ИПС "Әділет"

Об утверждении Инструкции об организации информационного процесса в деятельности участников системы формирования кредитных историй и их использования, формирования системы безопасности, установлении минимальных требований к их электронному оборудованию, сохранности базы данных кредитных историй и помещениям

Постановление Председателя Агентства Республики Казахстан по регулированию и надзору финансового рынка и финансовых организаций от 18 июля 2008 года № 105. Зарегистрировано в Министерстве юстиции Республики Казахстан 25 сентября 2008 года № 5310. Утратило силу постановлением Правления Национального Банка Республики Казахстан от 27 мая 2015 года № 91

Сноска. Утратило силу постановлением Правления Национального Банка РК от 27.05.2015 № 91 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      В целях совершенствования нормативных правовых актов, регулирующих деятельность кредитных бюро, Правление Агентства Республики Казахстан по регулированию и надзору финансового рынка и финансовых организаций (далее - Агентство) ПОСТАНОВЛЯЕТ:
      1. Утвердить прилагаемую Инструкцию об организации информационного процесса в деятельности участников системы формирования кредитных историй и их использования, формирования системы безопасности, установлении минимальных требований к их электронному оборудованию, сохранности базы данных кредитных историй и помещениям (далее - Инструкция).
      2. Признать утратившими силу:
      1) постановление Правления Агентства от 25 октября 2004 года № 303 "Об утверждении Инструкции об организации информационного процесса в деятельности участников системы формирования кредитных историй и их использования, защиты и сохранности базы данных кредитных историй, о минимальных требованиях к их информационным ресурсам, информационным системам, помещениям, электронному оборудованию" (зарегистрированное в Реестре государственной регистрации нормативных правовых актов под № 3318, опубликованное в Бюллетене нормативных правовых актов центральных исполнительных и иных государственных органов Республики Казахстан, № 3-8, 2005 г., ст. 18);
      2) постановление Правления Агентства от 27 августа 2007 года № 221 "О внесении изменений и дополнения в постановление Правления Агентства Республики Казахстан по регулированию и надзору финансового рынка и финансовых организаций от 25 октября 2004 года № 303 "Об утверждении Инструкции об организации информационного процесса в деятельности участников системы формирования кредитных историй и их использования, защиты и сохранности базы данных кредитных историй, о минимальных требованиях к их информационным ресурсам, информационным системам, помещениям, электронному оборудованию" (зарегистрированное в Реестре государственной регистрации нормативных правовых актов под № 4966).
      3. Настоящее постановление вводится в действие по истечении десяти календарных дней со дня первого официального опубликования.
      4. Кредитным бюро в течение двух месяцев со дня введения в действие настоящего постановления привести свою деятельность в соответствие с Инструкцией.
      5. Управлению информационных технологий (Тусупов К.А.):
      1) совместно с Юридическим департаментом (Сарсенова Н.В.) принять меры к государственной регистрации в Министерстве юстиции Республики Казахстан настоящего постановления;
      2) в десятидневный срок со дня государственной регистрации в Министерстве юстиции Республики Казахстан довести настоящее постановление до сведения кредитных бюро, Объединения юридических лиц "Ассоциация финансистов Казахстана".
      6. Службе Председателя Агентства (Кенже А.А.) обеспечить публикацию настоящего постановления в средствах массовой информации Республики Казахстан.
      7. Контроль за исполнением настоящего постановления возложить на заместителя Председателя Агентства Байсынова М.Б.

Председатель Е. Бахмутова

      "СОГЛАСОВАНО"
      Агентство Республики Казахстан
      по информатизации и связи
      25 августа 2008 года
      Председатель
      Есекеев К.Б.
      __________________
      (подпись, дата,
      __________________
       гербовая печать)

Утверждена
постановлением Правления
Агентства Республики Казахстан
по регулированию и надзору
финансового рынка и
финансовых организаций
от 18 июля 2008 года № 105

Инструкция
об организации информационного процесса в деятельности
участников системы формирования кредитных историй и их
использования, формирования системы безопасности,
установлении минимальных требований к их электронному оборудованию, сохранности базы данных кредитных
историй и помещениям

1. Общие положения

Сноска. Заголовок главы в редакции постановления Правления Национального Банка РК от 24.02.2012 № 89 (вводится в действие по истечении десяти календарных дней после дня его первого опубликования).

      1. В настоящей Инструкции используются понятия, предусмотренные Законом Республики Казахстан от 6 июля 2004 года "О кредитных бюро и формировании кредитных историй в Республике Казахстан" (далее - Закон о кредитном бюро), а также следующие понятия:
      1) администратор безопасности информационных систем (далее - администратор) - работник организации, обеспечивающий функционирование системы электронного получения и (или) передачи данных, реализацию мер по их защите, осуществляющий генерацию поступающей и (или) передаваемой информации с учетом ее функций и полномочий;
      2) аутентификация - подтверждение подлинности субъекта или объекта доступа путем определения соответствия предъявленных реквизитов доступа имеющимся в системе;
      3) ввод в эксплуатацию - процесс выполнения организационно- технических мероприятий по подготовке информационной системы и начало функционирования данной системы в промышленных условиях;
      4) идентификатор - уникальные персональный код и (или) имя, присвоенные субъекту и (или) объекту системы, и предназначенные для регламентированного доступа в систему и (или) к ресурсам системы;
      5) идентификация - присвоение или определение соответствия предъявленного для получения доступа в систему и (или) к ресурсу системы идентификатора перечню идентификаторов, имеющихся в системе;
      6) информационная система участников системы формирования и использования кредитных историй (далее - информационная система) - совокупность информационных технологий, информационных сетей и средств их программно-технического обеспечения, предназначенных для реализации информационных процессов поставщиками информации, кредитными бюро, получателями кредитных отчетов и субъектами кредитных историй;
      7) информационная среда - среда взаимодействия информационной системы участников системы формирования и использования кредитных историй с ее компонентами и информационными ресурсами;
      8) ключевая информация - криптографические ключи и ключи электронной цифровой подписи;
      9) комплекс мер по защите информационной системы - организационно-технические мероприятия, направленные на обеспечение безопасного функционирования информационной системы формирования и использования кредитных историй, в том числе программно-аппаратная защита электронных средств и компьютеров от несанкционированного доступа, обеспечивающая контроль доступа к установленному программному обеспечению и информации, предоставляющая средства разграничения полномочий зарегистрированных пользователей;
      10) оператор - работник организации, непосредственно осуществляющий подготовку, обработку, прием и передачу сообщений с использованием подсистемы защиты;
      11) организация - участник системы формирования кредитных историй и их использования (за исключением субъектов кредитных историй), принимающий участие в информационной системе в соответствии с настоящей Инструкцией;
      12) ответственное лицо - оператор, администратор и иные работники организации, ответственные за реализацию процесса приема/ передачи и формирования кредитных историй;
      13) политика информационной безопасности - нормы и практические приемы, регулирующие управление, защиту и распределение информации ограниченного распространения;
      14) политика резервного копирования (архивирования) - нормы и практические приемы, регулирующие вопросы резервного копирования;
      15) пользователь - кредитное бюро и иные участники системы формирования кредитных историй и их использования (далее - участники системы кредитных историй), участвующие в обмене электронными документами и являющиеся сторонами договора о предоставлении информации и (или) получении кредитных отчетов;
      16) помещение ограниченного доступа - помещение, в котором разрешается пребывание ограниченного круга лиц, и доступ других лиц в эти помещения может происходить только в сопровождении специально допущенных работников.

2. Организация информационного процесса

      2. Организация и функционирование информационной системы формирования и использования кредитных историй обеспечивают:
      1) координацию и управляемость деятельности ее участников в рамках согласованных процедур и технологических параметров;
      2) унификацию используемых программных и технических средств;
      3) информационную безопасность, включая устранение возможности раскрытия информации;
      4) внедрение высокоэффективных технологий;
      5) гибкое и эффективное управление ресурсами;
      6) рост качества услуг.
      3. Организация обеспечивает:
      1) контроль ввода данных;
      2) возможность вычисления параметров документов (номеров документов, кода связи, номера договора);
      3) генерацию сводной информации;
      4) создание резервных копий, архивирование данных;
      5) использование информационных систем, имеющих штатные средства защиты, с контролем за правами доступа;
      6) наличие регламентированных процедур предоставления и получения электронных сообщений;
      7) возможность подготовки аналитических и статистических отчетов.
      4. Поставщики информации и получатели кредитного отчета обеспечивают выполнение организационных, технологических условий и требований кредитного бюро, вытекающие из заключенных с ним договоров о предоставлении информации и (или) получении кредитных отчетов и внутренних документов кредитного бюро, предусмотренных Законом о кредитном бюро.
      5. Информация, представленная поставщиком информации, может быть возвращена кредитным бюро без ее использования в информационной системе формирования и использования кредитных историй, в связи с ее неправильным или неполным оформлением, несоответствием данных поставщика информации, получателя кредитного отчета, субъекта кредитной истории требованиям в используемой информационной системе.

3. Условия обмена информацией между поставщиками информации,
получателями кредитных отчетов и кредитными бюро, а также условия
проведения сверки информации, содержащейся в базах данных
кредитного бюро с государственным участием
и иных кредитных бюро

