"Қазақстан Республикасындағы кредиттік бюролар және кредиттік тарихты қалыптастыру туралы" 2004 жылғы 6 шілдедегі Қазақстан Республикасының Заңына сәйкес Қазақстан Республикасы Ұлттық Банкінің Басқармасы ҚАУЛЫ ЕТЕДІ :
1. Мыналар:
1) осы қаулыға 1-қосымшаға сәйкес Кредиттік бюролардың, банктер, банк операцияларының жекелеген түрлерін жүзеге асыратын ұйымдар, микроқаржы ұйымдары және коллекторлық агенттіктер болып табылатын ақпарат берушілердің және кредиттік есептерді алушылардың қызметін ұйымдастыру кезінде ақпараттық-коммуникациялық технологияларды пайдалануға және ақпараттық қауіпсіздікті қамтамасыз етуге қойылатын талаптар;
2) осы қаулыға 2-қосымшаға сәйкес "Қазақстан Республикасындағы кредиттік бюролар және кредиттік тарихты қалыптастыру туралы" 2004 жылғы 6 шілдедегі Қазақстан Республикасы Заңының 27-бабы 2-тармағының 11) тармақшасына және 3-тармағының 9) тармақшасына сәйкес кредиттік бюролардың ақпаратты берушілерге және кредиттік есептерді алушыларға қойылатын талаптары бекітілсін.
2. Осы қаулыға 3-қосымшаға сәйкес тізбе бойынша Қазақстан Республикасының нормативтік құқықтық актілерінің, сондай-ақ Қазақстан Республикасының кейбір нормативтік құқықтық актілерінің құрылымдық элементтерінің күші жойылды деп танылсын.
3. Ақпараттық қауіп және киберқорғау басқармасы (Перминов Р.В.) Қазақстан Республикасының заңнамасында белгіленген тәртіппен:
1) Заң департаментімен (Сәрсенова Н.В.) бірлесіп осы қаулыны Қазақстан Республикасының Әділет министрлігінде мемлекеттік тіркеуді;
2) осы қаулы мемлекеттік тіркелген күннен бастап күнтізбелік он күн ішінде оны қазақ және орыс тілдерінде "Республикалық құқықтық ақпарат орталығы" шаруашылық жүргізу құқығындағы республикалық мемлекеттік кәсіпорнына ресми жариялау және Қазақстан Республикасы нормативтік құқықтық актілерінің эталондық бақылау банкіне енгізу үшін жіберуді;
3) осы қаулыны ресми жарияланғаннан кейін Қазақстан Республикасы Ұлттық Банкінің ресми интернет-ресурсына орналастыруды;
4) осы қаулы мемлекеттік тіркелгеннен кейін он жұмыс күні ішінде Заң департаментіне осы қаулының осы тармағының 2), 3) тармақшаларында және 4-тармағында көзделген іс-шаралардың орындалуы туралы мәліметтерді ұсынуды қамтамасыз етсін.
4. Қаржылық қызметтерді тұтынушылардың құқықтарын қорғау және сыртқы коммуникациялар басқармасы (Терентьев А.Л.) осы қаулы мемлекеттік тіркелгеннен кейін күнтізбелік он күн ішінде оның көшірмесін мерзімді баспасөз басылымдарында ресми жариялауға жіберуді қамтамасыз етсін.
5. Осы қаулының орындалуын бақылау Қазақстан Республикасының Ұлттық Банкі Төрағасының орынбасары О.А. Смоляковқа жүктелсін.
6. Осы қаулы алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі.
|
Ұлттық Банк Төрағасы |
Д. Ақышев |
| Қазақстан Республикасы Ұлттық Банкі Басқармасының 2018 жылғы 27 қыркүйектегі № 228 қаулысына 1-қосымша |
Кредиттік бюролардың, банктер, банк операцияларының жекелеген түрлерін жүзеге асыратын ұйымдар, микроқаржы ұйымдары және коллекторлық агенттіктер болып табылатын ақпарат берушілердің және кредиттік есептерді алушылардың қызметін ұйымдастыру кезінде ақпараттық-коммуникациялық технологияларды пайдалануға және ақпараттық қауіпсіздікті қамтамасыз етуге қойылатын талаптар
1-тарау. Жалпы ережелер
1. Осы Кредиттік бюролардың, банктер, банк операцияларының жекелеген түрлерін жүзеге асыратын ұйымдар, микроқаржы ұйымдары және коллекторлық агенттіктер болып табылатын ақпарат берушілердің және кредиттік есептерді алушылардың қызметін ұйымдастыру кезінде ақпараттық-коммуникациялық технологияларды пайдалануға және ақпараттық қауіпсіздікті қамтамасыз етуге қойылатын талаптар (бұдан әрі - Талаптар) "Қазақстан Республикасындағы кредиттік бюролар және кредиттік тарихты қалыптастыру туралы" 2004 жылғы 6 шілдедегі Қазақстан Республикасының Заңына (бұдан әрі - Кредиттік бюролар туралы заң) сәйкес әзірленді және Кредиттік бюролардың, банктер, банк операцияларының жекелеген түрлерін жүзеге асыратын ұйымдар, микроқаржы ұйымдары және коллекторлық агенттіктер болып табылатын ақпарат берушілердің және кредиттік есептерді алушылардың қызметін ұйымдастыру кезінде ақпараттық-коммуникациялық технологияларды пайдалануға және ақпараттық қауіпсіздікті қамтамасыз етуге қойылатын талаптарды белгілейді.
2. Талаптарда Кредиттік бюролар туралы заңда көзделген ұғымдар, сондай-ақ мынадай ұғымдар пайдаланылады:
1) ақпарат берушілер - Кредиттік бюролар туралы заңның 18-бабы 1-тармағының 1) тармақшасында көрсетілген ақпарат берушілер;
2) ақпараттық актив - ақпараттың және оны сақтауға және (немесе) өңдеуге пайдаланылатын ақпараттық-коммуникациялық инфрақұрылым объектісінің жиынтығы;
3) ақпараттық-коммуникациялық инфрақұрылым (бұдан әрі - ақпараттық инфрақұрылым) - электрондық ақпараттық ресурстарды қалыптастыру және оларға қолжетімділік беру мақсатында технологиялық ортаның жұмыс істеуін қамтамасыз етуге арналған ақпараттық инфрақұрылым объектілерінің жиынтығы;
4) ақпараттық қауіпсіздік - электрондық ақпараттық ресурстардың, ақпараттық жүйелердің және ақпараттық инфрақұрылымның сыртқы және ішкі қауіптерден қорғалу жай-күйі;
5) ақпараттық қауіпсіздік тәуекелі - кредиттік бюроның ақпараттық активтері құпиялылығының бұзылуы, тұтастығының немесе қолжетімділігінің қасақана бұзылуы салдарынан залалдың ықтимал пайда болуы;
6) ақпараттық қауіпсіздікті қамтамасыз ету - кредиттік бюроның ақпараттық активтерінің конфиденциалдылық, тұтастық және қолжетімділік күйін ұстап тұруға бағытталған процесс;
7) ақпараттық қауіпсіздіктің оқыс оқиғасы - ақпараттық инфрақұрылымның немесе оның жекелеген объектілерінің жұмысында жеке немесе сериялық туындайтын, олардың тиісінше жұмыс істеуіне қауіп келтіретін іркілістер туралы ақпарат және (немесе) кредиттік бюроның электрондық ақпараттық ресурстарын заңсыз алу, көшіру, тарату, модификациялау, жою немесе бұғаттауға арналған талаптар;
8) артықшылық берілген есептік жазба - ақпараттық жүйеде жасалу, жойылу және басқа есептік жазбаларға кіру құқықтарын өзгерту артықшылықтары бар есептік жазба;
9) аудиторлық із - ақпараттық жүйенің функцияларын орындау нәтижесінде деректердің өзгеруінің дәлелі қамтылған жазбалардың хронологиялық реттілігі;
10) аутенфикациялау - ақпараттық жүйеге қол жеткізу субъектісінің немесе объектісінің түпнұсқалылығын ұсынылған қолжетімділік деректемелерінің сәйкестігін анықтау арқылы растау;
