Күші жойылды - ҚР Қаржы ұйымдарын реттеу мен қадағалау агенттігі Басқармасының 2008.07.18. N 105 Қаулысымен.
---------------------Бұйрықтын үзінді-----------------
Кредиттік бюроның қызметін реттейтін нормативтік құқықтық актілерін жетілдіру мақсатында Қазақстан Республикасы Қаржы нарығын және қаржы ұйымдарын реттеу мен қадағалау агенттігінің (бұдан әрі - Агенттік) Басқармасы ҚАУЛЫ ЕТЕДІ:
1. ...
2. Мыналардың күші жойылды деп танылсын:
1) "Кредиттік тарихты қалыптастыру және оларды пайдалану жүйесі қатысушыларының қызметіндегі ақпараттық процесті ұйымдастыру, кредиттік тарихтың деректер базасының қорғалуына және сақталуына, олардың ақпараттық ресурстарына, ақпараттық жүйелеріне, үй-жайларына, электронды жабдықтарына қойылатын ең төменгі талаптар туралы нұсқаулықты бекіту туралы" Агенттік Басқармасының 2004 жылғы 25 қазандағы N 303
қаулысы
(нормативтік құқықтық актілерді мемлекеттік тіркеу тізілімінде N 3318 тіркелген, Қазақстан Республикасының орталық атқарушы және өзге де мемлекеттік органдарды нормативтік құқықтық актілері бюллетенінде жарияланған, N 3-8, 2005 ж., 18-құжат);
2) ...
3. Осы қаулы алғаш ресми жарияланған күнінен бастап он
күнтізбелік күн өткеннен кейін қолданысқа енгізіледі.
4. ...
5. ...
1) ...
2) ...
6. ...
7. ...
Төрайым Е. Бахмутова
__________________________________________
Ескерту. Қаулының атауына өзгерту енгізілді - Қазақстан Республикасы Қаржы нарығын және қаржы ұйымдарын реттеу мен қадағалау агенттігі Басқармасының 2007.08.27. N 221 (қолданысқа енгізілу тәртібін 2-тармақтан қараңыз) Қаулысымен.
"Қазақстан Республикасындағы кредиттік бюро және кредиттік тарихты қалыптастыру туралы" Қазақстан Республикасының
Заңын
іс жүзіне асыру мақсатында Қазақстан Республикасының Қаржы нарығын және қаржы ұйымдарын реттеу мен қадағалау жөніндегі агенттігінің (бұдан әрі - Агенттік) Басқармасы
ҚАУЛЫ ЕТЕДІ
:
1. Кредиттік тарихты қалыптастыру және оларды пайдалану жүйесі қатысушыларының қызметіндегі ақпараттық процесті ұйымдастыру, қауіпсіздік жүйелерін қалыптастыру, олардың электронды жабдықтарына, кредиттік тарихтың деректер базасының және үй-жайлардың сақталуына қойылатын ең төменгі талаптарды белгілеу туралы нұсқаулық бекітілсін.
Ескерту. 1-тармаққа өзгерту енгізілді - Қазақстан Республикасы Қаржы нарығын және қаржы ұйымдарын реттеу мен қадағалау агенттігі Басқармасының 2007.08.27.
N 221
(қолданысқа енгізілу тәртібін
2-тармақтан
қараңыз) Қаулысымен.
2. Осы қаулы Қазақстан Республикасының Әділет министрлігінде тіркелген күннен бастап он төрт күн өткен соң қолданысқа енеді.
3. Стратегия және талдау департаменті (Еденбаев Е.С.):
1) Заң департаментімен (Байсынов М.Б.) бірлесіп осы қаулыны Қазақстан Республикасының Әділет министрлігінде мемлекеттік тіркеу шараларын қолға алсын;
2) осы қаулы Қазақстан Республикасының Әділет министрлігінде мемлекеттік тіркелген күннен бастап он күндік мерзімде оны кредиттік бюро мен "Қазақстан қаржыгерлер қауымдастығы" заңды тұлғалар бірлестігіне жіберсін.
4. Агенттіктің қызметін қамтамасыз ету департаменті (Несіпбаев Р.Р.) осы қаулы Қазақстан Республикасының Әділет министрлігінде мемлекеттік тіркелген күннен бастап он күндік мерзімде осы қаулыны Қазақстан Республикасының бұқаралық ақпарат құралдарында жариялау шараларын қолға алсын.
5. Осы қаулының орындалуын бақылау Агенттік Төрағасының орынбасары Қ.М.Досмұқаметовке жүктелсін.
Төраға
Қазақстан Республикасының
Ақпараттандыру және байланыс
жөніндегі агенттігімен
2004 жылғы 19 қарашада келісілді
Төраға
Қазақстан Республикасының Қаржы
нарығын және қаржы ұйымдарын
реттеу мен қадағалау жөніндегі
агенттігі Басқармасының "Кредиттік
тарихты қалыптастыру және оларды
пайдалану жүйесі қатысушыларының
қызметіндегі ақпараттық процесті
ұйымдастыру, қауіпсіздік жүйесін
қалыптастыру, олардың электронды
жабдықтарына, кредиттік тарихтың
деректер базасының және
үй-жайлардың сақталуына қойылатын
ең төменгі талаптарды белгілеу
туралы нұсқаулықты бекіту туралы"
2004 жылғы 25 қазандағы N 303
қаулысымен бекітілген
Ескерту. Оң жақ жоғары бұрыштағы мәтінге атауына өзгерту енгізілді - Қазақстан Республикасы Қаржы нарығын және қаржы ұйымдарын реттеу мен қадағалау агенттігі Басқармасының 2007.08.27. N 221 (қолданысқа енгізілу тәртібін 2-тармақтан қараңыз) Қаулысымен.
