Об утверждении Требований к использованию информационно-коммуникационных технологий и обеспечению информационной безопасности при организации деятельности кредитных бюро, поставщиков информации и получателей кредитных отчетов, а также Требований, предъявляемых кредитными бюро к поставщикам информации и получателям кредитных отчетов

Постановление Правления Национального Банка Республики Казахстан от 27 сентября 2018 года № 228. Зарегистрировано в Министерстве юстиции Республики Казахстан 6 ноября 2018 года № 17702.

      Сноска. Заголовок - в редакции постановления Правления Агентства РК по регулированию и развитию финансового рынка от 16.08.2024 № 59 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      В соответствии с подпунктом 6) статьи 5 Закона Республики Казахстан "О кредитных бюро и формировании кредитных историй в Республике Казахстан" Правление Национального Банка Республики Казахстан ПОСТАНОВЛЯЕТ:

      Сноска. Преамбула - в редакции постановления Правления Агентства РК по регулированию и развитию финансового рынка от 16.08.2024 № 59 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      1. Утвердить:

      1) Требования к использованию информационно-коммуникационных технологий и обеспечению информационной безопасности при организации деятельности кредитных бюро, поставщиков информации и получателей кредитных отчетов согласно приложению 1 к настоящему постановлению;

      2) Требования, предъявляемые кредитными бюро к поставщикам информации и получателям кредитных отчетов согласно приложению 2 к настоящему постановлению.

      Сноска. Пункт 1 - в редакции постановления Правления Агентства РК по регулированию и развитию финансового рынка от 16.08.2024 № 59 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      2. Признать утратившими силу нормативные правовые акты Республики Казахстан, а также структурные элементы некоторых нормативных правовых актов Республики Казахстан по перечню согласно приложению 3 к настоящему постановлению.

      3. Управлению информационных угроз и киберзащиты (Перминов Р.В.) в установленном законодательством Республики Казахстан порядке обеспечить:

      1) совместно с Юридическим департаментом (Сарсенова Н.В.) государственную регистрацию настоящего постановления в Министерстве юстиции Республики Казахстан;

      2) в течение десяти календарных дней со дня государственной регистрации настоящего постановления его направление на казахском и русском языках в Республиканское государственное предприятие на праве хозяйственного ведения "Республиканский центр правовой информации" для официального опубликования и включения в Эталонный контрольный банк нормативных правовых актов Республики Казахстан;

      3) размещение настоящего постановления на официальном интернет-ресурсе Национального Банка Республики Казахстан после его официального опубликования;

      4) в течение десяти рабочих дней после государственной регистрации настоящего постановления представление в Юридический департамент сведений об исполнении мероприятий, предусмотренных подпунктами 2), 3) настоящего пункта и пунктом 4 настоящего постановления.

      4. Управлению по защите прав потребителей финансовых услуг и внешних коммуникаций (Терентьев А.Л.) обеспечить в течение десяти календарных дней после государственной регистрации настоящего постановления направление его копии на официальное опубликование в периодические печатные издания.

      5. Контроль за исполнением настоящего постановления возложить на заместителя Председателя Национального Банка Республики Казахстан Смолякова О.А.

      6. Настоящее постановление вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования.

      Председатель
Национального Банка
Д. Акишев

  Приложение 1
к постановлению Правления
Национального Банка
Республики Казахстан
от 27 сентября 2018 года № 228

Требования к использованию информационно-коммуникационных технологий и обеспечению информационной безопасности при организации деятельности кредитных бюро, поставщиков информации и получателей кредитных отчетов

      Сноска. Заголовок - в редакции постановления Правления Агентства РК по регулированию и развитию финансового рынка от 16.08.2024 № 59 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

Глава 1. Общие положения

      1. Настоящие Требования к использованию информационно-коммуникационных технологий и обеспечению информационной безопасности при организации деятельности кредитных бюро, поставщиков информации и получателей кредитных отчетов разработаны в соответствии с подпунктом 6) статьи 5 Закона Республики Казахстан "О кредитных бюро и формировании кредитных историй в Республике Казахстан" и устанавливают требования к использованию информационно-коммуникационных технологий и обеспечению информационной безопасности при организации деятельности кредитных бюро, банков, организаций, осуществляющих отдельные виды банковских операций, организаций, осуществляющих микрофинансовую деятельность, коллекторских агентств и сервисных компаний, осуществляющих доверительное управление правами (требованиями) по договорам банковского займа и (или) договорам о предоставлении микрокредита в рамках договора доверительного управления правами (требованиями) по договорам банковского займа и (или) договорам о предоставлении микрокредита, заключенного с банком, организацией, осуществляющей отдельные виды банковских операций, организацией, осуществляющей микрофинансовую деятельность, коллекторским агентством, дочерней организацией банка, приобретающей сомнительные и безнадежные активы родительского банка, организацией, специализирующейся на улучшении качества кредитных портфелей банков второго уровня, юридическим лицом – залогодержателем прав требования по договору о предоставлении микрокредита при выпуске микрофинансовой организацией обеспеченных облигаций или получении займов, специальной финансовой компанией, созданной в соответствии с законодательством Республики Казахстан о проектном финансировании и секьюритизации, при сделке секьюритизации, лицом, осуществляющим выкуп ипотечных займов физических лиц, не связанных с предпринимательской деятельностью, сто процентов акций которого принадлежат Национальному Банку Республики Казахстан, специальном фондом развития частного предпринимательства – по договору банковского займа, по договору о предоставлении микрокредита, заключенному в рамках сделки по финансированию субъектов частного предпринимательства путем обусловленного размещения средств в банках и организациях, осуществляющих отдельные виды банковских операций, микрофинансовых организациях, иным лицом – в отношении права (требования) по договору банковского займа, по договору о предоставлении микрокредита физического лица, связанного с осуществлением предпринимательской деятельности, или по договору банковского займа, по договору о предоставлении микрокредита юридического лица, по которому выявлены признаки обесценения в соответствии с международными стандартами финансовой отчетности, в том числе на момент приобретения или возникновения (создания) права (требования) по договору банковского займа, по договору о предоставлении микрокредита.

      Сноска. Пункт 1 - в редакции постановления Правления Агентства РК по регулированию и развитию финансового рынка от 16.08.2024 № 59 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      2. В Требованиях используются понятия, предусмотренные Законом о кредитных бюро, а также следующие понятия:

      1) поставщики информации - поставщики информации, указанные в подпункте 1) пункта 1 статьи 18 Закона о кредитных бюро;

      2) информационный актив - совокупность информации и объекта информационно-коммуникационной инфраструктуры, используемого для ее хранения и (или) обработки;

      3) информационно-коммуникационная инфраструктура (далее - информационная инфраструктура) - совокупность объектов информационной инфраструктуры, предназначенных для обеспечения функционирования технологической среды в целях формирования электронных информационных ресурсов и предоставления доступа к ним;

      4) информационная безопасность - состояние защищенности электронных информационных ресурсов, информационных систем и информационно-коммуникационной инфраструктуры от внешних и внутренних угроз;

      5) риск информационной безопасности - вероятное возникновение ущерба вследствие нарушения конфиденциальности, преднамеренного нарушения целостности или доступности информационных активов кредитного бюро;

      6) обеспечение информационной безопасности - процесс, направленный на поддержание состояния конфиденциальности, целостности и доступности информационных активов кредитного бюро;

      7) инцидент информационной безопасности - отдельно или серийно возникающие сбои в работе информационной инфраструктуры или отдельных ее объектов, создающие угрозу их надлежащему функционированию и (или) условия для незаконного получения, копирования, распространения, модификации, уничтожения или блокирования электронных информационных ресурсов кредитного бюро;

      8) привилегированная учетная запись - учетная запись в информационной системе, обладающая привилегиями создания, удаления и изменения прав доступа других учетных записей;

      9) аудиторский след - хронологическая последовательность записей, которые содержат доказательства изменения данных в результате выполнения функции информационной системы;

      10) аутентификация - подтверждение подлинности субъекта или объекта доступа к информационной системе путем определения соответствия предъявленных реквизитов доступа;

      11) бизнес-процесс - совокупность взаимосвязанных мероприятий или задач, направленных на создание определенного продукта или услуги для внешнего (клиент) или внутреннего (работник, подразделение кредитного бюро, другой бизнес-процесс) потребителя;

      12) виртуальная среда - вычислительные ресурсы или их логическое объединение, абстрагированное от аппаратной реализации, обеспечивающие логическую изоляцию друг от друга вычислительных процессов, выполняемых на одном физическом ресурсе;

      13) центр обработки данных - специально выделенное помещение, в котором размещено серверное и коммуникационное оборудование информационной инфраструктуры кредитного бюро. Центр обработки данных подразделяется на основной и резервный;

      14) ответственное лицо - работник получателя кредитных отчетов, имеющий доступ к кредитным отчетам;

      15) рабочая станция - персональный компьютер, используемый для доступа к информационной системе кредитного бюро;

      16) бизнес-владелец информационной системы кредитного бюро - подразделение (работник) кредитного бюро, являющееся (являющийся) владельцем основного бизнес-процесса, который автоматизирует информационная система кредитного бюро;

      17) получатели кредитных отчетов - получатели кредитных отчетов, указанные в подпункте 1) части первой пункта 1 статьи 20 Закона о кредитных бюро;

      18) доступ - возможность использования информационных активов;

      19) оператор - работник, отвечающий за корректность ввода информации в информационную систему кредитного бюро;

      20) резервная копия - копия данных на носителе информации, предназначенная для восстановления данных в оригинальном или новом месте их расположения в случае необходимости;

      21) обеспечение технической безопасности - процесс обеспечения безопасности кредитного бюро с использованием технических средств (системы охранной и пожарной сигнализации, контроля и управления доступом, видеонаблюдения, пожаротушения, контроля температурного режима и влажности в центре обработки данных);

      22) технологическая учетная запись - учетная запись в информационной системе, предназначенная для аутентификации между информационными системами;

      23) корректирующая мера - набор организационных и технических мероприятий, направленных на исправление существующей проблемы в процессе обеспечения информационной безопасности либо последствий ее нарушения;

      24) уполномоченный орган - уполномоченный орган по регулированию, контролю и надзору финансового рынка и финансовых организаций.

Глава 2. Требования к использованию информационно-коммуникационных технологий

      3. Кредитное бюро осуществляет разработку информационной системы (далее – информационная система кредитного бюро), обеспечивающей:

      1) получение информации от поставщика информации;

      2) формирование базы данных кредитных историй;

      3) формирование, выдачу и хранение кредитных отчетов;

      4) идентификацию и аутентификацию пользователей информационной системы кредитного бюро;

      5) ведение аудиторского следа информационной системы кредитного бюро.

      4. Информационная система кредитного бюро соответствует следующим требованиям:

      1) осуществление разработки, внедрения и сопровождения информационной системы кредитного бюро (или адаптация готового продукта) на основании технического задания и в соответствии с внутренними документами кредитного бюро, регламентирующими этапы и порядок разработки, внесения изменений, тестирования, приема и ввода в промышленную эксплуатацию, а также документирование всех этапов;

      2) обеспечение разграничения прав доступа пользователей информационной системы кредитного бюро;

      3) обеспечение управления учетными записями информационной системы кредитного бюро;

      4) обеспечение информационной безопасности защищаемых данных информационной системы кредитного бюро.

      5. Кредитное бюро обеспечивает наличие и разделение сред разработки, тестирования и промышленной эксплуатации информационной системы кредитного бюро таким образом, чтобы изменения, внесенные в информационную систему кредитного бюро в любой из этих сред, не оказывали влияния на информационную систему кредитного бюро, расположенную в другой среде. Разработка и доработка информационной системы кредитного бюро не осуществляется в среде промышленной эксплуатации.

      6. Сторонние организации и работники подразделения по информационным технологиям, осуществляющие разработку программного обеспечения, не имеют доступ к переносу изменений информационной системы кредитного бюро в среде промышленной эксплуатации, а также не имеют администраторский доступ к информационной системе кредитного бюро в среде промышленной эксплуатации.

      7. Перед вводом информационной системы кредитного бюро в промышленную эксплуатацию настройки, установленные в ней по умолчанию, изменяются на настройки, соответствующие требованиям к информационной безопасности, определенным внутренними документами кредитного бюро. Указанные настройки включают замену паролей, используемых при тестировании, а также удаление всех тестовых учетных записей.

      8. Исходные коды (при наличии) и исполняемые модули информационной системы кредитного бюро хранятся в защищенном хранилище программного обеспечения, которое ведется в пригодном для их восстановления виде.

      9. В информационной системе кредитного бюро обеспечивается ведение аудиторского следа, который отражает следующее:

      1) события установления соединений, идентификации, аутентификации и авторизации (успешные и неуспешные);

      2) события изменения хранящихся данных;

      3) события модификации настроек безопасности;

      4) события модификации групп пользователей и их полномочий;

      5) события модификации учетных записей пользователей и их полномочий;

      6) события, отражающие установку обновлений и (или) изменений в информационной системе;

      7) события изменения параметров ведения аудиторского следа;

      8) события изменений системных параметров.

