Кредиттік бюролардың, ақпарат берушілердің және кредиттік есептерді алушылардың қызметін ұйымдастыру кезінде ақпараттық-коммуникациялық технологияларды пайдалануға және ақпараттық қауіпсіздікті қамтамасыз етуге қойылатын талаптарды, сондай-ақ Кредиттік бюролардың ақпарат берушілерге және кредиттік есептерді алушыларға қоятын талаптарын бекіту туралы

Қазақстан Республикасы Ұлттық Банкі Басқармасының 2018 жылғы 27 қыркүйектегі № 228 қаулысы. Қазақстан Республикасының Әділет министрлігінде 2018 жылғы 6 қарашада № 17702 болып тіркелді.

      Ескерту. Тақырыбы жаңа редакцияда - ҚР Қаржы нарығын реттеу және дамыту агенттігі Басқармасының 16.08.2024 № 59 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      "Қазақстан Республикасындағы кредиттік бюролар және кредиттік тарихты қалыптастыру туралы" Қазақстан Республикасының Заңы 5-бабының 6) тармақшасына сәйкес Қазақстан Республикасы Ұлттық Банкінің Басқармасы ҚАУЛЫ ЕТЕДІ:

      Ескерту. Кіріспе жаңа редакцияда - ҚР Қаржы нарығын реттеу және дамыту агенттігі Басқармасының 16.08.2024 № 59 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      1. Мыналар:

      1) осы қаулыға 1-қосымшаға сәйкес Кредиттік бюролардың, ақпарат берушілердің және кредиттік есептерді алушылардың қызметін ұйымдастыру кезінде ақпараттық-коммуникациялық технологияларды пайдалануға және ақпараттық қауіпсіздікті қамтамасыз етуге қойылатын талаптар;

      2) осы қаулыға 2-қосымшаға сәйкес Кредиттік бюролардың ақпарат берушілерге және кредиттік есептерді алушыларға қоятын талаптары бекітілсін.

      Ескерту. 1-тармақ жаңа редакцияда - ҚР Қаржы нарығын реттеу және дамыту агенттігі Басқармасының 16.08.2024 № 59 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      2. Осы қаулыға 3-қосымшаға сәйкес тізбе бойынша Қазақстан Республикасының нормативтік құқықтық актілерінің, сондай-ақ Қазақстан Республикасының кейбір нормативтік құқықтық актілерінің құрылымдық элементтерінің күші жойылды деп танылсын.

      3. Ақпараттық қауіп және киберқорғау басқармасы (Перминов Р.В.) Қазақстан Республикасының заңнамасында белгіленген тәртіппен:

      1) Заң департаментімен (Сәрсенова Н.В.) бірлесіп осы қаулыны Қазақстан Республикасының Әділет министрлігінде мемлекеттік тіркеуді;

      2) осы қаулы мемлекеттік тіркелген күннен бастап күнтізбелік он күн ішінде оны қазақ және орыс тілдерінде "Республикалық құқықтық ақпарат орталығы" шаруашылық жүргізу құқығындағы республикалық мемлекеттік кәсіпорнына ресми жариялау және Қазақстан Республикасы нормативтік құқықтық актілерінің эталондық бақылау банкіне енгізу үшін жіберуді;

      3) осы қаулыны ресми жарияланғаннан кейін Қазақстан Республикасы Ұлттық Банкінің ресми интернет-ресурсына орналастыруды;

      4) осы қаулы мемлекеттік тіркелгеннен кейін он жұмыс күні ішінде Заң департаментіне осы қаулының осы тармағының 2), 3) тармақшаларында және 4-тармағында көзделген іс-шаралардың орындалуы туралы мәліметтерді ұсынуды қамтамасыз етсін.

      4. Қаржылық қызметтерді тұтынушылардың құқықтарын қорғау және сыртқы коммуникациялар басқармасы (Терентьев А.Л.) осы қаулы мемлекеттік тіркелгеннен кейін күнтізбелік он күн ішінде оның көшірмесін мерзімді баспасөз басылымдарында ресми жариялауға жіберуді қамтамасыз етсін.

      5. Осы қаулының орындалуын бақылау Қазақстан Республикасының Ұлттық Банкі Төрағасының орынбасары О.А. Смоляковқа жүктелсін.

      6. Осы қаулы алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі.

      Ұлттық Банк
Төрағасы
Д. Ақышев

  Қазақстан Республикасы
Ұлттық Банкі Басқармасының
2018 жылғы 27 қыркүйектегі
№ 228 қаулысына
1-қосымша

Кредиттік бюролардың, ақпарат берушілердің және кредиттік есептерді алушылардың қызметін ұйымдастыру кезінде ақпараттық-коммуникациялық технологияларды пайдалануға және ақпараттық қауіпсіздікті қамтамасыз етуге қойылатын талаптар

      Ескерту. Тақырыбы жаңа редакцияда - ҚР Қаржы нарығын реттеу және дамыту агенттігі Басқармасының 16.08.2024 № 59 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

1-тарау. Жалпы ережелер

      1. Осы Кредиттік бюролардың, ақпарат берушілердің және кредиттік есептерді алушылардың қызметін ұйымдастыру кезінде ақпараттық-коммуникациялық технологияларды пайдалануға және ақпараттық қауіпсіздікті қамтамасыз етуге қойылатын талаптар "Қазақстан Республикасындағы кредиттік бюролар және кредиттік тарихты қалыптастыру туралы" Қазақстан Республикасының Заңы 5-бабының 6) тармақшасына сәйкес әзірленді және банкпен, банк операцияларының жекелеген түрлерін жүзеге асыратын ұйыммен, микроқаржылық қызметті жүзеге асыратын ұйыммен, коллекторлық агенттікпен, бас банктің күмәнді және үмітсіз активтерін сатып алатын банктің еншілес ұйымымен, екінші деңгейдегі банктердің кредиттік портфельдерінің сапасын жақсартуға маманданатын ұйыммен, микроқаржы ұйымының қамтамасыз етілген облигацияларды шығару немесе қарыздар алу кезінде микрокредит беру туралы шарт бойынша талап ету құқықтарын кепіл ұстаушы-заңды тұлғамен, секьюритилендіру мәмілесі кезінде Қазақстан Республикасының секьюритилендіру және жобалық қаржыландыру туралы заңнамасына сәйкес құрылған арнайы қаржы компаниясымен, акцияларының жүз пайызы Қазақстан Республикасының Ұлттық Банкіне тиесілі кәсіпкерлік қызметпен байланысты емес жеке тұлғалардың ипотекалық қарыздарын сатып алуды жүзеге асыратын тұлғамен, банктерде және банк операцияларының жекелеген түрлерін жүзеге асыратын ұйымдарда, микроқаржы ұйымдарында қаржыны негізделген орналастыру арқылы жеке кәсіпкерлік субъектілерін қаржыландыру жөніндегі мәміле шеңберінде жасалған банктік қарыз шарты, микрокредит беру шарты бойынша жеке кәсіпкерлікті дамытудың арнайы қорымен, өзге тұлғамен – кәсіпкерлік қызметті жүзеге асырумен байланысты жеке тұлғаның банктік қарыз шарты бойынша, микрокредит беру туралы шарт бойынша немесе ол бойынша халықаралық қаржылық есептілік стандарттарына сәйкес, оның ішінде банктік қарыз шарты бойынша, микрокредит беру туралы шарт бойынша құқықты (талапты) сатып алу немесе пайда болу (құру) сәтіне құнсыздану белгілері анықталған заңды тұлғаның банктік қарыз шарты бойынша, микрокредит беру туралы шарт бойынша құқықтарына (талаптарына) қатысты жасалған банктік қарыз шарттары және (немесе) микрокредит беру туралы шарттар бойынша құқықтарды (талаптарды) сенімгерлік басқару шеңберінде банктік қарыз шарттары және (немесе) микрокредит беру туралы шарттар бойынша банктер, банк операцияларының жекелеген түрлерін жүзеге асыратын ұйымдар, микроқаржылық қызметті жүзеге асыратын ұйымдар, құқықтарды (талаптарды) сенімгерлік басқаруды жүзеге асыратын коллекторлық агенттіктер мен сервистік компаниялардың қызметін ұйымдастыру кезінде ақпараттық-коммуникациялық технологияларды пайдалануға және ақпараттық қауіпсіздікті қамтамасыз етуге қойылатын талаптарды белгілейді.

      Ескерту. 1-тармақ жаңа редакцияда - ҚР Қаржы нарығын реттеу және дамыту агенттігі Басқармасының 16.08.2024 № 59 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      2. Талаптарда Кредиттік бюролар туралы заңда көзделген ұғымдар, сондай-ақ мынадай ұғымдар пайдаланылады:

      1) ақпарат берушілер - Кредиттік бюролар туралы заңның 18-бабы 1-тармағының 1) тармақшасында көрсетілген ақпарат берушілер;

      2) ақпараттық актив - ақпараттың және оны сақтауға және (немесе) өңдеуге пайдаланылатын ақпараттық-коммуникациялық инфрақұрылым объектісінің жиынтығы;

      3) ақпараттық-коммуникациялық инфрақұрылым (бұдан әрі - ақпараттық инфрақұрылым) - электрондық ақпараттық ресурстарды қалыптастыру және оларға қолжетімділік беру мақсатында технологиялық ортаның жұмыс істеуін қамтамасыз етуге арналған ақпараттық инфрақұрылым объектілерінің жиынтығы;

      4) ақпараттық қауіпсіздік - электрондық ақпараттық ресурстардың, ақпараттық жүйелердің және ақпараттық инфрақұрылымның сыртқы және ішкі қауіптерден қорғалу жай-күйі;

      5) ақпараттық қауіпсіздік тәуекелі - кредиттік бюроның ақпараттық активтері құпиялылығының бұзылуы, тұтастығының немесе қолжетімділігінің қасақана бұзылуы салдарынан залалдың ықтимал пайда болуы;

      6) ақпараттық қауіпсіздікті қамтамасыз ету - кредиттік бюроның ақпараттық активтерінің конфиденциалдылық, тұтастық және қолжетімділік күйін ұстап тұруға бағытталған процесс;

      7) ақпараттық қауіпсіздіктің оқыс оқиғасы - ақпараттық инфрақұрылымның немесе оның жекелеген объектілерінің жұмысында жеке немесе сериялық туындайтын, олардың тиісінше жұмыс істеуіне қауіп келтіретін іркілістер туралы ақпарат және (немесе) кредиттік бюроның электрондық ақпараттық ресурстарын заңсыз алу, көшіру, тарату, модификациялау, жою немесе бұғаттауға арналған талаптар;

      8) артықшылық берілген есептік жазба - ақпараттық жүйеде жасалу, жойылу және басқа есептік жазбаларға кіру құқықтарын өзгерту артықшылықтары бар есептік жазба;

      9) аудиторлық із - ақпараттық жүйенің функцияларын орындау нәтижесінде деректердің өзгеруінің дәлелі қамтылған жазбалардың хронологиялық реттілігі;

      10) аутенфикациялау - ақпараттық жүйеге қол жеткізу субъектісінің немесе объектісінің түпнұсқалылығын ұсынылған қолжетімділік деректемелерінің сәйкестігін анықтау арқылы растау;

      11) бизнес-процесс - сыртқы (клиент) немесе ішкі (кредиттік бюроның қызметкері, бөлімшесі, басқа бизнес-процесс) тұтынушы үшін белгілі өнімді немесе қызметті жасауға бағытталған өзара байланысты іс-шаралар немесе міндеттер жиынтығы;

      12) виртуалды орта - аппараттық іске асырудан абстракцияланған және бұл ретте бір нақты ресурста орындалатын есептеу процестерінің бір-бірінен қисынды оқшаулануын қамтамасыз ететін есептеу ресурстары немесе олардың қисынды бірігуі;

      13) деректерді өңдеу орталығы - кредиттік бюроның ақпараттық инфрақұрылымының серверлік және коммуникациялық жабдығы орналасқан, арнайы бөлінген үй-жай. Деректерді өңдеу орталығы негізгі және резервтік болып бөлінеді;

      14) жауапты тұлға - кредиттік есептерді алушының кредиттік есептерге қолжетімділігі бар қызметкері;

      15) жұмыс станциясы - кредиттік бюроның ақпараттық жүйесіне кіру үшін пайдаланылатын дербес компьютер;

      16) кредиттік бюроның ақпараттық жүйесінің бизнес-иесі - кредиттік бюроның ақпараттық жүйе автоматтандыратын негізгі бизнес-процестің иесі болып табылатын бөлімшесі (қызметкері);

      17) кредиттік есептерді алушылар - Кредиттік бюролар туралы заңның 20-бабы 1-тармағы бірінші бөлігінің 1) тармақшасында көрсетілген кредиттік есептерді алушылар;

      18) қолжетімділік - ақпараттық активтерді пайдалану мүмкіндігі;

      19) оператор - кредиттік бюроның ақпарат жүйесіне ақпараттың дұрыс енгізілуі үшін жауап беретін қызметкер;

      20) резервтік көшірме - ақпарат тасымалдағыштағы деректердің қажет болған жағдайда оларды түпнұсқада немесе жаңадан орналастырылған орнында қалпына келтіруге арналған көшірмесі;

      21) техникалық қауіпсіздікті қамтамасыз ету - техникалық құралдарды (күзет және өрт сигнализациясы, кіруді бақылау және басқару, бейнебақылау, өрт сөндіру, деректерді өңдеу орталығында температуралық режим мен ылғалдылықты бақылау жүйелерін) пайдалана отырып кредиттік бюроның қауіпсіздігін қамтамасыз ету процесі;

      22) технологиялық есептік жазба - ақпарат жүйесіндегі ақпараттық жүйелердің арасында аутенфикациялауға арналған есептік жазба;

      23) түзету шарасы - ақпараттық қауіпсіздікті қамтамасыз ету барысында болған проблеманы не оның бұзылу салдарын түзетуге бағытталған ұйымдастыру және техникалық іс-шараларының жиынтығы;

      24) уәкілетті орган - қаржы нарығын және қаржы ұйымдарын реттеу, бақылау мен қадағалау жөніндегі уәкілетті орган.

2-тарау. Ақпараттық-коммуникациялық технологияларды пайдалануға қойылатын талаптар

      3. Кредиттік бюро:

      1) ақпарат берушіден ақпарат алуды;

      2) кредиттік тарихтардың дерекқорын қалыптастыруды;

      3) кредиттік есептерді қалыптастыруды, беруді және сақтауды;

      4) кредиттік бюроның ақпараттық жүйесін пайдаланушыларды сәйкестендіруді және аутентификациялауды;

      5) кредиттік бюроның ақпараттық жүйесінің аудиторлық ізін жүргізуді автоматтандыруды қамтамасыз ететін ақпараттық жүйені (бұдан әрі - кредиттік бюроның ақпараттық жүйесі) әзірлеуді жүзеге асырады.

      4. Кредиттік бюроның ақпараттық жүйесі мынадай талаптарға сәйкес келеді:

      1) техникалық тапсырма негізінде және кредиттік бюроның әзірлеу, өзгерістер енгізу, тестілеу, өнеркәсіптік пайдалануға қабылдау және енгізу, сондай-ақ барлық кезеңді құжаттандыру кезеңі мен тәртібін реттейтін ішкі құжаттарына сәйкес әзірлеуді, енгізуді және оған қызмет көрсетуді (немесе дайын өнімді бейімдеуді) жүзеге асыру;

      2) кредиттік бюроның ақпараттық жүйесін пайдаланушылардың қолжетімділік құқықтарының аражігін ажыратуды қамтамасыз ету;

      3) кредиттік бюроның ақпараттық жүйесінің есептік жазбаларын басқаруды қамтамасыз ету;

      4) кредиттік бюроның ақпараттық жүйесінің қорғалатын деректерінің ақпараттық қауіпсіздігін қамтамасыз ету.

      5. Кредиттік бюро кредиттік бюроның ақпараттық жүйесінің болуын және әзірлеу, тестілеу және өнеркәсіптік пайдалану орталарынан осы орталардың кез келгеніндегі кредиттік бюроның ақпараттық жүйесіне енгізілген өзгерістердің басқа ортада орналасқан кредиттік бюроның ақпараттық жүйесіне әсер етпейтіндей бөлуді қамтамасыз етеді. Кредиттік бюроның ақпараттық жүйесін әзірлеу және пысықтау өнеркәсіптік пайдалану ортасында жүзеге асырылмайды.

