О внесении изменения в постановление Правления Национального Банка Республики Казахстан от 27 сентября 2018 года № 228 «Об утверждении Требований к использованию информационно-коммуникационных технологий и обеспечению информационной безопасности при организации деятельности кредитных бюро, поставщиков информации и получателей кредитных отчетов, а также Требований, предъявляемых кредитными бюро к поставщикам информации и получателям кредитных отчетов»

                     

«ҚАЗАҚСТАН РЕСПУБЛИКАСЫНЫҢ ҚАРЖЫ НАРЫҒЫН РЕТТЕУ ЖӘНЕ ДАМЫТУ АГЕНТТІГІ»   РЕСПУБЛИКАЛЫҚ МЕМЛЕКЕТТІК МЕКЕМЕСІ		РЕСПУБЛИКАНСКОЕ ГОСУДАРСТВЕННОЕ УЧРЕЖДЕНИЕ   «АГЕНТСТВО РЕСПУБЛИКИ КАЗАХСТАН ПО РЕГУЛИРОВАНИЮ И РАЗВИТИЮ ФИНАНСОВОГО РЫНКА»
БАСҚАРМАСЫНЫҢ ҚАУЛЫСЫ		ПОСТАНОВЛЕНИЕ ПРАВЛЕНИЯ

 

                     №                                                                                            от «__» _______ 2025 года

 

Алматы қаласы                                                                                                          город Алматы     

                                        

 

                                                             

О внесении изменения в постановление Правления Национального Банка Республики Казахстан от 27 сентября 2018 года № 228 «Об утверждении Требований к использованию информационно-коммуникационных технологий и обеспечению информационной безопасности при организации деятельности кредитных бюро, поставщиков информации и получателей кредитных отчетов,

а также Требований, предъявляемых кредитными бюро

к поставщикам информации и получателям кредитных отчетов»

 

 

Правление Агентства Республики Казахстан по регулированию и развитию финансового рынка ПОСТАНОВЛЯЕТ:

1. Внести в постановление Правления Национального Банка Республики Казахстан от 27 сентября 2018 года № 228 «Об утверждении Требований к использованию информационно-коммуникационных технологий и обеспечению информационной безопасности при организации деятельности кредитных бюро, поставщиков информации и получателей кредитных отчетов, а также Требований, предъявляемых кредитными бюро к поставщикам информации и получателям кредитных отчетов» (зарегистрировано в Реестре государственной регистрации нормативных правовых актов под № 17702) следующее изменение:

Требования к использованию информационно-коммуникационных технологий и обеспечению информационной безопасности при организации деятельности кредитных бюро, поставщиков информации и получателей кредитных отчетов и Требования, предъявляемые кредитными бюро к поставщикам информации и получателям кредитных отчетов, утвержденные указанным постановлением, изложить в редакции согласно приложениям 1 и 2 к настоящему постановлению.

2. Департаменту информационной и кибербезопасности в установленном законодательством Республики Казахстан порядке обеспечить:

1) совместно с Юридическим департаментом государственную регистрацию настоящего постановления в Министерстве юстиции Республики Казахстан;

2) размещение настоящего постановления на официальном интернет-ресурсе Агентства Республики Казахстан по регулированию и развитию финансового рынка после его официального опубликования;

3) в течение десяти рабочих дней после государственной регистрации настоящего постановления представление в Юридический департамент сведений об исполнении мероприятия, предусмотренного подпунктом 2) настоящего пункта.

3. Контроль за исполнением настоящего постановления возложить на курирующего заместителя Председателя Агентства Республики Казахстан по регулированию и развитию финансового рынка.
4. Настоящее постановление вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования.

 

 

Должность

ФИО

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Приложение 1 к постановлению Правления Агентства Республики Казахстан по регулированию и развитию финансового рынка «__»_________2026 года № _______     Утверждены постановлением Правления Агентства Республики Казахстан по регулированию и развитию финансового рынка от 28 сентября 2018 года №228

 

 

Требования к использованию цифровых технологий и обеспечению информационной безопасности при организации деятельности кредитных бюро, поставщиков информации и получателей кредитных отчетов

 

 

Глава 1. Общие положения

 

1. Требования к использованию цифровых технологий и обеспечению информационной безопасности при организации деятельности кредитных бюро, поставщиков информации и получателей кредитных отчетов разработаны в соответствии с подпунктом 6) статьи 5 Закона Республики Казахстан «О кредитных бюро и формировании кредитных историй в Республике Казахстан» (далее – Закон о кредитных бюро) и устанавливают требования к использованию цифровых технологий и обеспечению информационной безопасности при организации деятельности:

1) кредитных бюро;

2) банков второго уровня;

3) организаций, осуществляющих отдельные виды банковских операций;

4) организаций, осуществляющих микрофинансовую деятельность;

5) коллекторских агентств;

6) сервисных компаний, осуществляющих доверительное управление правами (требованиями) по договорам банковского займа в рамках договора доверительного управления правами (требованиями) по договорам банковского займа, заключенного с (со):

банком второго уровня;

организацией, осуществляющей микрофинансовую деятельность;

организацией, осуществляющей отдельные виды банковских операций, имеющей лицензию на предоставление банковских займов в денежной форме на условиях платности, срочности и возвратности (за исключением межбанковских займов);

коллекторским агентством;

организацией, специализирующейся на улучшении качества кредитных портфелей банков второго уровня;

