Кредиттік тарихты қалыптастыру және оларды пайдалану жүйесі қатысушыларының қызметіндегі ақпараттық процесті ұйымдастыру, қауіпсіздік жүйелерін қалыптастыру, олардың электронды жабдықтарына, кредиттік тарихтың деректер базасының және үй-жайлардың сақталуына қойылатын ең төменгі талаптарды белгілеу туралы нұсқаулықты бекіту туралы

Қазақстан Республикасының Қаржы нарығын және қаржы ұйымдарын реттеу мен қадағалау жөніндегі агенттігі Басқармасының 2004 жылғы 25 қазандағы N 303 қаулысы. Қазақстан Республикасының Әділет министрлігінде 2004 жылғы 29 желтоқсанда тіркелді. Тіркеу N 3318. Күші жойылды - Қазақстан Республикасы Қаржы ұйымдарын реттеу мен қадағалау агенттігі Басқармасының 2008 жылғы 18 шілдедегі N 105 Қаулысымен.

       Күші жойылды - ҚР Қаржы ұйымдарын реттеу мен қадағалау агенттігі Басқармасының 2008.07.18. N 105 Қаулысымен.

      ---------------------Бұйрықтын үзінді-----------------

      Кредиттік бюроның қызметін реттейтін нормативтік құқықтық актілерін жетілдіру мақсатында Қазақстан Республикасы Қаржы нарығын және қаржы ұйымдарын реттеу мен қадағалау агенттігінің (бұдан әрі - Агенттік) Басқармасы ҚАУЛЫ ЕТЕДІ:
      1. ...
      2. Мыналардың күші жойылды деп танылсын:
      1) "Кредиттік тарихты қалыптастыру және оларды пайдалану жүйесі қатысушыларының қызметіндегі ақпараттық процесті ұйымдастыру, кредиттік тарихтың деректер базасының қорғалуына және сақталуына, олардың ақпараттық ресурстарына, ақпараттық жүйелеріне, үй-жайларына, электронды жабдықтарына қойылатын ең төменгі талаптар туралы нұсқаулықты бекіту туралы" Агенттік Басқармасының 2004 жылғы 25 қазандағы N 303 қаулысы (нормативтік құқықтық актілерді мемлекеттік тіркеу тізілімінде N 3318 тіркелген, Қазақстан Республикасының орталық атқарушы және өзге де мемлекеттік органдарды нормативтік құқықтық актілері бюллетенінде жарияланған, N 3-8, 2005 ж., 18-құжат);
      2) ...
      3. Осы қаулы алғаш ресми жарияланған күнінен бастап он
күнтізбелік күн өткеннен кейін қолданысқа енгізіледі.
      4. ...
      5. ...
      1) ...
      2) ...
      6. ...
      7. ...

      Төрайым                                      Е. Бахмутова

      __________________________________________

      Ескерту. Қаулының атауына өзгерту енгізілді - Қазақстан Республикасы Қаржы нарығын және қаржы ұйымдарын реттеу мен қадағалау агенттігі Басқармасының 2007.08.27. N 221 (қолданысқа енгізілу тәртібін 2-тармақтан қараңыз) Қаулысымен.

      "Қазақстан Республикасындағы кредиттік бюро және кредиттік тарихты қалыптастыру туралы" Қазақстан Республикасының Заңын іс жүзіне асыру мақсатында Қазақстан Республикасының Қаржы нарығын және қаржы ұйымдарын реттеу мен қадағалау жөніндегі агенттігінің (бұдан әрі - Агенттік) Басқармасы ҚАУЛЫ ЕТЕДІ :
      1. Кредиттік тарихты қалыптастыру және оларды пайдалану жүйесі қатысушыларының қызметіндегі ақпараттық процесті ұйымдастыру, қауіпсіздік жүйелерін қалыптастыру, олардың электронды жабдықтарына, кредиттік тарихтың деректер базасының және үй-жайлардың сақталуына қойылатын ең төменгі талаптарды белгілеу туралы нұсқаулық бекітілсін.
      Ескерту. 1-тармаққа өзгерту енгізілді - Қазақстан Республикасы Қаржы нарығын және қаржы ұйымдарын реттеу мен қадағалау агенттігі Басқармасының 2007.08.27. N 221 (қолданысқа енгізілу тәртібін 2-тармақтан қараңыз) Қаулысымен.
      2. Осы қаулы Қазақстан Республикасының Әділет министрлігінде тіркелген күннен бастап он төрт күн өткен соң қолданысқа енеді.
      3. Стратегия және талдау департаменті (Еденбаев Е.С.):
      1) Заң департаментімен (Байсынов М.Б.) бірлесіп осы қаулыны Қазақстан Республикасының Әділет министрлігінде мемлекеттік тіркеу шараларын қолға алсын;
      2) осы қаулы Қазақстан Республикасының Әділет министрлігінде мемлекеттік тіркелген күннен бастап он күндік мерзімде оны кредиттік бюро мен "Қазақстан қаржыгерлер қауымдастығы" заңды тұлғалар бірлестігіне жіберсін.
      4. Агенттіктің қызметін қамтамасыз ету департаменті (Несіпбаев Р.Р.) осы қаулы Қазақстан Республикасының Әділет министрлігінде мемлекеттік тіркелген күннен бастап он күндік мерзімде осы қаулыны Қазақстан Республикасының бұқаралық ақпарат құралдарында жариялау шараларын қолға алсын.
      5. Осы қаулының орындалуын бақылау Агенттік Төрағасының орынбасары Қ.М.Досмұқаметовке жүктелсін.

      Төраға

      Қазақстан Республикасының
      Ақпараттандыру және байланыс
      жөніндегі агенттігімен
      2004 жылғы 19 қарашада келісілді
      Төраға
 

            Қазақстан Республикасының Қаржы 
нарығын және қаржы ұйымдарын   
реттеу мен қадағалау жөніндегі  
агенттігі Басқармасының "Кредиттік
тарихты қалыптастыру және оларды 
пайдалану жүйесі қатысушыларының 
қызметіндегі ақпараттық процесті
ұйымдастыру, қауіпсіздік жүйесін
қалыптастыру, олардың электронды
жабдықтарына, кредиттік тарихтың
деректер базасының және    
үй-жайлардың сақталуына қойылатын
ең төменгі талаптарды белгілеу 
туралы нұсқаулықты бекіту туралы"
2004 жылғы 25 қазандағы N 303 
қаулысымен бекітілген      

      Ескерту. Оң жақ жоғары бұрыштағы мәтінге атауына өзгерту енгізілді - Қазақстан Республикасы Қаржы нарығын және қаржы ұйымдарын реттеу мен қадағалау агенттігі Басқармасының 2007.08.27. N 221 (қолданысқа енгізілу тәртібін 2-тармақтан қараңыз) Қаулысымен.

Кредиттік тарихты қалыптастыру және оларды
пайдалану жүйесі қатысушыларының қызметіндегі
ақпараттық процесті ұйымдастыру, қауіпсіздік жүйесін
қалыптастыру, олардың электронды жабдықтарына, кредиттік
тарихтың деректер базасының және үй-жайлардың сақталуына
қойылатын ең төменгі талаптарды белгілеу туралы
нұсқаулық

      Осы Нұсқаулық»"Қазақстан Республикасындағы кредиттік бюролар және кредиттік тарихты қалыптастыру туралы" Қазақстан Республикасының 2004 жылғы 4 шілдедегі Заңына (бұдан әрі - Кредиттік бюро туралы Заң) сәйкес әзірленді және кредиттік тарихты қалыптастыру және пайдалану жөніндегі ақпараттық процесті, ақпараттық жүйе қауіпсіздігі жүйесін қалыптастырудың негізгі шарттарын, электронды жабдықтарға қойылатын ең төменгі талаптарды, кредиттік тарихтың деректер базасының және кредиттік тарихты қалыптастыру жүйесі қатысушыларының үй-жайларының сақталуына қойылатын талаптарды ұйымдастыруды белгілейді.
      Ескерту. Кіріспе жаңа редакцияда - Қазақстан Республикасы Қаржы нарығын және қаржы ұйымдарын реттеу мен қадағалау агенттігі Басқармасының 2007.08.27. N 221 (қолданысқа енгізілу тәртібін 2-тармақтан қараңыз) Қаулысымен.