      6. Обмен информацией между поставщиками информации, получателями кредитных отчетов и кредитными бюро осуществляется через информационную систему, условия использования которой определяются государственным уполномоченным органом, осуществляющим реализацию государственной политики и государственное регулирование в сфере информатизации и "электронного правительства" (далее - уполномоченный орган в сфере информатизации).
      7. Кредитные бюро передают поставщикам информации и получателям кредитных отчетов специализированное программное обеспечение, необходимое для реализации информационных процессов либо устанавливают соответствующие требования к используемому ими программному обеспечению. В случае самостоятельной разработки специализированного программного обеспечения поставщиками информации и получателями кредитных отчетов оно согласуется с кредитными бюро.
      8. Процесс разработки, внедрения и сопровождения информационных систем включает определение этапов разработки, порядка внесения изменений, приема, тестирования и ввода в эксплуатацию, требования к документированию всех этапов.
      9. Разработка, внедрение и сопровождение информационных систем кредитными бюро выполняется в соответствии с их внутренними документами и действующими на территории Республики Казахстан стандартами.
      10. Разработка информационных систем выполняется кредитными бюро на основании технического задания, утвержденного его первым руководителем.
      11. В целях исключения несанкционированного изменения программного обеспечения и (или) данных информационной системы при необходимости внесения изменений (для устранения недостатков или доработки системы) в программное обеспечение, процесс внесения изменений осуществляется в соответствии с техническим заданием, стандартами, действующими на территории Республики Казахстан, и политикой информационной безопасности кредитных бюро.
      12. При формировании и использовании информационных систем для размещения базы данных кредитных историй и средств защиты указанных информационных систем применяются сертифицированные оборудование и программное обеспечение.
      13. Кредитное бюро осуществляет обмен данными с поставщиками информации и получателями кредитных отчетов по выделенным каналам связи или через Интернет, при условии:
      1) наличия основного канала, пропускной способностью не менее 10 мегабит в секунду;
      2) наличия беспроводного резервного канала, пропускной способностью не менее 2 мегабит в секунду;
      3) использования каналов разных провайдеров;
      4) использования каналов исключительно для обмена информацией с поставщиками информации и получателями кредитных отчетов.
      14. Для подтверждения соответствия требованиям, предъявляемым к участникам системы формирования кредитных историй и их использования (за исключением микрофинансовой организации и субъекта кредитной истории), поставщик информации или получатель кредитных отчетов направляет в уполномоченный орган в сфере информатизации заявление на бумажном носителе либо через веб-портал «электронного правительства»: www.e.gov.kz (далее – ПЭП) или веб-портал «Е лицензирование» www.elicense.kz (далее – Портал) в виде электронного документа, удостоверенного электронной цифровой подписью (далее - ЭЦП).
      Соблюдение организацией (за исключением микрофинансовой организации) организационно-технических, технологических требований по защите программного обеспечения, соответствие используемых информационных систем установленным Инструкцией и законодательством Республики Казахстан условиям и требованиям, подтверждается комиссией уполномоченного органа в сфере информатизации, созданной совместно с уполномоченным органом по регулированию, контролю и надзору финансового рынка и финансовых организаций (далее - уполномоченный орган), путем составления акта о соответствии требованиям, предъявляемым к участникам системы формирования кредитных историй и их использования (за исключением микрофинансовой организации и субъекта кредитной истории) по форме согласно приложению 1 к Инструкции (далее - акт о соответствии) в виде электронного документа, удостоверенного ЭЦП руководителя комисии, созданной уполномоченным органом в сфере информатизации совместно с уполномоченным органом.
      Акт о соответствии согласовывается всеми членами комиссии, после чего направляется на подписание представителю проверяемой организации. Если один из членов комиссии не согласен с принятым решением и не согласовывает акт о соответствии, он представляет в письменной форме информацию о причинах своего отказа комиссии и прилагает их к акту о соответствии через ПЭП или Портал.
      Акт о соответствии считается принятым при наличии двух третей решений о согласовании членов комиссии уполномоченного органа в сфере информатизации и двух третей решений о согласовании членов комиссии уполномоченного органа.
      Соблюдение микрофинансовой организацией организационно-технических, технологических требований по защите программного обеспечения, соответствие используемых информационных систем установленным Инструкцией и законодательством Республики Казахстан условиям и требованиям, подтверждается уполномоченным органом путем представления заключения о соответствии требованиям, предъявляемым к микрофинансовой организации по форме согласно приложению 2 к Инструкции (далее – заключение уполномоченного органа).
     Сноска. Пункт 14 в редакции постановления Правления Национального Банка РК от 25.01.2013 № 9 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).
      15. Обмен информацией между поставщиками информации
(за исключением микрофинансовых организаций), получателями кредитных отчетов и кредитными бюро осуществляется при наличии акта о соответствии с положительным заключением.
      Обмен информацией между микрофинансовыми организациями, получателями кредитных отчетов и кредитными бюро осуществляется при наличии положительного заключения уполномоченного органа.
      Сноска. Пункт 15 в редакции постановления Правления Национального Банка РК от 25.01.2013 № 9 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).
      16. Входящий и исходящий трафик должен быть обеспечен криптографической защитой.
      16-1. Кредитное бюро с государственным участием утверждает внутренние процедуры проведения сверки информации, содержащейся в базах данных кредитного бюро с государственным участием и иных кредитных бюро (далее - внутренние процедуры), которые подлежат согласованию с уполномоченным органом.
     Сноска. Инструкция дополнена пунктом 16-1 в соответствии с постановлением Правления Национального Банка РК от 24.02.2012 № 89 (вводится в действие по истечении десяти календарных дней после дня его первого опубликования).
      16-2. Внутренние процедуры определяют:
      условия, порядок и сроки проведения сверки;
      параметры информации, подлежащей сверке;
      требование к программному обеспечению, необходимому для реализации информационных процессов, связанных со сверкой;
      порядок обеспечения защиты информации, подлежащей сверке;
      порядок возмещения кредитному бюро с государственным участием фактических расходов, понесенных в связи с проведением сверки.
     Сноска. Инструкция дополнена пунктом 16-2 в соответствии с постановлением Правления Национального Банка РК от 24.02.2012 № 89 (вводится в действие по истечении десяти календарных дней после дня его первого опубликования).
      16-3. Кредитное бюро для обеспечения достоверности информации, хранимой в базе данных кредитных историй кредитного бюро, не менее одного раза в год проводит ее сверку с информацией кредитного бюро с государственным участием на условиях, в порядке и сроки, определенными внутренними процедурами кредитного бюро с государственным участием.
      Сверка информации, хранящейся в базе данных кредитных историй кредитного бюро, проводится не позднее двадцатого рабочего дня последнего месяца отчетного года.
      Объем информации, подлежащей сверке, определяется кредитным бюро самостоятельно, при условии соответствия параметров информации, подлежащих сверке, параметрам информации, определенным во внутренних процедурах кредитного бюро с государственным участием.
     Сноска. Инструкция дополнена пунктом 16-3 в соответствии с постановлением Правления Национального Банка РК от 24.02.2012 № 89 (вводится в действие по истечении десяти календарных дней после дня его первого опубликования).
      16-4. Кредитное бюро с государственным участием сверяет информацию, принятую от иного кредитного бюро, с информацией, содержащейся в базе данных кредитных историй кредитного бюро с государственным участием в срок, установленный внутренними процедурами.
     Сноска. Инструкция дополнена пунктом 16-4 в соответствии с постановлением Правления Национального Банка РК от 24.02.2012 № 89 (вводится в действие по истечении десяти календарных дней после дня его первого опубликования).
      16-5. Уполномоченные представители кредитного бюро с государственным участием и иного кредитного бюро подтверждают соответствие или несоответствие информации, содержащейся в их базах данных кредитных историй, подлежащей сверке, путем составления в произвольной форме акта сверки или акта несоответствия.
      При составлении акта несоответствия кредитное бюро с государственным участием в течение двух рабочих дней со дня составления представляет его копию в уполномоченный орган.
     Сноска. Инструкция дополнена пунктом 16-5 в соответствии с постановлением Правления Национального Банка РК от 24.02.2012 № 89 (вводится в действие по истечении десяти календарных дней после дня его первого опубликования).
      16-6. Акт сверки или акт несоответствия составляются в двух экземплярах, по одному для каждой из сторон, подписываются уполномоченными представителями сторон, осуществляющими сверку, и заверяются их печатями.
     Сноска. Инструкция дополнена пунктом 16-6 в соответствии с постановлением Правления Национального Банка РК от 24.02.2012 № 89 (вводится в действие по истечении десяти календарных дней после дня его первого опубликования).
      16-7. Акты сверки хранятся до проведения очередной сверки. Акты несоответствия подлежат хранению в течение пяти лет со дня их составления.
     Сноска. Инструкция дополнена пунктом 16-7 в соответствии с постановлением Правления Национального Банка РК от 24.02.2012 № 89 (вводится в действие по истечении десяти календарных дней после дня его первого опубликования).
      16-8. Кредитное бюро и кредитное бюро с государственным участием в течение десяти рабочих дней со дня составления акта несоответствия принимают меры по устранению выявленных несоответствий. О результатах принятых мер по устранению выявленных несоответствий кредитное бюро с государственным участием в течение трех рабочих дней уведомляет уполномоченный орган.
     Сноска. Инструкция дополнена пунктом 16-8 в соответствии с постановлением Правления Национального Банка РК от 24.02.2012 № 89 (вводится в действие по истечении десяти календарных дней после дня его первого опубликования).

4. Формирование системы безопасности и минимальные требования
к помещениям, электронному и иному оборудованию участников
системы кредитных историй