специальной финансовой компанией, созданной в соответствии с Законом Республики Казахстан «О проектном финансировании и секьюритизации», при сделке секьюритизации;

лицом, осуществляющим выкуп ипотечных займов физических лиц, не связанных с предпринимательской деятельностью, сто процентов акций которого принадлежат Национальному Банку Республики Казахстан;

специальным фондом развития частного предпринимательства - по договору банковского займа, заключенному в рамках сделки по финансированию субъектов частного предпринимательства путем обусловленного размещения средств в банках второго уровня;

иным лицом - в отношении прав (требований) по договору банковского займа с физическим лицом, связанного с осуществлением предпринимательской деятельности, договору банковского займа с юридическим лицом в случае, если по указанным займам на дату уступки имеются признаки обесценения в соответствии с международными стандартами финансовой отчетности;

страховой (перестраховочной) организацией;

7) сервисных компаний, осуществляющих доверительное управление правами (требованиями) по договорам о предоставлении микрокредита в рамках договора доверительного управления правами (требованиями) по договорам о предоставлении микрокредита, заключенного с:

банком второго уровня;

коллекторским агентством;

организацией, осуществляющей микрофинансовую деятельность;

специальной финансовой компанией, созданной в соответствии с Законом Республики Казахстан «О проектном финансировании и секьюритизации», при сделке секьюритизации;

юридическим лицом - залогодержателем прав требования по договору о предоставлении микрокредита при выпуске организацией, осуществляющей микрофинансовую деятельность, обеспеченных облигаций или получении займов;

специальным фондом развития частного предпринимательства - по договору о предоставлении микрокредита, заключенному в рамках сделки по финансированию субъектов частного предпринимательства путем обусловленного размещения средств в микрофинансовых организациях;

иным лицом - в отношении прав (требований) по договору о предоставлении микрокредита заемщику - физическому лицу, связанного с осуществлением предпринимательской деятельности, договору о предоставлении микрокредита заемщику - юридическому лицу в случае, если по указанным микрокредитам на дату уступки имеются признаки обесценения в соответствии с международными стандартами финансовой отчетности;

страховой (перестраховочной) организацией;

8) лиц, указанных в абзаце десятом подпункта 6) и абзаце восьмом подпункта 7) настоящего пункта в случае, если полученные права (требования) по договору банковского займа и (или) по договору о предоставлении микрокредита не переданы данными лицами в доверительное управление сервисной компании;

9) иных лиц, которым переданы права (требования) по договорам банковского займа, договорам займа (кредита) и договорам о предоставлении микрокредита физических лиц;

10) получателей кредитных отчетов, указанных в подпунктах 2), 3), 4), 5), 6), 7), а также в абзаце десятом подпункта 6) и абзаце восьмом подпункта 7) настоящего пункта, в случае если полученные права (требования) по договору банковского займа и (или) по договору о предоставлении микрокредита не переданы данными лицами в доверительное управление сервисной компании.

2. В Требованиях используются понятия, предусмотренные Законом о кредитных бюро, а также следующие понятия:

• поставщики информации - поставщики информации, указанные в подпунктах 1) и 1-1) пункта 1 статьи 18 Закона о кредитных бюро;
• информационный актив – совокупность информации и объекта цифровой инфраструктуры, используемого для ее хранения и (или) обработки;
• цифровая инфраструктура – совокупность объектов цифровой инфраструктуры, предназначенных для обеспечения функционирования технологической среды в целях формирования цифровых ресурсов и предоставления доступа к ним;
• информационная безопасность – состояние защищенности информации, при котором обеспечены её конфиденциальность, целостность и доступность;
• риск информационной безопасности – вероятное возникновение ущерба вследствие нарушения конфиденциальности, преднамеренного нарушения целостности или доступности информационных активов кредитного бюро;
• обеспечение информационной безопасности – процесс, направленный на поддержание состояния конфиденциальности, целостности и доступности информационных активов кредитного бюро;
• инцидент информационной безопасности – отдельно или серийно возникающие сбои в работе цифровой инфраструктуры или отдельных ее объектов, создающие угрозу их надлежащему функционированию и (или) условия для незаконного получения, копирования, распространения, модификации, уничтожения или блокирования цифровых объектов кредитного бюро;
• привилегированная учетная запись – учетная запись в цифровой системе, обладающая привилегиями создания, удаления и изменения прав доступа других учетных записей;
• аудиторский след – хронологическая последовательность записей, которые содержат доказательства изменения данных в результате выполнения функции цифровой системы;
• аутентификация – подтверждение подлинности субъекта или объекта доступа к цифровой системе путем определения соответствия предъявленных реквизитов доступа;
• бизнес-процесс – совокупность взаимосвязанных мероприятий или задач, направленных на создание определенного продукта или услуги для внешнего (клиент) или внутреннего (работник, подразделение кредитного бюро, другой бизнес-процесс) потребителя;
• центр обработки данных – специально выделенное помещение, в котором размещено серверное и коммуникационное оборудование цифровой инфраструктуры кредитного бюро. Центр обработки данных подразделяется на основной и резервный;
• ответственное лицо – работник получателя кредитных отчетов, имеющий доступ к кредитным отчетам;
• рабочая станция – персональный компьютер, используемый для доступа к цифровой системе кредитного бюро;
• бизнес-владелец цифровой системы кредитного бюро – подразделение (работник) кредитного бюро, являющееся (являющийся) владельцем основного бизнес-процесса, который автоматизирует цифровая система кредитного бюро;
• доступ – возможность использования информационных активов;
• оператор – работник, отвечающий за корректность ввода информации в цифровую систему кредитного бюро;
• резервная копия – копия данных на носителе информации, предназначенная для восстановления данных в оригинальном или новом месте их расположения в случае необходимости;
• обеспечение технической безопасности – процесс обеспечения безопасности кредитного бюро с использованием технических средств (системы охранной и пожарной сигнализации, контроля и управления доступом, видеонаблюдения, пожаротушения, контроля температурного режима и влажности в центре обработки данных);
• технологическая учетная запись – учетная запись в цифровой системе, предназначенная для аутентификации между цифровыми системами;
• корректирующая мера – набор организационных и технических мероприятий, направленных на исправление существующей проблемы в процессе обеспечения информационной безопасности либо последствий ее нарушения;
• уполномоченный орган – уполномоченный орган по регулированию, контролю и надзору финансового рынка и финансовых организаций.