      6. Бағдарламалық қамтамасыз етуді әзірлеуді жүзеге асыратын тысқары ұйымдардың және ақпараттық технологиялар бөлімшесі қызметкерлерінің кредиттік бюро ақпараттық жүйесінің өзгерістерін өнеркәсіптік ортаға ауыстыру өкілеттіктері, сондай-ақ өнеркәсіптік ортадағы кредиттік бюроның ақпараттық жүйелеріне әкімшілік кіруге рұқсаты жоқ.

      7. Кредиттік бюроның ақпараттық жүйесін өнеркәсіптік пайдалануға енгізудің алдында онда қалыпты жағдай бойынша орнатылған қауіпсіздік теңшеулері кредиттік бюроның ішкі құжаттарында белгіленген ақпараттық қауіпсіздікке қойылатын талаптарына сәйкес келетін теңшеулерге өзгертіледі. Көрсетілген теңшеулер тестілеу кезінде пайдаланылатын парольдерге ауыстыруды, сондай-ақ барлық тестілік есептік жазбаларды алып тастауды қамтуға тиіс.

      8. Кредиттік бюроның ақпарат жүйесінің шығыс кодтары (бар болса) және орындалатын модульдер бағдарламалық қамтамасыз етудің сақталатын қоймасында сақталады, ол оларды қалпына келтіру үшін жарамды түрде жүргізіледі.

      9. Кредиттік бюроның ақпараттық жүйесі аудиторлық із жүргізуді қамтамасыз етеді, ол мыналарды қамтиды:

      1) жалғанымдарды орнату, сәйкестендіру, бірегейлендіру және авторизациялау оқиғасы (сәтті немесе сәтсіз);

      2) сақталатын деректерді өзгерту оқиғасы;

      3) қауіпсіздікті іске қосуды түрлендіру оқиғасы;

      4) пайдаланушылардың топтарын және олардың өкілеттіктерін түрлендіру оқиғасы;

      5) пайдаланушылардың есептік жазбаларын және олардың өкілеттіктерін түрлендіру оқиғасы;

      6) ақпараттық жүйедегі жаңартуларды және (немесе) өзгерістерді орнатуды көрсететін оқиғалар;

      7) аудиторлық ізді жүргізу өлшемдерінің өзгеру оқиғасы;

      8) жүйелік өлшемдердің өзгерістер оқиғасы.

      10. Аудиторлық із форматы мынадай ақпаратты қамтиды:

      1) іс-қимыл жасайтын пайдаланушының сәйкестендіргіші (логині);

      2) іс-қимыл жасау күні және уақыты;

      3) іс-қимыл жүргізілген объектілердің атауы;

      4) ақпараттық жүйені басқарушының немесе түпкі пайдаланушының жасаған іс-қимылының түрі және атауы;

      5) іс-қимылдың нәтижесі (сәтті немесе сәтсіз).

      11. Аудиторлық ізді сақтау мерзімі жедел кіру бойынша кемінде 3 (үш) айды және архивтік кіру бойынша кемінде 1 (бір) жылды құрайды. Аудиторлық ізді оқиғаларды сақтаудың, өңдеудің және талдаудың мамандандырылған ақпараттық жүйесінде сақтауға рұқсат беріледі.

      12. Кредиттік ұйым аудиторлық іздің ұйымдастыру, сол сияқты техникалық деңгейдегі тұрақтылығын қамтамасыз етеді. Ақпараттық жүйелердің басқарушыларына аудиторлық із журналдарын архивке ауыстыруға ғана кіруге рұқсат беріледі.

      13. Кредиттік бюроның деректерін өңдеу орталығы мынадай талаптарға сәйкес келеді:

      1) электрмен үздіксіз жабдықтау жүйесі электр желілерінің екі немесе одан астам тәуелсіз қосылғыштармен, сондай-ақ кемінде жиырма төрт сағаттың ішінде автономдық электрмен жабдықтауды қамтамасыз ететін қуат көзінің автоматты түрде қосылатын резервтік құрылғылармен қамтамасыз етіледі;

      2) ғимаратқа, негізінен деректер өңдеу орталығына түрлі жолдармен жүргізілген телекоммуникациялық қызмет көрсетудің тәуелсіз провайдерлерінен деректер берудің екі немесе одан астам арнасының, сондай-ақ деректер өңдеудің резервтік орталығында кемінде екі байланыс арнасының болуы. Байланыс арналарының өткізу қабілеті ақпарат ұсыну туралы шарттардың және кредиттік есептер алу туралы шарттардың талаптарына сәйкес қызмет көрсетуді қамтамасыз етуге тиіс.

      14. Кредиттік бюро кредиттік бюроның ақпараттық жүйесінің тұрақты жұмыс істеуін қамтамасыз ету мақсатында мынадай талаптарды сақтайды:

      1) кредиттік бюроның ақпараттық жүйесі оның негізгі сервистерінің жұмыс істеуін үзбей профилактикалық жұмыстар жүргізу мүмкіндігін қамтамасыз ететін серверлік жүйеде жұмыс істейді. Аппараттық қуат көздерін виртуализациялау технологияларын пайдалану кезінде виртуалды негізгі және резервтік серверлер жеке нақты серверлерге орналастырылуға тиіс;

      2) кредиттік бюроның деректерін өңдеудің резервтік орталығы кредиттік бюродан тыс орналасады және кредиттік бюроның ақпараттық жүйесінің жұмысын негізгі деректер өңдеу орталығының жұмысы тоқтатылған сәттен бастап он екі сағаттан аспайтын мерзімде қалпына келтіруді қамтамасыз етеді.

      15. Ақпарат беруші кредиттік бюроның ақпараттық жүйесіне қосылу кезінде:

      1) ақпарат ұсыну туралы шартта көрсетілген кредиттік бюроның талаптарына сәйкес келетін;

      2) вирусқа қарсы өзекті базалары бар лицензиялық вирусқа қарсы бағдарламалық қамтамасыз етумен қорғалған жұмыс станциясын пайдаланады.

      16. Кредиттік есептерді алушы кредиттік бюроның ақпараттық жүйесіне қосылу кезінде:

      1) кредиттік бюроның ақпараттық жүйесіне қосылу үшін пайдаланатын бір немесе бірнеше жұмыс станциясының болуын қамтамасыз етеді;

      2) жұмыс станцияларын вирусқа қарсы өзекті базалары бар лицензиялық вирусқа қарсы бағдарламалық қамтамасыз етумен қорғауды қамтамасыз етеді.

      17. Ақпарат берушінің ақпаратты кредиттік бюроға беру және кредиттік бюроның кредиттік есептерді кредиттік есептерді алушыға беру процестері автоматтандырылған жағдайда, Талаптардың 15 және 16-тармақтарының талаптары ақпарат берушілерге және кредиттік есептерді алушыларға қолданылмайды.

3-тарау. Кредиттік бюролардың қызметін ұйымдастыру кезінде ақпараттық қауіпсіздікті қамтамасыз етуге қойылатын талаптар

1-параграф. Ақпараттық қауіпсіздікті басқару жүйесін ұйымдастыруға қойылатын талаптар

      18. Кредиттік бюро қорғалған ақпаратты алу, сақтау және өңдеу кезінде, сондай-ақ кредиттік есептерді дайындау және беру кезінде оның ақпараттық қауіпсіздігін қамтамасыз етеді.

      19. Кредиттік бюро ақпараттық қауіпсіздікті қамтамасыз ету процесін басқаруға арналған кредиттік бюроны басқарудың жалпы жүйесінің бір бөлігі болып табылатын ақпараттық қауіпсіздікті басқару жүйесінің құрылуын және жұмыс істеуін қамтамасыз етеді.

      20. Ақпараттық қауіпсіздікті басқару жүйесі кредиттік бюроның бизнес-процестері үшін әлеуеттік зиянның ең төменгі деңгейіне жол беретін кредиттік бюроның ақпараттық активтерін қорғауды қамтамасыз етеді.

      21. Кредиттік бюро ақпараттық қауіпсіздікті басқару жүйесінің тиісті деңгейін, оны дамыту мен жақсартуды қамтамасыз ету мақсатында мыналар айқындалатын ішкі құжаттардың болуын қамтамасыз етеді:

      1) мыналар қамтылатын ақпараттық қауіпсіздік саясаты:

      ақпараттық қауіпсіздікті басқару жүйесін құру мақсаттары, міндеттері және негізгі қағидаттары;

      ақпараттық қауіпсіздікті басқару жүйесінің қолданылу саласы;

      ақпараттық қауіпсіздікті басқару жүйесі шеңберіндегі жауапкершілік;

      ақпараттық қауіпсіздік саясатының қолжетімділігін тарату және қамтамасыз ету;

      ақпараттық қауіпсіздік саясатын қайта қарауға қойылатын талаптар;

      2) мыналар қамтылатын ақпараттық активтерді басқару қағидалары:

      конфиденциалдылық деңгейін көрсете отырып ақпаратқа негізгі талаптарды айқындау;

      активтерді таңбалау және паспортизациялау бойынша талаптар;

      конфиденциалдылық деңгейін ескере отырып ақпарат айналысының тәртібі;

      3) мыналар қамтылатын резервтік көшіру (мұрағаттау) тәртібі:

      резервтік және архивтік көшіру талаптары;

      резервтік көшірмелерді тестілеу тәртібі;

      4) мыналар қамтылатын ақпараттық қауіпсіздік тәуекелдерін бағалау және басқару әдістемесі:

      ақпараттық қауіпсіздік тәуекелдерін бағалау және өңдеу процесі;

      ақпараттық қауіпсіздік тәуекелдерінің құптауға болатын өлшемшарттары;

      ақпараттық қауіпсіздік тәуекелдерін өңдеу жоспары;

      ақпараттық қауіпсіздік тәуекелдерін бағалау және өңдеу туралы есеп;

      5) мыналар қамтылатын ақпараттық жүйе пайдаланушыларының (ақпараттық жүйелердің операторлары, басқарушылары) қолжетімділігі мен міндеттерін шектеу бойынша рәсімдер:

      еңбек шартының қолданылуы аяқталғаннан кейін конфиденциалды ақпаратты жария етпеу туралы талаптарды қамтитын функционалдық міндеттерін тоқтату немесе өзгерту тәртібі;

      оқыту және хабардар болуды арттыру тәртібі;

      ақпаратқа, ақпараттық жүйелерге, желілерге, сервистерге, жабдыққа және үй-жайларға қолжетімділікті бақылау тәртібі;

      қолжетімділік құқықтарын жүйелі түрде қайта қарау талаптары;

      пайдаланушылық және артықшылық берілген қолжетімділік құқықтарын басқаруға талаптар;

      қолжетімділік құқықтарын ұсынуды, өзгертуді, жоюды техникалық тұрғыдан іске асыру тәртібі;

      6) мыналар қамтылатын кредиттік бюроның ақпараттық жүйесімен жұмыс істеу тәртібі:

      кредиттік бюроның ақпараттық жүйесінің өзгерістерін әзірлеу және басқару рәсімдері;

      кредиттік бюроның ақпараттық жүйесінің операторлары мен басқарушыларының құқықтары мен міндеттері;

      7) мыналар қамтылатын ақпараттық қауіпсіздіктің оқыс оқиғаларын басқару рәсімдері:

      оқыс оқиғаларды жіктеу, хабарлауға жататын адамдары көрсете отырып, оқыс оқиғалар туралы хабарлау тәртібі;

      оқыс оқиғаларға ден қою және өңдеу тәртібі;

      ақпараттық активтерді зиянды бағдарламалық қамтамасыз етуден қорғау қағидалары.

      22. Кредиттік ұйымның ақпараттық қауіпсіздікті басқару жүйесінің қатысушылары мыналар болып табылады:

      1) басқару органы;

      2) атқарушы орган;

      3) ақпараттық қауіпсіздікті қамтамасыз ету міндеттері бойынша шешімдер қабылдауға уәкілетті алқалы орган (бұдан әрі - алқалы орган);

      4) тәуекелдерді басқару бөлімшесі;

      5) ақпараттық қауіпсіздік бөлімшесі;

      6) ақпараттық технологиялар бөлімшесі;

      7) қауіпсіздік бөлімшесі;

      8) қызметкерлермен жұмыс жүргізу бөлімшесі;

      9) заң бөлімшесі;

      10) өзге бөлімшелер.

      Осы тармақтың 4), 5), 6), 7), 8) және 9) тармақшаларында көрсетілген бөлімшелердің функцияларын функционалдық міндеттеріне сәйкес жауапты қызметкерлердің жүзеге асыруына рұқсат етіледі.

      23. Кредиттік бюро ақпараттық қауіпсіздікті басқару жүйесін құру және оның жұмыс істеуі кезінде ақпараттық қауіпсіздік бөлімшесінің және ақпараттық технологиялар бөлімшесінің тәуелсіздігін оларды кредиттік бюроның атқарушы органының әртүрлі мүшелеріне немесе кредиттік бюроның атқарушы органының басшысына тікелей бағынуы арқылы қамтамасыз етеді.

      24. Кредиттік бюроның басқару органы ақпараттық қауіпсіздік саясатын бекітеді.

      25. Кредиттік бюроның басқару органы қорғалатын ақпараттың тізбесін, оның ішінде қызметтік, коммерциялық немесе өзге де заңмен қорғалатын құпия болып табылатын мәліметтер туралы ақпаратты (бұдан әрі - қорғалатын ақпарат) қамтитын тізбені және қорғалатын ақпаратпен жұмыс тәртібін бекітеді.

      26. Кредиттік бюроның атқарушы органы ақпараттық қауіпсіздікті басқару процесін регламенттейтін, қайта қарау тәртібі мен кезеңділігі кредиттік бюроның ішкі құжаттарында айқындалатын ішкі құжаттарды бекітеді.

      27. Кредитік бюро алқалы органды құрады, оның құрамына ақпараттық қауіпсіздік бөлімшесінің, тәуекелдерді басқару бөлімшесінің, ақпараттық технологиялар бөлімшесінің өкілдері, сондай-ақ қажет болған кезде кредиттік бюроның басқа бөлімшелерінің өкілдері кіреді. Кредиттік бюроның атқарушы органының басшысы не кредиттік бюроның атқарушы органының ақпараттық қауіпсіздік бөлімшесінің қызметіне жетекшілік ететін мүшесі алқалы органның басшысы болып тағайындалады.

      28. Тәуекелдерді басқару бөлімшесі ақпараттық қауіпсіздік тәуекелдерін басқару процесін ұйымдастыру және үйлестіру үшін жауап береді және мынадай функцияларды жүзеге асырады:

      1) ақпараттық қауіпсіздік тәуекелдерін басқару жүйесін әзірлеу, енгізу және тұрықты дамыту;

      2) ақпараттық қауіпсіздік тәуекелдерін басқару бойынша рәсімдерді әзірлеу;

      3) ақпараттық қауіпсіздік саласындағы процестерді талдау;

      4) ақпараттық қауіпсіздік тәуекелдерінің мониторингі және бағалау.

      29. Ақпараттық қауіпсіздік бөлімшесі кредиттік бюро ақпаратының конфиденциалдылығын, тұтастығын және қолжетімділігін қамтамасыз ету мақсатында мынадай функцияларды жүзеге асырады:

      1) ақпараттық қауіпсіздікті басқару жүйесін құрады, кредиттік бюро бөлімшелерінің ақпараттық қауіпсіздікті және қауіптерді анықтау және талдау, шабуылдарға қарсы іс-қимыл жасау және ақпараттық қауіпсіздіктің оқыс оқиғаларын тергеу жөніндегі іс-шараларды қамтамасыз ету бойынша қызметін үйлестіруді және бақылауды жүзеге асырады;

      2) кредиттік бюроның ақпараттық қауіпсіздік саясатын әзірлейді;

      3) кредиттік бюроның ақпараттық қауіпсіздігін қамтамасыз ету процесін әдіснамалық қолдауды қамтамасыз етеді;

      4) өз құзыреті шегінде кредиттік бюроның ақпараттық қауіпсіздігін басқарудың, қамтамасыз етудің және бақылаудың әдістерін, құралдарын және тетіктерін таңдауды, енгізуді және қолдануды жүзеге асырады;

      5) ақпараттық қауіпсіздіктің оқыс оқиғалары туралы ақпаратты жинауды, шоғырландыруды, сақтауды және өңдеуді жүзеге асырады;

      6) ақпараттық қауіпсіздіктің оқыс оқиғалары туралы ақпаратты талдауды жүзеге асырады;

      7) алқалы органның ақпараттық қауіпсіздік жөніндегі мәселелер бойынша шешім қабылдауы үшін ұсыныстар дайындайды;

      8) кредиттік бюроның ақпараттық қауіпсіздігін қамтамасыз ету процесін автоматтандыратын бағдарламалық-техникалық құралдарын енгізуді және олардың тиісінше жұмыс істеуін, сондай-ақ оларға кіруді қамтамасыз етеді;

      9) артықшылық берілген есептік жазбаларды пайдалану бойынша шектеулерді айқындайды;

      10) кредиттік бюро қызметкерлерінің ақпараттық қауіпсіздік мәселелері жөнінде хабардар болуын қамтамасыз ету бойынша іс-шараларды ұйымдастырады және жүргізеді;

      11) кредиттік бюроның ақпараттық қауіпсіздікті басқару жүйесінің жай-күйінің мониторингін жүзеге асырады;

      12) кредиттік бюроның ақпараттық қауіпсіздікті басқару жүйесінің жай-күйі туралы кредиттік бюроның басшылығын хабардар етуді жүзеге асырады.