Кредиттік тарихты қалыптастыру және оларды
пайдалану жүйесі қатысушыларының қызметіндегі
ақпараттық процесті ұйымдастыру, қауіпсіздік жүйесін
қалыптастыру, олардың электронды жабдықтарына, кредиттік
тарихтың деректер базасының және үй-жайлардың сақталуына
қойылатын ең төменгі талаптарды белгілеу туралы
нұсқаулық
Осы Нұсқаулық»"Қазақстан Республикасындағы кредиттік бюролар және кредиттік тарихты қалыптастыру туралы" Қазақстан Республикасының 2004 жылғы 4 шілдедегі
Заңына
(бұдан әрі - Кредиттік бюро туралы Заң) сәйкес әзірленді және кредиттік тарихты қалыптастыру және пайдалану жөніндегі ақпараттық процесті, ақпараттық жүйе қауіпсіздігі жүйесін қалыптастырудың негізгі шарттарын, электронды жабдықтарға қойылатын ең төменгі талаптарды, кредиттік тарихтың деректер базасының және кредиттік тарихты қалыптастыру жүйесі қатысушыларының үй-жайларының сақталуына қойылатын талаптарды ұйымдастыруды белгілейді.
Ескерту. Кіріспе жаңа редакцияда - Қазақстан Республикасы Қаржы нарығын және қаржы ұйымдарын реттеу мен қадағалау агенттігі Басқармасының 2007.08.27.
N 221
(қолданысқа енгізілу тәртібін
2-тармақтан
қараңыз) Қаулысымен.
1. Осы Нұсқаулықта мына ұғымдар пайдаланылады:
1) ақпарат жүйесі қауіпсіздігін басқарушы - электронды деректерді қабылдау және/немесе беру жүйесінің қызметін, оларды қорғау шараларын іске асыратын, келіп түскен және/немесе беріліп отырған ақпараттың қызметі мен өкілеттігін ескере отырып, жайғастыруды қамтамасыз ететін ұйымның қызметкері (бұдан әрі - басқарушы);
2) түпнұсқалық - енгізудің көрсетілген деректемелерінің жүйеде барымен сәйкес келуін анықтау жолымен субъект мен объектінің түпнұсқалығын растау;
3) зиянды бағдарламалық қамтамасыз ету (компьютерлік вирустар, желілік зиянкестер және осындай бағдарламалық қамтамасыз етулер) - өз көшірмесін жасау қабілеті бар (ішінара) немесе толық түрде түпнұсқамен дәл келетін) және оларды пайдаланушының сұрауынсыз компьютер жүйесінің, желілердің әр түрлі объектілеріне/ресурстарына енгізу қабілеті бар код жиынтығы;
4) бірегейлендіруші - бірегей дербес код және/немесе жүйенің субъектісіне және/немесе объектісіне берілген және жүйеге және/немесе жүйе ресурстарына ретпен кіруге берілген есім;
5) бірегейлендіру - бірегейлендіру системасының жүйесіне және/немесе ресурстар жүйесінде бар бірегейлендірушілер тізбесіне кіруге рұқсат алу үшін жасалған иелену немесе сәйкестікті белгілеу;
6) кредиттік тарихты қалыптастыру және пайдалану жүйесі қатысушыларының ақпараттық жүйесі - ақпаратты жеткізушілердің, кредиттік бюролардың, кредиттік есептерді қабылдаушылар мен ақпаратты процестердің кредиттік тарихының субъектілері (бұдан әрі - кредиттік тарихты қалыптастырудың және пайдаланудың ақпаратты жүйесі) жүзеге асыруға арналған ақпараттық технологиялардың, ақпараттық желілердің және олардың бағдарламалық-техникалық қамтамасыз ету құралдарының жиынтығы;
7) шешуші ақпарат - криптографиялық кілт және электронды сандық қол қою кілті;
8) кредиттік тарихты қалыптастырудың және пайдаланудың ақпараттық жүйесін қорғау жөніндегі кешенді шаралар - кредиттік тарихты қалыптастырудың және пайдаланудың ақпараттық жүйесінің жұмыс істеу қауіпсіздігін қамтамасыз етуге бағытталған ұйымдастыру-техникалық іс-шаралар, оның ішінде белгіленген бағдарламалық қамтамасыз етуге кіруге бақылауды және тіркелген пайдаланушылардың өкілеттігін шектемейтін құралдарды беруді қамтамасыз ететін санкцияланбаған кіруден электронды құралдар мен компьютерлерді қорғайтын бағдарламалық аппараттық қорғаныс;
9) оператор - қорғаныс жүйесін пайдаланушымен хабарламаларды дайындау, өңдеу, қабылдау және беруді тікелей жүзеге асыратын кредиттік бюро қызметкері;
10) ұйым - осы Нұсқаулыққа сәйкес кредиттік тарихты қалыптастыру және пайдалану жөніндегі ақпарат жүйесіне қатысуға міндетті кредиттік бюро, ақпарат жеткізуші, кредиттік есепті алушы (кредиттік тарих субъектілерінен басқа);
11) жауапты тұлға - ақпаратты қорғау құралдарының қызметін санкцияланбаған кіруден қорғауды және бақылауды қамтамасыз ететін кредиттік бюро қызметкері;
12) ақпараттық қауіпсіздік саясаты - шектеулі таратылатын ақпаратты басқаруды, қорғауды және бөлуді реттейтін нормалар және практикалық тәсілдер;
13) пайдаланушы - кредиттік бюро және электронды құжат алмасуға қатысатын және ақпарат беру жөніндегі шарттың және (немесе) кредиттік есепті алушы тарап болып табылатын кредиттік тарихтың ақпараттық жүйесінің басқа да қатысушылары.