 

 

Глава 2. Требования к использованию цифровых технологий

 

3. Кредитное бюро осуществляет разработку цифровой системы (далее – цифровая система кредитного бюро), обеспечивающей:

1) получение информации от поставщика информации;

2) формирование базы данных кредитных историй;

3) формирование, выдачу и хранение кредитных отчетов;

4) идентификацию и аутентификацию пользователей цифровой системы кредитного бюро;

5) ведение аудиторского следа цифровой системы кредитного бюро.

4. Цифровая система кредитного бюро соответствует следующим требованиям:

1) осуществление разработки, внедрения и сопровождения цифровой системы кредитного бюро (или адаптация готового продукта) на основании технического задания и в соответствии с внутренними документами кредитного бюро, регламентирующими этапы и порядок разработки, внесения изменений, тестирования, приема и ввода в промышленную эксплуатацию, а также документирование всех этапов;

2) обеспечение разграничения прав доступа пользователей цифровой системы кредитного бюро;

3) обеспечение управления учетными записями цифровой системы кредитного бюро;

4) обеспечение информационной безопасности защищаемых данных цифровой системы кредитного бюро.

5. Кредитное бюро обеспечивает наличие и разделение сред разработки, тестирования и промышленной эксплуатации цифровой системы кредитного бюро таким образом, чтобы изменения, внесенные в цифровую систему кредитного бюро в любой из этих сред, не оказывали влияния на информационную систему кредитного бюро, расположенную в другой среде. Разработка и доработка цифровой системы кредитного бюро не осуществляется в среде промышленной эксплуатации.
6. Сторонние организации и работники подразделения по информационным технологиям, осуществляющие разработку программного обеспечения, не имеют доступ к переносу изменений цифровой системы кредитного бюро в среде промышленной эксплуатации, а также не имеют администраторский доступ к цифровой системе кредитного бюро в среде промышленной эксплуатации.
7. Перед вводом цифровой системы кредитного бюро в промышленную эксплуатацию настройки, установленные в ней по умолчанию, изменяются на настройки, соответствующие требованиям к информационной безопасности, определенным внутренними документами кредитного бюро. Указанные настройки включают замену паролей, используемых при тестировании, а также удаление всех тестовых учетных записей.
8. Исходные коды (при наличии) и исполняемые модули цифровой системы кредитного бюро хранятся в защищенном хранилище программного обеспечения, которое ведется в пригодном для их восстановления виде.
9. В цифровой системе кредитного бюро обеспечивается ведение аудиторского следа, который отражает следующее:

1) события установления соединений, идентификации, аутентификации и авторизации (успешные и неуспешные);

2) события изменения хранящихся данных;

3) события модификации настроек безопасности;

4) события модификации групп пользователей и их полномочий;

5) события модификации учетных записей пользователей и их полномочий;

6) события, отражающие установку обновлений и (или) изменений в цифровой системе;

7) события изменения параметров ведения аудиторского следа;

8) события изменений системных параметров.

10. Формат аудиторского следа включает следующую информацию:

1) идентификатор (логин) пользователя, совершившего действие;

2) дата и время совершения действия;

3) наименования объектов, с которыми проводилось действие;

4) тип или название совершенного действия администратора или конечного пользователя цифровой системы;

5) результат действия (успешно или не успешно).

11. Срок хранения аудиторского следа составляет не менее 3 (трех) месяцев в оперативном доступе и не менее 1 (одного) года в архивном доступе. Допускается хранение аудиторского следа в специализированной цифровой системе хранения, обработки и анализа событий.
12. Кредитное бюро обеспечивает неизменность аудиторского следа как организационными, так и техническими средствами. Администраторам цифровой системы предоставляется доступ только на перенос журналов аудиторского следа в архив.
13. Центр обработки данных кредитного бюро соответствует следующим требованиям:

1) система бесперебойного электроснабжения обеспечивается двумя или более независимыми вводами электрических сетей, а также автоматически подключаемыми резервными устройствами питания, обеспечивающими автономное электроснабжение в течение не менее двадцати четырех часов;

2) наличие двух или более каналов передачи данных от независимых провайдеров телекоммуникационных услуг, подведенных в здание разными путями, в основном центре обработки данных, а также не менее двух каналов связи в резервном центре обработки данных. Пропускная способность каналов связи обеспечивает предоставление услуг в соответствии с условиями договоров о предоставлении информации и договоров о получении кредитных отчетов.