      30. Кредиттік бюроның ақпараттық технологиялар бөлімшесі кредиттік бюроның мыналарды:

      1) элементтерінің нақты орналасқан жерін көрсете отырып, ақпараттық инфрақұрылымының жалпы схемасын;

      2) ақпараттық инфрақұрылым тораптарының (телекоммуникациялық құрылғылардың, серверлердің және онда орналасқан операциялық жүйелердің, дерекқорларды басқару жүйелерінің және ақпараттық жүйені пайдаланушының қолданбалы бағдарламалық қамтамасыз етуінің) жауапты әкімшілерінің тізбесін айқындайтын ішкі құжаттарын әзірлейді.

      31. Кредиттік бюро ақпараттық қауіпсіздік бөлімшесіне техникалық қауіпсіздікті қамтамасыз ету бойынша функцияларды жүктеу мүмкіндігін айқындайды. Ақпараттық қауіпсіздік бөлімшесі олардың негізгі функцияларымен мүдделер қақтығысына әкелетін функцияларды жүзеге асырмайды.

      32. Кредиттік бюро ақпараттық қауіпсіздік бөлімшесінің мынадай функцияларын басқа бөлімшелерге:

      1) кредиттік бюроның ақпараттық қауіпсіздікті қамтамасыз ету процесін автоматтандыратын бағдарламалық-техникалық құралдарын енгізуді және беруді - ақпараттық технологиялар жөніндегі бөлімшеге;

      2) кредиттік бюро қызметкерлерінің ақпараттық қауіпсіздік мәселелері жөнінде хабардар болуын қамтамасыз ету бойынша іс-шараларды ұйымдастыруды және жүргізуді - қызметкерлермен жұмыс жүргізу бөлімшесіне;

      3) ақпараттық қауіпсіздік жай-күйінің бұзылуына байланысты оқиғаларды және оқыс оқиғаларды есепке алуды және өңдеуді - қауіпсіздік бөлімшесіне немесе ақпараттық технологиялар бөлімшесіне тәуелді емес, жеке бөлінген оқыс оқиғаларды өңдеу бөлімшесіне беру мүмкіндігін айқындайды.

      33. Ақпараттық технологиялар бөлімшесі мынадай функцияларды жүзеге асырады:

      1) кредиттік бюроның ақпараттық инфрақұрылымының схемаларын әзірлейді;

      2) пайдаланушыларға кредиттік бюроның ақпараттық активтеріне кіруіне рұқсатын беруді қамтамасыз етеді;

      3) кредиттік бюроның жүйелік және қолданбалы бағдарламалық қамтамасыз етуін қонфигурациялауды қамтамасыз етеді;

      4) ақпараттық инфрақұрылымның үзіліссіз жұмыс істеуі, кредиттік бюроның ақпараттық жүйелері деректерінің құпиялылығы, тұтастығы және қолжетімділігі (ақпаратты резервтеуді және (немесе) мұрағаттауды және резервтік көшіруді қоса алғанда) бойынша белгіленген талаптардың орындалуын қамтамасыз етеді;

      5) ақпараттық жүйелерді таңдау, енгізу, әзірлеу және тестілеуден өткізу кезінде ақпараттық қауіпсіздік талаптарының сақталуын қамтамасыз етеді.

      34. Қауіпсіздік бөлімшесі мынадай функцияларды жүзеге асырады:

      1) кредиттік бюрода жеке қауіпсіздік пен техникалық қауіпсіздік шараларын іске асырады, оның ішінде өткізу және объектішілік режимді ұйымдастырады;

      2) кредиттік бюроның қызметкерлерін жұмысқа қабылдаған және жұмыстан босатқан кезде ақпараттық қауіпсіздік қауіптерінің туындауы тәуекелдерін барынша азайтуға бағытталған алдын алу іс-шараларын жүргізеді.

      35. Қызметкерлермен жұмыс жүргізу бөлімшесі мынадай функцияларды жүзеге асырады:

      1) кредиттік бюро қызметкерлерінің, сондай-ақ қызмет көрсету туралы шарт бойынша жұмысқа тартылған адамдардың, стажерлардың, практиканттардың ақпаратты жария етпеу туралы міндеттемелерге қол қоюын қамтамасыз етеді;

      2) кредиттік бюро қызметкерлерінің ақпараттық қауіпсіздік саласында хабардар болуын арттыру процесін ұйымдастыруға қатысады.

      36. Кредиттік бюроның құрылымдық бөлімшелерінің басшылары:

      1) қызметкерлердің кредиттік бюроның ақпараттық қауіпсіздікке қойылатын талаптарды (бұдан әрі – ақпараттық қауіпсіздікке қойылатын талаптар) қамтитын ішкі құжаттарымен танысуын қамтамасыз етеді;

      2) олар басқаратын бөлімшелерде ақпараттық қауіпсіздікті қамтамасыз етуге дербес жауапкершілік атқарады.

      3) кредиттік бюро бөлімшесі келісімдерді, шарттарды жасасуға бастамашы болған жағдайларда конфиденциалды ақпаратты жария етпеу туралы келісімдер жасасуды және ақпараттық қауіпсіздікті қамтамасыз ету туралы талаптарды осындай келісімдерге, қызметтер көрсетуге/жұмыстарды орындауға арналған шарттарға енгізуді қамтамасыз етеді.

      Ескерту. 37-тармақ жаңа редакцияда - ҚР Қаржы нарығын реттеу және дамыту агенттігі Басқармасының 16.08.2024 № 59 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      38. Кредиттік бюро өнімдерді және қызметтерді құру, ендіру, модификациялау, клиенттерге беру кезінде ақпараттық қауіпсіздік талаптарының сақталуы үшін жауап беретін кредиттік бюроның ақпараттық жүйесінің бизнес иесін айқындайды.

      39. Кредиттік бюроның құрылымдық бөлімшелерінің қызметкерлері:

      1) кредиттік бюрода қабылданған ақпараттық қауіпсіздікке қойылатын талаптардың орындалуы үшін жауап береді;

      2) өздерінің функционалдық міндеттері шеңберінде өздері өзара іс-әрекет жасайтын үшінші тұлғалардың ақпараттық қауіпсіздік талаптарын орындауын, оның ішінде аталған талаптарды үшінші тұлғалармен жасалған шарттарға енгізу арқылы бақылайды;

      3) өзінің тікелей басшысына және ақпараттық қауіпсіздік бөлімшесіне ақпараттық активтермен жұмыс істеу кезіндегі барлық күдікті жағдайлар мен бұзушылықтар туралы хабарлайды.

2-параграф. Ақпараттық активтерге қолжетімділікті ұйымдастыруға қойылатын талаптар

      40. Қызметкерлерге ақпаратқа қолжетімділік олардың функционалдық міндеттерін орындау үшін қажетті көлемде беріледі.

      40-1. Үшінші тұлғалардың кредиттік бюросының ақпараттық активтеріне қолжетімділік Қазақстан Республикасының заңнамасында көзделген жағдайларды қоспағанда, ақпараттық қауіпсіздікке қойылатын талаптарды сақтау туралы талаптарды қамтитын келісім, шарт негізінде жүргізілетін жұмыстар айқындайтын кезеңге және көлемде беріледі. Ақпарат берушімен, кредиттік есептерді алушымен, үшінші тұлғалармен жасалатын келісімдерде, шарттарда конфиденциалдылық туралы ережелер, ақпараттық қауіпсіздіктің бұзылуы, сондай-ақ ақпараттық жүйелердің жұмысындағы іркілістер және кредиттік бюроның, ақпарат берушінің, кредиттік есептерді алушының, үшінші тұлғалардың әрекетінен немесе әрекетсіздігінен туындаған олардың қауіпсіздігінің бұзылуы салдарынан туындаған залалды өтеу туралы талаптар қамтылады.

      Ескерту. Қағидалар 40-1-тармақпен толықтырылды - ҚР Қаржы нарығын реттеу және дамыту агенттігі Басқармасының 16.08.2024 № 59 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      41. Кредиттік бюроның ақпараттық жүйесіне қолжетімділік пайдаланушыларды сәйкестендіруден және аутенфикациялаудан кейін жүзеге асырылады.

      42. Кредиттік бюроның ақпарат жүйесінің пайдаланушыларын сәйкестендіру және аутенфикациялау мынадай тәсілдерініңің бірі:

      1) "есептік жазба (сәйкестендіруші) - пароль" деген жұпты енгізу және екі факторлық бірегейлендіру тәсілдерін қолдану арқылы;

      2) биометриялық және (немесе) криптографиялық және (немесе) аппараттық аутенфикациялау тәсілдерін пайдалану арқылы жүргізіледі.

      43. Кредиттік бюроның ақпараттық жүйесінде пайдаланушылардың дербестендірілген есептік жазбалары ғана пайдаланылады.

      44. Технологиялық есептік жазбаларды пайдалануға ақпараттық қауіпсіздік бөлімшесі басшысының келісімімен ақпараттық технологиялар бөлімшесінің басшысы бекітетін, оларды пайдалануға және оның жаңартылуына дербес жауап беретін адамдарды көрсете отырып, әрбір ақпараттық жүйе үшін осындай есептік жазбалардың тізбесіне сәйкес жол беріледі.

      45. Кредитік бюроның ақпараттық жүйесінде кредиттік бюроның ішкі құжатында айқындалатын есептік жазбаларды және парольдерді басқару, сондай-ақ пайдаланушылардың есептік жазбаларын оқшаулау бойынша функциялар қолданылады.

      46. Кредиттік бюроның ақпараттық активтеріне нақты кіруді ұсыну кредитік бюроның ішкі құжаттарына сәйкес жүзеге асырылады.

3-параграф. Кредиттік бюроның ақпараттық жүйесінің ақпараттық қауіпсіздігін қамтамасыз етуге қойылатын талаптар

      47. Кредиттік бюроның ақпараттық жүйесінің ақпараттық қауіпсіздігі мыналар арқылы қамтамасыз етіледі:

      1) ақпаратты өңдеу, сақтау және беру кезінде қорғау;

      2) деректерді кредиттік бюроның тарабында резервтеу;

      3) кредиттік бюроның ақпараттық жүйесін жабдықтың іркілістері мен істен шығуынан кейін қалпына келтіру рәсімдерінің болуы;

      4) кредиттік бюро мен ақпаратты беруші және (немесе) кредиттік есептерді алушылар арасында криптографиялық қорғау трафигінің орнатылуы.

      48. Кредиттік бюро кредиттік бюроның ішкі құжаттарында белгіленген тәртіпте ақпараттық инфрақұрылымның вирусқа қарсы қорғанысын қамтамасыз етеді.

      49. Ақпараттық технологиялар бөлімшесі ақпараттық қауіпсіздік бөлімшесімен келісім бойынша ақпараттық жүйелерге өзгерістер енгізу тәртібін айқындайды.

      50. Маңызды ақауларды жоятын ақпараттық жүйелердің қауіпсіздігін жаңартулар ақпараттық қауіпсіздік бөлімшесімен келісілген жағдайларды есептемегенде, өндіруші жариялаған және таратқан күннен бастап бір айдан кешіктірмей орнатылады.

      51. Кредиттік бюроның ақпараттық жүйесін жаңартулар өнеркәсіптік ортаға орнатылғанға дейін тестілеу ортасында сынақтардан өтеді.

      52. Кредиттік бюро кредиттік бюроның ақпараттық жүйесінің деректерін, оның жұмысқа қабілетті көшірмелерін қалыпқа келтіруді қамтамасыз ететін оның файлдары мен теңшеулерін резервтік сақтауды қамтамасыз етеді.

      53. Ақпараттың резервтік көшірмесін жасау, сақтау, қалпына келтіру тәртібі мен кезеңділігі, резервтік көшірмелерден кредиттік бюроның ақпараттық жүйесінің жұмысқа қабілеттілігін қалпына келуін тестілеу кезеңділігі кредиттік бюроның ішкі құжаттарында айқындалады.

4-параграф. Кредиттік бюроның жұмыс станцияларының қорғалуын қамтамасыз ету процесіне қойылатын талаптар

      54. Кредиттік бюро кредиттік бюроның ақпараттық жүйесімен жұмыс істеу үшін қолдануға рұқсат етілген бағдарламалық қамтамасыз ету мен жабдықтардың тізбесін айқындайды.

      55. Жұмыс станцияларына кредиттік бюро қызметкерлерінің функционалдық міндеттерін орындауға арналмаған бағдарламалық қамтамасыз ету орнатылмайды.

      56. Кредиттік бюроның ішкі құжаттарында жұмыс станцияларының, сондай-ақ ақпарат тасымалдағыштар мен кредиттік бюроның ақпараттық жүйесімен жұмыс істеу үшін қолданылатын желілік ресурстардың қорғалуын қамтамасыз ететін ұйымдастыру және техникалық шаралар айқындалады.

      57. Кредиттік бюро пайдаланушыларға бағдарламалық қамтамасыз етуді, жұмыс станцияларын және перифериялық жабдықтарды өз бетінше орнатуға және теңшеуге тыйым салатын ұйымдастыру және техникалық шараларды айқындайды және енгізеді.

      58. Кредиттік бюроның пайдаланушыларына жергілікті әкімшінің құқықтары немесе оларға ұқсас құқықтар осындай құқықтар пайдаланушы орындайтын функцияларды автоматтандыратын бағдарламалық қамтамасыз етудің жұмыс істеуі үшін қажет болған жағдайларды қоспағанда, берілмейдi.

      59. Қызметтік міндеттерін орындау үшін қажетті болған жағдайларда пайдаланушылардың жеке топтарына бағдарлалық қамтамасыз ету мен жабдықты өз бетінше орнату және теңшеу құқығы беріледі. Пайдаланушылардың көрсетілген топтарына жергілікті әкімші құқықтары немесе оған ұқсас құқықтар беріледі.

      60. Талаптардың 58 және 59-тармақтарында көрсетілген пайдаланушылардың тізбесін ақпараттық қауіпсіздік бөлімшесімен келісім бойынша ақпараттық технологиялар бөлімшесінің басшысы қалыптастырады, жаңартады және бекітеді. Пайдаланушыларға Талаптардың 58 және 59-тармақтарына сәйкес қосымша құқықтар берілген жағдайда ақпараттық қауіпсіздік бөлімшесі олардың қолданылуына бақылауды жүзеге асырады.

5-параграф. Кредиттік бюроның деректерді өңдеу орталығының заттай қауіпсіздігін қамтамасыз ету процесіне қойылатын талаптар

      61. Деректерді өңдеу орталығының заттай қауіпсіздігін қамтамасыз ету тәртібі ішкі құжатпен айқындалады.

      62. Деректерді өңдеу орталығы мынадай техникалық қауіпсіздік жүйелерімен жарақталады:

      1) қолжетімділікті бақылау және басқару жүйесі;

      2) күзет сигнализациясы;

      3) өрт сигнализациясы;

      4) автоматты түрде өрт өшіру жүйесі;

      5) температура мен ылғалдылықтың берілген өлшемдерін қолдау жүйесі;

      6) бейнебақылау жүйесі;

      7) үздіксіз электр қуаты көзінің жүйесі.

      63. Деректерді өңдеу орталығына қолжетімділік тізбесін ақпараттық қауіпсіздік бөлімшесімен келісім бойынша ақпараттық технологиялар бөлімшесінің басшысы бекітетін кредиттік бюро қызметкерлеріне беріледі.

