"Кредиттік бюролардың, банктер, банк операцияларының жекелеген түрлерін жүзеге асыратын ұйымдар, микроқаржы ұйымдары және коллекторлық агенттіктер болып табылатын ақпарат берушілердің және кредиттік есептерді алушылардың қызметін ұйымдастыру кезінде ақпараттық-коммуникациялық технологияларды пайдалануға және ақпараттық қауіпсіздікті қамтамасыз етуге қойылатын талаптарды, сондай-ақ "Қазақстан Республикасындағы кредиттік бюролар және кредиттік тарихты қалыптастыру туралы" 2004 жылғы 6 шілдедегі Қазақстан Республикасы Заңының 27-бабы 2-тармағының 11) тармақшасына және 3-тармағының 9) тармақшасына сәйкес кредиттік бюролардың ақпаратты берушілерге және кредиттік есептерді алушыларға қойылатын талаптардын бекіту туралы" Қазақстан Республикасы Ұлттық Банкі Басқармасының 2018 жылғы 27 қыркүйектегі № 228 қаулысына өзгерістер мен толықтырулар енгізу туралы

Қазақстан Республикасы Қаржы нарығын реттеу және дамыту агенттігі Басқармасының 2024 жылғы 16 тамыздағы № 59 қаулысы. Қазақстан Республикасының Әділет министрлігінде 2024 жылғы 19 тамызда № 34948 болып тіркелді

      Қазақстан Республикасы Қаржы нарығын реттеу және дамыту агенттігінің Басқармасы ҚАУЛЫ ЕТЕДІ:

      1. "Кредиттік бюролардың, банктер, банк операцияларының жекелеген түрлерін жүзеге асыратын ұйымдар, микроқаржы ұйымдары және коллекторлық агенттіктер болып табылатын ақпарат берушілердің және кредиттік есептерді алушылардың қызметін ұйымдастыру кезінде ақпараттық-коммуникациялық технологияларды пайдалануға және ақпараттық қауіпсіздікті қамтамасыз етуге қойылатын талаптарды, сондай-ақ "Қазақстан Республикасындағы кредиттік бюролар және кредиттік тарихты қалыптастыру туралы" 2004 жылғы 6 шілдедегі Қазақстан Республикасы Заңының 27-бабы 2-тармағының 11) тармақшасына және 3-тармағының 9) тармақшасына сәйкес кредиттік бюролардың ақпаратты берушілерге және кредиттік есептерді алушыларға қойылатын талаптарды бекіту туралы" Қазақстан Республикасының Ұлттық Банкі Басқармасының 2018 жылғы 27 қыркүйектегі № 228 қаулысына (Нормативтік құқықтық актілерді мемлекеттік тіркеу тізілімінде № 17702 болып тіркелген) (бұдан әрі – қаулы) мынадай өзгерістер мен толықтырулар енгізілсін:

      қаулыда:

      тақырыбы мынадай редакцияда жазылсын:

      "Кредиттік бюролардың, ақпарат берушілердің және кредиттік есептерді алушылардың қызметін ұйымдастыру кезінде ақпараттық-коммуникациялық технологияларды пайдалануға және ақпараттық қауіпсіздікті қамтамасыз етуге қойылатын талаптарды, сондай-ақ Кредиттік бюролардың ақпарат берушілерге және кредиттік есептерді алушыларға қоятын талаптарын бекіту туралы;

      кіріспесі мынадай редакцияда жазылсын:

      "Қазақстан Республикасындағы кредиттік бюролар және кредиттік тарихты қалыптастыру туралы" Қазақстан Республикасының Заңы 5-бабының 6) тармақшасына сәйкес Қазақстан Республикасы Ұлттық Банкінің Басқармасы ҚАУЛЫ ЕТЕДІ:";

      1-тармақ мынадай редакцияда жазылсын:

      "1. Мыналар:

      1) осы қаулыға 1-қосымшаға сәйкес Кредиттік бюролардың, ақпарат берушілердің және кредиттік есептерді алушылардың қызметін ұйымдастыру кезінде ақпараттық-коммуникациялық технологияларды пайдалануға және ақпараттық қауіпсіздікті қамтамасыз етуге қойылатын талаптар;

      2) осы қаулыға 2-қосымшаға сәйкес Кредиттік бюролардың ақпарат берушілерге және кредиттік есептерді алушыларға қоятын талаптары бекітілсін.";

      1-қосымшада:

      тақырыбы мынадай редакцияда жазылсын:

      "Кредиттік бюролардың, ақпарат берушілердің және кредиттік есептерді алушылардың қызметін ұйымдастыру кезінде ақпараттық-коммуникациялық технологияларды пайдалануға және ақпараттық қауіпсіздікті қамтамасыз етуге қойылатын талаптар";

      1-тармақ мынадай редакцияда жазылсын:

      "1. Осы Кредиттік бюролардың, ақпарат берушілердің және кредиттік есептерді алушылардың қызметін ұйымдастыру кезінде ақпараттық-коммуникациялық технологияларды пайдалануға және ақпараттық қауіпсіздікті қамтамасыз етуге қойылатын талаптар "Қазақстан Республикасындағы кредиттік бюролар және кредиттік тарихты қалыптастыру туралы" Қазақстан Республикасының Заңы 5-бабының 6) тармақшасына сәйкес әзірленді және банкпен, банк операцияларының жекелеген түрлерін жүзеге асыратын ұйыммен, микроқаржылық қызметті жүзеге асыратын ұйыммен, коллекторлық агенттікпен, бас банктің күмәнді және үмітсіз активтерін сатып алатын банктің еншілес ұйымымен, екінші деңгейдегі банктердің кредиттік портфельдерінің сапасын жақсартуға маманданатын ұйыммен, микроқаржы ұйымының қамтамасыз етілген облигацияларды шығару немесе қарыздар алу кезінде микрокредит беру туралы шарт бойынша талап ету құқықтарын кепіл ұстаушы-заңды тұлғамен, секьюритилендіру мәмілесі кезінде Қазақстан Республикасының секьюритилендіру және жобалық қаржыландыру туралы заңнамасына сәйкес құрылған арнайы қаржы компаниясымен, акцияларының жүз пайызы Қазақстан Республикасының Ұлттық Банкіне тиесілі кәсіпкерлік қызметпен байланысты емес жеке тұлғалардың ипотекалық қарыздарын сатып алуды жүзеге асыратын тұлғамен, банктерде және банк операцияларының жекелеген түрлерін жүзеге асыратын ұйымдарда, микроқаржы ұйымдарында қаржыны негізделген орналастыру арқылы жеке кәсіпкерлік субъектілерін қаржыландыру жөніндегі мәміле шеңберінде жасалған банктік қарыз шарты, микрокредит беру шарты бойынша жеке кәсіпкерлікті дамытудың арнайы қорымен, өзге тұлғамен – кәсіпкерлік қызметті жүзеге асырумен байланысты жеке тұлғаның банктік қарыз шарты бойынша, микрокредит беру туралы шарт бойынша немесе ол бойынша халықаралық қаржылық есептілік стандарттарына сәйкес, оның ішінде банктік қарыз шарты бойынша, микрокредит беру туралы шарт бойынша құқықты (талапты) сатып алу немесе пайда болу (құру) сәтіне құнсыздану белгілері анықталған заңды тұлғаның банктік қарыз шарты бойынша, микрокредит беру туралы шарт бойынша құқықтарына (талаптарына) қатысты жасалған банктік қарыз шарттары және (немесе) микрокредит беру туралы шарттар бойынша құқықтарды (талаптарды) сенімгерлік басқару шеңберінде банктік қарыз шарттары және (немесе) микрокредит беру туралы шарттар бойынша банктер, банк операцияларының жекелеген түрлерін жүзеге асыратын ұйымдар, микроқаржылық қызметті жүзеге асыратын ұйымдар, құқықтарды (талаптарды) сенімгерлік басқаруды жүзеге асыратын коллекторлық агенттіктер мен сервистік компаниялардың қызметін ұйымдастыру кезінде ақпараттық-коммуникациялық технологияларды пайдалануға және ақпараттық қауіпсіздікті қамтамасыз етуге қойылатын талаптарды белгілейді.";

      37-тармақ мынадай редакцияда жазылсын:

      "37. Кредиттік бюроның құрылымдық бөлімшелерінің басшылары:

      1) қызметкерлердің кредиттік бюроның ақпараттық қауіпсіздікке қойылатын талаптарды (бұдан әрі – ақпараттық қауіпсіздікке қойылатын талаптар) қамтитын ішкі құжаттарымен танысуын қамтамасыз етеді;

      2) олар басқаратын бөлімшелерде ақпараттық қауіпсіздікті қамтамасыз етуге дербес жауапкершілік атқарады.

      3) кредиттік бюро бөлімшесі келісімдерді, шарттарды жасасуға бастамашы болған жағдайларда конфиденциалды ақпаратты жария етпеу туралы келісімдер жасасуды және ақпараттық қауіпсіздікті қамтамасыз ету туралы талаптарды осындай келісімдерге, қызметтер көрсетуге/жұмыстарды орындауға арналған шарттарға енгізуді қамтамасыз етеді.";

      мынадай мазмұндағы 40-1-тармақпен толықтырылсын:

      "40-1. Үшінші тұлғалардың кредиттік бюросының ақпараттық активтеріне қолжетімділік Қазақстан Республикасының заңнамасында көзделген жағдайларды қоспағанда, ақпараттық қауіпсіздікке қойылатын талаптарды сақтау туралы талаптарды қамтитын келісім, шарт негізінде жүргізілетін жұмыстар айқындайтын кезеңге және көлемде беріледі. Ақпарат берушімен, кредиттік есептерді алушымен, үшінші тұлғалармен жасалатын келісімдерде, шарттарда конфиденциалдылық туралы ережелер, ақпараттық қауіпсіздіктің бұзылуы, сондай-ақ ақпараттық жүйелердің жұмысындағы іркілістер және кредиттік бюроның, ақпарат берушінің, кредиттік есептерді алушының, үшінші тұлғалардың әрекетінен немесе әрекетсіздігінен туындаған олардың қауіпсіздігінің бұзылуы салдарынан туындаған залалды өтеу туралы талаптар қамтылады.";

      7-параграфтың тақырыбы мынадай редакцияда жазылсын:

      "7-параграф. Кредиттік бюролардың ақпараттық қауіпсіздігінің жай-күйі, оқиғалары мен оқыс оқиғалары туралы ақпаратты ұсынуға қойылатын талаптар";

      79, 80 және 81-тармақтар мынадай редакцияда жазылсын:

      "79. Кредиттік бюро жыл сайын, есепті жылдан кейінгі жылдың 20 қаңтарынан кешіктірмей уәкілетті органға ақпараттық қауіпсіздікті басқару жүйесінің жай-күйі және оның Талаптарға сәйкестігі туралы ақпарат ұсынады.

      80. Ақпараттық қауіпсіздіктің жай-күйі туралы ақпаратта:

      1) кредиттік бюроның ақпараттық қауіпсіздігін басқару жүйесінің қолданылу аясы және олардың функционалының Талаптарға сәйкестігі көрсетіле отырып оның қатысушылары;

      2) ақпараттық қауіпсіздікті басқару жүйесін құру және оның жұмыс істеуін регламенттейтін құжаттардың болуы;

      3) ақпараттық қауіпсіздікті қамтамасыз ету үшін пайдаланылатын бағдарламалық-техникалық құралдардың болуы және сандық құрамы;

      4) байланыс операторларымен жасалған қызмет көрсету туралы шарттардағы ақпараттық қауіпсіздікті қамтамасыз ету жөніндегі талаптар мен міндеттемелер;

      5) деректерді өңдеудің резервтік орталықтарының болуы, материалдық-техникалық қамтамасыз етілуі және дайындығы;

      6) кредиттік бюроның ақпараттық қауіпсіздігін және ақпараттық активтерін басқару жүйесін Талаптарға сәйкес келтіру бойынша жүргізілген іс-шаралар туралы мәліметтер қамтылады.

      81. Ақпараттық қауіпсіздіктің жай-күйі, ақпараттық қауіпсіздіктің оқиғалары мен оқыс оқиғалары туралы ақпарат уәкілетті органға оқиғалар мен оқыс оқиғалар туралы ақпаратты өңдеуге арналған ақпараттық қауіпсіздік және ақпараттық қауіпсіздік жүйелерімен немесе кредиттік бюро жүйелерімен біріктірілген, ұсынылатын деректердің конфиденциалдылығы мен түзету енгізбеуді қамтамасыз ететін криптографиялық қорғаныс құралдарымен ақпаратты кепілді жеткізудің транспорттық жүйесін қолданумен, ақпараттық инфрақұрылымдағы немесе электрондық форматтағы оқиғалар туралы ақпаратты нақты уақытта жинауды және талдауды жүзеге асыратын ақпаратты өңдеудің автоматтандырылған жүйесі (бұдан әрі – АӨАЖ) арқылы ұсынылады.