      17. Кредитное бюро размещается в нежилом здании, помещении с ограниченным доступом.
      18. Система безопасности кредитного бюро должна отвечать требованиям, установленным настоящей Инструкцией:
      1) к серверному помещению и помещению ограниченного доступа;
      2) к системному программному обеспечению, используемому для автоматизации деятельности кредитного бюро;
      3) к специализированному программному обеспечению (информационной системе), используемому для автоматизации деятельности кредитного бюро;
      4) к техническим средствам (информационным ресурсам) кредитного бюро;
      5) к обеспечению безопасности информации.
      19. Оборудованное серверное помещение кредитного бюро содержит:
      1) систему контроля доступа (индивидуальный электронный пропуск);
      2) систему видеоконтроля входа в серверное помещение и кроссовые комнаты;
      3) автоматическую систему газового пожаротушения с обязательным, полным резервом баллонов с газом, и подключенной к системе гарантированного питания;
      4) систему охранной сигнализации дверей, окон и датчиками движения внутри гермозоны;
      5) безотказную систему чистого питания находящуюся в гермозоне серверной комнаты;
      6) систему гарантированного питания всей электрической сети серверной и кроссовых комнат, включая круглосуточное, дежурное освещение;
      7) систему кондиционирования с полным резервом.
      20. Серверное помещение должно располагаться в местах, где возможно впоследствии расширение пространства и есть возможность размещения крупногабаритной аппаратуры, и отвечать следующим требованиям:
      1) минимальный допустимый размер серверной комнаты - 20 квадратных метров;
      2) серверная комната должна быть соединена с главным электродом системы заземления здания кондуитом размером 1,5;
      3) требуемая минимальная высота потолка серверной комнаты должна составлять 2,44 метра.
      21. Помещение ограниченного доступа кредитного бюро должно соответствовать следующим требованиям:
      1) наличие системы контроля доступа (индивидуальный электронный пропуск), которая исключает возможность неконтролируемого проникновения в это помещение лиц, не допущенных к рабочему месту ответственного лица;
      2) наличие системы видеоконтроля входа (видеокамера с постоянной записью);
      3) наличие системы пожарной сигнализации;
      4) наличие системы охранной сигнализации;
      5) запрещается располагать в помещении рабочие места, не имеющие отношения к деятельности кредитного бюро;
      6) при расположении помещения ограниченного доступа на первых или последних этажах зданий, а также при наличии рядом с окнами балконов, пожарных лестниц, окна помещений оборудуются металлическими решетками;
      7) в помещении ограниченного доступа размещаются рабочие места ответственных лиц.
      22. К помещению ограниченного доступа поставщиков информации (за исключением микрофинансовой организации) и получателей кредитных отчетов предъявляются требования, установленные подпунктами 1), 3), 4), 5) и 6) пункта 21 Инструкции, а также доступ в помещение ограничивается списком ответственных лиц, каждое посещение которых регистрируется в журнале посещений с указанием фамилии, имени, при наличии - отчества, должности, даты, времени и цели посещения.
      К помещению ограниченного доступа микрофинансовой организации предъявляются требования, установленные в подпунктах 1), 3), 4) и 5) пункта 21 Инструкции, а также доступ в помещение ограничивается списком ответственных лиц, каждое посещение которых регистрируется в журнале посещений с указанием фамилии, имени, при наличии - отчества, должности, даты, времени и цели посещения.
      При наличии общей системы охранной сигнализации в здании, в котором расположена микрофинансовая организация, отдельная охранная сигнализация на помещение ограниченного доступа микрофинансовой организации не требуется.
      Сноска. Пункт 22 в редакции постановления Правления Национального Банка РК от 25.01.2013 № 9 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).
      23. Рабочее место ответственного лица должно соответствовать следующим требованиям:
      1) программное обеспечение устанавливается на специально выделенном персональном компьютере, имеющем паспорт, в котором указано его месторасположение, конфигурация, а также аппаратные и программные средства, установленные на нем. Паспорт оформляется за подписью руководителя организации и хранится у ответственного лица;
      2) не допускается эксплуатация персонального компьютера ответственного лица и установка на нем программных средств, не связанных с целями подготовки, обработки, передачи или ведения электронных документов в рамках участия в информационной системе;
      3) персональный компьютер ответственного лица должен иметь комплекс защиты, включающий в себя:
      средства идентификации и аутентификации пользователей;
      возможность ведения электронных журналов в течение срока хранения электронных документов, с целью контроля деятельности, связанной с доступом к компьютеру и действиями пользователей;
      4) наличие одного системного имени пользователя (ответственного лица), по которому идентифицируется пользователь, при входе в информационную систему должно соответствовать одному физическому лицу;
      5) персональный компьютер должен иметь средства обеспечения целостности и конфиденциальности программного обеспечения;
      6) доступ к сетевым ресурсам и внешним носителям, а также к портам ввода-вывода информации с персонального компьютера оператора должен быть отключен, в том числе и в настройках базовой системы ввода-вывода;
      7) системный блок, порты ввода-вывода информации персонального компьютера опечатываются либо пломбируются администратором. Процесс опечатывания (пломбирования) фиксируется в специальном журнале с указанием фамилии, имени, при наличии - отчества, должности, даты, времени и цели нанесения пломбы (печати). Для ноутбуков разрешается использовать только отключение устройств в базовой системе ввода-вывода без опечатывания портов. Выносить из здания компьютеры и ноутбуки не допускается, за исключением случаев проведения профилактических и ремонтных работ, которые проводятся на основании заявки ответственного лица руководителю службы информационной безопасности;
      8) порядок доступа к иным ресурсам (дисковое пространство, директории, базы данных и резервные копии базы данных), выделенным для накопления в них информации для передачи в информационную среду с использованием системы защиты, получения информации из информационной среды, хранения, архивирования либо другой обработки информации, должен исключать возможность несанкционированного доступа к этим ресурсам;
      9) доступ к рабочему месту ответственного лица и в помещение ограниченного доступа осуществляется в соответствии с его должностными обязанностями.
      24. Рабочее место оператора поставщиков информации и получателей кредитных отчетов должно размещаться в помещении ограниченного доступа и отвечать требованиям, установленным пунктом 23 настоящей Инструкции.
      25. Использование кредитным бюро системных программных обеспечений (операционные системы, системы управления базами данных, офисные программы, антивирусные программы) должны подтверждаться лицензиями, сертификатами.
      26. Для накопления и хранения данных по кредитным историям должна использоваться промышленная система управления базами данных, разработчик которой должен иметь официальное представительство и центр технической поддержки на территории Республики Казахстан.
      27. Внедрение и ввод в эксплуатацию (разработка или адаптация готового продукта) программного обеспечения кредитным бюро выполняется на основании технического задания, утвержденного его первым руководителем, при этом необходимо наличие соответствующих сертификатов на механизмы безопасности. Разработчики информационной системы кредитного бюро должны иметь опыт разработки аналогичных систем не менее двух лет.
      28. Программное обеспечение кредитного бюро должно обеспечивать два и более способа получения (передачи) информации:
      интерактивный интерфейс с подготовкой файла в стандартном формате с использованием программного обеспечения формирования отчетов в доступных форматах;
      сетевой доступ с использованием стандартного формата передачи в режиме реального времени, ввод данных с помощью функционала ручного ввода, заполнение экранных форм на сайте, с использованием веб-браузера.
      29. В целях информационной безопасности программное обеспечение кредитного бюро должно обеспечивать следующее:
      1) идентификацию и аутентификацию с криптографическим преобразованием;
      2) разграничение прав пользователей;
      3) работу на уровне ядра программного обеспечения таким образом, чтобы ни одно значимое действие в рамках системы (будь то действие пользователя или процесса) не происходило без участия механизма безопасности;
      4) схема безопасности, реализованная в программном обеспечении, должна быть отделена от средств безопасности самой операционной системы, на которой будет реализовано программное обеспечение, в том смысле, что уязвимость средств безопасности операционной системы не должна влиять на работу безопасности программного обеспечения;
      5) замкнутое сохранение данных в программном обеспечении должно быть организовано способом, обеспечивающим:
      невозможность получения логического доступа к указанным данным вне рамок работы приложения программного обеспечения;
      любые перемещения данных в/из базу данных программного обеспечения под контролем механизмов безопасности;
      6) фиксирование информации, необходимой для идентификации факта, объекта и субъекта процесса удаления, изменение и возможность восстановления удаленных данных;
      7) возможность устойчивой работы при появлении сбоев;
      8) трехуровневую архитектуру "клиент-сервер" с тем, чтобы вывод из строя рабочего места пользователя или получение злоумышленником несанкционированного доступа к нему не сказывался на работе серверной части системы, а сбой сервера приложений не влиял на состояние данных системы;
      9) аудит системно-значимых событий с фиксированием в регистрационный журнал, а также с возможностью защиты со стороны любого субъекта;
      10) аудит действий пользователей и администраторов, как успешных, так и неудачных, начиная от попытки установления связи;
      11) контроль экспортируемых и импортируемых данных;
      12) возможность разработки (доработки) модулей и механизмов безопасности;
      13) в договоре с разработчиком информационной системы должна быть предусмотрена обязанность:
      регулярного информирования кредитного бюро об обнаруженных ошибках и уязвимостях системы, а также своевременного предоставления изменений и обновлений к системе;
      организовать службу оперативной поддержки, в том числе по вопросам безопасности для консультирования работников кредитного бюро и оказания им практической помощи в вопросах информационной безопасности.
      29-1. Программное обеспечение кредитного бюро должно обеспечивать хранение информации в отношении субъекта кредитной истории в течение срока, установленного Законом о кредитном бюро, а также возможность формирования в течение одного рабочего дня кредитных отчетов по состоянию на любой момент времени с начала формирования кредитных историй.
     Сноска. Инструкция дополнена пунктом 29-1 в соответствии с постановлением Правления Национального Банка РК от 26.08.2011 № 97 (вводится в действие по истечении десяти календарных дней со дня первого официального опубликования).
      30. Требования к техническим средствам кредитного бюро:
      1) наличие собственного аппаратного обеспечения (компьютерное оборудование, серверы, аппаратные средства защиты, комплектующие и другое оборудование), также наличие документов, подтверждающих принадлежность аппаратного обеспечения кредитному бюро;
      2) наличие сертификатов соответствия аппаратного обеспечения на соответствие требованиям безопасности, выданных органом подтверждения соответствия;
      3) наличие системы гарантированного питания - щита автоматического включения резерва, дизельного генерирующего устройства, работающих от сигнала с двух источников бесперебойного питания (далее - ИБП) и непрерывно поддерживающей электричество в сети чистого питания во всей организации. При этом, нагрузка каждого ИБП должна быть не более сорока процентов в штатном режиме.
      31. Серверы кредитного бюро должны составлять отказоустойчивую завершенную систему и представлять собой кластер со стопроцентным дублированием аппаратной части. Резервные серверы базы данных кредитного бюро должны быть расположены от основных серверов на расстоянии не менее десяти километров, и обеспечивать бесперебойную работу базы данных кредитного бюро таким образом, чтобы в случае прекращения работы основных серверов базы данных, кредитное бюро могло обеспечить восстановление работы базы данных на резервных серверах в срок не более 6 (шести) часов с момента прекращения работы основного сервера.
     Сноска. Пункт 31 редакции постановления Правления Национального Банка РК от 26.08.2011 № 97 (вводится в действие по истечении десяти календарных дней со дня первого официального опубликования).
      32. Требования к организации (за исключением микрофинансовой организации) по обеспечению безопасности информации:
      1) наличие защищенного канала передачи данных с шифрованием трафика с помощью аппаратных граничных маршрутизаторов;
      2) наличие системы обнаружения (предотвращения) атак из сети Интернет в компьютерную сеть организации с помощью межсетевого экрана;
      3) наличие системы криптографической защиты компьютеров с помощью криптоключей и систем идентификации пользователя;
      4) наличие аппаратного сетевого анализатора трафика по идентификатору управления доступом к носителю сетевых карт пользователей;
      5) наличие системы резервного копирования - библиотеки на внешние носители информации.
      Для реализации вышеуказанных требований кредитное бюро проводит анализ и оценку рисков, уязвимостей и угроз для обеспечения безопасности информации.
      На микрофинансовую организацию распространяются требования по обеспечению безопасности информации, предусмотренные в подпунктах 2) и 5) настоящего пункта.
      Сноска. Пункт 32 в редакции постановления Правления Национального Банка РК от 25.01.2013 № 9 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).
      33. Организация (за исключением микрофинансовой организации) в процессе своей деятельности выполняет следующие требования:
      1) наличие службы информационной безопасности;
      2) наличие ответственных лиц по кредитным историям;
      3) наличие политики информационной безопасности;
      4) наличие политики формирования и использования паролей;
      5) наличие политики резервного копирования (архивирования);
      6) наличие документации с описанием процедур по ограничению доступа и обязанностей пользователей, администраторов безопасности, системных администраторов.
      Микрофинансовая организация в процессе своей деятельности выполняет требование, установленное в подпункте 2) настоящего пункта.
      Сноска. Пункт 33 в редакции постановления Правления Национального Банка РК от 25.01.2013 № 9 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).
      34. Организация (за исключением микрофинансовой организации) принимает внутренний документ, который определяет порядок работы с информационной системой, включающий:
      1) порядок назначения сотрудников, на которых возлагаются обязанности ответственных лиц;
      2) режим работы;
      3) права и обязанности ответственных лиц, включая должностные инструкции;
      4) список сотрудников, допущенных к рабочему месту оператора;
      5) список сотрудников, допускаемых к рабочему месту оператора в особых случаях (в кризисных ситуациях, а также в случаях замещения сотрудника).
      На микрофинансовую организацию распространяются требования, предусмотренные в подпунктах 3), 4), 5) настоящего пункта.
      Сноска. Пункт 34 в редакции постановления Правления Национального Банка РК от 25.01.2013 № 9 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).
      35. Ответственные лица:
      1) обеспечивают обязательность процедуры идентификации и аутентификации для доступа к ресурсам информационных систем;
      2) не допускают получения права доступа к информационным ресурсам неавторизованными пользователями;
      3) контролируют регулярность выполнения резервного копирования информации, обрабатываемой информационной системой;
      4) проводят плановую и внеплановую проверку надежности защиты ресурсов системы;
      5) обеспечивают защиту оборудования корпоративной сети, в том числе специальных межсетевых программных средств;
      6) принимают меры по отражению угрозы и выявлению нарушителей;
      7) регулярно просматривают журнал событий, проводят анализ с записями, где были попытки несанкционированного доступа к информации.
      36. Сотрудники организации (ответственное лицо, администратор, оператор) дают письменное обязательство о неразглашении и нераспространении информации, ставшей им известной в процессе исполнения ими служебных обязанностей.
      37. При увольнении ответственного лица производится внеплановая смена ключевой информации организации, о чем уведомляется кредитное бюро. Новая ключевая информация вводится в действие со дня их увольнения.
      38. Порядок хранения и использования внешних носителей с ключевой информацией в организации должен исключать возможность несанкционированного доступа к ним.

Глава 6. Заключительные положения

Сноска. Глава 6 исключена постановлением Правления Национального Банка РК от 24.02.2012 № 89 (вводится в действие по истечении десяти календарных дней после дня его первого опубликования).

