Сноска. Утратило силу постановлением Правления Национального Банка РК от 27.09.2018 № 228 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).
Сноска. В заголовок внесено изменение на государственном языке, текст на русском языке не меняется в соответствии с постановлением Правления Национального Банка РК от 14.06.2017 № 102 (вводится в действие по истечении двадцати одного календарного дня после дня его первого официального опубликования).
В целях реализации Закона Республики Казахстан от 6 июля 2004 года "О кредитных бюро и формировании кредитных историй в Республике Казахстан" Правление Национального Банка Республики Казахстан ПОСТАНОВЛЯЕТ:
1. Утвердить прилагаемые Требования к использованию информационно-коммуникационных технологий и обеспечению информационной безопасности при организации деятельности кредитных бюро, поставщиков информации и получателей кредитных отчетов.
Сноска. В пункт 1 внесено изменение на государственном языке, текст на русском языке не меняется в соответствии с постановлением Правления Национального Банка РК от 14.06.2017 № 102 (вводится в действие по истечении двадцати одного календарного дня после дня его первого официального опубликования).2. Признать утратившими силу нормативные правовые акты Республики Казахстан согласно приложению к настоящему постановлению.
3. Департаменту методологии контроля и надзора (Абдрахманов Н.А.) в установленном законодательством порядке обеспечить:
1) совместно с Департаментом правового обеспечения
(Досмухамбетов Н.М.) государственную регистрацию настоящего постановления в Министерстве юстиции Республики Казахстан;
2) направление настоящего постановления на официальное опубликование в информационно-правовой системе "Әділет" республиканского государственного предприятия на праве хозяйственного ведения "Республиканский центр правовой информации Министерства юстиции Республики Казахстан" в течение десяти календарных дней после его государственной регистрации в Министерстве юстиции Республики Казахстан;
3) размещение настоящего постановления на официальном интернет-ресурсе Национального Банка Республики Казахстан после его официального опубликования.
4. Департаменту международных отношений и связей с общественностью (Казыбаев А.К.) обеспечить направление настоящего постановления на официальное опубликование в периодических печатных изданиях в течение десяти календарных дней после его государственной регистрации в Министерстве юстиции Республики Казахстан.
5. Контроль за исполнением настоящего постановления возложить на заместителя Председателя Национального Банка Республики Казахстан Кожахметова К.Б.
6. Настоящее постановление вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования.
Председатель | |
Национального Банка | К. Келимбетов |
| Утверждены постановлением Правления Национального Банка Республики Казахстан от 27 мая 2015 года № 91 |
Требования к использованию информационно-коммуникационных
технологий и обеспечению информационной безопасности при
организации деятельности кредитных бюро, поставщиков информации
и получателей кредитных отчетов
Сноска. В заголовок Требования внесено изменение на государственном языке, текст на русском языке не меняется в соответствии с постановлением Правления Национального Банка РК от 14.06.2017 № 102 (вводится в действие по истечении двадцати одного календарного дня после дня его первого официального опубликования).
1. Настоящие Требования к использованию информационно-коммуникационных технологий и обеспечению информационной безопасности при организации деятельности кредитных бюро, поставщиков информации и получателей кредитных отчетов (далее - Требования) разработаны в соответствии с Законом Республики Казахстан от 6 июля 2004 года "О кредитных бюро и формировании кредитных историй в Республике Казахстан" (далее - Закон о кредитном бюро).
Сноска. В пункт 1 внесено изменение на государственном языке, текст на русском языке не меняется в соответствии с постановлением Правления Национального Банка РК от 14.06.2017 № 102 (вводится в действие по истечении двадцати одного календарного дня после дня его первого официального опубликования).2. В Требованиях используются понятия, предусмотренные Законом о кредитном бюро, и следующие понятия:
1) администратор безопасности информационных систем (далее – администратор) – работник организации, обеспечивающий функционирование системы электронного получения и (или) передачи данных, реализацию мер по их защите, осуществляющий генерацию поступающей и (или) передаваемой информации, с учетом его функций и полномочий;
2) комплекс мер по защите информационной системы – организационно-технические мероприятия, направленные на обеспечение безопасного функционирования информационной системы формирования и использования кредитных историй, в том числе программно-аппаратная защита электронных средств и компьютеров от несанкционированного доступа, обеспечивающая контроль доступа к установленному программному обеспечению и информации, предоставляющая средства разграничения полномочий зарегистрированных пользователей;
3) политика информационной безопасности – внутренний документ, регламентирующий порядок управления, защиты и распределения информации ограниченного распространения;
4) информационная среда – среда взаимодействия информационной системы участников системы формирования и использования кредитных историй с ее компонентами и информационными ресурсами;
5) аутентификация – подтверждение подлинности субъекта или объекта доступа путем определения соответствия предъявленных реквизитов доступа, имеющимся в системе;
6) ответственное лицо – оператор, администратор, ответственное лицо по кредитным историям и иные работники организации, ответственные за реализацию процесса приема, передачи и формирования кредитных историй;
7) ответственное лицо по кредитным историям – работник организации, непосредственно осуществляющий подготовку, обработку, редактирование, прием и передачу кредитных историй с использованием подсистемы защиты;