11) бизнес-процесс - сыртқы (клиент) немесе ішкі (кредиттік бюроның қызметкері, бөлімшесі, басқа бизнес-процесс) тұтынушы үшін белгілі өнімді немесе қызметті жасауға бағытталған өзара байланысты іс-шаралар немесе міндеттер жиынтығы;
12) виртуалды орта - аппараттық іске асырудан абстракцияланған және бұл ретте бір нақты ресурста орындалатын есептеу процестерінің бір-бірінен қисынды оқшаулануын қамтамасыз ететін есептеу ресурстары немесе олардың қисынды бірігуі;
13) деректерді өңдеу орталығы - кредиттік бюроның ақпараттық инфрақұрылымының серверлік және коммуникациялық жабдығы орналасқан, арнайы бөлінген үй-жай. Деректерді өңдеу орталығы негізгі және резервтік болып бөлінеді;
14) жауапты тұлға - кредиттік есептерді алушының кредиттік есептерге қолжетімділігі бар қызметкері;
15) жұмыс станциясы - кредиттік бюроның ақпараттық жүйесіне кіру үшін пайдаланылатын дербес компьютер;
16) кредиттік бюроның ақпараттық жүйесінің бизнес-иесі - кредиттік бюроның ақпараттық жүйе автоматтандыратын негізгі бизнес-процестің иесі болып табылатын бөлімшесі (қызметкері);
17) кредиттік есептерді алушылар - Кредиттік бюролар туралы заңның 20-бабы 1-тармағы бірінші бөлігінің 1) тармақшасында көрсетілген кредиттік есептерді алушылар;
18) қолжетімділік - ақпараттық активтерді пайдалану мүмкіндігі;
19) оператор - кредиттік бюроның ақпарат жүйесіне ақпараттың дұрыс енгізілуі үшін жауап беретін қызметкер;
20) резервтік көшірме - ақпарат тасымалдағыштағы деректердің қажет болған жағдайда оларды түпнұсқада немесе жаңадан орналастырылған орнында қалпына келтіруге арналған көшірмесі;
21) техникалық қауіпсіздікті қамтамасыз ету - техникалық құралдарды (күзет және өрт сигнализациясы, кіруді бақылау және басқару, бейнебақылау, өрт сөндіру, деректерді өңдеу орталығында температуралық режим мен ылғалдылықты бақылау жүйелерін) пайдалана отырып кредиттік бюроның қауіпсіздігін қамтамасыз ету процесі;
22) технологиялық есептік жазба - ақпарат жүйесіндегі ақпараттық жүйелердің арасында аутенфикациялауға арналған есептік жазба;
23) түзету шарасы - ақпараттық қауіпсіздікті қамтамасыз ету барысында болған проблеманы не оның бұзылу салдарын түзетуге бағытталған ұйымдастыру және техникалық іс-шараларының жиынтығы;
24) уәкілетті орган - қаржы нарығын және қаржы ұйымдарын реттеу, бақылау мен қадағалау жөніндегі уәкілетті орган.
2-тарау. Ақпараттық-коммуникациялық технологияларды пайдалануға қойылатын талаптар
3. Кредиттік бюро:
1) ақпарат берушіден ақпарат алуды;
2) кредиттік тарихтардың дерекқорын қалыптастыруды;
3) кредиттік есептерді қалыптастыруды, беруді және сақтауды;
4) кредиттік бюроның ақпараттық жүйесін пайдаланушыларды сәйкестендіруді және аутентификациялауды;
5) кредиттік бюроның ақпараттық жүйесінің аудиторлық ізін жүргізуді автоматтандыруды қамтамасыз ететін ақпараттық жүйені (бұдан әрі - кредиттік бюроның ақпараттық жүйесі) әзірлеуді жүзеге асырады.
4. Кредиттік бюроның ақпараттық жүйесі мынадай талаптарға сәйкес келеді:
1) техникалық тапсырма негізінде және кредиттік бюроның әзірлеу, өзгерістер енгізу, тестілеу, өнеркәсіптік пайдалануға қабылдау және енгізу, сондай-ақ барлық кезеңді құжаттандыру кезеңі мен тәртібін реттейтін ішкі құжаттарына сәйкес әзірлеуді, енгізуді және оған қызмет көрсетуді (немесе дайын өнімді бейімдеуді) жүзеге асыру;
2) кредиттік бюроның ақпараттық жүйесін пайдаланушылардың қолжетімділік құқықтарының аражігін ажыратуды қамтамасыз ету;
3) кредиттік бюроның ақпараттық жүйесінің есептік жазбаларын басқаруды қамтамасыз ету;
4) кредиттік бюроның ақпараттық жүйесінің қорғалатын деректерінің ақпараттық қауіпсіздігін қамтамасыз ету.
5. Кредиттік бюро кредиттік бюроның ақпараттық жүйесінің болуын және әзірлеу, тестілеу және өнеркәсіптік пайдалану орталарынан осы орталардың кез келгеніндегі кредиттік бюроның ақпараттық жүйесіне енгізілген өзгерістердің басқа ортада орналасқан кредиттік бюроның ақпараттық жүйесіне әсер етпейтіндей бөлуді қамтамасыз етеді. Кредиттік бюроның ақпараттық жүйесін әзірлеу және пысықтау өнеркәсіптік пайдалану ортасында жүзеге асырылмайды.
6. Бағдарламалық қамтамасыз етуді әзірлеуді жүзеге асыратын тысқары ұйымдардың және ақпараттық технологиялар бөлімшесі қызметкерлерінің кредиттік бюро ақпараттық жүйесінің өзгерістерін өнеркәсіптік ортаға ауыстыру өкілеттіктері, сондай-ақ өнеркәсіптік ортадағы кредиттік бюроның ақпараттық жүйелеріне әкімшілік кіруге рұқсаты жоқ.
7. Кредиттік бюроның ақпараттық жүйесін өнеркәсіптік пайдалануға енгізудің алдында онда қалыпты жағдай бойынша орнатылған қауіпсіздік теңшеулері кредиттік бюроның ішкі құжаттарында белгіленген ақпараттық қауіпсіздікке қойылатын талаптарына сәйкес келетін теңшеулерге өзгертіледі. Көрсетілген теңшеулер тестілеу кезінде пайдаланылатын парольдерге ауыстыруды, сондай-ақ барлық тестілік есептік жазбаларды алып тастауды қамтуға тиіс.
8. Кредиттік бюроның ақпарат жүйесінің шығыс кодтары (бар болса) және орындалатын модульдер бағдарламалық қамтамасыз етудің сақталатын қоймасында сақталады, ол оларды қалпына келтіру үшін жарамды түрде жүргізіледі.
9. Кредиттік бюроның ақпараттық жүйесі аудиторлық із жүргізуді қамтамасыз етеді, ол мыналарды қамтиды:
1) жалғанымдарды орнату, сәйкестендіру, бірегейлендіру және авторизациялау оқиғасы (сәтті немесе сәтсіз);
2) сақталатын деректерді өзгерту оқиғасы;
3) қауіпсіздікті іске қосуды түрлендіру оқиғасы;
4) пайдаланушылардың топтарын және олардың өкілеттіктерін түрлендіру оқиғасы;
5) пайдаланушылардың есептік жазбаларын және олардың өкілеттіктерін түрлендіру оқиғасы;
6) ақпараттық жүйедегі жаңартуларды және (немесе) өзгерістерді орнатуды көрсететін оқиғалар;
7) аудиторлық ізді жүргізу өлшемдерінің өзгеру оқиғасы;
8) жүйелік өлшемдердің өзгерістер оқиғасы.
10. Аудиторлық із форматы мынадай ақпаратты қамтиды:
1) іс-қимыл жасайтын пайдаланушының сәйкестендіргіші (логині);
2) іс-қимыл жасау күні және уақыты;
3) іс-қимыл жүргізілген объектілердің атауы;
4) ақпараттық жүйені басқарушының немесе түпкі пайдаланушының жасаған іс-қимылының түрі және атауы;
5) іс-қимылдың нәтижесі (сәтті немесе сәтсіз).
11. Аудиторлық ізді сақтау мерзімі жедел кіру бойынша кемінде 3 (үш) айды және архивтік кіру бойынша кемінде 1 (бір) жылды құрайды. Аудиторлық ізді оқиғаларды сақтаудың, өңдеудің және талдаудың мамандандырылған ақпараттық жүйесінде сақтауға рұқсат беріледі.