Приложение 1
к Инструкции об организации
информационного процесса в
деятельности участников системы
формирования кредитных историй и
их использования, формирования
системы безопасности, установления
минимальных требований к их
электронному оборудованию,
сохранности базы данных кредитных
историй и помещениям

Форма

                            АКТ
            о соответствии _________________________
                         (наименование участника)
               требованиям, предъявляемым к участникам
                системы формирования кредитных историй и
             их использования (за исключением микрофинансовой
                  организации и субъекта кредитной истории)

Сноска. Приложение 1 в редакции постановления Правления Национального Банка РК от 25.01.2013 № 9 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

_________________ ________________
место составления дата составления

      Настоящий акт о готовности участника системы формирования
кредитных историй и их использования к началу своей деятельности на
рынке информационных услуг и выполнении им требований по организации
информационного процесса в деятельности участников системы
формирования кредитных историй и их использования, формирования
системы безопасности, выполнении минимальных требований к их
электронному оборудованию, сохранности базы данных кредитных историй
и помещениям составлен комиссией в следующем составе:
      представители уполномоченного органа в сфере информатизации:
________________________________________________________________
________________________________________________________________
________________________________________________________________
________________________________________________________________
      представители уполномоченного органа:
_______________________________________________________________
________________________________________________________________
________________________________________________________________
В работе комиссии участвуют представители участника системы
формирования кредитных историй и их использования:
_________________________________________________________________
_________________________________________________________________
_________________________________________________________________
Подробное описание обследованных объектов и изученных комиссией
документов:
_________________________________________________________________
_________________________________________________________________
_________________________________________________________________
Краткое содержание пояснений представителей участника системы
формирования кредитных историй и их использования:
_________________________________________________________________
_________________________________________________________________
_________________________________________________________________
Проверкой комиссией технических и иных документов участника системы
формирования кредитных историй и их использования _______
________________________, обследованием его технических помещений,
электронно-компьютерного оборудования, систем связи и защитных
устройств и иных объектов, предназначенных для работы в системе
формирования кредитных историй и их использования установлено
__________________________________________________________________
__________________________________________________________________
(соответствие (не соответствие) предъявляемым требованиям и
достаточность (недостаточность) для начала (продолжения) деятельности
организации на рынке информационных услуг).
Участником системы формирования кредитных историй и их использования
предъявлена следующая техническая документация и иные документы,
которые приложены к акту комиссии:
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
Члены комиссии:
_________________ __________________ ____________________________
(должность)             (ФИО)          согласовано/не согласовано
_________________ __________________ ____________________________
(должность)             (ФИО)          согласовано/не согласовано
_________________ __________________ ____________________________
(должность)             (ФИО)          согласовано/не согласовано
Руководитель комиссии:
___________________________________________________________________
                          (ЭЦП)

Приложение 2
к Инструкции об организации
информационного процесса в
деятельности участников системы
формирования кредитных историй и
их использования, формирования
системы безопасности, установления
минимальных требований к их
электронному оборудованию,
сохранности базы данных кредитных
историй и помещениям

Сноска. Инструкция дополнена приложением 2 в соответствии с постановлением Правления Национального Банка РК от 25.01.2013 № 9 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

Форма

Заключение

      о соответствии _______________________________________
                   (наименование микрофинансовой организации)
      требованиям, предъявляемым к микрофинансовой организации
             ____________________      ____________________
               место составления         дата составления

Заключение о готовности микрофинансовой организации к началу
своей деятельности на рынке информационных услуг и выполнении ею
требований по организации информационного процесса в деятельности
участников системы формирования кредитных историй и их использования,
формирования системы безопасности, выполнении минимальных требований
к их электронному оборудованию, сохранности базы данных кредитных
историй и помещениям составлено представителями уполномоченного
органа в следующем составе:
_______________________________________________________________
_______________________________________________________________
_______________________________________________________________
Подробное описание обследованных объектов и изученных
документов:
_______________________________________________________________
_______________________________________________________________
_______________________________________________________________

      Проверкой технических и иных документов микрофинансовой
организации _______________________________, обследованием ее
технических помещений, электронно-компьютерного оборудования,
систем связи и защитных устройств и иных объектов, предназначенных
для работы в системе формирования кредитных историй и их
использования установлено
_______________________________________________________________
_______________________________________________________________
      (соответствие (не соответствие) предъявляемым требованиям и
достаточность (недостаточность) для начала (продолжения) деятельности
организации на рынке информационных услуг).
      Представители уполномоченного органа:
_______________________________________________________________
_______________________________________________________________
_______________________________________________________________

Кредиттік тарихты қалыптастыру жүйесіне қатысушылардың қызметіндегі ақпараттық процесті ұйымдастыруға және оны пайдалануға, қауіпсіздік жүйесін қалыптастыруға, олардың электрондық жабдықтарына, кредиттік тарихтың деректер базасының сақталуына және үй-жайларына қойылатын ең төменгі талаптарды белгілеу жөніндегі нұсқаулықты бекіту туралы

Қазақстан Республикасы Қаржы ұйымдарын реттеу мен қадағалау агенттігі Басқармасының 2008 жылғы 18 шілдедегі N 105 Қаулысы. Қазақстан Республикасының Әділет министрлігінде 2008 жылғы 25 қыркүйекте Нормативтік құқықтық кесімдерді мемлекеттік тіркеудің тізіліміне N 5310 болып енгізілді. Күші жойылды - Қазақстан Республикасы Ұлттық Банкі Басқармасының 2015 жылғы 27 мамырдағы № 91 қаулысымен

Ескерту. Күші жойылды - ҚР Ұлттық Банкі Басқармасының 27.05.2015 № 91 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

Қолданушылардың назарына!!!
Бұйрықтың қолданысқа енгізілу тәртібін 4-тармақтан қараңыз.

      Кредиттік бюроның қызметін реттейтін нормативтік құқықтық актілерін жетілдіру мақсатында Қазақстан Республикасы Қаржы нарығын және қаржы ұйымдарын реттеу мен қадағалау агенттігінің (бұдан әрі - Агенттік) Басқармасы ҚАУЛЫ ЕТЕДІ :
      1. Ұсынылып отырған кредиттік тарихты қалыптастыру жүйесіне
қатысушылардың қызметіндегі ақпараттық процесті ұйымдастыруға және оны пайдалануға, қауіпсіздік жүйесін қалыптастыруға, олардың электрондық жабдықтарына, кредиттік тарихтың деректер базасының
сақталуына және үй-жайларына қойылатын ең төменгі талаптарды белгілеу жөніндегі нұсқаулық (бұдан әрі - Нұсқаулық) бекітілсін.
      2. Мыналардың күші жойылды деп танылсын:
      1) "Кредиттік тарихты қалыптастыру және оларды пайдалану жүйесі қатысушыларының қызметіндегі ақпараттық процесті ұйымдастыру, кредиттік тарихтың деректер базасының қорғалуына және сақталуына, олардың ақпараттық ресурстарына, ақпараттық жүйелеріне, үй-жайларына, электронды жабдықтарына қойылатын ең төменгі талаптар туралы нұсқаулықты бекіту туралы" Агенттік Басқармасының 2004 жылғы 25 қазандағы N 303 қаулысы (нормативтік құқықтық актілерді мемлекеттік тіркеу тізілімінде N 3318 тіркелген, Қазақстан Республикасының орталық атқарушы және өзге де мемлекеттік органдарды нормативтік құқықтық актілері бюллетенінде жарияланған, N 3-8, 2005 ж., 18-құжат);
      2) "Қазақстан Республикасы Қаржы нарығын және қаржы ұйымдарын реттеу мен қадағалау агенттігі Басқармасының 2004 жылғы 25 қазандағы "Кредиттік тарихты қалыптастыру және оларды пайдалану жүйесі қатысушыларының қызметіндегі ақпараттық процесті ұйымдастыру, кредиттік тарихтың деректер базасының қорғалуына және сақталуына, олардың ақпараттық ресурстарына, ақпараттық жүйелеріне, үй-жайларына, электронды жабдықтарына қойылатын ең төменгі талаптар туралы нұсқаулықты бекіту туралы" N 303 қаулысына өзгерістер мен толықтыру енгізу туралы" Агенттік Басқармасының 2007 жылғы 27 тамыздағы N 221 қаулысы (нормативтік құқықтық актілерді мемлекеттік тіркеу тізілімінде N 4966 тіркелген).
      3. Осы қаулы алғаш ресми жарияланған күнінен бастап он
күнтізбелік күн өткеннен кейін қолданысқа енгізіледі.
      4. Кредиттік бюро осы қаулы қолданысқа енгізілген күннен бастап екі ай ішінде өз қызметін осы Нұсқаулыққа сай сәйкестендірсін.
      5. Ақпараттық технологиялар департаменті (Түсіпов К.А.):
      1) Заң департаментімен (Сәрсенова Н.В.) бірлесіп, осы қаулыны Қазақстан Республикасының Әділет министрлігінде мемлекеттік тіркеу шараларын қолға алсын;
      2) осы қаулы Қазақстан Республикасының Әділет министрлігінде мемлекеттік тіркелген күннен бастап он күндік мерзімде оны Кредиттік бюроға, "Қазақстан қаржыгерлер қауымдастығы" заңды тұлғалар бірлестігіне мәлімет үшін жіберсін.
      6. Агенттіктің Төрайым қызметі (Кенже А.А.) осы қаулыны Қазақстан Республикасының бұқаралық ақпарат құралдарында жариялау шараларын қабылдасын.
      7. Осы қаулының орындалуын бақылау Агенттік Төрайымының орынбасары М.Б. Байсыновқа жүктелсін.

Төрайым Е. Бахмутова

      Қазақстан Республикасының Ақпараттандыру
      және байланыс агенттігімен
      келісілді
      2008 жылғы "____"_________
      Төраға
      Есекеев К. Б. __________________________
                  (қолы, күні, елтаңбалы мөр)

Қазақстан Республикасы Қаржы
нарығын және қаржы ұйымдарын
реттеу мен қадағалау агенттігі
Басқармасының 2008 жылғы
18 шілдедегі N 105 қаулысымен
бекітілген

Кредиттік тарихты қалыптастыру жүйесіне қатысушылардың
қызметіндегі ақпараттық процесті ұйымдастыруға және оны
пайдалануға, қауіпсіздік жүйесін қалыптастыруға, олардың
электрондық жабдықтарына, кредиттік тарихтың деректер
базасының сақталуына және үй-жайларына қойылатын ең төменгі
талаптарды белгілеу жөніндегі нұсқаулық 1. Жалпы ережелер

Ескерту. 1-тараудың тақырыбы жаңа редакцияда - ҚР Ұлттық Банкі Басқармасының 2012.02.24 № 89 (ресми жарияланған күнінен бастап күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      1. Осы Нұсқаулықта "Қазақстан Республикасындағы кредиттік бюролар және кредиттік тарихты қалыптастыру туралы" Қазақстан Республикасының 2004 жылғы 6 шілдедегі Заңында көзделген мынадай
ұғымдар пайдаланылады:
      1) ақпарат жүйесі қауіпсіздігін басқарушы (бұдан әрі - басқарушы) - электронды деректерді қабылдау және (немесе) беру жүйесінің қызметін, оларды қорғау шараларын іске асыратын, келіп түскен және (немесе) беріліп отырған ақпараттың қызметі мен өкілеттігін ескере отырып, жайғастыруды қамтамасыз ететін ұйымның қызметкері;
      2) аутентификациялау - рұқсат берудің көрсетілген деректемелерінің жүйеде барымен сәйкес келуін анықтау жолымен субъекті немесе объектінің түпнұсқалығын растау;
      3) пайдалануға беру - ақпараттық жүйені дайындау жөніндегі ұйымдастыру-техникалық іс-шараларын орындау процесі және осы жүйенің өндірістік жағдайларда жұмыс істей бастауы;
      4) бірегейлендіруші - бірегей дербес код және (немесе) жүйенің субъектісіне және (немесе) объектісіне берілген және жүйеге және (немесе) жүйе ресурстарына ретпен кіруге берілген есім;
      5) бірегейлендіру - бірегейлендіру жүйесіне және (немесе) ресурстар жүйесінде бар бірегейлендірушілер тізбесіне кіруге рұқсат алу үшін жасалған иелену немесе сәйкестікті анықтау;
      6) кредиттік тарихты қалыптастыру және пайдалану жүйесі
қатысушыларының ақпараттық жүйесі (бұдан әрі – ақпараттық жүйе) –
ақпаратты жеткізушілердің, кредиттік бюролардың, кредиттік есептерді
қабылдаушылар мен кредиттік тарих субъектілерінің ақпаратты процестерді іске асыруға арналған ақпараттық технологияларының,
ақпараттық желілерінің және олардың бағдарламалық-техникалық
қамтамасыз ету құралдарының жиынтығы;
      7) ақпараттық орта - кредиттік тарихты қалыптастыру және пайдалану жүйесі қатысушыларының ақпараттық жүйесінің оның компоненттерімен және ақпараттық ресурстарымен ақпараттық жүйеде
өзара қарым-қатынас жасау ортасы;
      8) шешуші ақпарат - криптографиялық кілт және электронды
сандық қол қою кілті;
      9) ақпараттық жүйені қорғау жөніндегі кешенді шаралар - кредиттік тарихты қалыптастырудың және пайдаланудың ақпараттық
жүйесінің жұмыс істеу қауіпсіздігін қамтамасыз етуге бағытталған
ұйымдастыру-техникалық іс-шаралар, оның ішінде белгіленген
бағдарламалық қамтамасыз етуге кіруге бақылауды және тіркелген пайдаланушылардың өкілеттігін шектемейтін құралдарды беруді
қамтамасыз ететін санкцияланбаған кіруден электронды құралдар мен компьютерлерді қорғайтын бағдарламалық аппараттық қорғаныс;
      10) оператор - қорғаныс жүйесін пайдаланушымен хабарламаларды дайындау, өңдеу, қабылдау және беруді қорғаныстың шағын жүйесін пайдалана отырып, тікелей жүзеге асыратын кредиттік бюро қызметкері;
      11) ұйым - осы Нұсқаулыққа сәйкес кредиттік тарихты
қалыптастыру және пайдалану (кредиттік тарих субъектілерінен
басқа) жөніндегі ақпарат жүйесіне қатысушы;
      12) жауапты тұлға - кредиттік тарихты қабылдау (өткізу)
және қалыптастыру процесін іске асыруға жауапты ұйымдардың операторы, басқарушысы және өзге қызметкерлері;
      13) ақпараттық қауіпсіздік саясаты - таратылуы шектеулі
ақпаратты басқаруды, қорғауды және бөлуді реттейтін нормалар және практикалық тәсілдер;
      14) резервтік көшірме жасау (архивтеу) - резервтік көшірме жасау мәселелерін реттейтін нормалар және практикалық тәсілдер;
      15) пайдаланушы - электронды құжат алмасуға қатысатын және
ақпарат беру жөніндегі шарттың және (немесе) кредиттік есепті алушы тарап болып табылатын кредиттік бюро және кредиттік тарихты
қалыптастыратын және оны пайдалануға қатысатын өзге де қатысушылар (бұдан әрі – кредиттік тарих жүйесінің қатысушылары);
      16) кіруі шектеулі үй-жай – шектеулі тұлғалар аясының болуына ғана рұқсат берілетін үй-жай, және бұл үй-жайға кіру рұқсаты арнайы рұқсат берілген қызметкерлердің ілесіп жүруі арқылы ғана болуы
мүмкін.