1-тарау. Жалпы ережелер

      1. Осы Нұсқаулықта мына ұғымдар пайдаланылады:
      1) ақпарат жүйесі қауіпсіздігін басқарушы - электронды деректерді қабылдау және/немесе беру жүйесінің қызметін, оларды қорғау шараларын іске асыратын, келіп түскен және/немесе беріліп отырған ақпараттың қызметі мен өкілеттігін ескере отырып, жайғастыруды қамтамасыз ететін ұйымның қызметкері (бұдан әрі - басқарушы);
      2) түпнұсқалық - енгізудің көрсетілген деректемелерінің жүйеде барымен сәйкес келуін анықтау жолымен субъект мен объектінің түпнұсқалығын растау;
      3) зиянды бағдарламалық қамтамасыз ету (компьютерлік вирустар, желілік зиянкестер және осындай бағдарламалық қамтамасыз етулер) - өз көшірмесін жасау қабілеті бар (ішінара) немесе толық түрде түпнұсқамен дәл келетін) және оларды пайдаланушының сұрауынсыз компьютер жүйесінің, желілердің әр түрлі объектілеріне/ресурстарына енгізу қабілеті бар код жиынтығы;
      4) бірегейлендіруші - бірегей дербес код және/немесе жүйенің субъектісіне және/немесе объектісіне берілген және жүйеге және/немесе жүйе ресурстарына ретпен кіруге берілген есім;
      5) бірегейлендіру - бірегейлендіру системасының жүйесіне және/немесе ресурстар жүйесінде бар бірегейлендірушілер тізбесіне кіруге рұқсат алу үшін жасалған иелену немесе сәйкестікті белгілеу;
      6) кредиттік тарихты қалыптастыру және пайдалану жүйесі қатысушыларының ақпараттық жүйесі - ақпаратты жеткізушілердің, кредиттік бюролардың, кредиттік есептерді қабылдаушылар мен ақпаратты процестердің кредиттік тарихының субъектілері (бұдан әрі - кредиттік тарихты қалыптастырудың және пайдаланудың ақпаратты жүйесі) жүзеге асыруға арналған ақпараттық технологиялардың, ақпараттық желілердің және олардың бағдарламалық-техникалық қамтамасыз ету құралдарының жиынтығы;
      7) шешуші ақпарат - криптографиялық кілт және электронды сандық қол қою кілті;
      8) кредиттік тарихты қалыптастырудың және пайдаланудың ақпараттық жүйесін қорғау жөніндегі кешенді шаралар - кредиттік тарихты қалыптастырудың және пайдаланудың ақпараттық жүйесінің жұмыс істеу қауіпсіздігін қамтамасыз етуге бағытталған ұйымдастыру-техникалық іс-шаралар, оның ішінде белгіленген бағдарламалық қамтамасыз етуге кіруге бақылауды және тіркелген пайдаланушылардың өкілеттігін шектемейтін құралдарды беруді қамтамасыз ететін санкцияланбаған кіруден электронды құралдар мен компьютерлерді қорғайтын бағдарламалық аппараттық қорғаныс;
      9) оператор - қорғаныс жүйесін пайдаланушымен хабарламаларды дайындау, өңдеу, қабылдау және беруді тікелей жүзеге асыратын кредиттік бюро қызметкері;
      10) ұйым - осы Нұсқаулыққа сәйкес кредиттік тарихты қалыптастыру және пайдалану жөніндегі ақпарат жүйесіне қатысуға міндетті кредиттік бюро, ақпарат жеткізуші, кредиттік есепті алушы (кредиттік тарих субъектілерінен басқа);
      11) жауапты тұлға - ақпаратты қорғау құралдарының қызметін санкцияланбаған кіруден қорғауды және бақылауды қамтамасыз ететін кредиттік бюро қызметкері;
      12) ақпараттық қауіпсіздік саясаты - шектеулі таратылатын ақпаратты басқаруды, қорғауды және бөлуді реттейтін нормалар және практикалық тәсілдер;
      13) пайдаланушы - кредиттік бюро және электронды құжат алмасуға қатысатын және ақпарат беру жөніндегі шарттың және (немесе) кредиттік есепті алушы тарап болып табылатын кредиттік тарихтың ақпараттық жүйесінің басқа да қатысушылары.
      Ескерту. 1-тармаққа өзгерту енгізілді - Қазақстан Республикасы Қаржы нарығын және қаржы ұйымдарын реттеу мен қадағалау агенттігі Басқармасының 2007.08.27. N 221 (қолданысқа енгізілу тәртібін 2-тармақтан қараңыз) Қаулысымен.

      2. Ақпаратты жеткізушілер және кредиттік есепті қабылдаушылар (кредиттік тарих субъектісінен басқа) кредиттік бюроның ақпаратты және (немесе) кредиттік есептерді беру туралы жасалған шарттардан туындаған ұйымдастыру, технологиялық шарттар мен талаптардың және Кредиттік бюро туралы Заңда көзделген кредиттік бюроның ішкі құжаттарының орындалуын қамтамасыз етеді.
      Ескерту. 2-тармаққа өзгерту енгізілді - Қазақстан Республикасы Қаржы нарығын және қаржы ұйымдарын реттеу мен қадағалау агенттігі Басқармасының 2007.08.27. N 221 (қолданысқа енгізілу тәртібін 2-тармақтан қараңыз) Қаулысымен.

2-тарау. Ақпараттық процесті ұйымдастыру

      3. Кредиттік тарихты қалыптастыру және пайдалану жөніндегі ақпарат жүйесінің ұйымдастырылуы және жұмыс істеуі былай қамтамасыз етіледі:
      1) келісілген рәсімдер мен технологиялық параметрлер аясындағы қатысушылар қызметін үйлестіру және басқару;
      2) қолданыстағы бағдарламалық және техникалық құралдарды сәйкестендіру;
      3) ақпараттарды ашу мүмкіндігін алып тастауды қосқандағы ақпарат қауіпсіздігі;
      4) жоғары тиімділікті технологияларды енгізу;
      5) ресурстарды икемді және тиімді басқару;
      6) қызмет көрсету сапасын өсіру.

      4. Кредиттік бюро, ақпарат жеткізушілер және кредиттік есепті қабылдаушылар (кредиттік тарихтың субъектілерінен басқасы) мыналарды қамтамасыз етеді:
      1) деректерді енгізуді бақылауды;
      2) құжаттардың параметрлерін есепке алу мүмкіндігі (құжаттар нөмірі, байланыс коды, шарт нөмірі және басқалары);
      3) жиынтық ақпарат тудыруды;
      4) резерв көшірмелерін жасау, деректерді архивтеуді;
      5) кіру құқығын бақылайтын қорғаудың штатты құралдары бар ақпарат жүйесін пайдалануды;
      6) электронды хабарламаларды ұсынуды және қабылдауды реттейтін рәсімдердің болуы;
      7) талдамалық және статистикалық есептерді дайындау мүмкіндігі.

      5. Ақпарат жүйесін әзірлеу, енгізу және қызмет көрсету процесінің құрамына барлық кезеңдерді құжаттамалау талаптары, өндірісте пайдалану үшін тестілеу және енгізу, өзгерістер енгізу тәртібі, әзірлеу кезеңдерін белгілеу енеді.

      6. Кредиттік бюро ақпарат жүйесін әзірлеу, енгізу және қызмет көрсетуді Қазақстан Республикасының аумағында қолданылып жүрген стандарттар және олардың ішкі құжаттары арқылы орындайды.

      7. Кредиттік бюро ақпарат жүйесін әзірлеуді олардың бірінші басшысы бекіткен техникалық тапсырма негізінде орындалады.
      Жылжымайтын мүлікпен және онымен мәміле жасау құқығын тіркеуді жүзеге асыратын мемлекеттік органдармен өзара қарым-қатынас жасайтын ақпараттық жүйені кредиттік бюро әзірлеуі үшін қажет техникалық тапсырма Қазақстан Республикасының Әділет министрлігінің Тіркеу қызметі жөніндегі Комитетімен келісіледі.
      Кредиттік бюро ақпараттық процестерді іске асыру үшін қажетті бағдарламалық қамтамасыз етуді ақпаратты жеткізушілерге және кредиттік есептерді алушыларға береді не ұйымдар пайдаланып отырған бағдарламалық қамтамасыз етуге тиісті талаптар белгілейді. Ақпаратты жеткізушілер және кредиттік есептерді алушылар бағдарламалық қамтамасыз етуді жеке әзірлеген жағдайда оны кредиттік бюромен келіседі.
      Ескерту. 7-тармаққа өзгерту енгізілді - Қазақстан Республикасы Қаржы нарығын және қаржы ұйымдарын реттеу мен қадағалау агенттігі Басқармасының 2007.08.27. N 221 (қолданысқа енгізілу тәртібін 2-тармақтан қараңыз) Қаулысымен.

      8. Бағдарламалық қамтамасыз етуге және/немесе ақпараттық жүйенің деректерінен санкцияланбаған өзгерістерді алып тастау мақсаты бағдарламалық қамтамасыз етуге өзгерістер енгізу қажет болған жағдайда (жүйенің кемшіліктерін алып тастау немесе жетілдіру үшін), өзгерістер енгізу процесі Қазақстан Республикасының аумағында қолданылып жүрген техникалық тапсырмаларға, стандарттарға және кредиттік бюроның ішкі құжаттары арқылы жүзеге асырылады.

3-тарау. Кредиттік тарихты қалыптастыру жүйесінің
қатысушылары мен оларды пайдалану арасындағы ақпарат
алмасу талаптары

      9. Ақпаратты жеткізушілер, кредиттік есептерді алушылар (кредиттік тарих субъектілерінен басқа) және кредиттік бюро арасында ақпарат алмасу талаптары мемлекеттік саясатты іске асыратын және ақпараттандыру және электронды Үкімет аясындағы қызметті мемлекеттік реттеуді жүзеге асыратын орталық атқарушы орган (бұдан әрі - ақпараттандыру аясындағы уәкілетті орган) белгілеген арнайы автоматтандырылған жүйе арқылы жүзеге асырылады.
      Ескерту. 9-тармаққа өзгерту енгізілді - Қазақстан Республикасы Қаржы нарығын және қаржы ұйымдарын реттеу мен қадағалау агенттігі Басқармасының 2007.08.27. N 221 (қолданысқа енгізілу тәртібін 2-тармақтан қараңыз) Қаулысымен.