Ескерту. 1-тармаққа өзгерту енгізілді - Қазақстан Республикасы Қаржы нарығын және қаржы ұйымдарын реттеу мен қадағалау агенттігі Басқармасының 2007.08.27.
N 221
(қолданысқа енгізілу тәртібін
2-тармақтан
қараңыз) Қаулысымен.
2. Ақпаратты жеткізушілер және кредиттік есепті қабылдаушылар (кредиттік тарих субъектісінен басқа) кредиттік бюроның ақпаратты және (немесе) кредиттік есептерді беру туралы жасалған шарттардан туындаған ұйымдастыру, технологиялық шарттар мен талаптардың және Кредиттік бюро туралы
Заңда
көзделген кредиттік бюроның ішкі құжаттарының орындалуын қамтамасыз етеді.
Ескерту. 2-тармаққа өзгерту енгізілді - Қазақстан Республикасы Қаржы нарығын және қаржы ұйымдарын реттеу мен қадағалау агенттігі Басқармасының 2007.08.27.
N 221
(қолданысқа енгізілу тәртібін
2-тармақтан
қараңыз) Қаулысымен.
2-тарау. Ақпараттық процесті ұйымдастыру
3. Кредиттік тарихты қалыптастыру және пайдалану жөніндегі ақпарат жүйесінің ұйымдастырылуы және жұмыс істеуі былай қамтамасыз етіледі:
1) келісілген рәсімдер мен технологиялық параметрлер аясындағы қатысушылар қызметін үйлестіру және басқару;
2) қолданыстағы бағдарламалық және техникалық құралдарды сәйкестендіру;
3) ақпараттарды ашу мүмкіндігін алып тастауды қосқандағы ақпарат қауіпсіздігі;
4) жоғары тиімділікті технологияларды енгізу;
5) ресурстарды икемді және тиімді басқару;
6) қызмет көрсету сапасын өсіру.
4. Кредиттік бюро, ақпарат жеткізушілер және кредиттік есепті қабылдаушылар (кредиттік тарихтың субъектілерінен басқасы) мыналарды қамтамасыз етеді:
1) деректерді енгізуді бақылауды;
2) құжаттардың параметрлерін есепке алу мүмкіндігі (құжаттар нөмірі, байланыс коды, шарт нөмірі және басқалары);
3) жиынтық ақпарат тудыруды;
4) резерв көшірмелерін жасау, деректерді архивтеуді;
5) кіру құқығын бақылайтын қорғаудың штатты құралдары бар ақпарат жүйесін пайдалануды;
6) электронды хабарламаларды ұсынуды және қабылдауды реттейтін рәсімдердің болуы;
7) талдамалық және статистикалық есептерді дайындау мүмкіндігі.
5. Ақпарат жүйесін әзірлеу, енгізу және қызмет көрсету процесінің құрамына барлық кезеңдерді құжаттамалау талаптары, өндірісте пайдалану үшін тестілеу және енгізу, өзгерістер енгізу тәртібі, әзірлеу кезеңдерін белгілеу енеді.
6. Кредиттік бюро ақпарат жүйесін әзірлеу, енгізу және қызмет көрсетуді Қазақстан Республикасының аумағында қолданылып жүрген стандарттар және олардың ішкі құжаттары арқылы орындайды.
7. Кредиттік бюро ақпарат жүйесін әзірлеуді олардың бірінші басшысы бекіткен техникалық тапсырма негізінде орындалады.
Жылжымайтын мүлікпен және онымен мәміле жасау құқығын тіркеуді жүзеге асыратын мемлекеттік органдармен өзара қарым-қатынас жасайтын ақпараттық жүйені кредиттік бюро әзірлеуі үшін қажет техникалық тапсырма Қазақстан Республикасының Әділет министрлігінің Тіркеу қызметі жөніндегі Комитетімен келісіледі.
Кредиттік бюро ақпараттық процестерді іске асыру үшін қажетті бағдарламалық қамтамасыз етуді ақпаратты жеткізушілерге және кредиттік есептерді алушыларға береді не ұйымдар пайдаланып отырған бағдарламалық қамтамасыз етуге тиісті талаптар белгілейді. Ақпаратты жеткізушілер және кредиттік есептерді алушылар бағдарламалық қамтамасыз етуді жеке әзірлеген жағдайда оны кредиттік бюромен келіседі.
Ескерту. 7-тармаққа өзгерту енгізілді - Қазақстан Республикасы Қаржы нарығын және қаржы ұйымдарын реттеу мен қадағалау агенттігі Басқармасының 2007.08.27.
N 221
(қолданысқа енгізілу тәртібін
2-тармақтан
қараңыз) Қаулысымен.
8. Бағдарламалық қамтамасыз етуге және/немесе ақпараттық жүйенің деректерінен санкцияланбаған өзгерістерді алып тастау мақсаты бағдарламалық қамтамасыз етуге өзгерістер енгізу қажет болған жағдайда (жүйенің кемшіліктерін алып тастау немесе жетілдіру үшін), өзгерістер енгізу процесі Қазақстан Республикасының аумағында қолданылып жүрген техникалық тапсырмаларға, стандарттарға және кредиттік бюроның ішкі құжаттары арқылы жүзеге асырылады.