      64. Кредиттік бюро деректерді өңдеу орталығына қолжетімділікті бақылау және басқару журналын жүргізеді, ол кемінде 1 (бір) жыл сақталады.

      65. Деректерді өңдеу орталығының автоматты түрде өрт өшіру жүйесі үй-жайдың бүкіл аумағы бойынша өртті жоюды қамтамасыз етеді және оның резервтік қоры болады.

      66. Деректерді өңдеу орталығының бейнебақылау жүйесі деректерді өңдеу орталығына кіру орындарын бақылауды қамтамасыз етеді. Деректерді өңдеу орталығында бейнекамераларды орналастырып орнату деректерді өңдеу орталығының үй-жайының ішінде және оның берісінде бейнебақылаумен қамтылмаған аймақтардың болуын болдырмайды.

      67. Деректерді өңдеу орталығының бейнебақылау жүйесінің оқиғаларды жазуы толассыз немесе қозғалыс детекторын қолданумен жүргізіледі.

      68. Деректерді өңдеу орталығының бейнебақылау жүйесінің мұрағаты кемінде 3 (үш) ай сақталады.

      69. Деректерді өңдеу орталығынан тыс орналасқан серверлерге және іс-әрекеттегі желілік жабдықтарға рұқсатсыз заттай қолжетімділіктің алдын алу мақсаттарында олардың қауіпсіздігін қамтамасыз ету бойынша шаралар белгіленеді және іске асырылады.

6-параграф. Кредиттік бюродағы ақпараттық қауіпсіздіктің оқыс оқиғалар жөніндегі ақпараттың мониторингі мен өңдеу тәртібіне қойылатын талаптар

      70. Ақпараттық қауіпсіздікті қамтамасыз ету бойынша қызметтің мониторингі барысында алынған ақпараттық қауіпсіздіктің оқыс оқиғалары туралы ақпарат шоғырландырылуы және жүйеге келтірілуге тиіс.

      71. Кредиттік бюро ақпараттық қауіпсіздіктің оқыс оқиғалары туралы ақпараттың тұтастығын қамтамасыз етеді.

      72. Егер кредиттік бюро ақпараттық қауіпсіздік оқиғаларының жеке көздерінің мониторингі жұмыстан тыс уақытта қажет деп белгілесе, тәулік бойы мониторинг қызметі құрылады.

      73. Кредиттік бюро орын алған ақпараттық қауіпсіздіктің оқыс оқиғалары туралы кредиттік бюроның басшы қызметкерлері мен бөлімшелерін ақпараттандыру тәртібін айқындайды.

      74. Кредиттік бюро ақпараттық қауіпсіздіктің оқыс оқиғаларды, оның себебі мен салдарын жоюға кезек күттірмейтін шаралар қабылдау тәртібін айқындайды.

      75. Кредиттік бюрода қағаз тасымалдағышта не электрондық түрде ақпараттық қауіпсіздіктің оқыс оқиғалары, қабылданған шаралар және ұсынылатын түзету шаралары туралы ақпаратты көрсетумен ақпараттық қауіпсіздіктің оқыс оқиғаларын есепке алу журналы жүргізіледі.

      76. Ақпараттық қауіпсіздіктің оқыс оқиғаларын өңдеу нәтижелері бойынша ақпараттық қауіпсіздіктің оқыс оқиғаларының орын алу себебін, оның механизмдері мен салдарының жан-жақты талдауы жүргізіледі. Ақпараттық қауіпсіздіктің оқыс оқиғаға тартылған бағдарламалық-техникалық құралдардан техникалық деректер жинау кезінде жиналған деректердің сақталуы мен өзгерту енгізбеуді қамтамасыз етіледі.

      77. Талдау нәтижелері бойынша еркін нысанда қорытынды жасалады, онда ақпараттық қауіпсіздіктің оқыс оқиғасы туралы барлық ақпарат, сондай-ақ ақпараттық қауіпсіздіктің оқыс оқиғасының қайталануының ықтималдығы мен залалдың мүмкіндігін төмендету мақсатында түзеу шараларын қабылдау бойынша ұсыныстар дайындалады.

      78. Орын алу ықтималдығы жоғары және қысқа мерзімде төмендету мүмкін емес ақпараттық қауіпсіздіктің оқыс оқиғалары үшін кредиттік бюро ақпараттық қауіпсіздіктің мұндай оқыс оқиғаларын өңдеу алгоритмін, ақпараттық қауіпсіздіктің мұндай оқыс оқиғаларды мен олардың салдарын оқшаулау, ақпараттық қауіпсіздіктің оқыс оқиғаларын өңдеу әдістемелері бойынша кезек күттірмейтін бірыңғай шараларды сипаттайтын ішкі құжат әзірлейді.

7-параграф. Кредиттік бюролардың ақпараттық қауіпсіздігінің жай-күйі, оқиғалары мен оқыс оқиғалары туралы ақпаратты ұсынуға қойылатын талаптар

      Ескерту. 7-параграфтың тақырыбы жаңа редакцияда - ҚР Қаржы нарығын реттеу және дамыту агенттігі Басқармасының 16.08.2024 № 59 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      79. Кредиттік бюро жыл сайын, есепті жылдан кейінгі жылдың 20 қаңтарынан кешіктірмей уәкілетті органға ақпараттық қауіпсіздікті басқару жүйесінің жай-күйі және оның Талаптарға сәйкестігі туралы ақпарат ұсынады.

      Ескерту. 79-тармақ жаңа редакцияда - ҚР Қаржы нарығын реттеу және дамыту агенттігі Басқармасының 16.08.2024 № 59 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      80. Ақпараттық қауіпсіздіктің жай-күйі туралы ақпаратта:

      1) кредиттік бюроның ақпараттық қауіпсіздігін басқару жүйесінің қолданылу аясы және олардың функционалының Талаптарға сәйкестігі көрсетіле отырып оның қатысушылары;

      2) ақпараттық қауіпсіздікті басқару жүйесін құру және оның жұмыс істеуін регламенттейтін құжаттардың болуы;

      3) ақпараттық қауіпсіздікті қамтамасыз ету үшін пайдаланылатын бағдарламалық-техникалық құралдардың болуы және сандық құрамы;

      4) байланыс операторларымен жасалған қызмет көрсету туралы шарттардағы ақпараттық қауіпсіздікті қамтамасыз ету жөніндегі талаптар мен міндеттемелер;

      5) деректерді өңдеудің резервтік орталықтарының болуы, материалдық-техникалық қамтамасыз етілуі және дайындығы;

      6) кредиттік бюроның ақпараттық қауіпсіздігін және ақпараттық активтерін басқару жүйесін Талаптарға сәйкес келтіру бойынша жүргізілген іс-шаралар туралы мәліметтер қамтылады.

      Ескерту. 80-тармақ жаңа редакцияда - ҚР Қаржы нарығын реттеу және дамыту агенттігі Басқармасының 16.08.2024 № 59 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      81. Ақпараттық қауіпсіздіктің жай-күйі, ақпараттық қауіпсіздіктің оқиғалары мен оқыс оқиғалары туралы ақпарат уәкілетті органға оқиғалар мен оқыс оқиғалар туралы ақпаратты өңдеуге арналған ақпараттық қауіпсіздік және ақпараттық қауіпсіздік жүйелерімен немесе кредиттік бюро жүйелерімен біріктірілген, ұсынылатын деректердің конфиденциалдылығы мен түзету енгізбеуді қамтамасыз ететін криптографиялық қорғаныс құралдарымен ақпаратты кепілді жеткізудің транспорттық жүйесін қолданумен, ақпараттық инфрақұрылымдағы немесе электрондық форматтағы оқиғалар туралы ақпаратты нақты уақытта жинауды және талдауды жүзеге асыратын ақпаратты өңдеудің автоматтандырылған жүйесі (бұдан әрі – АӨАЖ) арқылы ұсынылады.

      Мемлекет қатысатын кредиттік бюро үшін ақпараттық қауіпсіздік оқиғалары мен оқыс оқиғалары туралы ақпаратты уәкілетті органға Қазақстан Республикасы Ұлттық Банкінің ААӨЖ-мен ықпалдастырылған ақпараттандыру объектілері арқылы беруге жол беріледі.

      Ескерту. 81-тармақ жаңа редакцияда - ҚР Қаржы нарығын реттеу және дамыту агенттігі Басқармасының 16.08.2024 № 59 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      81-1. Кредиттік бюро уәкілетті органға мынадай анықталған ақпараттық қауіпсіздік оқиғалары туралы ақпарат береді:

      1) қолданбалы және жүйелік бағдарламалық қамтылымдағы осалдықтарды пайдалану;

      2) ақпараттық жүйеге рұқсатсыз кіру;

      3) ақпараттық жүйеге немесе деректерді беру желісіне "қызмет көрсетуден бас тарту" шабуылы;

      4) серверге зиянды бағдарлама немесе код енгізу;

      5) ақпараттық қауіпсіздікті бақылауды бұзу салдарынан ақшалай қаражатты рұқсатсыз аударуды жүзеге асыру;

      6) ақпараттық жүйелердің бір сағаттан артық тоқтап қалуына әкеп соққан ақпараттық қауіпсіздіктің өзге де оқыс оқиғалары.

      Осы тармақта көрсетілген ақпараттық қауіпсіздіктің оқыс оқиғалары туралы ақпарат кредиттік бюроға ұсынылатын деректердің конфиденциалдылығын және түзету енгізбеуді қамтамасыз ететін криптографиялық қорғаныс құралдарымен ақпаратты кепілді жеткізудің транспорттық жүйесін қолданумен, АӨАЖ арқылы немесе электрондық форматта дереу беріледі.

      Мемлекет қатысатын кредиттік бюро үшін ақпараттық қауіпсіздік оқиғалары мен оқыс оқиғалары туралы ақпаратты уәкілетті органға Қазақстан Республикасы Ұлттық Банкінің ААӨЖ-мен ықпалдастырылған ақпараттандыру объектілері арқылы беруге жол беріледі.

      Ескерту. Қағидалар 81-1-тармақпен толықтырылды - ҚР Қаржы нарығын реттеу және дамыту агенттігі Басқармасының 16.08.2024 № 59 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      81-2. Ақпараттық қауіпсіздік оқиғалары туралы ақпарат АӨАЖ-дағы кредиттік бюроның ақпараттық инфрақұрылымындағы оқиғалар туралы ақпаратты нақты уақытта жинауды және талдауды жүзеге асыратын ақпараттық қауіпсіздік жүйелерінен немесе кредиттік бюро жүйелерінен беру арқылы автоматтандырылған режимде беріледі.

      Мемлекет қатысатын кредиттік бюро үшін ақпараттық қауіпсіздік оқиғалары мен оқыс оқиғалары туралы ақпаратты уәкілетті органға Қазақстан Республикасы Ұлттық Банкінің ААӨЖ-мен ықпалдастырылған ақпараттандыру объектілері арқылы беруге жол беріледі.

      Ескерту. Қағидалар 81-2-тармақпен толықтырылды - ҚР Қаржы нарығын реттеу және дамыту агенттігі Басқармасының 16.08.2024 № 59 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

8-параграф. Кредиттік бюролардың қызметтерді қашықтан көрсететін бағдарламалық қамтылымының ақпараттық қауіпсіздігін қамтамасыз етуге қойылатын талаптар

      Ескерту. Қағидалар 8-параграфпен толықтырылды - ҚР Қаржы нарығын реттеу және дамыту агенттігі Басқармасының 16.08.2024 № 59 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      81-3. Кредиттік бюроның қызметтерді қашықтан көрсететін бағдарламалық қамтылымына мыналар кіреді:

      1) веб-қосымшалар серверлерінің бағдарламалық қамтылымы (бұдан әрі – веб-қосымша);

      2) мобильдік құрылғыларға (бұдан әрі – мобильдік қосымша) арналған бағдарламалық қамтылым;

      3) бағдарламалық интерфейстер серверлерінің бағдарламалық қамтылымы (бұдан әрі – серверлік БҚ).

      81-4. Қызметтерді қашықтан көрсететін бағдарламалық қамтылымды әзірлеуді және (немесе) пысықтауды кредиттік бюроның бағдарламалық қамтылымын әзірлеу және (немесе) пысықтау тәртібін, әзірлеу кезеңдерін және олардың қатысушыларын регламенттейтін ішкі құжаттарына сәйкес кредиттік бюро жүзеге асырады.

      81-5. Егер кредиттік бюро қызметтерді қашықтан көрсететін бағдарламалық қамтылымды әзірлеу және (немесе) пысықтау тысқары ұйымға және (немесе) үшінші тұлғаға берген жағдайда, кредиттік бюро тысқары ұйымның және (немесе) үшінші тұлғаның осы тараудың және ішкі құжаттардың талаптарын орындауын қамтамасыз етеді, қызметтерді қашықтан көрсететін бағдарламалық қамтылым қауіпсіздігінің жай-күйіне жауап береді.

      81-6. Кредиттік бюрода әзірленетін қызметтерді қашықтан көрсететін бағдарламалық қамтылымның бастапқы кодтарын сақтау резервтік көшіруді қамтамасыз ете отырып, кредиттік бюроның қорғау аясында орналастырылатын код репозиторийлерін басқарудың мамандандырылған жүйелерінде жүзеге асырылады.

      81-7. Кредиттік бюрода қабылданған қызметтерді қашықтан көрсететін бағдарламалық қамтылымды әзірлеу және (немесе) пысықтау тәсіліне қарамастан, қауіпсіздікті тестілеу міндетті болып табылады, оның барысында кем дегенде мынадай іс-шаралар жүзеге асырылады:

      1) бастапқы кодты статикалық талдау;

      2) құрауыштарды және (немесе) тысқары кітапханаларды талдау.

      81-8. Кредиттік бюроның қызметтерді қашықтан көрсететін бағдарламалық қамтылымының бастапқы кодын статикалық талдау тексерілетін бағдарламалық қамтылымда қолданылатын барлық бағдарламалау тілдерін талдауды қолдайтын бастапқы кодтарды статикалық талдау сканерін қолдана отырып жүзеге асырылады, оның функциялары келесі осалдықтарды анықтауды қамтиды, бірақ олармен шектелмейді:

      1) зиянды кодты инъекциялауға мүмкіндік беретін тетіктердің болуы;

      2) бағдарламалау тілдерінің осал операторлары мен функцияларын пайдалану;

      3) әлсіз және осал криптографиялық алгоритмдерді пайдалану;

      4) белгілі бір жағдайларда қызмет көрсетуден бас тартуды немесе кредиттік бюроның қызметтерді қашықтан көрсететін бағдарламалық қамтылымының жұмысын айтарлықтай баяулатуды тудыратын кодты пайдалану;

      5) кредиттік бюроның қызметтерді қашықтан көрсететін бағдарламалық қамтылымын қорғау жүйелерін айналып өту тетіктерінің болуы;

      6) кодта құпияларды ашық түрде пайдалану;

      7) қосымшаның қауіпсіздігін қамтамасыз ету үлгілері мен практикаларын бұзу.

      81-9. Кредиттік бюроның қызметтерді қашықтан көрсететін бағдарламалық қамтылымының құрауыштарын және (немесе) тысқары кітапханаларын талдау құрауыштың және (немесе) тысқары кітапхананың пайдаланылатын нұсқасына тән белгілі осалдықтарды анықтау, сондай-ақ құрауыштар және (немесе) тысқары кітапханалар мен олардың нұсқалары арасындағы тәуелділіктерді қадағалау мақсатында жүргізіледі.

      81-10. Кредиттік бюро атқарушы орган бекіткен ішкі құжатта айқындалған тәртіппен анықталған осалдықтарды жою жөніндегі түзету шараларының іске асырылуын қамтамасыз етеді. Бұл ретте маңызды осалдықтар қызметтерді қашықтан көрсететін бағдарламалық қамтылымды және (немесе) оның жаңа нұсқаларын пайдалануға бергенге дейін жойылады.

      81-11. Кредиттік бюро ақпараттық қауіпсіздік жөніндегі бөлімшемен келісілгеннен кейін қызметтерді қашықтан көрсететін бағдарламалық қамтылымды және (немесе) оның жаңа нұсқаларын пайдалануға енгізуді жүзеге асырады.

      81-12. Кредиттік бюро соңғы 3 (үш) жыл ішінде пайдалануға берілген қызметтерді қашықтан көрсететін бағдарламалық қамтылымның бастапқы кодтарының және қауіпсіздікті тестілеу нәтижелерінің барлық нұсқаларын сақтауды және жедел режимде оларға қол жеткізуді қамтамасыз етеді.

