Сноска. Утратило силу постановлением Правления Национального Банка РК от 27.05.2015 № 91 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).
В целях совершенствования нормативных правовых актов Республики Казахстан, Правление Национального Банка Республики Казахстан ПОСТАНОВЛЯЕТ:
1. Внести в постановление Правления Агентства Республики Казахстан по регулированию и надзору финансового рынка и финансовых организаций от 18 июля 2008 года № 105 «Об утверждении Инструкции об организации информационного процесса в деятельности участников системы формирования кредитных историй и их использования, формирования системы безопасности, установлении минимальных требований к их электронному оборудованию, сохранности базы данных кредитных историй и помещениям» (зарегистрированное в Реестре государственной регистрации нормативных правовых актов под № 5310, опубликованное 15 октября 2008 года в Собрании актов центральных исполнительных и иных центральных государственных органов Республики Казахстан № 10, 31 октября 2008 года в газете «Юридическая газета» № 166 (1566)) следующие изменения и дополнение:
в Инструкции об организации информационного процесса в деятельности участников системы формирования кредитных историй и их использования, формирования системы безопасности, установлении минимальных требований к их электронному оборудованию, сохранности базы данных кредитных историй и помещениям (далее – Инструкция), утвержденной указанным постановлением:
пункты 14 и 15 изложить в следующей редакции:
«14. Для подтверждения соответствия требованиям, предъявляемым к участникам системы формирования кредитных историй и их использования (за исключением микрофинансовой организации и субъекта кредитной истории), поставщик информации или получатель кредитных отчетов направляет в уполномоченный орган в сфере информатизации заявление на бумажном носителе либо через веб-портал «электронного правительства»: www.e.gov.kz (далее – ПЭП) или веб-портал «Е лицензирование» www.elicense.kz (далее – Портал) в виде электронного документа, удостоверенного электронной цифровой подписью (далее - ЭЦП).
Соблюдение организацией (за исключением микрофинансовой организации) организационно-технических, технологических требований по защите программного обеспечения, соответствие используемых информационных систем установленным Инструкцией и законодательством Республики Казахстан условиям и требованиям, подтверждается комиссией уполномоченного органа в сфере информатизации, созданной совместно с уполномоченным органом по регулированию, контролю и надзору финансового рынка и финансовых организаций (далее - уполномоченный орган), путем составления акта о соответствии требованиям, предъявляемым к участникам системы формирования кредитных историй и их использования (за исключением микрофинансовой организации и субъекта кредитной истории) по форме согласно приложению 1 к Инструкции (далее - акт о соответствии) в виде электронного документа, удостоверенного ЭЦП руководителя комиссии, созданной уполномоченным органом в сфере информатизации совместно с уполномоченным органом.
Акт о соответствии согласовывается всеми членами комиссии, после чего направляется на подписание представителю проверяемой организации. Если один из членов комиссии не согласен с принятым решением и не согласовывает акт о соответствии, он представляет в письменной форме информацию о причинах своего отказа комиссии и прилагает их к акту о соответствии через ПЭП или Портал.
Акт о соответствии считается принятым при наличии двух третей решений о согласовании членов комиссии уполномоченного органа в сфере информатизации и двух третей решений о согласовании членов комиссии уполномоченного органа.
Соблюдение микрофинансовой организацией организационно-технических, технологических требований по защите программного обеспечения, соответствие используемых информационных систем установленным Инструкцией и законодательством Республики Казахстан условиям и требованиям, подтверждается уполномоченным органом путем представления заключения о соответствии требованиям, предъявляемым к микрофинансовой организации по форме согласно приложению 2 к Инструкции (далее – заключение уполномоченного органа).
15. Обмен информацией между поставщиками информации
(за исключением микрофинансовых организаций), получателями кредитных отчетов и кредитными бюро осуществляется при наличии акта о соответствии с положительным заключением.