14. Кредитное бюро в целях обеспечения устойчивого функционирования цифровой системы кредитного бюро соблюдает следующие требования:

1) цифровая система кредитного бюро функционирует на серверной системе, обеспечивающей возможность проведения профилактических работ без прерывания функционирования ее основных сервисов. При использовании технологий виртуализации аппаратных мощностей, виртуальные основные и резервные серверы подлежат размещению на раздельных физических серверах;

2) резервный центр обработки данных кредитного бюро размещается вне местонахождения кредитного бюро и обеспечивает восстановление работы цифровой системы кредитного бюро в срок, не превышающий двенадцати часов с момента прекращения работы основного центра обработки данных.

15. Поставщик информации при подключении к цифровой системе кредитного бюро использует рабочую станцию:

1) соответствующую требованиям кредитного бюро, отраженным в договоре о предоставлении информации;

2) защищенную лицензионным антивирусным программным обеспечением с актуальными антивирусными базами.

16. Получатель кредитных отчетов при подключении к цифровой системе кредитного бюро:

1) обеспечивает наличие одной или нескольких рабочих станций, используемых для подключения только к цифровой системе кредитного бюро;

2) обеспечивает защиту рабочих станций лицензионным антивирусным программным обеспечением с актуальными антивирусными базами.

17. В случае автоматизации процессов передачи информации поставщиком информации кредитному бюро и передачи кредитных отчетов кредитным бюро получателю кредитных отчетов, требования пунктов 15 и 16 Требований не распространяются на поставщиков информации и получателей кредитных отчетов.

 

 

Глава 3. Требования к обеспечению информационной безопасности при организации деятельности кредитных бюро

 

Параграф 1. Требования к организации системы управления информационной безопасностью

 

18. Кредитное бюро обеспечивает информационную безопасность защищенной информации при ее получении, хранении и обработке, а также при подготовке и выдаче кредитных отчетов.
19. Кредитное бюро обеспечивает создание и функционирование системы управления информационной безопасностью, являющейся частью общей системы управления кредитного бюро, предназначенной для управления процессом обеспечения информационной безопасности.
20. Система управления информационной безопасностью обеспечивает защиту информационных активов кредитного бюро, допускающую минимальный уровень потенциального ущерба для бизнес-процессов кредитного бюро.
21. Кредитное бюро в целях обеспечения надлежащего уровня системы управления информационной безопасностью ее развития и улучшения, обеспечивает наличие внутренних документов, определяющих:

1) политику информационной безопасности, включающую:

цели, задачи и основные принципы построения системы управления информационной безопасностью;

область действия системы управления информационной безопасностью;

ответственность в рамках системы управления информационной безопасностью;

распространение и обеспечение доступности политики информационной безопасности;

условия к пересмотру политики информационной безопасности;

2) правила управления информационными активами, включающие:

основные требования к информации с указанием уровней конфиденциальности;

требование по маркировке и паспортизации активов;

порядок обращения с информацией с учетом уровней конфиденциальности;

3) порядок резервного копирования (архивирования), включающий:

требования к резервному и архивному копированию;

порядок тестирования резервных копий;

4) методику оценки и управления рисками информационной безопасности, включающую:

процесс оценки и обработки рисков информационной безопасности;

критерии приемлемости рисков информационной безопасности;

план обработки рисков информационной безопасности;

отчет об оценке и обработке рисков информационной безопасности;

5) процедуры по ограничению доступа и обязанности пользователей цифровой системы (операторов, администраторов цифровых систем), включающие:

порядок прекращения или изменения функциональных обязанностей, включающий требования о неразглашении конфиденциальной информации после завершения действия трудового договора;

порядок обучения и повышения осведомленности;

порядок контроля доступа к информации, цифровым системам, сетям, сервисам, оборудованию и в помещения;

условия регулярного пересмотра прав доступа;

требование к управлению пользовательскими и привилегированными правами доступа;

порядок технической реализации предоставления, изменения, удаления прав доступа;

6) порядок работы с цифровой системой кредитного бюро, включающий:

процедуры разработки и управления изменениями цифровой системы кредитного бюро;

права и обязанности операторов и администраторов цифровой системы кредитного бюро;

7) процедуры управления инцидентами информационной безопасности, включающие:

классификацию инцидентов, порядок оповещения об инцидентах с указанием лиц, подлежащих оповещению;

порядок реагирования и обработки инцидентов;

правила защиты информационных активов от вредоносного программного обеспечения.

22. Участниками системы управления информационной безопасностью кредитного бюро являются:

1) орган управления;

2) исполнительный орган;

3) коллегиальный орган, уполномоченный принимать решения по задачам обеспечения информационной безопасности (далее – коллегиальный орган);

4) подразделение по управлению рисками;

5) подразделение по информационной безопасности;

6) подразделение по информационным технологиям;

7) подразделение по безопасности;

8) подразделение по работе с персоналом;

9) юридическое подразделение;

10) иные подразделения.

Допускается осуществление функций подразделений, указанных в подпунктах 4), 5), 6), 7), 8) и 9) настоящего пункта, ответственными работниками в соответствии с их функциональными обязанностями.