      10. Электронды құжаттар кез-келген форматтағы электронды хабарламаны жібере алатын мүмкіндікті иелене отырып, CMS форматын (Cryptographic Message Syntax) пайдаланады.
      Ескерту. 10-тармаққа өзгерту енгізілді - Қазақстан Республикасы Қаржы нарығын және қаржы ұйымдарын реттеу мен қадағалау агенттігі Басқармасының 2007.08.27. N 221 (қолданысқа енгізілу тәртібін 2-тармақтан қараңыз) Қаулысымен.

      11. CMS электронды құжатында берілген электронды хабарламаның немесе файлдың форматын (кредиттік тарих субъектісі, кредиттік есеп және басқа деректер) кредиттік бюро ақпараттандыру аясындағы уәкілетті органмен келісе отырып әзірлейді.
      Ескерту. 11-тармаққа өзгерту енгізілді - Қазақстан Республикасы Қаржы нарығын және қаржы ұйымдарын реттеу мен қадағалау агенттігі Басқармасының 2007.08.27. N 221 (қолданысқа енгізілу тәртібін 2-тармақтан қараңыз) Қаулысымен.

      12. Ақпаратты жеткізуші ұсынған ақпарды кредиттік бюро дұрыс немесе толық толтырылмауына, ақпаратты жеткізуші, кредиттік есепті қабылдаушы, кредиттік тарих субъектісінің деректерінің ақпарат жүйесінде пайдаланып отырған талаптарға сәйкес келмеуіне байланысты кредиттік тарихты қалыптастыру және пайдаланудың ақпарат жүйесінде қолданбай қайтарып беруі мүмкін.

4-тарау. Қауіпсіздік жүйесін қалыптастырудың
негізгі мәселелері

      13. Кредиттік тарихты қалыптастыру және пайдаланудың ақпарат жүйесі мыналарды қамтамасыз етеді:
      1) ақпараттың құпиялылығы - ақпаратты сақтау, өңдеу немесе коммуникациялық арналар бойынша беру кезінде оның ашылып қалудан сақтау;
      2) ақпараттың сақталуы - бүлінуден қорғау, санкцияланбаған өзгерістерден, толықтырулардан, көшірме жасаудан немесе оның сақталуы, өңделуі немесе коммуникациялық арналар бойынша берілуі кезінде қорғалуы;
      3) рұқсаттың болуы - бір пайдаланушының бірлесіп пайдалануға арналған ақпараттық жүйенің деректері мен өзге де ресурстарын, ұстап алынған ақпараттық хабарламаларды және/немесе олардың кешігетіндігі жөніндегі деректерден, сондай-ақ ақпараттық хабарламаларды және/немесе олардың кешігетіндігі жөніндегі деректерді ұсталып қалудан қорғау.

      14. Кредиттік тарихты қалыптастыру және пайдалану жөніндегі ақпараттық жүйе қауіпсіздігін қамтамасыз ету бойынша міндетті іс-шаралардың базалық құрамы ақпарат қауіпсіздігі жүйесін құруға кешенді тәсілді қолдану болып табылады.

      15. Ақпарат қауіпсіздігі жүйесін құру үшін кешенді тәсіл құрамына тәуекелдерді талдау және бағалау, оның ішінде техникалық арналар бойынша ақпараттың жылыстауы, қорғалатын ақпараттың сипаты және маңыздылығын есепке алу, электронды құжаттарды өңдеу технологиясы қауіпсіздігін қамтамасыз етуді бақылау кіреді.

      16. Кредиттік тарихты қалыптастыру және пайдалану жөніндегі ақпараттық жүйе қатысушылары нақты уақыт аралығында күмәнді іс-қимылдарды жедел анықтау жөнінде және мыналарды белгілеуге бағытталған іс-шараларды қамтитын қойылымдарды жасауға:
      1) ұқсамайтын іс-қимылдар (пайдаланушылардың бағдарламалары немесе аспаптары);
      2) санкцияланбаған басып кірулер немесе зиянды бағдарламалық қамтамасыз етуді пайдалану (компьютерлік вирустар, желілік зиянкестер және осындай бағдарламалық қамтамасыз етулер) активтендіріле бастаған кезде.

      17. Ақпараттық қауіпсіздікті кешенді тәсілмен бағдарламалық-техникалық деңгейде қамтамасыз етуші негізгі бағыттар мыналар:
      1) қауіпсіздік контуры;
      2) ішкі корпоративті қауіпсіздік;
      3) корпоративті қауіпсіздікті басқару.

      18. Қауіпсіздік контуры (бұдан әрі - қауіпсіздік контуры) кредиттік бюроның немесе ақпаратты жеткізушілердің кредиттік тарихты қалыптастыру және пайдалану жөніндегі ақпараттық жүйесін қорғауды қамтамасыз етуге арналған. Қауіпсіздік контуры орталық және қосымша офистерді (филиалдар, өкілдіктер, шектері офистер), олардың арасындағы ақпараттар ағынын, сондай-ақ ақпараттық жүйенің басқа желілермен сыртқы байланыстағы серверлер мен жұмыс станцияларында сақталып отырған ақпараттық ресурстарды қорғауды іске асырады.

      19. Кредиттік тарихты қалыптастыру және пайдалану жөніндегі ақпараттық жүйе қатысушыларының қауіпсіздігін қорғау рәсімдері санкцияланбаған басып кірулер мен вирусқа қарсы қорғанысты бақылауға, олардың ішкі ақпарат қауіпсіздігін қамтамасыз етуге арналған және олардың статусы мен құқықтарына сәйкес пайдаланушыларды топтарға бөлуді қамтамасыз ететін жүйені құру және қолдау, сондай-ақ құпиялылық деңгейіне байланысты ресурстарды бөлу қажеттігін болжалдайды.

      20. Корпоративті қауіпсіздікті кредиттік тарихты қалыптастыру және пайдалану жөніндегі ақпараттық жүйе қатысушыларының қауіпсіздігінің кешенді жүйесі аясында басқару - ақпараттық қауіпсіздік саясатының жалпы талаптарын орындауды тұрақты бақылаумен, оған жедел түрде түзету енгізу және оның деңгейін көтерумен қамтамасыз етіледі.

      21. Қауіпсіздік деңгейін көтеру мыналарды көздейді:
      1) ақпараттық қауіпсіздік саясатын белгілеу;
      2) ақпараттық қауіпсіздік режимін ұстау ұсынылатын шекараларды белгілеу;
      3) тәуекелдерге бағалау жүргізу;
      4) тәуекелдерге қарсы қимыл көрсету және басқару шараларын таңдау;
      5) ақпараттық қауіпсіздік режимін қамтамасыз ететін құрал-жабдықтар мен басқаруды таңдау.

      22. Ақпараттық қауіпсіздік саясатында қолданылып отырған ақпараттық жүйе құрамының сипаты, ұйымның ақпараттық жүйені пайдаланушыларының тізімі, олардың ақпараттарға, бағдарламаларға және техникалық құралдарға кіру құқықтары (олардың қызметтік жағдайы мен орындап отырған жұмысының сипатына байланысты) бар және ол мыналарды белгілейді:
      1) ақпараттық қауіпсіздік аясындағы жұмыстың жалпы бағыттары;
      2) ақпараттық жүйені қорғаудың мақсаты мен міндеттері;
      3) қажетті қауіпсіздік деңгейіне жетудің негізгі принциптері мен тәсілдері;
      4) ақпараттық қауіпсіздік саясатын белгілеуге қажетті талаптарды әзірлеуге жауапты ұйымдардың жауапты қызметкерлерін анықтау;
      5) ақпараттық жүйенің және оны қорғау жүйесінің жұмыс қабілетін құруға, қолдауға жауапты ұйымдар бөлімшелерін анықтау;
      6) табиғи апаттар, апаттар, өрт, электр қуатының ажырауы, байланыс желілерінің бүлінуі, жаппай тәртіпсіздіктер, ереуілдер, әскери қимылдар сияқты дүлей күш пайда болған жағдайдағы ақпараттық жүйенің қауіпсіздік режимінің бұзылуын болдырмау жөніндегі шаралар.

      23. Кредиттік тарихты қалыптастыру және пайдалану жөніндегі ақпараттық жүйе қатысушылары (кредиттік тарих субъектілерінен басқа) мыналарды қамтамасыз етеді:
      1) пайдаланылып отырған басқару шешімдерінің, технологияларының, тәсілдерінің және бағдарламалық-аспаптық құралдарының Қазақстан Республикасының қолданылып жүрген заңдарына сәйкестігін;
      2) ақпараттық жүйе қауіпсіздігін ұйымдастыру туралы ішкі құжаттарды қабылдауды.

      24. Ақпараттарды қорғаудың рәсімдік деңгейіне ұйымдардың мына бағыттар бойынша қауіпсіздікті қамтамасыз ету іс-шаралары кіреді:
      1) қызметкерлерді басқару;
      2) физикалық қорғаныс;
      3) қауіпсіздік режимінің бұзылуын байқау;
      4) қалпына келтіру жұмыстарын жоспарлау.

      25. Кредиттік тарихты қалыптастыру және пайдалану жөніндегі ақпараттық жүйе қатысушыларының (кредиттік тарих субъектілерінен басқа) құрал-жабдықтарын бірегейлендіру/тұпнұсқаландыру мына талаптарға сәйкес келуі тиіс:
      1) желілік қауіп-қатерге беріктік;
      2) пайдаланылып отырған ақпараттық желіге бірыңғай кіруді қамтамасыз ету.

      26. Ақпаратты қорғау жоспарына мына шаралар кіреді:
      1) ұйымдастыру;
      2) бағдарламалық-техникалық.

