Об утверждении Требований к использованию информационно-коммуникационных технологий и обеспечению информационной безопасности при организации деятельности кредитных бюро, поставщиков информации и получателей кредитных отчетов, а также Требований, предъявляемых кредитными бюро к поставщикам информации и получателям кредитных отчетов

Постановление Правления Национального Банка Республики Казахстан от 27 сентября 2018 года № 228. Зарегистрировано в Министерстве юстиции Республики Казахстан 6 ноября 2018 года № 17702.

      Сноска. Заголовок - в редакции постановления Правления Агентства РК по регулированию и развитию финансового рынка от 16.08.2024 № 59 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      В соответствии с подпунктом 6) статьи 5 Закона Республики Казахстан "О кредитных бюро и формировании кредитных историй в Республике Казахстан" Правление Национального Банка Республики Казахстан ПОСТАНОВЛЯЕТ:

      Сноска. Преамбула - в редакции постановления Правления Агентства РК по регулированию и развитию финансового рынка от 16.08.2024 № 59 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      1. Утвердить:

      1) Требования к использованию информационно-коммуникационных технологий и обеспечению информационной безопасности при организации деятельности кредитных бюро, поставщиков информации и получателей кредитных отчетов согласно приложению 1 к настоящему постановлению;

      2) Требования, предъявляемые кредитными бюро к поставщикам информации и получателям кредитных отчетов согласно приложению 2 к настоящему постановлению.

      Сноска. Пункт 1 - в редакции постановления Правления Агентства РК по регулированию и развитию финансового рынка от 16.08.2024 № 59 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      2. Признать утратившими силу нормативные правовые акты Республики Казахстан, а также структурные элементы некоторых нормативных правовых актов Республики Казахстан по перечню согласно приложению 3 к настоящему постановлению.

      3. Управлению информационных угроз и киберзащиты (Перминов Р.В.) в установленном законодательством Республики Казахстан порядке обеспечить:

      1) совместно с Юридическим департаментом (Сарсенова Н.В.) государственную регистрацию настоящего постановления в Министерстве юстиции Республики Казахстан;

      2) в течение десяти календарных дней со дня государственной регистрации настоящего постановления его направление на казахском и русском языках в Республиканское государственное предприятие на праве хозяйственного ведения "Республиканский центр правовой информации" для официального опубликования и включения в Эталонный контрольный банк нормативных правовых актов Республики Казахстан;

      3) размещение настоящего постановления на официальном интернет-ресурсе Национального Банка Республики Казахстан после его официального опубликования;

      4) в течение десяти рабочих дней после государственной регистрации настоящего постановления представление в Юридический департамент сведений об исполнении мероприятий, предусмотренных подпунктами 2), 3) настоящего пункта и пунктом 4 настоящего постановления.

      4. Управлению по защите прав потребителей финансовых услуг и внешних коммуникаций (Терентьев А.Л.) обеспечить в течение десяти календарных дней после государственной регистрации настоящего постановления направление его копии на официальное опубликование в периодические печатные издания.

      5. Контроль за исполнением настоящего постановления возложить на заместителя Председателя Национального Банка Республики Казахстан Смолякова О.А.

      6. Настоящее постановление вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования.

      Председатель
Национального Банка
Д. Акишев

  Приложение 1
к постановлению Правления
Национального Банка
Республики Казахстан
от 27 сентября 2018 года № 228

Требования к использованию информационно-коммуникационных технологий и обеспечению информационной безопасности при организации деятельности кредитных бюро, поставщиков информации и получателей кредитных отчетов

      Сноска. Заголовок - в редакции постановления Правления Агентства РК по регулированию и развитию финансового рынка от 16.08.2024 № 59 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

Глава 1. Общие положения

      1. Настоящие Требования к использованию информационно-коммуникационных технологий и обеспечению информационной безопасности при организации деятельности кредитных бюро, поставщиков информации и получателей кредитных отчетов разработаны в соответствии с подпунктом 6) статьи 5 Закона Республики Казахстан "О кредитных бюро и формировании кредитных историй в Республике Казахстан" и устанавливают требования к использованию информационно-коммуникационных технологий и обеспечению информационной безопасности при организации деятельности кредитных бюро, банков, организаций, осуществляющих отдельные виды банковских операций, организаций, осуществляющих микрофинансовую деятельность, коллекторских агентств и сервисных компаний, осуществляющих доверительное управление правами (требованиями) по договорам банковского займа и (или) договорам о предоставлении микрокредита в рамках договора доверительного управления правами (требованиями) по договорам банковского займа и (или) договорам о предоставлении микрокредита, заключенного с банком, организацией, осуществляющей отдельные виды банковских операций, организацией, осуществляющей микрофинансовую деятельность, коллекторским агентством, дочерней организацией банка, приобретающей сомнительные и безнадежные активы родительского банка, организацией, специализирующейся на улучшении качества кредитных портфелей банков второго уровня, юридическим лицом – залогодержателем прав требования по договору о предоставлении микрокредита при выпуске микрофинансовой организацией обеспеченных облигаций или получении займов, специальной финансовой компанией, созданной в соответствии с законодательством Республики Казахстан о проектном финансировании и секьюритизации, при сделке секьюритизации, лицом, осуществляющим выкуп ипотечных займов физических лиц, не связанных с предпринимательской деятельностью, сто процентов акций которого принадлежат Национальному Банку Республики Казахстан, специальном фондом развития частного предпринимательства – по договору банковского займа, по договору о предоставлении микрокредита, заключенному в рамках сделки по финансированию субъектов частного предпринимательства путем обусловленного размещения средств в банках и организациях, осуществляющих отдельные виды банковских операций, микрофинансовых организациях, иным лицом – в отношении права (требования) по договору банковского займа, по договору о предоставлении микрокредита физического лица, связанного с осуществлением предпринимательской деятельности, или по договору банковского займа, по договору о предоставлении микрокредита юридического лица, по которому выявлены признаки обесценения в соответствии с международными стандартами финансовой отчетности, в том числе на момент приобретения или возникновения (создания) права (требования) по договору банковского займа, по договору о предоставлении микрокредита.

      Сноска. Пункт 1 - в редакции постановления Правления Агентства РК по регулированию и развитию финансового рынка от 16.08.2024 № 59 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      2. В Требованиях используются понятия, предусмотренные Законом о кредитных бюро, а также следующие понятия:

      1) поставщики информации - поставщики информации, указанные в подпункте 1) пункта 1 статьи 18 Закона о кредитных бюро;

      2) информационный актив - совокупность информации и объекта информационно-коммуникационной инфраструктуры, используемого для ее хранения и (или) обработки;

      3) информационно-коммуникационная инфраструктура (далее - информационная инфраструктура) - совокупность объектов информационной инфраструктуры, предназначенных для обеспечения функционирования технологической среды в целях формирования электронных информационных ресурсов и предоставления доступа к ним;

      4) информационная безопасность - состояние защищенности электронных информационных ресурсов, информационных систем и информационно-коммуникационной инфраструктуры от внешних и внутренних угроз;

      5) риск информационной безопасности - вероятное возникновение ущерба вследствие нарушения конфиденциальности, преднамеренного нарушения целостности или доступности информационных активов кредитного бюро;

      6) обеспечение информационной безопасности - процесс, направленный на поддержание состояния конфиденциальности, целостности и доступности информационных активов кредитного бюро;

      7) инцидент информационной безопасности - отдельно или серийно возникающие сбои в работе информационной инфраструктуры или отдельных ее объектов, создающие угрозу их надлежащему функционированию и (или) условия для незаконного получения, копирования, распространения, модификации, уничтожения или блокирования электронных информационных ресурсов кредитного бюро;

      8) привилегированная учетная запись - учетная запись в информационной системе, обладающая привилегиями создания, удаления и изменения прав доступа других учетных записей;

      9) аудиторский след - хронологическая последовательность записей, которые содержат доказательства изменения данных в результате выполнения функции информационной системы;

      10) аутентификация - подтверждение подлинности субъекта или объекта доступа к информационной системе путем определения соответствия предъявленных реквизитов доступа;

      11) бизнес-процесс - совокупность взаимосвязанных мероприятий или задач, направленных на создание определенного продукта или услуги для внешнего (клиент) или внутреннего (работник, подразделение кредитного бюро, другой бизнес-процесс) потребителя;

      12) виртуальная среда - вычислительные ресурсы или их логическое объединение, абстрагированное от аппаратной реализации, обеспечивающие логическую изоляцию друг от друга вычислительных процессов, выполняемых на одном физическом ресурсе;

      13) центр обработки данных - специально выделенное помещение, в котором размещено серверное и коммуникационное оборудование информационной инфраструктуры кредитного бюро. Центр обработки данных подразделяется на основной и резервный;

      14) ответственное лицо - работник получателя кредитных отчетов, имеющий доступ к кредитным отчетам;

      15) рабочая станция - персональный компьютер, используемый для доступа к информационной системе кредитного бюро;

      16) бизнес-владелец информационной системы кредитного бюро - подразделение (работник) кредитного бюро, являющееся (являющийся) владельцем основного бизнес-процесса, который автоматизирует информационная система кредитного бюро;

      17) получатели кредитных отчетов - получатели кредитных отчетов, указанные в подпункте 1) части первой пункта 1 статьи 20 Закона о кредитных бюро;

      18) доступ - возможность использования информационных активов;

      19) оператор - работник, отвечающий за корректность ввода информации в информационную систему кредитного бюро;

      20) резервная копия - копия данных на носителе информации, предназначенная для восстановления данных в оригинальном или новом месте их расположения в случае необходимости;

      21) обеспечение технической безопасности - процесс обеспечения безопасности кредитного бюро с использованием технических средств (системы охранной и пожарной сигнализации, контроля и управления доступом, видеонаблюдения, пожаротушения, контроля температурного режима и влажности в центре обработки данных);

      22) технологическая учетная запись - учетная запись в информационной системе, предназначенная для аутентификации между информационными системами;

      23) корректирующая мера - набор организационных и технических мероприятий, направленных на исправление существующей проблемы в процессе обеспечения информационной безопасности либо последствий ее нарушения;

      24) уполномоченный орган - уполномоченный орган по регулированию, контролю и надзору финансового рынка и финансовых организаций.

Глава 2. Требования к использованию информационно-коммуникационных технологий

      3. Кредитное бюро осуществляет разработку информационной системы (далее – информационная система кредитного бюро), обеспечивающей:

      1) получение информации от поставщика информации;

      2) формирование базы данных кредитных историй;

      3) формирование, выдачу и хранение кредитных отчетов;

      4) идентификацию и аутентификацию пользователей информационной системы кредитного бюро;

      5) ведение аудиторского следа информационной системы кредитного бюро.

      4. Информационная система кредитного бюро соответствует следующим требованиям:

      1) осуществление разработки, внедрения и сопровождения информационной системы кредитного бюро (или адаптация готового продукта) на основании технического задания и в соответствии с внутренними документами кредитного бюро, регламентирующими этапы и порядок разработки, внесения изменений, тестирования, приема и ввода в промышленную эксплуатацию, а также документирование всех этапов;

      2) обеспечение разграничения прав доступа пользователей информационной системы кредитного бюро;

      3) обеспечение управления учетными записями информационной системы кредитного бюро;

      4) обеспечение информационной безопасности защищаемых данных информационной системы кредитного бюро.

      5. Кредитное бюро обеспечивает наличие и разделение сред разработки, тестирования и промышленной эксплуатации информационной системы кредитного бюро таким образом, чтобы изменения, внесенные в информационную систему кредитного бюро в любой из этих сред, не оказывали влияния на информационную систему кредитного бюро, расположенную в другой среде. Разработка и доработка информационной системы кредитного бюро не осуществляется в среде промышленной эксплуатации.

      6. Сторонние организации и работники подразделения по информационным технологиям, осуществляющие разработку программного обеспечения, не имеют доступ к переносу изменений информационной системы кредитного бюро в среде промышленной эксплуатации, а также не имеют администраторский доступ к информационной системе кредитного бюро в среде промышленной эксплуатации.

      7. Перед вводом информационной системы кредитного бюро в промышленную эксплуатацию настройки, установленные в ней по умолчанию, изменяются на настройки, соответствующие требованиям к информационной безопасности, определенным внутренними документами кредитного бюро. Указанные настройки включают замену паролей, используемых при тестировании, а также удаление всех тестовых учетных записей.

      8. Исходные коды (при наличии) и исполняемые модули информационной системы кредитного бюро хранятся в защищенном хранилище программного обеспечения, которое ведется в пригодном для их восстановления виде.

      9. В информационной системе кредитного бюро обеспечивается ведение аудиторского следа, который отражает следующее:

      1) события установления соединений, идентификации, аутентификации и авторизации (успешные и неуспешные);

      2) события изменения хранящихся данных;

      3) события модификации настроек безопасности;

      4) события модификации групп пользователей и их полномочий;

      5) события модификации учетных записей пользователей и их полномочий;

      6) события, отражающие установку обновлений и (или) изменений в информационной системе;

      7) события изменения параметров ведения аудиторского следа;

      8) события изменений системных параметров.

      10. Формат аудиторского следа включает следующую информацию:

      1) идентификатор (логин) пользователя, совершившего действие;

      2) дата и время совершения действия;

      3) наименования объектов, с которыми проводилось действие;

      4) тип или название совершенного действия администратора или конечного пользователя информационной системы;

      5) результат действия (успешно или не успешно).

      11. Срок хранения аудиторского следа составляет не менее 3 (трех) месяцев в оперативном доступе и не менее 1 (одного) года в архивном доступе. Допускается хранение аудиторского следа в специализированной информационной системе хранения, обработки и анализа событий.

      12. Кредитное бюро обеспечивает неизменность аудиторского следа как организационными, так и техническими средствами. Администраторам информационной системы предоставляется доступ только на перенос журналов аудиторского следа в архив.

      13. Центр обработки данных кредитного бюро соответствует следующим требованиям:

      1) система бесперебойного электроснабжения обеспечивается двумя или более независимыми вводами электрических сетей, а также автоматически подключаемыми резервными устройствами питания, обеспечивающими автономное электроснабжение в течение не менее двадцати четырех часов;

      2) наличие двух или более каналов передачи данных от независимых провайдеров телекоммуникационных услуг, подведенных в здание разными путями, в основном центре обработки данных, а также не менее двух каналов связи в резервном центре обработки данных. Пропускная способность каналов связи обеспечивает предоставление услуг в соответствии с условиями договоров о предоставлении информации и договоров о получении кредитных отчетов.

      14. Кредитное бюро в целях обеспечения устойчивого функционирования информационной системы кредитного бюро соблюдает следующие требования:

      1) информационная система кредитного бюро функционирует на серверной системе, обеспечивающей возможность проведения профилактических работ без прерывания функционирования ее основных сервисов. При использовании технологий виртуализации аппаратных мощностей, виртуальные основные и резервные серверы подлежат размещению на раздельных физических серверах;

      2) резервный центр обработки данных кредитного бюро размещается вне местонахождения кредитного бюро и обеспечивает восстановление работы информационной системы кредитного бюро в срок, не превышающий двенадцати часов с момента прекращения работы основного центра обработки данных.

      15. Поставщик информации при подключении к информационной системе кредитного бюро использует рабочую станцию:

      1) соответствующую требованиям кредитного бюро, отраженным в договоре о предоставлении информации;

      2) защищенную лицензионным антивирусным программным обеспечением с актуальными антивирусными базами.

      16. Получатель кредитных отчетов при подключении к информационной системе кредитного бюро:

      1) обеспечивает наличие одной или нескольких рабочих станций, используемых для подключения только к информационной системе кредитного бюро;

      2) обеспечивает защиту рабочих станций лицензионным антивирусным программным обеспечением с актуальными антивирусными базами.

      17. В случае автоматизации процессов передачи информации поставщиком информации кредитному бюро и передачи кредитных отчетов кредитным бюро получателю кредитных отчетов, требования пунктов 15 и 16 Требований не распространяются на поставщиков информации и получателей кредитных отчетов.

Глава 3. Требования к обеспечению информационной безопасности при организации деятельности кредитных бюро

Параграф 1. Требования к организации системы управления информационной безопасностью

      18. Кредитное бюро обеспечивает информационную безопасность защищенной информации при ее получении, хранении и обработке, а также при подготовке и выдаче кредитных отчетов.

      19. Кредитное бюро обеспечивает создание и функционирование системы управления информационной безопасностью, являющейся частью общей системы управления кредитного бюро, предназначенной для управления процессом обеспечения информационной безопасности.

      20. Система управления информационной безопасностью обеспечивает защиту информационных активов кредитного бюро, допускающую минимальный уровень потенциального ущерба для бизнес-процессов кредитного бюро.