12. Кредиттік ұйым аудиторлық іздің ұйымдастыру, сол сияқты техникалық деңгейдегі тұрақтылығын қамтамасыз етеді. Ақпараттық жүйелердің басқарушыларына аудиторлық із журналдарын архивке ауыстыруға ғана кіруге рұқсат беріледі.
13. Кредиттік бюроның деректерін өңдеу орталығы мынадай талаптарға сәйкес келеді:
1) электрмен үздіксіз жабдықтау жүйесі электр желілерінің екі немесе одан астам тәуелсіз қосылғыштармен, сондай-ақ кемінде жиырма төрт сағаттың ішінде автономдық электрмен жабдықтауды қамтамасыз ететін қуат көзінің автоматты түрде қосылатын резервтік құрылғылармен қамтамасыз етіледі;
2) ғимаратқа, негізінен деректер өңдеу орталығына түрлі жолдармен жүргізілген телекоммуникациялық қызмет көрсетудің тәуелсіз провайдерлерінен деректер берудің екі немесе одан астам арнасының, сондай-ақ деректер өңдеудің резервтік орталығында кемінде екі байланыс арнасының болуы. Байланыс арналарының өткізу қабілеті ақпарат ұсыну туралы шарттардың және кредиттік есептер алу туралы шарттардың талаптарына сәйкес қызмет көрсетуді қамтамасыз етуге тиіс.
14. Кредиттік бюро кредиттік бюроның ақпараттық жүйесінің тұрақты жұмыс істеуін қамтамасыз ету мақсатында мынадай талаптарды сақтайды:
1) кредиттік бюроның ақпараттық жүйесі оның негізгі сервистерінің жұмыс істеуін үзбей профилактикалық жұмыстар жүргізу мүмкіндігін қамтамасыз ететін серверлік жүйеде жұмыс істейді. Аппараттық қуат көздерін виртуализациялау технологияларын пайдалану кезінде виртуалды негізгі және резервтік серверлер жеке нақты серверлерге орналастырылуға тиіс;
2) кредиттік бюроның деректерін өңдеудің резервтік орталығы кредиттік бюродан тыс орналасады және кредиттік бюроның ақпараттық жүйесінің жұмысын негізгі деректер өңдеу орталығының жұмысы тоқтатылған сәттен бастап он екі сағаттан аспайтын мерзімде қалпына келтіруді қамтамасыз етеді.
15. Ақпарат беруші кредиттік бюроның ақпараттық жүйесіне қосылу кезінде:
1) ақпарат ұсыну туралы шартта көрсетілген кредиттік бюроның талаптарына сәйкес келетін;
2) вирусқа қарсы өзекті базалары бар лицензиялық вирусқа қарсы бағдарламалық қамтамасыз етумен қорғалған жұмыс станциясын пайдаланады.
16. Кредиттік есептерді алушы кредиттік бюроның ақпараттық жүйесіне қосылу кезінде:
1) кредиттік бюроның ақпараттық жүйесіне қосылу үшін пайдаланатын бір немесе бірнеше жұмыс станциясының болуын қамтамасыз етеді;
2) жұмыс станцияларын вирусқа қарсы өзекті базалары бар лицензиялық вирусқа қарсы бағдарламалық қамтамасыз етумен қорғауды қамтамасыз етеді.
17. Ақпарат берушінің ақпаратты кредиттік бюроға беру және кредиттік бюроның кредиттік есептерді кредиттік есептерді алушыға беру процестері автоматтандырылған жағдайда, Талаптардың 15 және 16-тармақтарының талаптары ақпарат берушілерге және кредиттік есептерді алушыларға қолданылмайды.
3-тарау. Кредиттік бюролардың қызметін ұйымдастыру кезінде ақпараттық қауіпсіздікті қамтамасыз етуге қойылатын талаптар
1-параграф. Ақпараттық қауіпсіздікті басқару жүйесін ұйымдастыруға қойылатын талаптар
18. Кредиттік бюро қорғалған ақпаратты алу, сақтау және өңдеу кезінде, сондай-ақ кредиттік есептерді дайындау және беру кезінде оның ақпараттық қауіпсіздігін қамтамасыз етеді.
19. Кредиттік бюро ақпараттық қауіпсіздікті қамтамасыз ету процесін басқаруға арналған кредиттік бюроны басқарудың жалпы жүйесінің бір бөлігі болып табылатын ақпараттық қауіпсіздікті басқару жүйесінің құрылуын және жұмыс істеуін қамтамасыз етеді.
20. Ақпараттық қауіпсіздікті басқару жүйесі кредиттік бюроның бизнес-процестері үшін әлеуеттік зиянның ең төменгі деңгейіне жол беретін кредиттік бюроның ақпараттық активтерін қорғауды қамтамасыз етеді.
21. Кредиттік бюро ақпараттық қауіпсіздікті басқару жүйесінің тиісті деңгейін, оны дамыту мен жақсартуды қамтамасыз ету мақсатында мыналар айқындалатын ішкі құжаттардың болуын қамтамасыз етеді:
1) мыналар қамтылатын ақпараттық қауіпсіздік саясаты:
ақпараттық қауіпсіздікті басқару жүйесін құру мақсаттары, міндеттері және негізгі қағидаттары;
ақпараттық қауіпсіздікті басқару жүйесінің қолданылу саласы;
ақпараттық қауіпсіздікті басқару жүйесі шеңберіндегі жауапкершілік;
ақпараттық қауіпсіздік саясатының қолжетімділігін тарату және қамтамасыз ету;
ақпараттық қауіпсіздік саясатын қайта қарауға қойылатын талаптар;
2) мыналар қамтылатын ақпараттық активтерді басқару қағидалары:
конфиденциалдылық деңгейін көрсете отырып ақпаратқа негізгі талаптарды айқындау;
активтерді таңбалау және паспортизациялау бойынша талаптар;
конфиденциалдылық деңгейін ескере отырып ақпарат айналысының тәртібі;
3) мыналар қамтылатын резервтік көшіру (мұрағаттау) тәртібі:
резервтік және архивтік көшіру талаптары;
резервтік көшірмелерді тестілеу тәртібі;
4) мыналар қамтылатын ақпараттық қауіпсіздік тәуекелдерін бағалау және басқару әдістемесі:
ақпараттық қауіпсіздік тәуекелдерін бағалау және өңдеу процесі;
ақпараттық қауіпсіздік тәуекелдерінің құптауға болатын өлшемшарттары;
ақпараттық қауіпсіздік тәуекелдерін өңдеу жоспары;
ақпараттық қауіпсіздік тәуекелдерін бағалау және өңдеу туралы есеп;
5) мыналар қамтылатын ақпараттық жүйе пайдаланушыларының (ақпараттық жүйелердің операторлары, басқарушылары) қолжетімділігі мен міндеттерін шектеу бойынша рәсімдер:
еңбек шартының қолданылуы аяқталғаннан кейін конфиденциалды ақпаратты жария етпеу туралы талаптарды қамтитын функционалдық міндеттерін тоқтату немесе өзгерту тәртібі;
оқыту және хабардар болуды арттыру тәртібі;
ақпаратқа, ақпараттық жүйелерге, желілерге, сервистерге, жабдыққа және үй-жайларға қолжетімділікті бақылау тәртібі;
қолжетімділік құқықтарын жүйелі түрде қайта қарау талаптары;
пайдаланушылық және артықшылық берілген қолжетімділік құқықтарын басқаруға талаптар;
қолжетімділік құқықтарын ұсынуды, өзгертуді, жоюды техникалық тұрғыдан іске асыру тәртібі;
6) мыналар қамтылатын кредиттік бюроның ақпараттық жүйесімен жұмыс істеу тәртібі:
кредиттік бюроның ақпараттық жүйесінің өзгерістерін әзірлеу және басқару рәсімдері;
кредиттік бюроның ақпараттық жүйесінің операторлары мен басқарушыларының құқықтары мен міндеттері;
7) мыналар қамтылатын ақпараттық қауіпсіздіктің оқыс оқиғаларын басқару рәсімдері:
оқыс оқиғаларды жіктеу, хабарлауға жататын адамдары көрсете отырып, оқыс оқиғалар туралы хабарлау тәртібі;
оқыс оқиғаларға ден қою және өңдеу тәртібі;
ақпараттық активтерді зиянды бағдарламалық қамтамасыз етуден қорғау қағидалары.