2. Ақпараттық процесті ұйымдастыру

Ескерту. 2-тараудың тақырыбы жаңа редакцияда - ҚР Ұлттық Банкі Басқармасының 2012.02.24 № 89 (ресми жарияланған күнінен бастап күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      2. Кредиттік тарихты қалыптастыру және пайдалану жөніндегі ақпарат жүйесінің ұйымдастырылуы және жұмыс істеуі былай қамтамасыз етіледі:
      1) келісілген рәсімдер мен технологиялық параметрлер аясындағы қатысушылар қызметін үйлестіру және басқару;
      2) қолданыстағы бағдарламалық және техникалық құралдарды сәйкестендіру;
      3) ақпараттарды ашу мүмкіндігін алып тастауды қосқандағы ақпарат қауіпсіздігі;
      4 ) жоғары тиімділікті технологияларды енгізу;
      5 ) ресурстарды икемді және тиімді басқару;
      6 ) қызмет көрсету сапасын көтеру.
      3. Ұйым мыналарды қамтамасыз етеді:
      1 ) деректерді енгізуді бақылауды;
      2 ) құжаттардың параметрлерін есепке алу мүмкіндігі (құжаттар нөмірі, байланыс коды, шарт нөмірі);
      3 ) жиынтық ақпарат тудыруды;
      4 ) резерв көшірмелерін жасауды, деректерді архивтеуді;
      5 ) кіру құқығын бақылайтын қорғаудың штатты құралдары бар ақпарат жүйесін пайдалануды;
      6 ) электронды хабарламаларды ұсынуды және қабылдауды реттейтін рәсімдердің болуы;
      7 ) талдамалық және статистикалық есептерді дайындау мүмкіндігін.
      4. Ақпаратты жеткізушілер және кредиттік есепті алушылар ақпарат беру және (немесе) кредиттік есептерді алу жөнінде олармен жасалған шарттардан және Кредиттік бюро жөніндегі Заңмен көзделген кредиттік бюроның ішкі құжаттарынан туындайтын кредиттік бюроның ұйымдастыру, технологиялық талаптарын және шарттарын қамтамасыз етеді.
      5. Ақпаратты жеткізуші ұсынған ақпарат оның дұрыс және толық орындалмауына, ақпаратты жеткізушінің, кредиттік есепті қабылдаушының, кредиттік тарих субъектісінің деректерінің ақпараттық жүйеде пайлану талаптарына сәйкес келмеуіне байланысты кредиттік тарихты ақпараттық жүйеде қалыптастыруда және пайдалануда ақпараттық жүйеге пайдаланбай кредиттік бюроға қайтаруы мүмкін.

3. Ақпаратты жеткізушілердің, кредиттік есептерді алушылардың және кредиттік бюро арасындағы ақпарат алмасу талаптары, сондай-ақ мемлекеттің қатысуы бар кредиттік бюроның және өзге де кредиттік бюролардың деректер базасында бар ақпаратты салыстырып тексеру талаптары

Ескерту. 3-тараудың тақырыбы жаңа редакцияда - ҚР Ұлттық Банкі Басқармасының 2012.02.24 № 89 (ресми жарияланған күнінен бастап күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      6. Ақпаратты жеткізушілер, кредиттік есептерді алушылар және кредиттік бюро арасында ақпарат алмасу талаптарын ақпараттандыру және "электронды үкімет" аясындағы мемлекеттік саясатты және мемлекеттік реттеуді іске асыратын уәкілетті мемлекеттік орган белгілеген ақпараттық жүйе (бұдан әрі – ақпараттандыру аясындағы уәкілетті орган) арқылы жүзеге асырылады.
      7. Кредиттік бюро ақпаратты жеткізушілерге және кредиттік есепті қабылдаушыларға ақпараттық процестерді іске асыру үшін қажетті арнайы бағдарламалық қамтамасыз етуді береді не олар пайдаланып отырған бағдарламалық қамтамасыз етуге тиісті талаптар белгілейді. Ақпаратты жеткізушілер және кредиттік есепті қабылдаушылар арнайы бағдарламалық қамтамасыз етуді дербес әзірлеген жағдайда оны кредиттік бюромен келіседі.
      8. Ақпараттық жүйені әзірлеу, енгізу және ілеспе қызмет көрсету процесінің құрамында әзірлеу кезеңдерін анықтау, өзгерістер енгізу, қабылдау, тестілеу және пайдалануға беру тәртібі, барлық кезеңдерді құжаттандыру талаптары бар.
      9. Кредиттік бюроның ақпараттық жүйені әзірлеуі, енгізуі және оған ілеспе қызмет көрсетуі олардың ішкі құжаттарына және Қазақстан Республикасының аумағындағы қолданыстағы стандарттарына сәйкес жасалады.
      10. Кредиттік бюро ақпараттық жүйені әзірлеуді оның бірінші жетекшісі бекіткен техникалық тапсырма негізінде әзірлейді.
      11. Бағдарламалық қамтамасыз етуге өзгерістер енгізу қажет болған жағдайда (жүйенің кемшіліктерін алып тастау немесе жетілдіру үшін) ақпараттық жүйенің бағдарламалық қамтамасыз етуінен және (немесе) деректерінен санкцияланбаған өзгерістерді алып тастау мақсатында бағдарламалық қамтамасыз етуге өзгерістер енгізу процесі Қазақстан Республикасының аумағында қолданылып жүрген техникалық тапсырмаға, стандарттарға және кредиттік бюроның ақпараттық қауіпсіздік сәйкес жүзеге асырылады.
      12. Кредиттік тарихтың деректер базасын және аталған ақпараттық жүйенің қорғаныс құрал-жабдықтарын орналастыру үшін ақпараттық жүйені қалыптастыру және пайдалану кезінде сертификацияланған жабдықтар және бағдарламалық қамтамасыз ету қолданылады.
      13. Кредиттік бюро ақпаратты жеткізушілермен және бөлінген байланыс арналары немесе Интернет арқылы мынадай талаптарды сақтай отырып, жүзеге асырылады:
      1) секундіне 10 мегабит кем емес өткізгіштік қабілеті бар негізгі арнаның болуы;
      2) секундіне 2 мегабит кем емес өткізгіштік қабілеті бар резервтік сымсыз арнаның болуы;
      3) әртүрлі провайдерлер арналарын пайдалану;
      4) тек қана ақпаратты жеткізушілер мен кредиттік есептерді алушылармен ақпарат алмасу үшін пайдаланылатын арналар.
      14. Кредиттік тарихты қалыптастыру және оны пайдалану жүйесіне қатысушыларға (микроқаржы ұйымын және кредиттік тарих субъектісін қоспағанда) қойылатын талаптарға сәйкестігін растау үшін, ақпаратты жеткізуші немесе кредиттік есептерді алушы ақпараттандыру саласындағы уәкілетті органға өтінішті қағаз тасымалдағышта немесе электрондық цифрлық қолтаңбамен – куәландырылған электронды құжат түрінде www.e.gov.kz (бұдан әрі – ЭҮП) «электронды үкімет» веб-порталы немесе www.elicense.kz «Е-лицензиялау» веб-порталы (бұдан әрі – Портал) арқылы жібереді.
      Ұйымның (микроқаржы ұйымын қоспағанда) бағдарламалық қамтамасыз етуді қорғау жөніндегі ұйымдастыру-техникалық, технологиялық талаптарды сақтауын Нұсқаулықпен және Қазақстан Республикасының заңнамасымен белгіленген шарттар мен талаптарға сәйкес келуін пайдаланылып отырған ақпараттық жүйенің кредиттік тарихты қалыптастыру және оны пайдалану жүйесінің (микроқаржы ұйымын және кредиттік тарих субъектісін қоспағанда) қатысушыларына ақпараттандыру саласындағы уәкілетті орган уәкілетті органмен бірлесе отырып құрылған комиссия басшысының ЭЦҚ куәландырған электронды құжаты түрінде Нұсқаулықтың 1-қосымшасына сай (бұдан әрі – сәйкестілік туралы акт) нысанмен қойылатын талаптарға сәйкес келетіндігі туралы акт жасау арқылы, қаржы нарығын және қаржы ұйымдарын реттеу, бақылау мен қадағалау жөніндегі уәкілетті органмен (бұдан әрі – уәкілетті орган) бірлесіп, уәкілетті органның ақпараттандыру саласындағы комиссиясы растайды.
      Сәйкестілік туралы акті комиссияның барлық мүшелерімен келісіледі, содан соң қол қою үшін тексеріп отырған ұйымның өкіліне жіберіледі. Егер комиссияның бір мүшесі қабылданған шешіммен келіспесе және сәйкестілік туралы актіге келіспесе, онда ол комиссияға өзінің бас тарту себебін ЭҮП немесе Портал арқылы жазбаша нысанда ұсынады және оны сәйкестілік туралы актіге қоса береді.
      Сәйкестілік туралы акт уәкілетті органның ақпарат саласындағы комиссия мүшелерінің үштен екісінің келісім туралы шешімдері және уәкілетті органның комиссия мүшелерінің үштен екісінің келісім туралы шешімдері болғанда қабылданды деп есептеледі.
      Микроқаржы ұйымының бағдарламалық қамтамасыз етуді қорғау жөніндегі ұйымдастыру-техникалық, технологиялық талаптарды сақтауын Нұсқаулықпен және Қазақстан Республикасының заңнамасымен белгіленген шарттар мен талаптарға сәйкес келуін Нұсқаулықтың 2-қосымшасына сай (бұдан әрі – уәкілетті органның қорытындысы) нысанмен микроқаржы ұйымдарына қойылатын талаптарға сәйкес уәкілетті орган растайды.
      Ескерту. 14-тармақ жаңа редакцияда - ҚР Ұлттық Банкі Басқармасының 25.01.2013 № 9 қаулысымен (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі).
      15. Ақпаратты жеткізушілермен (микроқаржы ұйымын қоспағанда), кредиттік есептерді алушылар және кредиттік бюроның арасындағы ақпарат алмасу оң қорытындыға сәйкестік туралы акті болғанда ғана жүзеге асырылады.
      Микроқаржы ұйымдары, кредиттік есептерді алушылар және кредиттік бюроның арасындағы ақпарат алмасу уәкілетті органның оң қорытындысы болғанда ғана жүзеге асырылады.
      Ескерту. 15-тармақ жаңа редакцияда - ҚР Ұлттық Банкі Басқармасының 25.01.2013 № 9 қаулысымен (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі).
      16. Кіріс және шығыс трафигі криптографиялық қорғаныспен
қамтамасыз етілуі тиіс.
      16-1. Мемлекеттің қатысуы бар кредиттік бюро мемлекеттің қатысуы бар кредиттік бюроның және уәкілетті органмен келісілуі тиіс өзге де кредиттік бюролардың деректер базасында бар ақпаратты ішкі салыстырып тексеру рәсімдерін (бұдан әрі - ішкі рәсімдер) бекітеді.
     Ескерту. 16-1-тармақпен толықтырылды - ҚР Ұлттық Банкі Басқармасының 2012.02.24 № 89 (ресми жарияланған күнінен бастап күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.
      16-2. Ішкі рәсімдер мыналарды анықтайды:
      салыстырып тексерудің талаптарын, тәртібін және мерзімдерін;
      салыстырып тексеруге жататын ақпараттың параметрлерін;
      салыстырып тексеруге байланысты ақпараттық процестерді іске асыру үшін қажетті бағдарламалық қамтамасыз етуге қойылатын талаптарын;
      салыстырып тексеруге жататын ақпаратты қорғауды қамтамасыз ету тәртібін;
      мемлекеттің қатысуы бар кредиттік бюроға салыстырып тексеруге байланысты ұшыраған нақты шығыстар көлемінде өтеу тәртібін.
     Ескерту. 16-2-тармақпен толықтырылды - ҚР Ұлттық Банкі Басқармасының 2012.02.24 № 89 (ресми жарияланған күнінен бастап күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.
      16-3. Кредиттік бюро бір жылда кемінде бір рет кредиттік бюроның кредиттік тарихының деректер базасында сақталатын ақпараттың шынайылығын қамтамасыз ету үшін мемлекеттің қатысуы бар кредиттік бюроның ішкі рәсімдерімен белгіленген шарттарда, тәртіпте және мерзімдерде мемлекеттік қатысуы бар кредиттік бюроның ақпаратымен салыстырып тексереді.
      Кредиттік бюроның кредиттік тарихының деректер базасында сақталатын ақпаратты салыстырып тексеру есепті жылдың соңғы айдың жиырмасыншы жұмыс күнінен кешіктірмей жүргізіледі.
      Кредиттік бюро ақпарат көлемін салыстырып тексеруге жататын ақпарат көлемін дербес түрде, салыстырып тексеруге жататын ақпарат параметрлерінің Мемлекеттің қатысуы бар кредиттік бюроның ішкі рәсімдерімен белгіленген ақпарат параметрлеріне сәйкес келу талаптары арқылы анықтайды.
     Ескерту. 16-3-тармақпен толықтырылды - ҚР Ұлттық Банкі Басқармасының 2012.02.24 № 89 (ресми жарияланған күнінен бастап күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.
      16-4. Мемлекеттің қатысуы бар кредиттік бюро өзге де кредиттік бюролардан қабылданған ақпаратты мемлекеттің қатысуы бар кредиттік бюроның кредиттік тарихының деректер базасында бар ақпаратпен салыстырып тексереді.
     Ескерту. 16-4-тармақпен толықтырылды - ҚР Ұлттық Банкі Басқармасының 2012.02.24 № 89 (ресми жарияланған күнінен бастап күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.
      16-5. Мемлекеттің қатысуы бар кредиттік бюроның және өзге де кредиттік бюроның уәкілетті өкілдері олардың кредиттік тарихтарының деректер базасында бар, салыстырып тексеруге жататын ақпараттың сәйкес келуін немесе сәйкессіздігін салыстырып тексеру актісін немесе сәйкессіздік актісін еркін нысанда жасау жолымен растайды.
      Мемлекеттің қатысуы бар кредиттік бюро сәйкессіздік актісін кезде сәйкессіздік актісін жасаған күннен бастап екі жұмыс күн ішінде оның көшірмесін уәкілетті органға ұсынады.
     Ескерту. 16-5-тармақпен толықтырылды - ҚР Ұлттық Банкі Басқармасының 2012.02.24 № 89 (ресми жарияланған күнінен бастап күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.
      16-6. Салыстырып тексеру актісі немесе сәйкессіздік актісі екі данада әр тарап үшін бір данадан жасалады, салыстырып тексеруді жүзеге асыратын тараптарының уәкілетті өкілдері оған қол қояды және олардың мөрлерімен расталады.
     Ескерту. 16-6-тармақпен толықтырылды - ҚР Ұлттық Банкі Басқармасының 2012.02.24 № 89 (ресми жарияланған күнінен бастап күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.
      16-7. Салыстырып тексеру актісі кезекті салыстырып тексеру өткенге дейін сақталады. Сәйкессіздік актісі ол жасалған күннен бастап бес жыл бойы сақталуы тиіс.
     Ескерту. 16-7-тармақпен толықтырылды - ҚР Ұлттық Банкі Басқармасының 2012.02.24 № 89 (ресми жарияланған күнінен бастап күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.
      16-8. Кредиттік бюро және мемлекеттік қатысуы бар кредиттік бюро сәйкессіздік актіні жасаған күннен бастап он жұмыс күн ішінде анықталған сәйкессіздіктер жою бойынша шараларды қабылдайды. Анықталған сәйкессіздіктерді жою бойынша қабылданған шаралардың нәтижелері туралы мемлекеттік қатысуы бар кредиттік бюро уәкілетті органға үш жұмыс күн ішінде хабарлайды.
     Ескерту. 16-8-тармақпен толықтырылды - ҚР Ұлттық Банкі Басқармасының 2012.02.24 № 89 (ресми жарияланған күнінен бастап күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