8) информационная система участников системы формирования и использования кредитных историй (далее – информационная система) – совокупность информационных технологий, информационных сетей и средств их программно-технического обеспечения, предназначенных для реализации информационных процессов поставщиками информации, кредитными бюро, получателями кредитных отчетов и субъектами кредитных историй;
9) помещение ограниченного доступа – помещение, в котором разрешается пребывание ограниченного круга лиц и доступ других лиц осуществляется только в сопровождении специально допущенных работников;
10) ключевая информация – криптографические ключи и ключи электронной цифровой подписи;
11) оператор – работник организации, непосредственно осуществляющий подготовку, обработку, прием и передачу сообщений с использованием подсистемы защиты;
12) ввод в промышленную эксплуатацию – процесс выполнения организационно-технических мероприятий по подготовке информационной системы и начало функционирования данной системы в промышленных условиях;
13) пользователь – кредитное бюро и иные участники системы формирования кредитных историй и их использования (далее – участники системы кредитных историй), участвующие в обмене электронными документами и являющиеся сторонами договора о предоставлении информации и (или) получении кредитных отчетов;
14) политика формирования и использования паролей – внутренний документ, регламентирующий порядок формирования и использования паролей;
15) политика резервного копирования (архивирования) – внутренний документ, регламентирующий порядок резервного копирования (архивирования);
16) идентификация – присвоение или определение соответствия предъявленного для получения доступа в систему и (или) к ресурсу системы идентификатора перечню идентификаторов, имеющихся в системе;
17) идентификатор – уникальный персональный код и (или) имя, присвоенные субъекту и (или) объекту системы и предназначенные для регламентированного доступа в систему и (или) к ресурсам системы;
18) уполномоченный орган – уполномоченный орган, осуществляющий регулирование, контроль и надзор финансового рынка и финансовых организаций;
19) организация – участник системы формирования кредитных историй и их использования (за исключением субъектов кредитных историй), принимающий участие в информационной системе в соответствии с Требованиями.
Сноска. Пункт 2 в редакции постановления Правления Национального Банка РК от 14.06.2017 № 102 (вводится в действие по истечении двадцати одного календарного дня после дня его первого официального опубликования).3. Организация и функционирование информационной системы обеспечивают:
1) координацию и управляемость деятельности ее участников в рамках согласованных процедур и технологических параметров;
2) унификацию используемых программных и технических средств;
3) информационную безопасность, включая устранение возможности раскрытия информации;
4) внедрение высокоэффективных технологий;
5) гибкое и эффективное управление ресурсами;
6) рост качества услуг.
4. Организация обеспечивает:
1) контроль ввода данных;
2) возможность вычисления параметров документов (номеров документов, кода связи, номера договора);
3) генерацию сводной информации;
4) создание резервных копий, архивирование данных;
5) использование информационных систем, имеющих штатные средства защиты, с контролем за правами доступа;
6) наличие регламентированных процедур предоставления и получения электронных сообщений;
7) возможность подготовки аналитических и статистических отчетов.
5. Поставщики информации и получатели кредитного отчета обеспечивают выполнение организационных, технологических условий и требований кредитного бюро, вытекающих из заключенных с ним договоров о предоставлении информации и (или) получении кредитных отчетов и внутренних документов кредитного бюро, предусмотренных Законом о кредитном бюро.
Сноска. В пункт 5 внесено изменение на государственном языке, текст на русском языке не меняется в соответствии с постановлением Правления Национального Банка РК от 14.06.2017 № 102 (вводится в действие по истечении двадцати одного календарного дня после дня его первого официального опубликования).6. Информация, представленная поставщиком информации, возвращается кредитным бюро без ее использования в информационной системе формирования и использования кредитных историй в связи с ее неправильным или неполным оформлением, несоответствием данных поставщика информации, получателя кредитного отчета, субъекта кредитной истории требованиям в используемой информационной системе.
Сноска. В пункт 6 внесено изменение на государственном языке, текст на русском языке не меняется в соответствии с постановлением Правления Национального Банка РК от 14.06.2017 № 102 (вводится в действие по истечении двадцати одного календарного дня после дня его первого официального опубликования).7. Кредитные бюро передают поставщикам информации и получателям кредитных отчетов специализированное программное обеспечение, необходимое для реализации информационных процессов, либо устанавливают соответствующие требования к используемому ими программному обеспечению. В случае самостоятельной разработки специализированного программного обеспечения поставщиками информации и получателями кредитных отчетов оно согласуется с кредитными бюро.
8. Процесс разработки, внедрения и сопровождения информационных систем включает в себя определение этапов разработки, порядка внесения изменений, приема, тестирования и ввода в промышленную эксплуатацию, требования к документированию всех этапов.
Сноска. Пункт 8 в редакции постановления Правления Национального Банка РК от 30.05.2016 № 146 (вводится в действие по истечении двадцати одного календарного дня после дня его первого официального опубликования); внесено изменение на государственном языке, текст на русском языке не меняется в соответствии с постановлением Правления Национального Банка РК от 14.06.2017 № 102 (вводится в действие по истечении двадцати одного календарного дня после дня его первого официального опубликования).9. Разработка, внедрение и сопровождение информационных систем кредитными бюро выполняются в соответствии с их внутренними документами и действующими на территории Республики Казахстан стандартами.
10. Разработка информационных систем выполняется кредитными бюро на основании технического задания, утвержденного его первым руководителем.