22. Кредиттік ұйымның ақпараттық қауіпсіздікті басқару жүйесінің қатысушылары мыналар болып табылады:
1) басқару органы;
2) атқарушы орган;
3) ақпараттық қауіпсіздікті қамтамасыз ету міндеттері бойынша шешімдер қабылдауға уәкілетті алқалы орган (бұдан әрі - алқалы орган);
4) тәуекелдерді басқару бөлімшесі;
5) ақпараттық қауіпсіздік бөлімшесі;
6) ақпараттық технологиялар бөлімшесі;
7) қауіпсіздік бөлімшесі;
8) қызметкерлермен жұмыс жүргізу бөлімшесі;
9) заң бөлімшесі;
10) өзге бөлімшелер.
Осы тармақтың 4), 5), 6), 7), 8) және 9) тармақшаларында көрсетілген бөлімшелердің функцияларын функционалдық міндеттеріне сәйкес жауапты қызметкерлердің жүзеге асыруына рұқсат етіледі.
23. Кредиттік бюро ақпараттық қауіпсіздікті басқару жүйесін құру және оның жұмыс істеуі кезінде ақпараттық қауіпсіздік бөлімшесінің және ақпараттық технологиялар бөлімшесінің тәуелсіздігін оларды кредиттік бюроның атқарушы органының әртүрлі мүшелеріне немесе кредиттік бюроның атқарушы органының басшысына тікелей бағынуы арқылы қамтамасыз етеді.
24. Кредиттік бюроның басқару органы ақпараттық қауіпсіздік саясатын бекітеді.
25. Кредиттік бюроның басқару органы қорғалатын ақпараттың тізбесін, оның ішінде қызметтік, коммерциялық немесе өзге де заңмен қорғалатын құпия болып табылатын мәліметтер туралы ақпаратты (бұдан әрі - қорғалатын ақпарат) қамтитын тізбені және қорғалатын ақпаратпен жұмыс тәртібін бекітеді.
26. Кредиттік бюроның атқарушы органы ақпараттық қауіпсіздікті басқару процесін регламенттейтін, қайта қарау тәртібі мен кезеңділігі кредиттік бюроның ішкі құжаттарында айқындалатын ішкі құжаттарды бекітеді.
27. Кредитік бюро алқалы органды құрады, оның құрамына ақпараттық қауіпсіздік бөлімшесінің, тәуекелдерді басқару бөлімшесінің, ақпараттық технологиялар бөлімшесінің өкілдері, сондай-ақ қажет болған кезде кредиттік бюроның басқа бөлімшелерінің өкілдері кіреді. Кредиттік бюроның атқарушы органының басшысы не кредиттік бюроның атқарушы органының ақпараттық қауіпсіздік бөлімшесінің қызметіне жетекшілік ететін мүшесі алқалы органның басшысы болып тағайындалады.
28. Тәуекелдерді басқару бөлімшесі ақпараттық қауіпсіздік тәуекелдерін басқару процесін ұйымдастыру және үйлестіру үшін жауап береді және мынадай функцияларды жүзеге асырады:
1) ақпараттық қауіпсіздік тәуекелдерін басқару жүйесін әзірлеу, енгізу және тұрықты дамыту;
2) ақпараттық қауіпсіздік тәуекелдерін басқару бойынша рәсімдерді әзірлеу;
3) ақпараттық қауіпсіздік саласындағы процестерді талдау;
4) ақпараттық қауіпсіздік тәуекелдерінің мониторингі және бағалау.
29. Ақпараттық қауіпсіздік бөлімшесі кредиттік бюро ақпаратының конфиденциалдылығын, тұтастығын және қолжетімділігін қамтамасыз ету мақсатында мынадай функцияларды жүзеге асырады:
1) ақпараттық қауіпсіздікті басқару жүйесін құрады, кредиттік бюро бөлімшелерінің ақпараттық қауіпсіздікті және қауіптерді анықтау және талдау, шабуылдарға қарсы іс-қимыл жасау және ақпараттық қауіпсіздіктің оқыс оқиғаларын тергеу жөніндегі іс-шараларды қамтамасыз ету бойынша қызметін үйлестіруді және бақылауды жүзеге асырады;
2) кредиттік бюроның ақпараттық қауіпсіздік саясатын әзірлейді;
3) кредиттік бюроның ақпараттық қауіпсіздігін қамтамасыз ету процесін әдіснамалық қолдауды қамтамасыз етеді;
4) өз құзыреті шегінде кредиттік бюроның ақпараттық қауіпсіздігін басқарудың, қамтамасыз етудің және бақылаудың әдістерін, құралдарын және тетіктерін таңдауды, енгізуді және қолдануды жүзеге асырады;
5) ақпараттық қауіпсіздіктің оқыс оқиғалары туралы ақпаратты жинауды, шоғырландыруды, сақтауды және өңдеуді жүзеге асырады;
6) ақпараттық қауіпсіздіктің оқыс оқиғалары туралы ақпаратты талдауды жүзеге асырады;
7) алқалы органның ақпараттық қауіпсіздік жөніндегі мәселелер бойынша шешім қабылдауы үшін ұсыныстар дайындайды;
8) кредиттік бюроның ақпараттық қауіпсіздігін қамтамасыз ету процесін автоматтандыратын бағдарламалық-техникалық құралдарын енгізуді және олардың тиісінше жұмыс істеуін, сондай-ақ оларға кіруді қамтамасыз етеді;
9) артықшылық берілген есептік жазбаларды пайдалану бойынша шектеулерді айқындайды;
10) кредиттік бюро қызметкерлерінің ақпараттық қауіпсіздік мәселелері жөнінде хабардар болуын қамтамасыз ету бойынша іс-шараларды ұйымдастырады және жүргізеді;
11) кредиттік бюроның ақпараттық қауіпсіздікті басқару жүйесінің жай-күйінің мониторингін жүзеге асырады;
12) кредиттік бюроның ақпараттық қауіпсіздікті басқару жүйесінің жай-күйі туралы кредиттік бюроның басшылығын хабардар етуді жүзеге асырады.
30. Кредиттік бюроның ақпараттық технологиялар бөлімшесі кредиттік бюроның мыналарды:
1) элементтерінің нақты орналасқан жерін көрсете отырып, ақпараттық инфрақұрылымының жалпы схемасын;
2) ақпараттық инфрақұрылым тораптарының (телекоммуникациялық құрылғылардың, серверлердің және онда орналасқан операциялық жүйелердің, дерекқорларды басқару жүйелерінің және ақпараттық жүйені пайдаланушының қолданбалы бағдарламалық қамтамасыз етуінің) жауапты әкімшілерінің тізбесін айқындайтын ішкі құжаттарын әзірлейді.
31. Кредиттік бюро ақпараттық қауіпсіздік бөлімшесіне техникалық қауіпсіздікті қамтамасыз ету бойынша функцияларды жүктеу мүмкіндігін айқындайды. Ақпараттық қауіпсіздік бөлімшесі олардың негізгі функцияларымен мүдделер қақтығысына әкелетін функцияларды жүзеге асырмайды.
32. Кредиттік бюро ақпараттық қауіпсіздік бөлімшесінің мынадай функцияларын басқа бөлімшелерге:
1) кредиттік бюроның ақпараттық қауіпсіздікті қамтамасыз ету процесін автоматтандыратын бағдарламалық-техникалық құралдарын енгізуді және беруді - ақпараттық технологиялар жөніндегі бөлімшеге;
2) кредиттік бюро қызметкерлерінің ақпараттық қауіпсіздік мәселелері жөнінде хабардар болуын қамтамасыз ету бойынша іс-шараларды ұйымдастыруды және жүргізуді - қызметкерлермен жұмыс жүргізу бөлімшесіне;
3) ақпараттық қауіпсіздік жай-күйінің бұзылуына байланысты оқиғаларды және оқыс оқиғаларды есепке алуды және өңдеуді - қауіпсіздік бөлімшесіне немесе ақпараттық технологиялар бөлімшесіне тәуелді емес, жеке бөлінген оқыс оқиғаларды өңдеу бөлімшесіне беру мүмкіндігін айқындайды.