3-тарау. Кредиттік тарихты қалыптастыру жүйесінің
қатысушылары мен оларды пайдалану арасындағы ақпарат
алмасу талаптары
9. Ақпаратты жеткізушілер, кредиттік есептерді алушылар (кредиттік тарих субъектілерінен басқа) және кредиттік бюро арасында ақпарат алмасу талаптары мемлекеттік саясатты іске асыратын және ақпараттандыру және электронды Үкімет аясындағы қызметті мемлекеттік реттеуді жүзеге асыратын орталық атқарушы орган (бұдан әрі - ақпараттандыру аясындағы уәкілетті орган) белгілеген арнайы автоматтандырылған жүйе арқылы жүзеге асырылады.
Ескерту. 9-тармаққа өзгерту енгізілді - Қазақстан Республикасы Қаржы нарығын және қаржы ұйымдарын реттеу мен қадағалау агенттігі Басқармасының 2007.08.27.
N 221
(қолданысқа енгізілу тәртібін
2-тармақтан
қараңыз) Қаулысымен.
10. Электронды құжаттар кез-келген форматтағы электронды хабарламаны жібере алатын мүмкіндікті иелене отырып, CMS форматын (Cryptographic Message Syntax) пайдаланады.
Ескерту. 10-тармаққа өзгерту енгізілді - Қазақстан Республикасы Қаржы нарығын және қаржы ұйымдарын реттеу мен қадағалау агенттігі Басқармасының 2007.08.27.
N 221
(қолданысқа енгізілу тәртібін
2-тармақтан
қараңыз) Қаулысымен.
11. CMS электронды құжатында берілген электронды хабарламаның немесе файлдың форматын (кредиттік тарих субъектісі, кредиттік есеп және басқа деректер) кредиттік бюро ақпараттандыру аясындағы уәкілетті органмен келісе отырып әзірлейді.
Ескерту. 11-тармаққа өзгерту енгізілді - Қазақстан Республикасы Қаржы нарығын және қаржы ұйымдарын реттеу мен қадағалау агенттігі Басқармасының 2007.08.27.
N 221
(қолданысқа енгізілу тәртібін
2-тармақтан
қараңыз) Қаулысымен.
12. Ақпаратты жеткізуші ұсынған ақпарды кредиттік бюро дұрыс немесе толық толтырылмауына, ақпаратты жеткізуші, кредиттік есепті қабылдаушы, кредиттік тарих субъектісінің деректерінің ақпарат жүйесінде пайдаланып отырған талаптарға сәйкес келмеуіне байланысты кредиттік тарихты қалыптастыру және пайдаланудың ақпарат жүйесінде қолданбай қайтарып беруі мүмкін.
4-тарау. Қауіпсіздік жүйесін қалыптастырудың
негізгі мәселелері
13. Кредиттік тарихты қалыптастыру және пайдаланудың ақпарат жүйесі мыналарды қамтамасыз етеді:
1) ақпараттың құпиялылығы - ақпаратты сақтау, өңдеу немесе коммуникациялық арналар бойынша беру кезінде оның ашылып қалудан сақтау;
2) ақпараттың сақталуы - бүлінуден қорғау, санкцияланбаған өзгерістерден, толықтырулардан, көшірме жасаудан немесе оның сақталуы, өңделуі немесе коммуникациялық арналар бойынша берілуі кезінде қорғалуы;
3) рұқсаттың болуы - бір пайдаланушының бірлесіп пайдалануға арналған ақпараттық жүйенің деректері мен өзге де ресурстарын, ұстап алынған ақпараттық хабарламаларды және/немесе олардың кешігетіндігі жөніндегі деректерден, сондай-ақ ақпараттық хабарламаларды және/немесе олардың кешігетіндігі жөніндегі деректерді ұсталып қалудан қорғау.
14. Кредиттік тарихты қалыптастыру және пайдалану жөніндегі ақпараттық жүйе қауіпсіздігін қамтамасыз ету бойынша міндетті іс-шаралардың базалық құрамы ақпарат қауіпсіздігі жүйесін құруға кешенді тәсілді қолдану болып табылады.
15. Ақпарат қауіпсіздігі жүйесін құру үшін кешенді тәсіл құрамына тәуекелдерді талдау және бағалау, оның ішінде техникалық арналар бойынша ақпараттың жылыстауы, қорғалатын ақпараттың сипаты және маңыздылығын есепке алу, электронды құжаттарды өңдеу технологиясы қауіпсіздігін қамтамасыз етуді бақылау кіреді.
16. Кредиттік тарихты қалыптастыру және пайдалану жөніндегі ақпараттық жүйе қатысушылары нақты уақыт аралығында күмәнді іс-қимылдарды жедел анықтау жөнінде және мыналарды белгілеуге бағытталған іс-шараларды қамтитын қойылымдарды жасауға:
1) ұқсамайтын іс-қимылдар (пайдаланушылардың бағдарламалары немесе аспаптары);
2) санкцияланбаған басып кірулер немесе зиянды бағдарламалық қамтамасыз етуді пайдалану (компьютерлік вирустар, желілік зиянкестер және осындай бағдарламалық қамтамасыз етулер) активтендіріле бастаған кезде.
17. Ақпараттық қауіпсіздікті кешенді тәсілмен бағдарламалық-техникалық деңгейде қамтамасыз етуші негізгі бағыттар мыналар:
1) қауіпсіздік контуры;
2) ішкі корпоративті қауіпсіздік;
3) корпоративті қауіпсіздікті басқару.