      10. Формат аудиторского следа включает следующую информацию:

      1) идентификатор (логин) пользователя, совершившего действие;

      2) дата и время совершения действия;

      3) наименования объектов, с которыми проводилось действие;

      4) тип или название совершенного действия администратора или конечного пользователя информационной системы;

      5) результат действия (успешно или не успешно).

      11. Срок хранения аудиторского следа составляет не менее 3 (трех) месяцев в оперативном доступе и не менее 1 (одного) года в архивном доступе. Допускается хранение аудиторского следа в специализированной информационной системе хранения, обработки и анализа событий.

      12. Кредитное бюро обеспечивает неизменность аудиторского следа как организационными, так и техническими средствами. Администраторам информационной системы предоставляется доступ только на перенос журналов аудиторского следа в архив.

      13. Центр обработки данных кредитного бюро соответствует следующим требованиям:

      1) система бесперебойного электроснабжения обеспечивается двумя или более независимыми вводами электрических сетей, а также автоматически подключаемыми резервными устройствами питания, обеспечивающими автономное электроснабжение в течение не менее двадцати четырех часов;

      2) наличие двух или более каналов передачи данных от независимых провайдеров телекоммуникационных услуг, подведенных в здание разными путями, в основном центре обработки данных, а также не менее двух каналов связи в резервном центре обработки данных. Пропускная способность каналов связи обеспечивает предоставление услуг в соответствии с условиями договоров о предоставлении информации и договоров о получении кредитных отчетов.

      14. Кредитное бюро в целях обеспечения устойчивого функционирования информационной системы кредитного бюро соблюдает следующие требования:

      1) информационная система кредитного бюро функционирует на серверной системе, обеспечивающей возможность проведения профилактических работ без прерывания функционирования ее основных сервисов. При использовании технологий виртуализации аппаратных мощностей, виртуальные основные и резервные серверы подлежат размещению на раздельных физических серверах;

      2) резервный центр обработки данных кредитного бюро размещается вне местонахождения кредитного бюро и обеспечивает восстановление работы информационной системы кредитного бюро в срок, не превышающий двенадцати часов с момента прекращения работы основного центра обработки данных.

      15. Поставщик информации при подключении к информационной системе кредитного бюро использует рабочую станцию:

      1) соответствующую требованиям кредитного бюро, отраженным в договоре о предоставлении информации;

      2) защищенную лицензионным антивирусным программным обеспечением с актуальными антивирусными базами.

      16. Получатель кредитных отчетов при подключении к информационной системе кредитного бюро:

      1) обеспечивает наличие одной или нескольких рабочих станций, используемых для подключения только к информационной системе кредитного бюро;

      2) обеспечивает защиту рабочих станций лицензионным антивирусным программным обеспечением с актуальными антивирусными базами.

      17. В случае автоматизации процессов передачи информации поставщиком информации кредитному бюро и передачи кредитных отчетов кредитным бюро получателю кредитных отчетов, требования пунктов 15 и 16 Требований не распространяются на поставщиков информации и получателей кредитных отчетов.

Глава 3. Требования к обеспечению информационной безопасности при организации деятельности кредитных бюро

Параграф 1. Требования к организации системы управления информационной безопасностью

      18. Кредитное бюро обеспечивает информационную безопасность защищенной информации при ее получении, хранении и обработке, а также при подготовке и выдаче кредитных отчетов.

      19. Кредитное бюро обеспечивает создание и функционирование системы управления информационной безопасностью, являющейся частью общей системы управления кредитного бюро, предназначенной для управления процессом обеспечения информационной безопасности.

      20. Система управления информационной безопасностью обеспечивает защиту информационных активов кредитного бюро, допускающую минимальный уровень потенциального ущерба для бизнес-процессов кредитного бюро.

      21. Кредитное бюро в целях обеспечения надлежащего уровня системы управления информационной безопасностью, ее развития и улучшения, обеспечивает наличие внутренних документов, определяющих:

      1) политику информационной безопасности, включающую:

      цели, задачи и основные принципы построения системы управления информационной безопасностью;

      область действия системы управления информационной безопасностью;

      ответственность в рамках системы управления информационной безопасностью;

      распространение и обеспечение доступности политики информационной безопасности;

      условия к пересмотру политики информационной безопасности;

      2) правила управления информационными активами, включающие:

      основные требования к информации с указанием уровней конфиденциальности;

      требование по маркировке и паспортизации активов;

      порядок обращения с информацией с учетом уровней конфиденциальности;

      3) порядок резервного копирования (архивирования), включающий:

      требования к резервному и архивному копированию;

      порядок тестирования резервных копий;

      4) методику оценки и управления рисками информационной безопасности, включающую:

      процесс оценки и обработки рисков информационной безопасности;

      критерии приемлемости рисков информационной безопасности;

      план обработки рисков информационной безопасности;

      отчет об оценке и обработке рисков информационной безопасности;

      5) процедуры по ограничению доступа и обязанности пользователей информационной системы (операторов, администраторов информационных систем), включающие:

      порядок прекращения или изменения функциональных обязанностей, включающий требования о неразглашении конфиденциальной информации после завершения действия трудового договора;

      порядок обучения и повышения осведомленности;

      порядок контроля доступа к информации, информационным системам, сетям, сервисам, оборудованию и в помещения;

      условия регулярного пересмотра прав доступа;

      требование к управлению пользовательскими и привилегированными правами доступа;

      порядок технической реализации предоставления, изменения, удаления прав доступа;

      6) порядок работы с информационной системой кредитного бюро, включающий:

      процедуры разработки и управления изменениями информационной системы кредитного бюро;

      права и обязанности операторов и администраторов информационной системы кредитного бюро;

      7) процедуры управления инцидентами информационной безопасности, включающие:

      классификацию инцидентов, порядок оповещения об инцидентах с указанием лиц, подлежащих оповещению;

      порядок реагирования и обработки инцидентов;

      правила защиты информационных активов от вредоносного программного обеспечения.

      22. Участниками системы управления информационной безопасностью кредитного бюро являются:

      1) орган управления;

      2) исполнительный орган;

      3) коллегиальный орган, уполномоченный принимать решения по задачам обеспечения информационной безопасности (далее – коллегиальный орган);

      4) подразделение по управлению рисками;

      5) подразделение по информационной безопасности;

      6) подразделение по информационным технологиям;

      7) подразделение по безопасности;

      8) подразделение по работе с персоналом;

      9) юридическое подразделение;

      10) иные подразделения.

      Допускается осуществление функций подразделений, указанных в подпунктах 4), 5), 6), 7), 8) и 9) настоящего пункта, ответственными работниками в соответствии с их функциональными обязанностями.

      23. Кредитное бюро при создании и функционировании системы управления информационной безопасностью обеспечивает независимость подразделений по информационной безопасности и подразделения по информационным технологиям посредством их подчинения разным членам исполнительного органа кредитного бюро или напрямую руководителю исполнительного органа кредитного бюро.

      24. Орган управления кредитного бюро утверждает политику информационной безопасности.

      25. Орган управления кредитного бюро утверждает перечень защищаемой информации, включающий в том числе информацию о сведениях, составляющих служебную, коммерческую или иную охраняемую законом тайну (далее – защищаемая информация), и порядок работы с защищаемой информацией.

      26. Исполнительный орган кредитного бюро утверждает внутренние документы, регламентирующие процесс управления информационной безопасностью, порядок и периодичность пересмотра которых определяется внутренними документами кредитного бюро.

      27. Кредитное бюро создает коллегиальный орган, в состав которого входят представители подразделения по информационной безопасности, подразделения по управлению рисками, подразделения по информационным технологиям, а также при необходимости представители других подразделений кредитного бюро. Руководителем коллегиального органа назначается руководитель исполнительного органа кредитного бюро либо член исполнительного органа кредитного бюро, курирующий деятельность подразделения по информационной безопасности.

      28. Подразделение по управлению рисками отвечает за организацию и координацию процесса управления рисками информационной безопасности и осуществляет следующие функции:

      1) разработка, внедрение и постоянное развитие системы управления рисками информационной безопасности;

      2) разработка процедур по управлению рисками информационной безопасности;

      3) анализ процессов в области информационной безопасности;

      4) мониторинг и оценка уровня рисков информационной безопасности.

      29. Подразделение по информационной безопасности в целях обеспечения конфиденциальности, целостности и доступности информации кредитного бюро осуществляет следующие функции:

      1) организует систему управления информационной безопасностью, осуществляет координацию и контроль деятельности подразделений кредитного бюро по обеспечению информационной безопасности и мероприятий по выявлению и анализу угроз, противодействию атакам и расследованию инцидентов информационной безопасности;

      2) разрабатывает политику информационной безопасности кредитного бюро;

      3) обеспечивает методологическую поддержку процесса обеспечения информационной безопасности кредитного бюро;

      4) осуществляет выбор, внедрение и применение методов, средств и механизмов управления, обеспечения и контроля информационной безопасности кредитного бюро, в рамках своих полномочий;

      5) осуществляет сбор, консолидацию, хранение и обработку информации об инцидентах информационной безопасности;

      6) осуществляет анализ информации об инцидентах информационной безопасности;

      7) подготавливает предложения для принятия коллегиальным органом решения по вопросам информационной безопасности;

      8) обеспечивает внедрение, надлежащее функционирование программно-технических средств, автоматизирующих процесс обеспечения информационной безопасности кредитного бюро, а также предоставление доступа к ним;

      9) определяет ограничения по использованию привилегированных учетных записей;

      10) организует и проводит мероприятия по обеспечению осведомленности работников кредитного бюро в вопросах информационной безопасности;

      11) осуществляет мониторинг состояния системы управления информационной безопасностью кредитного бюро;

      12) осуществляет информирование руководства кредитного бюро о состоянии системы управления информационной безопасностью кредитного бюро.

      30. Подразделение по информационным технологиям кредитного бюро разрабатывает внутренние документы определяющие:

      1) общую схему информационной инфраструктуры с указанием физического расположения ее элементов;

      2) перечень ответственных администраторов узлов информационной инфраструктуры (телекоммуникационных устройств, серверов и размещенных на них операционных систем, систем управления базами данных и прикладного программного обеспечения пользователя информационной системы).

      31. Кредитное бюро определяет возможность возложения на подразделение по информационной безопасности функций по обеспечению технической безопасности. Подразделение по информационной безопасности не осуществляет функции, влекущие конфликт интересов с их основными функциями.

      32. Кредитное бюро определяет возможность делегирования другим подразделениям следующих функций подразделения по информационной безопасности:

      1) внедрение и администрирование программно-технических средств, автоматизирующих процесс обеспечения информационной безопасности кредитного бюро – подразделению по информационным технологиям;

      2) организация и проведение мероприятий по обеспечению осведомленности работников кредитного бюро в вопросах информационной безопасности – подразделению по работе с персоналом;

      3) учет и обработка событий и инцидентов информационной безопасности, связанных с нарушениями состояния информационной безопасности – подразделению по безопасности или иному подразделению, независимому от подразделения по информационным технологиям.

      33. Подразделение по информационным технологиям осуществляет следующие функции:

      1) разрабатывает схемы информационной инфраструктуры кредитного бюро;

      2) обеспечивает предоставление доступа пользователям к информационным активам кредитного бюро;

      3) обеспечивает конфигурирование системного и прикладного программного обеспечения кредитного бюро;

      4) обеспечивает исполнение установленных внутренними документами кредитного бюро требований по непрерывности функционирования информационной инфраструктуры, конфиденциальности, целостности и доступности данных информационных систем кредитного бюро (включая резервирование и (или) архивирование и резервное копирование информации);

      5) обеспечивает соблюдение требований информационной безопасности при выборе, внедрении, разработке и тестировании информационных систем.

      34. Подразделение по безопасности осуществляет следующие функции:

      1) реализует меры физической и технической безопасности в кредитном бюро, в том числе организует пропускной и внутриобъектовый режим;

      2) проводит профилактические мероприятия, направленные на минимизацию рисков возникновения угроз информационной безопасности при приеме на работу и увольнении работников кредитного бюро.

      35. Подразделение по работе с персоналом осуществляет следующие функции:

      1) обеспечивает подписание работниками кредитного бюро, а также лицами, привлеченными к работе по договору об оказании услуг, стажерами, практикантами обязательств о неразглашении конфиденциальной информации;

      2) участвует в организации процесса повышения осведомленности работников кредитного бюро в области информационной безопасности.

      36. Юридическое подразделение осуществляет правовую экспертизу внутренних документов кредитного бюро по вопросам обеспечения информационной безопасности.

      37. Руководители структурных подразделений кредитного бюро:

      1) обеспечивают ознакомление работников с внутренними документами кредитного бюро, содержащими требования к информационной безопасности (далее – требования к информационной безопасности);

      2) несут персональную ответственность за обеспечение информационной безопасности в возглавляемых ими подразделениях;

      3) обеспечивают заключение соглашений о неразглашении конфиденциальной информации и включение условий об обеспечении информационной безопасности в соглашения, договоры на оказание услуг/выполнение работ в случаях, когда подразделение кредитного бюро выступает инициатором заключения таких соглашений, договоров.