      Мемлекет қатысатын кредиттік бюро үшін ақпараттық қауіпсіздік оқиғалары мен оқыс оқиғалары туралы ақпаратты уәкілетті органға Қазақстан Республикасы Ұлттық Банкінің ААӨЖ-мен ықпалдастырылған ақпараттандыру объектілері арқылы беруге жол беріледі.";

      мынадай мазмұндағы 81-1 және 81-2-тармақтармен толықтырылсын:

      "81-1. Кредиттік бюро уәкілетті органға мынадай анықталған ақпараттық қауіпсіздік оқиғалары туралы ақпарат береді:

      1) қолданбалы және жүйелік бағдарламалық қамтылымдағы осалдықтарды пайдалану;

      2) ақпараттық жүйеге рұқсатсыз кіру;

      3) ақпараттық жүйеге немесе деректерді беру желісіне "қызмет көрсетуден бас тарту" шабуылы;

      4) серверге зиянды бағдарлама немесе код енгізу;

      5) ақпараттық қауіпсіздікті бақылауды бұзу салдарынан ақшалай қаражатты рұқсатсыз аударуды жүзеге асыру;

      6) ақпараттық жүйелердің бір сағаттан артық тоқтап қалуына әкеп соққан ақпараттық қауіпсіздіктің өзге де оқыс оқиғалары.

      Осы тармақта көрсетілген ақпараттық қауіпсіздіктің оқыс оқиғалары туралы ақпарат кредиттік бюроға ұсынылатын деректердің конфиденциалдылығын және түзету енгізбеуді қамтамасыз ететін криптографиялық қорғаныс құралдарымен ақпаратты кепілді жеткізудің транспорттық жүйесін қолданумен, АӨАЖ арқылы немесе электрондық форматта дереу беріледі.

      Мемлекет қатысатын кредиттік бюро үшін ақпараттық қауіпсіздік оқиғалары мен оқыс оқиғалары туралы ақпаратты уәкілетті органға Қазақстан Республикасы Ұлттық Банкінің ААӨЖ-мен ықпалдастырылған ақпараттандыру объектілері арқылы беруге жол беріледі.

      81-2. Ақпараттық қауіпсіздік оқиғалары туралы ақпарат АӨАЖ-дағы кредиттік бюроның ақпараттық инфрақұрылымындағы оқиғалар туралы ақпаратты нақты уақытта жинауды және талдауды жүзеге асыратын ақпараттық қауіпсіздік жүйелерінен немесе кредиттік бюро жүйелерінен беру арқылы автоматтандырылған режимде беріледі.

      Мемлекет қатысатын кредиттік бюро үшін ақпараттық қауіпсіздік оқиғалары мен оқыс оқиғалары туралы ақпаратты уәкілетті органға Қазақстан Республикасы Ұлттық Банкінің ААӨЖ-мен ықпалдастырылған ақпараттандыру объектілері арқылы беруге жол беріледі.";

      3-тарау мынадай мазмұндағы 8-параграфпен толықтырылсын:

      "8-параграф. Кредиттік бюролардың қызметтерді қашықтан көрсететін бағдарламалық қамтылымының ақпараттық қауіпсіздігін қамтамасыз етуге қойылатын талаптар

      81-3. Кредиттік бюроның қызметтерді қашықтан көрсететін бағдарламалық қамтылымына мыналар кіреді:

      1) веб-қосымшалар серверлерінің бағдарламалық қамтылымы (бұдан әрі – веб-қосымша);

      2) мобильдік құрылғыларға (бұдан әрі – мобильдік қосымша) арналған бағдарламалық қамтылым;

      3) бағдарламалық интерфейстер серверлерінің бағдарламалық қамтылымы (бұдан әрі – серверлік БҚ).

      81-4. Қызметтерді қашықтан көрсететін бағдарламалық қамтылымды әзірлеуді және (немесе) пысықтауды кредиттік бюроның бағдарламалық қамтылымын әзірлеу және (немесе) пысықтау тәртібін, әзірлеу кезеңдерін және олардың қатысушыларын регламенттейтін ішкі құжаттарына сәйкес кредиттік бюро жүзеге асырады.

      81-5. Егер кредиттік бюро қызметтерді қашықтан көрсететін бағдарламалық қамтылымды әзірлеу және (немесе) пысықтау тысқары ұйымға және (немесе) үшінші тұлғаға берген жағдайда, кредиттік бюро тысқары ұйымның және (немесе) үшінші тұлғаның осы тараудың және ішкі құжаттардың талаптарын орындауын қамтамасыз етеді, қызметтерді қашықтан көрсететін бағдарламалық қамтылым қауіпсіздігінің жай-күйіне жауап береді.

      81-6. Кредиттік бюрода әзірленетін қызметтерді қашықтан көрсететін бағдарламалық қамтылымның бастапқы кодтарын сақтау резервтік көшіруді қамтамасыз ете отырып, кредиттік бюроның қорғау аясында орналастырылатын код репозиторийлерін басқарудың мамандандырылған жүйелерінде жүзеге асырылады.

      81-7. Кредиттік бюрода қабылданған қызметтерді қашықтан көрсететін бағдарламалық қамтылымды әзірлеу және (немесе) пысықтау тәсіліне қарамастан, қауіпсіздікті тестілеу міндетті болып табылады, оның барысында кем дегенде мынадай іс-шаралар жүзеге асырылады:

      1) бастапқы кодты статикалық талдау;

      2) құрауыштарды және (немесе) тысқары кітапханаларды талдау.