      81-13. Қызметтерді қашықтан көрсететін бағдарламалық қамтылымның клиенттік және серверлік тараптары арасында деректер алмасу Transport Layer Security (Транспорт Лейер Секьюрити) шифрлау хаттамасының 1.2-ден төмен емес нұсқасын пайдалана отырып шифрланады.

      81-14. Клиентті мобильді қосымшада бастапқы тіркеу кезінде кредиттік бюро сәйкестендіру деректерімен алмасу орталығы (бұдан әрі - СДАО) арқылы немесе кредиттік бюро құрылғылары арқылы алынған биометриялық деректерді пайдалана отырып, Клиентті биометриялық сәйкестендіруді жүзеге асырады.

      81-15. Мобильдік қосымшаға кіру кодын (құпиясөзін) өзгерту СДАО растаған биометриялық деректерді пайдалана отырып, клиенттің биометриялық сәйкестендіруін қолдану немесе несиелік бюро құрылғылары арқылы алынған биометриялық деректерді пайдалану арқылы жүзеге асырылады.

      81-16. Қызметтерді қашықтан көрсететін бағдарламалық қамтылымда клиентті идентификаттау және бірдейлендіру кредиттік бюроның ішкі құжаттарында белгіленген қауіпсіздік рәсімдеріне сәйкес екі факторлы бірдейлендіру тәсілдерін (үш фактордың екеуін: білімін, иеленуін, ажырамастығын) пайдалана отырып жүзеге асырылады.

      81-17. Қызметтерді қашықтан көрсететін бағдарламалық қамтылымды кроссдомендік бірдейлендіру тетігі ақпараттық қауіпсіздік бөлімшесімен келісіледі.

      81-18. Веб-бағдарлама:

      1) веб-қосымшаның кредиттік бюроға тиесілігін идентификаттаудың (домендік атауы, логотиптері, корпоративтік түстері) бірегейлігін;

      2) браузердің жадында авторизациялық деректерді сақтауға тыйым салуды;

      3) енгізілген құпияларды жасыруды;

      4) веб-қосымшаны пайдалану кезінде клиенттің авторизациялау парағында ұстануға ұсынылатын кибергигиенаны қамтамасыз ету шаралары туралы хабар беруді;

      5) клиент интерфейсінде конфиденциалды деректердің көрсетілуіне жол бермей, қате туралы ең аз жеткілікті ақпарат бере отырып, қателер мен ерекшеліктерді қауіпсіз тәсілмен өңдеуді қамтамасыз етеді.

      81-19. Мобильдік қосымша:

      1) мобильдік қосымшаның кредиттік бюроға тиесілігін идентификаттаудың (ресми қосымшалар дүкеніндегі деректер, логотиптер, корпоративтік түстер) бірегейлігін;

      2) операциялық жүйенің тұтастығын бұзу және (немесе) қорғау тетіктерін айналып өту, қашықтан басқару процестерін анықтау белгілері анықталған жағдайда кредиттік бюроның қашықтан қызмет көрсету жөніндегі функционалын бұғаттауды;

      3) клиентке мобильдік қосымша жаңартуларының бар екендігі туралы хабарлауды;

      4) маңызды осалдықтарды жою қажет болған жағдайларда мобильдік қосымшаның жаңартуларын мәжбүрлеп орнату немесе оларды орнатқанға дейін мобильдік қосымшаның функционалын бұғаттау мүмкіндігін;

      5) құпия деректерді мобильдік қосымшаның қорғалған контейнерінде немесе жүйелік есептік деректер қоймасында сақтауды;

      6) құпия деректерді кэштеуді болдырмауды;

      7) мобильдік қосымшаның резервтік көшірмелерінен құпия деректерді ашық түрде алып тастауды;

      8) клиентті мобильдік қосымшаны пайдалану кезінде ұстануға ұсынылатын кибергигиенаны қамтамасыз ету әдістері туралы хабардар етуді;

      9) клиентті оның есептік жазбасындағы авторландыру оқиғалары, құпиясөзді өзгерту және (немесе) қалпына келтіру, кредиттік бюро, тіркеген ұялы телефон нөмірін өзгерту туралы хабардар етуді;

      10) ақшалай қаражатпен операцияларды жүзеге асыру барысында клиенттен рұқсат болған кезде мобильдік құрылғының геолокациялық деректерін кредиттік бюроның серверлік БҚ-ға беру не мұндай рұқсаттың жоқ екендігі туралы ақпаратты беруді қамтамасыз етеді.

      81-20. Кредиттік бюро өз тарапынан:

      1) жауапта конфиденциалды деректердің жария етілуіне жол бермей, проблеманың диагностикасы үшін ең аз жеткілікті ақпарат бере отырып, қателер мен ерекшеліктерді қауіпсіз тәсілмен өңдеуді;

      2) мобильдік қосымшаларды және олармен байланысты құрылғыларды идентификаттауды және бірдейлендіруді;

      3) жасанды сұратулар мен зиян код инъекциялары шабуылдарының алдын алу үшін деректердің жарамдылығын тексеруді қамтамасыз етеді.

4-тарау. Ақпаратты берзушілерді ұйымдастырудағы ақпараттық қауіпсіздікті қамтамасыз етуге қойылатын талаптар

      82. Ақпаратты беруші кредиттік бюроның ақпараттық жүйесіне берілетін ақпараттың тұтастығы мен конфиденциалдылығын қамтамасыз етеді.

      83. Ақпаратты беруші ақпаратты ұсыну туралы шарттың талаптарына сәйкес ақпараттық қауіпсіздіктің тиісті деңгейін қамтамасыз етеді.

      84. Ақпаратты беруші ұйымдастырушылық-техникалық, технологиялық талаптардың және кредиттік бюроның ақпараттық жүйесімен өзара әрекет ету үшін пайдаланылатын жүйелік және қолданбалы бағдарламалық қамтамасыз етудің жұмыс істеп тұруы және оны қорғау үшін қажетті шараларды орындауды қамтамасыз етеді.

      85. Кредиттік бюроның ақпараттық жүйесімен жұмыс істеу үшін жабдықты пайдалану кезінде оны рұқсатсыз қолжетімділіктен қорғау, сондай-ақ ақпарат тасымалдағыштарды және жүйелік ресурстарды қорғау қажеттілігі ескеріледі.

      86. Ақпаратты беруші операторды (операторларды) тағайындайды.

      87. Ақпаратты беруші оператордың (операторлардың) қол қойылған қызметтік міндеттерін атқару процесінде оларға мәлім болған ақпаратты жария етпеу және таратпау туралы міндеттемелерінің болуын қамтамасыз етеді.

      88. Ақпаратты беруші операторды (операторларды) тағайындау тәртібін, оның (олардың) құқықтары мен жауапкершілігін айқындайтын ішкі құжаттардың (лауазымдық нұсқаулықтарды қоса алғанда) болуын қамтамасыз етеді.

      89. Ақпаратты берушінің қызметкерлеріне функционалдық міндеттерін орындау үшін қажетті көлемде ақпаратқа қолжетімділік ұсынылады.

      90. Оператордың кредиттік бюроның ақпараттық жүйесінде сәйкестендірілетін есептік жазбасы нақты адамға тиесілі.

      91. Ақпаратты беруші уәкілетті органның сұратуы бойынша ақпаратты ұсыну туралы шартта көзделген талаптарға оның сәйкес келуін растайтын мәліметтерді ұсынады.

      92. Жұмыс станциясының операциялық жүйесі пайдаланушы сәйкестендіру және бірдейлендіру, сондай-ақ белгіленген құқықтарға сәйкес пайдаланушылардың қолжетімділік құқықтарын ажыратуды және авторизациялауды қамтамасыз етеді.

      93. Кредиттік бюроның ақпараттық жүйесіне қосылу үшін жұмыс станциясын пайдаланған кезде Интернет желісінің басқа ресурстарына бірмезгілде қосылуға болмайды.

      94. Ақпарат берушінің қызметкерлері ақпараттық жүйелерге қолжетімділік үшін пайдаланылатын жеке сәйкестендіру және бірдейлендіру деректерінің конфиденциалдылығын қамтамасыз етеді.

      95. Ақпарат берушінің қызметкерлері кредиттік бюроның ақпараттық жүйесін пайдалану процесінде оларға мәлім болған ақпараттың конфиденциалдылығын қамтамасыз етеді.

5-тарау. Кредиттік есепті алушылардың қызметін ұйымдастыру кезінде ақпараттық қауіпсіздікті қамтамасыз етуге қойылатын талаптар

      96. Кредиттік есепті алушы кредиттік бюроның ақпараттық жүйесінен алынатын ақпараттың тұтастығы мен конфиденциалдылығын қамтамасыз етеді.

      97. Кредиттік есепті алушы кредиттік есептерді алу туралы шарттың талаптарына сәйкес ақпараттық қауіпсіздіктің тиісті деңгейін қамтамасыз етеді.

      98. Кредиттік есепті алушы ұйымдастырушылық-техникалық, технологиялық талаптарды және кредиттік бюроның ақпараттық жүйесімен өзара әрекет ету және одан алынатын ақпаратты өңдеу үшін пайдаланылатын жүйелік және қолданбалы бағдарламалық қамтамасыз етудің жұмыс істеп тұруы және оны қорғау үшін қажетті шараларды орындауды қамтамасыз етеді.

      99. Кредиттік бюроның ақпараттық жүйесімен жұмыс істеу үшін жабдықты пайдалану кезінде оны рұқсатсыз қолжетімділіктен қорғау, сондай-ақ кредиттік бюроның ақпараттық жүйесімен жұмыс істеу үшін пайдаланылатын ақпарат тасымалдағыштары мен жүйелік ресурстарды қорғау қажеттілігі ескеріледі.

      100. Кредиттік есептерді алушы жауапты тұлғалардың тізбесін айқындайды және бекітеді.

      101. Кредиттік есепті алушы ұйымның жауапты тұлғасының (тұлғаларының) қол қойған қызметтік міндеттерін атқару процесінде оларға мәлім болған ақпаратты жария етпеу және таратпау туралы міндеттемелерінің болуын қамтамасыз етеді.

      102. Кредиттік есепті алушы жауапты тұлғалардың тізбесін айқындау және бекіту тәртібін, олардың құқықтары мен жауапкершілігін (лауазымдық нұсқаулықтарын қоса алғанда) айқындайтын және бекітетін ішкі құжаттардың болуын қамтамасыз етеді.

      103. Қызметкерлерге функционалдық міндеттерін орындау үшін қажетті көлемде ақпаратқа қолжетімділік ұсынылады.

      104. Жауапты тұлғаның кредиттік бюроның ақпараттық жүйесінде сәйкестендірілетін есептік жазбасы нақты адамға сәйкес келуі тиіс.

      105. Кредиттік есепті алушы жұмыс станцияларының кредиттік есепті алушының ақпараттық қауіпсіздікті реттейтін Талаптарына және ішкі құжаттарына сәйкес келуіне жоспарлы және жоспардан тыс тексеру жүргізеді.

      106. Кредиттік есепті алушы уәкілетті органның сұратуы бойынша кредиттік есептерді алу туралы шартта көзделген талаптарға оның сәйкес келуін растайтын мәліметтерді ұсынады.

      107. Жұмыс станциясының операциялық жүйесі пайдаланушыны сәйкестендіру және бірдейлендіру, сондай-ақ пайдаланушылардың қолжетімділік құқықтарын ажырату және белгіленген құқықтарға сәйкес авторизациялау функцияларын қамтамасыз етеді.

      108. Кредиттік есептерді алушы өзінің жұмыс станциясын пайдаланады.

      109. Кредиттік бюроның ақпараттық жүйесіне қосылу үшін жұмыс станциясын пайдаланған кезде Интернет желісінің басқа ресурстарына бірмезгілде қосылуға болмайды.

      110. Кредиттік есептерді алушының қызметкерлері ақпараттық жүйелерге кіру үшін пайдаланылатын дербес сәйкестендіру және бірдейлендіру деректерінің конфиденциалдығын қамтамасыз етеді.

      111. Кредиттік есептерді алушының қызметкерлері оларға кредиттік бюроның ақпараттық жүйесін пайдалану барысында белгілі болған ақпараттың конфиденциалдығын қамтамасыз етеді.

  Қазақстан Республикасы
Ұлттық Банкі Басқармасының
2018 жылғы 27 қыркүйектегі
№ 228 қаулысына
2-қосымша

Кредиттік бюролардың ақпарат берушілерге және кредиттік есептерді алушыларға қоятын талаптары

      Ескерту. Тақырып жаңа редакцияда - ҚР Қаржы нарығын реттеу және дамыту агенттігі Басқармасының 16.08.2024 № 59 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      1. Осы кредиттік бюролардың ақпарат берушілерге және кредиттік есептерді алушыларға қойылатын Талаптары (бұдан әрі – Талаптар) "Қазақстан Республикасындағы кредиттік бюролар және кредиттік тарихты қалыптастыру туралы" Қазақстан Республикасы Заңының 5-бабының 6) тармақшасына сәйкес әзірленді және жүйелендірілген белгілері "Тауарларды және көрсетiлетiн қызметтердi кредитке өткiзетiн не төлемдердiң мерзiмiн ұзартатын жеке кәсiпкерлердiң немесе заңды тұлғалардың жүйелендiрiлген белгiлерiн бекiту туралы" Қазақстан Республикасы Үкіметінің 2005 жылғы 18 қаңтардағы № 25 Қаулысында (бұдан әрі - № 25 Қаулы) айқындалатын тауарларды және көрсетiлетiн қызметтердi кредитке өткiзетiн не төлемдердiң мерзiмiн ұзартатын жеке кәсiпкерлер немесе заңды тұлға, коммуналдық қызметтерді көрсететін табиғи монополия субъектілері, ақпарат беру туралы шарттардың негізінде өзге де тұлғалар болып табылатын (бұдан әрі – ақпарат берушілер) ақпарат берушілердің, сондай-ақ жүйелендірілген белгілері № 25 қаулыда айқындалатын тауарларды және көрсетiлетiн қызметтердi кредитке өткiзетiн не төлемдердiң мерзiмiн ұзартатын жеке кәсiпкерлерлер немесе заңды тұлға, ақпарат беру туралы шарт негізінде өзге де тұлғалар, облигациялар ұстаушылардың мүдделерін білдіру туралы шарт жасалған облигациялар эмитентінің кредиттік есебіне қатысты облигациялар ұстаушылардың өкілі болып табылатын кредиттік есептерді алушылардың (бұдан әрі – кредиттік есептерді алушылар) қызметін ұйымдастыру кезінде ақпараттық-коммуникациялық технологияларды пайдалануға және ақпараттық қауіпсіздікті қамтамасыз етуге кредиттік бюролар қоятын талаптарды айқындайды.

      Ескерту. 1-тармақ жаңа редакцияда - ҚР Қаржы нарығын реттеу және дамыту агенттігі Басқармасының 16.08.2024 № 59 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      2. Кредиттік бюролар ақпарат берушілерге және кредиттік есептерді алушыларға қойылатын талаптар ақпарат беру туралы шартқа және кредиттік есептер алу туралы шартқа енгізіледі.

      3. Кредиттік бюролар ақпарат берушілердің және кредиттік есептерді алушылардың қызметін ұйымдастыру кезінде ақпараттық-коммуникациялық технологияларды пайдалануға қоятын талаптар осы қаулымен бекітілген Кредиттік бюролардың, банктер, банктік операциялардың жекелеген түрлерін жүзеге асыратын ұйымдар, микроқаржы ұйымдары және коллекторлық агенттіктер болып табылатын ақпарат берушілердің және кредиттік есептерді алушылардың қызметін ұйымдастыру кезінде ақпараттық-коммуникациялық технологияларды пайдалануға және ақпараттық қауіпсіздікті қамтамасыз етуге қойылатын Талаптардың 15, 16 және 17-тармақтарының талаптарына сәйкес келеді.

      4. Кредиттік бюролар ақпарат берушілердің және кредиттік есептерді алушылардың қызметін ұйымдастыру кезінде ақпараттық қауіпсіздікті қамтамасыз етуге қоятын талаптар осы қаулымен бекітілген Кредиттік бюролардың, банктер, банктік операциялардың жекелеген түрлерін жүзеге асыратын ұйымдар, микроқаржы ұйымдары және коллекторлық агенттіктер болып табылатын ақпарат берушілердің және кредиттік есептерді алушылардың қызметін ұйымдастыру кезінде ақпараттық-коммуникациялық технологияларды пайдалануға және ақпараттық қауіпсіздікті қамтамасыз етуге қойылатын Талаптардың 4 және 5-тарауларының талаптарына сәйкес келеді.