11. В целях исключения несанкционированного изменения программного обеспечения и (или) данных информационной системы при необходимости внесения изменений (для устранения недостатков или доработки системы) в программное обеспечение процесс внесения изменений осуществляется в соответствии с техническим заданием, стандартами, действующими на территории Республики Казахстан, и политикой информационной безопасности кредитных бюро.
12. При формировании и использовании информационных систем для размещения базы данных кредитных историй и средств защиты указанных информационных систем применяются сертифицированные оборудование и программное обеспечение.
13. Кредитное бюро осуществляет обмен данными с поставщиками информации и получателями кредитных отчетов по выделенным каналам связи или через интернет-ресурс при условии:
1) наличия основного канала пропускной способностью не менее 10 мегабит в секунду;
2) наличия беспроводного резервного канала пропускной способностью не менее 2 мегабит в секунду;
3) использования каналов разных провайдеров;
4) использования каналов исключительно для обмена информацией с поставщиками информации и получателями кредитных отчетов.
Сноска. В пункт 13 внесено изменение на государственном языке, текст на русском языке не меняется в соответствии с постановлением Правления Национального Банка РК от 14.06.2017 № 102 (вводится в действие по истечении двадцати одного календарного дня после дня его первого официального опубликования).13-1. Обязательным условием заключения договора о предоставлении информации или договора о получении кредитных отчетов является соответствие поставщика информации или получателя кредитных отчетов Требованиям.
Сноска. Требования дополнены пунктом 13-1 в соответствии с постановлением Правления Национального Банка РК от 14.06.2017 № 102 (вводится в действие по истечении двадцати одного календарного дня после дня его первого официального опубликования).14. Для подтверждения соответствия требованиям, предъявляемым к участникам системы формирования кредитных историй и их использования (за исключением кредитного бюро, субъекта кредитной истории), поставщик информации или получатель кредитных отчетов направляет в уполномоченный орган заявление на бумажном носителе, заполненное в произвольной форме.
Соблюдение организацией организационно-технических, технологических требований по защите программного обеспечения, соответствие используемых информационных систем установленными Требованиями и законодательством Республики Казахстан условиям и требованиям подтверждаются комиссией уполномоченного органа путем составления акта о соответствии требованиям, предъявляемым к участникам системы формирования кредитных историй и их использования (за исключением субъекта кредитной истории) по форме согласно приложению 1 к Требованиям (далее - акт о соответствии).
Акт о соответствии согласовывается всеми членами комиссии, после чего направляется на подписание представителю проверяемой организации. Если один из членов комиссии не согласен с принятым решением и не подписывает акт о соответствии, он представляет в письменной форме информацию о причинах своего отказа комиссии и прилагает их к акту о соответствии.
Акт о соответствии считается составленным при наличии двух третей подписей о согласовании членов комиссии уполномоченного органа.
Соблюдение микрофинансовой организацией, субъектом естественной монополии, оказывающим коммунальные услуги (далее – субъект естественной монополии), кредитным товариществом, коллекторским агентством организационно-технических, технологических требований по защите программного обеспечения, соответствие используемых информационных систем установленным Требованиями условиям и требованиям подтверждаются уполномоченным органом путем представления заключения о соответствии требованиям, предъявляемым к микрофинансовым организациям, субъектам естественной монополии, кредитным товариществам или коллекторским агентствам, по форме, согласно приложению 2 к Требованиям (далее – заключение уполномоченного органа).
Сноска. Пункт 14 в редакции постановления Правления Национального Банка РК от 30.05.2016 № 146 (вводится в действие по истечении двадцати одного календарного дня после дня его первого официального опубликования); с изменением, внесенным постановлением Правления Национального Банка РК от 14.06.2017 № 102 (вводится в действие по истечении двадцати одного календарного дня после дня его первого официального опубликования).15. Обмен информацией между поставщиками информации (за исключением микрофинансовых организаций, субъектов естественных монополий, кредитных товариществ, коллекторских агентств), получателями кредитных отчетов и кредитными бюро осуществляется при наличии акта о соответствии с положительным заключением.
Обмен информацией между поставщиками информации, являющимися микрофинансовыми организациями, субъектами естественных монополий, кредитными товариществами, коллекторскими агентствами, а также получателями кредитных отчетов и кредитными бюро осуществляется при наличии положительного заключения уполномоченного органа.
Сноска. Пункт 15 в редакции постановления Правления Национального Банка РК от 14.06.2017 № 102 (вводится в действие по истечении двадцати одного календарного дня после дня его первого официального опубликования).16. Входящий и исходящий трафики обеспечиваются криптографической защитой информации.
Сноска. Пункт 16 в редакции постановления Правления Национального Банка РК от 14.06.2017 № 102 (вводится в действие по истечении двадцати одного календарного дня после дня его первого официального опубликования).17. Внутренние процедуры определяют:
условия, порядок и сроки проведения сверки;
параметры информации, подлежащей сверке;
требование к программному обеспечению, необходимому для реализации информационных процессов, связанных со сверкой;
порядок обеспечения защиты информации, подлежащей сверке;
порядок возмещения кредитному бюро с государственным участием фактических расходов, понесенных в связи с проведением сверки.
18. Кредитное бюро для обеспечения достоверности информации, хранимой в базе данных кредитных историй кредитного бюро, не менее одного раза в год проводит ее сверку с информацией кредитного бюро с государственным участием на условиях, в порядке и сроки, определенные внутренними процедурами кредитного бюро с государственным участием.
