануға ғана рұқсат беріледі. Үйден ақпараттық қауіпсіздік қызметі басшысының жауапты қызметкерінің өтінімдері негізінде жасалатын профилактикалық және жөндеу жұмыстарын жүргізуден басқа жағдайларда компьютерлер мен ноутбуктерді алып шығуға тыйым салынады;
8) қорғаныс жүйесін пайдалана отырып, ақпараттық ортаға берілетін ақпаратты жинақтау үшін бөлінген өзге ресурстарға (дискілік кеңістік, директория, деректер базасы және деректер базасының резервтік көшірмелері) кіру тәртібі, ақпараттық ортадан ақпарат алу, ақпаратты сақтау, архивтеу және басқа да өңдеу осы ресурстарға санкцияланбаған кіру мүмкіндігін болдырмауы тиіс;
9) жауапты тұлғаның жұмыс орнына және кіруі шектеулі үй-жайына кіру оның лауазымдық міндеттеріне сәйкес жүзеге асырылады.
6. Өтініш берушінің жүйелі бағдарламалық қамтамасыз етулерін пайдалануы (операциялық жүйелер, деректер базасын басқару жүйесі, офистік бағдарламалар, вирусқа қарсы бағдарламалар) лицензиямен, сертификаттармен расталуы тиіс.
7. Ақпараттық қауіпсіздік мақсатында кредиттік бюроның бағдарламалық қамтамасыз етуі мыналарды қамтамасыз етуі тиіс:
1) криптографиялық қайта құру арқылы бірегейлендіруді және аутентификациялауды;
2) пайдаланушылардың құқықтарын шектемеу;
3) бағдарламалық қамтамасыз ету ядросы деңгейіндегі жұмысты қамтамасыз ету нәтижесі бойынша жүйе аясындағы бірде-бір мәні бар іс-қимыл (пайдаланушының немесе процестегі іс-қимыл болса да) қауіпсіздік механизмінің қатысуынсыз өтпеуі тиіс;
4) бағдарламалық қамтамасыз етуде іске асырылған қауіпсіздік схемасы, бағдарламалық қамтамасыз ету іске асырылатын операциялық жүйенің өзінің қауіпсіздік құралдарынан оқшаулануы тиіс, былайша айтқанда, операциялық жүйенің өзінің қауіпсіздік құралдарының осалдығы бағдарламалық қамтамасыз етудің қауіпсіздік жұмысына әсер етпеуі тиіс;
5) бағдарламалық қамтамасыз етудегі деректердің тұйықталып сақталуы мынадай тәсілмен ұйымдастырылып, қамтамасыз етілуі тиіс:
бағдарламалық қамтамасыз етудің қосымшаларының жұмыс аясынан тыс аталған деректерге логикалық жағынан кіру мүмкін болмаған жағдайда;
бағдарламалық қамтамасыз етудің деректер базасына/базасынан жасалған кез-келген ауыстырулар қауіпсіздік механизмдерінің бақылауымен;
6) фактіні, объектіні және жою процесіндегі субъектіні сәйкестендіру үшін қажетті ақпаратты белгілеу, белгілі бір уақыт аралығында жойылған, өзгертілген деректерді қалпына келтіру мүмкіндігі;
7) іркілістер пайда болған кезде тұрақты жұмыс істету мүмкіндігі;
8) пайдаланушының жұмыс орны істен шыққан немесе қаскүнем оған санкцияланбаған жолмен кіруі жүйенің серверлік бөлігінің жұмысында байқалмаған, ал сервер қосымшаларының іркілісі жүйе деректерінің жай-күйіне әсер етпеген жағдайдағы "клиент-сервер" үш деңгейлі сәулетімен;
9) тіркеу журналында белгілеу, сондай-ақ кез-келген субъект тарапынан қорғау мүмкіндігі болатын жүйелі маңызды оқиғалар аудиті;
10) пайдаланушылар мен басқарушылардың байланыс орнату әрекетінен бастап, сәтті, сондай-ақ сәтсіз іс-қимылдарының аудиті;
11) экспортқа және импортқа шығарылатын деректерді бақылау;
12) қауіпсіздік модульдері мен механизмдерін әзірлеу (пысықтау) мүмкіндігі;
8. Өтініш берушінің техникалық құрал-жабдықтарына қойылатын талаптар:
1) меншікті аппараттық қамтамасыз етудің болуы (компьютерлік жабдықтар, серверлер, қорғаныстың аппараттық құрал-жабдықтары, комплектілік және өзге де жабдықтар), сондай-ақ кредиттік бюроның аппараттық қамтамасыз етілудегі керек-жарақтарын растайтын құжаттардың болуы;
2) сәйкестілікті растаушы орган берген қауіпсіздік талаптарына сәйкестікке аппараттық қамтамасыз ету сәйкестілігі сертификаттарының болуы;
3) кепілдік берілген қорек жүйесі – бар ұйымда таза қорек желісіндегі электр қуатын үзіліссіз қолдау арқылы және резервті автоматты түрде қосу қалқанының, үзіліссіз қорек жүйесінің (бұдан әрі - ҮҚЖ) екі қайнар көзі сигналынан атқарылатын дизельді генератор қондырғысының болуы.