      21. Кредитное бюро в целях обеспечения надлежащего уровня системы управления информационной безопасностью, ее развития и улучшения, обеспечивает наличие внутренних документов, определяющих:

      1) политику информационной безопасности, включающую:

      цели, задачи и основные принципы построения системы управления информационной безопасностью;

      область действия системы управления информационной безопасностью;

      ответственность в рамках системы управления информационной безопасностью;

      распространение и обеспечение доступности политики информационной безопасности;

      условия к пересмотру политики информационной безопасности;

      2) правила управления информационными активами, включающие:

      основные требования к информации с указанием уровней конфиденциальности;

      требование по маркировке и паспортизации активов;

      порядок обращения с информацией с учетом уровней конфиденциальности;

      3) порядок резервного копирования (архивирования), включающий:

      требования к резервному и архивному копированию;

      порядок тестирования резервных копий;

      4) методику оценки и управления рисками информационной безопасности, включающую:

      процесс оценки и обработки рисков информационной безопасности;

      критерии приемлемости рисков информационной безопасности;

      план обработки рисков информационной безопасности;

      отчет об оценке и обработке рисков информационной безопасности;

      5) процедуры по ограничению доступа и обязанности пользователей информационной системы (операторов, администраторов информационных систем), включающие:

      порядок прекращения или изменения функциональных обязанностей, включающий требования о неразглашении конфиденциальной информации после завершения действия трудового договора;

      порядок обучения и повышения осведомленности;

      порядок контроля доступа к информации, информационным системам, сетям, сервисам, оборудованию и в помещения;

      условия регулярного пересмотра прав доступа;

      требование к управлению пользовательскими и привилегированными правами доступа;

      порядок технической реализации предоставления, изменения, удаления прав доступа;

      6) порядок работы с информационной системой кредитного бюро, включающий:

      процедуры разработки и управления изменениями информационной системы кредитного бюро;

      права и обязанности операторов и администраторов информационной системы кредитного бюро;

      7) процедуры управления инцидентами информационной безопасности, включающие:

      классификацию инцидентов, порядок оповещения об инцидентах с указанием лиц, подлежащих оповещению;

      порядок реагирования и обработки инцидентов;

      правила защиты информационных активов от вредоносного программного обеспечения.

      22. Участниками системы управления информационной безопасностью кредитного бюро являются:

      1) орган управления;

      2) исполнительный орган;

      3) коллегиальный орган, уполномоченный принимать решения по задачам обеспечения информационной безопасности (далее – коллегиальный орган);

      4) подразделение по управлению рисками;

      5) подразделение по информационной безопасности;

      6) подразделение по информационным технологиям;

      7) подразделение по безопасности;

      8) подразделение по работе с персоналом;

      9) юридическое подразделение;

      10) иные подразделения.

      Допускается осуществление функций подразделений, указанных в подпунктах 4), 5), 6), 7), 8) и 9) настоящего пункта, ответственными работниками в соответствии с их функциональными обязанностями.

      23. Кредитное бюро при создании и функционировании системы управления информационной безопасностью обеспечивает независимость подразделений по информационной безопасности и подразделения по информационным технологиям посредством их подчинения разным членам исполнительного органа кредитного бюро или напрямую руководителю исполнительного органа кредитного бюро.

      24. Орган управления кредитного бюро утверждает политику информационной безопасности.

      25. Орган управления кредитного бюро утверждает перечень защищаемой информации, включающий в том числе информацию о сведениях, составляющих служебную, коммерческую или иную охраняемую законом тайну (далее – защищаемая информация), и порядок работы с защищаемой информацией.

      26. Исполнительный орган кредитного бюро утверждает внутренние документы, регламентирующие процесс управления информационной безопасностью, порядок и периодичность пересмотра которых определяется внутренними документами кредитного бюро.

      27. Кредитное бюро создает коллегиальный орган, в состав которого входят представители подразделения по информационной безопасности, подразделения по управлению рисками, подразделения по информационным технологиям, а также при необходимости представители других подразделений кредитного бюро. Руководителем коллегиального органа назначается руководитель исполнительного органа кредитного бюро либо член исполнительного органа кредитного бюро, курирующий деятельность подразделения по информационной безопасности.

      28. Подразделение по управлению рисками отвечает за организацию и координацию процесса управления рисками информационной безопасности и осуществляет следующие функции:

      1) разработка, внедрение и постоянное развитие системы управления рисками информационной безопасности;

      2) разработка процедур по управлению рисками информационной безопасности;

      3) анализ процессов в области информационной безопасности;

      4) мониторинг и оценка уровня рисков информационной безопасности.

      29. Подразделение по информационной безопасности в целях обеспечения конфиденциальности, целостности и доступности информации кредитного бюро осуществляет следующие функции:

      1) организует систему управления информационной безопасностью, осуществляет координацию и контроль деятельности подразделений кредитного бюро по обеспечению информационной безопасности и мероприятий по выявлению и анализу угроз, противодействию атакам и расследованию инцидентов информационной безопасности;

      2) разрабатывает политику информационной безопасности кредитного бюро;

      3) обеспечивает методологическую поддержку процесса обеспечения информационной безопасности кредитного бюро;

      4) осуществляет выбор, внедрение и применение методов, средств и механизмов управления, обеспечения и контроля информационной безопасности кредитного бюро, в рамках своих полномочий;

      5) осуществляет сбор, консолидацию, хранение и обработку информации об инцидентах информационной безопасности;

      6) осуществляет анализ информации об инцидентах информационной безопасности;

      7) подготавливает предложения для принятия коллегиальным органом решения по вопросам информационной безопасности;

      8) обеспечивает внедрение, надлежащее функционирование программно-технических средств, автоматизирующих процесс обеспечения информационной безопасности кредитного бюро, а также предоставление доступа к ним;

      9) определяет ограничения по использованию привилегированных учетных записей;

      10) организует и проводит мероприятия по обеспечению осведомленности работников кредитного бюро в вопросах информационной безопасности;

      11) осуществляет мониторинг состояния системы управления информационной безопасностью кредитного бюро;

      12) осуществляет информирование руководства кредитного бюро о состоянии системы управления информационной безопасностью кредитного бюро.

      30. Подразделение по информационным технологиям кредитного бюро разрабатывает внутренние документы определяющие:

      1) общую схему информационной инфраструктуры с указанием физического расположения ее элементов;

      2) перечень ответственных администраторов узлов информационной инфраструктуры (телекоммуникационных устройств, серверов и размещенных на них операционных систем, систем управления базами данных и прикладного программного обеспечения пользователя информационной системы).

      31. Кредитное бюро определяет возможность возложения на подразделение по информационной безопасности функций по обеспечению технической безопасности. Подразделение по информационной безопасности не осуществляет функции, влекущие конфликт интересов с их основными функциями.

      32. Кредитное бюро определяет возможность делегирования другим подразделениям следующих функций подразделения по информационной безопасности:

      1) внедрение и администрирование программно-технических средств, автоматизирующих процесс обеспечения информационной безопасности кредитного бюро – подразделению по информационным технологиям;

      2) организация и проведение мероприятий по обеспечению осведомленности работников кредитного бюро в вопросах информационной безопасности – подразделению по работе с персоналом;

      3) учет и обработка событий и инцидентов информационной безопасности, связанных с нарушениями состояния информационной безопасности – подразделению по безопасности или иному подразделению, независимому от подразделения по информационным технологиям.

      33. Подразделение по информационным технологиям осуществляет следующие функции:

      1) разрабатывает схемы информационной инфраструктуры кредитного бюро;

      2) обеспечивает предоставление доступа пользователям к информационным активам кредитного бюро;

      3) обеспечивает конфигурирование системного и прикладного программного обеспечения кредитного бюро;

      4) обеспечивает исполнение установленных внутренними документами кредитного бюро требований по непрерывности функционирования информационной инфраструктуры, конфиденциальности, целостности и доступности данных информационных систем кредитного бюро (включая резервирование и (или) архивирование и резервное копирование информации);

      5) обеспечивает соблюдение требований информационной безопасности при выборе, внедрении, разработке и тестировании информационных систем.

      34. Подразделение по безопасности осуществляет следующие функции:

      1) реализует меры физической и технической безопасности в кредитном бюро, в том числе организует пропускной и внутриобъектовый режим;

      2) проводит профилактические мероприятия, направленные на минимизацию рисков возникновения угроз информационной безопасности при приеме на работу и увольнении работников кредитного бюро.

      35. Подразделение по работе с персоналом осуществляет следующие функции:

      1) обеспечивает подписание работниками кредитного бюро, а также лицами, привлеченными к работе по договору об оказании услуг, стажерами, практикантами обязательств о неразглашении конфиденциальной информации;

      2) участвует в организации процесса повышения осведомленности работников кредитного бюро в области информационной безопасности.

      36. Юридическое подразделение осуществляет правовую экспертизу внутренних документов кредитного бюро по вопросам обеспечения информационной безопасности.

      37. Руководители структурных подразделений кредитного бюро:

      1) обеспечивают ознакомление работников с внутренними документами кредитного бюро, содержащими требования к информационной безопасности (далее – требования к информационной безопасности);

      2) несут персональную ответственность за обеспечение информационной безопасности в возглавляемых ими подразделениях;

      3) обеспечивают заключение соглашений о неразглашении конфиденциальной информации и включение условий об обеспечении информационной безопасности в соглашения, договоры на оказание услуг/выполнение работ в случаях, когда подразделение кредитного бюро выступает инициатором заключения таких соглашений, договоров.

      Сноска. Пункт 37 - в редакции постановления Правления Агентства РК по регулированию и развитию финансового рынка от 16.08.2024 № 59 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      38. Кредитное бюро определяет бизнес-владельца информационной системы кредитного бюро, который отвечает за соблюдение требований к информационной безопасности при создании, внедрении, модификации, предоставлении клиентам продуктов и услуг.

      39. Работники структурных подразделений кредитного бюро:

      1) отвечают за соблюдение требований к информационной безопасности, принятых в кредитном бюро;

      2) контролируют исполнение требований к информационной безопасности третьими лицами, с которыми они взаимодействуют в рамках своих функциональных обязанностей, в том числе путем включения указанных требований в договоры с третьими лицами;

      3) извещают своего непосредственного руководителя и подразделение по информационной безопасности обо всех подозрительных ситуациях и нарушениях при работе с информационными активами.

Параграф 2. Требования к организации доступа к информационным активам

      40. Доступ к информации предоставляется работникам в объеме, необходимом для исполнения их функциональных обязанностей.

      40-1. Доступ к информационным активам кредитного бюро третьих лиц предоставляется на период и в объеме, определяемыми проводимыми работами на основании соглашения, договора, включающего условия о соблюдении требований к информационной безопасности, за исключением случаев, предусмотренных законодательством Республики Казахстан. В соглашениях, договорах, заключаемых с поставщиком информации, получателем кредитных отчетов, третьими лицами, содержатся положения о конфиденциальности, условия о возмещении ущерба, возникшего вследствие нарушения информационной безопасности, а также сбоев в работе информационных систем и нарушения их безопасности, вызванных действием или бездействием кредитного бюро, поставщика информации, получателя кредитных отчетов, третьих лиц.

      Сноска. Параграф 2 дополнен пунктом 40-1 в соответствии с постановлением Правления Агентства РК по регулированию и развитию финансового рынка от 16.08.2024 № 59 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      41. Доступ к информационной системе кредитного бюро осуществляется после идентификации и аутентификации пользователей.

      42. Идентификация и аутентификация пользователей информационной системы кредитного бюро производится одним из следующих способов:

      1) посредством ввода пары "учетная запись (идентификатор) – пароль" и с применением способов двухфакторной аутентификации;

      2) с использованием способов биометрической и (или) криптографической и (или) аппаратной аутентификации.

      43. В информационной системе кредитного бюро используются только персонализированные пользовательские учетные записи.

      44. Использование технологических учетных записей допускается в соответствии с перечнем таких учетных записей для каждой информационной системы с указанием лиц, персонально ответственных за их использование и актуальность, утверждаемым руководителем подразделения по информационным технологиям по согласованию с руководителем подразделения по информационной безопасности.

      45. В информационной системе кредитного бюро применяются функции по управлению учетными записями и паролями, а также блокировке учетных записей пользователей, определяемые внутренним документом кредитного бюро.

      46. Предоставление физического доступа к информационным активам кредитного бюро осуществляется в соответствии с внутренними документами кредитного бюро.

Параграф 3. Требования к обеспечению информационной безопасности информационной системы кредитного бюро

      47. Информационная безопасность информационной системы кредитного бюро обеспечивается путем:

      1) защиты информации при ее обработке, хранении и передаче;

      2) резервирования данных на стороне кредитного бюро;

      3) наличия процедур восстановления информационной системы кредитного бюро после сбоев и отказов оборудования;

      4) установления криптографической защиты трафика между кредитным бюро и поставщиком информации и (или) получателем кредитных отчетов.

      48. Кредитное бюро обеспечивает антивирусную защиту информационной инфраструктуры в порядке, установленном внутренним документом кредитного бюро.

      49. Подразделение по информационным технологиям определяет порядок внесения изменений информационных систем по согласованию с подразделением по информационной безопасности.

      50. Обновления безопасности информационных систем, устраняющие критичные уязвимости, устанавливаются не позднее одного месяца со дня их публикации и распространения производителем, за исключением случаев, согласованных с подразделением по информационной безопасности.

      51. Обновления информационной системы кредитного бюро до установки в промышленную среду проходят испытания в тестовой среде.

      52. Кредитное бюро обеспечивает резервное хранение данных информационной системы кредитного бюро, ее файлов и настроек, которое обеспечивает восстановление ее работоспособной копии.

      53. Порядок и периодичность резервного копирования, хранения, восстановления информации, периодичность тестирования восстановления работоспособности информационной системы кредитного бюро из резервных копий определяются внутренним документом кредитного бюро.

Параграф 4. Требования к процессу обеспечения защиты рабочих станций кредитного бюро

      54. Кредитным бюро определяется перечень программного обеспечения и оборудования, разрешенных к использованию для работы с информационной системой кредитного бюро.

      55. На рабочие станции не устанавливается программное обеспечение, не предназначенное для исполнения функциональных обязанностей работников кредитного бюро.

      56. Внутренними документами кредитного бюро определяются организационные и технические меры, обеспечивающие защиту рабочих станций, а также носителей информации и сетевых ресурсов, используемых для работы с информационной системой кредитного бюро.

      57. В кредитном бюро определяются и внедряются организационные и технические меры, запрещающие пользователям проводить самостоятельно установку и настройку программного обеспечения, рабочих станций и периферийного оборудования.

      58. Пользователям информационной системы кредитного бюро не предоставляются права локального администратора или аналогичные им права, за исключением случаев, когда такие права необходимы для функционирования программного обеспечения, автоматизирующего функции, исполняемые пользователями.

      59. Отдельным группам пользователей предоставляется право самостоятельной установки и настройки программного обеспечения и оборудования в случаях, когда это необходимо для исполнения служебных обязанностей. Указанным группам пользователей предоставляются права локального администратора или аналогичные им права.

      60. Перечень пользователей, указанных в пунктах 58 и 59 Требований, формируется, актуализируется и утверждается руководителем подразделения по информационным технологиям по согласованию с подразделением по информационной безопасности. В случае предоставления пользователям дополнительных прав в соответствии с пунктами 58 и 59 Требований подразделение по информационной безопасности осуществляет контроль их использования.

Параграф 5. Требования к процессу обеспечения физической безопасности центров обработки данных кредитных бюро

      61. Порядок обеспечения физической безопасности центров обработки данных определяется внутренним документом.

      62. Центр обработки данных оснащается следующими системами технической безопасности:

      1) система контроля и управления доступом;

      2) охранная сигнализация;

      3) пожарная сигнализация;

      4) система автоматического пожаротушения;

      5) система поддержания заданных параметров температуры и влажности;

      6) система видеонаблюдения;

      7) система бесперебойного электропитания.

      63. Доступ в центр обработки данных предоставляется работникам кредитного бюро, перечень которых утверждается руководителем подразделения по информационным технологиям по согласованию с подразделением по информационной безопасности.

      64. Кредитное бюро ведет журнал системы контроля и управления доступом в центр обработки данных, который хранится не менее 1 (одного) года.

      65. Система автоматического пожаротушения центра обработки данных обеспечивает устранение возгорания по всему объему помещения и имеет резервный запас.

      66. Система видеонаблюдения центра обработки данных обеспечивает наблюдение за всеми входами в центр обработки данных. В центре обработки данных расстановка видеокамер исключает наличие зон внутри помещения центра обработки данных и перед его входом, не покрытых видеонаблюдением.

      67. Запись событий системой видеонаблюдения центра обработки данных ведется непрерывно или с использованием детектора движения.

      68. Архив системы видеонаблюдения центра обработки данных хранится не менее 3 (трех) месяцев.

      69. В целях предотвращения несанкционированного физического доступа к серверам и активному сетевому оборудованию, находящемуся вне центра обработки данных, внутренними документами кредитного бюро определяются меры по обеспечению их безопасности.

Параграф 6. Требования к порядку мониторинга и обработки информации об инцидентах информационной безопасности в кредитных бюро

      70. Информация об инцидентах информационной безопасности, полученная в ходе мониторинга деятельности по обеспечению информационной безопасности, подлежит консолидации и систематизации.

      71. Кредитное бюро обеспечивает целостность информации об инцидентах информационной безопасности.

      72. В случае, если кредитным бюро определена необходимость мониторинга отдельных источников событий информационной безопасности во внерабочее время, создается круглосуточная служба мониторинга.

      73. Кредитным бюро определяется порядок информирования о произошедшем инциденте информационной безопасности руководящих работников и подразделений кредитного бюро.

      74. Кредитным бюро определяется порядок принятия неотложных мер к устранению инцидента информационной безопасности, его причин и последствий.

      75. В кредитном бюро ведется журнал учета инцидентов информационной безопасности с отражением информации об инциденте информационной безопасности, принятых мерах и предлагаемых корректирующих мерах, на бумажном носителе либо в электронном виде.

      76. По результатам обработки инцидента информационной безопасности кредитным бюро проводится всесторонний анализ причин возникновения инцидента информационной безопасности, его механизма и последствий. При сборе технических данных с программно-технических средств, вовлеченных в инцидент информационной безопасности, обеспечивается сохранность и неизменность собранных данных.

      77. Информация об инциденте информационной безопасности, а также предложения по принятию корректирующих мер в целях снижения вероятности и возможного ущерба от повторного инцидента информационной безопасности хранятся в кредитном бюро.

      78. Для инцидентов информационной безопасности, вероятность возникновения которых высока и не может быть снижена в короткие сроки, кредитным бюро разрабатываются внутренние документы, описывающие алгоритм обработки данных инцидентов информационной безопасности, типовых неотложных мер по локализации инцидентов информационной безопасности и их последствий, методов обработки инцидентов информационной безопасности.