Сверка информации, хранящейся в базе данных кредитных историй кредитного бюро, проводится не позднее двадцатого рабочего дня последнего месяца отчетного года.
Объем информации, подлежащей сверке, определяется кредитным бюро самостоятельно при условии соответствия параметров информации, подлежащих сверке, параметрам информации, определенным во внутренних процедурах кредитного бюро с государственным участием.
19. Кредитное бюро с государственным участием сверяет информацию, принятую от иного кредитного бюро, с информацией, содержащейся в базе данных кредитных историй кредитного бюро с государственным участием, в срок, установленный внутренними процедурами.
20. Уполномоченные представители кредитного бюро с государственным участием и иного кредитного бюро подтверждают соответствие или несоответствие информации, содержащейся в их базах данных кредитных историй, подлежащей сверке, путем составления в произвольной форме акта сверки или акта несоответствия.
При составлении акта несоответствия кредитное бюро с государственным участием в течение двух рабочих дней со дня составления представляет его копию в уполномоченный орган.
21. Акт сверки или акт несоответствия составляется в двух экземплярах по одному для каждой из сторон, подписывается уполномоченными представителями сторон, осуществляющими сверку, и заверяется их печатями.
22. Акты сверки хранятся до проведения очередной сверки. Акты несоответствия подлежат хранению в течение пяти лет со дня их составления.
23. Кредитное бюро и кредитное бюро с государственным участием в течение десяти рабочих дней со дня составления акта несоответствия принимают меры по устранению выявленных несоответствий. О результатах принятых мер по устранению выявленных несоответствий кредитное бюро с государственным участием в течение трех рабочих дней уведомляет уполномоченный орган.
24. Кредитное бюро размещается в нежилом здании, помещении с ограниченным доступом.
25. Система безопасности кредитного бюро отвечает требованиям, установленным Требованиями к:
1) серверному помещению и помещению ограниченного доступа;
2) системному программному обеспечению, используемому для автоматизации деятельности кредитного бюро;
3) специализированному программному обеспечению (информационной системе), используемому для автоматизации деятельности кредитного бюро;
4) техническим средствам (информационным ресурсам) кредитного бюро;
5) обеспечению безопасности информации.
26. Оборудованное серверное помещение кредитного бюро содержит:
1) систему контроля доступа (индивидуальный электронный пропуск);
2) систему видеоконтроля входа в серверное помещение и кроссовые комнаты;
3) автоматическую систему газового пожаротушения с обязательным полным резервом баллонов с газом, подключенную к системе гарантированного питания;
4) систему охранной сигнализации дверей, окон и датчики движения внутри гермозоны;
5) безотказную систему чистого питания, находящуюся в гермозоне серверной комнаты;
6) систему гарантированного питания всей электрической сети серверной и кроссовых комнат, включая круглосуточное дежурное освещение;
7) систему кондиционирования с полным резервом.
27. Серверное помещение располагается в местах, где возможно впоследствии расширение пространства и есть возможность размещения крупногабаритной аппаратуры, и отвечает следующим требованиям:
1) минимальный допустимый размер серверной комнаты - 20 квадратных метров;
2) серверная комната соединена с главным электродом системы заземления здания кондуитом размером 1,5;
3) требуемая минимальная высота потолка серверной комнаты составляет 2,44 метра.
28. Помещение ограниченного доступа кредитного бюро соответствует следующим требованиям:
1) наличие системы контроля доступа (индивидуальный электронный пропуск), которая исключает возможность неконтролируемого проникновения в это помещение лиц, не допущенных к рабочему месту ответственного лица;
2) наличие системы видеоконтроля входа (видеокамера с постоянной записью);
3) наличие системы пожарной сигнализации;
4) наличие системы охранной сигнализации;
5) запрещается располагать в помещении рабочие места, не имеющие отношения к деятельности кредитного бюро;
6) при расположении помещения ограниченного доступа на первых или последних этажах зданий, а также при наличии рядом с окнами балконов, пожарных лестниц окна помещения ограниченного доступа оборудуются металлическими решетками;
7) в помещении ограниченного доступа размещаются рабочие места ответственных лиц.
Сноска. Пункт 28 с изменениями, внесенными постановлением Правления Национального Банка РК от 14.06.2017 № 102 (вводится в действие по истечении двадцати одного календарного дня после дня его первого официального опубликования).29. К помещению ограниченного доступа поставщиков информации (за исключением микрофинансовой организации, субъекта естественной монополии, кредитного товарищества, коллекторского агентства) и получателей кредитных отчетов предъявляются требования, установленные подпунктами 1), 3), 4), 5) и 6) пункта 28 Требований, доступ в помещение ограничивается списком ответственных лиц, и все их посещения регистрируются в журнале посещений с указанием фамилии, имени, отчества (при его наличии), должности, даты, времени и цели посещения.
К помещению ограниченного доступа микрофинансовой организации, кредитного товарищества предъявляются требования, установленные в подпунктах 1), 3), 4) и 5) пункта 28 Требований, доступ в помещение ограничивается списком ответственных лиц, и все их посещения регистрируются в журнале посещений с указанием фамилии, имени, отчества (при его наличии), должности, даты, времени и цели посещения.
При наличии общей системы охранной сигнализации в здании, в котором расположены микрофинансовая организация, кредитное товарищество, отдельная охранная сигнализация на помещение ограниченного доступа микрофинансовой организации, кредитного товарищества не требуется.