9. Компьютерлік жүйенің серверлері бас тартатын тұрақты аяқталған жүйеден тұруы тиіс және аппараттық бөлікті жүз пайыз қайталайтын кластерді білдіруі тиіс. Кредиттік бюроның деректер базасының резервтік серверлері негізгі серверден он километрден кем емес аралықта орналасуы тиіс.
10. Ақпарат қауіпсіздігін қамтамасыз ететін ұйымға қойылатын талаптар:
1) аппаратты шекаралық маршрутизаторлардың көмегімен трафикті шифрлау арқылы деректер берудің қорғанысты арнасының болуы;
2) интернет желісінен ұйымның компьютер желісіне жасалатын шабуылдарды желіаралық экранның көмегімен анықтау (болдырмау) жүйелерінің болуы;
3) пайдаланушының криптокілті мен сәйкестендіру жүйесінің көмегімен компьютерлерді криптографиялық жағынан қорғау жүйесінің болуы;
4) пайдаланушылардың желілік карталарының тасымалдағыштарына кіруді басқаратын сәйкестендіру жөніндегі трафикті аппараттық желілік талдаушының болуы;
5) резервтік көшірме жасау – ақпаратты сыртқа тасымалдағыштар кітапханасы жүйесінің болуы.
Өтініш беруші жоғарыда аталған талаптарды іске асыру үшін, ақпарат қауіпсіздігін осалдықтар мен қауіп-қатерден сақтау үшін тәуекелдерді талдайды және баға береді.
11. Өтініш беруші өз қызметі процесінде мынадай талаптарды орындайды:
1) ақпарат қауіпсіздігі қызметінің болуы;
2) кредиттік тарихтар бойынша жауапты тұлғалардың болуы;
3) ақпарат қауіпсіздігі қызметі саясатының болуы;
4) парольдерді қалыптастыру және пайдалану саясатының болуы;
5) резервтік көшірме жасау саясатының болуы (мұрағатталуы);
6) пайдаланушылардың, қауіпсіздік басқарушыларының, жүйелі басқарушылардың кіруіне шек қою және олардың міндеттері жөніндегі рәсімдерді сипаттайтын құжаттаманың болуы.
12. Өтініш беруші мыналар бар ақпараттық жүйемен жұмыс тәртібін анықтайтын ішкі құжатты қабылдайды:
1) жауапты тұлға болу міндеті жүктелетін қызметкерлерді тағайындау тәртібін;
2) жұмыс режимін;
3) лауазымдық нұсқаулықтарды қосқандағы жауапты тұлғалардың құқықтары мен міндеттері;
4) оператордың жұмыс орнына кіруге рұқсат берілген қызметкерлердің тізімі;
5) оператордың жұмыс орнына айырықша жағдайларда (дағдарыс жағдайында, сондай-ақ қызметкердің орнын ауыстырған жағдайда) ғана кіруге рұқсат берілген қызметкерлердің тізімі.