      81-8. Кредиттік бюроның қызметтерді қашықтан көрсететін бағдарламалық қамтылымының бастапқы кодын статикалық талдау тексерілетін бағдарламалық қамтылымда қолданылатын барлық бағдарламалау тілдерін талдауды қолдайтын бастапқы кодтарды статикалық талдау сканерін қолдана отырып жүзеге асырылады, оның функциялары келесі осалдықтарды анықтауды қамтиды, бірақ олармен шектелмейді:

      1) зиянды кодты инъекциялауға мүмкіндік беретін тетіктердің болуы;

      2) бағдарламалау тілдерінің осал операторлары мен функцияларын пайдалану;

      3) әлсіз және осал криптографиялық алгоритмдерді пайдалану;

      4) белгілі бір жағдайларда қызмет көрсетуден бас тартуды немесе кредиттік бюроның қызметтерді қашықтан көрсететін бағдарламалық қамтылымының жұмысын айтарлықтай баяулатуды тудыратын кодты пайдалану;

      5) кредиттік бюроның қызметтерді қашықтан көрсететін бағдарламалық қамтылымын қорғау жүйелерін айналып өту тетіктерінің болуы;

      6) кодта құпияларды ашық түрде пайдалану;

      7) қосымшаның қауіпсіздігін қамтамасыз ету үлгілері мен практикаларын бұзу.

      81-9. Кредиттік бюроның қызметтерді қашықтан көрсететін бағдарламалық қамтылымының құрауыштарын және (немесе) тысқары кітапханаларын талдау құрауыштың және (немесе) тысқары кітапхананың пайдаланылатын нұсқасына тән белгілі осалдықтарды анықтау, сондай-ақ құрауыштар және (немесе) тысқары кітапханалар мен олардың нұсқалары арасындағы тәуелділіктерді қадағалау мақсатында жүргізіледі.

      81-10. Кредиттік бюро атқарушы орган бекіткен ішкі құжатта айқындалған тәртіппен анықталған осалдықтарды жою жөніндегі түзету шараларының іске асырылуын қамтамасыз етеді. Бұл ретте маңызды осалдықтар қызметтерді қашықтан көрсететін бағдарламалық қамтылымды және (немесе) оның жаңа нұсқаларын пайдалануға бергенге дейін жойылады.

      81-11. Кредиттік бюро ақпараттық қауіпсіздік жөніндегі бөлімшемен келісілгеннен кейін қызметтерді қашықтан көрсететін бағдарламалық қамтылымды және (немесе) оның жаңа нұсқаларын пайдалануға енгізуді жүзеге асырады.

      81-12. Кредиттік бюро соңғы 3 (үш) жыл ішінде пайдалануға берілген қызметтерді қашықтан көрсететін бағдарламалық қамтылымның бастапқы кодтарының және қауіпсіздікті тестілеу нәтижелерінің барлық нұсқаларын сақтауды және жедел режимде оларға қол жеткізуді қамтамасыз етеді.

      81-13. Қызметтерді қашықтан көрсететін бағдарламалық қамтылымның клиенттік және серверлік тараптары арасында деректер алмасу Transport Layer Security (Транспорт Лейер Секьюрити) шифрлау хаттамасының 1.2-ден төмен емес нұсқасын пайдалана отырып шифрланады.

      81-14. Клиентті мобильді қосымшада бастапқы тіркеу кезінде кредиттік бюро сәйкестендіру деректерімен алмасу орталығы (бұдан әрі - СДАО) арқылы немесе кредиттік бюро құрылғылары арқылы алынған биометриялық деректерді пайдалана отырып, Клиентті биометриялық сәйкестендіруді жүзеге асырады.

      81-15. Мобильдік қосымшаға кіру кодын (құпиясөзін) өзгерту СДАО растаған биометриялық деректерді пайдалана отырып, клиенттің биометриялық сәйкестендіруін қолдану немесе несиелік бюро құрылғылары арқылы алынған биометриялық деректерді пайдалану арқылы жүзеге асырылады.

      81-16. Қызметтерді қашықтан көрсететін бағдарламалық қамтылымда клиентті идентификаттау және бірдейлендіру кредиттік бюроның ішкі құжаттарында белгіленген қауіпсіздік рәсімдеріне сәйкес екі факторлы бірдейлендіру тәсілдерін (үш фактордың екеуін: білімін, иеленуін, ажырамастығын) пайдалана отырып жүзеге асырылады.

      81-17. Қызметтерді қашықтан көрсететін бағдарламалық қамтылымды кроссдомендік бірдейлендіру тетігі ақпараттық қауіпсіздік бөлімшесімен келісіледі.

      81-18. Веб-бағдарлама:

      1) веб-қосымшаның кредиттік бюроға тиесілігін идентификаттаудың (домендік атауы, логотиптері, корпоративтік түстері) бірегейлігін;

      2) браузердің жадында авторизациялық деректерді сақтауға тыйым салуды;

      3) енгізілген құпияларды жасыруды;

      4) веб-қосымшаны пайдалану кезінде клиенттің авторизациялау парағында ұстануға ұсынылатын кибергигиенаны қамтамасыз ету шаралары туралы хабар беруді;

      5) клиент интерфейсінде конфиденциалды деректердің көрсетілуіне жол бермей, қате туралы ең аз жеткілікті ақпарат бере отырып, қателер мен ерекшеліктерді қауіпсіз тәсілмен өңдеуді қамтамасыз етеді.

      81-19. Мобильдік қосымша:

      1) мобильдік қосымшаның кредиттік бюроға тиесілігін идентификаттаудың (ресми қосымшалар дүкеніндегі деректер, логотиптер, корпоративтік түстер) бірегейлігін;

      2) операциялық жүйенің тұтастығын бұзу және (немесе) қорғау тетіктерін айналып өту, қашықтан басқару процестерін анықтау белгілері анықталған жағдайда кредиттік бюроның қашықтан қызмет көрсету жөніндегі функционалын бұғаттауды;

      3) клиентке мобильдік қосымша жаңартуларының бар екендігі туралы хабарлауды;

      4) маңызды осалдықтарды жою қажет болған жағдайларда мобильдік қосымшаның жаңартуларын мәжбүрлеп орнату немесе оларды орнатқанға дейін мобильдік қосымшаның функционалын бұғаттау мүмкіндігін;

      5) құпия деректерді мобильдік қосымшаның қорғалған контейнерінде немесе жүйелік есептік деректер қоймасында сақтауды;

      6) құпия деректерді кэштеуді болдырмауды;

      7) мобильдік қосымшаның резервтік көшірмелерінен құпия деректерді ашық түрде алып тастауды;

      8) клиентті мобильдік қосымшаны пайдалану кезінде ұстануға ұсынылатын кибергигиенаны қамтамасыз ету әдістері туралы хабардар етуді;

      9) клиентті оның есептік жазбасындағы авторландыру оқиғалары, құпиясөзді өзгерту және (немесе) қалпына келтіру, кредиттік бюро, тіркеген ұялы телефон нөмірін өзгерту туралы хабардар етуді;

      10) ақшалай қаражатпен операцияларды жүзеге асыру барысында клиенттен рұқсат болған кезде мобильдік құрылғының геолокациялық деректерін кредиттік бюроның серверлік БҚ-ға беру не мұндай рұқсаттың жоқ екендігі туралы ақпаратты беруді қамтамасыз етеді.