Для субъектов естественной монополии, коллекторских агентств не требуется организация помещения ограниченного доступа. При этом к помещению, где размещено рабочее место ответственного лица субъекта естественных монополий, коллекторского агентства, предъявляется требование, установленное подпунктом 3) пункта 28 Требований.
Сноска. Пункт 29 в редакции постановления Правления Национального Банка РК от 14.06.2017 № 102 (вводится в действие по истечении двадцати одного календарного дня после дня его первого официального опубликования).30. К рабочему месту ответственного лица предъявляются следующие требования:
1) программное обеспечение устанавливается на специально выделенном персональном компьютере, имеющем паспорт, в котором указано его месторасположение, конфигурация, а также аппаратные и программные средства, установленные на нем. Паспорт подписывается руководителем организации и хранится у ответственного лица;
2) не допускаются эксплуатация персонального компьютера ответственного лица и установка на нем программных средств, не связанных с целями подготовки, обработки, передачи или ведения электронных документов в рамках участия в информационной системе;
3) персональный компьютер ответственного лица имеет комплекс защиты, включающий в себя:
средства идентификации и аутентификации пользователей;
возможность ведения системных журналов в течение срока хранения электронных документов с целью контроля деятельности, связанной с доступом к компьютеру и действиями пользователей;
4) наличие одного системного имени пользователя (ответственного лица), по которому идентифицируется пользователь и которое при входе в информационную систему соответствует одному физическому лицу;
5) программное обеспечение, установленное на персональном компьютере, является лицензионным;
6) доступ к сетевым ресурсам и внешним носителям, а также к портам ввода-вывода информации с персонального компьютера оператора отключен, в том числе и в настройках базовой системы ввода-вывода;
7) системный блок, все порты ввода-вывода информации персонального компьютера, к которым могут быть подключены внешние носители, опечатываются либо пломбируются администратором. Процесс опечатывания (пломбирования) фиксируется в специальном журнале с указанием фамилии, имени, отчества (при его наличии), должности, даты, времени и цели нанесения для каждой пломбы (печати);
8) порядок доступа к иным ресурсам (дисковое пространство, директории базы данных и резервные копии базы данных), выделенным для накопления в них информации в целях передачи в информационную среду с использованием системы защиты, получения информации из информационной среды, хранения, архивирования либо другой обработки информации, исключает возможность несанкционированного доступа к этим ресурсам;
9) доступ к рабочему месту ответственного лица и в помещение ограниченного доступа осуществляется в соответствии с должностными обязанностями ответственного лица, предусмотренными в его должностной инструкции, и на основании приказа о назначении ответственного лица.
Сноска. Пункт 30 с изменениями, внесенными постановлением Правления Национального Банка РК от 14.06.2017 № 102 (вводится в действие по истечении двадцати одного календарного дня после дня его первого официального опубликования).31. Рабочее место оператора поставщиков информации (за исключением субъектов естественной монополии, коллекторских агентств) и получателей кредитных отчетов размещается в помещении ограниченного доступа и соответствует требованиям, установленным пунктом 30 Требований.
Рабочее место ответственного лица субъектов естественной монополии, коллекторских агентств соответствует требованиям, предусмотренным подпунктами 1) и 5) пункта 30 Требований.
Сноска. Пункт 31 в редакции постановления Правления Национального Банка РК от 14.06.2017 № 102 (вводится в действие по истечении двадцати одного календарного дня после дня его первого официального опубликования).32. Использование кредитным бюро системных программных обеспечений (операционные системы, системы управления базами данных, офисные программы, антивирусные программы) подтверждается лицензиями, сертификатами.
33. Для накопления и хранения данных по кредитным историям используется промышленная система управления базами данных, разработчик имеет официальное представительство и центр технической поддержки на территории Республики Казахстан.
34. Внедрение и ввод в промышленную эксплуатацию (разработка или адаптация готового продукта) программного обеспечения кредитным бюро выполняется на основании технического задания, утвержденного его первым руководителем, при этом необходимо наличие соответствующих сертификатов на механизмы безопасности. Разработчики информационной системы кредитного бюро имеют опыт разработки аналогичных систем не менее 2 (двух) лет.
Сноска. Пункт 34 в редакции постановления Правления Национального Банка РК от 30.05.2016 № 146 (вводится в действие по истечении двадцати одного календарного дня после дня его первого официального опубликования).35. Программное обеспечение кредитного бюро предусматривает два и более способа получения (передачи) информации:
интерактивный интерфейс с подготовкой файла в стандартном формате с использованием программного обеспечения формирования отчетов в доступных форматах;
сетевой доступ с использованием стандартного формата передачи в режиме реального времени, ввод данных с помощью функционала ручного ввода, заполнение экранных форм на интернет-ресурсе с использованием веб-браузера.