13. Жауапты тұлғалар:
1) ақпараттық жүйе ресурсына кіру үшін бірегейлендіру және аутентификациялау рәсімдерінің міндеттілігін қамтамасыз етеді;
2) рұқсат берілмеген пайдаланушылардың ақпараттық ресурстарға кіру құқығын алуына жол берілмейді;
3) ақпараттық жүйе өңделіп отырған ақпараттың резервтік көшірмесін жасаудың тұрақты болуына бақылау жасайды;
4) жүйе ресурстарының қорғалу сенімділігін жоспарлы түрде және жоспардан тыс тексеру жүргізеді;
5) корпоративті желінің жабдықтарын, оның ішінде арнайы желіаралық бағдарламалық құрал-жабдықтарды қорғауды қамтамасыз етеді;
6) қауіп-қатерді көрсету және бұзушыларды анықтау жөнінде шаралар қабылдайды;
7) оқиғалар журналын, ондағы ақпаратқа рұқсатсыз қол жеткізу әрекеттерінің болғандығы туралы жазбаларды тұрақты қарап отырады.
14. Өтініш берушінің қызметкерлері (жауапты тұлға, басқарушы, оператор) олардың қызметтік міндеттерін орындау барысында белгілі болған ақпаратты жарияламау және таратпау туралы жазбаша міндеттеме береді.
15. Жауапты тұлға жұмыстан шыққан жағдайда өтініш берушінің кілт жөніндегі ақпараты жоспардан тыс ауыстырылады, бұл туралы кредиттік бюро хабардар етіледі. Өтініш берушінің кілт жөніндегі жаңа ақпарат олар жұмыстан шығарылған күннен бастап қолданысқа енгізіледі.
16. Өтініш берушінің кілт жөніндегі жаңа ақпараттағы сыртқы тасымалдаушыларды сақтау және пайдалану тәртібі оған рұқсатсыз қол жеткізу мүмкіндігін болдырмауы тиіс.
17. Ақпаратқа қол жеткізуге қойылатын талаптар:
1) қосымша құралдарымен, ДҚБЖ құралдарымен де БЖ-ға ақпаратқа оператордың ену құқығын шектеу;
2) ДҚБЖ деңгейінде, ОЖ деңгейінде де серверді және ДБ операторлардың бірегейлендіруі;
3) бір жүйелік атпен екі және одан да астам операторлардың қосымшаға қосылу, сондай-ақ өз қосымшасына ұқсамайтын құралдармен ДБ-на операторлардың қосылу мүмкіндігін болдырмау;
4) қосымшаның көмегімен ғана ДБ-на ақпаратты енгізу мүмкіндігі;
5) жұмыс және демалыс күндеріндегі жеке жұмыс графиктерін құру мүмкіндігі;
6) ДБ-нан ақпаратты енгізу, түзету және алып тастау бойынша әкімшілік іс-әрекеттерін қадағалау үшін аудиторлық журналды ДҚБЖ көмегімен құру;
7) жұмыс станциясының операторында олардың орындалатын функцияларының шегінде ғана ДБ-сын иелену құқығы болуы керек;
8) бірнеше минут ішінде оператордың қосымшасы белсенді емес жағдайда ОЖ және ДҚБЖ қосымша құралдарымен бірегейлендіруді одан кейінгі тексерумен қосымшаға қол жеткізуді автоматты түрде болдырмау.
18. КЖ-мен жүзеге асырылатын операцияларға талаптар:
1) жұмыс станциясы, күні мен уақытының операторы бойынша әрбір касса операциясын бірегейлендіру. Әрбір операция бір жақты ерекше нөмірмен дәйектілікпен, клиенттік қосымшамен емес айқындалуы тиіс;
2) белгілі уақыт кезеңі үшін алынған және берілген қолма-қол ақша саны туралы қолма-қол ақшамен, төлем карточкалармен және чектермен операциялар бойынша есеп берулерді қалыптастыру;
3) операцияларды расталған бақылаумен жою мүмкіндігін алып тастау және "сторно" операцияларын жүзеге асыру жолымен қате енгізілген операцияларды түзету;
4) операциялар расталғаннан кейін қосымшаның құралдарымен ДҚ енгізілген ақпаратты түзетуге тиым салу.