Параграф 7. Требования к предоставлению информации о состоянии системы управления информационной безопасностью, событиях и инцидентах информационной безопасности кредитных бюро

      Сноска. Заголовок параграфа 7 - в редакции постановления Правления Агентства РК по регулированию и развитию финансового рынка от 16.08.2024 № 59 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      79. Кредитное бюро ежегодно, не позднее 20 января года, следующего за отчетным годом, представляет в уполномоченный орган информацию о состоянии системы управления информационной безопасностью и ее соответствии Требованиям.

      Сноска. Пункт 79 - в редакции постановления Правления Агентства РК по регулированию и развитию финансового рынка от 16.08.2024 № 59 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      80. Информация о состоянии системы управления информационной безопасностью включает сведения о (об):

      1) сфере действия системы управления информационной безопасностью кредитного бюро и ее участниках с указанием соответствия их функционала Требованиям;

      2) наличии документов, регламентирующих создание и функционирование системы управления информационной безопасностью;

      3) наличии и количественном составе программно-технических средств, используемых для обеспечения информационной безопасности;

      4) имеющихся в договорах о предоставлении услуг, заключенных с операторами связи, условиях и обязательствах по обеспечению информационной безопасности;

      5) наличии, материально-технической обеспеченности и готовности резервных центров обработки данных;

      6) проведенных мероприятиях по приведению системы управления информационной безопасностью и информационных активов кредитного бюро в соответствие с Требованиями.

      Сноска. Пункт 80 - в редакции постановления Правления Агентства РК по регулированию и развитию финансового рынка от 16.08.2024 № 59 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      81. Информация о состоянии системы управления информационной безопасностью, событиях и инцидентах информационной безопасности представляется в уполномоченный орган посредством автоматизированной системы обработки информации (далее – АСОИ), предназначенной для обработки информации о событиях и инцидентах информационной безопасности и интегрированной с системами информационной безопасности или системами кредитного бюро, осуществляющими в реальном времени сбор и анализ информации о событиях в информационной инфраструктуре или в электронном формате с использованием транспортной системы гарантированной доставки информации с криптографическими средствами защиты, обеспечивающей конфиденциальность и некорректируемость представляемых данных.

      Для кредитного бюро с государственным участием допускается представление информации о событиях и инцидентах информационной безопасности в уполномоченный орган посредством объектов информатизации Национального Банка Республики Казахстан, интегрированных с АСОИ.

      Сноска. Пункт 81 - в редакции постановления Правления Агентства РК по регулированию и развитию финансового рынка от 16.08.2024 № 59 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      81-1. Кредитное бюро предоставляет в уполномоченный орган информацию о следующих выявленных инцидентах информационной безопасности:

      1) эксплуатация уязвимостей в прикладном и системном программном обеспечении;

      2) несанкционированный доступ в информационную систему;

      3) атака "отказ в обслуживании" на информационную систему или сеть передачи данных;

      4) заражение сервера вредоносной программой или кодом;

      5) совершение несанкционированного перевода денежных средств вследствие нарушения контролей информационной безопасности;

      6) иных инцидентах информационной безопасности, повлекших простои информационных систем более одного часа.

      Информация об инцидентах информационной безопасности, указанных в настоящем пункте, предоставляется незамедлительно кредитным бюро посредством АСОИ или в электронном формате с использованием транспортной системы гарантированной доставки информации с криптографическими средствами защиты, обеспечивающей конфиденциальность и некорректируемость представляемых данных.

      Для кредитного бюро с государственным участием допускается представление информации о событиях и инцидентах информационной безопасности в уполномоченный орган посредством объектов информатизации Национального Банка Республики Казахстан, интегрированных с АСОИ.

      Сноска. Параграф 7 дополнен пунктом 81-1 в соответствии с постановлением Правления Агентства РК по регулированию и развитию финансового рынка от 16.08.2024 № 59 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      81-2. Информация о событиях информационной безопасности предоставляется в автоматизированном режиме путем передачи из систем информационной безопасности или систем кредитного бюро, осуществляющих в реальном времени сбор и анализ информации о событиях в информационной инфраструктуре кредитного бюро в АСОИ.

      Для кредитного бюро с государственным участием допускается представление информации о событиях и инцидентах информационной безопасности в уполномоченный орган посредством объектов информатизации Национального Банка Республики Казахстан, интегрированных с АСОИ.

      Сноска. Параграф 7 дополнен пунктом 81-2 в соответствии с постановлением Правления Агентства РК по регулированию и развитию финансового рынка от 16.08.2024 № 59 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

Параграф 8. Требования к обеспечению информационной безопасности программного обеспечения дистанционного оказания услуг кредитных бюро

      Сноска. Глава 3 дополнена параграфом 8 в соответствии с постановлением Правления Агентства РК по регулированию и развитию финансового рынка от 16.08.2024 № 59 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      81-3. Программное обеспечение дистанционного оказания услуг кредитного бюро включает:

      1) программное обеспечение серверов веб-приложений (далее – веб-приложение);

      2) программное обеспечение для мобильных устройств (далее – мобильное приложение);

      3) программное обеспечение серверов программных интерфейсов (далее – серверное ППО).

      81-4. Разработка и (или) доработка программного обеспечения дистанционного оказания услуг осуществляется кредитным бюро в соответствии с внутренними документами кредитного бюро, регламентирующими порядок разработки и (или) доработки программного обеспечения, этапы разработки и их участников.

      81-5. В случае, если разработка и (или) доработка программного обеспечения дистанционного оказания услуг кредитного бюро передана сторонней организации и (или) третьему лицу, кредитное бюро обеспечивает исполнение сторонней организацией и (или) третьим лицом требований настоящей главы и внутренних документов, отвечает за состояние безопасности программного обеспечения дистанционного оказания услуг.

      81-6. Хранение исходных кодов программного обеспечения дистанционного оказания услуг, разрабатываемых в кредитном бюро, осуществляется в специализированных системах управления репозиториями кода, размещаемых в периметре защиты кредитного бюро, с обеспечением резервного копирования.

      81-7. Независимо от принятого в кредитном бюро подхода к разработке и (или) доработке программного обеспечения дистанционного оказания услуг, обязательным является тестирование безопасности, в ходе которого осуществляются, как минимум, следующие мероприятия:

      1) статический анализ исходного кода;

      2) анализ компонентов и (или) сторонних библиотек.

      81-8. Статический анализ исходного кода программного обеспечения дистанционного оказания услуг кредитного бюро проводится с использованием сканера статического анализа исходных кодов, поддерживающего анализ всех используемых языков программирования в проверяемом программном обеспечении, в функции которого входит выявление следующих уязвимостей, но не ограничиваясь:

      1) наличие механизмов, допускающих инъекции вредоносного кода;

      2) использование уязвимых операторов и функций языков программирования;

      3) использование слабых и уязвимых криптографических алгоритмов;

      4) использование кода, вызывающего при определенных условиях отказ в обслуживании или существенное замедление работы программного обеспечения дистанционного оказания услуг кредитного бюро;

      5) наличие механизмов обхода систем защиты программного обеспечения дистанционного оказания услуг кредитного бюро;

      6) использование в коде секретов в открытом виде;

      7) нарушение шаблонов и практик обеспечения безопасности приложения.

      81-9. Анализ компонентов и (или) сторонних библиотек программного обеспечения дистанционного оказания услуг кредитного бюро проводится с целью выявления известных уязвимостей, присущих используемой версии компонента и (или) сторонней библиотеки, а также отслеживания зависимостей между компонентами и (или) сторонними библиотеками и их версиями.

      81-10. Кредитное бюро обеспечивает реализацию корректирующих мер по устранению выявленных уязвимостей в порядке, определенном внутренним документом, утвержденным исполнительным органом. При этом критичные уязвимости устраняются до ввода в эксплуатацию программного обеспечения дистанционного оказания услуг и (или) его новых версий.

      81-11. Кредитное бюро осуществляет ввод в эксплуатацию программного обеспечения дистанционного оказания услуг и (или) его новых версий после согласования с подразделением по информационной безопасности.

      81-12. Кредитное бюро обеспечивает хранение и доступ в оперативном режиме ко всем версиям исходных кодов программного обеспечения дистанционного оказания услуг и результатов тестирования безопасности, которые были введены в эксплуатацию в течение последних 3 (трех) лет.

      81-13. Обмен данными между клиентской и серверной сторонами программного обеспечения дистанционного оказания услуг шифруется с использованием версии протокола шифрования Transport Layer Security (Транспорт Лэйер Секьюрити) не ниже 1.2.

      81-14. При первичной регистрации клиента в мобильном приложении кредитное бюро осуществляет биометрическую идентификацию клиента посредством Центра обмена идентификационными данными (далее - ЦОИД), либо с использованием биометрических данных, полученных посредством устройств кредитного бюро.

      81-15. Изменение кода доступа (пароля) к мобильному приложению осуществляется с применением биометрической идентификации клиента с использованием биометрических данных, подтвержденных ЦОИД, либо с использованием биометрических данных, полученных посредством устройств кредитного бюро.

      81-16. Идентификация и аутентификация клиента в программном обеспечении дистанционного оказания услуг осуществляется с применением способов двухфакторной аутентификации (использованием двух из трех факторов: знания, владения, неотъемлемости) в соответствии с процедурами безопасности, установленными внутренними документами кредитного бюро.

      81-17. Механизм кроссдоменной аутентификации программного обеспечения дистанционного оказания услуг согласовывается с подразделением по информационной безопасности.

      81-18. Веб-приложение обеспечивает:

      1) однозначность идентификации принадлежности веб-приложения кредитному бюро (доменное имя, логотипы, корпоративные цвета);

      2) запрет на сохранение в памяти браузера авторизационных данных;

      3) маскирование вводимых секретов;

      4) информирование на странице авторизации клиента о мерах обеспечения кибергигиены, которым рекомендуется следовать при использовании веб-приложения;

      5) обработку ошибок и исключений безопасным способом, не допуская отображение в интерфейсе клиента конфиденциальных данных, предоставляя минимально достаточную информацию об ошибке.

      81-19. Мобильное приложение обеспечивает:

      1) однозначность идентификации принадлежности мобильного приложения кредитному бюро (данные в официальном магазине приложений, логотипы, корпоративные цвета);

      2) блокировку функционала по оказанию дистанционных услуг кредитного бюро в случае обнаружения признаков нарушения целостности и (или) обхода защитных механизмов операционной системы, обнаружения процессов удаленного управления;

      3) уведомление клиента о наличии обновлений мобильного приложения;

      4) возможность принудительной установки обновлений мобильного приложения или блокировки функционала мобильного приложения до их установки в случаях необходимости устранения критичных уязвимостей;

      5) хранение конфиденциальных данных в защищенном контейнере мобильного приложения или хранилище системных учетных данных;

      6) исключение кэширования конфиденциальных данных;

      7) исключение из резервных копий мобильного приложения конфиденциальных данных в открытом виде;

      8) информирование клиента о методах обеспечения кибергигиены, которым рекомендуется следовать при использовании мобильного приложения;

      9) информирование клиента о событиях авторизации под его учетной записью, изменения и (или) восстановления пароля, изменения, зарегистрированного кредитным бюро номера мобильного телефона;

      10) в ходе осуществления операций с денежными средствами - передачу в серверное ППО кредитного бюро геолокационных данных мобильного устройства при наличии разрешения от клиента либо передачу информации об отсутствии такого разрешения.

      81-20. Кредитное бюро обеспечивает на своей стороне:

      1) обработку ошибок и исключений безопасным способом, не допуская в ответе раскрытия конфиденциальных данных, предоставляя минимально достаточную информацию для диагностики проблемы;

      2) идентификацию и аутентификацию мобильных приложений и связанных с ними устройств;

      3) проверку данных на валидность для предотвращения атак с подделкой запросов и инъекций вредоносного кода.

Глава 4. Требования к обеспечению информационной безопасности при организации деятельности поставщиков информации

      82. Поставщик информации обеспечивает целостность и конфиденциальность информации, передаваемой в информационную систему кредитного бюро.

      83. Поставщик информации обеспечивает надлежащий уровень информационной безопасности в соответствии с условиями договора о предоставлении информации.

      84. Поставщик информации обеспечивает исполнение организационно-технических, технологических требований и мер, необходимых для функционирования и защиты системного и прикладного программного обеспечения, используемого для взаимодействия с информационной системой кредитного бюро.

      85. При использовании оборудования для работы с информационной системой кредитного бюро учитывается необходимость его защиты от несанкционированного доступа, а также защиты носителей информации и сетевых ресурсов.

      86. Поставщик информации назначает оператора (операторов).

      87. Поставщик информации обеспечивает наличие подписанных обязательств оператора (операторов) о неразглашении и нераспространении информации, ставшей им известной в процессе исполнения ими функциональных обязанностей.

      88. Поставщик информации обеспечивает наличие внутренних документов (включая должностные инструкции), определяющих порядок назначения оператора (операторов), его (их) права и ответственность.

      89. Доступ к информации предоставляется работникам поставщиков информации в объеме, необходимом для исполнения их функциональных обязанностей.

      90. Учетная запись оператора, по которой он идентифицируется в информационной системе кредитного бюро, принадлежит конкретному физическому лицу.

      91. Поставщик информации по запросу уполномоченного органа предоставляет сведения, подтверждающие его соответствие требованиям, предусмотренным договором о предоставлении информации.

      92. Операционная система рабочей станции обеспечивает функции идентификации и аутентификации пользователя, а также разграничения прав доступа пользователей и авторизацию в соответствии с назначенными правами.

      93. При использовании рабочей станции для подключения к информационной системе кредитного бюро одновременное подключение к другим ресурсам сети Интернет не производится.

      94. Работники поставщика информации обеспечивают конфиденциальность персональных идентификационных и аутентификационных данных, используемых для доступа к информационным системам.

      95. Работники поставщика информации обеспечивают конфиденциальность информации, ставшей им известной в процессе использования информационной системы кредитного бюро.

Глава 5. Требования к обеспечению информационной безопасности при организации деятельности получателей кредитных отчетов

      96. Получатель кредитного отчета обеспечивает конфиденциальность и целостность информации, получаемой из информационной системы кредитного бюро.

      97. Получатель кредитного отчета обеспечивает надлежащий уровень информационной безопасности в соответствии с условиями договора о получении кредитных отчетов.

      98. Получатель кредитного отчета обеспечивает исполнение организационно-технических, технологических требований и мер, необходимых для функционирования и защиты системного и прикладного программного обеспечения, используемого для взаимодействия с информационной системой кредитного бюро и обработки получаемой из нее информации.

      99. При использовании оборудования для работы с информационной системой кредитного бюро учитывается необходимость его защиты от несанкционированного доступа, а также защиты носителей информации и сетевых ресурсов, используемых для работы с информационной системой кредитного бюро.

      100. Получатель кредитного отчета определяет и утверждает перечень ответственных лиц.

      101. Получатель кредитного отчета обеспечивает наличие подписанных ответственными (ответственным) лицами (лицом) организации обязательств о неразглашении и нераспространении информации, ставшей им известной в процессе исполнения ими функциональных обязанностей.

      102. Получатель кредитного отчета обеспечивает наличие внутренних документов, определяющих порядок определения и утверждения перечня ответственных лиц, их права и ответственность (включая должностные инструкции).

      103. Доступ к информации предоставляется работникам в объеме, необходимом для исполнения их функциональных обязанностей.

      104. Учетная запись ответственного лица, по которой он идентифицируется в информационной системе кредитного бюро, соответствует конкретному физическому лицу.

      105. Получатель кредитного отчета проводит плановые и внеплановые проверки соответствия рабочих станций Требованиям и внутренним документам получателя кредитного отчета, регламентирующим информационную безопасность.

      106. Получатель кредитного отчета по запросу уполномоченного органа представляет сведения, подтверждающие его соответствие требованиям, предусмотренным в договоре о получении кредитных отчетов.

      107. Операционная система рабочей станции обеспечивает функции идентификации и аутентификации пользователя, а также разграничения прав доступа пользователей и авторизации в соответствии с назначенными правами.

      108. Получатель кредитных отчетов использует собственную рабочую станцию.

      109. При использовании рабочей станции для подключения к информационной системе кредитного бюро одновременное подключение к другим ресурсам сети Интернет не производится.

      110. Работники получателя кредитных отчетов обеспечивают конфиденциальность персональных идентификационных и аутентификационных данных, используемых для доступа к информационным системам.

      111. Работники получателя кредитных отчетов обеспечивают конфиденциальность информации, ставшей им известной в процессе использования информационной системы кредитного бюро.

  Приложение 2
к постановлению Правления
Национального Банка
Республики Казахстан
от 27 сентября 2018 года № 228

Требования, предъявляемые кредитными бюро к поставщикам информации и получателям кредитных отчетов

      Сноска. Заголовок - в редакции постановления Правления Агентства РК по регулированию и развитию финансового рынка от 16.08.2024 № 59 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      1. Настоящие Требования, предъявляемые кредитными бюро к поставщикам информации и получателям кредитных отчетов (далее - Требования), разработаны в соответствии с подпунктом 6) статьи 5 Закона Республики Казахстан "О кредитных бюро и формировании кредитных историй в Республике Казахстан" и определяют требования, предъявляемые кредитными бюро к использованию информационно-коммуникационных технологий и обеспечению информационной безопасности при организации деятельности поставщиков информации, являющихся индивидуальным предпринимателем или юридическим лицом, реализующим товары и услуги в кредит либо предоставляющим отсрочки платежей, систематизированные признаки которых определяются постановлением Правительства Республики Казахстан от 18 января 2005 года № 25 "Об утверждении систематизированных признаков индивидуальных предпринимателей или юридических лиц, реализующих товары и услуги в кредит либо предоставляющих отсрочки платежей" (далее – постановление № 25), субъектами естественной монополии, оказывающими коммунальные услуги, иными лицами на основании договоров о предоставлении информации (далее – поставщики информации), а также получателей кредитных отчетов, являющихся индивидуальным предпринимателем или юридическим лицом, реализующим товары и услуги в кредит либо предоставляющим отсрочки платежей, систематизированные признаки которых определяются постановлением № 25, иными лицами на основании договоров о предоставлении информации, представителем держателей облигаций в отношении кредитного отчета эмитента облигаций, с которым заключен договор о представлении интересов держателей облигаций (далее – получатели кредитных отчетов).