      27. Қауіпсіздікті қамтамасыз етудің ұйымдастыру шараларына мыналар жатады:
      1) ақпараттық жүйені физикалық қорғау;
      2) ақпарат қауіпсіздігіне қатысы бар ақпарат жүйесінің жұмысқа қабілеттілігін қолдау;
      3) әр пайдаланушыға оларға тапсырылған қызметтік міндеттерін және өзара ауысымдылықты қамтамасыз ету үшін тиісті кіру құқығын қою;
      4) қалпына келтіру жұмыстарын жоспарлау.

      28. Физикалық қорғаныс мыналарға бөлінеді:
      1) кіруді физикалық басқару;
      2) өртке қарсы қауіпсіздік шаралары;
      3) ықпал етуші инфрақұрылымды қорғау;
      4) деректерді жаулап алудан қорғау, жылжымалы жүйені қорғау.

      29. Ақпараттық жүйенің жұмыс қабілетін қолдау іс-шаралары былай бөлінеді:
      1) пайдаланушыларды қолдау - ақпараттық қауіпсіздік мәселелері бойынша кеңестер беру, олардың үнемі кездесетін қателерін анықтау және жария жағдайлар үшін ұсынымдары бар жадынамалармен қамтамасыз ету;
      2) бағдарламалық қамтамасыз етуді қолдау - бағдарламалық қамтамасыз етудің лицензиялық (сертификатталған) тазалығын бақылау;
      3) конфигурациялық басқару - бағдарламалық және техникалық конфигурацияға енгізілген өзгерістерді бақылау және белгілеу;
      4) ақпараттық жүйені қалпына келтіру үшін резервтік көшірме жасау және дүлей апат жағдайындағы апаттар мен басқа жағдайлардағы деректер;
      5) деректерді тасымалдаушыларды басқару - есеп жүргізу, айналыс, сақтау тәртібі;
      6) құжаттамаландыру - істің ағымдық жағдайының актуалды көрінісі.

      30. Ақпараттық жүйенің қауіпсіздік режимі бұзылған жағдайда жауапты тұлғалар, басқарушы мыналарды жүзеге асырады:
      1) келтірілген зиянды кеміту мақсатындағы жедел шараларды орындау;
      2) тәртіп бұзу туралы бар мәліметтерді талдау және баға беру - жанжалды зерттеу, екінші рет тәртіп бұзуды анықтау, қорғау жүйесін жетілдіру жөніндегі шараларды әзірлеу.

      31. Резервтік көшірме жасау және ақпараттық жүйенің жұмыс қабілеті жоғалған соң қалпына келтіру ұйым белгілеген талаптар бойынша анықталады.

5-тарау. Электронды жабдықтарға, кредиттік
тарихтың деректер базасының және үй-жайлардың
сақталуына қойылатын ең төменгі талаптар

      32. Пайдаланушының бағдарламалық қамтамасыз етуі тұрақты орны, конфигурациясы туралы жан-жақты деректері бар жұмыс орны сипатталған паспорты бар, сондай-ақ қойылған аппараттық және бағдарламалық құралдары бар арнайы бөлінген дербес компьютерге қойылады.

      33. Пайдаланушының дербес компьютерін пайдаланған кезде оған кредиттік тарихты қалыптастыру және пайдалану жөніндегі ақпараттық жүйеге қатысу аясында электронды құжаттарды дайындау, өңдеу, беру немесе енгізу мақсатымен байланысы жоқ бағдарламалық құралдарды қоюға жол берілмейді.

      34. Пайдаланушының дербес компьютерінде құрамында пайдаланушылардың бірегейлендіру, түпнұсқалық құралдары бар қорғаныс кешені, компьютерге кіруге және пайдаланушылардың іс-қимылдарына байланысты қызметті бақылау мақсатында электронды құжаттарды сақтау мерзімі аралығында электронды журналдарды жүргізу мүмкіншілігі болуы тиіс.

      35. Ақпараттық жүйеге кіру кезінде пайдаланушы бірегейлендіретін пайдаланушының бір жүйелі атына бір жеке тұлға сәйкес келуі тиіс.

      36. Жұмыс орнының сипаттамасы - паспорт ұйым басшысының қолымен ресімделеді және жауапты тұлға, басқарушыда сақталады.

      37. Пайдаланушының дербес компьютерінде бағдарламалық қамтамасыз етудің тұтастығын қамтамасыз ететін құралдар болуы тиіс.

      38. Пайдаланушының дербес компьютерінің жүйелі блогы мөрмен жабылады не жауапты тұлға (басқарушы) таңбалайды. Қажет болған жағдайда жүйелі блокқа кіру жауапты тұлғаның (басқарушы) қатысуымен жүзеге асырылады. Жұмыс аяқталған кезде жүйелі блок мөрмен жабылады не жауапты тұлға (басқарушы) таңбалайды.

      39. Қорғаныс жүйесін пайдалана отырып, ақпаратты ортаға жинақталып белгіленген ақпаратты жіберу, ақпараттық ортадан ақпарат алу, ақпаратты сақтау, архивтеу не басқаша өңдеу белгіленген ресурстарға кіру тәртібі бойынша (дискілік кеңістік, директориялар, желілік ресурстар, деректер базасы және басқалар) санкцияланбаған кіру мүмкіндігі болмауы тиіс.

      40. Криптографиялық қорғаныс бойынша жұмысты жүргізуді және бақылауды жауапты тұлға (басқарушы) былайша атқарады:
      1) криптографиялық қорғаныстың бағдарламалық құралдарын есепке алу, сақтау және қызмет жасау;
      2) криптографиялық кілттерді тудыру, кілттері бар ақпаратты тасымалдағыштарды алу, есептеу, сақтау және беру;
      3) криптографиялық кілттер иелерінің тізімін жүргізу;
      4) криптографиялық кілттер иелерін қажетті нұсқаулармен қамтамасыз ету.

      41. Қорғау жүйесінің жұмыс орны жеке үй-жайда орналасады.

      42. Пайдаланушының жұмыс орны тұрған жер және күзет үй-жайының техникалық құралдары (кіруді бақылау және күзет-өрт дабылы) пайдаланушының жұмыс орнына жіберілмеген адамдардың үй-жайға бақылаусыз кіру мүмкіндігін болдырмауы тиіс.

      43. Ұйымның үй-жайы күзетілетін аймақта болуы, коды бар кілті және кіруге тіркелу құралдары болуы тиіс.
      Кредиттік бюро үйдің бірінші немесе соңғы қабатында орналасқан жағдайда, сондай-ақ балкондар терезелерімен, өрт баспалдақтарымен қатар болған жағдайда үй-жай терезелері металл тормен жабдықталады.

      44. Ұйымның үй-жайын техникалық жағынан қорғау құралдары (кіруге бақылау) пайдаланушының жұмыс орнына жіберілмеген адамдардың үй-жайға бақылаусыз кіру мүмкіндігін болдырмауы тиіс. Ұйымда жұмысқа кіру оның регламентіне және қызметкерлердің қызметтік міндеттеріне сәйкес жүзеге асырылады.

6-тарау. Ұйым қызметінің өзге де мәселелері

      45. Қорғаныс жүйесінің жұмыс тәртібі ұйымның ішкі актісімен мыналарды қоса отырып белгіленеді:
      1) жауапты тұлға, басқарушы, оператор міндеті жүктелетін қызметкерлерді тағайындау тәртібі;
      2) жұмыс режимі;
      3) жауапты тұлға, басқарушы, операторлардың қызметтік нұсқаулықтарын қосқандағы құқықтары және міндеттері;
      4) пайдаланушының жұмыс орнына жіберілген қызметкерлердің тізімі;
      5) пайдаланушының жұмыс орнына ерекше жағдайларда жіберілген қызметкерлердің тізімі.

      46. Жауапты тұлғалар, басқарушы, оператор:
      1) ақпараттық жүйе ресурстарына кіру үшін бірегейлендіру және түпнұсқалық рәсімдерінің міндеттілігін қамтамасыз етеді;
      2) рұқсат берілмеген пайдаланушылардың ақпараттық ресурстарға кіру құқығын алуына жол бермейді;
      3) ақпарат жүйесі өңдеген ақпаратқа резервтік көшірме жасауды орындаудың тұрақтылығын бақылайды;
      4) жүйе ресурстарының қорғалу сенімділігіне жоспарлы және жоспардан тыс тексеру жүргізеді;
      5) корпоративті желінің жабдықтарын, оның ішінде арнайы желіаралық бағдарламалық құралдарын қорғауды қамтамасыз етеді;
      6) қауіп төнген және тәртіп бұзу анықталған жағдайда шаралар көреді;
      7) түсіріп алатын тасымалдағыштар арқылы (икемді дискілер, flash-карттар, қатты дискілердегі сыртқы жинақтаушылар және басқалар) ақпараттың жылыстауынан құралдардың жұмысқа қабілеттілігін қорғауды қамтамасыз ету;
      8) оқиғалар журналын тұрақты қарайды, ақпаратқа санцияланбаған кіру жасауға тырысулар бар жазбаларға талдамалар жасайды.

      47. Ұйым қызметкерлері (жауапты тұлға, басқарушы, оператор) олар қызметтік міндеттерін атқару барысында белгілі болған ақпараттарды жарияламау және таратпау туралы жазбаша міндеттеме қабылдайды.