19. БКЖ пароліне талаптар:
1) БКЖ-ның әрбір пайдаланушысы үшін дербес, ерекше (тіркеудің тиісті жүйесі астының шегінде) сәйкестендірушіні (жүйелік аты және пароль) орнату;
2) БКЖ-ны үшінші рет сәтсіз тіркеуден кейін паролді таңдап алу жағдайында ДББЖ құралдарымен жұмыс станциясын бұғаттау;
3) пайдаланушы паролінің ең аз ұзындығы 6 белгіні, әріптерден, сандар мен арнайы белгілерден басқа, міндетті енгізумен администраторлардыкі 8 белгі құрауы тиіс;
4) паролдің қызмет ету мерзімі 30 күннен кем емесін құрауы және ОЖ мен ДББЖ құралдарымен бақылануы тиіс.
20. Ақпаратқа қол жеткізу бойынша талаптар:
1) қосымша құралдарымен, ДББЖ құралдарымен де БЖ-ға ақпаратқа пайдаланушының ену құқығын шектеу;
2) ДБЖЖ деңгейінде, ОЖ деңгейінде де серверді және ДБ пайдаланушыны бірегейлендіру;
3) бір жүйелік атпен екі және одан да астам пайдаланушылардың қосымшаға қосылу, сондай-ақ өз қосымшасына ұқсамайтын құралдармен басқа ДБ-на пайдаланушыны қосылу мүмкіндігін болдырмау;
4) қосымшаның көмегімен ғана ДБ-на ақпаратты енгізу мүмкіндігі;
5) жұмыс және демалыс күндеріндегі жеке жұмыс графиктерін құру мүмкіндігі;
6) ДБ-нан ақпаратты енгізу, түзету және алып тастау бойынша әкімшілік құқықтармен пайдаланушыларды қоса нақты пайдаланушының іс-әрекеттерін қадағалау үшін аудиторлық журналды ДББЖ көмегімен құру;
7) оператордың олардың орындалатын функцияларының шегінде ғана ДБ-сын иелену құқығы болуы керек;
8) серверге және оның ресурстарына санкцияланбаған енуді алып тастау мақсатында ОЖ құралдарымен авторизациялаусыз (guest, anonymous және басқалары) енуге мүмкіндігі бар есептік жазбаларды бұғаттау;
9) 5 минут ішінде пайдаланушының қосымшасы белсенді емес жағдайларда, ОЖ және ДББЖ, қосымша құралдарымен бірегейлендіруді одан кейінгі тексерумен қосымшаға енуді автоматты болдырмау. Бақылау-касса машиналарының
мемлекеттік тізіліміне енгізу
үшін компьютерлік жүйенің
техникалық талаптарға сәйкестігі
туралы қорытынды беру ережелеріне
3-қосымша Бақылау-касса машиналарының мемлекеттік тізіліміне енгізу үшін компьютерлік жүйенің техникалық талаптарға сәйкестігі туралы Қазақстан Республикасы Ақпараттандыру және байланыс агенттігінің берген қорытындысы Астана қаласы 200__ж. "___"____________ 1. Өтініш беруші
__________________________________________________________________
2. Өтініш берушінің орналасқан жері:
Облысы ___________ Қаласы ________________________________________
Ауданы ________________ Көшесі ______________________ Үйі ________
Телефоны _________________ Факсы _________________________________
3. _______________________________________________________________
(КЖ атауы)
__________________________________________________________________,
нұсқасы __________________, жасалған датасы_______________________,
Әзірлеуші ________________________________________________________
Әзірлеушінің орналасқан жері:
Елі ______________ Облысы ___________________ Қаласы ______________
Ауданы _________________ Көшесі _________________ Үйі _____________
Телефоны ________________Факсы_____________________________________
Қазақстан Республикасының заңнамасында көзделген техникалық талаптарға сәйкес. Қазақстан Республикасы
Ақпараттандыру және
байланыс агенттігінің __________________
төрағасы (қолы) М.О.
|