Обмен информацией между микрофинансовыми организациями, получателями кредитных отчетов и кредитными бюро осуществляется при наличии положительного заключения уполномоченного органа.»;
пункт 22 изложить в следующей редакции:
«22. К помещению ограниченного доступа поставщиков информации (за исключением микрофинансовой организации) и получателей кредитных отчетов предъявляются требования, установленные подпунктами 1), 3), 4), 5) и 6) пункта 21 Инструкции, а также доступ в помещение ограничивается списком ответственных лиц, каждое посещение которых регистрируется в журнале посещений с указанием фамилии, имени, при наличии - отчества, должности, даты, времени и цели посещения.
К помещению ограниченного доступа микрофинансовой организации предъявляются требования, установленные в подпунктах 1), 3), 4) и 5) пункта 21 Инструкции, а также доступ в помещение ограничивается списком ответственных лиц, каждое посещение которых регистрируется в журнале посещений с указанием фамилии, имени, при наличии - отчества, должности, даты, времени и цели посещения.
При наличии общей системы охранной сигнализации в здании, в котором расположена микрофинансовая организация, отдельная охранная сигнализация на помещение ограниченного доступа микрофинансовой организации не требуется.»;
пункты 32, 33 и 34 изложить в следующей редакции:
«32. Требования к организации (за исключением микрофинансовой организации) по обеспечению безопасности информации:
1) наличие защищенного канала передачи данных с шифрованием трафика с помощью аппаратных граничных маршрутизаторов;
2) наличие системы обнаружения (предотвращения) атак из сети Интернет в компьютерную сеть организации с помощью межсетевого экрана;
3) наличие системы криптографической защиты компьютеров с помощью криптоключей и систем идентификации пользователя;
4) наличие аппаратного сетевого анализатора трафика по идентификатору управления доступом к носителю сетевых карт пользователей;
5) наличие системы резервного копирования - библиотеки на внешние носители информации.
Для реализации вышеуказанных требований кредитное бюро проводит анализ и оценку рисков, уязвимостей и угроз для обеспечения безопасности информации.
На микрофинансовую организацию распространяются требования по обеспечению безопасности информации, предусмотренные в подпунктах 2) и 5) настоящего пункта.
33. Организация (за исключением микрофинансовой организации) в процессе своей деятельности выполняет следующие требования:
1) наличие службы информационной безопасности;
2) наличие ответственных лиц по кредитным историям;
3) наличие политики информационной безопасности;
4) наличие политики формирования и использования паролей;
5) наличие политики резервного копирования (архивирования);
6) наличие документации с описанием процедур по ограничению доступа и обязанностей пользователей, администраторов безопасности, системных администраторов.
Микрофинансовая организация в процессе своей деятельности выполняет требование, установленное в подпункте 2) настоящего пункта.
34. Организация (за исключением микрофинансовой организации) принимает внутренний документ, который определяет порядок работы с информационной системой, включающий:
1) порядок назначения сотрудников, на которых возлагаются обязанности ответственных лиц;
2) режим работы;
3) права и обязанности ответственных лиц, включая должностные инструкции;
4) список сотрудников, допущенных к рабочему месту оператора;
5) список сотрудников, допускаемых к рабочему месту оператора в особых случаях (в кризисных ситуациях, а также в случаях замещения сотрудника).
На микрофинансовую организацию распространяются требования, предусмотренные в подпунктах 3), 4), 5) настоящего пункта.»;
приложение к Инструкции изложить в редакции в соответствии с приложением 1 к настоящему постановлению;
дополнить приложением 2 к Инструкции в соответствии с приложением 2 к настоящему постановлению.
2. Настоящее постановление вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования.