      48. Жауапты тұлға, басқарушы немесе оператор жұмыстан шыққан жағдайда ұйымның шешуші ақпараты жоспардан тыс ауысатын болғандықтан, ол туралы кредиттік бюро хабарланады. Жаңа шешуші ақпарат олар жұмыстан шыққан күннен бастап қолданысқа енеді.

      49. Шешуші ақпарат сыртқы тасымалдағышта (дискет, пластикалық карточка) болуы тиіс.

      50. Шешуші ақпараты бар сыртқы тасымалдағыштарды сақтау және пайдалану тәртібінде оларға санкцияланбаған кіру мүмкіндігі болмауы тиіс.

      51. Ұйымның электронды хабарламасын қалыптастыру және беру кезінде қорғаныс іс-қимылдары бағдарламалық-криптографиялық қорғаныстың және электронды сандық қол қоюдың белгіленген тәртібіне сәйкес жүзеге асырылады.

      52. Қорғаныс іс-қимылдары немесе оны жариялау тәртібі бұзылған жағдайда осы тәртіп бұзуды анықтаған жақ бұл туралы дереу келесі ұйымды хабардар етеді және зардаптарды жою туралы шаралар көреді.

      53. Кредиттік тарихтың ақпараттық жүйесінің қатысушысының бағдарламалық қамтамасыз етуді қорғау бойынша ұйымдық-техникалық, технологиялық талаптарға, олар пайдаланып отырған осы ақпараттық жүйенің осы Нұсқаулықпен және Қазақстан Республикасының заңдарымен белгіленген шарттар мен талаптарға сәйкестігін орындауды (сақтауды) тексеруді осы Нұсқаулықтың Қосымшасына сәйкес нысанға сай акт жасаушы ақпараттандыру аясындағы уәкілетті орган комиссиясы жүзеге асырады.
      Ескерту. 53-тармаққа өзгерту енгізілді - Қазақстан Республикасы Қаржы нарығын және қаржы ұйымдарын реттеу мен қадағалау агенттігі Басқармасының 2007.08.27. N 221 (қолданысқа енгізілу тәртібін 2-тармақтан қараңыз) Қаулысымен.

7-тарау. Қорытынды ережелер

      54. Осы Нұсқаулықпен реттелмейтін мәселелер Қазақстан Республикасының заңдарында белгіленген тәртіп бойынша шешіледі.

                                 "Кредиттік тарихты қалыптастыру
                                 және оларды пайдалану жөніндегі
                               ақпараттық процесті, ақпараттық жүйе
                               қауіпсіздігі жүйесін қалыптастырудың
                                   негізгі шарттарын, электронды
                                 жабдықтарға қойылатын ең төменгі
                                  талаптарды, кредиттік тарихтың
                                 деректер базасының және кредиттік
                                    тарихты қалыптастыру жүйесі
                                    қатысушыларының үй-жайларының
                                   сақталуына қойылатын талаптарды
                                    ұйымдастыру туралы нұсқаулыққа
                                              қосымша

      Ескерту. Қосымша жаңа редакцияда - Қазақстан Республикасы Қаржы нарығын және қаржы ұйымдарын реттеу мен қадағалау агенттігі Басқармасының 2007.08.27. N 221 (қолданысқа енгізілу тәртібін 2-тармақтан қараңыз) Қаулысымен.

        Кредиттік тарихты қалыптастыру және оны пайдалану
                 жүйесі қатысушыларына қойылатын

талаптарға_____________________________________cәйкестілігі туралы
                     (қатысушының атауы)

                              АКТ

______________________                         ____________________
   жасалған орны                                  жасалған күні

      Кредиттік тарихты қалыптастыру жүйесіне қатысушының
дайындығын және ақпараттық қызмет көрсету рыногындағы өз қызметінің
басталуына оларды пайдалану және кредиттік тарихты қалыптастыру
жүйесіне қатысушылардың қызметінде ақпараттық процесті ұйымдастыру
жөніндегі талаптарды олардың орындауы, қауіпсіздік жүйесін
қалыптастыру, олардың электронды жабдықтарының барынша төмен
талаптарын орындау, кредиттік тарихтың деректер базасын және
үй-жайларды сақтау жөніндегі осы актіні комиссия мына құрамда
жасады:
      уәкілетті мемлекеттік органның ақпараттандыру саласындағы
өкілдері:
____________________________________________________________________
____________________________________________________________________
____________________________________________________________________
      қаржы нарығын және қаржы ұйымдарын реттеу мен қадағалау
жөніндегі мемлекеттік органның өкілдері:
____________________________________________________________________
____________________________________________________________________
____________________________________________________________________
      Комиссияның жұмысына кредиттік тарихты қалыптастыру және оны
пайдалану жүйесі қатысушысының өкілдері қатысады:
____________________________________________________________________
____________________________________________________________________
____________________________________________________________________
      Комиссия зерттеген объектілердің және зерделеген құжаттардың
жан-жақты сипаттамасы:
      кредиттік тарихты қалыптастыру және пайдалану жүйесі
қатысушысының нақты қызметі;
      үй-жайды күзету;
      жұмыс орнын сипаттау (пайдаланушының бағдарламалық қамтамасыз
етуі орналасқан орны, конфигурациясы, сондай-ақ оған қондырылған
аппараттық және бағдарламалық құралдар жөніндегі жан-жақты
деректері бар паспорты бар арнайы бөлінген компьютерде қойылған);
      Нұсқаулықтың 28-тармағына сәйкес физикалық қорғанысты,
ақпараттық жүйе өзінің жұмыс қабілетін жоғалтқаннан кейін резервтік
көшірме жасау және қайта қалпына келтіру мүмкіндіктерін,
Нұсқаулықтың 45-тармағының 1)-5) тармақшаларын қосқандағы ұйымның
ішкі актісімен белгіленген қорғаныс жүйесінің жұмыс тәртібін
қамтамасыз ету;
      қызметте пайдаланылатын бағдарламалық өнімдердің сипаты.
____________________________________________________________________
____________________________________________________________________
____________________________________________________________________
      Кредиттік тарихты қалыптастыру және оны пайдалану жүйесі
қатысушысы өкілдерінің түсіндірулерінің қысқаша мазмұны:
____________________________________________________________________
____________________________________________________________________
____________________________________________________________________
      комиссияның кредиттік тарихты қалыптастыру және оны пайдалану
жүйесі қатысушысының техникалық және өзге де құжаттарын тексеруі,
кредиттік тарихты қалыптастыру және оны пайдалану жүйесінде жұмыс
істеуге арналған оның техникалық үй-жайларын,
электронды-компьютерлік жабдықтарын, байланыс жүйесін және қорғаныс
құрылғыларын және өзге де объектілерін зерттеуі кезінде
____________________________________________________________________
____________________________________________________________________
_____________  анықталды (ұсынылып отырған талаптарға

сәйкестігі/сәйкес еместігі және ақпараттық қызмет рыногында
қызметті жалғастыруды ұйымдастырудың басы
жеткілікті/жеткіліксіздігі). Кредиттік тарихты қалыптастыру және
оны пайдалану жүйесі қатысушысы комиссия актісіне қоса берілген
мынадай техникалық құжаттаманы және өзге де құжаттарды береді:
____________________________________________________________________
____________________________________________________________________
____________________________________________________________________
      Акт үш данада жасалды және бір-бір данамен мыналарға
жіберілді:
      Ақпараттандыру саласындағы уәкілетті органға;
      қаржы нарығын және қаржы ұйымдарын реттеу мен қадағалау
жөніндегі мемлекеттік уәкілетті органға;
      Кредиттік тарихты қалыптастыру және пайдалану жөніндегі
ақпарат жүйесінің қатысушысына.

      Комиссия мүшелері:
____________________________________________________________________
____________________________________________________________________
____________________________________________________________________

      Тексеруші ұйым өкілі:
____________________________________________________________________
____________________________________________________________________

Об утверждении Инструкции об организации информационного процесса в деятельности участников системы формирования кредитных историй и их использования, формирования системы безопасности, установления минимальных требований к их электронному оборудованию, сохранности базы данных кредитных историй и помещениям

Постановление Правления Агентства Республики Казахстан по регулированию и надзору финансового рынка и финансовых организаций от 25 октября 2004 года N 303. Зарегистрировано Министерством юстиции Республики Казахстан от 29 декабря 2004 года N 3318. Утратило силу постановлением Правления Агентства Республики Казахстан по регулированию и надзору финансового рынка и финансовых организаций от 18 июля 2008 года N 105.

      Сноска. Утратило силу постановлением Правления Агентства Республики Казахстан по регулированию и надзору финансового рынка и финансовых организаций от 18 июля 2008 года N 105 (порядок введения в действие см. п.3 ).

      Сноска. Наименование с изменениями, внесенными постановлением Правления Агентства РК по регулированию и надзору фин. рынка и фин. организаций от 27 августа 2007 г. N 221 (вводится в действие по истечении 14 дней со дня гос. регистрации).