      Сноска. Пункт 1 - в редакции постановления Правления Агентства РК по регулированию и развитию финансового рынка от 16.08.2024 № 59 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      2. Требования, предъявляемые кредитными бюро к поставщикам информации и получателям кредитных отчетов, включаются в договор о предоставлении информации и договор о получении кредитных отчетов.

      3. Требования, предъявляемые кредитными бюро к использованию информационно-коммуникационных технологий при организации деятельности поставщиков информации и получателей кредитных отчетов, соответствуют требованиям пунктов 15, 16 и 17 Требований к использованию информационно-коммуникационных технологий и обеспечению информационной безопасности при организации деятельности кредитных бюро, поставщиков информации и получателей кредитных отчетов, являющихся банками, организациями, осуществляющими отдельные виды банковских операций, микрофинансовыми организациями и коллекторскими агентствами, утвержденных настоящим постановлением.

      4. Требования, предъявляемые кредитными бюро к обеспечению информационной безопасности при организации деятельности поставщиков информации и получателей кредитных отчетов, соответствуют требованиям глав 4 и 5 Требований к использованию информационно-коммуникационных технологий и обеспечению информационной безопасности при организации деятельности кредитных бюро, поставщиков информации и получателей кредитных отчетов, являющихся банками, организациями, осуществляющими отдельные виды банковских операций, микрофинансовыми организациями и коллекторскими агентствами, утвержденных настоящим постановлением.

  Приложение 3
к постановлению Правления
Национального Банка
Республики Казахстан
от 27 сентября 2018 года № 228

Перечень нормативных правовых актов Республики Казахстан, а также структурных элементов некоторых нормативных правовых актов Республики Казахстан, признаваемых утратившими силу

      1. Постановление Правления Национального Банка Республики Казахстан от 27 мая 2015 года № 91 "Об утверждении Требований к использованию информационно-коммуникационных технологий и обеспечению информационной безопасности при организации деятельности кредитных бюро, поставщиков информации и получателей кредитных отчетов" (зарегистрировано в Реестре государственной регистрации нормативных правовых актов под № 11669, опубликовано 30 июля 2015 года в информационно-правовой системе "Әділет").

      2. Пункт 2 постановления Правления Национального Банка Республики Казахстан от 30 мая 2016 года № 146 "О внесении изменений и дополнения в некоторые нормативные правовые акты Республики Казахстан по вопросам сокращения разрешительных документов и упрощения разрешительных процедур (зарегистрировано в Реестре государственной регистрации нормативных правовых актов под № 14208, опубликовано 5 октября 2016 года в информационно-правовой системе "Әділет").

      3. Постановление Правления Национального Банка Республики Казахстан от 14 июня 2017 года № 102 "О внесении изменений и дополнения в постановление Правления Национального Банка Республики Казахстан от 27 мая 2015 года № 91 "Об утверждении Требований к использованию информационно-коммуникационных технологий и обеспечению информационной безопасности при организации деятельности кредитных бюро, поставщиков информации и получателей кредитных отчетов" (зарегистрировано в Реестре государственной регистрации нормативных правовых актов под № 15608, опубликовано 15 сентября 2017 года в Эталонном контрольном банке нормативных правовых актов Республики Казахстан).

Кредиттік бюролардың, ақпарат берушілердің және кредиттік есептерді алушылардың қызметін ұйымдастыру кезінде ақпараттық-коммуникациялық технологияларды пайдалануға және ақпараттық қауіпсіздікті қамтамасыз етуге қойылатын талаптарды, сондай-ақ Кредиттік бюролардың ақпарат берушілерге және кредиттік есептерді алушыларға қоятын талаптарын бекіту туралы

Қазақстан Республикасы Ұлттық Банкі Басқармасының 2018 жылғы 27 қыркүйектегі № 228 қаулысы. Қазақстан Республикасының Әділет министрлігінде 2018 жылғы 6 қарашада № 17702 болып тіркелді.

      Ескерту. Тақырыбы жаңа редакцияда - ҚР Қаржы нарығын реттеу және дамыту агенттігі Басқармасының 16.08.2024 № 59 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      "Қазақстан Республикасындағы кредиттік бюролар және кредиттік тарихты қалыптастыру туралы" Қазақстан Республикасының Заңы 5-бабының 6) тармақшасына сәйкес Қазақстан Республикасы Ұлттық Банкінің Басқармасы ҚАУЛЫ ЕТЕДІ:

      Ескерту. Кіріспе жаңа редакцияда - ҚР Қаржы нарығын реттеу және дамыту агенттігі Басқармасының 16.08.2024 № 59 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      1. Мыналар:

      1) осы қаулыға 1-қосымшаға сәйкес Кредиттік бюролардың, ақпарат берушілердің және кредиттік есептерді алушылардың қызметін ұйымдастыру кезінде ақпараттық-коммуникациялық технологияларды пайдалануға және ақпараттық қауіпсіздікті қамтамасыз етуге қойылатын талаптар;

      2) осы қаулыға 2-қосымшаға сәйкес Кредиттік бюролардың ақпарат берушілерге және кредиттік есептерді алушыларға қоятын талаптары бекітілсін.

      Ескерту. 1-тармақ жаңа редакцияда - ҚР Қаржы нарығын реттеу және дамыту агенттігі Басқармасының 16.08.2024 № 59 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      2. Осы қаулыға 3-қосымшаға сәйкес тізбе бойынша Қазақстан Республикасының нормативтік құқықтық актілерінің, сондай-ақ Қазақстан Республикасының кейбір нормативтік құқықтық актілерінің құрылымдық элементтерінің күші жойылды деп танылсын.

      3. Ақпараттық қауіп және киберқорғау басқармасы (Перминов Р.В.) Қазақстан Республикасының заңнамасында белгіленген тәртіппен:

      1) Заң департаментімен (Сәрсенова Н.В.) бірлесіп осы қаулыны Қазақстан Республикасының Әділет министрлігінде мемлекеттік тіркеуді;

      2) осы қаулы мемлекеттік тіркелген күннен бастап күнтізбелік он күн ішінде оны қазақ және орыс тілдерінде "Республикалық құқықтық ақпарат орталығы" шаруашылық жүргізу құқығындағы республикалық мемлекеттік кәсіпорнына ресми жариялау және Қазақстан Республикасы нормативтік құқықтық актілерінің эталондық бақылау банкіне енгізу үшін жіберуді;

      3) осы қаулыны ресми жарияланғаннан кейін Қазақстан Республикасы Ұлттық Банкінің ресми интернет-ресурсына орналастыруды;

      4) осы қаулы мемлекеттік тіркелгеннен кейін он жұмыс күні ішінде Заң департаментіне осы қаулының осы тармағының 2), 3) тармақшаларында және 4-тармағында көзделген іс-шаралардың орындалуы туралы мәліметтерді ұсынуды қамтамасыз етсін.

      4. Қаржылық қызметтерді тұтынушылардың құқықтарын қорғау және сыртқы коммуникациялар басқармасы (Терентьев А.Л.) осы қаулы мемлекеттік тіркелгеннен кейін күнтізбелік он күн ішінде оның көшірмесін мерзімді баспасөз басылымдарында ресми жариялауға жіберуді қамтамасыз етсін.

      5. Осы қаулының орындалуын бақылау Қазақстан Республикасының Ұлттық Банкі Төрағасының орынбасары О.А. Смоляковқа жүктелсін.

      6. Осы қаулы алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі.

      Ұлттық Банк
Төрағасы
Д. Ақышев

  Қазақстан Республикасы
Ұлттық Банкі Басқармасының
2018 жылғы 27 қыркүйектегі
№ 228 қаулысына
1-қосымша

Кредиттік бюролардың, ақпарат берушілердің және кредиттік есептерді алушылардың қызметін ұйымдастыру кезінде ақпараттық-коммуникациялық технологияларды пайдалануға және ақпараттық қауіпсіздікті қамтамасыз етуге қойылатын талаптар

      Ескерту. Тақырыбы жаңа редакцияда - ҚР Қаржы нарығын реттеу және дамыту агенттігі Басқармасының 16.08.2024 № 59 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

1-тарау. Жалпы ережелер

      1. Осы Кредиттік бюролардың, ақпарат берушілердің және кредиттік есептерді алушылардың қызметін ұйымдастыру кезінде ақпараттық-коммуникациялық технологияларды пайдалануға және ақпараттық қауіпсіздікті қамтамасыз етуге қойылатын талаптар "Қазақстан Республикасындағы кредиттік бюролар және кредиттік тарихты қалыптастыру туралы" Қазақстан Республикасының Заңы 5-бабының 6) тармақшасына сәйкес әзірленді және банкпен, банк операцияларының жекелеген түрлерін жүзеге асыратын ұйыммен, микроқаржылық қызметті жүзеге асыратын ұйыммен, коллекторлық агенттікпен, бас банктің күмәнді және үмітсіз активтерін сатып алатын банктің еншілес ұйымымен, екінші деңгейдегі банктердің кредиттік портфельдерінің сапасын жақсартуға маманданатын ұйыммен, микроқаржы ұйымының қамтамасыз етілген облигацияларды шығару немесе қарыздар алу кезінде микрокредит беру туралы шарт бойынша талап ету құқықтарын кепіл ұстаушы-заңды тұлғамен, секьюритилендіру мәмілесі кезінде Қазақстан Республикасының секьюритилендіру және жобалық қаржыландыру туралы заңнамасына сәйкес құрылған арнайы қаржы компаниясымен, акцияларының жүз пайызы Қазақстан Республикасының Ұлттық Банкіне тиесілі кәсіпкерлік қызметпен байланысты емес жеке тұлғалардың ипотекалық қарыздарын сатып алуды жүзеге асыратын тұлғамен, банктерде және банк операцияларының жекелеген түрлерін жүзеге асыратын ұйымдарда, микроқаржы ұйымдарында қаржыны негізделген орналастыру арқылы жеке кәсіпкерлік субъектілерін қаржыландыру жөніндегі мәміле шеңберінде жасалған банктік қарыз шарты, микрокредит беру шарты бойынша жеке кәсіпкерлікті дамытудың арнайы қорымен, өзге тұлғамен – кәсіпкерлік қызметті жүзеге асырумен байланысты жеке тұлғаның банктік қарыз шарты бойынша, микрокредит беру туралы шарт бойынша немесе ол бойынша халықаралық қаржылық есептілік стандарттарына сәйкес, оның ішінде банктік қарыз шарты бойынша, микрокредит беру туралы шарт бойынша құқықты (талапты) сатып алу немесе пайда болу (құру) сәтіне құнсыздану белгілері анықталған заңды тұлғаның банктік қарыз шарты бойынша, микрокредит беру туралы шарт бойынша құқықтарына (талаптарына) қатысты жасалған банктік қарыз шарттары және (немесе) микрокредит беру туралы шарттар бойынша құқықтарды (талаптарды) сенімгерлік басқару шеңберінде банктік қарыз шарттары және (немесе) микрокредит беру туралы шарттар бойынша банктер, банк операцияларының жекелеген түрлерін жүзеге асыратын ұйымдар, микроқаржылық қызметті жүзеге асыратын ұйымдар, құқықтарды (талаптарды) сенімгерлік басқаруды жүзеге асыратын коллекторлық агенттіктер мен сервистік компаниялардың қызметін ұйымдастыру кезінде ақпараттық-коммуникациялық технологияларды пайдалануға және ақпараттық қауіпсіздікті қамтамасыз етуге қойылатын талаптарды белгілейді.

      Ескерту. 1-тармақ жаңа редакцияда - ҚР Қаржы нарығын реттеу және дамыту агенттігі Басқармасының 16.08.2024 № 59 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      2. Талаптарда Кредиттік бюролар туралы заңда көзделген ұғымдар, сондай-ақ мынадай ұғымдар пайдаланылады:

      1) ақпарат берушілер - Кредиттік бюролар туралы заңның 18-бабы 1-тармағының 1) тармақшасында көрсетілген ақпарат берушілер;

      2) ақпараттық актив - ақпараттың және оны сақтауға және (немесе) өңдеуге пайдаланылатын ақпараттық-коммуникациялық инфрақұрылым объектісінің жиынтығы;

      3) ақпараттық-коммуникациялық инфрақұрылым (бұдан әрі - ақпараттық инфрақұрылым) - электрондық ақпараттық ресурстарды қалыптастыру және оларға қолжетімділік беру мақсатында технологиялық ортаның жұмыс істеуін қамтамасыз етуге арналған ақпараттық инфрақұрылым объектілерінің жиынтығы;

      4) ақпараттық қауіпсіздік - электрондық ақпараттық ресурстардың, ақпараттық жүйелердің және ақпараттық инфрақұрылымның сыртқы және ішкі қауіптерден қорғалу жай-күйі;

      5) ақпараттық қауіпсіздік тәуекелі - кредиттік бюроның ақпараттық активтері құпиялылығының бұзылуы, тұтастығының немесе қолжетімділігінің қасақана бұзылуы салдарынан залалдың ықтимал пайда болуы;

      6) ақпараттық қауіпсіздікті қамтамасыз ету - кредиттік бюроның ақпараттық активтерінің конфиденциалдылық, тұтастық және қолжетімділік күйін ұстап тұруға бағытталған процесс;

      7) ақпараттық қауіпсіздіктің оқыс оқиғасы - ақпараттық инфрақұрылымның немесе оның жекелеген объектілерінің жұмысында жеке немесе сериялық туындайтын, олардың тиісінше жұмыс істеуіне қауіп келтіретін іркілістер туралы ақпарат және (немесе) кредиттік бюроның электрондық ақпараттық ресурстарын заңсыз алу, көшіру, тарату, модификациялау, жою немесе бұғаттауға арналған талаптар;

      8) артықшылық берілген есептік жазба - ақпараттық жүйеде жасалу, жойылу және басқа есептік жазбаларға кіру құқықтарын өзгерту артықшылықтары бар есептік жазба;

      9) аудиторлық із - ақпараттық жүйенің функцияларын орындау нәтижесінде деректердің өзгеруінің дәлелі қамтылған жазбалардың хронологиялық реттілігі;

      10) аутенфикациялау - ақпараттық жүйеге қол жеткізу субъектісінің немесе объектісінің түпнұсқалылығын ұсынылған қолжетімділік деректемелерінің сәйкестігін анықтау арқылы растау;

      11) бизнес-процесс - сыртқы (клиент) немесе ішкі (кредиттік бюроның қызметкері, бөлімшесі, басқа бизнес-процесс) тұтынушы үшін белгілі өнімді немесе қызметті жасауға бағытталған өзара байланысты іс-шаралар немесе міндеттер жиынтығы;

      12) виртуалды орта - аппараттық іске асырудан абстракцияланған және бұл ретте бір нақты ресурста орындалатын есептеу процестерінің бір-бірінен қисынды оқшаулануын қамтамасыз ететін есептеу ресурстары немесе олардың қисынды бірігуі;

      13) деректерді өңдеу орталығы - кредиттік бюроның ақпараттық инфрақұрылымының серверлік және коммуникациялық жабдығы орналасқан, арнайы бөлінген үй-жай. Деректерді өңдеу орталығы негізгі және резервтік болып бөлінеді;

      14) жауапты тұлға - кредиттік есептерді алушының кредиттік есептерге қолжетімділігі бар қызметкері;

      15) жұмыс станциясы - кредиттік бюроның ақпараттық жүйесіне кіру үшін пайдаланылатын дербес компьютер;

      16) кредиттік бюроның ақпараттық жүйесінің бизнес-иесі - кредиттік бюроның ақпараттық жүйе автоматтандыратын негізгі бизнес-процестің иесі болып табылатын бөлімшесі (қызметкері);

      17) кредиттік есептерді алушылар - Кредиттік бюролар туралы заңның 20-бабы 1-тармағы бірінші бөлігінің 1) тармақшасында көрсетілген кредиттік есептерді алушылар;

      18) қолжетімділік - ақпараттық активтерді пайдалану мүмкіндігі;

      19) оператор - кредиттік бюроның ақпарат жүйесіне ақпараттың дұрыс енгізілуі үшін жауап беретін қызметкер;

      20) резервтік көшірме - ақпарат тасымалдағыштағы деректердің қажет болған жағдайда оларды түпнұсқада немесе жаңадан орналастырылған орнында қалпына келтіруге арналған көшірмесі;

      21) техникалық қауіпсіздікті қамтамасыз ету - техникалық құралдарды (күзет және өрт сигнализациясы, кіруді бақылау және басқару, бейнебақылау, өрт сөндіру, деректерді өңдеу орталығында температуралық режим мен ылғалдылықты бақылау жүйелерін) пайдалана отырып кредиттік бюроның қауіпсіздігін қамтамасыз ету процесі;

      22) технологиялық есептік жазба - ақпарат жүйесіндегі ақпараттық жүйелердің арасында аутенфикациялауға арналған есептік жазба;

      23) түзету шарасы - ақпараттық қауіпсіздікті қамтамасыз ету барысында болған проблеманы не оның бұзылу салдарын түзетуге бағытталған ұйымдастыру және техникалық іс-шараларының жиынтығы;

      24) уәкілетті орган - қаржы нарығын және қаржы ұйымдарын реттеу, бақылау мен қадағалау жөніндегі уәкілетті орган.