23. Кредитное бюро при создании и функционировании системы управления информационной безопасностью обеспечивает независимость подразделений по информационной безопасности и подразделения по информационным технологиям посредством их подчинения разным членам исполнительного органа кредитного бюро или напрямую руководителю исполнительного органа кредитного бюро.
24. Орган управления кредитного бюро утверждает политику информационной безопасности.
25. Орган управления кредитного бюро утверждает перечень защищаемой информации, включающий в том числе информацию о сведениях, составляющих служебную, коммерческую или иную охраняемую законом тайну (далее – защищаемая информация), и порядок работы с защищаемой информацией.
26. Исполнительный орган кредитного бюро утверждает внутренние документы, регламентирующие процесс управления информационной безопасностью, порядок и периодичность пересмотра которых определяется внутренними документами кредитного бюро.
27. Кредитное бюро создает коллегиальный орган, в состав которого входят представители подразделения по информационной безопасности, подразделения по управлению рисками, подразделения по информационным технологиям, а также при необходимости представители других подразделений кредитного бюро. Руководителем коллегиального органа назначается руководитель исполнительного органа кредитного бюро либо член исполнительного органа кредитного бюро, курирующий деятельность подразделения по информационной безопасности.
28. Подразделение по управлению рисками отвечает за организацию и координацию процесса управления рисками информационной безопасности и осуществляет следующие функции:

1) разработку, внедрение и постоянное развитие системы управления рисками информационной безопасности;

2) разработку процедур по управлению рисками информационной безопасности;

3) анализ процессов в области информационной безопасности;

4) мониторинг и оценку уровня рисков информационной безопасности.

29. Подразделение по информационной безопасности в целях обеспечения конфиденциальности, целостности и доступности информации кредитного бюро осуществляет следующие функции:

• организует систему управления информационной безопасностью осуществляет координацию и контроль деятельности подразделений кредитного бюро по обеспечению информационной безопасности и мероприятий по выявлению и анализу угроз, противодействию атакам и расследованию инцидентов информационной безопасности;
• разрабатывает политику информационной безопасности кредитного бюро;
• обеспечивает методологическую поддержку процесса обеспечения информационной безопасности кредитного бюро;
• осуществляет выбор, внедрение и применение методов, средств и механизмов управления, обеспечения и контроля информационной безопасности кредитного бюро, в рамках своих полномочий;
• осуществляет сбор, консолидацию, хранение и обработку информации об инцидентах информационной безопасности;
• осуществляет анализ информации об инцидентах информационной безопасности;
• подготавливает предложения для принятия коллегиальным органом решения по вопросам информационной безопасности;
• обеспечивает внедрение, надлежащее функционирование программно-технических средств, автоматизирующих процесс обеспечения информационной безопасности кредитного бюро, а также предоставление доступа к ним;
• определяет ограничения по использованию привилегированных учетных записей;
• организует и проводит мероприятия по обеспечению осведомленности работников кредитного бюро в вопросах информационной безопасности;
• осуществляет мониторинг состояния системы управления информационной безопасностью кредитного бюро;
• осуществляет информирование руководства кредитного бюро о состоянии системы управления информационной безопасностью кредитного бюро.

30. Подразделение по информационным технологиям кредитного бюро разрабатывает внутренние документы, определяющие:

1) общую схему цифровой инфраструктуры с указанием физического расположения ее элементов;

2) перечень ответственных администраторов узлов цифровой инфраструктуры (телекоммуникационных устройств, серверов и размещенных на них операционных систем, систем управления базами данных и прикладного программного обеспечения пользователя цифровой системы).

31. Кредитное бюро определяет возможность возложения на подразделение по информационной безопасности функций по обеспечению технической безопасности. Подразделение по информационной безопасности не осуществляет функции, влекущие конфликт интересов с их основными функциями.
32. Кредитное бюро определяет возможность делегирования другим подразделениям следующих функций подразделения по информационной безопасности:

1) внедрение и администрирование программно-технических средств, автоматизирующих процесс обеспечения информационной безопасности кредитного бюро – подразделению по информационным технологиям;

2) организация и проведение мероприятий по обеспечению осведомленности работников кредитного бюро в вопросах информационной безопасности – подразделению по работе с персоналом;

3) учет и обработка событий и инцидентов информационной безопасности, связанных с нарушениями состояния информационной безопасности – подразделению по безопасности или иному подразделению, независимому от подразделения по информационным технологиям.

33. Подразделение по информационным технологиям осуществляет следующие функции:

1) разрабатывает схемы цифровой инфраструктуры кредитного бюро;

2) обеспечивает предоставление доступа пользователям к информационным активам кредитного бюро;

3) обеспечивает конфигурирование системного и прикладного программного обеспечения кредитного бюро;

4) обеспечивает исполнение установленных внутренними документами кредитного бюро требований по непрерывности функционирования цифровой инфраструктуры, конфиденциальности, целостности и доступности данных цифровых систем кредитного бюро (включая резервирование и (или) архивирование и резервное копирование информации);

5) обеспечивает соблюдение требований информационной безопасности при выборе, внедрении, разработке и тестировании информационных систем.

34. Подразделение по безопасности осуществляет следующие функции:

1) реализует меры физической и технической безопасности в кредитном бюро, в том числе организует пропускной и внутриобъектовый режим;

2) проводит профилактические мероприятия, направленные на минимизацию рисков возникновения угроз информационной безопасности при приеме на работу и увольнении работников кредитного бюро.

35. Подразделение по работе с персоналом осуществляет следующие функции:

1) обеспечивает подписание работниками кредитного бюро, а также лицами, привлеченными к работе по договору об оказании услуг, стажерами, практикантами обязательств о неразглашении конфиденциальной информации;

2) участвует в организации процесса повышения осведомленности работников кредитного бюро в области информационной безопасности.