36. В целях информационной безопасности программное обеспечение кредитного бюро обеспечивает следующее:
1) идентификацию и аутентификацию с криптографическим преобразованием;
2) разграничение прав пользователей;
3) работу на уровне ядра программного обеспечения таким образом, чтобы ни одно значимое действие в рамках системы (действие пользователя или процесса) не происходило без участия механизма безопасности;
4) схема безопасности, реализованная в программном обеспечении, отделена от средств безопасности самой операционной системы, на которой устанавливается программное обеспечение, тем самым уязвимость средств безопасности операционной системы не влияет на работу безопасности программного обеспечения;
5) замкнутое сохранение данных в программном обеспечении организовано способом, обеспечивающим:
невозможность получения логического доступа к указанным данным вне рамок работы приложения программного обеспечения;
любые перемещения данных в (из) базу (базы) данных программного обеспечения под контролем механизмов безопасности;
6) фиксирование информации, необходимой для идентификации факта, объекта и субъекта процесса удаления, изменение и возможность восстановления удаленных данных;
7) возможность устойчивой работы при появлении сбоев;
8) трехуровневую архитектуру "клиент-сервер" с тем, чтобы вывод из строя рабочего места пользователя или получение злоумышленником несанкционированного доступа к нему не сказывался на работе серверной части системы, а сбой сервера приложений не влиял на состояние данных системы;
9) аудит системно-значимых событий с фиксированием в регистрационный журнал, а также с возможностью защиты со стороны любого субъекта;
10) аудит действий пользователей и администраторов, как успешных, так и неудачных, начиная от попытки установления связи;
11) контроль экспортируемых и импортируемых данных;
12) возможность разработки (доработки) модулей и механизмов безопасности;
13) в договоре с разработчиком информационной системы предусмотрена обязанность:
регулярного информирования кредитного бюро об обнаруженных ошибках и уязвимостях системы, а также своевременного предоставления изменений и обновлений к системе;
организовать службу оперативной поддержки, в том числе по вопросам безопасности, для дачи консультации работникам кредитного бюро и оказания им практической помощи в вопросах информационной безопасности.
37. Программное обеспечение кредитного бюро предусматривает хранение информации в отношении субъекта кредитной истории в течение срока, установленного Законом о кредитном бюро, а также возможность формирования в течение одного рабочего дня кредитных отчетов по состоянию на любой момент времени с начала формирования кредитных историй.
38. Требования к техническим средствам кредитного бюро:
1) наличие собственного аппаратного обеспечения (компьютерное оборудование, серверы, аппаратные средства защиты, комплектующие и другое оборудование) и документов, подтверждающих принадлежность аппаратного обеспечения кредитному бюро;
2) наличие сертификатов соответствия аппаратного обеспечения требованиям безопасности, выданных органом подтверждения соответствия;
3) наличие системы гарантированного питания - щита автоматического включения резерва, дизельного генерирующего устройства, работающих от сигнала с двух источников бесперебойного питания (далее - ИБП), и непрерывно поддерживающей электричество в сети чистого питания во всей организации. При этом нагрузка каждого ИБП не более сорока процентов в штатном режиме.
39. Серверы кредитного бюро составляют отказоустойчивую завершенную систему и представляют собой кластер со стопроцентным дублированием аппаратной части. Резервные серверы базы данных кредитного бюро располагаются от основных серверов на расстоянии не менее десяти километров и обеспечивают бесперебойную работу базы данных кредитного бюро таким образом, чтобы в случае прекращения работы основных серверов базы данных, кредитное бюро могло обеспечить восстановление работы базы данных на резервных серверах в срок не более 6 (шести) часов с момента прекращения работы основного сервера.
40. Организация (за исключением микрофинансовой организации, субъекта естественной монополии, кредитного товарищества, коллекторского агентства) соблюдает следующие требования по обеспечению безопасности информации:
1) наличие защищенного канала передачи данных с шифрованием трафика с помощью аппаратных граничных маршрутизаторов;
2) наличие системы обнаружения (предотвращения) атак из сети интернет в компьютерную сеть организации с помощью межсетевого экрана;
3) наличие системы криптографической защиты компьютеров с помощью криптоключей и систем идентификации пользователя;
4) наличие аппаратного сетевого анализатора трафика по идентификатору управления доступом к носителю сетевых карт пользователей;
5) наличие системы резервного копирования на внешние и (или) съемные носители информации.
Для реализации вышеуказанных требований кредитное бюро проводит анализ и оценку рисков, уязвимостей и угроз для обеспечения безопасности информации.
На микрофинансовую организацию, кредитное товарищество распространяются требования по обеспечению безопасности информации, предусмотренные подпунктами 2) и 5) настоящего пункта.
На субъекта естественной монополии, коллекторское агентство распространяется требование по обеспечению безопасности, предусмотренное подпунктом 5) настоящего пункта.
Сноска. Пункт 40 в редакции постановления Правления Национального Банка РК от 14.06.2017 № 102 (вводится в действие по истечении двадцати одного календарного дня после дня его первого официального опубликования).41. Организация (за исключением микрофинансовой организации, субъекта естественной монополии, кредитного товарищества, коллекторского агентства) в процессе своей деятельности выполняет следующие требования:
1) наличие службы информационной безопасности;
2) наличие ответственных лиц по кредитным историям;
3) наличие политики информационной безопасности;
4) наличие политики формирования и использования паролей;
5) наличие политики резервного копирования (архивирования);
6) наличие документации с описанием процедур по ограничению доступа и обязанностей пользователей, администраторов безопасности, системных администраторов.
Микрофинансовая организация, субъект естественной монополии, кредитное товарищество, коллекторское агентство в процессе своей деятельности выполняют требование, предусмотренное подпунктом 2) настоящего пункта.