  Қазақстан Республикасы
Ұлттық Банкі Басқармасының
2018 жылғы 27 қыркүйектегі
№ 228 қаулысына
3-қосымша

Күші жойылды деп танылатын Қазақстан Республикасы нормативтік құқықтық актілерінің, сондай-ақ Қазақстан Республикасының кейбір нормативтік құқықтық актілері құрылымдық элементтерінің тізбесі

      1. "Кредиттік бюролардың, ақпарат берушілердің және кредиттік есептерді алушылардың қызметін ұйымдастыру кезінде ақпараттық-коммуникациялық технологияларды пайдалануға және ақпараттық қауіпсіздікті қамтамасыз етуге қойылатын талаптарды бекіту туралы" Қазақстан Республикасы Ұлттық Банкі Басқармасының 2015 жылғы 27 мамырдағы № 91 қаулысы (Нормативтік құқықтық актілерді мемлекеттік тіркеу тізілімінде № 11669 тіркелген, 2015 жылғы 30 шілдеде "Әділет" ақпараттық-құқықтық жүйесінде жарияланған).

      2. "Қазақстан Республикасының кейбір нормативтік құқықтық актілеріне рұқсат беру құжаттарын қысқарту және рұқсат беру рәсімдерін оңайлату мәселелері бойынша өзгерістер мен толықтыру енгізу туралы" Қазақстан Республикасы Ұлттық Банкі Басқармасының 2016 жылғы 30 мамырдағы № 146 қаулысының 2-тармағы (Нормативтік құқықтық актілерді мемлекеттік тіркеу тізілімінде № 14208 тіркелген, 2016 жылғы 5 қазанда "Әділет" ақпараттық-құқықтық жүйесінде жарияланған).

      3. "Кредиттік бюролардың, ақпарат жеткізушілердің және кредиттік есептерді алушылардың қызметін ұйымдастыру кезінде ақпараттық-коммуникациялық технологияларды пайдалануға және ақпараттық қауіпсіздікті қамтамасыз етуге қойылатын талаптарды бекіту туралы" Қазақстан Республикасы Ұлттық Банкі Басқармасының 2015 жылғы 27 мамырдағы № 91 қаулысына өзгерістер мен толықтыру енгізу туралы" Қазақстан Республикасы Ұлттық Банкі Басқармасының 2017 жылғы 14 маусымдағы № 102 қаулысы (Нормативтік құқықтық актілерді мемлекеттік тіркеу тізілімінде № 15608 болып тіркелген, 2017 жылғы 15 қыркүйекте Қазақстан Республикасы нормативтік құқықтық актілерінің эталондық бақылау банкінде жарияланған).

On Approval of the Requirements for the Use of Information and Communication Technologies and Information Security in Organizing the Activities of Credit Bureaus, Information Providers and Recipients of Credit Reports, and the Requirements of Credit Bureaus to Information Providers and Recipients of Credit Reports

Resolution of the Board of the National Bank of the Republic of Kazakhstan of September 27, 2018 No. 228. Registered with the Ministry of Justice of the Republic of Kazakhstan on November 6, 2018 No. 17702.

      Unofficial translation
      Footnote. The heading - as revised by Resolution of the Board of the Agency of the Republic of Kazakhstan on Regulation and Development of Financial Market № 59 of 16.08.2024 (shall be enacted ten calendar days after the date of its first official publication).

      In accordance with the Law of the Republic of Kazakhstan dated July 6, 2004 "On credit bureaus and formation of credit records in the Republic of Kazakhstan", the Board of the National Bank of the Republic of Kazakhstan shall DECIDE:

      1. That the following shall be approved:

      1) Requirements for the application of information and communication technologies and information security when organizing the activities of credit bureaus, information providers and recipients of credit reports as per Annex 1 to this Resolution;

      2) Requirements imposed by credit bureaus on information providers and recipients of credit reports pursuant to Annex 2 to this Resolution.

      Footnote. Paragraph 1 - as revised by Resolution of the Board of the Agency of the Republic of Kazakhstan on Regulation and Development of Financial Market № 59 of 16.08.2024 (shall come into effect upon expiration of ten calendar days after the day of its first official publication).

      2. To recognize as invalid the regulatory legal acts of the Republic of Kazakhstan, as well as the structural elements of some regulatory legal acts of the Republic of Kazakhstan according to the list in accordance with the Annex 3 to this resolution.

      3. In the procedure established by the legislation of the Republic of Kazakhstan, the Department of information threats and cyber protection (Perminov R.V.) shall ensure:

      1) The state registration of this resolution in the Ministry of Justice of the Republic of Kazakhstan together with the Legal department (Sarsenova N.V.);

      2) within ten calendar days from the date of the state registration of this resolution, to send it in the Kazakh and Russian languages to the Republican state enterprise on the basis of the right of economic management "Republican Center for Legal Information" for official publication and inclusion into the Reference Control Bank of regulatory legal acts of the Republic of Kazakhstan;

      3) the placement of this resolution on the official Internet resource of the National Bank of the Republic of Kazakhstan after its official publication;

      4) within ten working days after the state registration of this resolution, to submit the information to the Legal department on implementation of the measures provided for by subparagraphs 2), 3) of this paragraph and paragraph 4 of this resolution.

      4. The Directorate for protection of the rights of consumers of financial services and external communications (A.T. Terentiev) shall ensure, within ten calendar days after the state registration of this resolution, the submission of its copy for official publication in periodicals.

      5. Deputy Chairman of the National Bank of the Republic of Kazakhstan Smolyakova O.A shall be entitled to control the execution of this resolution.

      6. This resolution shall enter into force upon the expiry of ten calendar days after the day of its first official publication.

      Chairman of the
National Bank
D. Akishev

  Annex 1
to the resolution of the Board of
the National Bank of the
Republic of Kazakhstan
dated September 27, 2018,
№ 228

Requirements for the application of information and communication technologies and ensuring information security when organizing the activities of credit bureaus, information providers and recipients of credit reports

      Footnote. The title - as revised by Resolution of the Management Board of the Agency of the Republic of Kazakhstan on Regulation and Development of Financial Market № 59 of 16.08.2024 (shall enter into force ten calendar days after the date of its first official publication).

Chapter 1. General provisions

      1. These Requirements for the Application of Information and Communication Technologies and Information Security in organizing the Activities of Credit Bureaus, Information Providers and Recipients of Credit Reports have been developed in line with sub-paragraph 6) of Article 5 of the Law of the Republic of Kazakhstan “On Credit Bureaus and the Formation of Credit Histories in the Republic of Kazakhstan” and establish requirements for the use of information and communication technologies and ensuring information security when organising the activities of credit bureaus, banks, organisations engaged in certain types of banking transactions, organisations engaged in microfinance activities, collection agencies and service companies, managing rights (claims) under bank loan agreements and (or) agreements on granting a microloan under an agreement on trust management of rights (claims) under bank loan agreements and (or) agreements on granting a microloan concluded with a bank, an organisation engaged in certain types of banking transactions, an organisation engaged in microfinance activities, a collection agency, a subsidiary of a bank acquiring doubtful and uncollectible assets of a parent bank, an organisation specialising in improving the quality of loan portfolios of second-tier banks, a legal entity - pledgee of rights of claim under a contract on granting a microloan when a microfinance organisation issues secured bonds or obtains loans, a special financial company established in line with the legislation of the Republic of Kazakhstan on project financing and securitisation under a securitisation transaction, by a person who repurchases mortgage loans of natural persons not related to entrepreneurial activity, one hundred percent of shares of which belong to the National Bank of the Republic of Kazakhstan, by a special fund for development of private entrepreneurship - under a bank loan agreement, under an agreement on granting a microloan concluded within the framework of a transaction on financing private entrepreneurship entities by means of conditional placement of funds in banks and organisations, engaged in certain types of banking transactions, microfinance organisations, by another person - in respect of a right (claim) under a bank loan agreement, under an agreement on granting a microloan to a natural person related to entrepreneurial activity, or under a bank loan agreement under a microloan agreement of a legal entity for which impairment indicators have been revealed in line with International Financial Reporting Standards, including at the time of acquisition or emergence (creation) of a right (claim) under a bank loan agreement, under a microloan agreement.

      Footnote. Paragraph 1 - as revised by Resolution of the Board of the Agency of the Republic of Kazakhstan on Regulation and Development of Financial Market № 59 of 16.08.2024 (shall become effective ten calendar days after the date of its first official publication).

      2. The terms, specified by the Law on credit bureaus shall be used in the Requirements, as well as the following concepts:

      1) information providers - information providers, specified in subparagraph 1) of paragraph 1 of article 18 of the Law on credit bureaus;

      2) information asset - a set of data and an object of information and communications infrastructure, used to store it and (or) to process;

      3) information and communication infrastructure (hereinafter - the information infrastructure) - a set of objects of the information infrastructure, designed to ensure the functioning of the technological environment in order to create electronic information resources and to provide access to them;

      4) information security - the state of security of electronic information resources, information systems and ICT infrastructure from external and internal threats;

      5) the risk of information security - the probability of occurrence of damages due to privacy violations and intentional violations of the integrity or availability of information assets of a credit bureau;

      6) information security - a process aimed at the maintenance of the confidentiality, integrity and availability of information assets of a credit bureau;

      7) an incident of information security - separately or serially occurring failures in the information infrastructure or its separate objects that threaten their proper functioning and (or) conditions for illegal obtaining, copying, distribution, modification, destruction, or blocking of electronic information resources of a credit bureau;

      8) privileged account - an account in the information system with the privileges to create, delete and modify access rights of other accounts;

      9) audit trail - a chronological sequence of records containing evidence of data change as a result of performing functions of an information system;

      10) authentication - confirmation of authenticity of the subject or object of access to the information system by determining the compliance of the shown details of access;

      11) business process - a set of interrelated activities or tasks designed to create a specific product or service for the external (customer) or internal (employee, a department of a credit bureau, other business process) consumer;

      12) virtual environment - computational resources, or their logical association, abstracted from the hardware implementation, providing a logical isolation of computational processes from each other, performed on a single physical resource;

      13) data processing center - a dedicated room, which houses servers and communication equipment of the information infrastructure of a credit bureau. The data processing center is divided into primary and backup ones;

      14) a responsible person – an employee of the recipient of credit reports, having access to credit reports;

      15) workstation - a personal computer used to access the information system of a credit bureau;

      16) a business owner of the information system of a credit bureau - a department (employee) of a credit bureau, which is (are) the owner of the main business process that is automated by the information system of the credit bureau;

      17) recipients of credit reports – the recipients of credit reports, specified in subparagraph 1) of part one of paragraph 1 of article 20 of the Law on credit bureaus;

      18) access - the ability to use the information assets;

      19) an operator – an employee responsible for the correctness of data input in the information system of the credit bureau;

      20) a backup copy – a copy of the data on media, intended to restore the data in the original or a new place of their location if necessary;

      21) technical safety – a process of providing security of a credit bureau with the use of technical means (fire and intruder alarm systems, monitoring and access control, CCTV, fire fighting, temperature and humidity control in the data processing center);

      22) technological account - an account in the information system, intended for authentication between the information systems;

      23) corrective measure - a set of organizational and technical measures, aimed at correcting the existing problem in the process of information security or the consequences of its violation;

      24) an authorized body - the authorized body for regulation, control and supervision of the financial market and financial organizations.

Chapter 2. Requirements to the use of information and communication technologies

      3. A credit bureau shall develop an information system (hereinafter – an information system of a credit bureau), which provides for:

      1) the receipt of information from the information provider;

      2) formation of a database of credit records;

      3) formation, issuance and storage of credit reports;

      4) identification and authentication of users of the information system of the credit bureau;

      5) maintenance of an audit trail of the information system of the credit bureau.

      4. Information system of a credit bureau shall meet the following requirements:

      1) development, introduction and maintenance of the information system of the credit bureau (or adaptation of the ready product) on the basis of technical specifications and in accordance with the internal documents of the credit bureau, regulating the stages and procedure of development, modifications, testing, acceptance and commissioning, and documentation of all stages;

      2) ensuring the distribution of the access rights of users of the information system of the credit bureau;

      3) ensuring the account management of the information system of the credit bureau;

      4) ensuring the information security of the protected data of the information system of the credit bureau.

      5. Credit bureau shall ensure the availability and distribution of the development environments, testing and production operation of the information system of the credit bureau so that the changes made to the information system of the credit bureau in any of these environments had no effect on the information system of the credit bureau, located in another environment. Development and updating of the information system of the credit bureau shall not be made in the environment of commercial operation.

      6. Third-party organizations and employees of the department of information technology, engaged in software development, shall not have access to the transfer of changes of the information system of the credit bureau in the environment of commercial operation and shall not have administrative access to the information system of the credit bureau in the environment of commercial operation.

      7. Before the putting of the information system of the credit bureau into commercial operation, the settings set in it by default, shall change to the settings that meet the requirements of information security, defined by the internal documents of the credit bureau. These settings shall include the replacement of passwords used during testing, and deleting all test accounts.

      8. Source codes (if available) and the executable modules of the information system of the credit bureau shall be stored in a protected storage of software that is suitable for their recovery.

      9. An audit trail shall be maintained in the information system of the credit bureau that reflects the following:

      1) the events of connection, identification, authentication and authorization (successful and unsuccessful);

      2) the events of the change of the stored data;

      3) the events of modification of security settings;

      4) the events of modification of the user groups and their authorities;

      5) the events of modification of user accounts and their authorities;

      6) the events that reflect the installation of updates and (or) changes in the information system;

      7) the events of the change of the parameters of maintenance of an audit trail;

      8) the events of the changes of the system parameters.

      10. The format of the audit trail shall include the following information:

      1) identifier (login) of the user who committed the action;

      2) date and time of the action;

      3) names of objects with which the action was performed;

      4) type or name of the action performed by the administrator or end user of the information system;

      5) the result of an action (successfully or unsuccessfully).

      11. The storage time of the audit trail shall be at least 3 (three) months in the operational access and at least one (1) year of archival access. It shall be allowed to store the audit trail in a specialized information system for storage, processing and analysis of events.

      12. Credit bureau shall ensure the consistency of the audit trail by both organizational and technical means. Administrators of the information system shall be granted the access only to transfer the logs of the audit trail to the archive.

      13. The data processing center of the credit bureau shall comply with the following requirements:

      1) uninterrupted power supply system is provided by two or more independent inputs of electrical networks and automatically connected backup power supply devices that ensure an autonomous power supply for at least twenty-four hours;

      2) the presence of two or more data transmission channels from independent providers of telecommunications services, installed in the building in different ways, in the main data processing center and at least two communication channels in the backup datacenter. The bandwidth of communication channels shall ensure the provision of services in accordance with the terms of agreements on information provision and contracts on obtaining credit reports.

      14. In order to ensure sustainable functioning of information system of the credit bureau, the credit bureau shall comply with the following requirements:

      1) information system of the credit bureau operates on the server system, enabling maintenance work without interrupting the functioning of its core services. When using virtualization technologies of hardware capacity, the virtual main and backup servers shall be placed on separate physical servers;

      2) backup data processing center of the credit bureau is located outside the location of the credit bureau and provides recovery of the work of the information system of the credit bureau within a period not exceeding twelve hours from the time of closedown of the primary data processing center.

      15. When connected to the information system of the credit bureau, the information provider shall use the workstation:

      1) meeting the requirements of the credit bureau, reflected in the contract on provision of information;

      2) secured by a license antivirus software with current antivirus databases.

      16. When connected to the information system of the credit bureau, the recipient of the credit reports shall:

      1) provide the availability of one or more workstations, used to connect only to the information system of the credit bureau;

      2) provide protection of workstations by the license antivirus software with current antivirus databases.

      17. In case of automation of the processes of information transmission by the information provider to the credit bureau and transfer of credit reports by the credit bureau to the recipient of the credit reports, the requirements of paragraphs 15 and 16 of the Requirements shall not apply to the information providers and recipients of the credit reports.

Chapter 3. Requirements to information security in organization of work of credit bureaus Paragraph 1. Requirements to organization of information security management system

      18. Credit bureau shall provide information security of the protected information when it is received, stored and processed and in the preparation and issuance of credit reports.