36. Юридическое подразделение осуществляет правовую экспертизу внутренних документов кредитного бюро по вопросам обеспечения информационной безопасности.
37. Руководители структурных подразделений кредитного бюро:

1) обеспечивают ознакомление работников с внутренними документами кредитного бюро, содержащими требования к информационной безопасности (далее – требования к информационной безопасности);

2) несут персональную ответственность за обеспечение информационной безопасности в возглавляемых ими подразделениях;

3) обеспечивают заключение соглашений о неразглашении конфиденциальной информации и включение условий об обеспечении информационной безопасности в соглашения, договоры на оказание услуг/выполнение работ в случаях, когда подразделение кредитного бюро выступает инициатором заключения таких соглашений, договоров.

38. Кредитное бюро определяет бизнес-владельца цифровой системы кредитного бюро, который отвечает за соблюдение требований к информационной безопасности при создании, внедрении, модификации, предоставлении клиентам продуктов и услуг.
39. Работники структурных подразделений кредитного бюро:

1) отвечают за соблюдение требований к информационной безопасности, принятых в кредитном бюро;

2) контролируют исполнение требований к информационной безопасности третьими лицами, с которыми они взаимодействуют в рамках своих функциональных обязанностей, в том числе путем включения указанных требований в договоры с третьими лицами;

3) извещают своего непосредственного руководителя и подразделение по информационной безопасности обо всех подозрительных ситуациях и нарушениях при работе с информационными активами.

 

 

Параграф 2. Требования к организации доступа к информационным активам

 

40. Доступ к информации предоставляется работникам в объеме, необходимом для исполнения их функциональных обязанностей.
41. Доступ к информационным активам кредитного бюро третьих лиц предоставляется на период и в объеме, определяемыми проводимыми работами на основании соглашения, договора, включающего условия о соблюдении требований к информационной безопасности за исключением случаев, предусмотренных законодательством Республики Казахстан. В соглашениях, договорах, заключаемых с поставщиком информации, получателем кредитных отчетов, третьими лицами, содержатся положения о конфиденциальности, условия о возмещении ущерба, возникшего вследствие нарушения информационной безопасности, а также сбоев в работе цифровых систем и нарушения их безопасности, вызванных действием или бездействием кредитного бюро, поставщика информации, получателя кредитных отчетов, третьих лиц.
42. Доступ к цифровой системе кредитного бюро осуществляется после идентификации и аутентификации пользователей.
43. Идентификация и аутентификация пользователей цифровой системы кредитного бюро производится одним из следующих способов:

1) посредством ввода пары «учетная запись (идентификатор) – пароль» и с применением способов двухфакторной аутентификации;

2) с использованием способов биометрической и (или) криптографической и (или) аппаратной аутентификации.

44. В цифровой системе кредитного бюро используются только персонализированные пользовательские учетные записи.
45. Использование технологических учетных записей допускается в соответствии с перечнем таких учетных записей для каждой цифровой системы с указанием лиц, персонально ответственных за их использование и актуальность, утверждаемым руководителем подразделения по информационным технологиям по согласованию с руководителем подразделения по информационной безопасности.
46. В цифровой системе кредитного бюро применяются функции по управлению учетными записями и паролями, а также блокировке учетных записей пользователей, определяемые внутренним документом кредитного бюро.
47. Предоставление физического доступа к информационным активам кредитного бюро осуществляется в соответствии с внутренними документами кредитного бюро.

 

 

Параграф 3. Требования к обеспечению информационной безопасности цифровой системы кредитного бюро

 

48. Информационная безопасность цифровой системы кредитного бюро обеспечивается путем:

1) защиты информации при ее обработке, хранении и передаче;

2) резервирования данных на стороне кредитного бюро;

3) наличия процедур восстановления цифровой системы кредитного бюро после сбоев и отказов оборудования;

4) установления криптографической защиты трафика между кредитным бюро и поставщиком информации и (или) получателем кредитных отчетов.

49. Кредитное бюро обеспечивает антивирусную защиту цифровой инфраструктуры в порядке, установленном внутренним документом кредитного бюро.
50. Подразделение по информационным технологиям определяет порядок внесения изменений цифровых систем по согласованию с подразделением по информационной безопасности.
51. Обновления безопасности цифровых систем, устраняющие критичные уязвимости, устанавливаются не позднее одного месяца со дня их публикации и распространения производителем, за исключением случаев, согласованных с подразделением по информационной безопасности.
52. Обновления цифровой системы кредитного бюро до установки в промышленную среду проходят испытания в тестовой среде.
53. Кредитное бюро обеспечивает резервное хранение данных цифровой системы кредитного бюро, ее файлов и настроек, которое обеспечивает восстановление ее работоспособной копии.
54. Порядок и периодичность резервного копирования, хранения, восстановления информации, периодичность тестирования восстановления работоспособности цифровой системы кредитного бюро из резервных копий определяются внутренним документом кредитного бюро.