Сноска. Пункт 41 в редакции постановления Правления Национального Банка РК от 14.06.2017 № 102 (вводится в действие по истечении двадцати одного календарного дня после дня его первого официального опубликования).42. Организация (за исключением микрофинансовой организации, субъекта естественной монополии, кредитного товарищества, коллекторского агентства) утверждает внутренний документ, который определяет порядок работы с информационной системой и включает в себя:
1) порядок назначения сотрудников, на которых возлагаются обязанности ответственных лиц;
2) режим работы ответственных лиц с информационной системой;
3) права и обязанности ответственных лиц;
4) список сотрудников, допущенных к рабочему месту оператора;
5) список сотрудников, допускаемых к рабочему месту оператора в особых случаях (в кризисных ситуациях, а также в случаях замещения сотрудника).
На микрофинансовую организацию, субъекта естественной монополии, кредитное товарищество, коллекторское агентство распространяются требования, предусмотренные подпунктами 3), 4) и 5) настоящего пункта.
Сноска. Пункт 42 в редакции постановления Правления Национального Банка РК от 14.06.2017 № 102 (вводится в действие по истечении двадцати одного календарного дня после дня его первого официального опубликования).43. Ответственные лица:
1) обеспечивают обязательность процедуры идентификации и аутентификации для доступа к ресурсам информационных систем;
2) не допускают получения права доступа к информационным ресурсам неавторизованными пользователями;
3) контролируют регулярность выполнения резервного копирования информации, в том числе обрабатываемой информационной системой;
4) проводят плановую и внеплановую проверку надежности защиты ресурсов системы;
5) обеспечивают защиту оборудования корпоративной сети, в том числе специальных межсетевых программных средств;
6) принимают меры по отражению угрозы и выявлению нарушителей;
7) регулярно просматривают журнал событий, проводят анализ с записями, где были попытки несанкционированного доступа к информации.
На субъектов естественной монополии, коллекторские агентства распространяются требования, предусмотренные подпунктами 1), 2) и 3) настоящего пункта.
Сноска. Пункт 43 в редакции постановления Правления Национального Банка РК от 30.05.2016 № 146 (вводится в действие по истечении двадцати одного календарного дня после дня его первого официального опубликования); с изменением, внесенным постановлением Правления Национального Банка РК от 14.06.2017 № 102 (вводится в действие по истечении двадцати одного календарного дня после дня его первого официального опубликования).44. Сотрудники организации (ответственное лицо, администратор, оператор) дают письменные обязательства о неразглашении и нераспространении информации, ставшей им известной в процессе исполнения ими служебных обязанностей.
45. При увольнении ответственного лица производится внеплановая смена ключевой информации организации, о чем уведомляется кредитное бюро. Новая ключевая информация вводится в действие со дня его увольнения.
46. Порядок хранения и использования внешних носителей с ключевой информацией в организации исключает возможность несанкционированного доступа к ним.
Сноска. Приложение 1 в редакции постановления Правления Национального Банка РК от 30.05.2016 № 146 (вводится в действие по истечении двадцати одного календарного дня после дня его первого официального опубликования); внесены изменения на государственном языке, текст на русском языке не меняется в соответствии с постановлением Правления Национального Банка РК от 14.06.2017 № 102 (вводится в действие по истечении двадцати одного календарного дня после дня его первого официального опубликования).
| Форма |
Акт
о соответствии ________________________
(наименование участника)
требованиям, предъявляемым к участникам системы формирования кредитных историй и их использования (за исключением субъекта кредитной истории)
________________________ | ______________________ |
место составления | дата |
Настоящий акт о соответствии участника системы формирования кредитных историй и их использования (за исключением субъекта кредитной истории) требованиям к использованию информационно-коммуникационных технологий и обеспечению информационной безопасности при организации деятельности кредитных бюро, поставщиков информации и получателей кредитных отчетов составлен комиссией в следующем составе:
представители уполномоченного органа, осуществляющего регулирование, контроль и надзор финансового рынка и финансовых организаций:
_________________________________________________________________________________________________________________________________________________________.
В работе комиссии участвуют представители участника системы формирования кредитных историй и их использования:
_________________________________________________________________________________________________________________________________________________________.
Подробное описание обследованных объектов и изученных комиссией документов:
_________________________________________________________________________________________________________________________________________________________.
Краткое содержание пояснений представителей участника системы формирования кредитных историй и их использования:
_________________________________________________________________________________________________________________________________________________________.
Проверкой комиссией технических и иных документов участника системы формирования кредитных историй и их использования __________________________, обследованием его технических помещений, электронно-компьютерного оборудования, систем связи и защитных устройств и иных объектов, предназначенных для работы в системе формирования кредитных историй и их использования, установлено
__________________________________________________________________________________________________________________________________________________________
__________________________________________________________________________________________________________________________________________________________.
(соответствие (несоответствие) предъявляемым требованиям и достаточность недостаточность) для начала (продолжения) деятельности организации на рынке информационных услуг).
Участником системы формирования кредитных историй и их использования предъявлена следующая техническая документация и иные документы, которые приложены к акту комиссии:
_________________________________________________________________________________________________________________________________________________________.