18. Қауіпсіздік контуры (бұдан әрі - қауіпсіздік контуры) кредиттік бюроның немесе ақпаратты жеткізушілердің кредиттік тарихты қалыптастыру және пайдалану жөніндегі ақпараттық жүйесін қорғауды қамтамасыз етуге арналған. Қауіпсіздік контуры орталық және қосымша офистерді (филиалдар, өкілдіктер, шектері офистер), олардың арасындағы ақпараттар ағынын, сондай-ақ ақпараттық жүйенің басқа желілермен сыртқы байланыстағы серверлер мен жұмыс станцияларында сақталып отырған ақпараттық ресурстарды қорғауды іске асырады.
19. Кредиттік тарихты қалыптастыру және пайдалану жөніндегі ақпараттық жүйе қатысушыларының қауіпсіздігін қорғау рәсімдері санкцияланбаған басып кірулер мен вирусқа қарсы қорғанысты бақылауға, олардың ішкі ақпарат қауіпсіздігін қамтамасыз етуге арналған және олардың статусы мен құқықтарына сәйкес пайдаланушыларды топтарға бөлуді қамтамасыз ететін жүйені құру және қолдау, сондай-ақ құпиялылық деңгейіне байланысты ресурстарды бөлу қажеттігін болжалдайды.
20. Корпоративті қауіпсіздікті кредиттік тарихты қалыптастыру және пайдалану жөніндегі ақпараттық жүйе қатысушыларының қауіпсіздігінің кешенді жүйесі аясында басқару - ақпараттық қауіпсіздік саясатының жалпы талаптарын орындауды тұрақты бақылаумен, оған жедел түрде түзету енгізу және оның деңгейін көтерумен қамтамасыз етіледі.
21. Қауіпсіздік деңгейін көтеру мыналарды көздейді:
1) ақпараттық қауіпсіздік саясатын белгілеу;
2) ақпараттық қауіпсіздік режимін ұстау ұсынылатын шекараларды белгілеу;
3) тәуекелдерге бағалау жүргізу;
4) тәуекелдерге қарсы қимыл көрсету және басқару шараларын таңдау;
5) ақпараттық қауіпсіздік режимін қамтамасыз ететін құрал-жабдықтар мен басқаруды таңдау.
22. Ақпараттық қауіпсіздік саясатында қолданылып отырған ақпараттық жүйе құрамының сипаты, ұйымның ақпараттық жүйені пайдаланушыларының тізімі, олардың ақпараттарға, бағдарламаларға және техникалық құралдарға кіру құқықтары (олардың қызметтік жағдайы мен орындап отырған жұмысының сипатына байланысты) бар және ол мыналарды белгілейді:
1) ақпараттық қауіпсіздік аясындағы жұмыстың жалпы бағыттары;
2) ақпараттық жүйені қорғаудың мақсаты мен міндеттері;
3) қажетті қауіпсіздік деңгейіне жетудің негізгі принциптері мен тәсілдері;
4) ақпараттық қауіпсіздік саясатын белгілеуге қажетті талаптарды әзірлеуге жауапты ұйымдардың жауапты қызметкерлерін анықтау;
5) ақпараттық жүйенің және оны қорғау жүйесінің жұмыс қабілетін құруға, қолдауға жауапты ұйымдар бөлімшелерін анықтау;
6) табиғи апаттар, апаттар, өрт, электр қуатының ажырауы, байланыс желілерінің бүлінуі, жаппай тәртіпсіздіктер, ереуілдер, әскери қимылдар сияқты дүлей күш пайда болған жағдайдағы ақпараттық жүйенің қауіпсіздік режимінің бұзылуын болдырмау жөніндегі шаралар.
23. Кредиттік тарихты қалыптастыру және пайдалану жөніндегі ақпараттық жүйе қатысушылары (кредиттік тарих субъектілерінен басқа) мыналарды қамтамасыз етеді:
1) пайдаланылып отырған басқару шешімдерінің, технологияларының, тәсілдерінің және бағдарламалық-аспаптық құралдарының Қазақстан Республикасының қолданылып жүрген заңдарына сәйкестігін;
2) ақпараттық жүйе қауіпсіздігін ұйымдастыру туралы ішкі құжаттарды қабылдауды.
24. Ақпараттарды қорғаудың рәсімдік деңгейіне ұйымдардың мына бағыттар бойынша қауіпсіздікті қамтамасыз ету іс-шаралары кіреді:
1) қызметкерлерді басқару;
2) физикалық қорғаныс;
3) қауіпсіздік режимінің бұзылуын байқау;
4) қалпына келтіру жұмыстарын жоспарлау.
25. Кредиттік тарихты қалыптастыру және пайдалану жөніндегі ақпараттық жүйе қатысушыларының (кредиттік тарих субъектілерінен басқа) құрал-жабдықтарын бірегейлендіру/тұпнұсқаландыру мына талаптарға сәйкес келуі тиіс:
1) желілік қауіп-қатерге беріктік;
2) пайдаланылып отырған ақпараттық желіге бірыңғай кіруді қамтамасыз ету.
26. Ақпаратты қорғау жоспарына мына шаралар кіреді:
1) ұйымдастыру;
2) бағдарламалық-техникалық.
27. Қауіпсіздікті қамтамасыз етудің ұйымдастыру шараларына мыналар жатады:
1) ақпараттық жүйені физикалық қорғау;
2) ақпарат қауіпсіздігіне қатысы бар ақпарат жүйесінің жұмысқа қабілеттілігін қолдау;
3) әр пайдаланушыға оларға тапсырылған қызметтік міндеттерін және өзара ауысымдылықты қамтамасыз ету үшін тиісті кіру құқығын қою;
4) қалпына келтіру жұмыстарын жоспарлау.