Председатель
Национального Банка Г. Марченко
СОГЛАСОВАНО
Министерство транспорта
и коммуникаций
Республики Казахстан
Министр А. Жумагалиев
__________ «___» _________ 2013 года
Приложение 1
к постановлению Правления
Национального Банка
Республики Казахстан
от 25 января 2013 года № 9
«Приложение 1
к Инструкции об организации информационного процесса в
деятельности участников системы формирования кредитных
историй и их использования, формирования системы
безопасности, установления минимальных требований к их
электронному оборудованию, сохранности базы данных
кредитных историй и помещениям
Форма
АКТ
о соответствии _________________________
(наименование участника)
требованиям, предъявляемым к участникам
системы формирования кредитных историй и
их использования (за исключением микрофинансовой
организации и субъекта кредитной истории)
_________________ ________________
место составления дата составления
Настоящий акт о готовности участника системы формирования
кредитных историй и их использования к началу своей деятельности на
рынке информационных услуг и выполнении им требований по организации
информационного процесса в деятельности участников системы
формирования кредитных историй и их использования, формирования
системы безопасности, выполнении минимальных требований к их
электронному оборудованию, сохранности базы данных кредитных историй
и помещениям составлен комиссией в следующем составе:
представители уполномоченного органа в сфере информатизации:
________________________________________________________________
________________________________________________________________
________________________________________________________________
________________________________________________________________
представители уполномоченного органа:
_______________________________________________________________
________________________________________________________________
________________________________________________________________
В работе комиссии участвуют представители участника системы
формирования кредитных историй и их использования:
_________________________________________________________________
_________________________________________________________________
_________________________________________________________________
Подробное описание обследованных объектов и изученных комиссией
документов:
_________________________________________________________________
_________________________________________________________________
_________________________________________________________________
Краткое содержание пояснений представителей участника системы
формирования кредитных историй и их использования:
_________________________________________________________________
_________________________________________________________________
_________________________________________________________________
Проверкой комиссией технических и иных документов участника системы
формирования кредитных историй и их использования _______
________________________, обследованием его технических помещений,
электронно-компьютерного оборудования, систем связи и защитных
устройств и иных объектов, предназначенных для работы в системе
формирования кредитных историй и их использования установлено
__________________________________________________________________
__________________________________________________________________
(соответствие (не соответствие) предъявляемым требованиям и
достаточность (недостаточность) для начала (продолжения) деятельности
организации на рынке информационных услуг).
Участником системы формирования кредитных историй и их использования
предъявлена следующая техническая документация и иные документы,
которые приложены к акту комиссии:
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
Члены комиссии:
_________________ __________________ ____________________________
(должность) (ФИО) согласовано/не согласовано
_________________ __________________ ____________________________
(должность) (ФИО) согласовано/не согласовано
_________________ __________________ ____________________________
(должность) (ФИО) согласовано/не согласовано
Руководитель комиссии:
___________________________________________________________________»
(ЭЦП)
Приложение 2
к постановлению Правления
Национального Банка
Республики Казахстан
от 25 января 2013 года № 9
«Приложение 2
к Инструкции об организации информационного процесса в
деятельности участников системы формирования кредитных
историй и их использования, формирования системы
безопасности, установления минимальных требований к их
электронному оборудованию, сохранности базы данных
кредитных историй и помещениям
Форма
Заключение
о соответствии _______________________________________
(наименование микрофинансовой организации)
требованиям, предъявляемым к микрофинансовой организации
____________________ ____________________
место составления дата составления
Заключение о готовности микрофинансовой организации к началу
своей деятельности на рынке информационных услуг и выполнении ею
требований по организации информационного процесса в деятельности
участников системы формирования кредитных историй и их использования,
формирования системы безопасности, выполнении минимальных требований
к их электронному оборудованию, сохранности базы данных кредитных
историй и помещениям составлено представителями уполномоченного
органа в следующем составе:
_______________________________________________________________
_______________________________________________________________
_______________________________________________________________
Подробное описание обследованных объектов и изученных
документов:
_______________________________________________________________
_______________________________________________________________
_______________________________________________________________
Проверкой технических и иных документов микрофинансовой
организации _______________________________, обследованием ее
технических помещений, электронно-компьютерного оборудования,
систем связи и защитных устройств и иных объектов, предназначенных
для работы в системе формирования кредитных историй и их
использования установлено
_______________________________________________________________
_______________________________________________________________
(соответствие (не соответствие) предъявляемым требованиям и
достаточность (недостаточность) для начала (продолжения) деятельности
организации на рынке информационных услуг).
Представители уполномоченного органа:
_______________________________________________________________
_______________________________________________________________
_______________________________________________________________».