            В целях реализации Закона Республики Казахстан "О кредитных бюро и формировании кредитных историй в Республике Казахстан", Правление Агентства Республики Казахстан по регулированию и надзору финансового рынка и финансовых организаций (далее - Агентство) ПОСТАНОВЛЯЕТ:
      1. Утвердить Инструкцию об организации информационного процесса в деятельности участников системы формирования кредитных историй и их использования, формирования системы безопасности, установления минимальных требований к их электронному оборудованию, сохранности базы данных кредитных историй и помещениям.
      Сноска. Пункт 1 с изменениями, внесенными постановлением Правления Агентства РК по регулированию и надзору фин. рынка и фин. организаций от 27 августа 2007 г. N 221 (вводится в действие по истечении 14 дней со дня гос. регистрации).
      2. Настоящее постановление вводится в действие по истечении четырнадцати дней со дня государственной регистрации в Министерстве юстиции Республики Казахстан.
      3. Департаменту стратегии и анализа (Еденбаев Е.С.):
      1) совместно с Юридическим департаментом (Байсынов М.Б.) принять меры к государственной регистрации в Министерстве юстиции Республики Казахстан настоящего постановления;
      2) в десятидневный срок со дня государственной регистрации в Министерстве юстиции Республики Казахстан довести настоящее постановление до сведения кредитных бюро и Объединения юридических лиц "Ассоциация финансистов Казахстана".
      4. Департаменту по обеспечению деятельности Агентства (Несипбаев Р.Р.) в десятидневный срок со дня государственной регистрации в Министерстве юстиции Республики Казахстан обеспечить публикацию настоящего постановления в средствах массовой информации Республики Казахстан.
      5. Контроль за исполнением настоящего постановления возложить на заместителя Председателя Агентства Досмукаметова К.М.

      Председатель

Согласовано
Агентство Республики Казахстан
по информатизации и связи
19 ноября 2004 года

Утверждена                  
постановлением Правления          
Агентства Республики Казахстан       
по регулированию и надзору        
финансового рынка и финансовых организаций 
от 25 октября 2004 года № 303       
"Об утверждении Инструкции об      
организации информационного процесса   
в деятельности участников системы     
формирования кредитных историй и их    
использования, формирования системы    
безопасности, установления минимальных 
требований к их электронному оборудованию,
сохранности базы данных кредитных   
историй и помещениям"         

Инструкция об
организации информационного процесса в деятельности
участников системы формирования кредитных историй и их
использования, формирования системы безопасности, установления
минимальных требований к их электронному оборудованию,
сохранности базы данных кредитных историй и помещениям

      Сноска. Правый верхний угол и наименование с изменениями, внесенными постановлением Правления Агентства РК по регулированию и надзору фин. рынка и фин. организаций от 27 августа 2007 г. N 221 (вводится в действие по истечении 14 дней со дня гос. регистрации).

      Настоящая Инструкция разработана в соответствии с Законом Республики Казахстан от 4 июля 2004 года "О кредитных бюро и формировании кредитных историй в Республике Казахстан" (далее - Закон о кредитных бюро) и определяет требования к организации информационного процесса по формированию и использованию кредитных историй, основные условия формирования системы безопасности информационных систем, минимальные требования к электронному оборудованию, сохранности базы данных кредитных историй и помещениям участников системы формирования кредитных историй.
      Сноска. Преамбула в редакции постановления Правления Агентства РК по регулированию и надзору фин. рынка и фин. организаций от 27 августа 2007 г. N 221 (вводится в действие по истечении 14 дней со дня гос. регистрации).

      Глава 1. Общие положения

      1. В настоящей Инструкции используются следующие понятия:
      1) администратор безопасности информационных систем - работник организации, обеспечивающий функционирование системы электронного получения и/или передачи данных, реализацию мер по их защите, осуществляющий генерацию поступающей и/или передаваемой информации с учетом ее функций и полномочий (далее - администратор);
      2) аутентификация - подтверждение подлинности субъекта или объекта доступа путем определения соответствия предъявленных реквизитов доступа имеющимся в системе;
      3) зловредное программное обеспечение (компьютерные вирусы, сетевые черви и аналогичное программное обеспечение) - совокупность выполняемого кода, способная создавать свои копии (частично или полностью совпадающие с оригиналом) и внедрять их в различные объекты/ресурсы компьютерных систем, сетей без ведома пользователя;
      4) идентификатор - уникальные персональный код и/или имя, присвоенные субъекту и/или объекту системы, и предназначенные для регламентированного доступа в систему и/или к ресурсам системы;
      5) идентификация - присвоение или определение соответствия предъявленного для получения доступа в систему и/или к ресурсу системы идентификатора перечню идентификаторов, имеющихся в системе;
      6) информационная система участников системы формирования и использования кредитных историй - совокупность информационных технологий, информационных сетей и средств их программно-технического обеспечения, предназначенных для реализации поставщиками информации, кредитными бюро, получателями кредитных отчетов и субъектами кредитных историй информационных процессов (далее - информационная система формирования и использования кредитных историй);
      7) ключевая информация - криптографические ключи и ключи электронной цифровой подписи;
      8) комплекс мер по защите информационной системы формирования и использования кредитных историй - организационно-технические мероприятия, направленные на обеспечение безопасного функционирования информационной системы формирования и использования кредитных историй, в том числе программно-аппаратная защита электронных средств и компьютеров от несанкционированного доступа, обеспечивающая контроль доступа к установленному программному обеспечению и информации, предоставляющая средства разграничения полномочий зарегистрированных пользователей;
      9) оператор - работник кредитного бюро, непосредственно осуществляющий подготовку, обработку, прием и передачу сообщений с использованием системы защиты;
      10) организация - кредитное бюро, поставщик информации, получатель кредитного отчета (за исключением субъектов кредитных историй), обязанные принимать участие в информационной системе формирования и использования кредитных историй в соответствии с настоящей Инструкцией;
      11) ответственное лицо - работник кредитного бюро, обеспечивающий функционирование и контроль средств защиты информации от несанкционированного доступа;
      12) политика информационной безопасности - нормы и практические приемы, регулирующие управление, защиту и распределение информации ограниченного распространения;
      13) пользователь - кредитное бюро и иные участники информационной системы кредитных историй, участвующие в обмене электронными документами и являющиеся сторонами договора о предоставлении информации и (или) получении кредитных отчетов.
      Сноска. Пункт 1 с изменениями, внесенными постановлением Правления Агентства РК по регулированию и надзору фин. рынка и фин. организаций от 27 августа 2007 г. N 221 (вводится в действие по истечении 14 дней со дня гос. регистрации).
      2. Поставщики информации и получатели кредитного отчета (за исключением субъекта кредитной истории) обеспечивают выполнение организационных, технологических условий и требований кредитного бюро, вытекающие из заключенных с ним договоров о предоставлении информации и (или) получении кредитных отчетов и внутренних документов кредитного бюро, предусмотренных Законом о кредитных бюро.
      Сноска. Пункт 2 с изменениями, внесенными постановлением Правления Агентства РК по регулированию и надзору фин. рынка и фин. организаций от 27 августа 2007 г. N 221 (вводится в действие по истечении 14 дней со дня гос. регистрации).

Глава 2. Организация информационного процесса

      3. Организация и функционирование информационной системы формирования и использования кредитных историй обеспечивают:
      1) координацию и управляемость деятельности ее участников в рамках согласованных процедур и технологических параметров;
      2) унификацию используемых программных и технических средств;
      3) информационную безопасность, включая устранение возможности раскрытия информации;
      4) внедрение высокоэффективных технологий;
      5) гибкое и эффективное управление ресурсами;
      6) рост качества услуг.
      4. Кредитные бюро, поставщики информации и получатели кредитного отчета (за исключением субъектов кредитной истории) обеспечивают:
      1) контроль ввода данных;
      2) возможность вычисления параметров документов (номеров документов, кода связи, номера договора и другие);
      3) генерацию сводной информации;
      4) создание резервных копий, архивирование данных;
      5) использование информационных систем, имеющих штатные средства защиты, с контролем за правами доступа;
      6) наличие регламентированных процедур предоставления и получения электронных сообщений;
      7) возможность подготовки аналитических и статистических отчетов.
      5. Процесс разработки, внедрения и сопровождения информационных систем включает определение этапов разработки, порядка внесения изменений, приема, тестирования и ввода в промышленную эксплуатацию, требования к документированию всех этапов.
      6. Разработка, внедрение и сопровождение информационных систем кредитными бюро выполняется в соответствии с действующими на территории Республики Казахстан стандартами и их внутренними документами.
      7. Разработка информационных систем выполняется кредитными бюро на основании технического задания, утвержденного их первым руководителем.
      Техническое задание, необходимое для разработки кредитными бюро информационных систем, взаимодействующих с государственными органами, осуществляющими регистрацию прав на недвижимое имущество и сделок с ним согласовывается с Комитетом регистрационной службы Министерства юстиции Республики Казахстан.
      Кредитные бюро передают поставщикам информации и получателям кредитных отчетов программное обеспечение необходимое для реализации информационных процессов либо устанавливают соответствующие требования к используемому ими программному обеспечению. В случае самостоятельной разработки программного обеспечения поставщиками информации и получателями кредитных отчетов оно согласуется с кредитными бюро.
      Сноска. Пункт 7 с изменениями, внесенными постановлением Правления Агентства РК по регулированию и надзору фин. рынка и фин. организаций от 27 августа 2007 г. N 221 (вводится в действие по истечении 14 дней со дня гос. регистрации).
      8. В целях исключения несанкционированного изменения программного обеспечения и/или данных информационной системы при необходимости внесения изменений (для устранения недостатков или доработки системы) в программное обеспечение, процесс внесения изменений осуществляются в соответствии с техническим заданием, стандартами, действующими на территории Республики Казахстан, и внутренними документами кредитных бюро.