      81-20. Кредиттік бюро өз тарапынан:

      1) жауапта конфиденциалды деректердің жария етілуіне жол бермей, проблеманың диагностикасы үшін ең аз жеткілікті ақпарат бере отырып, қателер мен ерекшеліктерді қауіпсіз тәсілмен өңдеуді;

      2) мобильдік қосымшаларды және олармен байланысты құрылғыларды идентификаттауды және бірдейлендіруді;

      3) жасанды сұратулар мен зиян код инъекциялары шабуылдарының алдын алу үшін деректердің жарамдылығын тексеруді қамтамасыз етеді.";

      2-қосымшада:

      тақырып мынадай редакцияда жазылсын:

      "Кредиттік бюролардың ақпарат берушілерге және кредиттік есептерді алушыларға қоятын талаптары";

      1-тармақ мынадай редакцияда жазылсын:

      "1. Осы кредиттік бюролардың ақпарат берушілерге және кредиттік есептерді алушыларға қойылатын Талаптары (бұдан әрі – Талаптар) "Қазақстан Республикасындағы кредиттік бюролар және кредиттік тарихты қалыптастыру туралы" Қазақстан Республикасы Заңының 5-бабының 6) тармақшасына сәйкес әзірленді және жүйелендірілген белгілері "Тауарларды және көрсетiлетiн қызметтердi кредитке өткiзетiн не төлемдердiң мерзiмiн ұзартатын жеке кәсiпкерлердiң немесе заңды тұлғалардың жүйелендiрiлген белгiлерiн бекiту туралы" Қазақстан Республикасы Үкіметінің 2005 жылғы 18 қаңтардағы № 25 Қаулысында (бұдан әрі - № 25 Қаулы) айқындалатын тауарларды және көрсетiлетiн қызметтердi кредитке өткiзетiн не төлемдердiң мерзiмiн ұзартатын жеке кәсiпкерлер немесе заңды тұлға, коммуналдық қызметтерді көрсететін табиғи монополия субъектілері, ақпарат беру туралы шарттардың негізінде өзге де тұлғалар болып табылатын (бұдан әрі – ақпарат берушілер) ақпарат берушілердің, сондай-ақ жүйелендірілген белгілері № 25 қаулыда айқындалатын тауарларды және көрсетiлетiн қызметтердi кредитке өткiзетiн не төлемдердiң мерзiмiн ұзартатын жеке кәсiпкерлерлер немесе заңды тұлға, ақпарат беру туралы шарт негізінде өзге де тұлғалар, облигациялар ұстаушылардың мүдделерін білдіру туралы шарт жасалған облигациялар эмитентінің кредиттік есебіне қатысты облигациялар ұстаушылардың өкілі болып табылатын кредиттік есептерді алушылардың (бұдан әрі – кредиттік есептерді алушылар) қызметін ұйымдастыру кезінде ақпараттық-коммуникациялық технологияларды пайдалануға және ақпараттық қауіпсіздікті қамтамасыз етуге кредиттік бюролар қоятын талаптарды айқындайды.".

      2. Ақпараттық және киберқауіпсіздік департаменті Қазақстан Республикасының заңнамасында белгіленген тәртіппен:

      1) Заң департаментімен бірлесіп осы қаулыны Қазақстан Республикасының Әділет министрлігінде мемлекеттік тіркеуді;

      2) осы қаулыны ресми жарияланғаннан кейін Қазақстан Республикасы Қаржы нарығын реттеу және дамыту агенттігінің ресми интернет-ресурсына орналастыруды;

      3) осы қаулы мемлекеттік тіркелгеннен кейін он жұмыс күні ішінде Заң департаментіне осы тармақтың 2) тармақшасында көзделген іс-шараның орындалуы туралы мәліметтерді ұсынуды қамтамасыз етсін.

      3. Осы қаулының орындалуын бақылау Қазақстан Республикасының Қаржы нарығын реттеу және дамыту агенттігі Төрағасының жетекшілік ететін орынбасарына жүктелсін.

      4. Осы қаулы алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі.

      Қазақстан Республикасының
Қаржы нарығын реттеу және
дамыту Агенттігінің Төрағасы
М. Абылкасымова

О внесении изменений и дополнений в постановление Правления Национального Банка Республики Казахстан от 27 сентября 2018 года № 228 "Об утверждении Требований к использованию информационно-коммуникационных технологий и обеспечению информационной безопасности при организации деятельности кредитных бюро, поставщиков информации и получателей кредитных отчетов, являющихся банками, организациями, осуществляющими отдельные виды банковских операций, микрофинансовыми организациями и коллекторскими агентствами, а также Требований, предъявляемых кредитными бюро к поставщикам информации и получателям кредитных отчетов в соответствии с подпунктом 11) пункта 2 и подпунктом 9) пункта 3 статьи 27 Закона Республики Казахстан от 6 июля 2004 года "О кредитных бюро и формировании кредитных историй в Республике Казахстан"

Постановление Правления Агентства Республики Казахстан по регулированию и развитию финансового рынка от 16 августа 2024 года № 59. Зарегистрировано в Министерстве юстиции Республики Казахстан 19 августа 2024 года № 34948

      Правление Агентства Республики Казахстан по регулированию и развитию финансового рынка ПОСТАНОВЛЯЕТ:

      1. Внести в постановление Правления Национального Банка Республики Казахстан от 27 сентября 2018 года № 228 "Об утверждении Требований к использованию информационно-коммуникационных технологий и обеспечению информационной безопасности при организации деятельности кредитных бюро, поставщиков информации и получателей кредитных отчетов, являющихся банками, организациями, осуществляющими отдельные виды банковских операций, микрофинансовыми организациями и коллекторскими агентствами, а также Требований, предъявляемых кредитными бюро к поставщикам информации и получателям кредитных отчетов в соответствии с подпунктом 11) пункта 2 и подпунктом 9) пункта 3 статьи 27 Закона Республики Казахстан от 6 июля 2004 года "О кредитных бюро и формировании кредитных историй в Республике Казахстан" (зарегистрировано в Реестре государственной регистрации нормативных правовых актов под № 17702) (далее - постановление) следующие изменения и дополнения:

      в постановлении:

      заголовок изложить в следующей редакции: "Об утверждении Требований к использованию информационно-коммуникационных технологий и обеспечению информационной безопасности при организации деятельности кредитных бюро, поставщиков информации и получателей кредитных отчетов, а также Требований, предъявляемых кредитными бюро к поставщикам информации и получателям кредитных отчетов;

      преамбулу изложить в следующей редакции:

      "В соответствии с подпунктом 6) статьи 5 Закона Республики Казахстан "О кредитных бюро и формировании кредитных историй в Республике Казахстан" Правление Национального Банка Республики Казахстан ПОСТАНОВЛЯЕТ:";

      пункт 1 изложить в следующей редакции:

      "1. Утвердить:

      1) Требования к использованию информационно-коммуникационных технологий и обеспечению информационной безопасности при организации деятельности кредитных бюро, поставщиков информации и получателей кредитных отчетов согласно приложению 1 к настоящему постановлению;

      2) Требования, предъявляемые кредитными бюро к поставщикам информации и получателям кредитных отчетов согласно приложению 2 к настоящему постановлению.";

      в приложении 1:

      заголовок изложить в следующей редакции:

      "Требования к использованию информационно-коммуникационных технологий и обеспечению информационной безопасности при организации деятельности кредитных бюро, поставщиков информации и получателей кредитных отчетов";

      пункт 1 изложить в следующей редакции:

      "1. Настоящие Требования к использованию информационно-коммуникационных технологий и обеспечению информационной безопасности при организации деятельности кредитных бюро, поставщиков информации и получателей кредитных отчетов разработаны в соответствии с подпунктом 6) статьи 5 Закона Республики Казахстан "О кредитных бюро и формировании кредитных историй в Республике Казахстан" и устанавливают требования к использованию информационно-коммуникационных технологий и обеспечению информационной безопасности при организации деятельности кредитных бюро, банков, организаций, осуществляющих отдельные виды банковских операций, организаций, осуществляющих микрофинансовую деятельность, коллекторских агентств и сервисных компаний, осуществляющих доверительное управление правами (требованиями) по договорам банковского займа и (или) договорам о предоставлении микрокредита в рамках договора доверительного управления правами (требованиями) по договорам банковского займа и (или) договорам о предоставлении микрокредита, заключенного с банком, организацией, осуществляющей отдельные виды банковских операций, организацией, осуществляющей микрофинансовую деятельность, коллекторским агентством, дочерней организацией банка, приобретающей сомнительные и безнадежные активы родительского банка, организацией, специализирующейся на улучшении качества кредитных портфелей банков второго уровня, юридическим лицом – залогодержателем прав требования по договору о предоставлении микрокредита при выпуске микрофинансовой организацией обеспеченных облигаций или получении займов, специальной финансовой компанией, созданной в соответствии с законодательством Республики Казахстан о проектном финансировании и секьюритизации, при сделке секьюритизации, лицом, осуществляющим выкуп ипотечных займов физических лиц, не связанных с предпринимательской деятельностью, сто процентов акций которого принадлежат Национальному Банку Республики Казахстан, специальном фондом развития частного предпринимательства – по договору банковского займа, по договору о предоставлении микрокредита, заключенному в рамках сделки по финансированию субъектов частного предпринимательства путем обусловленного размещения средств в банках и организациях, осуществляющих отдельные виды банковских операций, микрофинансовых организациях, иным лицом – в отношении права (требования) по договору банковского займа, по договору о предоставлении микрокредита физического лица, связанного с осуществлением предпринимательской деятельности, или по договору банковского займа, по договору о предоставлении микрокредита юридического лица, по которому выявлены признаки обесценения в соответствии с международными стандартами финансовой отчетности, в том числе на момент приобретения или возникновения (создания) права (требования) по договору банковского займа, по договору о предоставлении микрокредита.";

      пункт 37 изложить в следующей редакции:

      "37. Руководители структурных подразделений кредитного бюро:

      1) обеспечивают ознакомление работников с внутренними документами кредитного бюро, содержащими требования к информационной безопасности (далее – требования к информационной безопасности);

      2) несут персональную ответственность за обеспечение информационной безопасности в возглавляемых ими подразделениях;

      3) обеспечивают заключение соглашений о неразглашении конфиденциальной информации и включение условий об обеспечении информационной безопасности в соглашения, договоры на оказание услуг/выполнение работ в случаях, когда подразделение кредитного бюро выступает инициатором заключения таких соглашений, договоров.";

      дополнить пунктом 40-1 следующего содержания:

      "40-1. Доступ к информационным активам кредитного бюро третьих лиц предоставляется на период и в объеме, определяемыми проводимыми работами на основании соглашения, договора, включающего условия о соблюдении требований к информационной безопасности, за исключением случаев, предусмотренных законодательством Республики Казахстан. В соглашениях, договорах, заключаемых с поставщиком информации, получателем кредитных отчетов, третьими лицами, содержатся положения о конфиденциальности, условия о возмещении ущерба, возникшего вследствие нарушения информационной безопасности, а также сбоев в работе информационных систем и нарушения их безопасности, вызванных действием или бездействием кредитного бюро, поставщика информации, получателя кредитных отчетов, третьих лиц.";

      заголовок параграфа 7 изложить в следующей редакции:

      "Параграф 7. Требования к предоставлению информации о состоянии системы управления информационной безопасностью, событиях и инцидентах информационной безопасности кредитных бюро";

      пункты 79, 80 и 81 изложить в следующей редакции:

      "79. Кредитное бюро ежегодно, не позднее 20 января года, следующего за отчетным годом, представляет в уполномоченный орган информацию о состоянии системы управления информационной безопасностью и ее соответствии Требованиям.

      80. Информация о состоянии системы управления информационной безопасностью включает сведения о (об):

      1) сфере действия системы управления информационной безопасностью кредитного бюро и ее участниках с указанием соответствия их функционала Требованиям;

      2) наличии документов, регламентирующих создание и функционирование системы управления информационной безопасностью;

      3) наличии и количественном составе программно-технических средств, используемых для обеспечения информационной безопасности;

      4) имеющихся в договорах о предоставлении услуг, заключенных с операторами связи, условиях и обязательствах по обеспечению информационной безопасности;

      5) наличии, материально-технической обеспеченности и готовности резервных центров обработки данных;

      6) проведенных мероприятиях по приведению системы управления информационной безопасностью и информационных активов кредитного бюро в соответствие с Требованиями.