      Сноска. Пункт 37 - в редакции постановления Правления Агентства РК по регулированию и развитию финансового рынка от 16.08.2024 № 59 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      38. Кредитное бюро определяет бизнес-владельца информационной системы кредитного бюро, который отвечает за соблюдение требований к информационной безопасности при создании, внедрении, модификации, предоставлении клиентам продуктов и услуг.

      39. Работники структурных подразделений кредитного бюро:

      1) отвечают за соблюдение требований к информационной безопасности, принятых в кредитном бюро;

      2) контролируют исполнение требований к информационной безопасности третьими лицами, с которыми они взаимодействуют в рамках своих функциональных обязанностей, в том числе путем включения указанных требований в договоры с третьими лицами;

      3) извещают своего непосредственного руководителя и подразделение по информационной безопасности обо всех подозрительных ситуациях и нарушениях при работе с информационными активами.

Параграф 2. Требования к организации доступа к информационным активам

      40. Доступ к информации предоставляется работникам в объеме, необходимом для исполнения их функциональных обязанностей.

      40-1. Доступ к информационным активам кредитного бюро третьих лиц предоставляется на период и в объеме, определяемыми проводимыми работами на основании соглашения, договора, включающего условия о соблюдении требований к информационной безопасности, за исключением случаев, предусмотренных законодательством Республики Казахстан. В соглашениях, договорах, заключаемых с поставщиком информации, получателем кредитных отчетов, третьими лицами, содержатся положения о конфиденциальности, условия о возмещении ущерба, возникшего вследствие нарушения информационной безопасности, а также сбоев в работе информационных систем и нарушения их безопасности, вызванных действием или бездействием кредитного бюро, поставщика информации, получателя кредитных отчетов, третьих лиц.

      Сноска. Параграф 2 дополнен пунктом 40-1 в соответствии с постановлением Правления Агентства РК по регулированию и развитию финансового рынка от 16.08.2024 № 59 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      41. Доступ к информационной системе кредитного бюро осуществляется после идентификации и аутентификации пользователей.

      42. Идентификация и аутентификация пользователей информационной системы кредитного бюро производится одним из следующих способов:

      1) посредством ввода пары "учетная запись (идентификатор) – пароль" и с применением способов двухфакторной аутентификации;

      2) с использованием способов биометрической и (или) криптографической и (или) аппаратной аутентификации.

      43. В информационной системе кредитного бюро используются только персонализированные пользовательские учетные записи.

      44. Использование технологических учетных записей допускается в соответствии с перечнем таких учетных записей для каждой информационной системы с указанием лиц, персонально ответственных за их использование и актуальность, утверждаемым руководителем подразделения по информационным технологиям по согласованию с руководителем подразделения по информационной безопасности.

      45. В информационной системе кредитного бюро применяются функции по управлению учетными записями и паролями, а также блокировке учетных записей пользователей, определяемые внутренним документом кредитного бюро.

      46. Предоставление физического доступа к информационным активам кредитного бюро осуществляется в соответствии с внутренними документами кредитного бюро.

Параграф 3. Требования к обеспечению информационной безопасности информационной системы кредитного бюро

      47. Информационная безопасность информационной системы кредитного бюро обеспечивается путем:

      1) защиты информации при ее обработке, хранении и передаче;

      2) резервирования данных на стороне кредитного бюро;

      3) наличия процедур восстановления информационной системы кредитного бюро после сбоев и отказов оборудования;

      4) установления криптографической защиты трафика между кредитным бюро и поставщиком информации и (или) получателем кредитных отчетов.

      48. Кредитное бюро обеспечивает антивирусную защиту информационной инфраструктуры в порядке, установленном внутренним документом кредитного бюро.

      49. Подразделение по информационным технологиям определяет порядок внесения изменений информационных систем по согласованию с подразделением по информационной безопасности.

      50. Обновления безопасности информационных систем, устраняющие критичные уязвимости, устанавливаются не позднее одного месяца со дня их публикации и распространения производителем, за исключением случаев, согласованных с подразделением по информационной безопасности.

      51. Обновления информационной системы кредитного бюро до установки в промышленную среду проходят испытания в тестовой среде.

      52. Кредитное бюро обеспечивает резервное хранение данных информационной системы кредитного бюро, ее файлов и настроек, которое обеспечивает восстановление ее работоспособной копии.

      53. Порядок и периодичность резервного копирования, хранения, восстановления информации, периодичность тестирования восстановления работоспособности информационной системы кредитного бюро из резервных копий определяются внутренним документом кредитного бюро.

Параграф 4. Требования к процессу обеспечения защиты рабочих станций кредитного бюро

      54. Кредитным бюро определяется перечень программного обеспечения и оборудования, разрешенных к использованию для работы с информационной системой кредитного бюро.

      55. На рабочие станции не устанавливается программное обеспечение, не предназначенное для исполнения функциональных обязанностей работников кредитного бюро.

      56. Внутренними документами кредитного бюро определяются организационные и технические меры, обеспечивающие защиту рабочих станций, а также носителей информации и сетевых ресурсов, используемых для работы с информационной системой кредитного бюро.

      57. В кредитном бюро определяются и внедряются организационные и технические меры, запрещающие пользователям проводить самостоятельно установку и настройку программного обеспечения, рабочих станций и периферийного оборудования.

      58. Пользователям информационной системы кредитного бюро не предоставляются права локального администратора или аналогичные им права, за исключением случаев, когда такие права необходимы для функционирования программного обеспечения, автоматизирующего функции, исполняемые пользователями.

      59. Отдельным группам пользователей предоставляется право самостоятельной установки и настройки программного обеспечения и оборудования в случаях, когда это необходимо для исполнения служебных обязанностей. Указанным группам пользователей предоставляются права локального администратора или аналогичные им права.

      60. Перечень пользователей, указанных в пунктах 58 и 59 Требований, формируется, актуализируется и утверждается руководителем подразделения по информационным технологиям по согласованию с подразделением по информационной безопасности. В случае предоставления пользователям дополнительных прав в соответствии с пунктами 58 и 59 Требований подразделение по информационной безопасности осуществляет контроль их использования.

Параграф 5. Требования к процессу обеспечения физической безопасности центров обработки данных кредитных бюро

      61. Порядок обеспечения физической безопасности центров обработки данных определяется внутренним документом.

      62. Центр обработки данных оснащается следующими системами технической безопасности:

      1) система контроля и управления доступом;

      2) охранная сигнализация;

      3) пожарная сигнализация;

      4) система автоматического пожаротушения;

      5) система поддержания заданных параметров температуры и влажности;

      6) система видеонаблюдения;

      7) система бесперебойного электропитания.

      63. Доступ в центр обработки данных предоставляется работникам кредитного бюро, перечень которых утверждается руководителем подразделения по информационным технологиям по согласованию с подразделением по информационной безопасности.

      64. Кредитное бюро ведет журнал системы контроля и управления доступом в центр обработки данных, который хранится не менее 1 (одного) года.

      65. Система автоматического пожаротушения центра обработки данных обеспечивает устранение возгорания по всему объему помещения и имеет резервный запас.

      66. Система видеонаблюдения центра обработки данных обеспечивает наблюдение за всеми входами в центр обработки данных. В центре обработки данных расстановка видеокамер исключает наличие зон внутри помещения центра обработки данных и перед его входом, не покрытых видеонаблюдением.

      67. Запись событий системой видеонаблюдения центра обработки данных ведется непрерывно или с использованием детектора движения.

      68. Архив системы видеонаблюдения центра обработки данных хранится не менее 3 (трех) месяцев.

      69. В целях предотвращения несанкционированного физического доступа к серверам и активному сетевому оборудованию, находящемуся вне центра обработки данных, внутренними документами кредитного бюро определяются меры по обеспечению их безопасности.

Параграф 6. Требования к порядку мониторинга и обработки информации об инцидентах информационной безопасности в кредитных бюро

      70. Информация об инцидентах информационной безопасности, полученная в ходе мониторинга деятельности по обеспечению информационной безопасности, подлежит консолидации и систематизации.

      71. Кредитное бюро обеспечивает целостность информации об инцидентах информационной безопасности.

      72. В случае, если кредитным бюро определена необходимость мониторинга отдельных источников событий информационной безопасности во внерабочее время, создается круглосуточная служба мониторинга.

      73. Кредитным бюро определяется порядок информирования о произошедшем инциденте информационной безопасности руководящих работников и подразделений кредитного бюро.

      74. Кредитным бюро определяется порядок принятия неотложных мер к устранению инцидента информационной безопасности, его причин и последствий.

      75. В кредитном бюро ведется журнал учета инцидентов информационной безопасности с отражением информации об инциденте информационной безопасности, принятых мерах и предлагаемых корректирующих мерах, на бумажном носителе либо в электронном виде.

      76. По результатам обработки инцидента информационной безопасности кредитным бюро проводится всесторонний анализ причин возникновения инцидента информационной безопасности, его механизма и последствий. При сборе технических данных с программно-технических средств, вовлеченных в инцидент информационной безопасности, обеспечивается сохранность и неизменность собранных данных.

      77. Информация об инциденте информационной безопасности, а также предложения по принятию корректирующих мер в целях снижения вероятности и возможного ущерба от повторного инцидента информационной безопасности хранятся в кредитном бюро.

      78. Для инцидентов информационной безопасности, вероятность возникновения которых высока и не может быть снижена в короткие сроки, кредитным бюро разрабатываются внутренние документы, описывающие алгоритм обработки данных инцидентов информационной безопасности, типовых неотложных мер по локализации инцидентов информационной безопасности и их последствий, методов обработки инцидентов информационной безопасности.

Параграф 7. Требования к предоставлению информации о состоянии системы управления информационной безопасностью, событиях и инцидентах информационной безопасности кредитных бюро

      Сноска. Заголовок параграфа 7 - в редакции постановления Правления Агентства РК по регулированию и развитию финансового рынка от 16.08.2024 № 59 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      79. Кредитное бюро ежегодно, не позднее 20 января года, следующего за отчетным годом, представляет в уполномоченный орган информацию о состоянии системы управления информационной безопасностью и ее соответствии Требованиям.

      Сноска. Пункт 79 - в редакции постановления Правления Агентства РК по регулированию и развитию финансового рынка от 16.08.2024 № 59 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      80. Информация о состоянии системы управления информационной безопасностью включает сведения о (об):

      1) сфере действия системы управления информационной безопасностью кредитного бюро и ее участниках с указанием соответствия их функционала Требованиям;

      2) наличии документов, регламентирующих создание и функционирование системы управления информационной безопасностью;

      3) наличии и количественном составе программно-технических средств, используемых для обеспечения информационной безопасности;

      4) имеющихся в договорах о предоставлении услуг, заключенных с операторами связи, условиях и обязательствах по обеспечению информационной безопасности;

      5) наличии, материально-технической обеспеченности и готовности резервных центров обработки данных;

      6) проведенных мероприятиях по приведению системы управления информационной безопасностью и информационных активов кредитного бюро в соответствие с Требованиями.

      Сноска. Пункт 80 - в редакции постановления Правления Агентства РК по регулированию и развитию финансового рынка от 16.08.2024 № 59 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      81. Информация о состоянии системы управления информационной безопасностью, событиях и инцидентах информационной безопасности представляется в уполномоченный орган посредством автоматизированной системы обработки информации (далее – АСОИ), предназначенной для обработки информации о событиях и инцидентах информационной безопасности и интегрированной с системами информационной безопасности или системами кредитного бюро, осуществляющими в реальном времени сбор и анализ информации о событиях в информационной инфраструктуре или в электронном формате с использованием транспортной системы гарантированной доставки информации с криптографическими средствами защиты, обеспечивающей конфиденциальность и некорректируемость представляемых данных.

      Для кредитного бюро с государственным участием допускается представление информации о событиях и инцидентах информационной безопасности в уполномоченный орган посредством объектов информатизации Национального Банка Республики Казахстан, интегрированных с АСОИ.

      Сноска. Пункт 81 - в редакции постановления Правления Агентства РК по регулированию и развитию финансового рынка от 16.08.2024 № 59 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      81-1. Кредитное бюро предоставляет в уполномоченный орган информацию о следующих выявленных инцидентах информационной безопасности:

      1) эксплуатация уязвимостей в прикладном и системном программном обеспечении;

      2) несанкционированный доступ в информационную систему;

      3) атака "отказ в обслуживании" на информационную систему или сеть передачи данных;

      4) заражение сервера вредоносной программой или кодом;

      5) совершение несанкционированного перевода денежных средств вследствие нарушения контролей информационной безопасности;

      6) иных инцидентах информационной безопасности, повлекших простои информационных систем более одного часа.