33. Ақпараттық технологиялар бөлімшесі мынадай функцияларды жүзеге асырады:
1) кредиттік бюроның ақпараттық инфрақұрылымының схемаларын әзірлейді;
2) пайдаланушыларға кредиттік бюроның ақпараттық активтеріне кіруіне рұқсатын беруді қамтамасыз етеді;
3) кредиттік бюроның жүйелік және қолданбалы бағдарламалық қамтамасыз етуін қонфигурациялауды қамтамасыз етеді;
4) ақпараттық инфрақұрылымның үзіліссіз жұмыс істеуі, кредиттік бюроның ақпараттық жүйелері деректерінің құпиялылығы, тұтастығы және қолжетімділігі (ақпаратты резервтеуді және (немесе) мұрағаттауды және резервтік көшіруді қоса алғанда) бойынша белгіленген талаптардың орындалуын қамтамасыз етеді;
5) ақпараттық жүйелерді таңдау, енгізу, әзірлеу және тестілеуден өткізу кезінде ақпараттық қауіпсіздік талаптарының сақталуын қамтамасыз етеді.
34. Қауіпсіздік бөлімшесі мынадай функцияларды жүзеге асырады:
1) кредиттік бюрода жеке қауіпсіздік пен техникалық қауіпсіздік шараларын іске асырады, оның ішінде өткізу және объектішілік режимді ұйымдастырады;
2) кредиттік бюроның қызметкерлерін жұмысқа қабылдаған және жұмыстан босатқан кезде ақпараттық қауіпсіздік қауіптерінің туындауы тәуекелдерін барынша азайтуға бағытталған алдын алу іс-шараларын жүргізеді.
35. Қызметкерлермен жұмыс жүргізу бөлімшесі мынадай функцияларды жүзеге асырады:
1) кредиттік бюро қызметкерлерінің, сондай-ақ қызмет көрсету туралы шарт бойынша жұмысқа тартылған адамдардың, стажерлардың, практиканттардың ақпаратты жария етпеу туралы міндеттемелерге қол қоюын қамтамасыз етеді;
2) кредиттік бюро қызметкерлерінің ақпараттық қауіпсіздік саласында хабардар болуын арттыру процесін ұйымдастыруға қатысады.
36. Заң бөлімшесі кредиттік бюроның ақпараттық қауіпсіздікті қамтамасыз ету мәселелері бойынша ішкі құжаттарының құқықтық сараптамасын жүргізеді.
37. Кредиттік бюроның құрылымдық бөлімшелерінің басшылары:
1) қызметкерлердің кредиттік бюроның ақпараттық қауіпсіздікке қойылатын талаптарды (бұдан әрі - ақпараттық қауіпсіздікке қойылатын талаптар) қамтитын ішкі құжаттарымен танысуын қамтамасыз етеді;
2) олар басқаратын бөлімшелерде ақпараттық қауіпсіздікті қамтамасыз ету үшін дербес жауапкершілік атқарады.
38. Кредиттік бюро өнімдерді және қызметтерді құру, ендіру, модификациялау, клиенттерге беру кезінде ақпараттық қауіпсіздік талаптарының сақталуы үшін жауап беретін кредиттік бюроның ақпараттық жүйесінің бизнес иесін айқындайды.
39. Кредиттік бюроның құрылымдық бөлімшелерінің қызметкерлері:
1) кредиттік бюрода қабылданған ақпараттық қауіпсіздікке қойылатын талаптардың орындалуы үшін жауап береді;
2) өздерінің функционалдық міндеттері шеңберінде өздері өзара іс-әрекет жасайтын үшінші тұлғалардың ақпараттық қауіпсіздік талаптарын орындауын, оның ішінде аталған талаптарды үшінші тұлғалармен жасалған шарттарға енгізу арқылы бақылайды;
3) өзінің тікелей басшысына және ақпараттық қауіпсіздік бөлімшесіне ақпараттық активтермен жұмыс істеу кезіндегі барлық күдікті жағдайлар мен бұзушылықтар туралы хабарлайды.
2-параграф. Ақпараттық активтерге қолжетімділікті ұйымдастыруға қойылатын талаптар
40. Қызметкерлерге ақпаратқа қолжетімділік олардың функционалдық міндеттерін орындау үшін қажетті көлемде беріледі.
41. Кредиттік бюроның ақпараттық жүйесіне қолжетімділік пайдаланушыларды сәйкестендіруден және аутенфикациялаудан кейін жүзеге асырылады.
42. Кредиттік бюроның ақпарат жүйесінің пайдаланушыларын сәйкестендіру және аутенфикациялау мынадай тәсілдерініңің бірі:
1) "есептік жазба (сәйкестендіруші) - пароль" деген жұпты енгізу және екі факторлық бірегейлендіру тәсілдерін қолдану арқылы;
2) биометриялық және (немесе) криптографиялық және (немесе) аппараттық аутенфикациялау тәсілдерін пайдалану арқылы жүргізіледі.
43. Кредиттік бюроның ақпараттық жүйесінде пайдаланушылардың дербестендірілген есептік жазбалары ғана пайдаланылады.
44. Технологиялық есептік жазбаларды пайдалануға ақпараттық қауіпсіздік бөлімшесі басшысының келісімімен ақпараттық технологиялар бөлімшесінің басшысы бекітетін, оларды пайдалануға және оның жаңартылуына дербес жауап беретін адамдарды көрсете отырып, әрбір ақпараттық жүйе үшін осындай есептік жазбалардың тізбесіне сәйкес жол беріледі.
45. Кредитік бюроның ақпараттық жүйесінде кредиттік бюроның ішкі құжатында айқындалатын есептік жазбаларды және парольдерді басқару, сондай-ақ пайдаланушылардың есептік жазбаларын оқшаулау бойынша функциялар қолданылады.
46. Кредиттік бюроның ақпараттық активтеріне нақты кіруді ұсыну кредитік бюроның ішкі құжаттарына сәйкес жүзеге асырылады.
3-параграф. Кредиттік бюроның ақпараттық жүйесінің ақпараттық қауіпсіздігін қамтамасыз етуге қойылатын талаптар
47. Кредиттік бюроның ақпараттық жүйесінің ақпараттық қауіпсіздігі мыналар арқылы қамтамасыз етіледі:
1) ақпаратты өңдеу, сақтау және беру кезінде қорғау;
2) деректерді кредиттік бюроның тарабында резервтеу;
3) кредиттік бюроның ақпараттық жүйесін жабдықтың іркілістері мен істен шығуынан кейін қалпына келтіру рәсімдерінің болуы;
4) кредиттік бюро мен ақпаратты беруші және (немесе) кредиттік есептерді алушылар арасында криптографиялық қорғау трафигінің орнатылуы.
48. Кредиттік бюро кредиттік бюроның ішкі құжаттарында белгіленген тәртіпте ақпараттық инфрақұрылымның вирусқа қарсы қорғанысын қамтамасыз етеді.
49. Ақпараттық технологиялар бөлімшесі ақпараттық қауіпсіздік бөлімшесімен келісім бойынша ақпараттық жүйелерге өзгерістер енгізу тәртібін айқындайды.
50. Маңызды ақауларды жоятын ақпараттық жүйелердің қауіпсіздігін жаңартулар ақпараттық қауіпсіздік бөлімшесімен келісілген жағдайларды есептемегенде, өндіруші жариялаған және таратқан күннен бастап бір айдан кешіктірмей орнатылады.
51. Кредиттік бюроның ақпараттық жүйесін жаңартулар өнеркәсіптік ортаға орнатылғанға дейін тестілеу ортасында сынақтардан өтеді.
52. Кредиттік бюро кредиттік бюроның ақпараттық жүйесінің деректерін, оның жұмысқа қабілетті көшірмелерін қалыпқа келтіруді қамтамасыз ететін оның файлдары мен теңшеулерін резервтік сақтауды қамтамасыз етеді.
53. Ақпараттың резервтік көшірмесін жасау, сақтау, қалпына келтіру тәртібі мен кезеңділігі, резервтік көшірмелерден кредиттік бюроның ақпараттық жүйесінің жұмысқа қабілеттілігін қалпына келуін тестілеу кезеңділігі кредиттік бюроның ішкі құжаттарында айқындалады.