 

 

Параграф 4. Требования к процессу обеспечения защиты рабочих станций кредитного бюро

 

55. Кредитным бюро определяется перечень программного обеспечения и оборудования, разрешенных к использованию для работы с цифровой системой кредитного бюро.
56. На рабочие станции не устанавливается программное обеспечение, не предназначенное для исполнения функциональных обязанностей работников кредитного бюро.
57. Внутренними документами кредитного бюро определяются организационные и технические меры, обеспечивающие защиту рабочих станций, а также носителей информации и сетевых ресурсов, используемых для работы с цифровой системой кредитного бюро.
58. В кредитном бюро определяются и внедряются организационные и технические меры, запрещающие пользователям проводить самостоятельно установку и настройку программного обеспечения, рабочих станций и периферийного оборудования.
59. Пользователям цифровой системы кредитного бюро не предоставляются права локального администратора или аналогичные им права, за исключением случаев, когда такие права необходимы для функционирования программного обеспечения, автоматизирующего функции, исполняемые пользователями.
60. Отдельным группам пользователей предоставляется право самостоятельной установки и настройки программного обеспечения и оборудования в случаях, когда это необходимо для исполнения служебных обязанностей. Указанным группам пользователей предоставляются права локального администратора или аналогичные им права.
61. Перечень пользователей, указанных в пунктах 59 и 60 Требований, формируется, актуализируется и утверждается руководителем подразделения по информационным технологиям по согласованию с подразделением по информационной безопасности. В случае предоставления пользователям дополнительных прав в соответствии с пунктами 59 и 60 Требований подразделение по информационной безопасности осуществляет контроль их использования.

 

 

Параграф 5. Требования к процессу обеспечения физической безопасности центров обработки данных кредитных бюро

 

62. Порядок обеспечения физической безопасности центров обработки данных определяется внутренним документом.
63. Центр обработки данных оснащается следующими системами технической безопасности:

1) система контроля и управления доступом;

2) охранная сигнализация;

3) пожарная сигнализация;

4) система автоматического пожаротушения;

5) система поддержания заданных параметров температуры и влажности;

6) система видеонаблюдения;

7) система бесперебойного электропитания.

64. Доступ в центр обработки данных предоставляется работникам кредитного бюро, перечень которых утверждается руководителем подразделения по информационным технологиям по согласованию с подразделением по информационной безопасности.
65. Кредитное бюро ведет журнал системы контроля и управления доступом в центр обработки данных, который хранится не менее 1 (одного) года.
66. Система автоматического пожаротушения центра обработки данных обеспечивает устранение возгорания по всему объему помещения и имеет резервный запас.
67. Система видеонаблюдения центра обработки данных обеспечивает наблюдение за всеми входами в центр обработки данных. В центре обработки данных расстановка видеокамер исключает наличие зон внутри помещения центра обработки данных и перед его входом, не покрытых видеонаблюдением.
68. Запись событий системой видеонаблюдения центра обработки данных ведется непрерывно или с использованием детектора движения.
69. Архив системы видеонаблюдения центра обработки данных хранится не менее 3 (трех) месяцев.
70. В целях предотвращения несанкционированного физического доступа к серверам и активному сетевому оборудованию, находящемуся вне центра обработки данных, внутренними документами кредитного бюро определяются меры по обеспечению их безопасности.

 

 

Параграф 6. Требования к порядку мониторинга и обработки информации об инцидентах информационной безопасности в кредитных бюро

 

71. Информация об инцидентах информационной безопасности, полученная в ходе мониторинга деятельности по обеспечению информационной безопасности, подлежит консолидации и систематизации.
72. Кредитное бюро обеспечивает целостность информации об инцидентах информационной безопасности.
73. В случае, если кредитным бюро определена необходимость мониторинга отдельных источников событий информационной безопасности во внерабочее время, создается круглосуточная служба мониторинга.
74. Кредитным бюро определяется порядок информирования о произошедшем инциденте информационной безопасности руководящих работников и подразделений кредитного бюро.
75. Кредитным бюро определяется порядок принятия неотложных мер к устранению инцидента информационной безопасности, его причин и последствий.
76. В кредитном бюро ведется журнал учета инцидентов информационной безопасности с отражением информации об инциденте информационной безопасности, принятых мерах и предлагаемых корректирующих мерах, на бумажном носителе либо в электронном виде.
77. По результатам обработки инцидента информационной безопасности кредитным бюро проводится всесторонний анализ причин возникновения инцидента информационной безопасности, его механизма и последствий. При сборе технических данных с программно-технических средств, вовлеченных в инцидент информационной безопасности, обеспечивается сохранность и неизменность собранных данных.
78. Информация об инциденте информационной безопасности, а также предложения по принятию корректирующих мер в целях снижения вероятности и возможного ущерба от повторного инцидента информационной безопасности хранятся в кредитном бюро.
79. Для инцидентов информационной безопасности, вероятность возникновения которых высока и не может быть снижена в короткие сроки, кредитным бюро разрабатываются внутренние документы, описывающие алгоритм обработки данных инцидентов информационной безопасности, типовых неотложных мер по локализации инцидентов информационной безопасности и их последствий, методов обработки инцидентов информационной безопасности.

 

 

Параграф 7. Требования к предоставлению информации о состоянии системы управления информационной безопасностью, событиях и инцидентах информационной безопасности кредитных бюро

 

80. Кредитное бюро ежегодно, не позднее 20 января года, следующего за отчетным годом, представляет в уполномоченный орган информацию о состоянии системы управления информационной безопасностью и ее соответствии Требованиям.
81. Информация о состоянии системы управления информационной безопасностью включает сведения о (об):

1) сфере действия системы управления информационной безопасностью кредитного бюро и ее участниках с указанием соответствия их функционала Требованиям;

2) наличии документов, регламентирующих создание и функционирование системы управления информационной безопасностью;

3) наличии и количественном составе программно-технических средств, используемых для обеспечения информационной безопасности;

4) имеющихся в договорах о предоставлении услуг, заключенных с операторами связи, условиях и обязательствах по обеспечению информационной безопасности;

5) наличии, материально-технической обеспеченности и готовности резервных центров обработки данных;

6) проведенных мероприятиях по приведению системы управления информационной безопасностью и информационных активов кредитного бюро в соответствие с Требованиями.