      Информация об инцидентах информационной безопасности, указанных в настоящем пункте, предоставляется незамедлительно кредитным бюро посредством АСОИ или в электронном формате с использованием транспортной системы гарантированной доставки информации с криптографическими средствами защиты, обеспечивающей конфиденциальность и некорректируемость представляемых данных.

      Для кредитного бюро с государственным участием допускается представление информации о событиях и инцидентах информационной безопасности в уполномоченный орган посредством объектов информатизации Национального Банка Республики Казахстан, интегрированных с АСОИ.

      Сноска. Параграф 7 дополнен пунктом 81-1 в соответствии с постановлением Правления Агентства РК по регулированию и развитию финансового рынка от 16.08.2024 № 59 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      81-2. Информация о событиях информационной безопасности предоставляется в автоматизированном режиме путем передачи из систем информационной безопасности или систем кредитного бюро, осуществляющих в реальном времени сбор и анализ информации о событиях в информационной инфраструктуре кредитного бюро в АСОИ.

      Для кредитного бюро с государственным участием допускается представление информации о событиях и инцидентах информационной безопасности в уполномоченный орган посредством объектов информатизации Национального Банка Республики Казахстан, интегрированных с АСОИ.

      Сноска. Параграф 7 дополнен пунктом 81-2 в соответствии с постановлением Правления Агентства РК по регулированию и развитию финансового рынка от 16.08.2024 № 59 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

Параграф 8. Требования к обеспечению информационной безопасности программного обеспечения дистанционного оказания услуг кредитных бюро

      Сноска. Глава 3 дополнена параграфом 8 в соответствии с постановлением Правления Агентства РК по регулированию и развитию финансового рынка от 16.08.2024 № 59 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      81-3. Программное обеспечение дистанционного оказания услуг кредитного бюро включает:

      1) программное обеспечение серверов веб-приложений (далее – веб-приложение);

      2) программное обеспечение для мобильных устройств (далее – мобильное приложение);

      3) программное обеспечение серверов программных интерфейсов (далее – серверное ППО).

      81-4. Разработка и (или) доработка программного обеспечения дистанционного оказания услуг осуществляется кредитным бюро в соответствии с внутренними документами кредитного бюро, регламентирующими порядок разработки и (или) доработки программного обеспечения, этапы разработки и их участников.

      81-5. В случае, если разработка и (или) доработка программного обеспечения дистанционного оказания услуг кредитного бюро передана сторонней организации и (или) третьему лицу, кредитное бюро обеспечивает исполнение сторонней организацией и (или) третьим лицом требований настоящей главы и внутренних документов, отвечает за состояние безопасности программного обеспечения дистанционного оказания услуг.

      81-6. Хранение исходных кодов программного обеспечения дистанционного оказания услуг, разрабатываемых в кредитном бюро, осуществляется в специализированных системах управления репозиториями кода, размещаемых в периметре защиты кредитного бюро, с обеспечением резервного копирования.

      81-7. Независимо от принятого в кредитном бюро подхода к разработке и (или) доработке программного обеспечения дистанционного оказания услуг, обязательным является тестирование безопасности, в ходе которого осуществляются, как минимум, следующие мероприятия:

      1) статический анализ исходного кода;

      2) анализ компонентов и (или) сторонних библиотек.

      81-8. Статический анализ исходного кода программного обеспечения дистанционного оказания услуг кредитного бюро проводится с использованием сканера статического анализа исходных кодов, поддерживающего анализ всех используемых языков программирования в проверяемом программном обеспечении, в функции которого входит выявление следующих уязвимостей, но не ограничиваясь:

      1) наличие механизмов, допускающих инъекции вредоносного кода;

      2) использование уязвимых операторов и функций языков программирования;

      3) использование слабых и уязвимых криптографических алгоритмов;

      4) использование кода, вызывающего при определенных условиях отказ в обслуживании или существенное замедление работы программного обеспечения дистанционного оказания услуг кредитного бюро;

      5) наличие механизмов обхода систем защиты программного обеспечения дистанционного оказания услуг кредитного бюро;

      6) использование в коде секретов в открытом виде;

      7) нарушение шаблонов и практик обеспечения безопасности приложения.

      81-9. Анализ компонентов и (или) сторонних библиотек программного обеспечения дистанционного оказания услуг кредитного бюро проводится с целью выявления известных уязвимостей, присущих используемой версии компонента и (или) сторонней библиотеки, а также отслеживания зависимостей между компонентами и (или) сторонними библиотеками и их версиями.

      81-10. Кредитное бюро обеспечивает реализацию корректирующих мер по устранению выявленных уязвимостей в порядке, определенном внутренним документом, утвержденным исполнительным органом. При этом критичные уязвимости устраняются до ввода в эксплуатацию программного обеспечения дистанционного оказания услуг и (или) его новых версий.

      81-11. Кредитное бюро осуществляет ввод в эксплуатацию программного обеспечения дистанционного оказания услуг и (или) его новых версий после согласования с подразделением по информационной безопасности.

      81-12. Кредитное бюро обеспечивает хранение и доступ в оперативном режиме ко всем версиям исходных кодов программного обеспечения дистанционного оказания услуг и результатов тестирования безопасности, которые были введены в эксплуатацию в течение последних 3 (трех) лет.

      81-13. Обмен данными между клиентской и серверной сторонами программного обеспечения дистанционного оказания услуг шифруется с использованием версии протокола шифрования Transport Layer Security (Транспорт Лэйер Секьюрити) не ниже 1.2.

      81-14. При первичной регистрации клиента в мобильном приложении кредитное бюро осуществляет биометрическую идентификацию клиента посредством Центра обмена идентификационными данными (далее - ЦОИД), либо с использованием биометрических данных, полученных посредством устройств кредитного бюро.

      81-15. Изменение кода доступа (пароля) к мобильному приложению осуществляется с применением биометрической идентификации клиента с использованием биометрических данных, подтвержденных ЦОИД, либо с использованием биометрических данных, полученных посредством устройств кредитного бюро.

      81-16. Идентификация и аутентификация клиента в программном обеспечении дистанционного оказания услуг осуществляется с применением способов двухфакторной аутентификации (использованием двух из трех факторов: знания, владения, неотъемлемости) в соответствии с процедурами безопасности, установленными внутренними документами кредитного бюро.

      81-17. Механизм кроссдоменной аутентификации программного обеспечения дистанционного оказания услуг согласовывается с подразделением по информационной безопасности.

      81-18. Веб-приложение обеспечивает:

      1) однозначность идентификации принадлежности веб-приложения кредитному бюро (доменное имя, логотипы, корпоративные цвета);

      2) запрет на сохранение в памяти браузера авторизационных данных;

      3) маскирование вводимых секретов;

      4) информирование на странице авторизации клиента о мерах обеспечения кибергигиены, которым рекомендуется следовать при использовании веб-приложения;

      5) обработку ошибок и исключений безопасным способом, не допуская отображение в интерфейсе клиента конфиденциальных данных, предоставляя минимально достаточную информацию об ошибке.

      81-19. Мобильное приложение обеспечивает:

      1) однозначность идентификации принадлежности мобильного приложения кредитному бюро (данные в официальном магазине приложений, логотипы, корпоративные цвета);

      2) блокировку функционала по оказанию дистанционных услуг кредитного бюро в случае обнаружения признаков нарушения целостности и (или) обхода защитных механизмов операционной системы, обнаружения процессов удаленного управления;

      3) уведомление клиента о наличии обновлений мобильного приложения;

      4) возможность принудительной установки обновлений мобильного приложения или блокировки функционала мобильного приложения до их установки в случаях необходимости устранения критичных уязвимостей;

      5) хранение конфиденциальных данных в защищенном контейнере мобильного приложения или хранилище системных учетных данных;

      6) исключение кэширования конфиденциальных данных;

      7) исключение из резервных копий мобильного приложения конфиденциальных данных в открытом виде;

      8) информирование клиента о методах обеспечения кибергигиены, которым рекомендуется следовать при использовании мобильного приложения;

      9) информирование клиента о событиях авторизации под его учетной записью, изменения и (или) восстановления пароля, изменения, зарегистрированного кредитным бюро номера мобильного телефона;

      10) в ходе осуществления операций с денежными средствами - передачу в серверное ППО кредитного бюро геолокационных данных мобильного устройства при наличии разрешения от клиента либо передачу информации об отсутствии такого разрешения.

      81-20. Кредитное бюро обеспечивает на своей стороне:

      1) обработку ошибок и исключений безопасным способом, не допуская в ответе раскрытия конфиденциальных данных, предоставляя минимально достаточную информацию для диагностики проблемы;

      2) идентификацию и аутентификацию мобильных приложений и связанных с ними устройств;

      3) проверку данных на валидность для предотвращения атак с подделкой запросов и инъекций вредоносного кода.

Глава 4. Требования к обеспечению информационной безопасности при организации деятельности поставщиков информации

      82. Поставщик информации обеспечивает целостность и конфиденциальность информации, передаваемой в информационную систему кредитного бюро.

      83. Поставщик информации обеспечивает надлежащий уровень информационной безопасности в соответствии с условиями договора о предоставлении информации.

      84. Поставщик информации обеспечивает исполнение организационно-технических, технологических требований и мер, необходимых для функционирования и защиты системного и прикладного программного обеспечения, используемого для взаимодействия с информационной системой кредитного бюро.

      85. При использовании оборудования для работы с информационной системой кредитного бюро учитывается необходимость его защиты от несанкционированного доступа, а также защиты носителей информации и сетевых ресурсов.

      86. Поставщик информации назначает оператора (операторов).

      87. Поставщик информации обеспечивает наличие подписанных обязательств оператора (операторов) о неразглашении и нераспространении информации, ставшей им известной в процессе исполнения ими функциональных обязанностей.

      88. Поставщик информации обеспечивает наличие внутренних документов (включая должностные инструкции), определяющих порядок назначения оператора (операторов), его (их) права и ответственность.

      89. Доступ к информации предоставляется работникам поставщиков информации в объеме, необходимом для исполнения их функциональных обязанностей.

      90. Учетная запись оператора, по которой он идентифицируется в информационной системе кредитного бюро, принадлежит конкретному физическому лицу.

      91. Поставщик информации по запросу уполномоченного органа предоставляет сведения, подтверждающие его соответствие требованиям, предусмотренным договором о предоставлении информации.

      92. Операционная система рабочей станции обеспечивает функции идентификации и аутентификации пользователя, а также разграничения прав доступа пользователей и авторизацию в соответствии с назначенными правами.

      93. При использовании рабочей станции для подключения к информационной системе кредитного бюро одновременное подключение к другим ресурсам сети Интернет не производится.

      94. Работники поставщика информации обеспечивают конфиденциальность персональных идентификационных и аутентификационных данных, используемых для доступа к информационным системам.

      95. Работники поставщика информации обеспечивают конфиденциальность информации, ставшей им известной в процессе использования информационной системы кредитного бюро.

Глава 5. Требования к обеспечению информационной безопасности при организации деятельности получателей кредитных отчетов

      96. Получатель кредитного отчета обеспечивает конфиденциальность и целостность информации, получаемой из информационной системы кредитного бюро.

      97. Получатель кредитного отчета обеспечивает надлежащий уровень информационной безопасности в соответствии с условиями договора о получении кредитных отчетов.

      98. Получатель кредитного отчета обеспечивает исполнение организационно-технических, технологических требований и мер, необходимых для функционирования и защиты системного и прикладного программного обеспечения, используемого для взаимодействия с информационной системой кредитного бюро и обработки получаемой из нее информации.

      99. При использовании оборудования для работы с информационной системой кредитного бюро учитывается необходимость его защиты от несанкционированного доступа, а также защиты носителей информации и сетевых ресурсов, используемых для работы с информационной системой кредитного бюро.

      100. Получатель кредитного отчета определяет и утверждает перечень ответственных лиц.

      101. Получатель кредитного отчета обеспечивает наличие подписанных ответственными (ответственным) лицами (лицом) организации обязательств о неразглашении и нераспространении информации, ставшей им известной в процессе исполнения ими функциональных обязанностей.

      102. Получатель кредитного отчета обеспечивает наличие внутренних документов, определяющих порядок определения и утверждения перечня ответственных лиц, их права и ответственность (включая должностные инструкции).

      103. Доступ к информации предоставляется работникам в объеме, необходимом для исполнения их функциональных обязанностей.

      104. Учетная запись ответственного лица, по которой он идентифицируется в информационной системе кредитного бюро, соответствует конкретному физическому лицу.

      105. Получатель кредитного отчета проводит плановые и внеплановые проверки соответствия рабочих станций Требованиям и внутренним документам получателя кредитного отчета, регламентирующим информационную безопасность.

      106. Получатель кредитного отчета по запросу уполномоченного органа представляет сведения, подтверждающие его соответствие требованиям, предусмотренным в договоре о получении кредитных отчетов.

      107. Операционная система рабочей станции обеспечивает функции идентификации и аутентификации пользователя, а также разграничения прав доступа пользователей и авторизации в соответствии с назначенными правами.

      108. Получатель кредитных отчетов использует собственную рабочую станцию.