4. Қауіпсіздік жүйесін қалыптастыру және үй-жайларға, электронды және кредиттік тарих жүйесі қатысушыларының өзге де жабдықтарына қойылатын ең төменгі талаптар

Ескерту. 4-тараудың тақырыбы жаңа редакцияда - ҚР Ұлттық Банкі Басқармасының 2012.02.24 № 89 (ресми жарияланған күнінен бастап күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      17. Кредиттік бюро тұрғын емес үйде, кіруі шектеулі үй-жайда орналасады.
      18. Кредиттік бюроның қауіпсіздік жүйесі осы Нұсқаулықпен белгіленген мынадай талаптарға жауап беруі тиіс:
      1) серверлік үй-жайға және кіруі шектеулі үй-жайға;
      2) кредиттік бюроның қызметін автоматтандыру үшін пайдаланылатын жүйелі бағдарламалық қамтамасыз етуге;
      3) кредиттік бюроның қызметін автоматтандыру үшін пайдаланылатын арнайы бағдарламалық қамтамасыз етуге (ақпараттық жүйеге);
      4) кредиттік бюроның техникалық құрал-жабдықтарына (ақпараттық ресурстарына);
      5) ақпарат қауіпсіздігін қамтамасыз етуге.
      19. Кредиттік бюроның жабдықталған серверлік үй-жайында мыналар бар:
      1) кіруді бақылау жүйесі (жеке электронды рұқсатнама);
      2 ) серверлік үй-жайына кіру бейне бақылау жүйесі және кросс бөлмелері;
      3) толық толтырылған міндетті резервтік газы бар және кепілдік берілген қорек жүйесіне қосылған өрт сөндіру автоматты жүйесі;
      4) есік, терезелердің күзет сигнализациясы және герметикалық аймақтың ішіндегі датчиктер жүйесі;
      5) серверлік бөлменің гермоаймағында тұрған таза қоректің тоқтаусыз жүйесі;
      6) тәулік бойғы кезекшілік жарықты қосқандағы серверлік
және кросс бөлмелерінің барлық электр желісінің кепілдік берілген қорек жүйесі;
      7) резерві толық кондиционирлеу жүйесін.
      20. Серверлік үй-жай соңынан кеңістікті кеңейту мүмкіндігі бар және ірігабариттік аппаратураларды орналастыру мүмкіндігі бар жерлерге орналасуы және мынадай талаптарға жауап беруі тиіс:
      1) cерверлік бөлменің ең төменгі қол жетімді мөлшері - 20 шаршы метр;
      2) cерверлік бөлме кондуитті мөлшері 1,5 үйдің жерге қосылу жүйесінің бас электродымен қосылуы тиіс;
      3) cерверлік бөлменің талап етілетін биіктігі 2,44 метр болуы тиіс.
      21. Кредиттік бюроның кіруі шектеулі үй-жайы мынадай талаптарға сәйкес келуі тиіс:
      1) жауапты тұлғаның жұмыс орнына жіберілмейтін тұлғалардың осы үй-жайға қадағаланбай кіріп кету мүмкіндігін болдырмайтын кіруді бақылау жүйесінің (жеке электронды рұқсатнама) болуы;
      2) кірудің бейнебақылау жүйесінің болуы (тұрақты жазылып отырылатын бейнекамера);
      3) өрт сигнализациясы жүйесінің болуы;
      4) күзет сигнализациясы жүйесінің болуы;
      5) үй-жайда кредиттік бюроның қызметіне қатысы жоқ жұмыс орындарын иеленуге тыйым салынады;
      6) кіруі шектеулі үй-жай үйдің бірінші немесе соңғы
қабаттарында орналасқан жағдайда, сондай-ақ балкондардың терезелерінің жанында өрт баспалдақтары бар болса, үй-жайдың терезелері металл торкөздермен жабдықталады;
      7) кіруі шектеулі үй-жайда жауапты тұлғалардың жұмыс орындары орналасады.
      22. Ақпаратты жеткізушілер (микроқаржы ұйымын қоспағанда) мен кредиттік есептерді алушылардың кіруі шектеулі үй-жайларына Нұсқаулықтың 21-тармағының 1), 3), 4), 5) және 6) тармақшаларымен белгіленген талаптар қойылады, сондай-ақ үй-жайға кіру әрбір кірген кезі келуді тіркеу журналында тіркелетін жауапты тұлғалардың тізімімен шектелуі тиіс және олардың аты, тегі, әкесінің аты – егер болса, лауазымы, күні, уақыты және келу мақсаты туралы мәліметтер енгізіледі.
      Микроқаржы ұйымының кіруі шектеулі үй-жайларына Нұсқаулықтың 21-тармағының 1), 3), 4) және 5) тармақшаларымен белгіленген талаптар қойылады, сондай-ақ үй-жайға кіру әрбір кірген кезі келуді тіркеу журналында тіркелетін жауапты тұлғалардың тізімімен шектеледі және олардың аты, тегі, әкесінің аты – егер болса, лауазымы, күні, уақыты және келу мақсаты туралы мәліметтер енгізіледі.
      Микроқаржы ұйымы орналасқан үй-жайда жалпы күзет сигнализациясының жүйесі болғанда микроқаржы ұйымының кіруі шектеулі үй-жайына жеке күзет сигнализациясы талап етілмейді.
      Ескерту. 22-тармақ жаңа редакцияда - ҚР Ұлттық Банкі Басқармасының 25.01.2013 № 9 қаулысымен (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі).
      23. Жауапты тұлғаның жұмыс орны мынадай талаптарға сәйкес келуі тиіс:
      1 ) бағдарламалық қамтамасыз ету тұрғылықты орны, конфигурациясы, сондай-ақ оған орнатылған аппараттық және бағдарламалық құрал-жабдықтары қойылған арнайы бөлінген дербес компьютерге орнатылады. Паспорт ұйым басшысының қолымен ресімделеді және ол жауапты тұлғада сақталады ;
      2) жауапты тұлғаның дербес компьютерін пайдалануға және дайындау, өңдеу, жіберу мақсаттарымен байланыссыз немесе ақпараттық жүйеге қатысу аясындағы электрондық құжаттарды жүргізу жүйесінде бағдарламалық құрал-жабдықтарды қоюға жол берілмейді;
      3) жауапты тұлғаның дербес компьютерінде мынадай қорғаныс кешені болуы тиіс:
      пайдаланушының бірегейлендіретін және аутентификациялайтын құрал-жабдықтары;
      компьютерьге кіруге және пайдаланушылардың іс-қимылдарына байланысты қызметті бақылау мақсатында электронды құжаттарды сақтау мерзімі аралығында электронды журналдарды жүргізу мүмкіндігі;
      4 ) пайдаланушы бірегейлендіретін пайдаланушының (жауапты тұлғаның) бір жүйелі атының болуы, ақпараттық жүйеге кіру кезінде онда бір жеке тұлға сәйкес келуі тиіс;
      5 ) дербес компьютерде бағдарламалық қамтамасыз етудің бүтіндігі мен құпиялылығын қамтамасыз ететін құрал-жабдық болуы тиіс;
      6 ) желілік ресурстар мен сыртқы тасымалдаушыларға, сондай-ақ оператордың дербес компьютеріне ақпаратты кіргізу-шығару порттары, оның ішінде кіргізу-шығару базалық жүйесін жұмысқа дайындау да ажыратылуы тиіс;
      7 ) дербес компьютердің жүйелі блогын, ақпаратты кіргізу-шығару порттарын басқарушы мөрмен жабады не пломбылайды. Мөрмен жабу (пломбылау) процесі тегін, атын, бар болса - әкесінің атын, қызметін, келу күнін, уақытын және пломбылау ( м өрмен жабу) мақсатын көрсете отырып, арнайы журналында тіркеледі. Ноутбуктер үшін порттарды мөрмен жаппай, кіргізу-шығару базалық жүйесіндегі қондырғыларды ажыратуды пайдалануға ғана рұқсат беріледі. Үйден ақпараттық қауіпсіздік қызметі басшысының жауапты қызметкерінің өтінімдері негізінде жасалатын профилактикалық және жөндеу жұмыстарын жүргізуден басқа жағдайларда компьютерлер мен ноутбуктерді алып шығуға тыйым салынады;
      8 ) қорғаныс жүйесін пайдалана отырып, ақпараттық ортаға берілетін ақпаратты жинақтау үшін бөлінген өзге ресурстарға (дискілік кеңістік, директория, деректер базасы және деректер базасының резервтік көшірмелері) кіру тәртібі, ақпараттық ортадан ақпарат алу, ақпаратты сақтау, архивтеу және басқа да өңдеу осы ресурстарға санкцияланбаған кіру мүмкіндігін болдырмауы тиіс;
      9) жауапты тұлғаның жұмыс орнына және кіруі шектеулі
үй-жайына кіру оның лауазымдық міндеттеріне сәйкес жүзеге асырылады.
      24. Ақпаратты жеткізушілердің операторы мен кредиттік есептерді алушылардың жұмыс орны кіруі шектеулі үй-жайда болуы тиіс және осы Нұсқаулықтың 23-тармағымен белгіленген талаптарға жауап беруі тиіс.
      25. Кредиттік бюроның жүйелі бағдарламалық қамтамасыз етулерін пайдалануы (операциялық жүйелер, деректер базасын басқару жүйесі, офистік бағдарламалар, вирусқа қарсы бағдарламалар) лицензиямен, сертификаттармен расталуы тиіс.
      26. Кредиттік тарих бойынша деректерді жинақтау және сақтау үшін әзірлеушінің ресми өкілдігі және Қазақстан Республикасының аумағында техникалық қолдау көрсету орталығы болуы тиіс деректер базасын басқарудың өнеркәсіптік жүйесі пайдаланылуы тиіс.
      27. Кредиттік бюро бағдарламалық қамтамасыз етуді енгізу
және пайдалануға беруді (дайын өнімді әзірлеу немесе бейімдеу) оның бірінші басшысы бекіткен техникалық тапсырмасы негізінде орындайды, бұл ретте қауіпсіздік механизмдеріне арналған тиісті сертификаттар болуы қажет. Кредиттік бюроның бағдарламалық қамтамасыз етуін әзірлеушілердің барабар жүйелерді әзірлеу бойынша екі жылдан кем емес тәжірибесі болуы тиіс.
      28. Кредиттік бюроның бағдарламалық қамтамасыз етуі
ақпаратты қабылдаудың (жеткізудің) мынадай екі және одан артық
тәсілін қамтамасыз етуі тиіс:
      қолжетімді форматтардағы есептерді бағдарламалық
қамтамасыз етуді пайдаланатын интерактивті интерфейс;
      нақты уақыт режимінде стандартты форматпен беруді пайдаланатын желілік кіру, деректерді қолмен енгізу функциясының көмегі арқылы енгізу, веб-браузерді пайдалану арқылы сайттарда экрандық нысандарды толтыру.
      29. Ақпараттық қауіпсіздік мақсатында кредиттік бюроның
бағдарламалық қамтамасыз етуі мыналарды қамтамасыз етуі тиіс:
      1) криптографиялық қайта құру арқылы бірегейлендіруді және аутентификациялауды;
      2) пайдаланушылардың құқықтарын шектемеу;
      3) бағдарламалық қамтамасыз ету ядросы деңгейіндегі жұмысты қамтамасыз ету нәтижесі бойынша жүйе аясындағы бірде-бір мәні бар іс-қимыл (пайдаланушының немесе процестегі іс-қимыл болса да)