4-параграф. Кредиттік бюроның жұмыс станцияларының қорғалуын қамтамасыз ету процесіне қойылатын талаптар
54. Кредиттік бюро кредиттік бюроның ақпараттық жүйесімен жұмыс істеу үшін қолдануға рұқсат етілген бағдарламалық қамтамасыз ету мен жабдықтардың тізбесін айқындайды.
55. Жұмыс станцияларына кредиттік бюро қызметкерлерінің функционалдық міндеттерін орындауға арналмаған бағдарламалық қамтамасыз ету орнатылмайды.
56. Кредиттік бюроның ішкі құжаттарында жұмыс станцияларының, сондай-ақ ақпарат тасымалдағыштар мен кредиттік бюроның ақпараттық жүйесімен жұмыс істеу үшін қолданылатын желілік ресурстардың қорғалуын қамтамасыз ететін ұйымдастыру және техникалық шаралар айқындалады.
57. Кредиттік бюро пайдаланушыларға бағдарламалық қамтамасыз етуді, жұмыс станцияларын және перифериялық жабдықтарды өз бетінше орнатуға және теңшеуге тыйым салатын ұйымдастыру және техникалық шараларды айқындайды және енгізеді.
58. Кредиттік бюроның пайдаланушыларына жергілікті әкімшінің құқықтары немесе оларға ұқсас құқықтар осындай құқықтар пайдаланушы орындайтын функцияларды автоматтандыратын бағдарламалық қамтамасыз етудің жұмыс істеуі үшін қажет болған жағдайларды қоспағанда, берілмейдi.
59. Қызметтік міндеттерін орындау үшін қажетті болған жағдайларда пайдаланушылардың жеке топтарына бағдарлалық қамтамасыз ету мен жабдықты өз бетінше орнату және теңшеу құқығы беріледі. Пайдаланушылардың көрсетілген топтарына жергілікті әкімші құқықтары немесе оған ұқсас құқықтар беріледі.
60. Талаптардың 58 және 59-тармақтарында көрсетілген пайдаланушылардың тізбесін ақпараттық қауіпсіздік бөлімшесімен келісім бойынша ақпараттық технологиялар бөлімшесінің басшысы қалыптастырады, жаңартады және бекітеді. Пайдаланушыларға Талаптардың 58 және 59-тармақтарына сәйкес қосымша құқықтар берілген жағдайда ақпараттық қауіпсіздік бөлімшесі олардың қолданылуына бақылауды жүзеге асырады.
5-параграф. Кредиттік бюроның деректерді өңдеу орталығының заттай қауіпсіздігін қамтамасыз ету процесіне қойылатын талаптар
61. Деректерді өңдеу орталығының заттай қауіпсіздігін қамтамасыз ету тәртібі ішкі құжатпен айқындалады.
62. Деректерді өңдеу орталығы мынадай техникалық қауіпсіздік жүйелерімен жарақталады:
1) қолжетімділікті бақылау және басқару жүйесі;
2) күзет сигнализациясы;
3) өрт сигнализациясы;
4) автоматты түрде өрт өшіру жүйесі;
5) температура мен ылғалдылықтың берілген өлшемдерін қолдау жүйесі;
6) бейнебақылау жүйесі;
7) үздіксіз электр қуаты көзінің жүйесі.
63. Деректерді өңдеу орталығына қолжетімділік тізбесін ақпараттық қауіпсіздік бөлімшесімен келісім бойынша ақпараттық технологиялар бөлімшесінің басшысы бекітетін кредиттік бюро қызметкерлеріне беріледі.
64. Кредиттік бюро деректерді өңдеу орталығына қолжетімділікті бақылау және басқару журналын жүргізеді, ол кемінде 1 (бір) жыл сақталады.
65. Деректерді өңдеу орталығының автоматты түрде өрт өшіру жүйесі үй-жайдың бүкіл аумағы бойынша өртті жоюды қамтамасыз етеді және оның резервтік қоры болады.
66. Деректерді өңдеу орталығының бейнебақылау жүйесі деректерді өңдеу орталығына кіру орындарын бақылауды қамтамасыз етеді. Деректерді өңдеу орталығында бейнекамераларды орналастырып орнату деректерді өңдеу орталығының үй-жайының ішінде және оның берісінде бейнебақылаумен қамтылмаған аймақтардың болуын болдырмайды.
67. Деректерді өңдеу орталығының бейнебақылау жүйесінің оқиғаларды жазуы толассыз немесе қозғалыс детекторын қолданумен жүргізіледі.
68. Деректерді өңдеу орталығының бейнебақылау жүйесінің мұрағаты кемінде 3 (үш) ай сақталады.
69. Деректерді өңдеу орталығынан тыс орналасқан серверлерге және іс-әрекеттегі желілік жабдықтарға рұқсатсыз заттай қолжетімділіктің алдын алу мақсаттарында олардың қауіпсіздігін қамтамасыз ету бойынша шаралар белгіленеді және іске асырылады.
6-параграф. Кредиттік бюродағы ақпараттық қауіпсіздіктің оқыс оқиғалар жөніндегі ақпараттың мониторингі мен өңдеу тәртібіне қойылатын талаптар
70. Ақпараттық қауіпсіздікті қамтамасыз ету бойынша қызметтің мониторингі барысында алынған ақпараттық қауіпсіздіктің оқыс оқиғалары туралы ақпарат шоғырландырылуы және жүйеге келтірілуге тиіс.
71. Кредиттік бюро ақпараттық қауіпсіздіктің оқыс оқиғалары туралы ақпараттың тұтастығын қамтамасыз етеді.
72. Егер кредиттік бюро ақпараттық қауіпсіздік оқиғаларының жеке көздерінің мониторингі жұмыстан тыс уақытта қажет деп белгілесе, тәулік бойы мониторинг қызметі құрылады.
73. Кредиттік бюро орын алған ақпараттық қауіпсіздіктің оқыс оқиғалары туралы кредиттік бюроның басшы қызметкерлері мен бөлімшелерін ақпараттандыру тәртібін айқындайды.
74. Кредиттік бюро ақпараттық қауіпсіздіктің оқыс оқиғаларды, оның себебі мен салдарын жоюға кезек күттірмейтін шаралар қабылдау тәртібін айқындайды.
75. Кредиттік бюрода қағаз тасымалдағышта не электрондық түрде ақпараттық қауіпсіздіктің оқыс оқиғалары, қабылданған шаралар және ұсынылатын түзету шаралары туралы ақпаратты көрсетумен ақпараттық қауіпсіздіктің оқыс оқиғаларын есепке алу журналы жүргізіледі.
76. Ақпараттық қауіпсіздіктің оқыс оқиғаларын өңдеу нәтижелері бойынша ақпараттық қауіпсіздіктің оқыс оқиғаларының орын алу себебін, оның механизмдері мен салдарының жан-жақты талдауы жүргізіледі. Ақпараттық қауіпсіздіктің оқыс оқиғаға тартылған бағдарламалық-техникалық құралдардан техникалық деректер жинау кезінде жиналған деректердің сақталуы мен өзгерту енгізбеуді қамтамасыз етіледі.
77. Талдау нәтижелері бойынша еркін нысанда қорытынды жасалады, онда ақпараттық қауіпсіздіктің оқыс оқиғасы туралы барлық ақпарат, сондай-ақ ақпараттық қауіпсіздіктің оқыс оқиғасының қайталануының ықтималдығы мен залалдың мүмкіндігін төмендету мақсатында түзеу шараларын қабылдау бойынша ұсыныстар дайындалады.
78. Орын алу ықтималдығы жоғары және қысқа мерзімде төмендету мүмкін емес ақпараттық қауіпсіздіктің оқыс оқиғалары үшін кредиттік бюро ақпараттық қауіпсіздіктің мұндай оқыс оқиғаларын өңдеу алгоритмін, ақпараттық қауіпсіздіктің мұндай оқыс оқиғаларды мен олардың салдарын оқшаулау, ақпараттық қауіпсіздіктің оқыс оқиғаларын өңдеу әдістемелері бойынша кезек күттірмейтін бірыңғай шараларды сипаттайтын ішкі құжат әзірлейді.