      109. При использовании рабочей станции для подключения к информационной системе кредитного бюро одновременное подключение к другим ресурсам сети Интернет не производится.

      110. Работники получателя кредитных отчетов обеспечивают конфиденциальность персональных идентификационных и аутентификационных данных, используемых для доступа к информационным системам.

      111. Работники получателя кредитных отчетов обеспечивают конфиденциальность информации, ставшей им известной в процессе использования информационной системы кредитного бюро.

  Приложение 2
к постановлению Правления
Национального Банка
Республики Казахстан
от 27 сентября 2018 года № 228

Требования, предъявляемые кредитными бюро к поставщикам информации и получателям кредитных отчетов

      Сноска. Заголовок - в редакции постановления Правления Агентства РК по регулированию и развитию финансового рынка от 16.08.2024 № 59 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      1. Настоящие Требования, предъявляемые кредитными бюро к поставщикам информации и получателям кредитных отчетов (далее - Требования), разработаны в соответствии с подпунктом 6) статьи 5 Закона Республики Казахстан "О кредитных бюро и формировании кредитных историй в Республике Казахстан" и определяют требования, предъявляемые кредитными бюро к использованию информационно-коммуникационных технологий и обеспечению информационной безопасности при организации деятельности поставщиков информации, являющихся индивидуальным предпринимателем или юридическим лицом, реализующим товары и услуги в кредит либо предоставляющим отсрочки платежей, систематизированные признаки которых определяются постановлением Правительства Республики Казахстан от 18 января 2005 года № 25 "Об утверждении систематизированных признаков индивидуальных предпринимателей или юридических лиц, реализующих товары и услуги в кредит либо предоставляющих отсрочки платежей" (далее – постановление № 25), субъектами естественной монополии, оказывающими коммунальные услуги, иными лицами на основании договоров о предоставлении информации (далее – поставщики информации), а также получателей кредитных отчетов, являющихся индивидуальным предпринимателем или юридическим лицом, реализующим товары и услуги в кредит либо предоставляющим отсрочки платежей, систематизированные признаки которых определяются постановлением № 25, иными лицами на основании договоров о предоставлении информации, представителем держателей облигаций в отношении кредитного отчета эмитента облигаций, с которым заключен договор о представлении интересов держателей облигаций (далее – получатели кредитных отчетов).

      Сноска. Пункт 1 - в редакции постановления Правления Агентства РК по регулированию и развитию финансового рынка от 16.08.2024 № 59 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      2. Требования, предъявляемые кредитными бюро к поставщикам информации и получателям кредитных отчетов, включаются в договор о предоставлении информации и договор о получении кредитных отчетов.

      3. Требования, предъявляемые кредитными бюро к использованию информационно-коммуникационных технологий при организации деятельности поставщиков информации и получателей кредитных отчетов, соответствуют требованиям пунктов 15, 16 и 17 Требований к использованию информационно-коммуникационных технологий и обеспечению информационной безопасности при организации деятельности кредитных бюро, поставщиков информации и получателей кредитных отчетов, являющихся банками, организациями, осуществляющими отдельные виды банковских операций, микрофинансовыми организациями и коллекторскими агентствами, утвержденных настоящим постановлением.

      4. Требования, предъявляемые кредитными бюро к обеспечению информационной безопасности при организации деятельности поставщиков информации и получателей кредитных отчетов, соответствуют требованиям глав 4 и 5 Требований к использованию информационно-коммуникационных технологий и обеспечению информационной безопасности при организации деятельности кредитных бюро, поставщиков информации и получателей кредитных отчетов, являющихся банками, организациями, осуществляющими отдельные виды банковских операций, микрофинансовыми организациями и коллекторскими агентствами, утвержденных настоящим постановлением.

  Приложение 3
к постановлению Правления
Национального Банка
Республики Казахстан
от 27 сентября 2018 года № 228

Перечень нормативных правовых актов Республики Казахстан, а также структурных элементов некоторых нормативных правовых актов Республики Казахстан, признаваемых утратившими силу

      1. Постановление Правления Национального Банка Республики Казахстан от 27 мая 2015 года № 91 "Об утверждении Требований к использованию информационно-коммуникационных технологий и обеспечению информационной безопасности при организации деятельности кредитных бюро, поставщиков информации и получателей кредитных отчетов" (зарегистрировано в Реестре государственной регистрации нормативных правовых актов под № 11669, опубликовано 30 июля 2015 года в информационно-правовой системе "Әділет").

      2. Пункт 2 постановления Правления Национального Банка Республики Казахстан от 30 мая 2016 года № 146 "О внесении изменений и дополнения в некоторые нормативные правовые акты Республики Казахстан по вопросам сокращения разрешительных документов и упрощения разрешительных процедур (зарегистрировано в Реестре государственной регистрации нормативных правовых актов под № 14208, опубликовано 5 октября 2016 года в информационно-правовой системе "Әділет").

      3. Постановление Правления Национального Банка Республики Казахстан от 14 июня 2017 года № 102 "О внесении изменений и дополнения в постановление Правления Национального Банка Республики Казахстан от 27 мая 2015 года № 91 "Об утверждении Требований к использованию информационно-коммуникационных технологий и обеспечению информационной безопасности при организации деятельности кредитных бюро, поставщиков информации и получателей кредитных отчетов" (зарегистрировано в Реестре государственной регистрации нормативных правовых актов под № 15608, опубликовано 15 сентября 2017 года в Эталонном контрольном банке нормативных правовых актов Республики Казахстан).

On Approval of the Requirements for the Use of Information and Communication Technologies and Information Security in Organizing the Activities of Credit Bureaus, Information Providers and Recipients of Credit Reports, and the Requirements of Credit Bureaus to Information Providers and Recipients of Credit Reports

Resolution of the Board of the National Bank of the Republic of Kazakhstan of September 27, 2018 No. 228. Registered with the Ministry of Justice of the Republic of Kazakhstan on November 6, 2018 No. 17702.

      Unofficial translation
      Footnote. The heading - as revised by Resolution of the Board of the Agency of the Republic of Kazakhstan on Regulation and Development of Financial Market № 59 of 16.08.2024 (shall be enacted ten calendar days after the date of its first official publication).

      In accordance with the Law of the Republic of Kazakhstan dated July 6, 2004 "On credit bureaus and formation of credit records in the Republic of Kazakhstan", the Board of the National Bank of the Republic of Kazakhstan shall DECIDE:

      1. That the following shall be approved:

      1) Requirements for the application of information and communication technologies and information security when organizing the activities of credit bureaus, information providers and recipients of credit reports as per Annex 1 to this Resolution;

      2) Requirements imposed by credit bureaus on information providers and recipients of credit reports pursuant to Annex 2 to this Resolution.

      Footnote. Paragraph 1 - as revised by Resolution of the Board of the Agency of the Republic of Kazakhstan on Regulation and Development of Financial Market № 59 of 16.08.2024 (shall come into effect upon expiration of ten calendar days after the day of its first official publication).

      2. To recognize as invalid the regulatory legal acts of the Republic of Kazakhstan, as well as the structural elements of some regulatory legal acts of the Republic of Kazakhstan according to the list in accordance with the Annex 3 to this resolution.

      3. In the procedure established by the legislation of the Republic of Kazakhstan, the Department of information threats and cyber protection (Perminov R.V.) shall ensure:

      1) The state registration of this resolution in the Ministry of Justice of the Republic of Kazakhstan together with the Legal department (Sarsenova N.V.);

      2) within ten calendar days from the date of the state registration of this resolution, to send it in the Kazakh and Russian languages to the Republican state enterprise on the basis of the right of economic management "Republican Center for Legal Information" for official publication and inclusion into the Reference Control Bank of regulatory legal acts of the Republic of Kazakhstan;

      3) the placement of this resolution on the official Internet resource of the National Bank of the Republic of Kazakhstan after its official publication;

      4) within ten working days after the state registration of this resolution, to submit the information to the Legal department on implementation of the measures provided for by subparagraphs 2), 3) of this paragraph and paragraph 4 of this resolution.

      4. The Directorate for protection of the rights of consumers of financial services and external communications (A.T. Terentiev) shall ensure, within ten calendar days after the state registration of this resolution, the submission of its copy for official publication in periodicals.

      5. Deputy Chairman of the National Bank of the Republic of Kazakhstan Smolyakova O.A shall be entitled to control the execution of this resolution.

      6. This resolution shall enter into force upon the expiry of ten calendar days after the day of its first official publication.

      Chairman of the
National Bank
D. Akishev

  Annex 1
to the resolution of the Board of
the National Bank of the
Republic of Kazakhstan
dated September 27, 2018,
№ 228

Requirements for the application of information and communication technologies and ensuring information security when organizing the activities of credit bureaus, information providers and recipients of credit reports

      Footnote. The title - as revised by Resolution of the Management Board of the Agency of the Republic of Kazakhstan on Regulation and Development of Financial Market № 59 of 16.08.2024 (shall enter into force ten calendar days after the date of its first official publication).

Chapter 1. General provisions

      1. These Requirements for the Application of Information and Communication Technologies and Information Security in organizing the Activities of Credit Bureaus, Information Providers and Recipients of Credit Reports have been developed in line with sub-paragraph 6) of Article 5 of the Law of the Republic of Kazakhstan “On Credit Bureaus and the Formation of Credit Histories in the Republic of Kazakhstan” and establish requirements for the use of information and communication technologies and ensuring information security when organising the activities of credit bureaus, banks, organisations engaged in certain types of banking transactions, organisations engaged in microfinance activities, collection agencies and service companies, managing rights (claims) under bank loan agreements and (or) agreements on granting a microloan under an agreement on trust management of rights (claims) under bank loan agreements and (or) agreements on granting a microloan concluded with a bank, an organisation engaged in certain types of banking transactions, an organisation engaged in microfinance activities, a collection agency, a subsidiary of a bank acquiring doubtful and uncollectible assets of a parent bank, an organisation specialising in improving the quality of loan portfolios of second-tier banks, a legal entity - pledgee of rights of claim under a contract on granting a microloan when a microfinance organisation issues secured bonds or obtains loans, a special financial company established in line with the legislation of the Republic of Kazakhstan on project financing and securitisation under a securitisation transaction, by a person who repurchases mortgage loans of natural persons not related to entrepreneurial activity, one hundred percent of shares of which belong to the National Bank of the Republic of Kazakhstan, by a special fund for development of private entrepreneurship - under a bank loan agreement, under an agreement on granting a microloan concluded within the framework of a transaction on financing private entrepreneurship entities by means of conditional placement of funds in banks and organisations, engaged in certain types of banking transactions, microfinance organisations, by another person - in respect of a right (claim) under a bank loan agreement, under an agreement on granting a microloan to a natural person related to entrepreneurial activity, or under a bank loan agreement under a microloan agreement of a legal entity for which impairment indicators have been revealed in line with International Financial Reporting Standards, including at the time of acquisition or emergence (creation) of a right (claim) under a bank loan agreement, under a microloan agreement.

      Footnote. Paragraph 1 - as revised by Resolution of the Board of the Agency of the Republic of Kazakhstan on Regulation and Development of Financial Market № 59 of 16.08.2024 (shall become effective ten calendar days after the date of its first official publication).

      2. The terms, specified by the Law on credit bureaus shall be used in the Requirements, as well as the following concepts:

      1) information providers - information providers, specified in subparagraph 1) of paragraph 1 of article 18 of the Law on credit bureaus;

      2) information asset - a set of data and an object of information and communications infrastructure, used to store it and (or) to process;

      3) information and communication infrastructure (hereinafter - the information infrastructure) - a set of objects of the information infrastructure, designed to ensure the functioning of the technological environment in order to create electronic information resources and to provide access to them;

      4) information security - the state of security of electronic information resources, information systems and ICT infrastructure from external and internal threats;

      5) the risk of information security - the probability of occurrence of damages due to privacy violations and intentional violations of the integrity or availability of information assets of a credit bureau;

      6) information security - a process aimed at the maintenance of the confidentiality, integrity and availability of information assets of a credit bureau;

      7) an incident of information security - separately or serially occurring failures in the information infrastructure or its separate objects that threaten their proper functioning and (or) conditions for illegal obtaining, copying, distribution, modification, destruction, or blocking of electronic information resources of a credit bureau;

      8) privileged account - an account in the information system with the privileges to create, delete and modify access rights of other accounts;

      9) audit trail - a chronological sequence of records containing evidence of data change as a result of performing functions of an information system;

      10) authentication - confirmation of authenticity of the subject or object of access to the information system by determining the compliance of the shown details of access;

      11) business process - a set of interrelated activities or tasks designed to create a specific product or service for the external (customer) or internal (employee, a department of a credit bureau, other business process) consumer;

      12) virtual environment - computational resources, or their logical association, abstracted from the hardware implementation, providing a logical isolation of computational processes from each other, performed on a single physical resource;

      13) data processing center - a dedicated room, which houses servers and communication equipment of the information infrastructure of a credit bureau. The data processing center is divided into primary and backup ones;

      14) a responsible person – an employee of the recipient of credit reports, having access to credit reports;

      15) workstation - a personal computer used to access the information system of a credit bureau;

      16) a business owner of the information system of a credit bureau - a department (employee) of a credit bureau, which is (are) the owner of the main business process that is automated by the information system of the credit bureau;

      17) recipients of credit reports – the recipients of credit reports, specified in subparagraph 1) of part one of paragraph 1 of article 20 of the Law on credit bureaus;

      18) access - the ability to use the information assets;

      19) an operator – an employee responsible for the correctness of data input in the information system of the credit bureau;

      20) a backup copy – a copy of the data on media, intended to restore the data in the original or a new place of their location if necessary;

      21) technical safety – a process of providing security of a credit bureau with the use of technical means (fire and intruder alarm systems, monitoring and access control, CCTV, fire fighting, temperature and humidity control in the data processing center);

      22) technological account - an account in the information system, intended for authentication between the information systems;

      23) corrective measure - a set of organizational and technical measures, aimed at correcting the existing problem in the process of information security or the consequences of its violation;

      24) an authorized body - the authorized body for regulation, control and supervision of the financial market and financial organizations.