      81. Информация о состоянии системы управления информационной безопасностью, событиях и инцидентах информационной безопасности представляется в уполномоченный орган посредством автоматизированной системы обработки информации (далее – АСОИ), предназначенной для обработки информации о событиях и инцидентах информационной безопасности и интегрированной с системами информационной безопасности или системами кредитного бюро, осуществляющими в реальном времени сбор и анализ информации о событиях в информационной инфраструктуре или в электронном формате с использованием транспортной системы гарантированной доставки информации с криптографическими средствами защиты, обеспечивающей конфиденциальность и некорректируемость представляемых данных.

      Для кредитного бюро с государственным участием допускается представление информации о событиях и инцидентах информационной безопасности в уполномоченный орган посредством объектов информатизации Национального Банка Республики Казахстан, интегрированных с АСОИ.";

      дополнить пунктами 81-1 и 81-2 следующего содержания:

      "81-1. Кредитное бюро предоставляет в уполномоченный орган информацию о следующих выявленных инцидентах информационной безопасности:

      1) эксплуатация уязвимостей в прикладном и системном программном обеспечении;

      2) несанкционированный доступ в информационную систему;

      3) атака "отказ в обслуживании" на информационную систему или сеть передачи данных;

      4) заражение сервера вредоносной программой или кодом;

      5) совершение несанкционированного перевода денежных средств вследствие нарушения контролей информационной безопасности;

      6) иных инцидентах информационной безопасности, повлекших простои информационных систем более одного часа.

      Информация об инцидентах информационной безопасности, указанных в настоящем пункте, предоставляется незамедлительно кредитным бюро посредством АСОИ или в электронном формате с использованием транспортной системы гарантированной доставки информации с криптографическими средствами защиты, обеспечивающей конфиденциальность и некорректируемость представляемых данных.

      Для кредитного бюро с государственным участием допускается представление информации о событиях и инцидентах информационной безопасности в уполномоченный орган посредством объектов информатизации Национального Банка Республики Казахстан, интегрированных с АСОИ.

      81-2. Информация о событиях информационной безопасности предоставляется в автоматизированном режиме путем передачи из систем информационной безопасности или систем кредитного бюро, осуществляющих в реальном времени сбор и анализ информации о событиях в информационной инфраструктуре кредитного бюро в АСОИ.

      Для кредитного бюро с государственным участием допускается представление информации о событиях и инцидентах информационной безопасности в уполномоченный орган посредством объектов информатизации Национального Банка Республики Казахстан, интегрированных с АСОИ.";

      главу 3 дополнить параграфом 8 следующего содержания:

      "Параграф 8. Требования к обеспечению информационной безопасности программного обеспечения дистанционного оказания услуг кредитных бюро

      81-3. Программное обеспечение дистанционного оказания услуг кредитного бюро включает:

      1) программное обеспечение серверов веб-приложений (далее – веб-приложение);

      2) программное обеспечение для мобильных устройств (далее – мобильное приложение);

      3) программное обеспечение серверов программных интерфейсов (далее – серверное ППО).

      81-4. Разработка и (или) доработка программного обеспечения дистанционного оказания услуг осуществляется кредитным бюро в соответствии с внутренними документами кредитного бюро, регламентирующими порядок разработки и (или) доработки программного обеспечения, этапы разработки и их участников.

      81-5. В случае, если разработка и (или) доработка программного обеспечения дистанционного оказания услуг кредитного бюро передана сторонней организации и (или) третьему лицу, кредитное бюро обеспечивает исполнение сторонней организацией и (или) третьим лицом требований настоящей главы и внутренних документов, отвечает за состояние безопасности программного обеспечения дистанционного оказания услуг.

      81-6. Хранение исходных кодов программного обеспечения дистанционного оказания услуг, разрабатываемых в кредитном бюро, осуществляется в специализированных системах управления репозиториями кода, размещаемых в периметре защиты кредитного бюро, с обеспечением резервного копирования.

      81-7. Независимо от принятого в кредитном бюро подхода к разработке и (или) доработке программного обеспечения дистанционного оказания услуг, обязательным является тестирование безопасности, в ходе которого осуществляются, как минимум, следующие мероприятия:

      1) статический анализ исходного кода;

      2) анализ компонентов и (или) сторонних библиотек.

      81-8. Статический анализ исходного кода программного обеспечения дистанционного оказания услуг кредитного бюро проводится с использованием сканера статического анализа исходных кодов, поддерживающего анализ всех используемых языков программирования в проверяемом программном обеспечении, в функции которого входит выявление следующих уязвимостей, но не ограничиваясь:

      1) наличие механизмов, допускающих инъекции вредоносного кода;

      2) использование уязвимых операторов и функций языков программирования;

      3) использование слабых и уязвимых криптографических алгоритмов;

      4) использование кода, вызывающего при определенных условиях отказ в обслуживании или существенное замедление работы программного обеспечения дистанционного оказания услуг кредитного бюро;

      5) наличие механизмов обхода систем защиты программного обеспечения дистанционного оказания услуг кредитного бюро;

      6) использование в коде секретов в открытом виде;

      7) нарушение шаблонов и практик обеспечения безопасности приложения.

      81-9. Анализ компонентов и (или) сторонних библиотек программного обеспечения дистанционного оказания услуг кредитного бюро проводится с целью выявления известных уязвимостей, присущих используемой версии компонента и (или) сторонней библиотеки, а также отслеживания зависимостей между компонентами и (или) сторонними библиотеками и их версиями.

      81-10. Кредитное бюро обеспечивает реализацию корректирующих мер по устранению выявленных уязвимостей в порядке, определенном внутренним документом, утвержденным исполнительным органом. При этом критичные уязвимости устраняются до ввода в эксплуатацию программного обеспечения дистанционного оказания услуг и (или) его новых версий.

      81-11. Кредитное бюро осуществляет ввод в эксплуатацию программного обеспечения дистанционного оказания услуг и (или) его новых версий после согласования с подразделением по информационной безопасности.