      19. Credit bureaus shall ensure the establishment and functioning of the information security management system, which is part of the overall management system of the credit bureau that is designed to control the process of information security.

      20. Information security management system shall ensure the protection of information assets of the credit bureau, allowing a minimum level of potential damage to the business processes of the credit bureau.

      21. In order to ensure the proper level of the information security management system, its development and improvement, the credit bureau shall ensure the availability of the internal documents defining:

      1) information security policy that includes:

      goals, objectives and basic principles of development of the information security management system;

      the area of action of the information security management system;

      responsibility within the information security management system;

      dissemination and accessibility of information security policy;

      conditions for the review of the information security policy;

      2) rules for the management of information assets, including:

      basic requirements to the information, specifying the levels of confidentiality;

      the requirement for labelling and certification of assets;

      the treatment of information based on the confidentiality levels;

      3) the backup (backup) procedure, including:

      requirements for backup and archive copy;

      testing of backups;

      4) methods of risk assessment and risk management of information security, including:

      the process of assessment and handling of information security risks;

      acceptability criteria of information security risks;

      information security risk handling plan;

      report on the assessment and handling of information security risks;

      5) the procedure for restriction of access and obligations of information system users (operators, administrators of information systems), including:

      the order of termination or changes in functional responsibilities, including the requirements to disclose confidential information following the termination of the employment contract;

      the procedure for training and awareness-raising;

      the order to control access to information, information systems, networks, services, equipment and facilities;

      regular review of access rights;

      the requirement to control user and privileged access rights;

      the procedure for the technical implementation of granting, changing, deleting the access rights;

      6) procedure for work with information system of a credit bureau, including:

      the procedure of development and change management of the information system of a credit bureau;

      the rights and obligations of operators and administrators of the information system of the credit bureau;

      7) procedures for management of information security incidents, including:

      classification of incidents, the procedure for notification about incidents with an indication of the persons subject to notification;

      the response and handling of incidents;

      the rules for protection of information assets from malicious software.

      22. Participants of information security management system of a credit bureau shall be:

      1) the management body;

      2) an executive body;

      3) the collegial body, authorized to make decisions on the tasks of information security provision (hereinafter – the collegial body);

      4) a risk management department;

      5) a department for information security;

      6) a department of information technology;

      7) a security department;

      8) a department for work with the personnel;

      9) a legal entity;

      10) additional departments.

      The functions of the departments, specified in subparagraphs 4), 5), 6), 7), 8) and 9) of this paragraph, shall be allowed to be performed by the responsible persons in accordance with their functional responsibilities.

      23. Credit bureau in establishment and functioning of information security management system shall ensure the independence of the departments of information security and information technology through their subordination to different members of the executive body of the credit bureau or directly to the head of the executive body of the credit bureau.

      24. The management body of the credit bureau shall approve the information security policy.

      25. The management body of the credit bureau shall approve the list of protected information, including information about the data constituting official, commercial or other secret protected by the law (hereafter – the protected information), and the procedure of work with the protected information.

      26. The executive body of the credit bureau shall approve the internal documents, regulating the process of information security management, procedure and periodicity of revision which is determined by the internal documents of the credit bureau.

      27. A credit bureau shall establish a collegial body, composed of representatives of the department of information security, the risk management department, the department of information technology, and if necessary the representatives of other departments of the credit bureaus. The head of the collegial body shall be the head of the executive body of a credit bureau or a member of the executive body of the credit bureau that oversees the operations of the department of information security.

      28. The risk management department shall be responsible for the organization and coordination of the risk management process of the information security and shall perform the following functions:

      1) development, introduction and continuous development of risk management information security system;

      2) development of procedures on information security risk management;

      3) analysis of the processes in the field of information security;

      4) monitoring and assessment of the level of information security risks.

      29. In order to ensure confidentiality, integrity and availability of information of the credit bureau, the department of information security shall perform the following functions:

      1) to organize the information security management system, coordination and control of activity of departments of the credit bureau to ensure the information security and the activities to identify and analyze the threats, to counter attacks and investigate the information security incidents;

      2) to develop information security policy of the credit bureau;

      3) to provide methodological support for the process of information security of the credit bureau;

      4) to make selection, introduction and use of methods, tools and mechanisms for the management, maintenance and control of information security of a credit bureau in the framework of their powers;

      5) to conduct collecting, consolidating, storing and processing of information about information security incidents;

      6) to analyze information about information security incidents;

      7) to prepare proposals for adoption of a decision by the collegial body on the matters of information security;

      8) to ensure the introduction and proper functioning of software and hardware, automating the process of ensuring information security of a credit bureau, as well as providing access to them;

      9) to define the restriction on the use of privileged accounts;

      10) to organize and conduct activities to ensure awareness of employees of the credit bureau on the matters of information security;

      11) to monitor the state of the information security management system of a credit bureau;

      12) to inform the credit bureau leadership about the status of the information security management system of a credit bureau.

      30. The department of information technology of a credit bureau shall develop the internal documents determining:

      1) the general scheme of the information infrastructure indicating a physical location of its elements;

      2) a list of responsible administrators of the nodes of the information infrastructure (telecommunications devices, servers and operating systems placed on them, database management systems and the applied software of the user of the information system).

      31. Credit bureau shall determine the possibility to impose the functions on technical safety on the department of information security. The department of information security shall perform the functions, entailing a conflict of interest with their main functions.

      32. Credit bureau shall determine the possibility of delegating of following functions of the department of information security to other departments:

      1) introduction and administration of software and hardware, automating the process of ensuring information security of a credit bureau – a department of information technology;

      2) the organization and conduct of activities to ensure awareness of employees of the credit bureau about the information security – the department for work with the personnel;

      3) recording and processing of events and information security incidents involving violations of the information security condition - the department of security or another department, not depending on the department of information technology.

      33. The department of information technology shall perform the following functions:

      1) develops the schemes of information infrastructure of a credit bureau;

      2) ensures the provision of user access to information assets of a credit bureau;

      3) provides the configuration of system and applied software of a credit bureau;

      4) provides execution of the requirements, established by the internal documents of a credit bureau, on continuity of functioning of information infrastructure, confidentiality, integrity and availability of data of information systems of a credit bureau (including reservations and (or) the archiving and information backup);

      5) ensures the observance of information security requirements in the selection, introduction, development and testing of information systems.

      34. The department of security shall perform the following functions:

      1) implements the measures of physical and technical security of credit bureau, and also arranges the access and intra-facility regime;

      2) conducts preventive actions, aimed at minimizing the risk of threats to information security in the employment and dismissal of employees of the credit bureau.

      35. The department for the work with the personnel shall perform the following functions:

      1) ensures that the employees of a credit bureau, as well as persons, involved in the work under the contract on rendering of services, trainees, probationers sign the obligations on non-disclosure of confidential information;

      2) participates in the process of raising the awareness of employees of the credit bureau in the field of information security.

      36. The legal department shall provide legal expertise of internal documents of the credit bureau on the issues of provision of information security.

      37. Heads of structural units of a credit bureau shall:

      1) ensure that employees are familiarised with the credit bureau's internal documents containing information security requirements (hereinafter referred to as information security requirements);

      2) be personally responsible for ensuring information security in the units headed by them;

      3) ensure the conclusion of agreements on non-disclosure of confidential information and inclusion of information security conditions in agreements, service/work agreements in cases when the credit bureau unit initiates the conclusion of such agreements and contracts.

      Footnote. Paragraph 37 - as revised by Resolution of the Board of the Agency of the Republic of Kazakhstan on Regulation and Development of Financial Market № 59 of 16.08.2024 (shall be enforced upon expiry of ten calendar days after the day of its first official publication).

      38. Credit bureau shall determine the business owner of the information system of the credit bureau, who is responsible for compliance with the requirements to information security in the creation, introduction, modification, provision of customers with products and services.

      39. Workers of structural departments of the credit bureau shall:

      1) be responsible for compliance with information security requirements, adopted in the credit bureau;

      2) control the fulfillment of requirements to information security by the third parties with whom they interact within their functional responsibilities, including through inclusion of these requirements in the contracts with third parties;

      3) notify their direct manager and the department of information security about all suspicious situations and violations when dealing with information assets.

Paragraph 2. Requirements for organization of access to information assets

      40. Access to information shall be granted to the employees to the extent necessary for performance of their duties.

      40-1. Access to information assets of the credit bureau of third parties shall be granted for the period and to the extent specified by the work, being implemented based on an agreement, contract, including conditions on compliance with information security requirements, excluding cases stipulated by the legislation of the Republic of Kazakhstan. Agreements, contracts concluded with the information provider, the recipient of credit reports, third parties shall specify confidentiality clauses, provisions on compensation for damages resulting from information security violations, as well as information system failures and security infringements caused by the action or inaction of the credit bureau, the information provider, the recipient of credit reports, third parties.

      Footnote. Paragraph 2 has been supplemented with paragraph 40-1 in compliance with Resolution of the Board of the Agency of the Republic of Kazakhstan on Regulation and Development of Financial Market № 59 of 16.08.2024 (shall be enacted upon expiration of ten calendar days after the day of its first official publication).

      41. The access to the information system of a credit bureau shall be carried out after identification and authentication of users.

      42. Identification and authentication of users of the information system of the credit bureau shall be made through one of the following ways:

      1) by typing the pair "account (ID) and password" and using the methods of two-factor authentication;

      2) using the methods of biometric and (or) cryptographic and (or) hardware authentication.

      43. The information system of the credit bureau shall use the personalized user accounts only.

      44. The use of technological accounts shall be allowed in accordance with the list of such accounts for each information system, indicating the persons, personally responsible for their use and relevance, approved by the head of the department of information technology in coordination with the head of the department of information security.

      45. The information system of the credit bureau shall use the functions on administering accounts and passwords, and locking of user accounts, defined by the internal document of the credit bureau.

      46. Physical access to information assets of a credit bureau shall be provided in accordance with the internal documents of a credit bureau.

Paragraph 3. Requirements to information security of the information system
of the credit bureau

      47. Information security of information systems of a credit bureau shall be provided through:

      1) protection of information during its processing, storage and transmission;

      2) data backup on the side of the credit bureau;

      3) the presence of recovery procedures of the information system of the credit bureau after failures and faults;

      4) establishment of cryptographic protection of traffic between a credit bureau and information provider and (or) the recipient of the credit reports.

      48. Credit bureau shall provide anti-virus protection of the information infrastructure in the order, established by the internal document of the credit bureau.

      49. The department of information technology shall determine the order of any changes of information systems in coordination with the department of information security.

      50. Update of the security of information systems, eliminating critical vulnerability, shall be established not later than one month from the date of their publication and distribution by the manufacturer, except for the cases agreed upon with the department on information security.

      51. Update of the information system of the credit bureau prior to installation in the production environment shall be tested in a test environment.

      52. Credit bureau shall provide the data backup storage of the information system of the credit bureau, its files and settings which ensures the restoration of its working copy.

      53. The order and frequency of backup, storage, recovery of information, the frequency of testing the recovery efficiency of the information system of the credit bureau from the backups shall be determined by the internal document of the credit bureau.

Paragraph 4. Requirements for the process of protection of workstations of a credit bureau

      54. Credit bureau shall define a list of software and equipment, permitted for the work with the information system of the credit bureau.

      55. Software which is not intended for performance of functional duties of employees of the credit bureau shall not be installed on the workstations.

      56. Internal documents of a credit bureau shall determine the organizational and technical measures, providing protection of workstations and storage devices and network resources, used to work with the information system of the credit bureau.

      57. The credit bureau shall define and introduce the organizational and technical measures that prohibit the users from installation and configuration of software, workstations and peripheral equipment.

      58. Users of the information system of the credit bureau shall not have the rights of a local administrator or similar rights, except for the cases where such rights are necessary for the functioning of the software, automating the functions, performed by the users.

      59. Separate groups of users shall be entitled to install and configure software and equipment in cases where it is necessary for performance of official duties. These groups of users shall be provided with the local administrator rights or similar rights.

      60. A list of users referred to in paragraphs 58 and 59 of the Requirements shall be formed, updated and approved by the head of the department of information technology in coordination with the department of information security. In case of granting the users with additional rights in accordance with paragraphs 58 and 59 of the Requirements, the department of information security shall control their use.

Paragraph 5. Requirements to the process of physical security of data processing
centers of credit bureaus

      61. The order of the physical security of data processing centers shall be determined by the internal document.

      62. The data processing center shall be equipped with the following technical security systems:

      1) control system and access control;

      2) security alarm;

      3) fire alarm system;

      4) automatic fire extinguishing system;

      5) the system of maintaining the preset parameters of temperature and humidity;

      6) video surveillance system;

      7) uninterruptible power system.

      63. Access to the data processing center shall be granted to employees of the credit bureau, the list of which is approved by the head of the department of information technology in coordination with the department of information security.

      64. A credit bureau shall keep a log of the monitoring system and access control in the data processing center, which is stored at least 1 (one) year.

      65. Automatic fire extinguishing system of the data processing center shall ensure the elimination of ignition throughout the volume of the room and shall have a back-up stock.

      66. Video surveillance system of the data processing center shall provide the monitoring of all entrances to the data processing center. In the data processing center the placement of the camera shall eliminate the presence of areas inside the data processing center and in front of its entrance that are not covered by video surveillance.

      67. Event recording by the video surveillance system of the data processing center shall be continuous or with the use of motion detection.

      68. Archive of the video surveillance system of the data processing center shall be kept at least 3 (three) months.

      69. In order to prevent an unauthorized physical access to the servers and active network equipment outside the data processing center, the internal documents of a credit bureau shall define the measures to ensure their safety.

Paragraph 6. Requirements to the procedure of monitoring and processing of information
about information security incidents in the credit bureaus

      70. Information about information security incidents, obtained in the course of monitoring of activities to ensure information security, shall be subject to consolidation and systematization.

      71. Credit bureau shall ensure the integrity of data on information security incidents.

      72. If the credit bureau identifies the need to monitor individual sources of events of information security during the non-office hours, a round-the-clock monitoring service shall be established.

      73. Credit bureau shall determine the procedure of informing the executives and departments of the credit bureau about the incident of information security.

      74. Credit bureau shall determine the procedure for adoption of urgent measures to address the incident of information security, its causes and consequences.

      75. The credit bureau shall keep a register of information security incidents indicating the information about the incident of the information security, the measures taken and the proposed remedial measures, in paper or in electronic form.

      76. Following the results of processing of the incident of the information security, a credit bureau shall conduct a comprehensive analysis of the causes of the incident of information security, its mechanism and consequences. When collecting the technical data from software and hardware involved in the incident of the information security, the safety and consistency of the collected data shall be ensured.

      77. Information about the incident of information security, as well as proposals for corrective measures in order to reduce the likelihood and potential damage from the repeated incident of information security shall be stored in the credit bureau.

      78. For incidents of information security, the likelihood of which is high and cannot be reduced in a short time, the credit bureau shall develop internal documents, describing the algorithm of handling of incidents of information security, the model urgent measures for localization of information security incidents and their consequences, methods of processing of incidents of information security.

Paragraph 7: Requirements for reporting information on the status of the information security management system, events and information security incidents of credit bureaus

      Footnote. The heading of paragraph 7 - as revised by Resolution of the Board of the Agency of the Republic of Kazakhstan on Regulation and Development of Financial Market № 59 dated 16.08.2024 (shall take effect upon expiry of ten calendar days after the day of its first official publication).

      79. Annually, not later than January 20 of the year following the reporting year, the credit bureau shall provide the authorised body with information on the status of the information security management system and its compliance with the Requirements.

      Footnote. Paragraph 79 - as revised by Resolution of the Board of the Agency of the Republic of Kazakhstan on Regulation and Development of Financial Market № 59 of 16.08.2024 (shall come into effect upon expiration of ten calendar days after the day of its first official publication).

      80. Data on the status of the information security management system shall comprise data on (about):

      1) the scope of the credit bureau's information security management system and its participants with specification of compliance of their functionality with the Requirements;

      2) availability of documents governing the creation and operation of the information security management system;

      3) availability and quantitative composition of software and hardware tools applied to ensure information security;

      4) conditions and obligations on information security provided in agreements on rendering services concluded with telecom operators;

      5) availability, logistics and readiness of backup data processing centres;

      6) measures implemented to align the credit bureau's information security management system and information assets with the Requirements.