Глава 3. Условия обмена информацией между участниками
системы формирования кредитных историй и их использования

      9. Обмен информацией между поставщиками информации, получателями кредитных отчетов (за исключением субъекта кредитной истории) и кредитными бюро осуществляется через специальную автоматизированную систему, условия использования которой определяются центральным исполнительным органом, осуществляющим реализацию государственной политики и государственное регулирование деятельности в сфере информатизации и "электронного правительства" (далее - уполномоченный орган в сфере информатизации).
      Сноска. Пункт 9 с изменениями, внесенными постановлением Правления Агентства РК по регулированию и надзору фин. рынка и фин. организаций от 27 августа 2007 г. N 221 (вводится в действие по истечении 14 дней со дня гос. регистрации).
      10. Электронные документы используются в формате CMS (Cryptographic Message Syntax), c возможностью передачи в нем электронного сообщения в любом формате.
      Сноска. Пункт 10 с изменениями, внесенными постановлением Правления Агентства РК по регулированию и надзору фин. рынка и фин. организаций от 27 августа 2007 г. N 221 (вводится в действие по истечении 14 дней со дня гос. регистрации).
      11. Формат электронного сообщения или файла (данные о субъекте кредитных историй, кредитный отчет и другие данные), передаваемого в электронном документе CMS, разрабатывают кредитные бюро по согласованию с уполномоченным органом в сфере информатизации.
      Сноска. Пункт 11 с изменениями, внесенными постановлением Правления Агентства РК по регулированию и надзору фин. рынка и фин. организаций от 27 августа 2007 г. N 221 (вводится в действие по истечении 14 дней со дня гос. регистрации).
      12. Информация, представленная поставщиком информации, может быть возвращена кредитным бюро без ее использования в информационной системе формирования и использования кредитных историй, в связи с ее неправильным или неполным оформлением, несоответствием данных поставщика информации, получателя кредитного отчета, субъекта кредитной истории требованиям в используемой информационной системе.

Глава 4. Основные вопросы формирования системы безопасности

      13. Информационная система формирования и использования кредитных историй обеспечивает:
      1) конфиденциальность информации - защиту от раскрытия информации в ходе ее хранения, обработки или при передаче по коммуникационным каналам;
      2) сохранность информации - защиту от повреждений, целостность и защищенность от несанкционированного изменения, дополнения, копирования или удаления в ходе ее хранения, обработки или при передаче по коммуникационным каналам;
      3) доступность - защиту от использования одним пользователем данных и иных ресурсов информационной системы, предназначенных для совместного использования, перехвата информационных сообщений и/или данных с последующей их задержкой, а также от перехвата информационных сообщений и/или данных с последующей их задержкой.
      14. Базовым компонентом обязательных мер по обеспечению безопасности информационной системы формирования и использования кредитных историй является применение комплексного подхода к созданию системы информационной безопасности.
      15. Комплексный подход к созданию системы информационной безопасности включает анализ и оценку рисков, в том числе по техническим каналам утечки информации, учет характера и важности защищаемой информации, контроль за обеспечением безопасности технологии обработки электронных документов.
      16. Участники информационной системы формирования и использования кредитных историй проводят действия по оперативному выявлению подозрительных действий в реальном масштабе времени и включающие мероприятия, направленные на установление:
      1) нетипичного поведения (пользователей, программ или аппаратуры);
      2) начала активности несанкционированных вторжений или использования зловредного программного обеспечения (компьютерных вирусов, сетевых червей и аналогичного программного обеспечения).
      17. Основными направлениями, обеспечивающими комплексный подход к информационной безопасности на программно-техническом уровне являются:
      1) контур безопасности;
      2) внутрикорпоративная безопасность;
      3) управление корпоративной безопасностью.
      18. Контур безопасности предназначен для обеспечения защиты информационной системы формирования и использования кредитных историй (далее - Контур безопасности) кредитного бюро или поставщиков информации. Контур безопасности реализует защиту центрального и дополнительных офисов (филиалов, представительств, удаленных офисов), информационных потоков между ними, а также информационных ресурсов, хранящихся на серверах и рабочих станциях внешних соединений информационной системы с другими сетями.
      19. Процедуры безопасности участников информационной системы формирования и использования кредитных историй предназначены для контроля несанкционированных вторжений и антивирусной защиты, обеспечения их внутренней информационной безопасности и предполагает необходимость построения и поддержания системы, обеспечивающей разделение пользователей на группы в соответствии с их статусом и правами, а также разделение ресурсов по уровню их конфиденциальности.
      20. Управление корпоративной безопасностью, в рамках комплексной системы безопасности участников информационной системы формирования и использования кредитных историй, обеспечивается постоянным контролем за выполнением общих требований политики информационной безопасности, оперативным внесением в нее корректировок и повышения ее уровня.
      21. Повышение уровня безопасности предусматривает:
      1) определение политики информационной безопасности;
      2) установление границ, в которых предполагается поддерживать режим информационной безопасности;
      3) проведение оценки рисков;
      4) выбор мер противодействия и управления рисками;
      5) выбор средств и управления, обеспечивающих режим информационной безопасности.
      22. Политика информационной безопасности содержит описание состава используемой информационной системы, список пользователей информационной системы организации, их права (в зависимости от их служебного положения и характера выполняемых функций) на доступ к информации, программным и техническим средствам и определяет:
      1) общие направления работы в области информационной безопасности;
      2) цель и задачи защиты информационной системы;
      3) основные принципы и способы достижения необходимого уровня безопасности;
      4) определение должностных лиц организаций, ответственных за разработку необходимых требований, определяющих политику информационной безопасности;
      5) определение подразделений организаций, ответственных за создание и поддержание работоспособности информационных систем и системы их защиты;
      6) меры, предотвращающие нарушения режима безопасности информационных систем в случае возникновения обстоятельств непреодолимой силы, к которым относятся стихийные бедствия, аварии, пожары, отключение электроэнергии, повреждение линий связи, массовые беспорядки, забастовки, военные действия.

      23. Участники информационной системы формирования и использования кредитных историй (за исключением субъектов кредитных историй) обеспечивают:
      1) соответствие используемых управленческих решений, технологий, подходов и конкретных программно-аппаратных средств действующему законодательству Республики Казахстан;
      2) принятие внутренних документов об организации безопасности информационной системы.
      24. Процедурный уровень защиты информации включает мероприятия по обеспечению безопасности, предпринимаемые организациями по следующим направлениям:
      1) управление персоналом;
      2) физическая защита;
      3) реагирование на нарушения режима безопасности;
      4) планирование восстановительных работ.
      25. Средства идентификации/аутентификации участников информационной системы формирования и использования кредитных историй (за исключением субъектов кредитных историй) должны соответствовать условиям:
      1) устойчивости к сетевым угрозам;
      2) обеспечения единого входа в используемую информационную сеть.
      26. План защиты информации включает следующие меры:
      1) организационные;
      2) программно-технические.
      27. К организационным мерам обеспечения безопасности относятся:
      1) физическая защита информационных систем;
      2) поддержание работоспособности информационных систем, имеющих отношение к информационной безопасности;
      3) установление каждому пользователю соответствующего права доступа, необходимого для выполнения им возложенных должностных обязанностей и обеспечения взаимозаменяемости;
      4) планирование восстановительных работ.
      28. Физическая защита подразделяется на:
      1) физическое управление доступом;
      2) меры противопожарной безопасности;
      3) защита поддерживающей инфраструктуры;
      4) защита от перехвата данных, защита мобильных систем.
      29. Мероприятия по поддержанию работоспособности информационных систем подразделяются на:
      1) поддержку пользователей - предоставление консультаций по вопросам информационной безопасности, выявление их типичных ошибок и обеспечение памятками с рекомендациями для распространенных ситуаций;
      2) поддержку программного обеспечения - контроль лицензионной (сертифицированной) чистоты программного обеспечения;
      3) конфигурационное управление - контроль и фиксирование изменений, вносимых в программную и техническую конфигурацию;
      4) резервное копирование для восстановления информационной системы и данных в случае аварии и других обстоятельств непреодолимой силы;
      5) управление носителями данных - порядок учета, обращения и хранения;
      6) документирование - актуальное отражение текущего состояния дел.
      30. В случае нарушения режима безопасности информационных систем ответственные лица, администратор осуществляют:
      1) выполнение оперативных мероприятий с целью уменьшения наносимого вреда;
      2) анализ и оценку имеющихся сведений о нарушениях - изучение инцидента, выявление повторных нарушений, разработка мер по усовершенствованию системы защиты.
      31. Резервное копирование и восстановление после потери работоспособности информационной системы определяются требованиями, установленными в организации.