28. Физикалық қорғаныс мыналарға бөлінеді:
1) кіруді физикалық басқару;
2) өртке қарсы қауіпсіздік шаралары;
3) ықпал етуші инфрақұрылымды қорғау;
4) деректерді жаулап алудан қорғау, жылжымалы жүйені қорғау.
29. Ақпараттық жүйенің жұмыс қабілетін қолдау іс-шаралары былай бөлінеді:
1) пайдаланушыларды қолдау - ақпараттық қауіпсіздік мәселелері бойынша кеңестер беру, олардың үнемі кездесетін қателерін анықтау және жария жағдайлар үшін ұсынымдары бар жадынамалармен қамтамасыз ету;
2) бағдарламалық қамтамасыз етуді қолдау - бағдарламалық қамтамасыз етудің лицензиялық (сертификатталған) тазалығын бақылау;
3) конфигурациялық басқару - бағдарламалық және техникалық конфигурацияға енгізілген өзгерістерді бақылау және белгілеу;
4) ақпараттық жүйені қалпына келтіру үшін резервтік көшірме жасау және дүлей апат жағдайындағы апаттар мен басқа жағдайлардағы деректер;
5) деректерді тасымалдаушыларды басқару - есеп жүргізу, айналыс, сақтау тәртібі;
6) құжаттамаландыру - істің ағымдық жағдайының актуалды көрінісі.
30. Ақпараттық жүйенің қауіпсіздік режимі бұзылған жағдайда жауапты тұлғалар, басқарушы мыналарды жүзеге асырады:
1) келтірілген зиянды кеміту мақсатындағы жедел шараларды орындау;
2) тәртіп бұзу туралы бар мәліметтерді талдау және баға беру - жанжалды зерттеу, екінші рет тәртіп бұзуды анықтау, қорғау жүйесін жетілдіру жөніндегі шараларды әзірлеу.
31. Резервтік көшірме жасау және ақпараттық жүйенің жұмыс қабілеті жоғалған соң қалпына келтіру ұйым белгілеген талаптар бойынша анықталады.
5-тарау. Электронды жабдықтарға, кредиттік
тарихтың деректер базасының және үй-жайлардың
сақталуына қойылатын ең төменгі талаптар
32. Пайдаланушының бағдарламалық қамтамасыз етуі тұрақты орны, конфигурациясы туралы жан-жақты деректері бар жұмыс орны сипатталған паспорты бар, сондай-ақ қойылған аппараттық және бағдарламалық құралдары бар арнайы бөлінген дербес компьютерге қойылады.
33. Пайдаланушының дербес компьютерін пайдаланған кезде оған кредиттік тарихты қалыптастыру және пайдалану жөніндегі ақпараттық жүйеге қатысу аясында электронды құжаттарды дайындау, өңдеу, беру немесе енгізу мақсатымен байланысы жоқ бағдарламалық құралдарды қоюға жол берілмейді.
34. Пайдаланушының дербес компьютерінде құрамында пайдаланушылардың бірегейлендіру, түпнұсқалық құралдары бар қорғаныс кешені, компьютерге кіруге және пайдаланушылардың іс-қимылдарына байланысты қызметті бақылау мақсатында электронды құжаттарды сақтау мерзімі аралығында электронды журналдарды жүргізу мүмкіншілігі болуы тиіс.
35. Ақпараттық жүйеге кіру кезінде пайдаланушы бірегейлендіретін пайдаланушының бір жүйелі атына бір жеке тұлға сәйкес келуі тиіс.
36. Жұмыс орнының сипаттамасы - паспорт ұйым басшысының қолымен ресімделеді және жауапты тұлға, басқарушыда сақталады.
37. Пайдаланушының дербес компьютерінде бағдарламалық қамтамасыз етудің тұтастығын қамтамасыз ететін құралдар болуы тиіс.
38. Пайдаланушының дербес компьютерінің жүйелі блогы мөрмен жабылады не жауапты тұлға (басқарушы) таңбалайды. Қажет болған жағдайда жүйелі блокқа кіру жауапты тұлғаның (басқарушы) қатысуымен жүзеге асырылады. Жұмыс аяқталған кезде жүйелі блок мөрмен жабылады не жауапты тұлға (басқарушы) таңбалайды.
39. Қорғаныс жүйесін пайдалана отырып, ақпаратты ортаға жинақталып белгіленген ақпаратты жіберу, ақпараттық ортадан ақпарат алу, ақпаратты сақтау, архивтеу не басқаша өңдеу белгіленген ресурстарға кіру тәртібі бойынша (дискілік кеңістік, директориялар, желілік ресурстар, деректер базасы және басқалар) санкцияланбаған кіру мүмкіндігі болмауы тиіс.
40. Криптографиялық қорғаныс бойынша жұмысты жүргізуді және бақылауды жауапты тұлға (басқарушы) былайша атқарады:
1) криптографиялық қорғаныстың бағдарламалық құралдарын есепке алу, сақтау және қызмет жасау;
2) криптографиялық кілттерді тудыру, кілттері бар ақпаратты тасымалдағыштарды алу, есептеу, сақтау және беру;
3) криптографиялық кілттер иелерінің тізімін жүргізу;
4) криптографиялық кілттер иелерін қажетті нұсқаулармен қамтамасыз ету.
41. Қорғау жүйесінің жұмыс орны жеке үй-жайда орналасады.