2-тарау. Ақпараттық-коммуникациялық технологияларды пайдалануға қойылатын талаптар

      3. Кредиттік бюро:

      1) ақпарат берушіден ақпарат алуды;

      2) кредиттік тарихтардың дерекқорын қалыптастыруды;

      3) кредиттік есептерді қалыптастыруды, беруді және сақтауды;

      4) кредиттік бюроның ақпараттық жүйесін пайдаланушыларды сәйкестендіруді және аутентификациялауды;

      5) кредиттік бюроның ақпараттық жүйесінің аудиторлық ізін жүргізуді автоматтандыруды қамтамасыз ететін ақпараттық жүйені (бұдан әрі - кредиттік бюроның ақпараттық жүйесі) әзірлеуді жүзеге асырады.

      4. Кредиттік бюроның ақпараттық жүйесі мынадай талаптарға сәйкес келеді:

      1) техникалық тапсырма негізінде және кредиттік бюроның әзірлеу, өзгерістер енгізу, тестілеу, өнеркәсіптік пайдалануға қабылдау және енгізу, сондай-ақ барлық кезеңді құжаттандыру кезеңі мен тәртібін реттейтін ішкі құжаттарына сәйкес әзірлеуді, енгізуді және оған қызмет көрсетуді (немесе дайын өнімді бейімдеуді) жүзеге асыру;

      2) кредиттік бюроның ақпараттық жүйесін пайдаланушылардың қолжетімділік құқықтарының аражігін ажыратуды қамтамасыз ету;

      3) кредиттік бюроның ақпараттық жүйесінің есептік жазбаларын басқаруды қамтамасыз ету;

      4) кредиттік бюроның ақпараттық жүйесінің қорғалатын деректерінің ақпараттық қауіпсіздігін қамтамасыз ету.

      5. Кредиттік бюро кредиттік бюроның ақпараттық жүйесінің болуын және әзірлеу, тестілеу және өнеркәсіптік пайдалану орталарынан осы орталардың кез келгеніндегі кредиттік бюроның ақпараттық жүйесіне енгізілген өзгерістердің басқа ортада орналасқан кредиттік бюроның ақпараттық жүйесіне әсер етпейтіндей бөлуді қамтамасыз етеді. Кредиттік бюроның ақпараттық жүйесін әзірлеу және пысықтау өнеркәсіптік пайдалану ортасында жүзеге асырылмайды.

      6. Бағдарламалық қамтамасыз етуді әзірлеуді жүзеге асыратын тысқары ұйымдардың және ақпараттық технологиялар бөлімшесі қызметкерлерінің кредиттік бюро ақпараттық жүйесінің өзгерістерін өнеркәсіптік ортаға ауыстыру өкілеттіктері, сондай-ақ өнеркәсіптік ортадағы кредиттік бюроның ақпараттық жүйелеріне әкімшілік кіруге рұқсаты жоқ.

      7. Кредиттік бюроның ақпараттық жүйесін өнеркәсіптік пайдалануға енгізудің алдында онда қалыпты жағдай бойынша орнатылған қауіпсіздік теңшеулері кредиттік бюроның ішкі құжаттарында белгіленген ақпараттық қауіпсіздікке қойылатын талаптарына сәйкес келетін теңшеулерге өзгертіледі. Көрсетілген теңшеулер тестілеу кезінде пайдаланылатын парольдерге ауыстыруды, сондай-ақ барлық тестілік есептік жазбаларды алып тастауды қамтуға тиіс.

      8. Кредиттік бюроның ақпарат жүйесінің шығыс кодтары (бар болса) және орындалатын модульдер бағдарламалық қамтамасыз етудің сақталатын қоймасында сақталады, ол оларды қалпына келтіру үшін жарамды түрде жүргізіледі.

      9. Кредиттік бюроның ақпараттық жүйесі аудиторлық із жүргізуді қамтамасыз етеді, ол мыналарды қамтиды:

      1) жалғанымдарды орнату, сәйкестендіру, бірегейлендіру және авторизациялау оқиғасы (сәтті немесе сәтсіз);

      2) сақталатын деректерді өзгерту оқиғасы;

      3) қауіпсіздікті іске қосуды түрлендіру оқиғасы;

      4) пайдаланушылардың топтарын және олардың өкілеттіктерін түрлендіру оқиғасы;

      5) пайдаланушылардың есептік жазбаларын және олардың өкілеттіктерін түрлендіру оқиғасы;

      6) ақпараттық жүйедегі жаңартуларды және (немесе) өзгерістерді орнатуды көрсететін оқиғалар;

      7) аудиторлық ізді жүргізу өлшемдерінің өзгеру оқиғасы;

      8) жүйелік өлшемдердің өзгерістер оқиғасы.

      10. Аудиторлық із форматы мынадай ақпаратты қамтиды:

      1) іс-қимыл жасайтын пайдаланушының сәйкестендіргіші (логині);

      2) іс-қимыл жасау күні және уақыты;

      3) іс-қимыл жүргізілген объектілердің атауы;

      4) ақпараттық жүйені басқарушының немесе түпкі пайдаланушының жасаған іс-қимылының түрі және атауы;

      5) іс-қимылдың нәтижесі (сәтті немесе сәтсіз).

      11. Аудиторлық ізді сақтау мерзімі жедел кіру бойынша кемінде 3 (үш) айды және архивтік кіру бойынша кемінде 1 (бір) жылды құрайды. Аудиторлық ізді оқиғаларды сақтаудың, өңдеудің және талдаудың мамандандырылған ақпараттық жүйесінде сақтауға рұқсат беріледі.

      12. Кредиттік ұйым аудиторлық іздің ұйымдастыру, сол сияқты техникалық деңгейдегі тұрақтылығын қамтамасыз етеді. Ақпараттық жүйелердің басқарушыларына аудиторлық із журналдарын архивке ауыстыруға ғана кіруге рұқсат беріледі.

      13. Кредиттік бюроның деректерін өңдеу орталығы мынадай талаптарға сәйкес келеді:

      1) электрмен үздіксіз жабдықтау жүйесі электр желілерінің екі немесе одан астам тәуелсіз қосылғыштармен, сондай-ақ кемінде жиырма төрт сағаттың ішінде автономдық электрмен жабдықтауды қамтамасыз ететін қуат көзінің автоматты түрде қосылатын резервтік құрылғылармен қамтамасыз етіледі;

      2) ғимаратқа, негізінен деректер өңдеу орталығына түрлі жолдармен жүргізілген телекоммуникациялық қызмет көрсетудің тәуелсіз провайдерлерінен деректер берудің екі немесе одан астам арнасының, сондай-ақ деректер өңдеудің резервтік орталығында кемінде екі байланыс арнасының болуы. Байланыс арналарының өткізу қабілеті ақпарат ұсыну туралы шарттардың және кредиттік есептер алу туралы шарттардың талаптарына сәйкес қызмет көрсетуді қамтамасыз етуге тиіс.

      14. Кредиттік бюро кредиттік бюроның ақпараттық жүйесінің тұрақты жұмыс істеуін қамтамасыз ету мақсатында мынадай талаптарды сақтайды:

      1) кредиттік бюроның ақпараттық жүйесі оның негізгі сервистерінің жұмыс істеуін үзбей профилактикалық жұмыстар жүргізу мүмкіндігін қамтамасыз ететін серверлік жүйеде жұмыс істейді. Аппараттық қуат көздерін виртуализациялау технологияларын пайдалану кезінде виртуалды негізгі және резервтік серверлер жеке нақты серверлерге орналастырылуға тиіс;

      2) кредиттік бюроның деректерін өңдеудің резервтік орталығы кредиттік бюродан тыс орналасады және кредиттік бюроның ақпараттық жүйесінің жұмысын негізгі деректер өңдеу орталығының жұмысы тоқтатылған сәттен бастап он екі сағаттан аспайтын мерзімде қалпына келтіруді қамтамасыз етеді.

      15. Ақпарат беруші кредиттік бюроның ақпараттық жүйесіне қосылу кезінде:

      1) ақпарат ұсыну туралы шартта көрсетілген кредиттік бюроның талаптарына сәйкес келетін;

      2) вирусқа қарсы өзекті базалары бар лицензиялық вирусқа қарсы бағдарламалық қамтамасыз етумен қорғалған жұмыс станциясын пайдаланады.

      16. Кредиттік есептерді алушы кредиттік бюроның ақпараттық жүйесіне қосылу кезінде:

      1) кредиттік бюроның ақпараттық жүйесіне қосылу үшін пайдаланатын бір немесе бірнеше жұмыс станциясының болуын қамтамасыз етеді;

      2) жұмыс станцияларын вирусқа қарсы өзекті базалары бар лицензиялық вирусқа қарсы бағдарламалық қамтамасыз етумен қорғауды қамтамасыз етеді.

      17. Ақпарат берушінің ақпаратты кредиттік бюроға беру және кредиттік бюроның кредиттік есептерді кредиттік есептерді алушыға беру процестері автоматтандырылған жағдайда, Талаптардың 15 және 16-тармақтарының талаптары ақпарат берушілерге және кредиттік есептерді алушыларға қолданылмайды.

3-тарау. Кредиттік бюролардың қызметін ұйымдастыру кезінде ақпараттық қауіпсіздікті қамтамасыз етуге қойылатын талаптар

1-параграф. Ақпараттық қауіпсіздікті басқару жүйесін ұйымдастыруға қойылатын талаптар

      18. Кредиттік бюро қорғалған ақпаратты алу, сақтау және өңдеу кезінде, сондай-ақ кредиттік есептерді дайындау және беру кезінде оның ақпараттық қауіпсіздігін қамтамасыз етеді.

      19. Кредиттік бюро ақпараттық қауіпсіздікті қамтамасыз ету процесін басқаруға арналған кредиттік бюроны басқарудың жалпы жүйесінің бір бөлігі болып табылатын ақпараттық қауіпсіздікті басқару жүйесінің құрылуын және жұмыс істеуін қамтамасыз етеді.

      20. Ақпараттық қауіпсіздікті басқару жүйесі кредиттік бюроның бизнес-процестері үшін әлеуеттік зиянның ең төменгі деңгейіне жол беретін кредиттік бюроның ақпараттық активтерін қорғауды қамтамасыз етеді.

      21. Кредиттік бюро ақпараттық қауіпсіздікті басқару жүйесінің тиісті деңгейін, оны дамыту мен жақсартуды қамтамасыз ету мақсатында мыналар айқындалатын ішкі құжаттардың болуын қамтамасыз етеді:

      1) мыналар қамтылатын ақпараттық қауіпсіздік саясаты:

      ақпараттық қауіпсіздікті басқару жүйесін құру мақсаттары, міндеттері және негізгі қағидаттары;

      ақпараттық қауіпсіздікті басқару жүйесінің қолданылу саласы;

      ақпараттық қауіпсіздікті басқару жүйесі шеңберіндегі жауапкершілік;

      ақпараттық қауіпсіздік саясатының қолжетімділігін тарату және қамтамасыз ету;

      ақпараттық қауіпсіздік саясатын қайта қарауға қойылатын талаптар;

      2) мыналар қамтылатын ақпараттық активтерді басқару қағидалары:

      конфиденциалдылық деңгейін көрсете отырып ақпаратқа негізгі талаптарды айқындау;

      активтерді таңбалау және паспортизациялау бойынша талаптар;

      конфиденциалдылық деңгейін ескере отырып ақпарат айналысының тәртібі;

      3) мыналар қамтылатын резервтік көшіру (мұрағаттау) тәртібі:

      резервтік және архивтік көшіру талаптары;

      резервтік көшірмелерді тестілеу тәртібі;

      4) мыналар қамтылатын ақпараттық қауіпсіздік тәуекелдерін бағалау және басқару әдістемесі:

      ақпараттық қауіпсіздік тәуекелдерін бағалау және өңдеу процесі;

      ақпараттық қауіпсіздік тәуекелдерінің құптауға болатын өлшемшарттары;

      ақпараттық қауіпсіздік тәуекелдерін өңдеу жоспары;

      ақпараттық қауіпсіздік тәуекелдерін бағалау және өңдеу туралы есеп;

      5) мыналар қамтылатын ақпараттық жүйе пайдаланушыларының (ақпараттық жүйелердің операторлары, басқарушылары) қолжетімділігі мен міндеттерін шектеу бойынша рәсімдер:

      еңбек шартының қолданылуы аяқталғаннан кейін конфиденциалды ақпаратты жария етпеу туралы талаптарды қамтитын функционалдық міндеттерін тоқтату немесе өзгерту тәртібі;

      оқыту және хабардар болуды арттыру тәртібі;

      ақпаратқа, ақпараттық жүйелерге, желілерге, сервистерге, жабдыққа және үй-жайларға қолжетімділікті бақылау тәртібі;

      қолжетімділік құқықтарын жүйелі түрде қайта қарау талаптары;

      пайдаланушылық және артықшылық берілген қолжетімділік құқықтарын басқаруға талаптар;

      қолжетімділік құқықтарын ұсынуды, өзгертуді, жоюды техникалық тұрғыдан іске асыру тәртібі;

      6) мыналар қамтылатын кредиттік бюроның ақпараттық жүйесімен жұмыс істеу тәртібі:

      кредиттік бюроның ақпараттық жүйесінің өзгерістерін әзірлеу және басқару рәсімдері;

      кредиттік бюроның ақпараттық жүйесінің операторлары мен басқарушыларының құқықтары мен міндеттері;

      7) мыналар қамтылатын ақпараттық қауіпсіздіктің оқыс оқиғаларын басқару рәсімдері:

      оқыс оқиғаларды жіктеу, хабарлауға жататын адамдары көрсете отырып, оқыс оқиғалар туралы хабарлау тәртібі;

      оқыс оқиғаларға ден қою және өңдеу тәртібі;

      ақпараттық активтерді зиянды бағдарламалық қамтамасыз етуден қорғау қағидалары.

      22. Кредиттік ұйымның ақпараттық қауіпсіздікті басқару жүйесінің қатысушылары мыналар болып табылады:

      1) басқару органы;

      2) атқарушы орган;

      3) ақпараттық қауіпсіздікті қамтамасыз ету міндеттері бойынша шешімдер қабылдауға уәкілетті алқалы орган (бұдан әрі - алқалы орган);

      4) тәуекелдерді басқару бөлімшесі;

      5) ақпараттық қауіпсіздік бөлімшесі;

      6) ақпараттық технологиялар бөлімшесі;

      7) қауіпсіздік бөлімшесі;

      8) қызметкерлермен жұмыс жүргізу бөлімшесі;

      9) заң бөлімшесі;

      10) өзге бөлімшелер.

      Осы тармақтың 4), 5), 6), 7), 8) және 9) тармақшаларында көрсетілген бөлімшелердің функцияларын функционалдық міндеттеріне сәйкес жауапты қызметкерлердің жүзеге асыруына рұқсат етіледі.

      23. Кредиттік бюро ақпараттық қауіпсіздікті басқару жүйесін құру және оның жұмыс істеуі кезінде ақпараттық қауіпсіздік бөлімшесінің және ақпараттық технологиялар бөлімшесінің тәуелсіздігін оларды кредиттік бюроның атқарушы органының әртүрлі мүшелеріне немесе кредиттік бюроның атқарушы органының басшысына тікелей бағынуы арқылы қамтамасыз етеді.

      24. Кредиттік бюроның басқару органы ақпараттық қауіпсіздік саясатын бекітеді.

      25. Кредиттік бюроның басқару органы қорғалатын ақпараттың тізбесін, оның ішінде қызметтік, коммерциялық немесе өзге де заңмен қорғалатын құпия болып табылатын мәліметтер туралы ақпаратты (бұдан әрі - қорғалатын ақпарат) қамтитын тізбені және қорғалатын ақпаратпен жұмыс тәртібін бекітеді.

      26. Кредиттік бюроның атқарушы органы ақпараттық қауіпсіздікті басқару процесін регламенттейтін, қайта қарау тәртібі мен кезеңділігі кредиттік бюроның ішкі құжаттарында айқындалатын ішкі құжаттарды бекітеді.

      27. Кредитік бюро алқалы органды құрады, оның құрамына ақпараттық қауіпсіздік бөлімшесінің, тәуекелдерді басқару бөлімшесінің, ақпараттық технологиялар бөлімшесінің өкілдері, сондай-ақ қажет болған кезде кредиттік бюроның басқа бөлімшелерінің өкілдері кіреді. Кредиттік бюроның атқарушы органының басшысы не кредиттік бюроның атқарушы органының ақпараттық қауіпсіздік бөлімшесінің қызметіне жетекшілік ететін мүшесі алқалы органның басшысы болып тағайындалады.

      28. Тәуекелдерді басқару бөлімшесі ақпараттық қауіпсіздік тәуекелдерін басқару процесін ұйымдастыру және үйлестіру үшін жауап береді және мынадай функцияларды жүзеге асырады:

      1) ақпараттық қауіпсіздік тәуекелдерін басқару жүйесін әзірлеу, енгізу және тұрықты дамыту;

      2) ақпараттық қауіпсіздік тәуекелдерін басқару бойынша рәсімдерді әзірлеу;

      3) ақпараттық қауіпсіздік саласындағы процестерді талдау;

      4) ақпараттық қауіпсіздік тәуекелдерінің мониторингі және бағалау.