      81-12. Кредитное бюро обеспечивает хранение и доступ в оперативном режиме ко всем версиям исходных кодов программного обеспечения дистанционного оказания услуг и результатов тестирования безопасности, которые были введены в эксплуатацию в течение последних 3 (трех) лет.

      81-13. Обмен данными между клиентской и серверной сторонами программного обеспечения дистанционного оказания услуг шифруется с использованием версии протокола шифрования Transport Layer Security (Транспорт Лэйер Секьюрити) не ниже 1.2.

      81-14. При первичной регистрации клиента в мобильном приложении кредитное бюро осуществляет биометрическую идентификацию клиента посредством Центра обмена идентификационными данными (далее - ЦОИД), либо с использованием биометрических данных, полученных посредством устройств кредитного бюро.

      81-15. Изменение кода доступа (пароля) к мобильному приложению осуществляется с применением биометрической идентификации клиента с использованием биометрических данных, подтвержденных ЦОИД, либо с использованием биометрических данных, полученных посредством устройств кредитного бюро.

      81-16. Идентификация и аутентификация клиента в программном обеспечении дистанционного оказания услуг осуществляется с применением способов двухфакторной аутентификации (использованием двух из трех факторов: знания, владения, неотъемлемости) в соответствии с процедурами безопасности, установленными внутренними документами кредитного бюро.

      81-17. Механизм кроссдоменной аутентификации программного обеспечения дистанционного оказания услуг согласовывается с подразделением по информационной безопасности.

      81-18. Веб-приложение обеспечивает:

      1) однозначность идентификации принадлежности веб-приложения кредитному бюро (доменное имя, логотипы, корпоративные цвета);

      2) запрет на сохранение в памяти браузера авторизационных данных;

      3) маскирование вводимых секретов;

      4) информирование на странице авторизации клиента о мерах обеспечения кибергигиены, которым рекомендуется следовать при использовании веб-приложения;

      5) обработку ошибок и исключений безопасным способом, не допуская отображение в интерфейсе клиента конфиденциальных данных, предоставляя минимально достаточную информацию об ошибке.

      81-19. Мобильное приложение обеспечивает:

      1) однозначность идентификации принадлежности мобильного приложения кредитному бюро (данные в официальном магазине приложений, логотипы, корпоративные цвета);

      2) блокировку функционала по оказанию дистанционных услуг кредитного бюро в случае обнаружения признаков нарушения целостности и (или) обхода защитных механизмов операционной системы, обнаружения процессов удаленного управления;

      3) уведомление клиента о наличии обновлений мобильного приложения;

      4) возможность принудительной установки обновлений мобильного приложения или блокировки функционала мобильного приложения до их установки в случаях необходимости устранения критичных уязвимостей;

      5) хранение конфиденциальных данных в защищенном контейнере мобильного приложения или хранилище системных учетных данных;

      6) исключение кэширования конфиденциальных данных;

      7) исключение из резервных копий мобильного приложения конфиденциальных данных в открытом виде;

      8) информирование клиента о методах обеспечения кибергигиены, которым рекомендуется следовать при использовании мобильного приложения;

      9) информирование клиента о событиях авторизации под его учетной записью, изменения и (или) восстановления пароля, изменения, зарегистрированного кредитным бюро номера мобильного телефона;

      10) в ходе осуществления операций с денежными средствами - передачу в серверное ППО кредитного бюро геолокационных данных мобильного устройства при наличии разрешения от клиента либо передачу информации об отсутствии такого разрешения.

      81-20. Кредитное бюро обеспечивает на своей стороне:

      1) обработку ошибок и исключений безопасным способом, не допуская в ответе раскрытия конфиденциальных данных, предоставляя минимально достаточную информацию для диагностики проблемы;

      2) идентификацию и аутентификацию мобильных приложений и связанных с ними устройств;

      3) проверку данных на валидность для предотвращения атак с подделкой запросов и инъекций вредоносного кода.";

      в приложении 2:

      заголовок изложить в следующей редакции:

      "Требования, предъявляемые кредитными бюро к поставщикам информации и получателям кредитных отчетов";

      пункт 1 изложить в следующей редакции:

      "1. Настоящие Требования, предъявляемые кредитными бюро к поставщикам информации и получателям кредитных отчетов (далее - Требования), разработаны в соответствии с подпунктом 6) статьи 5 Закона Республики Казахстан "О кредитных бюро и формировании кредитных историй в Республике Казахстан" и определяют требования, предъявляемые кредитными бюро к использованию информационно-коммуникационных технологий и обеспечению информационной безопасности при организации деятельности поставщиков информации, являющихся индивидуальным предпринимателем или юридическим лицом, реализующим товары и услуги в кредит либо предоставляющим отсрочки платежей, систематизированные признаки которых определяются постановлением Правительства Республики Казахстан от 18 января 2005 года № 25 "Об утверждении систематизированных признаков индивидуальных предпринимателей или юридических лиц, реализующих товары и услуги в кредит либо предоставляющих отсрочки платежей" (далее – постановление № 25), субъектами естественной монополии, оказывающими коммунальные услуги, иными лицами на основании договоров о предоставлении информации (далее – поставщики информации), а также получателей кредитных отчетов, являющихся индивидуальным предпринимателем или юридическим лицом, реализующим товары и услуги в кредит либо предоставляющим отсрочки платежей, систематизированные признаки которых определяются постановлением № 25, иными лицами на основании договоров о предоставлении информации, представителем держателей облигаций в отношении кредитного отчета эмитента облигаций, с которым заключен договор о представлении интересов держателей облигаций (далее – получатели кредитных отчетов).".

      2. Департаменту информационной и кибербезопасности в установленном законодательством Республики Казахстан порядке обеспечить:

      1) совместно с Юридическим департаментом государственную регистрацию настоящего постановления в Министерстве юстиции Республики Казахстан;

      2) размещение настоящего постановления на официальном интернет-ресурсе Агентства Республики Казахстан по регулированию и развитию финансового рынка после его официального опубликования;

      3) в течение десяти рабочих дней после государственной регистрации настоящего постановления представление в Юридический департамент сведений об исполнении мероприятия, предусмотренного подпунктом 2) настоящего пункта.

      3. Контроль за исполнением настоящего постановления возложить на курирующего заместителя Председателя Агентства Республики Казахстан по регулированию и развитию финансового рынка.

      4. Настоящее постановление вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования.

      Председатель Агентства
Республики Казахстан
по регулированию и развитию
финансового рынка
М. Абылкасымова