Глава 5. Минимальные требования к электронному
оборудованию, сохранности базы данных кредитных
историй и помещениям

      32. Программное обеспечение пользователя устанавливается на специально выделенном персональном компьютере, имеющем паспорт - описание рабочего места с подробными данными по его месторасположению, конфигурации, а также аппаратным и программным средствам, установленным на нем.
      33. Не допускается эксплуатация персонального компьютера пользователя и установка на нем программных средств, не связанных с целями подготовки, обработки, передачи или ведения электронных документов в рамках участия в информационной системе формирования и использования кредитных историй.
      34. Персональный компьютер пользователя должен иметь комплекс защиты, включающий в себя средства идентификации и аутентификации пользователей, возможность ведения электронных журналов в течение срока хранения электронных документов, с целью контроля деятельности, связанной с доступом к компьютеру и действиями пользователей.
      35. Одному системному имени пользователя, по которому идентифицируется пользователь, при входе в информационные системы должно соответствовать одно физическое лицо.
      36. Паспорт - описание рабочего места оформляется за подписью руководителя организации и хранится у ответственного лица, администратора.
      37. Персональный компьютер пользователя должен иметь средства обеспечения целостности программного обеспечения.
      38. Системный блок персонального компьютера пользователя опечатывается либо пломбируется ответственным лицом (администратором). В случае необходимости, допуск к системному блоку осуществляется в присутствии ответственного лица (администратора). По окончании работ системный блок опечатывается либо пломбируется ответственным лицом (администратором).
      39. Порядок доступа к ресурсам (дисковое пространство, директории, сетевые ресурсы, базы данных и другие), выделенным для накопления в них информации для передачи в информационную среду с использованием системы защиты, получения информации из информационной среды, хранения, архивирования либо другой обработки информации, должен исключать возможность несанкционированного доступа к этим ресурсам.
      40. Проведение и контроль работ по криптографической защите ведется ответственным лицом (администратором), который выполняет:
      1) учет, хранение и сопровождение программных средств криптографической защиты;
      2) генерацию криптографических ключей, получение, учет, хранение и выдачу информационных носителей, содержащих ключи;
      3) ведение списка владельцев криптографических ключей;
      4) обеспечение владельцев криптографических ключей необходимыми инструкциями.
      41. Рабочее место системы защиты размещается в отдельном помещении.
      42. Местонахождение, в котором находится рабочее место пользователя и технические средства охраны помещения (контроль доступа и охранно-пожарная сигнализация) должны исключать возможность неконтролируемого проникновения в это помещение лиц, не допущенных к рабочему месту пользователя.
      43. Помещение организации должно находиться в охраняемой зоне, иметь кодовые замки и средства регистрации доступа.
      При расположении помещения кредитного бюро на первых или последних этажах зданий, а также при наличии рядом с окнами балконов, пожарных лестниц, окна помещений оборудуются металлическими решетками.
      44. Средства технической защиты помещения организации (контроль доступа), должны исключать возможность неконтролируемого проникновения в это помещение лиц, не допущенных к рабочему месту пользователя. Допуск к работе в организации осуществляется в соответствии с ее регламентом и должностными обязанностями работников.

Глава 6. Иные вопросы деятельности организации

      45. Внутренним актом организации определяется порядок работы с системой защиты, включающий:
      1) порядок назначения сотрудников, на которых возлагаются обязанности ответственного лица, администратора, оператора;
      2) режим работы;
      3) права и обязанности ответственного лица, администратора и оператора, включая их должностные инструкции;
      4) список сотрудников, допущенных к рабочему месту пользователя;
      5) список сотрудников, допускаемых к рабочему месту пользователя в особых случаях.
      46. Ответственные лица, администратор и оператор:
      1) обеспечивают обязательность процедуры идентификации и аутентификации для доступа к ресурсам информационных систем;
      2) не допускают получения права доступа к информационным ресурсам неавторизованными пользователями;
      3) контролируют регулярность выполнения резервного копирования информации, обрабатываемой информационной системой;
      4) проводят плановую и внеплановую проверку надежности защиты ресурсов системы;
      5) обеспечивают защиту оборудования корпоративной сети, в том числе специальных межсетевых программных средств;
      6) принимают меры по отражению угрозы и выявлению нарушителей;
      7) обеспечивают работоспособность средств защиты от утечки информации через съемные носители (гибкие диски, flash-карты, внешние накопители на жестких дисках и прочие);
      8) регулярно просматривают журнал событий, проводят анализ с записями, где были попытки несанкционированного доступа к информации.
      47. Сотрудники организации (ответственное лицо, администратор, оператор) дают письменное обязательство о неразглашении и нераспространении информации, ставшей им известной в процессе исполнения ими служебных обязанностей.
      48. При увольнении ответственного лица, администратора или оператора производится внеплановая смена ключевой информации организации, о чем уведомляется кредитное бюро. Новая ключевая информация вводится в действие со дня их увольнения.
      49. Ключевая информация должна находиться на внешнем носителе (дискета, пластиковая карточка).
      50. Порядок хранения и использования внешних носителей с ключевой информацией должен исключать возможность несанкционированного доступа к ним.
      51. При формировании и передаче электронного сообщения организации осуществляют защитные действия, в соответствии с установленным ими порядком использования программно-криптографической защиты и электронной цифровой подписи.
      52. В случае нарушения порядка защитных действий или его разглашения, сторона, установившая данное нарушение, немедленно уведомляет об этом другую организацию и принимает меры к ликвидации последствий.
      53. Проверка выполнения (соблюдения) участником информационной системы кредитных историй организационно-технических, технологических требований по защите программного обеспечения, соответствия используемых им информационных систем установленным настоящей Инструкцией и законодательством Республики Казахстан условиям и требованиям, осуществляется комиссией уполномоченного органа в сфере информатизации, которая составляет акт о соответствии по форме согласно Приложению к настоящей Инструкции.
      Сноска. Пункт 53 с изменениями, внесенными постановлением Правления Агентства РК по регулированию и надзору фин. рынка и фин. организаций от 27 августа 2007 г. N 221 (вводится в действие по истечении 14 дней со дня гос. регистрации).

Глава 7. Заключительные положения

      54. Вопросы, не урегулированные настоящей Инструкцией, разрешаются в порядке, определенном законодательством Республики Казахстан.

Приложение                        
к Инструкции об организации       
информационного процесса в        
деятельности участников системы   
формирования кредитных историй и  
их использования, формирования    
системы безопасности, установления
минимальных требований к их       
электронному оборудованию,        
сохранности базы данных кредитных 
историй и помещениям              

            Сноска. Приложение в редакции постановления Правления Агентства РК по регулированию и надзору фин. рынка и фин. организаций от 27 августа 2007 г. N 221 (вводится в действие по истечении 14 дней со дня гос. регистрации).

                                  АКТ
             о соответствии _______________________________________
                                   (наименование участника)
                требованиям, предъявляемым к участникам системы
               формирования кредитных историй и их использования
                  (за исключением субъекта кредитной истории)

      ____________________                        __________________
       место составления                           дата составления

      Настоящий акт о готовности участника системы формирования кредитных
историй и их использования к началу своей деятельности на рынке
информационных услуг и выполнении им требований по организации информа-
ционного процесса в деятельности участников системы формирования кредитных
историй и их использования, формирования системы безопасности, выполнении
минимальных требований к их электронному оборудованию, сохранности базы
данных кредитных историй и помещениям составлен комиссией в следующем
составе:
      представители уполномоченного органа в сфере информатизации:
___________________________________________________________________________
___________________________________________________________________________
___________________________________________________________________________

      представители государственного органа по регулированию и надзору
финансового рынка и финансовых организаций:
___________________________________________________________________________
___________________________________________________________________________
___________________________________________________________________________

      В работе комиссии участвуют представители участника системы формиро-
вания кредитных историй и их использования:
___________________________________________________________________________
___________________________________________________________________________
___________________________________________________________________________

      Подробное описание обследованных объектов и изученных комиссией
документов:
      конкретная деятельность участника системы формирования и
использования кредитных историй;
      охрана помещения;
      описание рабочего места (программное обеспечение пользователя
установлено на специально выделенным компьютере, имеющем паспорт с
подробными данными по его месторасположению, конфигурации, а также аппарат-
ным и программным средствам, установленным на нем);
      обеспечение физической защиты в соответствии с пунктом 28 Инструкции
об организации информационного процесса в деятельности участников системы
формирования кредитных историй и их использования, формирования системы
безопасности, установления минимальных требований к их электронному
оборудованию, сохранности базы данных кредитных историй и помещениям,
утвержденной постановлением Правления Агентства Республики Казахстан по
регулированию и надзору финансового рынка и финансовых организаций
от 25 октября 2004 года N 303 (далее - Инструкция), возможности резервного
копирования и восстановления после потери работоспособности информационной
системы, порядок работы с системой защиты, который определен внутренним
актом организации, включающим подпункты 1)-5) пункта 45 Инструкции;
      описание программных продуктов, используемых в деятельности.
___________________________________________________________________________
___________________________________________________________________________
___________________________________________________________________________

      Краткое содержание пояснений представителей участника системы форми-
рования кредитных историй и их использования:
___________________________________________________________________________
___________________________________________________________________________
___________________________________________________________________________

      Проверкой комиссией технических и иных документов участника системы
формирования кредитных историй и их использования ________________________,
обследованием его технических помещений, электронно-компьютерного оборудо-
вания, систем связи и защитных устройств и иных объектов, предназначенных
для работы в системе формирования кредитных историй и их использования
установлено
___________________________________________________________________________
___________________________________________________________________________
(соответствие/несоответствие предъявляемым требованиям и достаточность/
недостаточность для начала/продолжения деятельности организации на рынке
информационных услуг).
      Участником системы формирования кредитных историй и их использования
предъявлена следующая техническая документация и иные документы, которые
приложены к акту комиссии:
___________________________________________________________________________
___________________________________________________________________________
___________________________________________________________________________

      Акт составлен в трех экземплярах и по одному экземпляру передан:
      уполномоченному органу в сфере информатизации;
      государственному органу по регулированию и надзору финансового
рынка и финансовых организаций;
      участнику информационной системы формирования и использования
кредитных историй.
      Члены комиссии:
___________________________________________________________________________
___________________________________________________________________________
___________________________________________________________________________

      Представитель проверяемой организации:
___________________________________________________________________________
___________________________________________________________________________
___________________________________________________________________________