Chapter 2. Requirements to the use of information and communication technologies

      3. A credit bureau shall develop an information system (hereinafter – an information system of a credit bureau), which provides for:

      1) the receipt of information from the information provider;

      2) formation of a database of credit records;

      3) formation, issuance and storage of credit reports;

      4) identification and authentication of users of the information system of the credit bureau;

      5) maintenance of an audit trail of the information system of the credit bureau.

      4. Information system of a credit bureau shall meet the following requirements:

      1) development, introduction and maintenance of the information system of the credit bureau (or adaptation of the ready product) on the basis of technical specifications and in accordance with the internal documents of the credit bureau, regulating the stages and procedure of development, modifications, testing, acceptance and commissioning, and documentation of all stages;

      2) ensuring the distribution of the access rights of users of the information system of the credit bureau;

      3) ensuring the account management of the information system of the credit bureau;

      4) ensuring the information security of the protected data of the information system of the credit bureau.

      5. Credit bureau shall ensure the availability and distribution of the development environments, testing and production operation of the information system of the credit bureau so that the changes made to the information system of the credit bureau in any of these environments had no effect on the information system of the credit bureau, located in another environment. Development and updating of the information system of the credit bureau shall not be made in the environment of commercial operation.

      6. Third-party organizations and employees of the department of information technology, engaged in software development, shall not have access to the transfer of changes of the information system of the credit bureau in the environment of commercial operation and shall not have administrative access to the information system of the credit bureau in the environment of commercial operation.

      7. Before the putting of the information system of the credit bureau into commercial operation, the settings set in it by default, shall change to the settings that meet the requirements of information security, defined by the internal documents of the credit bureau. These settings shall include the replacement of passwords used during testing, and deleting all test accounts.

      8. Source codes (if available) and the executable modules of the information system of the credit bureau shall be stored in a protected storage of software that is suitable for their recovery.

      9. An audit trail shall be maintained in the information system of the credit bureau that reflects the following:

      1) the events of connection, identification, authentication and authorization (successful and unsuccessful);

      2) the events of the change of the stored data;

      3) the events of modification of security settings;

      4) the events of modification of the user groups and their authorities;

      5) the events of modification of user accounts and their authorities;

      6) the events that reflect the installation of updates and (or) changes in the information system;

      7) the events of the change of the parameters of maintenance of an audit trail;

      8) the events of the changes of the system parameters.

      10. The format of the audit trail shall include the following information:

      1) identifier (login) of the user who committed the action;

      2) date and time of the action;

      3) names of objects with which the action was performed;

      4) type or name of the action performed by the administrator or end user of the information system;

      5) the result of an action (successfully or unsuccessfully).

      11. The storage time of the audit trail shall be at least 3 (three) months in the operational access and at least one (1) year of archival access. It shall be allowed to store the audit trail in a specialized information system for storage, processing and analysis of events.

      12. Credit bureau shall ensure the consistency of the audit trail by both organizational and technical means. Administrators of the information system shall be granted the access only to transfer the logs of the audit trail to the archive.

      13. The data processing center of the credit bureau shall comply with the following requirements:

      1) uninterrupted power supply system is provided by two or more independent inputs of electrical networks and automatically connected backup power supply devices that ensure an autonomous power supply for at least twenty-four hours;

      2) the presence of two or more data transmission channels from independent providers of telecommunications services, installed in the building in different ways, in the main data processing center and at least two communication channels in the backup datacenter. The bandwidth of communication channels shall ensure the provision of services in accordance with the terms of agreements on information provision and contracts on obtaining credit reports.

      14. In order to ensure sustainable functioning of information system of the credit bureau, the credit bureau shall comply with the following requirements:

      1) information system of the credit bureau operates on the server system, enabling maintenance work without interrupting the functioning of its core services. When using virtualization technologies of hardware capacity, the virtual main and backup servers shall be placed on separate physical servers;

      2) backup data processing center of the credit bureau is located outside the location of the credit bureau and provides recovery of the work of the information system of the credit bureau within a period not exceeding twelve hours from the time of closedown of the primary data processing center.

      15. When connected to the information system of the credit bureau, the information provider shall use the workstation:

      1) meeting the requirements of the credit bureau, reflected in the contract on provision of information;

      2) secured by a license antivirus software with current antivirus databases.

      16. When connected to the information system of the credit bureau, the recipient of the credit reports shall:

      1) provide the availability of one or more workstations, used to connect only to the information system of the credit bureau;

      2) provide protection of workstations by the license antivirus software with current antivirus databases.

      17. In case of automation of the processes of information transmission by the information provider to the credit bureau and transfer of credit reports by the credit bureau to the recipient of the credit reports, the requirements of paragraphs 15 and 16 of the Requirements shall not apply to the information providers and recipients of the credit reports.

Chapter 3. Requirements to information security in organization of work of credit bureaus Paragraph 1. Requirements to organization of information security management system

      18. Credit bureau shall provide information security of the protected information when it is received, stored and processed and in the preparation and issuance of credit reports.

      19. Credit bureaus shall ensure the establishment and functioning of the information security management system, which is part of the overall management system of the credit bureau that is designed to control the process of information security.

      20. Information security management system shall ensure the protection of information assets of the credit bureau, allowing a minimum level of potential damage to the business processes of the credit bureau.

      21. In order to ensure the proper level of the information security management system, its development and improvement, the credit bureau shall ensure the availability of the internal documents defining:

      1) information security policy that includes:

      goals, objectives and basic principles of development of the information security management system;

      the area of action of the information security management system;

      responsibility within the information security management system;

      dissemination and accessibility of information security policy;

      conditions for the review of the information security policy;

      2) rules for the management of information assets, including:

      basic requirements to the information, specifying the levels of confidentiality;

      the requirement for labelling and certification of assets;

      the treatment of information based on the confidentiality levels;

      3) the backup (backup) procedure, including:

      requirements for backup and archive copy;

      testing of backups;

      4) methods of risk assessment and risk management of information security, including:

      the process of assessment and handling of information security risks;

      acceptability criteria of information security risks;

      information security risk handling plan;

      report on the assessment and handling of information security risks;

      5) the procedure for restriction of access and obligations of information system users (operators, administrators of information systems), including:

      the order of termination or changes in functional responsibilities, including the requirements to disclose confidential information following the termination of the employment contract;

      the procedure for training and awareness-raising;

      the order to control access to information, information systems, networks, services, equipment and facilities;

      regular review of access rights;

      the requirement to control user and privileged access rights;

      the procedure for the technical implementation of granting, changing, deleting the access rights;

      6) procedure for work with information system of a credit bureau, including:

      the procedure of development and change management of the information system of a credit bureau;

      the rights and obligations of operators and administrators of the information system of the credit bureau;

      7) procedures for management of information security incidents, including:

      classification of incidents, the procedure for notification about incidents with an indication of the persons subject to notification;

      the response and handling of incidents;

      the rules for protection of information assets from malicious software.

      22. Participants of information security management system of a credit bureau shall be:

      1) the management body;

      2) an executive body;

      3) the collegial body, authorized to make decisions on the tasks of information security provision (hereinafter – the collegial body);

      4) a risk management department;

      5) a department for information security;

      6) a department of information technology;

      7) a security department;

      8) a department for work with the personnel;

      9) a legal entity;

      10) additional departments.

      The functions of the departments, specified in subparagraphs 4), 5), 6), 7), 8) and 9) of this paragraph, shall be allowed to be performed by the responsible persons in accordance with their functional responsibilities.

      23. Credit bureau in establishment and functioning of information security management system shall ensure the independence of the departments of information security and information technology through their subordination to different members of the executive body of the credit bureau or directly to the head of the executive body of the credit bureau.

      24. The management body of the credit bureau shall approve the information security policy.

      25. The management body of the credit bureau shall approve the list of protected information, including information about the data constituting official, commercial or other secret protected by the law (hereafter – the protected information), and the procedure of work with the protected information.

      26. The executive body of the credit bureau shall approve the internal documents, regulating the process of information security management, procedure and periodicity of revision which is determined by the internal documents of the credit bureau.

      27. A credit bureau shall establish a collegial body, composed of representatives of the department of information security, the risk management department, the department of information technology, and if necessary the representatives of other departments of the credit bureaus. The head of the collegial body shall be the head of the executive body of a credit bureau or a member of the executive body of the credit bureau that oversees the operations of the department of information security.

      28. The risk management department shall be responsible for the organization and coordination of the risk management process of the information security and shall perform the following functions:

      1) development, introduction and continuous development of risk management information security system;

      2) development of procedures on information security risk management;

      3) analysis of the processes in the field of information security;

      4) monitoring and assessment of the level of information security risks.

      29. In order to ensure confidentiality, integrity and availability of information of the credit bureau, the department of information security shall perform the following functions:

      1) to organize the information security management system, coordination and control of activity of departments of the credit bureau to ensure the information security and the activities to identify and analyze the threats, to counter attacks and investigate the information security incidents;

      2) to develop information security policy of the credit bureau;

      3) to provide methodological support for the process of information security of the credit bureau;

      4) to make selection, introduction and use of methods, tools and mechanisms for the management, maintenance and control of information security of a credit bureau in the framework of their powers;

      5) to conduct collecting, consolidating, storing and processing of information about information security incidents;

      6) to analyze information about information security incidents;

      7) to prepare proposals for adoption of a decision by the collegial body on the matters of information security;

      8) to ensure the introduction and proper functioning of software and hardware, automating the process of ensuring information security of a credit bureau, as well as providing access to them;

      9) to define the restriction on the use of privileged accounts;

      10) to organize and conduct activities to ensure awareness of employees of the credit bureau on the matters of information security;

      11) to monitor the state of the information security management system of a credit bureau;

      12) to inform the credit bureau leadership about the status of the information security management system of a credit bureau.

      30. The department of information technology of a credit bureau shall develop the internal documents determining:

      1) the general scheme of the information infrastructure indicating a physical location of its elements;

      2) a list of responsible administrators of the nodes of the information infrastructure (telecommunications devices, servers and operating systems placed on them, database management systems and the applied software of the user of the information system).

      31. Credit bureau shall determine the possibility to impose the functions on technical safety on the department of information security. The department of information security shall perform the functions, entailing a conflict of interest with their main functions.

      32. Credit bureau shall determine the possibility of delegating of following functions of the department of information security to other departments:

      1) introduction and administration of software and hardware, automating the process of ensuring information security of a credit bureau – a department of information technology;

      2) the organization and conduct of activities to ensure awareness of employees of the credit bureau about the information security – the department for work with the personnel;

      3) recording and processing of events and information security incidents involving violations of the information security condition - the department of security or another department, not depending on the department of information technology.

      33. The department of information technology shall perform the following functions:

      1) develops the schemes of information infrastructure of a credit bureau;

      2) ensures the provision of user access to information assets of a credit bureau;

      3) provides the configuration of system and applied software of a credit bureau;

      4) provides execution of the requirements, established by the internal documents of a credit bureau, on continuity of functioning of information infrastructure, confidentiality, integrity and availability of data of information systems of a credit bureau (including reservations and (or) the archiving and information backup);

      5) ensures the observance of information security requirements in the selection, introduction, development and testing of information systems.

      34. The department of security shall perform the following functions:

      1) implements the measures of physical and technical security of credit bureau, and also arranges the access and intra-facility regime;

      2) conducts preventive actions, aimed at minimizing the risk of threats to information security in the employment and dismissal of employees of the credit bureau.

      35. The department for the work with the personnel shall perform the following functions:

      1) ensures that the employees of a credit bureau, as well as persons, involved in the work under the contract on rendering of services, trainees, probationers sign the obligations on non-disclosure of confidential information;

      2) participates in the process of raising the awareness of employees of the credit bureau in the field of information security.

      36. The legal department shall provide legal expertise of internal documents of the credit bureau on the issues of provision of information security.