      29. Ақпараттық қауіпсіздік бөлімшесі кредиттік бюро ақпаратының конфиденциалдылығын, тұтастығын және қолжетімділігін қамтамасыз ету мақсатында мынадай функцияларды жүзеге асырады:

      1) ақпараттық қауіпсіздікті басқару жүйесін құрады, кредиттік бюро бөлімшелерінің ақпараттық қауіпсіздікті және қауіптерді анықтау және талдау, шабуылдарға қарсы іс-қимыл жасау және ақпараттық қауіпсіздіктің оқыс оқиғаларын тергеу жөніндегі іс-шараларды қамтамасыз ету бойынша қызметін үйлестіруді және бақылауды жүзеге асырады;

      2) кредиттік бюроның ақпараттық қауіпсіздік саясатын әзірлейді;

      3) кредиттік бюроның ақпараттық қауіпсіздігін қамтамасыз ету процесін әдіснамалық қолдауды қамтамасыз етеді;

      4) өз құзыреті шегінде кредиттік бюроның ақпараттық қауіпсіздігін басқарудың, қамтамасыз етудің және бақылаудың әдістерін, құралдарын және тетіктерін таңдауды, енгізуді және қолдануды жүзеге асырады;

      5) ақпараттық қауіпсіздіктің оқыс оқиғалары туралы ақпаратты жинауды, шоғырландыруды, сақтауды және өңдеуді жүзеге асырады;

      6) ақпараттық қауіпсіздіктің оқыс оқиғалары туралы ақпаратты талдауды жүзеге асырады;

      7) алқалы органның ақпараттық қауіпсіздік жөніндегі мәселелер бойынша шешім қабылдауы үшін ұсыныстар дайындайды;

      8) кредиттік бюроның ақпараттық қауіпсіздігін қамтамасыз ету процесін автоматтандыратын бағдарламалық-техникалық құралдарын енгізуді және олардың тиісінше жұмыс істеуін, сондай-ақ оларға кіруді қамтамасыз етеді;

      9) артықшылық берілген есептік жазбаларды пайдалану бойынша шектеулерді айқындайды;

      10) кредиттік бюро қызметкерлерінің ақпараттық қауіпсіздік мәселелері жөнінде хабардар болуын қамтамасыз ету бойынша іс-шараларды ұйымдастырады және жүргізеді;

      11) кредиттік бюроның ақпараттық қауіпсіздікті басқару жүйесінің жай-күйінің мониторингін жүзеге асырады;

      12) кредиттік бюроның ақпараттық қауіпсіздікті басқару жүйесінің жай-күйі туралы кредиттік бюроның басшылығын хабардар етуді жүзеге асырады.

      30. Кредиттік бюроның ақпараттық технологиялар бөлімшесі кредиттік бюроның мыналарды:

      1) элементтерінің нақты орналасқан жерін көрсете отырып, ақпараттық инфрақұрылымының жалпы схемасын;

      2) ақпараттық инфрақұрылым тораптарының (телекоммуникациялық құрылғылардың, серверлердің және онда орналасқан операциялық жүйелердің, дерекқорларды басқару жүйелерінің және ақпараттық жүйені пайдаланушының қолданбалы бағдарламалық қамтамасыз етуінің) жауапты әкімшілерінің тізбесін айқындайтын ішкі құжаттарын әзірлейді.

      31. Кредиттік бюро ақпараттық қауіпсіздік бөлімшесіне техникалық қауіпсіздікті қамтамасыз ету бойынша функцияларды жүктеу мүмкіндігін айқындайды. Ақпараттық қауіпсіздік бөлімшесі олардың негізгі функцияларымен мүдделер қақтығысына әкелетін функцияларды жүзеге асырмайды.

      32. Кредиттік бюро ақпараттық қауіпсіздік бөлімшесінің мынадай функцияларын басқа бөлімшелерге:

      1) кредиттік бюроның ақпараттық қауіпсіздікті қамтамасыз ету процесін автоматтандыратын бағдарламалық-техникалық құралдарын енгізуді және беруді - ақпараттық технологиялар жөніндегі бөлімшеге;

      2) кредиттік бюро қызметкерлерінің ақпараттық қауіпсіздік мәселелері жөнінде хабардар болуын қамтамасыз ету бойынша іс-шараларды ұйымдастыруды және жүргізуді - қызметкерлермен жұмыс жүргізу бөлімшесіне;

      3) ақпараттық қауіпсіздік жай-күйінің бұзылуына байланысты оқиғаларды және оқыс оқиғаларды есепке алуды және өңдеуді - қауіпсіздік бөлімшесіне немесе ақпараттық технологиялар бөлімшесіне тәуелді емес, жеке бөлінген оқыс оқиғаларды өңдеу бөлімшесіне беру мүмкіндігін айқындайды.

      33. Ақпараттық технологиялар бөлімшесі мынадай функцияларды жүзеге асырады:

      1) кредиттік бюроның ақпараттық инфрақұрылымының схемаларын әзірлейді;

      2) пайдаланушыларға кредиттік бюроның ақпараттық активтеріне кіруіне рұқсатын беруді қамтамасыз етеді;

      3) кредиттік бюроның жүйелік және қолданбалы бағдарламалық қамтамасыз етуін қонфигурациялауды қамтамасыз етеді;

      4) ақпараттық инфрақұрылымның үзіліссіз жұмыс істеуі, кредиттік бюроның ақпараттық жүйелері деректерінің құпиялылығы, тұтастығы және қолжетімділігі (ақпаратты резервтеуді және (немесе) мұрағаттауды және резервтік көшіруді қоса алғанда) бойынша белгіленген талаптардың орындалуын қамтамасыз етеді;

      5) ақпараттық жүйелерді таңдау, енгізу, әзірлеу және тестілеуден өткізу кезінде ақпараттық қауіпсіздік талаптарының сақталуын қамтамасыз етеді.

      34. Қауіпсіздік бөлімшесі мынадай функцияларды жүзеге асырады:

      1) кредиттік бюрода жеке қауіпсіздік пен техникалық қауіпсіздік шараларын іске асырады, оның ішінде өткізу және объектішілік режимді ұйымдастырады;

      2) кредиттік бюроның қызметкерлерін жұмысқа қабылдаған және жұмыстан босатқан кезде ақпараттық қауіпсіздік қауіптерінің туындауы тәуекелдерін барынша азайтуға бағытталған алдын алу іс-шараларын жүргізеді.

      35. Қызметкерлермен жұмыс жүргізу бөлімшесі мынадай функцияларды жүзеге асырады:

      1) кредиттік бюро қызметкерлерінің, сондай-ақ қызмет көрсету туралы шарт бойынша жұмысқа тартылған адамдардың, стажерлардың, практиканттардың ақпаратты жария етпеу туралы міндеттемелерге қол қоюын қамтамасыз етеді;

      2) кредиттік бюро қызметкерлерінің ақпараттық қауіпсіздік саласында хабардар болуын арттыру процесін ұйымдастыруға қатысады.

      36. Кредиттік бюроның құрылымдық бөлімшелерінің басшылары:

      1) қызметкерлердің кредиттік бюроның ақпараттық қауіпсіздікке қойылатын талаптарды (бұдан әрі – ақпараттық қауіпсіздікке қойылатын талаптар) қамтитын ішкі құжаттарымен танысуын қамтамасыз етеді;

      2) олар басқаратын бөлімшелерде ақпараттық қауіпсіздікті қамтамасыз етуге дербес жауапкершілік атқарады.

      3) кредиттік бюро бөлімшесі келісімдерді, шарттарды жасасуға бастамашы болған жағдайларда конфиденциалды ақпаратты жария етпеу туралы келісімдер жасасуды және ақпараттық қауіпсіздікті қамтамасыз ету туралы талаптарды осындай келісімдерге, қызметтер көрсетуге/жұмыстарды орындауға арналған шарттарға енгізуді қамтамасыз етеді.

      Ескерту. 37-тармақ жаңа редакцияда - ҚР Қаржы нарығын реттеу және дамыту агенттігі Басқармасының 16.08.2024 № 59 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      38. Кредиттік бюро өнімдерді және қызметтерді құру, ендіру, модификациялау, клиенттерге беру кезінде ақпараттық қауіпсіздік талаптарының сақталуы үшін жауап беретін кредиттік бюроның ақпараттық жүйесінің бизнес иесін айқындайды.

      39. Кредиттік бюроның құрылымдық бөлімшелерінің қызметкерлері:

      1) кредиттік бюрода қабылданған ақпараттық қауіпсіздікке қойылатын талаптардың орындалуы үшін жауап береді;

      2) өздерінің функционалдық міндеттері шеңберінде өздері өзара іс-әрекет жасайтын үшінші тұлғалардың ақпараттық қауіпсіздік талаптарын орындауын, оның ішінде аталған талаптарды үшінші тұлғалармен жасалған шарттарға енгізу арқылы бақылайды;

      3) өзінің тікелей басшысына және ақпараттық қауіпсіздік бөлімшесіне ақпараттық активтермен жұмыс істеу кезіндегі барлық күдікті жағдайлар мен бұзушылықтар туралы хабарлайды.

2-параграф. Ақпараттық активтерге қолжетімділікті ұйымдастыруға қойылатын талаптар

      40. Қызметкерлерге ақпаратқа қолжетімділік олардың функционалдық міндеттерін орындау үшін қажетті көлемде беріледі.

      40-1. Үшінші тұлғалардың кредиттік бюросының ақпараттық активтеріне қолжетімділік Қазақстан Республикасының заңнамасында көзделген жағдайларды қоспағанда, ақпараттық қауіпсіздікке қойылатын талаптарды сақтау туралы талаптарды қамтитын келісім, шарт негізінде жүргізілетін жұмыстар айқындайтын кезеңге және көлемде беріледі. Ақпарат берушімен, кредиттік есептерді алушымен, үшінші тұлғалармен жасалатын келісімдерде, шарттарда конфиденциалдылық туралы ережелер, ақпараттық қауіпсіздіктің бұзылуы, сондай-ақ ақпараттық жүйелердің жұмысындағы іркілістер және кредиттік бюроның, ақпарат берушінің, кредиттік есептерді алушының, үшінші тұлғалардың әрекетінен немесе әрекетсіздігінен туындаған олардың қауіпсіздігінің бұзылуы салдарынан туындаған залалды өтеу туралы талаптар қамтылады.

      Ескерту. Қағидалар 40-1-тармақпен толықтырылды - ҚР Қаржы нарығын реттеу және дамыту агенттігі Басқармасының 16.08.2024 № 59 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      41. Кредиттік бюроның ақпараттық жүйесіне қолжетімділік пайдаланушыларды сәйкестендіруден және аутенфикациялаудан кейін жүзеге асырылады.

      42. Кредиттік бюроның ақпарат жүйесінің пайдаланушыларын сәйкестендіру және аутенфикациялау мынадай тәсілдерініңің бірі:

      1) "есептік жазба (сәйкестендіруші) - пароль" деген жұпты енгізу және екі факторлық бірегейлендіру тәсілдерін қолдану арқылы;

      2) биометриялық және (немесе) криптографиялық және (немесе) аппараттық аутенфикациялау тәсілдерін пайдалану арқылы жүргізіледі.

      43. Кредиттік бюроның ақпараттық жүйесінде пайдаланушылардың дербестендірілген есептік жазбалары ғана пайдаланылады.

      44. Технологиялық есептік жазбаларды пайдалануға ақпараттық қауіпсіздік бөлімшесі басшысының келісімімен ақпараттық технологиялар бөлімшесінің басшысы бекітетін, оларды пайдалануға және оның жаңартылуына дербес жауап беретін адамдарды көрсете отырып, әрбір ақпараттық жүйе үшін осындай есептік жазбалардың тізбесіне сәйкес жол беріледі.

      45. Кредитік бюроның ақпараттық жүйесінде кредиттік бюроның ішкі құжатында айқындалатын есептік жазбаларды және парольдерді басқару, сондай-ақ пайдаланушылардың есептік жазбаларын оқшаулау бойынша функциялар қолданылады.

      46. Кредиттік бюроның ақпараттық активтеріне нақты кіруді ұсыну кредитік бюроның ішкі құжаттарына сәйкес жүзеге асырылады.

3-параграф. Кредиттік бюроның ақпараттық жүйесінің ақпараттық қауіпсіздігін қамтамасыз етуге қойылатын талаптар

      47. Кредиттік бюроның ақпараттық жүйесінің ақпараттық қауіпсіздігі мыналар арқылы қамтамасыз етіледі:

      1) ақпаратты өңдеу, сақтау және беру кезінде қорғау;

      2) деректерді кредиттік бюроның тарабында резервтеу;

      3) кредиттік бюроның ақпараттық жүйесін жабдықтың іркілістері мен істен шығуынан кейін қалпына келтіру рәсімдерінің болуы;

      4) кредиттік бюро мен ақпаратты беруші және (немесе) кредиттік есептерді алушылар арасында криптографиялық қорғау трафигінің орнатылуы.

      48. Кредиттік бюро кредиттік бюроның ішкі құжаттарында белгіленген тәртіпте ақпараттық инфрақұрылымның вирусқа қарсы қорғанысын қамтамасыз етеді.

      49. Ақпараттық технологиялар бөлімшесі ақпараттық қауіпсіздік бөлімшесімен келісім бойынша ақпараттық жүйелерге өзгерістер енгізу тәртібін айқындайды.

      50. Маңызды ақауларды жоятын ақпараттық жүйелердің қауіпсіздігін жаңартулар ақпараттық қауіпсіздік бөлімшесімен келісілген жағдайларды есептемегенде, өндіруші жариялаған және таратқан күннен бастап бір айдан кешіктірмей орнатылады.

      51. Кредиттік бюроның ақпараттық жүйесін жаңартулар өнеркәсіптік ортаға орнатылғанға дейін тестілеу ортасында сынақтардан өтеді.

      52. Кредиттік бюро кредиттік бюроның ақпараттық жүйесінің деректерін, оның жұмысқа қабілетті көшірмелерін қалыпқа келтіруді қамтамасыз ететін оның файлдары мен теңшеулерін резервтік сақтауды қамтамасыз етеді.

      53. Ақпараттың резервтік көшірмесін жасау, сақтау, қалпына келтіру тәртібі мен кезеңділігі, резервтік көшірмелерден кредиттік бюроның ақпараттық жүйесінің жұмысқа қабілеттілігін қалпына келуін тестілеу кезеңділігі кредиттік бюроның ішкі құжаттарында айқындалады.

4-параграф. Кредиттік бюроның жұмыс станцияларының қорғалуын қамтамасыз ету процесіне қойылатын талаптар

      54. Кредиттік бюро кредиттік бюроның ақпараттық жүйесімен жұмыс істеу үшін қолдануға рұқсат етілген бағдарламалық қамтамасыз ету мен жабдықтардың тізбесін айқындайды.

      55. Жұмыс станцияларына кредиттік бюро қызметкерлерінің функционалдық міндеттерін орындауға арналмаған бағдарламалық қамтамасыз ету орнатылмайды.

      56. Кредиттік бюроның ішкі құжаттарында жұмыс станцияларының, сондай-ақ ақпарат тасымалдағыштар мен кредиттік бюроның ақпараттық жүйесімен жұмыс істеу үшін қолданылатын желілік ресурстардың қорғалуын қамтамасыз ететін ұйымдастыру және техникалық шаралар айқындалады.

      57. Кредиттік бюро пайдаланушыларға бағдарламалық қамтамасыз етуді, жұмыс станцияларын және перифериялық жабдықтарды өз бетінше орнатуға және теңшеуге тыйым салатын ұйымдастыру және техникалық шараларды айқындайды және енгізеді.

      58. Кредиттік бюроның пайдаланушыларына жергілікті әкімшінің құқықтары немесе оларға ұқсас құқықтар осындай құқықтар пайдаланушы орындайтын функцияларды автоматтандыратын бағдарламалық қамтамасыз етудің жұмыс істеуі үшін қажет болған жағдайларды қоспағанда, берілмейдi.

      59. Қызметтік міндеттерін орындау үшін қажетті болған жағдайларда пайдаланушылардың жеке топтарына бағдарлалық қамтамасыз ету мен жабдықты өз бетінше орнату және теңшеу құқығы беріледі. Пайдаланушылардың көрсетілген топтарына жергілікті әкімші құқықтары немесе оған ұқсас құқықтар беріледі.

      60. Талаптардың 58 және 59-тармақтарында көрсетілген пайдаланушылардың тізбесін ақпараттық қауіпсіздік бөлімшесімен келісім бойынша ақпараттық технологиялар бөлімшесінің басшысы қалыптастырады, жаңартады және бекітеді. Пайдаланушыларға Талаптардың 58 және 59-тармақтарына сәйкес қосымша құқықтар берілген жағдайда ақпараттық қауіпсіздік бөлімшесі олардың қолданылуына бақылауды жүзеге асырады.

5-параграф. Кредиттік бюроның деректерді өңдеу орталығының заттай қауіпсіздігін қамтамасыз ету процесіне қойылатын талаптар

      61. Деректерді өңдеу орталығының заттай қауіпсіздігін қамтамасыз ету тәртібі ішкі құжатпен айқындалады.

      62. Деректерді өңдеу орталығы мынадай техникалық қауіпсіздік жүйелерімен жарақталады:

      1) қолжетімділікті бақылау және басқару жүйесі;

      2) күзет сигнализациясы;

      3) өрт сигнализациясы;

      4) автоматты түрде өрт өшіру жүйесі;

      5) температура мен ылғалдылықтың берілген өлшемдерін қолдау жүйесі;

      6) бейнебақылау жүйесі;

      7) үздіксіз электр қуаты көзінің жүйесі.

      63. Деректерді өңдеу орталығына қолжетімділік тізбесін ақпараттық қауіпсіздік бөлімшесімен келісім бойынша ақпараттық технологиялар бөлімшесінің басшысы бекітетін кредиттік бюро қызметкерлеріне беріледі.

      64. Кредиттік бюро деректерді өңдеу орталығына қолжетімділікті бақылау және басқару журналын жүргізеді, ол кемінде 1 (бір) жыл сақталады.