қауіпсіздік механизмінің қатысуынсыз өтпеуі тиіс;
      4) бағдарламалық қамтамасыз етуде іске асырылған қауіпсіздік схемасы, бағдарламалық қамтамасыз ету іске асырылатын операциялық жүйенің өзінің қауіпсіздік құралдарынан оқшаулануы тиіс, былайша айтқанда, операциялық жүйенің өзінің қауіпсіздік құралдарының осалдығы бағдарламалық қамтамасыз етудің қауіпсіздік жұмысына әсер етпеуі тиіс;
      5) бағдарламалық қамтамасыз етудегі деректердің тұйықталып сақталуы мынадай тәсілмен ұйымдастырылып, қамтамасыз етілуі тиіс:
      бағдарламалық қамтамасыз етудің қосымшаларының жұмыс аясынан тыс аталған деректерге логикалық жағынан кіру мүмкін болмаған жағдайда;
      бағдарламалық қамтамасыз етудің деректер базасына/базасынан жасалған кез-келген ауыстырулар қауіпсіздік механизмдерінің
бақылауымен;
      6) фактіні, объектіні және жою процесіндегі субъектіні
сәйкестендіру үшін қажетті ақпаратты белгілеу, белгілі бір уақыт аралығында жойылған, өзгертілген деректерді қалпына келтіру
мүмкіндігі;
      7) іркілістер пайда болған кезде тұрақты жұмыс істету
мүмкіндігі;
      8) пайдаланушының жұмыс орны істен шыққан немесе қаскүнем
оған санкцияланбаған жолмен кіруі жүйенің серверлік бөлігінің
жұмысында байқалмаған, ал сервер қосымшаларының іркілісі жүйе деректерінің жай-күйіне әсер етпеген жағдайдағы "клиент-сервер" үш деңгейлі сәулетімен;
      9) тіркеу журналында белгілеу, сондай-ақ кез-келген субъект тарапынан қорғау мүмкіндігі болатын жүйелі маңызды оқиғалар аудиті;
      10) пайдаланушылар мен басқарушылардың байланыс орнату
әрекетінен бастап, сәтті, сондай-ақ сәтсіз іс-қимылдарының аудиті;
      11) экспортқа және импортқа шығарылатын деректерді бақылау;
      12) қауіпсіздік модульдері мен механизмдерін әзірлеу
(пысықтау) мүмкіндігі;
      13) ақпараттық жүйе әзірлеушісімен жасалған шартта мынадай міндеттер көзделуі тиіс:
      кредиттік бюроны жүйеде анықталған қателер мен жүйенің осал тұстары, сондай-ақ жүйедегі өзгерістер мен жетілдірулер туралы
тұрақты және уақтылы хабардар етіп отыру;
      шұғыл қолдау көрсету қызметін ұйымдастыру, оның ішінде кредиттік бюро қызметкерлеріне кеңестер беру және оларға ақпараттық қауіпсіздік мәселелері бойынша практикалық көмек көрсету.
      29-1. Кредиттік бюроның бағдарламалық қамтамасыз етуі Кредиттік бюро туралы заңмен белгіленген мерзім ішінде кредиттік тарих субъектісіне қатысты ақпараттың сақталуын, сондай-ақ кредиттік тарихты қалыптастырғаннан бастап кез келген уақыттағы жағдай бойынша кредиттік есептердің бір жұмыс күні ішінде қалыптастыру мүмкіндігін қамтамасыз етуі тиіс.
     Ескерту. 29-1-тармақпен толықтырылды - ҚР Ұлттық Банкі Басқармасының 2011.08.26 № 97 (ресми жарияланған күнінен бастап күнтізбелік он күн өткеннен соң қолданысқа енгізіледі) Қаулысымен.
      30. Кредиттік бюроның техникалық құрал-жабдықтарына
қойылатын талаптар:
      1) меншікті аппараттық қамтамасыз етудің болуы (компьютерлік жабдықтар, серверлер, қорғаныстың аппараттық құрал-жабдықтары, комплектілік және өзге де жабдықтар), сондай-ақ кредиттік бюроның аппараттық қамтамасыз етілудегі керек-жарақтарын растайтын құжаттардың болуы;
      2) сәйкестілікті растаушы орган берген қауіпсіздік талаптарына сәйкестікке аппараттық қамтамасыз ету сәйкестілігі сертификаттарының болуы;
      3) кепілдік берілген қорек жүйесі – бар ұйымда таза қорек желісіндегі электр қуатын үзіліссіз қолдау арқылы және резервті автоматты түрде қосу қалқанының, үзіліссіз қорек жүйесінің (бұдан әрі - ҮҚЖ) екі қайнар көзі сигналынан атқарылатын дизельді генератор қондырғысының болуы.
      31. Кредиттік бюроның серверлері бас тартатын тұрақты аяқталған жүйеден тұруы тиіс және аппараттық бөлікті жүз пайыз қайталайтын кластерді білдіруі тиіс. Кредиттік бюроның деректер базасының резервтік серверлері негізгі серверден он километрден кем емес аралықта орналасуы және деректер базасының негізгі серверлері жұмысын тоқтатқан жағдайда, кредиттік бюро негізгі сервердің жұмысын тоқтатқан сәттен бастап 6 (алты) сағаттан аспайтын мерзімде резервтік серверлердегі деректер базасының жұмысын қалпына келтіруді қамтамасыз ететіндей кредиттік бюроның деректер базасының үздіксіз жұмыс істеуін қамтамасыз етуі тиіс.
     Ескерту. 31-тармақ жаңа редакцияда - ҚР Ұлттық Банкі Басқармасының 2011.08.26 № 97 (ресми жарияланған күнінен бастап күнтізбелік он күн өткеннен соң қолданысқа енгізіледі) Қаулысымен.
      32. Ақпарат қауіпсіздігін қамтамасыз ететін ұйымға (микроқаржы ұйымын қоспағанда) қойылатын талаптар:
      1) аппаратты шекаралық маршрутизаторлардың көмегімен трафикті шифрлау арқылы деректер берудің қорғалған арнасының болуы;
      2) Интернет желісінен ұйымның компьютер желісіне жасалатын шабуылдарды желіаралық экранның көмегімен анықтау (болдырмау) жүйелерінің болуы;
      3) пайдаланушының криптокілті мен сәйкестендіру жүйесінің көмегімен компьютерлерді криптографиялық жағынан қорғау жүйесінің болуы;
      4) пайдаланушылардың желілік карталарының тасымалдауыштарына кіруді басқаратын сәйкестендіру жөніндегі трафикті аппараттық желілік талдаушының болуы;
      5) резервтік көшірме жасау – ақпаратты сыртқа тасымалдауыштар кітапханасы жүйесінің болуы.
      Кредиттік бюро жоғарыда көрсетілген талаптарды іске асыру үшін, ақпарат қауіпсіздігін қамтамасыз ету үшін тәуекелдерді, осалдықтар мен қауіп-қатерлерді талдайды және баға береді.
      Микроқаржы ұйымына осы тармақтың 2) және 5) тармақшаларында көзделген ақпарат қауіпсіздігін қамтамасыз ету бойынша талаптар қолданылады.
      Ескерту. 32-тармақ жаңа редакцияда - ҚР Ұлттық Банкі Басқармасының 25.01.2013 № 9 қаулысымен (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі).
      33. Ұйым (микроқаржы ұйымын қоспағанда) өз қызметі барысында мынадай талаптарды орындайды:
      1) ақпарат қауіпсіздігі қызметінің болуы;
      2) кредиттік тарихтар бойынша жауапты тұлғалардың болуы;
      3) ақпарат қауіпсіздігі саясатының болуы;
      4) парольдерді қалыптастыру және пайдалану саясатының болуы;
      5) резервтік көшірме жасау саясатының болуы (архивтеу);
      6) пайдаланушылардың, қауіпсіздік басқарушыларының, жүйе басқарушыларының кіруіне шек қою және олардың міндеттері жөніндегі рәсімдерді сипаттайтын құжаттаманың болуы.
      Микроқаржы ұйымы өз қызметі барысында осы тармақтың 2) тармақшасында белгіленген талаптарды орындайды.
      Ескерту. 33-тармақ жаңа редакцияда - ҚР Ұлттық Банкі Басқармасының 25.01.2013 № 9 қаулысымен (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі).
      34. Ұйым (микроқаржы ұйымын қоспағанда) мыналар бар ақпараттық жүйемен жұмыс тәртібін анықтайтын ішкі құжатты қабылдайды:
      1) жауапты тұлға болу міндеті жүктелетін қызметкерлерді тағайындау тәртібін;
      2) жұмыс режимін;
      3) лауазымдық нұсқаулықтарды қоса алғанда, жауапты тұлғалардың құқықтары мен міндеттері;
      4) оператордың жұмыс орнына кіруге рұқсат берілген қызметкерлердің тізімі;
      5) оператордың жұмыс орнына айырықша жағдайларда (дағдарыс жағдайында, сондай-ақ қызметкердің орнын ауыстырған жағдайда) ғана кіруге рұқсат берілген қызметкерлердің тізімі.
      Микроқаржы ұйымына осы тармақтың 3), 4), 5) тармақшаларында көзделген талаптар қолданылады.
      Ескерту. 34-тармақ жаңа редакцияда - ҚР Ұлттық Банкі Басқармасының 25.01.2013 № 9 қаулысымен (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі).
      35. Жауапты тұлғалар:
      1) ақпараттық жүйе ресурсына кіру үшін бірегейлендіру және аутентификациялау рәсімдерінің міндеттілігін қамтамасыз етеді;
      2) рұқсат берілмеген пайдаланушылардың ақпараттық ресурстарға кіру құқығын алуына жол берілмейді;
      3) ақпараттық жүйе өңделіп отырған ақпараттың резервтік
көшірмесін жасаудың тұрақты болуына бақылау жасайды;
      4) жүйе ресурстарының қорғалу сенімділігін жоспарлы түрде
және жоспардан тыс тексеру жүргізеді;
      5) корпоративті желінің жабдықтарын, оның ішінде арнайы желіаралық бағдарламалық құрал-жабдықтарды қорғауды қамтамасыз етеді;
      6) қауіп-қатерді көрсету және бұзушыларды анықтау жөнінде шаралар қабылдайды;
      7) оқиғалар журналын, ондағы ақпаратқа санкцияланбаған кіру әрекеттерінің болғандығы туралы жазбаларды тұрақты қарап отырады.
      36. Ұйым қызметкерлері (жауапты тұлға, басқарушы, оператор) олардың қызметтік міндеттерін орындау барысында белгілі болған
ақпаратты жарияламау және таратпау туралы жазбаша міндеттеме береді.
      37. Жауапты тұлға жұмыстан шыққан жағдайда ұйымның кілт
жөніндегі ақпараты жоспардан тыс ауыстырылады, бұл туралы кредиттік бюро хабардар етіледі. Ұйымның кілт жөніндегі жаңа ақпарат олар жұмыстан шығарылған күннен бастап қолданысқа енгізіледі.
      38. Ұйымдағы кілт жөніндегі жаңа ақпараттағы сыртқы тасымалдаушыларды сақтау және пайдалану тәртібі оған санкцияланбаған кіру әрекеттерінің мүмкіндігін болдырмауы тиіс.