      Footnote. Paragraph 80 - as revised by Resolution of the Board of the Agency of the Republic of Kazakhstan on Regulation and Development of Financial Market № 59 of 16.08.2024 (shall enter into force ten calendar days after the date of its first official publication).

      81. Data on the status of the information security management system, information security events and incidents shall be reported to the authorised body via an automated information processing system (hereinafter - AIPS) designated for processing information on information security events and incidents and integrated with information security systems or credit bureau systems, collecting and analysing information on events in the information infrastructure in real time or in electronic format using a transport system of guaranteed delivery of information with cryptographic protection means ensuring confidentiality and uncorrectability of the data supplied.

      For a credit bureau with state participation, it shall be permitted to furnish data on information security events and incidents to the authorised body via informatisation objects of the National Bank of the Republic of Kazakhstan integrated with the AIPS.

      Footnote. Paragraph 81 - as revised by Resolution of the Board of the Agency of the Republic of Kazakhstan on Regulation and Development of Financial Market № 59 of 16.08.2024 (shall become effective ten calendar days after the day of its first official publication).

      81-1. The credit bureau shall furnish the authorised body with data on the following information security incidents revealed:

      1) exploitation of vulnerabilities in application and system software;

      2) unauthorised access to the information system;

      3) a denial-of-service attack on an information system or data network;

      4) infection of the server with a malicious programme or code;

      5) unauthorised transfer of funds caused by breach of information security controls;

      6) other information security incidents involving downtime of information systems for more than one hour.

      Data on information security incidents mentioned in this paragraph shall be reported immediately to the credit bureau via AIPS or in electronic format using a transport system of guaranteed information delivery with cryptographic protection means ensuring confidentiality and unadjustability of the reported data.

      For a credit bureau with state participation, it shall be permitted to report data on information security events and incidents to the authorised body via informatisation objects of the National Bank of the Republic of Kazakhstan integrated with the AIPS.

      Footnote. Paragraph 7 has been supplemented with paragraph 81-1 pursuant to Resolution of the Board of the Agency of the Republic of Kazakhstan on Regulation and Development of Financial Market № 59 of 16.08.2024 (shall be put into effect upon expiration of ten calendar days after the date of its first official publication).

      81-2. Data on information security events shall be made available in an automated mode by transmission from information security systems or systems of the credit bureau that collect and analyse information on events in the credit bureau's information infrastructure to the AIPS in real time.

      For a credit bureau with state participation, it shall be permitted to report data on information security events and incidents to the authorised body via informatisation objects of the National Bank of the Republic of Kazakhstan integrated with the AIPS.

      Footnote. Paragraph 7 has been supplemented with paragraph 81-2 pursuant to Resolution of the Board of the Agency of the Republic of Kazakhstan on Regulation and Development of Financial Market № 59 of 16.08.2024 (shall become effective ten calendar days after the date of its first official publication).

Paragraph 8: Information security requirements for the remote service provision software by credit bureaus

      Footnote. Chapter 3 is supplemented by paragraph 8 pursuant to Resolution of the Board of the Agency of the Republic of Kazakhstan on Regulation and Development of Financial Market № 59 of 16.08.2024 (shall come into effect upon expiry of ten calendar days after the day of its first official publication).

      81-3. Software for remote provision of credit bureau services shall cover:

      1) web application server software (hereinafter referred to as web application);

      2) software for mobile devices (hereinafter - mobile application);

      3) software for software interface servers (hereinafter - server software).

      81-4. The credit bureau shall develop and (or) finalise the software for remote service provision in line with the internal documents of the credit bureau governing the procedure for development and (or) finalisation of the software, stages of development and their participants.

      81-5. Where the development and (or) modification of the credit bureau's remote service delivery software is outsourced to a third party organisation and (or) a third party, the credit bureau shall ensure that the third party organisation and (or) third party organisation fulfils the requirements of this Chapter and internal documents, and shall be liable for the security status of the remote service delivery software.

      81-6. The source codes of remote services software developed at the credit bureau shall be archived in specialised code repository management systems located within the security perimeter of the credit bureau, with back-up copying ensured.

      81-7. Regardless of the credit bureau's approach to the development and/or enhancement of remote service delivery software, security testing shall be mandatory and shall cover, at a minimum, the following activities:

      1) static analysis of the source code;

      2) analysis of components and (or) third-party libraries.

      81-8. Static source code analysis of the credit bureau's remote service delivery software shall be conducted with the use of a static source code analysis scanner that supports the analysis of all programming languages used in the software under audit, which functions include, but are not limited to, detecting the following vulnerabilities:

      1) existence of mechanisms that allow malicious code injection;

      2) use of vulnerable operators and functions of programming languages;

      3) use of weak and vulnerable cryptographic algorithms;

      4) using the code that, under certain conditions, causes denial of service or substantial slowdown of the remote service software of the credit bureau;

      5) existence of mechanisms for bypassing the protection systems of the credit bureau's remote service delivery software;

      6) use of open secrets in the code;

      7) breaching application security templates and practices.

      81-9. Analysis of components and (or) third-party libraries of the credit bureau's remote service provision software shall be aimed at identifying known vulnerabilities inherent in the used version of the component and (or) third-party library, as well as tracking dependencies between components and (or) third-party libraries and their versions.

      81-10. The credit bureau shall implement preventive measures to eliminate the vulnerabilities revealed in the order specified by an internal document approved by the executive body. Meanwhile, critical vulnerabilities shall be eliminated prior to the commissioning of the remote service provision software and (or) its new versions.

      81-11. The credit bureau shall launch the remote service delivery software and (or) its new versions upon approval of the information security unit.

      81-12. The credit bureau shall maintain storage and operational access to all versions of source codes of remote service delivery software and security testing results that have been commissioned within the last 3 (three) years.

      81-13. Data exchange between the customer and server sides of the remote service provision software shall be encrypted using Transport Layer Security encryption protocol version 1.2 or higher.

      81-14. When a customer is initially registered in the mobile application, the credit bureau shall biometrically identify the customer via the Identification Data Exchange Centre (hereinafter - IDEC), or using biometric data obtained via the credit bureau's devices.

      81-15. Access code (password) to the mobile application shall be changed using biometric identification of the customer with the use of biometric data confirmed by the IDEC or with the use of biometric data obtained via credit bureau devices.

      81-16. The customer shall be identified and authenticated in the remote service delivery software using two-factor authentication methods (using two out of three factors: knowledge, possession, inalienability) in line with the security procedures established by the internal documents of the credit bureau.

      81-17. The cross-domain authentication mechanism for the remote service delivery software shall be coordinated with the information security unit.

      81-18. The web application shall ensure:

      1) unambiguous identification of the web application belonging to the credit bureau (domain name, logos, corporate colours);

      2) prohibition to store authorisation data in the browser memory;

      3) masking of entered secrets;

      4) informing on the customer's authorisation page of the cyber hygiene measures that are recommended to be followed when using the web application;

      5) handling errors and exclusions in a secure manner, preventing sensitive data from being displayed in the customer interface by providing minimally sufficient error information.

      81-19. The mobile application shall ensure:

      1) unambiguous identification of the mobile application belonging to the credit bureau (data in the official application shop, logos, corporate colours);

      2) blocking the functionality of remote services of the credit bureau in case of detecting signs of breach of integrity and (or) bypassing the protective mechanisms of the operating system, detection of remote management processes;

      3) notification of the customer on the availability of mobile application updates;

      4) the possibility of forced installation of mobile application updates or blocking of mobile application functionality prior to their installation in cases of the need to eliminate critical vulnerabilities;

      5) storage of confidential data in a secure container of the mobile application or storage of system credentials;

      6) exclusion of caching of confidential data;

      7) eliminating sensitive data in public form from the mobile application backups;

      8) informing the customer of the cyber hygiene practices that are recommended to be followed when using the mobile application;

      9) notifying the customer on the events of authorisation under his/her account, change and (or) restoration of password, change of mobile phone number registered by the credit bureau;

      10) in the course of cash transactions - transmission of geolocation data of the mobile device to the credit bureau's server software if authorised by the customer, or transmission of information on the absence of such authorisation.

      81-20. The credit bureau shall ensure on its side:

      1) processing errors and exclusions in a secure manner, without disclosing confidential data in the response, ensuring minimum sufficient information to diagnose the problem;

      2) identification and authentication of mobile applications and associated devices;

      3) validation of data to avoid query spoofing and malware injection attacks.

Chapter 4. Requirements to information security in organization of activities
of information providers

      82. Information provider shall guarantee the integrity and confidentiality of the information, transmitted to the information system of the credit bureau.

      83. The information provider shall provide the appropriate level of information security in accordance with the terms of the contract on provision of information.

      84. The information provider shall provide the performance of organizational-technical, technological requirements and measures necessary for operation and protection of system and applied software used to interact with the information system of the credit bureau.

      85. When using equipment for working with the information system of the credit bureau, the need to protect it from unauthorized access and protection of media and network resources shall be taken into account.

      86. The information provider shall designate the operator (s).

      87. The information provider shall provide a presence of the signed obligations of the operator (s) for non-disclosure and non-distribution of information that became known to them in the course of performance of their duties.

      88. The information provider shall provide the presence of internal documents (including job descriptions), determining the procedure of appointment of operator (s), his (their) rights and responsibilities.

      89. Access to information shall be granted to employees of information providers to the extent necessary for performance of their duties.

      90. The account of the operator, through which he authorizes in the information system of the credit bureau, shall belong to a particular individual.

      91. At the request of the authorized body, an information provider shall provide the information confirming its compliance with the requirements, stipulated by the contract on provision of information.

      92. The operating system of a workstation shall provide the functions for identification and authentication of user and access rights of users and authorization in accordance with the assigned rights.

      93. If a workstation is used to connect to the information system of a credit bureau, the simultaneous connection to other Internet resources shall not be made.

      94. Employees of information provider shall ensure the confidentiality of personal identification and authentication data, used to access information systems.

      95. Employees of information provider shall guarantee the confidentiality of information that became known in the course of using of the information system of the credit bureau.

Chapter 5. Requirements to information security in organization of activities of recipients
of credit reports

      96. The recipient of the credit report shall ensure the confidentiality and integrity of the information, received from the information systems of the credit bureau.

      97. The recipient of the credit report shall ensure the appropriate level of information security in accordance with the terms of the contract on receiving the credit reports.

      98. The recipient of the credit report shall ensure the implementation of organizational-technical, technological requirements and measures necessary for operation and protection of system and applied software, used to interact with the information system of the credit bureau and the processing of the information received.

      99. When using equipment for working with the information system of the credit bureau, the need to protect it from unauthorized access and protection of media, and network resources, used for work with the information system of the credit bureau shall be taken into account.

      100. The recipient of the credit report shall determine and approve the list of responsible persons.

      101. The recipient of the credit report shall ensure the presence of obligations, signed by the responsible (competent) person (s) of the organization, on non-disclosure of the information that became known to them in the course of performance of their duties.

      102. The recipient of the credit report shall ensure the availability of internal documents, defining the procedure for determining and approving the list of responsible persons, their rights and responsibilities (including job descriptions).

      103. Access to information shall be granted to employees to the extent necessary for the performance of their duties.

      104. Account of a responsible person through which he authorizes in the information system of the credit bureau shall correspond to the particular individual.

      105. The recipient of the credit report will carry out the scheduled and unscheduled inspections of compliance of workstations with the Requirements and internal documents of the recipient of a credit report, regulating the information security.

      106. The recipient of the credit report at the request of the authorized body shall submit information confirming its compliance with the requirements, specified in the contract for obtaining credit reports.

      107. Operating system of a workstation shall provide the functions for identification and authentication of user and access rights of users and authorization in accordance with the assigned rights.

      108. The recipient of credit reports shall use its own workstation.

      109. If a workstation is used to connect to the information system of the credit bureau, the simultaneous connection to other Internet resources shall not be made.

      110. Employees of the recipient of credit reports shall ensure the confidentiality of personal identification and authentication data used to access the information systems.

      111. Employees of the recipient of credit reports shall ensure the confidentiality of the information that became known in the course of using the information system of the credit bureau.

  Annex 2
to the resolution of the Board of
the National Bank of the
Republic of Kazakhstan
dated September 27, 2018,
№ 228

Requirements imposed by credit bureaus on information providers and recipients of credit reports

      Footnote. The heading - as revised by Resolution of the Board of the Agency of the Republic of Kazakhstan on Regulation and Development of Financial Market № 59 of 16.08.2024 (shall become effective ten calendar days after the day of its first official publication).

      1. These Requirements imposed by credit bureaus on information providers and credit report recipients (hereinafter referred to as the Requirements) have been drawn up under sub-paragraph 6) of Article 5 of the Law of the Republic of Kazakhstan “On Credit Bureaus and the Formation of Credit Histories in the Republic of Kazakhstan”, and establish requirements for credit bureaus to use information and communication technologies and ensure information security when organising the activities of information providers who are individual entrepreneurs or legal entities, selling goods and services under a loan agreement or granting deferred payments, the systematised attributes thereof are set out in Decree № 25 of the Government of the Republic of Kazakhstan of January 18, 2005 “On Approval of Systematised Attributes of Individual Entrepreneurs or Legal Entities Selling Goods and Services under a Loan Agreement or Granting Deferred Payments” (hereinafter referred to as Decree № 25), natural monopoly entities rendering public utilities services other persons under agreements on provision of information (hereinafter referred to as information providers), as well as recipients of credit reports who are individual entrepreneurs or legal entities, selling goods and services under a loan agreement or granting payment deferrals, the systematised attributes thereof being established by Decree № 25, other persons under the information provision agreements, a representative of bondholders regarding the credit report of the bond issuer with whom an agreement on representation of bondholders' interests has been concluded (hereinafter referred to as the recipients of credit reports).

      Footnote. Paragraph 1 - as revised by Resolution of the Board of the Agency of the Republic of Kazakhstan on Regulation and Development of Financial Market № 59 of 16.08.2024 (shall be enforced upon expiration of ten calendar days after the date of its first official publication).

      2. The requirements of the credit bureaus to the information providers and recipients of credit reports shall be included in the contract on information provision and the contract on receipt of credit reports.

      3. The requirements of credit bureaus to the use of information and communication technologies in organization of activities of information providers and recipients of credit reports shall comply with the requirements of paragraphs 15, 16 and 17 of the Requirements to the use of information and communication technologies and ensuring the information security in organization of the activities of the credit bureaus, information providers and recipients of credit reports, that are banks, organizations, engaged in certain types of banking operations, micro-finance organizations and collection agencies, approved by this resolution.

      4. The requirements of credit bureaus to the provision of information security in organization of activities of information providers and recipients of credit reports shall meet the requirements of chapters 4 and 5 of the Requirements to the use of information and communication technologies and information security in organization of activities of credit bureaus, information providers and recipients of credit reports that are banks, organizations engaged in certain types of banking operations, microfinance organizations and collection agencies, approved by this Resolution.

  Annex 3
to the resolution of the Board
of the National Bank of the
Republic of Kazakhstan
dated September 27, 2018,
№ 228

The list of regulatory legal acts of the Republic of Kazakhstan, as well as structural elements
of some regulatory legal acts of the Republic of Kazakhstan, recognized as invalid

      1. Resolution of the Board of the National Bank of the Republic of Kazakhstan dated May 27, 2015 № 91 "On approval of the Requirements to the use of information and communication technologies and provision of information security in organization of the activities of credit bureaus, information providers and recipients of credit reports" (registered in the Register of state registration of regulatory legal acts under №11669, published on July 30, 2015 in the legal information system "Adilet").

      2. Paragraph 2 of the Resolution of the Board of the National Bank of the Republic of Kazakhstan dated May 30, 2016 № 146 “On amendments and addenda to some regulatory legal acts of the Republic of Kazakhstan on reduction of permits and simplification of authorization procedures (registered in the Register of state registration of regulatory legal acts under №14208, published on October 5, 2016 in the information and legal system "Adilet").

      3. Resolution of the Board of the National Bank of the Republic of Kazakhstan dated June 14, 2017 № 102 "On amendments and addenda to the resolution of the Board of the National Bank of the Republic of Kazakhstan dated May 27, 2015 № 91" On approval of the Requirements to the use of information and communication technologies and provision of information security in organization of the activities of credit bureaus, information providers and recipients of credit reports" (registered in the Register of state registration of regulatory legal acts under № 15608, published on September 15, 2017 in the Reference Control Bank of regulatory legal acts of the Republic of Kazakhstan).