      65. Деректерді өңдеу орталығының автоматты түрде өрт өшіру жүйесі үй-жайдың бүкіл аумағы бойынша өртті жоюды қамтамасыз етеді және оның резервтік қоры болады.

      66. Деректерді өңдеу орталығының бейнебақылау жүйесі деректерді өңдеу орталығына кіру орындарын бақылауды қамтамасыз етеді. Деректерді өңдеу орталығында бейнекамераларды орналастырып орнату деректерді өңдеу орталығының үй-жайының ішінде және оның берісінде бейнебақылаумен қамтылмаған аймақтардың болуын болдырмайды.

      67. Деректерді өңдеу орталығының бейнебақылау жүйесінің оқиғаларды жазуы толассыз немесе қозғалыс детекторын қолданумен жүргізіледі.

      68. Деректерді өңдеу орталығының бейнебақылау жүйесінің мұрағаты кемінде 3 (үш) ай сақталады.

      69. Деректерді өңдеу орталығынан тыс орналасқан серверлерге және іс-әрекеттегі желілік жабдықтарға рұқсатсыз заттай қолжетімділіктің алдын алу мақсаттарында олардың қауіпсіздігін қамтамасыз ету бойынша шаралар белгіленеді және іске асырылады.

6-параграф. Кредиттік бюродағы ақпараттық қауіпсіздіктің оқыс оқиғалар жөніндегі ақпараттың мониторингі мен өңдеу тәртібіне қойылатын талаптар

      70. Ақпараттық қауіпсіздікті қамтамасыз ету бойынша қызметтің мониторингі барысында алынған ақпараттық қауіпсіздіктің оқыс оқиғалары туралы ақпарат шоғырландырылуы және жүйеге келтірілуге тиіс.

      71. Кредиттік бюро ақпараттық қауіпсіздіктің оқыс оқиғалары туралы ақпараттың тұтастығын қамтамасыз етеді.

      72. Егер кредиттік бюро ақпараттық қауіпсіздік оқиғаларының жеке көздерінің мониторингі жұмыстан тыс уақытта қажет деп белгілесе, тәулік бойы мониторинг қызметі құрылады.

      73. Кредиттік бюро орын алған ақпараттық қауіпсіздіктің оқыс оқиғалары туралы кредиттік бюроның басшы қызметкерлері мен бөлімшелерін ақпараттандыру тәртібін айқындайды.

      74. Кредиттік бюро ақпараттық қауіпсіздіктің оқыс оқиғаларды, оның себебі мен салдарын жоюға кезек күттірмейтін шаралар қабылдау тәртібін айқындайды.

      75. Кредиттік бюрода қағаз тасымалдағышта не электрондық түрде ақпараттық қауіпсіздіктің оқыс оқиғалары, қабылданған шаралар және ұсынылатын түзету шаралары туралы ақпаратты көрсетумен ақпараттық қауіпсіздіктің оқыс оқиғаларын есепке алу журналы жүргізіледі.

      76. Ақпараттық қауіпсіздіктің оқыс оқиғаларын өңдеу нәтижелері бойынша ақпараттық қауіпсіздіктің оқыс оқиғаларының орын алу себебін, оның механизмдері мен салдарының жан-жақты талдауы жүргізіледі. Ақпараттық қауіпсіздіктің оқыс оқиғаға тартылған бағдарламалық-техникалық құралдардан техникалық деректер жинау кезінде жиналған деректердің сақталуы мен өзгерту енгізбеуді қамтамасыз етіледі.

      77. Талдау нәтижелері бойынша еркін нысанда қорытынды жасалады, онда ақпараттық қауіпсіздіктің оқыс оқиғасы туралы барлық ақпарат, сондай-ақ ақпараттық қауіпсіздіктің оқыс оқиғасының қайталануының ықтималдығы мен залалдың мүмкіндігін төмендету мақсатында түзеу шараларын қабылдау бойынша ұсыныстар дайындалады.

      78. Орын алу ықтималдығы жоғары және қысқа мерзімде төмендету мүмкін емес ақпараттық қауіпсіздіктің оқыс оқиғалары үшін кредиттік бюро ақпараттық қауіпсіздіктің мұндай оқыс оқиғаларын өңдеу алгоритмін, ақпараттық қауіпсіздіктің мұндай оқыс оқиғаларды мен олардың салдарын оқшаулау, ақпараттық қауіпсіздіктің оқыс оқиғаларын өңдеу әдістемелері бойынша кезек күттірмейтін бірыңғай шараларды сипаттайтын ішкі құжат әзірлейді.

7-параграф. Кредиттік бюролардың ақпараттық қауіпсіздігінің жай-күйі, оқиғалары мен оқыс оқиғалары туралы ақпаратты ұсынуға қойылатын талаптар

      Ескерту. 7-параграфтың тақырыбы жаңа редакцияда - ҚР Қаржы нарығын реттеу және дамыту агенттігі Басқармасының 16.08.2024 № 59 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      79. Кредиттік бюро жыл сайын, есепті жылдан кейінгі жылдың 20 қаңтарынан кешіктірмей уәкілетті органға ақпараттық қауіпсіздікті басқару жүйесінің жай-күйі және оның Талаптарға сәйкестігі туралы ақпарат ұсынады.

      Ескерту. 79-тармақ жаңа редакцияда - ҚР Қаржы нарығын реттеу және дамыту агенттігі Басқармасының 16.08.2024 № 59 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      80. Ақпараттық қауіпсіздіктің жай-күйі туралы ақпаратта:

      1) кредиттік бюроның ақпараттық қауіпсіздігін басқару жүйесінің қолданылу аясы және олардың функционалының Талаптарға сәйкестігі көрсетіле отырып оның қатысушылары;

      2) ақпараттық қауіпсіздікті басқару жүйесін құру және оның жұмыс істеуін регламенттейтін құжаттардың болуы;

      3) ақпараттық қауіпсіздікті қамтамасыз ету үшін пайдаланылатын бағдарламалық-техникалық құралдардың болуы және сандық құрамы;

      4) байланыс операторларымен жасалған қызмет көрсету туралы шарттардағы ақпараттық қауіпсіздікті қамтамасыз ету жөніндегі талаптар мен міндеттемелер;

      5) деректерді өңдеудің резервтік орталықтарының болуы, материалдық-техникалық қамтамасыз етілуі және дайындығы;

      6) кредиттік бюроның ақпараттық қауіпсіздігін және ақпараттық активтерін басқару жүйесін Талаптарға сәйкес келтіру бойынша жүргізілген іс-шаралар туралы мәліметтер қамтылады.

      Ескерту. 80-тармақ жаңа редакцияда - ҚР Қаржы нарығын реттеу және дамыту агенттігі Басқармасының 16.08.2024 № 59 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      81. Ақпараттық қауіпсіздіктің жай-күйі, ақпараттық қауіпсіздіктің оқиғалары мен оқыс оқиғалары туралы ақпарат уәкілетті органға оқиғалар мен оқыс оқиғалар туралы ақпаратты өңдеуге арналған ақпараттық қауіпсіздік және ақпараттық қауіпсіздік жүйелерімен немесе кредиттік бюро жүйелерімен біріктірілген, ұсынылатын деректердің конфиденциалдылығы мен түзету енгізбеуді қамтамасыз ететін криптографиялық қорғаныс құралдарымен ақпаратты кепілді жеткізудің транспорттық жүйесін қолданумен, ақпараттық инфрақұрылымдағы немесе электрондық форматтағы оқиғалар туралы ақпаратты нақты уақытта жинауды және талдауды жүзеге асыратын ақпаратты өңдеудің автоматтандырылған жүйесі (бұдан әрі – АӨАЖ) арқылы ұсынылады.

      Мемлекет қатысатын кредиттік бюро үшін ақпараттық қауіпсіздік оқиғалары мен оқыс оқиғалары туралы ақпаратты уәкілетті органға Қазақстан Республикасы Ұлттық Банкінің ААӨЖ-мен ықпалдастырылған ақпараттандыру объектілері арқылы беруге жол беріледі.

      Ескерту. 81-тармақ жаңа редакцияда - ҚР Қаржы нарығын реттеу және дамыту агенттігі Басқармасының 16.08.2024 № 59 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      81-1. Кредиттік бюро уәкілетті органға мынадай анықталған ақпараттық қауіпсіздік оқиғалары туралы ақпарат береді:

      1) қолданбалы және жүйелік бағдарламалық қамтылымдағы осалдықтарды пайдалану;

      2) ақпараттық жүйеге рұқсатсыз кіру;

      3) ақпараттық жүйеге немесе деректерді беру желісіне "қызмет көрсетуден бас тарту" шабуылы;

      4) серверге зиянды бағдарлама немесе код енгізу;

      5) ақпараттық қауіпсіздікті бақылауды бұзу салдарынан ақшалай қаражатты рұқсатсыз аударуды жүзеге асыру;

      6) ақпараттық жүйелердің бір сағаттан артық тоқтап қалуына әкеп соққан ақпараттық қауіпсіздіктің өзге де оқыс оқиғалары.

      Осы тармақта көрсетілген ақпараттық қауіпсіздіктің оқыс оқиғалары туралы ақпарат кредиттік бюроға ұсынылатын деректердің конфиденциалдылығын және түзету енгізбеуді қамтамасыз ететін криптографиялық қорғаныс құралдарымен ақпаратты кепілді жеткізудің транспорттық жүйесін қолданумен, АӨАЖ арқылы немесе электрондық форматта дереу беріледі.

      Мемлекет қатысатын кредиттік бюро үшін ақпараттық қауіпсіздік оқиғалары мен оқыс оқиғалары туралы ақпаратты уәкілетті органға Қазақстан Республикасы Ұлттық Банкінің ААӨЖ-мен ықпалдастырылған ақпараттандыру объектілері арқылы беруге жол беріледі.

      Ескерту. Қағидалар 81-1-тармақпен толықтырылды - ҚР Қаржы нарығын реттеу және дамыту агенттігі Басқармасының 16.08.2024 № 59 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      81-2. Ақпараттық қауіпсіздік оқиғалары туралы ақпарат АӨАЖ-дағы кредиттік бюроның ақпараттық инфрақұрылымындағы оқиғалар туралы ақпаратты нақты уақытта жинауды және талдауды жүзеге асыратын ақпараттық қауіпсіздік жүйелерінен немесе кредиттік бюро жүйелерінен беру арқылы автоматтандырылған режимде беріледі.

      Мемлекет қатысатын кредиттік бюро үшін ақпараттық қауіпсіздік оқиғалары мен оқыс оқиғалары туралы ақпаратты уәкілетті органға Қазақстан Республикасы Ұлттық Банкінің ААӨЖ-мен ықпалдастырылған ақпараттандыру объектілері арқылы беруге жол беріледі.

      Ескерту. Қағидалар 81-2-тармақпен толықтырылды - ҚР Қаржы нарығын реттеу және дамыту агенттігі Басқармасының 16.08.2024 № 59 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

8-параграф. Кредиттік бюролардың қызметтерді қашықтан көрсететін бағдарламалық қамтылымының ақпараттық қауіпсіздігін қамтамасыз етуге қойылатын талаптар

      Ескерту. Қағидалар 8-параграфпен толықтырылды - ҚР Қаржы нарығын реттеу және дамыту агенттігі Басқармасының 16.08.2024 № 59 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      81-3. Кредиттік бюроның қызметтерді қашықтан көрсететін бағдарламалық қамтылымына мыналар кіреді:

      1) веб-қосымшалар серверлерінің бағдарламалық қамтылымы (бұдан әрі – веб-қосымша);

      2) мобильдік құрылғыларға (бұдан әрі – мобильдік қосымша) арналған бағдарламалық қамтылым;

      3) бағдарламалық интерфейстер серверлерінің бағдарламалық қамтылымы (бұдан әрі – серверлік БҚ).

      81-4. Қызметтерді қашықтан көрсететін бағдарламалық қамтылымды әзірлеуді және (немесе) пысықтауды кредиттік бюроның бағдарламалық қамтылымын әзірлеу және (немесе) пысықтау тәртібін, әзірлеу кезеңдерін және олардың қатысушыларын регламенттейтін ішкі құжаттарына сәйкес кредиттік бюро жүзеге асырады.

      81-5. Егер кредиттік бюро қызметтерді қашықтан көрсететін бағдарламалық қамтылымды әзірлеу және (немесе) пысықтау тысқары ұйымға және (немесе) үшінші тұлғаға берген жағдайда, кредиттік бюро тысқары ұйымның және (немесе) үшінші тұлғаның осы тараудың және ішкі құжаттардың талаптарын орындауын қамтамасыз етеді, қызметтерді қашықтан көрсететін бағдарламалық қамтылым қауіпсіздігінің жай-күйіне жауап береді.

      81-6. Кредиттік бюрода әзірленетін қызметтерді қашықтан көрсететін бағдарламалық қамтылымның бастапқы кодтарын сақтау резервтік көшіруді қамтамасыз ете отырып, кредиттік бюроның қорғау аясында орналастырылатын код репозиторийлерін басқарудың мамандандырылған жүйелерінде жүзеге асырылады.

      81-7. Кредиттік бюрода қабылданған қызметтерді қашықтан көрсететін бағдарламалық қамтылымды әзірлеу және (немесе) пысықтау тәсіліне қарамастан, қауіпсіздікті тестілеу міндетті болып табылады, оның барысында кем дегенде мынадай іс-шаралар жүзеге асырылады:

      1) бастапқы кодты статикалық талдау;

      2) құрауыштарды және (немесе) тысқары кітапханаларды талдау.

      81-8. Кредиттік бюроның қызметтерді қашықтан көрсететін бағдарламалық қамтылымының бастапқы кодын статикалық талдау тексерілетін бағдарламалық қамтылымда қолданылатын барлық бағдарламалау тілдерін талдауды қолдайтын бастапқы кодтарды статикалық талдау сканерін қолдана отырып жүзеге асырылады, оның функциялары келесі осалдықтарды анықтауды қамтиды, бірақ олармен шектелмейді:

      1) зиянды кодты инъекциялауға мүмкіндік беретін тетіктердің болуы;

      2) бағдарламалау тілдерінің осал операторлары мен функцияларын пайдалану;

      3) әлсіз және осал криптографиялық алгоритмдерді пайдалану;

      4) белгілі бір жағдайларда қызмет көрсетуден бас тартуды немесе кредиттік бюроның қызметтерді қашықтан көрсететін бағдарламалық қамтылымының жұмысын айтарлықтай баяулатуды тудыратын кодты пайдалану;

      5) кредиттік бюроның қызметтерді қашықтан көрсететін бағдарламалық қамтылымын қорғау жүйелерін айналып өту тетіктерінің болуы;

      6) кодта құпияларды ашық түрде пайдалану;

      7) қосымшаның қауіпсіздігін қамтамасыз ету үлгілері мен практикаларын бұзу.

      81-9. Кредиттік бюроның қызметтерді қашықтан көрсететін бағдарламалық қамтылымының құрауыштарын және (немесе) тысқары кітапханаларын талдау құрауыштың және (немесе) тысқары кітапхананың пайдаланылатын нұсқасына тән белгілі осалдықтарды анықтау, сондай-ақ құрауыштар және (немесе) тысқары кітапханалар мен олардың нұсқалары арасындағы тәуелділіктерді қадағалау мақсатында жүргізіледі.

      81-10. Кредиттік бюро атқарушы орган бекіткен ішкі құжатта айқындалған тәртіппен анықталған осалдықтарды жою жөніндегі түзету шараларының іске асырылуын қамтамасыз етеді. Бұл ретте маңызды осалдықтар қызметтерді қашықтан көрсететін бағдарламалық қамтылымды және (немесе) оның жаңа нұсқаларын пайдалануға бергенге дейін жойылады.

      81-11. Кредиттік бюро ақпараттық қауіпсіздік жөніндегі бөлімшемен келісілгеннен кейін қызметтерді қашықтан көрсететін бағдарламалық қамтылымды және (немесе) оның жаңа нұсқаларын пайдалануға енгізуді жүзеге асырады.

      81-12. Кредиттік бюро соңғы 3 (үш) жыл ішінде пайдалануға берілген қызметтерді қашықтан көрсететін бағдарламалық қамтылымның бастапқы кодтарының және қауіпсіздікті тестілеу нәтижелерінің барлық нұсқаларын сақтауды және жедел режимде оларға қол жеткізуді қамтамасыз етеді.

      81-13. Қызметтерді қашықтан көрсететін бағдарламалық қамтылымның клиенттік және серверлік тараптары арасында деректер алмасу Transport Layer Security (Транспорт Лейер Секьюрити) шифрлау хаттамасының 1.2-ден төмен емес нұсқасын пайдалана отырып шифрланады.

      81-14. Клиентті мобильді қосымшада бастапқы тіркеу кезінде кредиттік бюро сәйкестендіру деректерімен алмасу орталығы (бұдан әрі - СДАО) арқылы немесе кредиттік бюро құрылғылары арқылы алынған биометриялық деректерді пайдалана отырып, Клиентті биометриялық сәйкестендіруді жүзеге асырады.

      81-15. Мобильдік қосымшаға кіру кодын (құпиясөзін) өзгерту СДАО растаған биометриялық деректерді пайдалана отырып, клиенттің биометриялық сәйкестендіруін қолдану немесе несиелік бюро құрылғылары арқылы алынған биометриялық деректерді пайдалану арқылы жүзеге асырылады.

      81-16. Қызметтерді қашықтан көрсететін бағдарламалық қамтылымда клиентті идентификаттау және бірдейлендіру кредиттік бюроның ішкі құжаттарында белгіленген қауіпсіздік рәсімдеріне сәйкес екі факторлы бірдейлендіру тәсілдерін (үш фактордың екеуін: білімін, иеленуін, ажырамастығын) пайдалана отырып жүзеге асырылады.