6. 6-тарау алынып тасталды - ҚР Ұлттық Банкі Басқармасының 2012.02.24 № 89(ресми жарияланған күнінен бастап күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

Кредиттік тарихты қалыптастыру жүйесіне
қатысушылардың қызметіндегі ақпараттық
процесті ұйымдастыруға және
оны пайдалануға, қауіпсіздік жүйесін
қалыптастыруға, олардың электрондық
жабдықтарына, кредиттік тарихтың деректер
базасының сақталуына және үй-жайларына
қойылатын ең төменгі талаптарды белгілеу
жөніндегі нұсқаулыққа
1-қосымша

Нысан

Ескерту. 1-қосымша жаңа редакцияда - ҚР Ұлттық Банкі Басқармасының 25.01.2013 № 9 қаулысымен (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі).

________________________________________
(қатысушының атауы)
кредиттік тарихты қалыптастыру және
оны пайдалану жүйесінің қатысушыларына қойылатын талаптарға
сәйкестігі туралы акт
(микроқаржы ұйымын және кредиттік тарих субъектісін қоспағанда)

__________________ __________________
жасалған орны күні

      Кредиттік тарихты қалыптастыру және оны пайдалану жүйесі қатысушысының ақпараттық қызмет көрсету нарығындағы өз қызметін бастауға дайындығын және олардың кредиттік тарихты қалыптастыру және оны пайдалану жүйесі қатысушысының қатысушыларының қызметіндегі ақпараттық процесті, қауіпсіздік жүйесін қалыптастыруды ұйымдастыру жөніндегі талаптарды орындау, олардың электронды жабдықтарына, кредиттік тарихтың деректер базасының және үй-жайлардың сақталуына қойылатын ең төменгі талаптарды орындау туралы мынадай құрамдағы комиссия осы актіні жасады:
      ақпараттандыру саласындағы уәкілетті органның өкілдері:
_____________________________________________________________________
_____________________________________________________________________
_____________________________________________________________________
_____________________________________________________________________
уәкілетті органның өкілдері:
_____________________________________________________________________
_____________________________________________________________________
_____________________________________________________________________
Комиссияның жұмысына кредиттік тарихты қалыптастыру және оны
пайдалану жүйесі қатысушысының өкілдері қатысады:____________________
_____________________________________________________________________
_____________________________________________________________________
Комиссия зерттеген объектілердің және зерделеген құжаттардың толық сипаттамасы:
_____________________________________________________________________
_____________________________________________________________________
_____________________________________________________________________
Кредиттік тарихты қалыптастыру және оны пайдалану жүйесінің
қатысушысы өкілдерінің түсіндірмелерінің қысқаша мазмұны:____________
_____________________________________________________________________
_____________________________________________________________________
Комиссия _________________ кредиттік тарихты қалыптастыру және оны пайдалану жүйесі қатысушысының техникалық және өзге де құжаттарын тексеру, оның кредиттік тарихты қалыптастыру және оны пайдалану жүйесіндегі жұмыстарға арналған техникалық үй-жайын, электронды-компьютерлік жабдығын, байланыс жүйесін және қорғау құрылғыларын және өзге де объектілерін зерттеу кезінде
_____________________________________________________________________
_______________________________________________ болып анықталды
(қойылған талаптарға сәйкес (сәйкес емес) және ақпарат қызметін көрсету нарығында қызметті ұйымдастыруды бастау (жалғастыру) үшін жеткілікті (жеткіліксіз).
Кредиттік тарихты қалыптастыру және оны пайдалану жүйесінің қатысушысы комиссия актісіне қоса берілген мынадай техникалық құжаттаманы және өзге де құжаттарды берді:
_____________________________________________________________________
_____________________________________________________________________
_____________________________________________________________________
Комиссия мүшелері:
_________________   _______________   _______________________________
   (лауазымы)          (аты-жөні)         келісілген/келісілмеген
_________________   _______________   _______________________________
   (лауазымы)          (аты-жөні)         келісілген/келісілмеген
_________________   _______________   _______________________________
   (лауазымы)          (аты-жөні)         келісілген/келісілмеген

Комиссия басшысы:
_____________________________________________________________________
(ЭЦҚ)

Кредиттік тарихты қалыптастыру жүйесіне
қатысушылардың қызметіндегі ақпараттық
процесті ұйымдастыруға және
оны пайдалануға, қауіпсіздік жүйесін
қалыптастыруға, олардың электрондық
жабдықтарына, кредиттік тарихтың деректер
базасының сақталуына және үй-жайларына
қойылатын ең төменгі талаптарды белгілеу
жөніндегі нұсқаулыққа
2-қосымша

Нысан

Ескерту. Нұсқаулық 2-қосымшамен толықтырылды - ҚР Ұлттық Банкі Басқармасының 25.01.2013 № 9 қаулысымен (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі).

_________________________________________
(микроқаржы ұйымының атауы)
микроқаржы ұйымына қойылатын талаптарға сәйкестігі
туралы қорытынды

________________ ________________
жасалған орны күні

Микроқаржы ұйымының ақпараттық қызмет көрсету нарығындағы өз қызметін бастауға дайындығын және олардың кредиттік тарихты қалыптастыру және оны пайдалану жүйесі қатысушысының қатысушыларының қызметіндегі ақпараттық процесті, қауіпсіздік жүйесін қалыптастыруды ұйымдастыру жөніндегі талаптарды орындау, олардың электронды жабдықтарына, кредиттік тарихтың деректер базасының және үй-жайлардың сақталуына қойылатын ең төменгі талаптарды орындау туралы мынадай құрамдағы уәкілетті органның өкілдері қорытынды жасады:
_____________________________________________________________________
_____________________________________________________________________
_____________________________________________________________________
Зерттелген объектілердің және зерделенген құжаттардың толық сипаттамасы:
_____________________________________________________________________
_____________________________________________________________________
_____________________________________________________________________
__________________ микроқаржы ұйымының техникалық және өзге де құжаттарын тексеру, оның кредиттік тарихты қалыптастыру және оны пайдалану жүйесіндегі жұмыстарға арналған техникалық үй-жайын, электронды-компьютерлік жабдығын, байланыс жүйесін және қорғау құрылғыларын және өзге де объектілерін зерттеу кезінде _____________________________________________________________________
___________________________________________________________ анықталды
(қойылған талаптарға сәйкес (сәйкес емес) және ақпарат қызметін көрсету нарығында қызметті ұйымдастыруды бастау (жалғастыру) үшін жеткілікті (жеткіліксіз).

Уәкілетті органның өкілдері:
_____________________________________________________________________
_____________________________________________________________________
_____________________________________________________________________