7-параграф. Кредиттік бюроның ақпараттық қауіпсіздігінің жағдайы туралы ақпаратты ұсынуға қойылатын талаптар
79. Кредиттік бюро жыл сайын есепті жылдан кейінгі жылдың 20 қаңтарынан кешіктірмей уәкілетті органға ақпараттық қауіпсіздік басқармасы жүйесінің жағдайы және оның Талаптарға сәйкестігі туралы ақпарат (бұдан әрі - Ақпарат) ұсынады.
80. Ақпаратта:
1) кредиттік бюроның ақпараттық қауіпсіздігін басқару жүйесі қызметінің аясы және олардың функционалының Талаптарға сәйкестігін көрсетіле отырып оның қатысушылары;
2) ақпараттық қауіпсіздікті басқару жүйесін құру және жұмыс істеуін регламенттейтін құжаттардың болуы;
3) ақпараттық қауіпсіздікті қамтамасыз ету үшін қолданылатын бағдарламалық-техникалық құралдардың болуы және сандық құрамы;
4) байланыс операторларымен жасалған қызмет көрсету туралы шарттарда ақпараттық қауіпсіздікті қамтамасыз ету талаптары мен міндеттемелердің болуы;
5) деректерді өңдеудің резервтік орталықтарының болуы, материалдық-техникалық қамтамасыз етілуі және дайындығы;
6) кредиттік бюроның ақпараттық қауіпсіздігін және ақпараттық активтерін басқару жүйесін Талаптарға сәйкес келтіру бойынша жүргізілген шаралар туралы мәліметтер қамтылады.
81. Ақпарат еркін нысанда жасалады және ұсынылатын деректердің конфиденциалдылығы мен түзету енгізбеуді қамтамасыз ететін криптографиялық қорғаныс құралдарымен ақпаратты кепілді жеткізудің транспорттық жүйесін қолданумен электрондық нысанда уәкілетті органға ұсынылады.
4-тарау. Ақпаратты берзушілерді ұйымдастырудағы ақпараттық қауіпсіздікті қамтамасыз етуге қойылатын талаптар
82. Ақпаратты беруші кредиттік бюроның ақпараттық жүйесіне берілетін ақпараттың тұтастығы мен конфиденциалдылығын қамтамасыз етеді.
83. Ақпаратты беруші ақпаратты ұсыну туралы шарттың талаптарына сәйкес ақпараттық қауіпсіздіктің тиісті деңгейін қамтамасыз етеді.
84. Ақпаратты беруші ұйымдастырушылық-техникалық, технологиялық талаптардың және кредиттік бюроның ақпараттық жүйесімен өзара әрекет ету үшін пайдаланылатын жүйелік және қолданбалы бағдарламалық қамтамасыз етудің жұмыс істеп тұруы және оны қорғау үшін қажетті шараларды орындауды қамтамасыз етеді.
85. Кредиттік бюроның ақпараттық жүйесімен жұмыс істеу үшін жабдықты пайдалану кезінде оны рұқсатсыз қолжетімділіктен қорғау, сондай-ақ ақпарат тасымалдағыштарды және жүйелік ресурстарды қорғау қажеттілігі ескеріледі.
86. Ақпаратты беруші операторды (операторларды) тағайындайды.
87. Ақпаратты беруші оператордың (операторлардың) қол қойылған қызметтік міндеттерін атқару процесінде оларға мәлім болған ақпаратты жария етпеу және таратпау туралы міндеттемелерінің болуын қамтамасыз етеді.
88. Ақпаратты беруші операторды (операторларды) тағайындау тәртібін, оның (олардың) құқықтары мен жауапкершілігін айқындайтын ішкі құжаттардың (лауазымдық нұсқаулықтарды қоса алғанда) болуын қамтамасыз етеді.
89. Ақпаратты берушінің қызметкерлеріне функционалдық міндеттерін орындау үшін қажетті көлемде ақпаратқа қолжетімділік ұсынылады.
90. Оператордың кредиттік бюроның ақпараттық жүйесінде сәйкестендірілетін есептік жазбасы нақты адамға тиесілі.
91. Ақпаратты беруші уәкілетті органның сұратуы бойынша ақпаратты ұсыну туралы шартта көзделген талаптарға оның сәйкес келуін растайтын мәліметтерді ұсынады.
92. Жұмыс станциясының операциялық жүйесі пайдаланушы сәйкестендіру және бірдейлендіру, сондай-ақ белгіленген құқықтарға сәйкес пайдаланушылардың қолжетімділік құқықтарын ажыратуды және авторизациялауды қамтамасыз етеді.
93. Кредиттік бюроның ақпараттық жүйесіне қосылу үшін жұмыс станциясын пайдаланған кезде Интернет желісінің басқа ресурстарына бірмезгілде қосылуға болмайды.
94. Ақпарат берушінің қызметкерлері ақпараттық жүйелерге қолжетімділік үшін пайдаланылатын жеке сәйкестендіру және бірдейлендіру деректерінің конфиденциалдылығын қамтамасыз етеді.
95. Ақпарат берушінің қызметкерлері кредиттік бюроның ақпараттық жүйесін пайдалану процесінде оларға мәлім болған ақпараттың конфиденциалдылығын қамтамасыз етеді.
5-тарау. Кредиттік есепті алушылардың қызметін ұйымдастыру кезінде ақпараттық қауіпсіздікті қамтамасыз етуге қойылатын талаптар
96. Кредиттік есепті алушы кредиттік бюроның ақпараттық жүйесінен алынатын ақпараттың тұтастығы мен конфиденциалдылығын қамтамасыз етеді.
97. Кредиттік есепті алушы кредиттік есептерді алу туралы шарттың талаптарына сәйкес ақпараттық қауіпсіздіктің тиісті деңгейін қамтамасыз етеді.
98. Кредиттік есепті алушы ұйымдастырушылық-техникалық, технологиялық талаптарды және кредиттік бюроның ақпараттық жүйесімен өзара әрекет ету және одан алынатын ақпаратты өңдеу үшін пайдаланылатын жүйелік және қолданбалы бағдарламалық қамтамасыз етудің жұмыс істеп тұруы және оны қорғау үшін қажетті шараларды орындауды қамтамасыз етеді.
99. Кредиттік бюроның ақпараттық жүйесімен жұмыс істеу үшін жабдықты пайдалану кезінде оны рұқсатсыз қолжетімділіктен қорғау, сондай-ақ кредиттік бюроның ақпараттық жүйесімен жұмыс істеу үшін пайдаланылатын ақпарат тасымалдағыштары мен жүйелік ресурстарды қорғау қажеттілігі ескеріледі.
100. Кредиттік есептерді алушы жауапты тұлғалардың тізбесін айқындайды және бекітеді.
101. Кредиттік есепті алушы ұйымның жауапты тұлғасының (тұлғаларының) қол қойған қызметтік міндеттерін атқару процесінде оларға мәлім болған ақпаратты жария етпеу және таратпау туралы міндеттемелерінің болуын қамтамасыз етеді.
102. Кредиттік есепті алушы жауапты тұлғалардың тізбесін айқындау және бекіту тәртібін, олардың құқықтары мен жауапкершілігін (лауазымдық нұсқаулықтарын қоса алғанда) айқындайтын және бекітетін ішкі құжаттардың болуын қамтамасыз етеді.
103. Қызметкерлерге функционалдық міндеттерін орындау үшін қажетті көлемде ақпаратқа қолжетімділік ұсынылады.
104. Жауапты тұлғаның кредиттік бюроның ақпараттық жүйесінде сәйкестендірілетін есептік жазбасы нақты адамға сәйкес келуі тиіс.
105. Кредиттік есепті алушы жұмыс станцияларының кредиттік есепті алушының ақпараттық қауіпсіздікті реттейтін Талаптарына және ішкі құжаттарына сәйкес келуіне жоспарлы және жоспардан тыс тексеру жүргізеді.
106. Кредиттік есепті алушы уәкілетті органның сұратуы бойынша кредиттік есептерді алу туралы шартта көзделген талаптарға оның сәйкес келуін растайтын мәліметтерді ұсынады.
107. Жұмыс станциясының операциялық жүйесі пайдаланушыны сәйкестендіру және бірдейлендіру, сондай-ақ пайдаланушылардың қолжетімділік құқықтарын ажырату және белгіленген құқықтарға сәйкес авторизациялау функцияларын қамтамасыз етеді.