      37. Heads of structural units of a credit bureau shall:

      1) ensure that employees are familiarised with the credit bureau's internal documents containing information security requirements (hereinafter referred to as information security requirements);

      2) be personally responsible for ensuring information security in the units headed by them;

      3) ensure the conclusion of agreements on non-disclosure of confidential information and inclusion of information security conditions in agreements, service/work agreements in cases when the credit bureau unit initiates the conclusion of such agreements and contracts.

      Footnote. Paragraph 37 - as revised by Resolution of the Board of the Agency of the Republic of Kazakhstan on Regulation and Development of Financial Market № 59 of 16.08.2024 (shall be enforced upon expiry of ten calendar days after the day of its first official publication).

      38. Credit bureau shall determine the business owner of the information system of the credit bureau, who is responsible for compliance with the requirements to information security in the creation, introduction, modification, provision of customers with products and services.

      39. Workers of structural departments of the credit bureau shall:

      1) be responsible for compliance with information security requirements, adopted in the credit bureau;

      2) control the fulfillment of requirements to information security by the third parties with whom they interact within their functional responsibilities, including through inclusion of these requirements in the contracts with third parties;

      3) notify their direct manager and the department of information security about all suspicious situations and violations when dealing with information assets.

Paragraph 2. Requirements for organization of access to information assets

      40. Access to information shall be granted to the employees to the extent necessary for performance of their duties.

      40-1. Access to information assets of the credit bureau of third parties shall be granted for the period and to the extent specified by the work, being implemented based on an agreement, contract, including conditions on compliance with information security requirements, excluding cases stipulated by the legislation of the Republic of Kazakhstan. Agreements, contracts concluded with the information provider, the recipient of credit reports, third parties shall specify confidentiality clauses, provisions on compensation for damages resulting from information security violations, as well as information system failures and security infringements caused by the action or inaction of the credit bureau, the information provider, the recipient of credit reports, third parties.

      Footnote. Paragraph 2 has been supplemented with paragraph 40-1 in compliance with Resolution of the Board of the Agency of the Republic of Kazakhstan on Regulation and Development of Financial Market № 59 of 16.08.2024 (shall be enacted upon expiration of ten calendar days after the day of its first official publication).

      41. The access to the information system of a credit bureau shall be carried out after identification and authentication of users.

      42. Identification and authentication of users of the information system of the credit bureau shall be made through one of the following ways:

      1) by typing the pair "account (ID) and password" and using the methods of two-factor authentication;

      2) using the methods of biometric and (or) cryptographic and (or) hardware authentication.

      43. The information system of the credit bureau shall use the personalized user accounts only.

      44. The use of technological accounts shall be allowed in accordance with the list of such accounts for each information system, indicating the persons, personally responsible for their use and relevance, approved by the head of the department of information technology in coordination with the head of the department of information security.

      45. The information system of the credit bureau shall use the functions on administering accounts and passwords, and locking of user accounts, defined by the internal document of the credit bureau.

      46. Physical access to information assets of a credit bureau shall be provided in accordance with the internal documents of a credit bureau.

Paragraph 3. Requirements to information security of the information system
of the credit bureau

      47. Information security of information systems of a credit bureau shall be provided through:

      1) protection of information during its processing, storage and transmission;

      2) data backup on the side of the credit bureau;

      3) the presence of recovery procedures of the information system of the credit bureau after failures and faults;

      4) establishment of cryptographic protection of traffic between a credit bureau and information provider and (or) the recipient of the credit reports.

      48. Credit bureau shall provide anti-virus protection of the information infrastructure in the order, established by the internal document of the credit bureau.

      49. The department of information technology shall determine the order of any changes of information systems in coordination with the department of information security.

      50. Update of the security of information systems, eliminating critical vulnerability, shall be established not later than one month from the date of their publication and distribution by the manufacturer, except for the cases agreed upon with the department on information security.

      51. Update of the information system of the credit bureau prior to installation in the production environment shall be tested in a test environment.

      52. Credit bureau shall provide the data backup storage of the information system of the credit bureau, its files and settings which ensures the restoration of its working copy.

      53. The order and frequency of backup, storage, recovery of information, the frequency of testing the recovery efficiency of the information system of the credit bureau from the backups shall be determined by the internal document of the credit bureau.

Paragraph 4. Requirements for the process of protection of workstations of a credit bureau

      54. Credit bureau shall define a list of software and equipment, permitted for the work with the information system of the credit bureau.

      55. Software which is not intended for performance of functional duties of employees of the credit bureau shall not be installed on the workstations.

      56. Internal documents of a credit bureau shall determine the organizational and technical measures, providing protection of workstations and storage devices and network resources, used to work with the information system of the credit bureau.

      57. The credit bureau shall define and introduce the organizational and technical measures that prohibit the users from installation and configuration of software, workstations and peripheral equipment.

      58. Users of the information system of the credit bureau shall not have the rights of a local administrator or similar rights, except for the cases where such rights are necessary for the functioning of the software, automating the functions, performed by the users.

      59. Separate groups of users shall be entitled to install and configure software and equipment in cases where it is necessary for performance of official duties. These groups of users shall be provided with the local administrator rights or similar rights.

      60. A list of users referred to in paragraphs 58 and 59 of the Requirements shall be formed, updated and approved by the head of the department of information technology in coordination with the department of information security. In case of granting the users with additional rights in accordance with paragraphs 58 and 59 of the Requirements, the department of information security shall control their use.

Paragraph 5. Requirements to the process of physical security of data processing
centers of credit bureaus

      61. The order of the physical security of data processing centers shall be determined by the internal document.

      62. The data processing center shall be equipped with the following technical security systems:

      1) control system and access control;

      2) security alarm;

      3) fire alarm system;

      4) automatic fire extinguishing system;

      5) the system of maintaining the preset parameters of temperature and humidity;

      6) video surveillance system;

      7) uninterruptible power system.

      63. Access to the data processing center shall be granted to employees of the credit bureau, the list of which is approved by the head of the department of information technology in coordination with the department of information security.

      64. A credit bureau shall keep a log of the monitoring system and access control in the data processing center, which is stored at least 1 (one) year.

      65. Automatic fire extinguishing system of the data processing center shall ensure the elimination of ignition throughout the volume of the room and shall have a back-up stock.

      66. Video surveillance system of the data processing center shall provide the monitoring of all entrances to the data processing center. In the data processing center the placement of the camera shall eliminate the presence of areas inside the data processing center and in front of its entrance that are not covered by video surveillance.

      67. Event recording by the video surveillance system of the data processing center shall be continuous or with the use of motion detection.

      68. Archive of the video surveillance system of the data processing center shall be kept at least 3 (three) months.

      69. In order to prevent an unauthorized physical access to the servers and active network equipment outside the data processing center, the internal documents of a credit bureau shall define the measures to ensure their safety.

Paragraph 6. Requirements to the procedure of monitoring and processing of information
about information security incidents in the credit bureaus

      70. Information about information security incidents, obtained in the course of monitoring of activities to ensure information security, shall be subject to consolidation and systematization.

      71. Credit bureau shall ensure the integrity of data on information security incidents.

      72. If the credit bureau identifies the need to monitor individual sources of events of information security during the non-office hours, a round-the-clock monitoring service shall be established.

      73. Credit bureau shall determine the procedure of informing the executives and departments of the credit bureau about the incident of information security.

      74. Credit bureau shall determine the procedure for adoption of urgent measures to address the incident of information security, its causes and consequences.

      75. The credit bureau shall keep a register of information security incidents indicating the information about the incident of the information security, the measures taken and the proposed remedial measures, in paper or in electronic form.

      76. Following the results of processing of the incident of the information security, a credit bureau shall conduct a comprehensive analysis of the causes of the incident of information security, its mechanism and consequences. When collecting the technical data from software and hardware involved in the incident of the information security, the safety and consistency of the collected data shall be ensured.

      77. Information about the incident of information security, as well as proposals for corrective measures in order to reduce the likelihood and potential damage from the repeated incident of information security shall be stored in the credit bureau.

      78. For incidents of information security, the likelihood of which is high and cannot be reduced in a short time, the credit bureau shall develop internal documents, describing the algorithm of handling of incidents of information security, the model urgent measures for localization of information security incidents and their consequences, methods of processing of incidents of information security.

Paragraph 7: Requirements for reporting information on the status of the information security management system, events and information security incidents of credit bureaus

      Footnote. The heading of paragraph 7 - as revised by Resolution of the Board of the Agency of the Republic of Kazakhstan on Regulation and Development of Financial Market № 59 dated 16.08.2024 (shall take effect upon expiry of ten calendar days after the day of its first official publication).

      79. Annually, not later than January 20 of the year following the reporting year, the credit bureau shall provide the authorised body with information on the status of the information security management system and its compliance with the Requirements.

      Footnote. Paragraph 79 - as revised by Resolution of the Board of the Agency of the Republic of Kazakhstan on Regulation and Development of Financial Market № 59 of 16.08.2024 (shall come into effect upon expiration of ten calendar days after the day of its first official publication).

      80. Data on the status of the information security management system shall comprise data on (about):

      1) the scope of the credit bureau's information security management system and its participants with specification of compliance of their functionality with the Requirements;

      2) availability of documents governing the creation and operation of the information security management system;

      3) availability and quantitative composition of software and hardware tools applied to ensure information security;

      4) conditions and obligations on information security provided in agreements on rendering services concluded with telecom operators;

      5) availability, logistics and readiness of backup data processing centres;

      6) measures implemented to align the credit bureau's information security management system and information assets with the Requirements.

      Footnote. Paragraph 80 - as revised by Resolution of the Board of the Agency of the Republic of Kazakhstan on Regulation and Development of Financial Market № 59 of 16.08.2024 (shall enter into force ten calendar days after the date of its first official publication).

      81. Data on the status of the information security management system, information security events and incidents shall be reported to the authorised body via an automated information processing system (hereinafter - AIPS) designated for processing information on information security events and incidents and integrated with information security systems or credit bureau systems, collecting and analysing information on events in the information infrastructure in real time or in electronic format using a transport system of guaranteed delivery of information with cryptographic protection means ensuring confidentiality and uncorrectability of the data supplied.

      For a credit bureau with state participation, it shall be permitted to furnish data on information security events and incidents to the authorised body via informatisation objects of the National Bank of the Republic of Kazakhstan integrated with the AIPS.

      Footnote. Paragraph 81 - as revised by Resolution of the Board of the Agency of the Republic of Kazakhstan on Regulation and Development of Financial Market № 59 of 16.08.2024 (shall become effective ten calendar days after the day of its first official publication).

      81-1. The credit bureau shall furnish the authorised body with data on the following information security incidents revealed:

      1) exploitation of vulnerabilities in application and system software;

      2) unauthorised access to the information system;

      3) a denial-of-service attack on an information system or data network;

      4) infection of the server with a malicious programme or code;

      5) unauthorised transfer of funds caused by breach of information security controls;

      6) other information security incidents involving downtime of information systems for more than one hour.

      Data on information security incidents mentioned in this paragraph shall be reported immediately to the credit bureau via AIPS or in electronic format using a transport system of guaranteed information delivery with cryptographic protection means ensuring confidentiality and unadjustability of the reported data.

      For a credit bureau with state participation, it shall be permitted to report data on information security events and incidents to the authorised body via informatisation objects of the National Bank of the Republic of Kazakhstan integrated with the AIPS.

      Footnote. Paragraph 7 has been supplemented with paragraph 81-1 pursuant to Resolution of the Board of the Agency of the Republic of Kazakhstan on Regulation and Development of Financial Market № 59 of 16.08.2024 (shall be put into effect upon expiration of ten calendar days after the date of its first official publication).

      81-2. Data on information security events shall be made available in an automated mode by transmission from information security systems or systems of the credit bureau that collect and analyse information on events in the credit bureau's information infrastructure to the AIPS in real time.

      For a credit bureau with state participation, it shall be permitted to report data on information security events and incidents to the authorised body via informatisation objects of the National Bank of the Republic of Kazakhstan integrated with the AIPS.

      Footnote. Paragraph 7 has been supplemented with paragraph 81-2 pursuant to Resolution of the Board of the Agency of the Republic of Kazakhstan on Regulation and Development of Financial Market № 59 of 16.08.2024 (shall become effective ten calendar days after the date of its first official publication).

Paragraph 8: Information security requirements for the remote service provision software by credit bureaus

      Footnote. Chapter 3 is supplemented by paragraph 8 pursuant to Resolution of the Board of the Agency of the Republic of Kazakhstan on Regulation and Development of Financial Market № 59 of 16.08.2024 (shall come into effect upon expiry of ten calendar days after the day of its first official publication).

      81-3. Software for remote provision of credit bureau services shall cover:

      1) web application server software (hereinafter referred to as web application);

      2) software for mobile devices (hereinafter - mobile application);

      3) software for software interface servers (hereinafter - server software).

      81-4. The credit bureau shall develop and (or) finalise the software for remote service provision in line with the internal documents of the credit bureau governing the procedure for development and (or) finalisation of the software, stages of development and their participants.