      81-17. Қызметтерді қашықтан көрсететін бағдарламалық қамтылымды кроссдомендік бірдейлендіру тетігі ақпараттық қауіпсіздік бөлімшесімен келісіледі.

      81-18. Веб-бағдарлама:

      1) веб-қосымшаның кредиттік бюроға тиесілігін идентификаттаудың (домендік атауы, логотиптері, корпоративтік түстері) бірегейлігін;

      2) браузердің жадында авторизациялық деректерді сақтауға тыйым салуды;

      3) енгізілген құпияларды жасыруды;

      4) веб-қосымшаны пайдалану кезінде клиенттің авторизациялау парағында ұстануға ұсынылатын кибергигиенаны қамтамасыз ету шаралары туралы хабар беруді;

      5) клиент интерфейсінде конфиденциалды деректердің көрсетілуіне жол бермей, қате туралы ең аз жеткілікті ақпарат бере отырып, қателер мен ерекшеліктерді қауіпсіз тәсілмен өңдеуді қамтамасыз етеді.

      81-19. Мобильдік қосымша:

      1) мобильдік қосымшаның кредиттік бюроға тиесілігін идентификаттаудың (ресми қосымшалар дүкеніндегі деректер, логотиптер, корпоративтік түстер) бірегейлігін;

      2) операциялық жүйенің тұтастығын бұзу және (немесе) қорғау тетіктерін айналып өту, қашықтан басқару процестерін анықтау белгілері анықталған жағдайда кредиттік бюроның қашықтан қызмет көрсету жөніндегі функционалын бұғаттауды;

      3) клиентке мобильдік қосымша жаңартуларының бар екендігі туралы хабарлауды;

      4) маңызды осалдықтарды жою қажет болған жағдайларда мобильдік қосымшаның жаңартуларын мәжбүрлеп орнату немесе оларды орнатқанға дейін мобильдік қосымшаның функционалын бұғаттау мүмкіндігін;

      5) құпия деректерді мобильдік қосымшаның қорғалған контейнерінде немесе жүйелік есептік деректер қоймасында сақтауды;

      6) құпия деректерді кэштеуді болдырмауды;

      7) мобильдік қосымшаның резервтік көшірмелерінен құпия деректерді ашық түрде алып тастауды;

      8) клиентті мобильдік қосымшаны пайдалану кезінде ұстануға ұсынылатын кибергигиенаны қамтамасыз ету әдістері туралы хабардар етуді;

      9) клиентті оның есептік жазбасындағы авторландыру оқиғалары, құпиясөзді өзгерту және (немесе) қалпына келтіру, кредиттік бюро, тіркеген ұялы телефон нөмірін өзгерту туралы хабардар етуді;

      10) ақшалай қаражатпен операцияларды жүзеге асыру барысында клиенттен рұқсат болған кезде мобильдік құрылғының геолокациялық деректерін кредиттік бюроның серверлік БҚ-ға беру не мұндай рұқсаттың жоқ екендігі туралы ақпаратты беруді қамтамасыз етеді.

      81-20. Кредиттік бюро өз тарапынан:

      1) жауапта конфиденциалды деректердің жария етілуіне жол бермей, проблеманың диагностикасы үшін ең аз жеткілікті ақпарат бере отырып, қателер мен ерекшеліктерді қауіпсіз тәсілмен өңдеуді;

      2) мобильдік қосымшаларды және олармен байланысты құрылғыларды идентификаттауды және бірдейлендіруді;

      3) жасанды сұратулар мен зиян код инъекциялары шабуылдарының алдын алу үшін деректердің жарамдылығын тексеруді қамтамасыз етеді.

4-тарау. Ақпаратты берзушілерді ұйымдастырудағы ақпараттық қауіпсіздікті қамтамасыз етуге қойылатын талаптар

      82. Ақпаратты беруші кредиттік бюроның ақпараттық жүйесіне берілетін ақпараттың тұтастығы мен конфиденциалдылығын қамтамасыз етеді.

      83. Ақпаратты беруші ақпаратты ұсыну туралы шарттың талаптарына сәйкес ақпараттық қауіпсіздіктің тиісті деңгейін қамтамасыз етеді.

      84. Ақпаратты беруші ұйымдастырушылық-техникалық, технологиялық талаптардың және кредиттік бюроның ақпараттық жүйесімен өзара әрекет ету үшін пайдаланылатын жүйелік және қолданбалы бағдарламалық қамтамасыз етудің жұмыс істеп тұруы және оны қорғау үшін қажетті шараларды орындауды қамтамасыз етеді.

      85. Кредиттік бюроның ақпараттық жүйесімен жұмыс істеу үшін жабдықты пайдалану кезінде оны рұқсатсыз қолжетімділіктен қорғау, сондай-ақ ақпарат тасымалдағыштарды және жүйелік ресурстарды қорғау қажеттілігі ескеріледі.

      86. Ақпаратты беруші операторды (операторларды) тағайындайды.

      87. Ақпаратты беруші оператордың (операторлардың) қол қойылған қызметтік міндеттерін атқару процесінде оларға мәлім болған ақпаратты жария етпеу және таратпау туралы міндеттемелерінің болуын қамтамасыз етеді.

      88. Ақпаратты беруші операторды (операторларды) тағайындау тәртібін, оның (олардың) құқықтары мен жауапкершілігін айқындайтын ішкі құжаттардың (лауазымдық нұсқаулықтарды қоса алғанда) болуын қамтамасыз етеді.

      89. Ақпаратты берушінің қызметкерлеріне функционалдық міндеттерін орындау үшін қажетті көлемде ақпаратқа қолжетімділік ұсынылады.

      90. Оператордың кредиттік бюроның ақпараттық жүйесінде сәйкестендірілетін есептік жазбасы нақты адамға тиесілі.

      91. Ақпаратты беруші уәкілетті органның сұратуы бойынша ақпаратты ұсыну туралы шартта көзделген талаптарға оның сәйкес келуін растайтын мәліметтерді ұсынады.

      92. Жұмыс станциясының операциялық жүйесі пайдаланушы сәйкестендіру және бірдейлендіру, сондай-ақ белгіленген құқықтарға сәйкес пайдаланушылардың қолжетімділік құқықтарын ажыратуды және авторизациялауды қамтамасыз етеді.

      93. Кредиттік бюроның ақпараттық жүйесіне қосылу үшін жұмыс станциясын пайдаланған кезде Интернет желісінің басқа ресурстарына бірмезгілде қосылуға болмайды.

      94. Ақпарат берушінің қызметкерлері ақпараттық жүйелерге қолжетімділік үшін пайдаланылатын жеке сәйкестендіру және бірдейлендіру деректерінің конфиденциалдылығын қамтамасыз етеді.

      95. Ақпарат берушінің қызметкерлері кредиттік бюроның ақпараттық жүйесін пайдалану процесінде оларға мәлім болған ақпараттың конфиденциалдылығын қамтамасыз етеді.

5-тарау. Кредиттік есепті алушылардың қызметін ұйымдастыру кезінде ақпараттық қауіпсіздікті қамтамасыз етуге қойылатын талаптар

      96. Кредиттік есепті алушы кредиттік бюроның ақпараттық жүйесінен алынатын ақпараттың тұтастығы мен конфиденциалдылығын қамтамасыз етеді.

      97. Кредиттік есепті алушы кредиттік есептерді алу туралы шарттың талаптарына сәйкес ақпараттық қауіпсіздіктің тиісті деңгейін қамтамасыз етеді.

      98. Кредиттік есепті алушы ұйымдастырушылық-техникалық, технологиялық талаптарды және кредиттік бюроның ақпараттық жүйесімен өзара әрекет ету және одан алынатын ақпаратты өңдеу үшін пайдаланылатын жүйелік және қолданбалы бағдарламалық қамтамасыз етудің жұмыс істеп тұруы және оны қорғау үшін қажетті шараларды орындауды қамтамасыз етеді.

      99. Кредиттік бюроның ақпараттық жүйесімен жұмыс істеу үшін жабдықты пайдалану кезінде оны рұқсатсыз қолжетімділіктен қорғау, сондай-ақ кредиттік бюроның ақпараттық жүйесімен жұмыс істеу үшін пайдаланылатын ақпарат тасымалдағыштары мен жүйелік ресурстарды қорғау қажеттілігі ескеріледі.

      100. Кредиттік есептерді алушы жауапты тұлғалардың тізбесін айқындайды және бекітеді.

      101. Кредиттік есепті алушы ұйымның жауапты тұлғасының (тұлғаларының) қол қойған қызметтік міндеттерін атқару процесінде оларға мәлім болған ақпаратты жария етпеу және таратпау туралы міндеттемелерінің болуын қамтамасыз етеді.

      102. Кредиттік есепті алушы жауапты тұлғалардың тізбесін айқындау және бекіту тәртібін, олардың құқықтары мен жауапкершілігін (лауазымдық нұсқаулықтарын қоса алғанда) айқындайтын және бекітетін ішкі құжаттардың болуын қамтамасыз етеді.

      103. Қызметкерлерге функционалдық міндеттерін орындау үшін қажетті көлемде ақпаратқа қолжетімділік ұсынылады.

      104. Жауапты тұлғаның кредиттік бюроның ақпараттық жүйесінде сәйкестендірілетін есептік жазбасы нақты адамға сәйкес келуі тиіс.

      105. Кредиттік есепті алушы жұмыс станцияларының кредиттік есепті алушының ақпараттық қауіпсіздікті реттейтін Талаптарына және ішкі құжаттарына сәйкес келуіне жоспарлы және жоспардан тыс тексеру жүргізеді.

      106. Кредиттік есепті алушы уәкілетті органның сұратуы бойынша кредиттік есептерді алу туралы шартта көзделген талаптарға оның сәйкес келуін растайтын мәліметтерді ұсынады.

      107. Жұмыс станциясының операциялық жүйесі пайдаланушыны сәйкестендіру және бірдейлендіру, сондай-ақ пайдаланушылардың қолжетімділік құқықтарын ажырату және белгіленген құқықтарға сәйкес авторизациялау функцияларын қамтамасыз етеді.

      108. Кредиттік есептерді алушы өзінің жұмыс станциясын пайдаланады.

      109. Кредиттік бюроның ақпараттық жүйесіне қосылу үшін жұмыс станциясын пайдаланған кезде Интернет желісінің басқа ресурстарына бірмезгілде қосылуға болмайды.

      110. Кредиттік есептерді алушының қызметкерлері ақпараттық жүйелерге кіру үшін пайдаланылатын дербес сәйкестендіру және бірдейлендіру деректерінің конфиденциалдығын қамтамасыз етеді.

      111. Кредиттік есептерді алушының қызметкерлері оларға кредиттік бюроның ақпараттық жүйесін пайдалану барысында белгілі болған ақпараттың конфиденциалдығын қамтамасыз етеді.

  Қазақстан Республикасы
Ұлттық Банкі Басқармасының
2018 жылғы 27 қыркүйектегі
№ 228 қаулысына
2-қосымша

Кредиттік бюролардың ақпарат берушілерге және кредиттік есептерді алушыларға қоятын талаптары

      Ескерту. Тақырып жаңа редакцияда - ҚР Қаржы нарығын реттеу және дамыту агенттігі Басқармасының 16.08.2024 № 59 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      1. Осы кредиттік бюролардың ақпарат берушілерге және кредиттік есептерді алушыларға қойылатын Талаптары (бұдан әрі – Талаптар) "Қазақстан Республикасындағы кредиттік бюролар және кредиттік тарихты қалыптастыру туралы" Қазақстан Республикасы Заңының 5-бабының 6) тармақшасына сәйкес әзірленді және жүйелендірілген белгілері "Тауарларды және көрсетiлетiн қызметтердi кредитке өткiзетiн не төлемдердiң мерзiмiн ұзартатын жеке кәсiпкерлердiң немесе заңды тұлғалардың жүйелендiрiлген белгiлерiн бекiту туралы" Қазақстан Республикасы Үкіметінің 2005 жылғы 18 қаңтардағы № 25 Қаулысында (бұдан әрі - № 25 Қаулы) айқындалатын тауарларды және көрсетiлетiн қызметтердi кредитке өткiзетiн не төлемдердiң мерзiмiн ұзартатын жеке кәсiпкерлер немесе заңды тұлға, коммуналдық қызметтерді көрсететін табиғи монополия субъектілері, ақпарат беру туралы шарттардың негізінде өзге де тұлғалар болып табылатын (бұдан әрі – ақпарат берушілер) ақпарат берушілердің, сондай-ақ жүйелендірілген белгілері № 25 қаулыда айқындалатын тауарларды және көрсетiлетiн қызметтердi кредитке өткiзетiн не төлемдердiң мерзiмiн ұзартатын жеке кәсiпкерлерлер немесе заңды тұлға, ақпарат беру туралы шарт негізінде өзге де тұлғалар, облигациялар ұстаушылардың мүдделерін білдіру туралы шарт жасалған облигациялар эмитентінің кредиттік есебіне қатысты облигациялар ұстаушылардың өкілі болып табылатын кредиттік есептерді алушылардың (бұдан әрі – кредиттік есептерді алушылар) қызметін ұйымдастыру кезінде ақпараттық-коммуникациялық технологияларды пайдалануға және ақпараттық қауіпсіздікті қамтамасыз етуге кредиттік бюролар қоятын талаптарды айқындайды.

      Ескерту. 1-тармақ жаңа редакцияда - ҚР Қаржы нарығын реттеу және дамыту агенттігі Басқармасының 16.08.2024 № 59 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      2. Кредиттік бюролар ақпарат берушілерге және кредиттік есептерді алушыларға қойылатын талаптар ақпарат беру туралы шартқа және кредиттік есептер алу туралы шартқа енгізіледі.

      3. Кредиттік бюролар ақпарат берушілердің және кредиттік есептерді алушылардың қызметін ұйымдастыру кезінде ақпараттық-коммуникациялық технологияларды пайдалануға қоятын талаптар осы қаулымен бекітілген Кредиттік бюролардың, банктер, банктік операциялардың жекелеген түрлерін жүзеге асыратын ұйымдар, микроқаржы ұйымдары және коллекторлық агенттіктер болып табылатын ақпарат берушілердің және кредиттік есептерді алушылардың қызметін ұйымдастыру кезінде ақпараттық-коммуникациялық технологияларды пайдалануға және ақпараттық қауіпсіздікті қамтамасыз етуге қойылатын Талаптардың 15, 16 және 17-тармақтарының талаптарына сәйкес келеді.

      4. Кредиттік бюролар ақпарат берушілердің және кредиттік есептерді алушылардың қызметін ұйымдастыру кезінде ақпараттық қауіпсіздікті қамтамасыз етуге қоятын талаптар осы қаулымен бекітілген Кредиттік бюролардың, банктер, банктік операциялардың жекелеген түрлерін жүзеге асыратын ұйымдар, микроқаржы ұйымдары және коллекторлық агенттіктер болып табылатын ақпарат берушілердің және кредиттік есептерді алушылардың қызметін ұйымдастыру кезінде ақпараттық-коммуникациялық технологияларды пайдалануға және ақпараттық қауіпсіздікті қамтамасыз етуге қойылатын Талаптардың 4 және 5-тарауларының талаптарына сәйкес келеді.

  Қазақстан Республикасы
Ұлттық Банкі Басқармасының
2018 жылғы 27 қыркүйектегі
№ 228 қаулысына
3-қосымша

Күші жойылды деп танылатын Қазақстан Республикасы нормативтік құқықтық актілерінің, сондай-ақ Қазақстан Республикасының кейбір нормативтік құқықтық актілері құрылымдық элементтерінің тізбесі

      1. "Кредиттік бюролардың, ақпарат берушілердің және кредиттік есептерді алушылардың қызметін ұйымдастыру кезінде ақпараттық-коммуникациялық технологияларды пайдалануға және ақпараттық қауіпсіздікті қамтамасыз етуге қойылатын талаптарды бекіту туралы" Қазақстан Республикасы Ұлттық Банкі Басқармасының 2015 жылғы 27 мамырдағы № 91 қаулысы (Нормативтік құқықтық актілерді мемлекеттік тіркеу тізілімінде № 11669 тіркелген, 2015 жылғы 30 шілдеде "Әділет" ақпараттық-құқықтық жүйесінде жарияланған).

      2. "Қазақстан Республикасының кейбір нормативтік құқықтық актілеріне рұқсат беру құжаттарын қысқарту және рұқсат беру рәсімдерін оңайлату мәселелері бойынша өзгерістер мен толықтыру енгізу туралы" Қазақстан Республикасы Ұлттық Банкі Басқармасының 2016 жылғы 30 мамырдағы № 146 қаулысының 2-тармағы (Нормативтік құқықтық актілерді мемлекеттік тіркеу тізілімінде № 14208 тіркелген, 2016 жылғы 5 қазанда "Әділет" ақпараттық-құқықтық жүйесінде жарияланған).

      3. "Кредиттік бюролардың, ақпарат жеткізушілердің және кредиттік есептерді алушылардың қызметін ұйымдастыру кезінде ақпараттық-коммуникациялық технологияларды пайдалануға және ақпараттық қауіпсіздікті қамтамасыз етуге қойылатын талаптарды бекіту туралы" Қазақстан Республикасы Ұлттық Банкі Басқармасының 2015 жылғы 27 мамырдағы № 91 қаулысына өзгерістер мен толықтыру енгізу туралы" Қазақстан Республикасы Ұлттық Банкі Басқармасының 2017 жылғы 14 маусымдағы № 102 қаулысы (Нормативтік құқықтық актілерді мемлекеттік тіркеу тізілімінде № 15608 болып тіркелген, 2017 жылғы 15 қыркүйекте Қазақстан Республикасы нормативтік құқықтық актілерінің эталондық бақылау банкінде жарияланған).