42. Пайдаланушының жұмыс орны тұрған жер және күзет үй-жайының техникалық құралдары (кіруді бақылау және күзет-өрт дабылы) пайдаланушының жұмыс орнына жіберілмеген адамдардың үй-жайға бақылаусыз кіру мүмкіндігін болдырмауы тиіс.
43. Ұйымның үй-жайы күзетілетін аймақта болуы, коды бар кілті және кіруге тіркелу құралдары болуы тиіс.
Кредиттік бюро үйдің бірінші немесе соңғы қабатында орналасқан жағдайда, сондай-ақ балкондар терезелерімен, өрт баспалдақтарымен қатар болған жағдайда үй-жай терезелері металл тормен жабдықталады.
44. Ұйымның үй-жайын техникалық жағынан қорғау құралдары (кіруге бақылау) пайдаланушының жұмыс орнына жіберілмеген адамдардың үй-жайға бақылаусыз кіру мүмкіндігін болдырмауы тиіс. Ұйымда жұмысқа кіру оның регламентіне және қызметкерлердің қызметтік міндеттеріне сәйкес жүзеге асырылады.
6-тарау. Ұйым қызметінің өзге де мәселелері
45. Қорғаныс жүйесінің жұмыс тәртібі ұйымның ішкі актісімен мыналарды қоса отырып белгіленеді:
1) жауапты тұлға, басқарушы, оператор міндеті жүктелетін қызметкерлерді тағайындау тәртібі;
2) жұмыс режимі;
3) жауапты тұлға, басқарушы, операторлардың қызметтік нұсқаулықтарын қосқандағы құқықтары және міндеттері;
4) пайдаланушының жұмыс орнына жіберілген қызметкерлердің тізімі;
5) пайдаланушының жұмыс орнына ерекше жағдайларда жіберілген қызметкерлердің тізімі.
46. Жауапты тұлғалар, басқарушы, оператор:
1) ақпараттық жүйе ресурстарына кіру үшін бірегейлендіру және түпнұсқалық рәсімдерінің міндеттілігін қамтамасыз етеді;
2) рұқсат берілмеген пайдаланушылардың ақпараттық ресурстарға кіру құқығын алуына жол бермейді;
3) ақпарат жүйесі өңдеген ақпаратқа резервтік көшірме жасауды орындаудың тұрақтылығын бақылайды;
4) жүйе ресурстарының қорғалу сенімділігіне жоспарлы және жоспардан тыс тексеру жүргізеді;
5) корпоративті желінің жабдықтарын, оның ішінде арнайы желіаралық бағдарламалық құралдарын қорғауды қамтамасыз етеді;
6) қауіп төнген және тәртіп бұзу анықталған жағдайда шаралар көреді;
7) түсіріп алатын тасымалдағыштар арқылы (икемді дискілер, flash-карттар, қатты дискілердегі сыртқы жинақтаушылар және басқалар) ақпараттың жылыстауынан құралдардың жұмысқа қабілеттілігін қорғауды қамтамасыз ету;
8) оқиғалар журналын тұрақты қарайды, ақпаратқа санцияланбаған кіру жасауға тырысулар бар жазбаларға талдамалар жасайды.
47. Ұйым қызметкерлері (жауапты тұлға, басқарушы, оператор) олар қызметтік міндеттерін атқару барысында белгілі болған ақпараттарды жарияламау және таратпау туралы жазбаша міндеттеме қабылдайды.
48. Жауапты тұлға, басқарушы немесе оператор жұмыстан шыққан жағдайда ұйымның шешуші ақпараты жоспардан тыс ауысатын болғандықтан, ол туралы кредиттік бюро хабарланады. Жаңа шешуші ақпарат олар жұмыстан шыққан күннен бастап қолданысқа енеді.
49. Шешуші ақпарат сыртқы тасымалдағышта (дискет, пластикалық карточка) болуы тиіс.
50. Шешуші ақпараты бар сыртқы тасымалдағыштарды сақтау және пайдалану тәртібінде оларға санкцияланбаған кіру мүмкіндігі болмауы тиіс.
51. Ұйымның электронды хабарламасын қалыптастыру және беру кезінде қорғаныс іс-қимылдары бағдарламалық-криптографиялық қорғаныстың және электронды сандық қол қоюдың белгіленген тәртібіне сәйкес жүзеге асырылады.
52. Қорғаныс іс-қимылдары немесе оны жариялау тәртібі бұзылған жағдайда осы тәртіп бұзуды анықтаған жақ бұл туралы дереу келесі ұйымды хабардар етеді және зардаптарды жою туралы шаралар көреді.
53. Кредиттік тарихтың ақпараттық жүйесінің қатысушысының бағдарламалық қамтамасыз етуді қорғау бойынша ұйымдық-техникалық, технологиялық талаптарға, олар пайдаланып отырған осы ақпараттық жүйенің осы Нұсқаулықпен және Қазақстан Республикасының заңдарымен белгіленген шарттар мен талаптарға сәйкестігін орындауды (сақтауды) тексеруді осы Нұсқаулықтың Қосымшасына сәйкес нысанға сай акт жасаушы ақпараттандыру аясындағы уәкілетті орган комиссиясы жүзеге асырады.
Ескерту. 53-тармаққа өзгерту енгізілді - Қазақстан Республикасы Қаржы нарығын және қаржы ұйымдарын реттеу мен қадағалау агенттігі Басқармасының 2007.08.27.
N 221
(қолданысқа енгізілу тәртібін
2-тармақтан
қараңыз) Қаулысымен.