      81-5. Where the development and (or) modification of the credit bureau's remote service delivery software is outsourced to a third party organisation and (or) a third party, the credit bureau shall ensure that the third party organisation and (or) third party organisation fulfils the requirements of this Chapter and internal documents, and shall be liable for the security status of the remote service delivery software.

      81-6. The source codes of remote services software developed at the credit bureau shall be archived in specialised code repository management systems located within the security perimeter of the credit bureau, with back-up copying ensured.

      81-7. Regardless of the credit bureau's approach to the development and/or enhancement of remote service delivery software, security testing shall be mandatory and shall cover, at a minimum, the following activities:

      1) static analysis of the source code;

      2) analysis of components and (or) third-party libraries.

      81-8. Static source code analysis of the credit bureau's remote service delivery software shall be conducted with the use of a static source code analysis scanner that supports the analysis of all programming languages used in the software under audit, which functions include, but are not limited to, detecting the following vulnerabilities:

      1) existence of mechanisms that allow malicious code injection;

      2) use of vulnerable operators and functions of programming languages;

      3) use of weak and vulnerable cryptographic algorithms;

      4) using the code that, under certain conditions, causes denial of service or substantial slowdown of the remote service software of the credit bureau;

      5) existence of mechanisms for bypassing the protection systems of the credit bureau's remote service delivery software;

      6) use of open secrets in the code;

      7) breaching application security templates and practices.

      81-9. Analysis of components and (or) third-party libraries of the credit bureau's remote service provision software shall be aimed at identifying known vulnerabilities inherent in the used version of the component and (or) third-party library, as well as tracking dependencies between components and (or) third-party libraries and their versions.

      81-10. The credit bureau shall implement preventive measures to eliminate the vulnerabilities revealed in the order specified by an internal document approved by the executive body. Meanwhile, critical vulnerabilities shall be eliminated prior to the commissioning of the remote service provision software and (or) its new versions.

      81-11. The credit bureau shall launch the remote service delivery software and (or) its new versions upon approval of the information security unit.

      81-12. The credit bureau shall maintain storage and operational access to all versions of source codes of remote service delivery software and security testing results that have been commissioned within the last 3 (three) years.

      81-13. Data exchange between the customer and server sides of the remote service provision software shall be encrypted using Transport Layer Security encryption protocol version 1.2 or higher.

      81-14. When a customer is initially registered in the mobile application, the credit bureau shall biometrically identify the customer via the Identification Data Exchange Centre (hereinafter - IDEC), or using biometric data obtained via the credit bureau's devices.

      81-15. Access code (password) to the mobile application shall be changed using biometric identification of the customer with the use of biometric data confirmed by the IDEC or with the use of biometric data obtained via credit bureau devices.

      81-16. The customer shall be identified and authenticated in the remote service delivery software using two-factor authentication methods (using two out of three factors: knowledge, possession, inalienability) in line with the security procedures established by the internal documents of the credit bureau.

      81-17. The cross-domain authentication mechanism for the remote service delivery software shall be coordinated with the information security unit.

      81-18. The web application shall ensure:

      1) unambiguous identification of the web application belonging to the credit bureau (domain name, logos, corporate colours);

      2) prohibition to store authorisation data in the browser memory;

      3) masking of entered secrets;

      4) informing on the customer's authorisation page of the cyber hygiene measures that are recommended to be followed when using the web application;

      5) handling errors and exclusions in a secure manner, preventing sensitive data from being displayed in the customer interface by providing minimally sufficient error information.

      81-19. The mobile application shall ensure:

      1) unambiguous identification of the mobile application belonging to the credit bureau (data in the official application shop, logos, corporate colours);

      2) blocking the functionality of remote services of the credit bureau in case of detecting signs of breach of integrity and (or) bypassing the protective mechanisms of the operating system, detection of remote management processes;

      3) notification of the customer on the availability of mobile application updates;

      4) the possibility of forced installation of mobile application updates or blocking of mobile application functionality prior to their installation in cases of the need to eliminate critical vulnerabilities;

      5) storage of confidential data in a secure container of the mobile application or storage of system credentials;

      6) exclusion of caching of confidential data;

      7) eliminating sensitive data in public form from the mobile application backups;

      8) informing the customer of the cyber hygiene practices that are recommended to be followed when using the mobile application;

      9) notifying the customer on the events of authorisation under his/her account, change and (or) restoration of password, change of mobile phone number registered by the credit bureau;

      10) in the course of cash transactions - transmission of geolocation data of the mobile device to the credit bureau's server software if authorised by the customer, or transmission of information on the absence of such authorisation.

      81-20. The credit bureau shall ensure on its side:

      1) processing errors and exclusions in a secure manner, without disclosing confidential data in the response, ensuring minimum sufficient information to diagnose the problem;

      2) identification and authentication of mobile applications and associated devices;

      3) validation of data to avoid query spoofing and malware injection attacks.

Chapter 4. Requirements to information security in organization of activities
of information providers

      82. Information provider shall guarantee the integrity and confidentiality of the information, transmitted to the information system of the credit bureau.

      83. The information provider shall provide the appropriate level of information security in accordance with the terms of the contract on provision of information.

      84. The information provider shall provide the performance of organizational-technical, technological requirements and measures necessary for operation and protection of system and applied software used to interact with the information system of the credit bureau.

      85. When using equipment for working with the information system of the credit bureau, the need to protect it from unauthorized access and protection of media and network resources shall be taken into account.

      86. The information provider shall designate the operator (s).

      87. The information provider shall provide a presence of the signed obligations of the operator (s) for non-disclosure and non-distribution of information that became known to them in the course of performance of their duties.

      88. The information provider shall provide the presence of internal documents (including job descriptions), determining the procedure of appointment of operator (s), his (their) rights and responsibilities.

      89. Access to information shall be granted to employees of information providers to the extent necessary for performance of their duties.

      90. The account of the operator, through which he authorizes in the information system of the credit bureau, shall belong to a particular individual.

      91. At the request of the authorized body, an information provider shall provide the information confirming its compliance with the requirements, stipulated by the contract on provision of information.

      92. The operating system of a workstation shall provide the functions for identification and authentication of user and access rights of users and authorization in accordance with the assigned rights.

      93. If a workstation is used to connect to the information system of a credit bureau, the simultaneous connection to other Internet resources shall not be made.

      94. Employees of information provider shall ensure the confidentiality of personal identification and authentication data, used to access information systems.

      95. Employees of information provider shall guarantee the confidentiality of information that became known in the course of using of the information system of the credit bureau.

Chapter 5. Requirements to information security in organization of activities of recipients
of credit reports

      96. The recipient of the credit report shall ensure the confidentiality and integrity of the information, received from the information systems of the credit bureau.

      97. The recipient of the credit report shall ensure the appropriate level of information security in accordance with the terms of the contract on receiving the credit reports.

      98. The recipient of the credit report shall ensure the implementation of organizational-technical, technological requirements and measures necessary for operation and protection of system and applied software, used to interact with the information system of the credit bureau and the processing of the information received.

      99. When using equipment for working with the information system of the credit bureau, the need to protect it from unauthorized access and protection of media, and network resources, used for work with the information system of the credit bureau shall be taken into account.

      100. The recipient of the credit report shall determine and approve the list of responsible persons.

      101. The recipient of the credit report shall ensure the presence of obligations, signed by the responsible (competent) person (s) of the organization, on non-disclosure of the information that became known to them in the course of performance of their duties.

      102. The recipient of the credit report shall ensure the availability of internal documents, defining the procedure for determining and approving the list of responsible persons, their rights and responsibilities (including job descriptions).

      103. Access to information shall be granted to employees to the extent necessary for the performance of their duties.

      104. Account of a responsible person through which he authorizes in the information system of the credit bureau shall correspond to the particular individual.

      105. The recipient of the credit report will carry out the scheduled and unscheduled inspections of compliance of workstations with the Requirements and internal documents of the recipient of a credit report, regulating the information security.

      106. The recipient of the credit report at the request of the authorized body shall submit information confirming its compliance with the requirements, specified in the contract for obtaining credit reports.

      107. Operating system of a workstation shall provide the functions for identification and authentication of user and access rights of users and authorization in accordance with the assigned rights.

      108. The recipient of credit reports shall use its own workstation.

      109. If a workstation is used to connect to the information system of the credit bureau, the simultaneous connection to other Internet resources shall not be made.

      110. Employees of the recipient of credit reports shall ensure the confidentiality of personal identification and authentication data used to access the information systems.

      111. Employees of the recipient of credit reports shall ensure the confidentiality of the information that became known in the course of using the information system of the credit bureau.

  Annex 2
to the resolution of the Board of
the National Bank of the
Republic of Kazakhstan
dated September 27, 2018,
№ 228

Requirements imposed by credit bureaus on information providers and recipients of credit reports

      Footnote. The heading - as revised by Resolution of the Board of the Agency of the Republic of Kazakhstan on Regulation and Development of Financial Market № 59 of 16.08.2024 (shall become effective ten calendar days after the day of its first official publication).

      1. These Requirements imposed by credit bureaus on information providers and credit report recipients (hereinafter referred to as the Requirements) have been drawn up under sub-paragraph 6) of Article 5 of the Law of the Republic of Kazakhstan “On Credit Bureaus and the Formation of Credit Histories in the Republic of Kazakhstan”, and establish requirements for credit bureaus to use information and communication technologies and ensure information security when organising the activities of information providers who are individual entrepreneurs or legal entities, selling goods and services under a loan agreement or granting deferred payments, the systematised attributes thereof are set out in Decree № 25 of the Government of the Republic of Kazakhstan of January 18, 2005 “On Approval of Systematised Attributes of Individual Entrepreneurs or Legal Entities Selling Goods and Services under a Loan Agreement or Granting Deferred Payments” (hereinafter referred to as Decree № 25), natural monopoly entities rendering public utilities services other persons under agreements on provision of information (hereinafter referred to as information providers), as well as recipients of credit reports who are individual entrepreneurs or legal entities, selling goods and services under a loan agreement or granting payment deferrals, the systematised attributes thereof being established by Decree № 25, other persons under the information provision agreements, a representative of bondholders regarding the credit report of the bond issuer with whom an agreement on representation of bondholders' interests has been concluded (hereinafter referred to as the recipients of credit reports).

      Footnote. Paragraph 1 - as revised by Resolution of the Board of the Agency of the Republic of Kazakhstan on Regulation and Development of Financial Market № 59 of 16.08.2024 (shall be enforced upon expiration of ten calendar days after the date of its first official publication).

      2. The requirements of the credit bureaus to the information providers and recipients of credit reports shall be included in the contract on information provision and the contract on receipt of credit reports.

      3. The requirements of credit bureaus to the use of information and communication technologies in organization of activities of information providers and recipients of credit reports shall comply with the requirements of paragraphs 15, 16 and 17 of the Requirements to the use of information and communication technologies and ensuring the information security in organization of the activities of the credit bureaus, information providers and recipients of credit reports, that are banks, organizations, engaged in certain types of banking operations, micro-finance organizations and collection agencies, approved by this resolution.

      4. The requirements of credit bureaus to the provision of information security in organization of activities of information providers and recipients of credit reports shall meet the requirements of chapters 4 and 5 of the Requirements to the use of information and communication technologies and information security in organization of activities of credit bureaus, information providers and recipients of credit reports that are banks, organizations engaged in certain types of banking operations, microfinance organizations and collection agencies, approved by this Resolution.

  Annex 3
to the resolution of the Board
of the National Bank of the
Republic of Kazakhstan
dated September 27, 2018,
№ 228

The list of regulatory legal acts of the Republic of Kazakhstan, as well as structural elements
of some regulatory legal acts of the Republic of Kazakhstan, recognized as invalid

      1. Resolution of the Board of the National Bank of the Republic of Kazakhstan dated May 27, 2015 № 91 "On approval of the Requirements to the use of information and communication technologies and provision of information security in organization of the activities of credit bureaus, information providers and recipients of credit reports" (registered in the Register of state registration of regulatory legal acts under №11669, published on July 30, 2015 in the legal information system "Adilet").

      2. Paragraph 2 of the Resolution of the Board of the National Bank of the Republic of Kazakhstan dated May 30, 2016 № 146 “On amendments and addenda to some regulatory legal acts of the Republic of Kazakhstan on reduction of permits and simplification of authorization procedures (registered in the Register of state registration of regulatory legal acts under №14208, published on October 5, 2016 in the information and legal system "Adilet").

      3. Resolution of the Board of the National Bank of the Republic of Kazakhstan dated June 14, 2017 № 102 "On amendments and addenda to the resolution of the Board of the National Bank of the Republic of Kazakhstan dated May 27, 2015 № 91" On approval of the Requirements to the use of information and communication technologies and provision of information security in organization of the activities of credit bureaus, information providers and recipients of credit reports" (registered in the Register of state registration of regulatory legal acts under № 15608, published on September 15, 2017 in the Reference Control Bank of regulatory legal acts of the Republic of Kazakhstan).