Члены комиссии:
____________ _______________________________________ __________________________
(должность) (фамилия, имя, отчество (при его наличии)) согласовано (не согласовано)
____________ _______________________________________ __________________________
(должность) (фамилия, имя, отчество (при его наличии)) согласовано (не согласовано)
____________ _______________________________________ __________________________
(должность) (фамилия, имя, отчество (при его наличии)) согласовано (не согласовано)
Руководитель комиссии:
______________________________________________________________________________
(электронная цифровая подпись)
Сноска. Приложение 2 в редакции постановления Правления Национального Банка РК от 14.06.2017 № 102 (вводится в действие по истечении двадцати одного календарного дня после дня его первого официального опубликования).
| Форма |
Заключение
о соответствии _____________________________________________________________
________________________________________________________________________________
(наименование микрофинансовой организации, субъекта естественной монополии,
кредитного товарищества или коллекторского агентства) требованиям,
предъявляемым к микрофинансовым организациям, субъектам естественной
монополии, кредитным товариществам или коллекторским агентствам
______________________ ______________________
место составления дата
Заключение о готовности микрофинансовой организации, субъекта естественной
монополии, кредитного товарищества или коллекторского агентства к началу своей
деятельности на рынке информационных услуг и выполнению ею (им) требований к
использованию информационно-коммуникационных технологий и обеспечению
информационной безопасности при организации деятельности кредитных бюро,
поставщиков информации и получателей кредитных отчетов составлено представителями
уполномоченного органа, осуществляющего регулирование, контроль и надзор финансового рынка и финансовых организаций, в следующем составе:
________________________________________________________________________________
_______________________________________________________________________________.
Подробное описание обследованных объектов и изученных документов:
________________________________________________________________________________
_______________________________________________________________________________.
Проверкой технических и иных документов микрофинансовой организации, субъекта
естественной монополии, кредитного товарищества или коллекторского агентства
_____________________________, обследованием ее (его) технических помещений,
электронно-компьютерного оборудования, систем связи и защитных устройств и иных
объектов, предназначенных для работы в системе формирования кредитных историй и их
использования, установлено _______________________________________________________
________________________________________________________________________________
_______________________________________________________________________________.
(соответствие (несоответствие) предъявляемым требованиям и достаточность
(недостаточность) для начала (продолжения) деятельности организации на рынке
информационных услуг).
Представители уполномоченного органа, осуществляющего регулирование, контроль
и надзор финансового рынка и финансовых организаций:
_________________ ___________________________ ___________________
(должность) (фамилия, имя, отчество (подпись)
(при его наличии)
_________________ ___________________________ ___________________
(должность) (фамилия, имя, отчество (подпись)
(при его наличии)
_________________ ___________________________ ___________________
(должность) (фамилия, имя, отчество (подпись)
(при его наличии)
| Приложение к постановлению Правления Национального Банка Республики Казахстан от 27 мая 2015 года № 91 |
Перечень нормативных правовых актов Республики Казахстан,
признаваемых утратившими силу
1. Постановление Правления Агентства Республики Казахстан по регулированию и надзору финансового рынка и финансовых организаций от 18 июля 2008 года № 105 "Об утверждении Инструкции об организации информационного процесса в деятельности участников системы формирования кредитных историй и их использования, формирования системы безопасности, установлении минимальных требований к их электронному оборудованию, сохранности базы данных кредитных историй и помещениям" (зарегистрированное в Реестре государственной регистрации нормативных правовых актов под № 5310, опубликованное 31 октября 2008 года в газете "Юридическая газета" № 166 (1566), 15 октября 2008 года в Собрании актов центральных исполнительных и иных центральных государственных органов Республики Казахстан № 10).
2. Постановление Правления Национального Банка Республики Казахстан от 26 августа 2011 года № 97 "О внесении изменения и дополнения в постановление Правления Агентства Республики Казахстан по регулированию и надзору финансового рынка и финансовых организаций от 18 июля 2008 года № 105 "Об утверждении Инструкции об организации информационного процесса в деятельности участников системы формирования кредитных историй и их использования, формирования системы безопасности, установлении минимальных требований к их электронному оборудованию, сохранности базы данных кредитных историй и помещениям" (зарегистрированное в Реестре государственной регистрации нормативных правовых актов под № 7211, опубликованное 13 октября 2011 года в газете "Юридическая газета" № 149 (2139)).
3. Постановление Правления Национального Банка Республики Казахстан от 24 февраля 2012 года № 89 "О внесении изменений и дополнений в постановление Правления Агентства Республики Казахстан по регулированию и надзору финансового рынка и финансовых организаций от 18 июля 2008 года № 105 "Об утверждении Инструкции об организации информационного процесса в деятельности участников системы формирования кредитных историй и их использования, формирования системы безопасности, установлении минимальных требований к их электронному оборудованию, сохранности базы данных кредитных историй и помещениям" (зарегистрированное в Реестре государственной регистрации нормативных правовых актов под № 7620, опубликованное 4 августа 2012 года в газете "Казахстанская правда" № 251-253 (27070-27072)).
4. Постановление Правления Национального Банка Республики Казахстан от 25 января 2013 года № 9 "О внесении изменений и дополнения в постановление Правления Агентства Республики Казахстан по регулированию и надзору финансового рынка и финансовых организаций от 18 июля 2008 года № 105 "Об утверждении Инструкции об организации информационного процесса в деятельности участников системы формирования кредитных историй и их использования, формирования системы безопасности, установлении минимальных требований к их электронному оборудованию, сохранности базы данных кредитных историй и помещениям" (зарегистрированное в Реестре государственной регистрации нормативных правовых актов под № 8365, опубликованное 5 июня 2013 года в газете "Юридическая газета" № 81 (2456)).