54. Осы Нұсқаулықпен реттелмейтін мәселелер Қазақстан Республикасының заңдарында белгіленген тәртіп бойынша шешіледі.
"Кредиттік тарихты қалыптастыру
және оларды пайдалану жөніндегі
ақпараттық процесті, ақпараттық жүйе
қауіпсіздігі жүйесін қалыптастырудың
негізгі шарттарын, электронды
жабдықтарға қойылатын ең төменгі
талаптарды, кредиттік тарихтың
деректер базасының және кредиттік
тарихты қалыптастыру жүйесі
қатысушыларының үй-жайларының
сақталуына қойылатын талаптарды
ұйымдастыру туралы нұсқаулыққа
қосымша
Ескерту. Қосымша жаңа редакцияда - Қазақстан Республикасы Қаржы нарығын және қаржы ұйымдарын реттеу мен қадағалау агенттігі Басқармасының 2007.08.27. N 221 (қолданысқа енгізілу тәртібін 2-тармақтан қараңыз) Қаулысымен.
Кредиттік тарихты қалыптастыру және оны пайдалану
жүйесі қатысушыларына қойылатын
талаптарға_____________________________________cәйкестілігі туралы
(қатысушының атауы)
АКТ
______________________ ____________________
жасалған орны жасалған күні
Кредиттік тарихты қалыптастыру жүйесіне қатысушының
дайындығын және ақпараттық қызмет көрсету рыногындағы өз қызметінің
басталуына оларды пайдалану және кредиттік тарихты қалыптастыру
жүйесіне қатысушылардың қызметінде ақпараттық процесті ұйымдастыру
жөніндегі талаптарды олардың орындауы, қауіпсіздік жүйесін
қалыптастыру, олардың электронды жабдықтарының барынша төмен
талаптарын орындау, кредиттік тарихтың деректер базасын және
үй-жайларды сақтау жөніндегі осы актіні комиссия мына құрамда
жасады:
уәкілетті мемлекеттік органның ақпараттандыру саласындағы
өкілдері:
____________________________________________________________________
____________________________________________________________________
____________________________________________________________________
қаржы нарығын және қаржы ұйымдарын реттеу мен қадағалау
жөніндегі мемлекеттік органның өкілдері:
____________________________________________________________________
____________________________________________________________________
____________________________________________________________________
Комиссияның жұмысына кредиттік тарихты қалыптастыру және оны
пайдалану жүйесі қатысушысының өкілдері қатысады:
____________________________________________________________________
____________________________________________________________________
____________________________________________________________________
Комиссия зерттеген объектілердің және зерделеген құжаттардың
жан-жақты сипаттамасы:
кредиттік тарихты қалыптастыру және пайдалану жүйесі
қатысушысының нақты қызметі;
үй-жайды күзету;
жұмыс орнын сипаттау (пайдаланушының бағдарламалық қамтамасыз
етуі орналасқан орны, конфигурациясы, сондай-ақ оған қондырылған
аппараттық және бағдарламалық құралдар жөніндегі жан-жақты
деректері бар паспорты бар арнайы бөлінген компьютерде қойылған);
Нұсқаулықтың 28-тармағына сәйкес физикалық қорғанысты,
ақпараттық жүйе өзінің жұмыс қабілетін жоғалтқаннан кейін резервтік
көшірме жасау және қайта қалпына келтіру мүмкіндіктерін,
Нұсқаулықтың 45-тармағының 1)-5) тармақшаларын қосқандағы ұйымның
ішкі актісімен белгіленген қорғаныс жүйесінің жұмыс тәртібін
қамтамасыз ету;
қызметте пайдаланылатын бағдарламалық өнімдердің сипаты.
____________________________________________________________________
____________________________________________________________________
____________________________________________________________________
Кредиттік тарихты қалыптастыру және оны пайдалану жүйесі
қатысушысы өкілдерінің түсіндірулерінің қысқаша мазмұны:
____________________________________________________________________
____________________________________________________________________
____________________________________________________________________
комиссияның кредиттік тарихты қалыптастыру және оны пайдалану
жүйесі қатысушысының техникалық және өзге де құжаттарын тексеруі,
кредиттік тарихты қалыптастыру және оны пайдалану жүйесінде жұмыс
істеуге арналған оның техникалық үй-жайларын,
электронды-компьютерлік жабдықтарын, байланыс жүйесін және қорғаныс
құрылғыларын және өзге де объектілерін зерттеуі кезінде
____________________________________________________________________
____________________________________________________________________
_____________ анықталды (ұсынылып отырған талаптарға
сәйкестігі/сәйкес еместігі және ақпараттық қызмет рыногында
қызметті жалғастыруды ұйымдастырудың басы
жеткілікті/жеткіліксіздігі). Кредиттік тарихты қалыптастыру және
оны пайдалану жүйесі қатысушысы комиссия актісіне қоса берілген
мынадай техникалық құжаттаманы және өзге де құжаттарды береді:
____________________________________________________________________
____________________________________________________________________
____________________________________________________________________
Акт үш данада жасалды және бір-бір данамен мыналарға
жіберілді:
Ақпараттандыру саласындағы уәкілетті органға;
қаржы нарығын және қаржы ұйымдарын реттеу мен қадағалау
жөніндегі мемлекеттік уәкілетті органға;
Кредиттік тарихты қалыптастыру және пайдалану жөніндегі
ақпарат жүйесінің қатысушысына.
Комиссия мүшелері:
____________________________________________________________________
____________________________________________________________________
____________________________________________________________________
Тексеруші ұйым өкілі:
____________________________________________________________________
____________________________________________________________________