108. Кредиттік есептерді алушы өзінің жұмыс станциясын пайдаланады.
109. Кредиттік бюроның ақпараттық жүйесіне қосылу үшін жұмыс станциясын пайдаланған кезде Интернет желісінің басқа ресурстарына бірмезгілде қосылуға болмайды.
110. Кредиттік есептерді алушының қызметкерлері ақпараттық жүйелерге кіру үшін пайдаланылатын дербес сәйкестендіру және бірдейлендіру деректерінің конфиденциалдығын қамтамасыз етеді.
111. Кредиттік есептерді алушының қызметкерлері оларға кредиттік бюроның ақпараттық жүйесін пайдалану барысында белгілі болған ақпараттың конфиденциалдығын қамтамасыз етеді.
| Қазақстан Республикасы Ұлттық Банкі Басқармасының 2018 жылғы 27 қыркүйектегі № 228 қаулысына 2-қосымша |
"Қазақстан Республикасындағы кредиттік бюролар және кредиттік тарихты қалыптастыру туралы" 2004 жылғы 6 шілдедегі Қазақстан Республикасы Заңының 27-бабы 2-тармағының 11) тармақшасына және 3-тармағының 9) тармақшасына сәйкес кредиттік бюролардың ақпаратты берушілерге және кредиттік есептерді алушыларға қойылатын талаптары
1. Осы "Қазақстан Республикасындағы кредиттік бюролар және кредиттік тарихты қалыптастыру туралы" 2004 жылғы 6 шілдедегі Қазақстан Республикасы Заңының 27-бабы 2-тармағының 11) тармақшасына және 3-тармағының 9) тармақшасына сәйкес кредиттік бюролардың ақпаратты берушілерге және кредиттік есептерді алушыларға қойылатын талаптары (бұдан әрі - Талаптар) "Қазақстан Республикасындағы кредиттік бюролар және кредиттік тарихты қалыптастыру туралы" 2004 жылғы 6 шілдедегі Қазақстан Республикасы Заңына (бұдан әрі - Кредиттік бюролар туралы заң) сәйкес әзірленді және Кредиттік бюролар туралы заңның 27-бабы 2-тармағының 11) тармақшасына және 3-тармағының 9) тармақшасына сәйкес кредиттік бюролар кредитке тауарлар мен қызметтер өткізетін не жүйеленген белгілері "Тауарларды және көрсетiлетiн қызметтердi кредитке өткiзетiн не төлемдердiң мерзiмiн ұзартатын жеке кәсiпкерлердiң немесе заңды тұлғалардың жүйелендiрiлген белгiлерiн бекіту туралы" Қазақстан Республикасы Үкіметінің 2005 жылғы 18 қаңтардағы № 25 қаулысымен (бұдан әрі - № 25 қаулы) айқындалатын төлемдердің мерзімін кейінге қалдыруды ұсынатын дара кәсіпкерлер немесе заңды тұлғалар болып табылатын ақпарат берушілердің қызметін ұйымдастыру кезінде ақпараттық-коммуникациялық технологияларды пайдалануға және ақпараттық қауіпсіздікті қамтамасыз етуге, коммуналдық қызметтер көрсететін табиғи монополиялар субъектілеріне, ақпарат беру туралы шарттар негізінде өзге тұлғаларға (бұдан әрі - ақпарат берушілер), сондай-ақ кредитке тауарлар мен қызметтер өткізетін не жүйеленген белгілері № 25 қаулымен айқындалатын төлемдердің мерзімін кейінге қалдыруды ұсынатын дара кәсіпкерлер немесе заңды тұлғалар болып табылатын кредиттік есептерді алушыларға, облигациялар ұстаушылардың мүдделерін білдіру туралы шарт жасасқан облигациялар эмитентінің кредиттік есебіне қатысты облигациялар ұстаушылардың өкілдеріне (бұдан әрі - кредиттік есептерді алушылар) ақпарат беру туралы шарт негізінде өзге де тұлғаларға қойылатын талаптарды айқындайды.
2. Кредиттік бюролар ақпарат берушілерге және кредиттік есептерді алушыларға қойылатын талаптар ақпарат беру туралы шартқа және кредиттік есептер алу туралы шартқа енгізіледі.
3. Кредиттік бюролар ақпарат берушілердің және кредиттік есептерді алушылардың қызметін ұйымдастыру кезінде ақпараттық-коммуникациялық технологияларды пайдалануға қоятын талаптар осы қаулымен бекітілген Кредиттік бюролардың, банктер, банктік операциялардың жекелеген түрлерін жүзеге асыратын ұйымдар, микроқаржы ұйымдары және коллекторлық агенттіктер болып табылатын ақпарат берушілердің және кредиттік есептерді алушылардың қызметін ұйымдастыру кезінде ақпараттық-коммуникациялық технологияларды пайдалануға және ақпараттық қауіпсіздікті қамтамасыз етуге қойылатын Талаптардың 15, 16 және 17-тармақтарының талаптарына сәйкес келеді.
4. Кредиттік бюролар ақпарат берушілердің және кредиттік есептерді алушылардың қызметін ұйымдастыру кезінде ақпараттық қауіпсіздікті қамтамасыз етуге қоятын талаптар осы қаулымен бекітілген Кредиттік бюролардың, банктер, банктік операциялардың жекелеген түрлерін жүзеге асыратын ұйымдар, микроқаржы ұйымдары және коллекторлық агенттіктер болып табылатын ақпарат берушілердің және кредиттік есептерді алушылардың қызметін ұйымдастыру кезінде ақпараттық-коммуникациялық технологияларды пайдалануға және ақпараттық қауіпсіздікті қамтамасыз етуге қойылатын Талаптардың 4 және 5-тарауларының талаптарына сәйкес келеді.
| Қазақстан Республикасы Ұлттық Банкі Басқармасының 2018 жылғы 27 қыркүйектегі № 228 қаулысына 3-қосымша |
Күші жойылды деп танылатын Қазақстан Республикасы нормативтік құқықтық актілерінің, сондай-ақ Қазақстан Республикасының кейбір нормативтік құқықтық актілері құрылымдық элементтерінің тізбесі
1. "Кредиттік бюролардың, ақпарат берушілердің және кредиттік есептерді алушылардың қызметін ұйымдастыру кезінде ақпараттық-коммуникациялық технологияларды пайдалануға және ақпараттық қауіпсіздікті қамтамасыз етуге қойылатын талаптарды бекіту туралы" Қазақстан Республикасы Ұлттық Банкі Басқармасының 2015 жылғы 27 мамырдағы № 91 қаулысы (Нормативтік құқықтық актілерді мемлекеттік тіркеу тізілімінде № 11669 тіркелген, 2015 жылғы 30 шілдеде "Әділет" ақпараттық-құқықтық жүйесінде жарияланған).
2. "Қазақстан Республикасының кейбір нормативтік құқықтық актілеріне рұқсат беру құжаттарын қысқарту және рұқсат беру рәсімдерін оңайлату мәселелері бойынша өзгерістер мен толықтыру енгізу туралы" Қазақстан Республикасы Ұлттық Банкі Басқармасының 2016 жылғы 30 мамырдағы № 146 қаулысының 2-тармағы (Нормативтік құқықтық актілерді мемлекеттік тіркеу тізілімінде № 14208 тіркелген, 2016 жылғы 5 қазанда "Әділет" ақпараттық-құқықтық жүйесінде жарияланған).
3. "Кредиттік бюролардың, ақпарат жеткізушілердің және кредиттік есептерді алушылардың қызметін ұйымдастыру кезінде ақпараттық-коммуникациялық технологияларды пайдалануға және ақпараттық қауіпсіздікті қамтамасыз етуге қойылатын талаптарды бекіту туралы" Қазақстан Республикасы Ұлттық Банкі Басқармасының 2015 жылғы 27 мамырдағы № 91 қаулысына өзгерістер мен толықтыру енгізу туралы" Қазақстан Республикасы Ұлттық Банкі Басқармасының 2017 жылғы 14 маусымдағы № 102 қаулысы (Нормативтік құқықтық актілерді мемлекеттік тіркеу тізілімінде № 15608 болып тіркелген, 2017 жылғы 15 қыркүйекте Қазақстан Республикасы нормативтік құқықтық актілерінің эталондық бақылау банкінде жарияланған).