82. Информация о состоянии системы управления информационной безопасностью, событиях и инцидентах информационной безопасности представляется в уполномоченный орган посредством автоматизированной системы обработки информации (далее – АСОИ), предназначенной для обработки информации о событиях и инцидентах информационной безопасности и интегрированной с системами информационной безопасности или системами кредитного бюро, осуществляющими в реальном времени сбор и анализ информации о событиях в цифровой инфраструктуре или в электронном формате с использованием транспортной системы гарантированной доставки информации с криптографическими средствами защиты, обеспечивающей конфиденциальность и некорректируемость представляемых данных.

Для кредитного бюро с государственным участием допускается представление информации о событиях и инцидентах информационной безопасности в уполномоченный орган посредством объектов информатизации Национального Банка Республики Казахстан, интегрированных с АСОИ.

83. Кредитное бюро предоставляет в уполномоченный орган информацию о следующих выявленных инцидентах информационной безопасности:

1) эксплуатация уязвимостей в прикладном и системном программном обеспечении;

2) несанкционированный доступ в цифровую систему;

3) атака «отказ в обслуживании» на цифровую систему или сеть передачи данных;

4) заражение сервера вредоносной программой или кодом;

5) совершение несанкционированного перевода денежных средств вследствие нарушения контролей информационной безопасности;

6) иных инцидентах информационной безопасности, повлекших простои цифровых систем более одного часа.

Информация об инцидентах информационной безопасности, указанных в настоящем пункте, предоставляется незамедлительно кредитным бюро посредством АСОИ или в электронном формате с использованием транспортной системы гарантированной доставки информации с криптографическими средствами защиты, обеспечивающей конфиденциальность и некорректируемость представляемых данных.

Для кредитного бюро с государственным участием допускается представление информации о событиях и инцидентах информационной безопасности в уполномоченный орган посредством объектов информатизации Национального Банка Республики Казахстан, интегрированных с АСОИ.

84. Информация о событиях информационной безопасности предоставляется в автоматизированном режиме путем передачи из систем информационной безопасности или систем кредитного бюро, осуществляющих в реальном времени сбор и анализ информации о событиях в информационной инфраструктуре кредитного бюро в АСОИ.

Для кредитного бюро с государственным участием допускается представление информации о событиях и инцидентах информационной безопасности в уполномоченный орган посредством объектов информатизации Национального Банка Республики Казахстан, интегрированных с АСОИ.

 

 

Параграф 8. Требования к обеспечению информационной безопасности программного обеспечения дистанционного оказания услуг кредитных бюро

 

85. Программное обеспечение дистанционного оказания услуг кредитного бюро включает:

1) программное обеспечение серверов веб-приложений (далее – веб-приложение);

2) программное обеспечение для мобильных устройств (далее – мобильное приложение);

3) программное обеспечение серверов программных интерфейсов (далее – серверное ППО).

86. Разработка и (или) доработка программного обеспечения дистанционного оказания услуг осуществляется кредитным бюро в соответствии с внутренними документами кредитного бюро, регламентирующими порядок разработки и (или) доработки программного обеспечения, этапы разработки и их участников.
87. В случае, если разработка и (или) доработка программного обеспечения дистанционного оказания услуг кредитного бюро передана сторонней организации и (или) третьему лицу, кредитное бюро обеспечивает исполнение сторонней организацией и (или) третьим лицом требований настоящей главы и внутренних документов, отвечает за состояние безопасности программного обеспечения дистанционного оказания услуг.
88. Хранение исходных кодов программного обеспечения дистанционного оказания услуг, разрабатываемых в кредитном бюро, осуществляется в специализированных системах управления репозиториями кода, размещаемых в периметре защиты кредитного бюро, с обеспечением резервного копирования.
89. Независимо от принятого в кредитном бюро подхода к разработке и (или) доработке программного обеспечения дистанционного оказания услуг, обязательным является тестирование безопасности, в ходе которого осуществляются, как минимум, следующие мероприятия:

1) статический анализ исходного кода;

2) анализ компонентов и (или) сторонних библиотек.

90. Статический анализ исходного кода программного обеспечения дистанционного оказания услуг кредитного бюро проводится с использованием сканера статического анализа исходных кодов, поддерживающего анализ всех используемых языков программирования в проверяемом программном обеспечении, в функции которого входит выявление следующих уязвимостей, но не ограничиваясь:

1) наличие механизмов, допускающих инъекции вредоносного кода;

2) использование уязвимых операторов и функций языков программирования;

3) использование слабых и уязвимых криптографических алгоритмов;

4) использование кода, вызывающего при определенных условиях отказ в обслуживании или существенное замедление работы программного обеспечения дистанционного оказания услуг кредитного бюро;

5) наличие механизмов обхода систем защиты программного обеспечения дистанционного оказания услуг кредитного бюро;

6) использование в коде секретов в открытом виде;

7) нарушение шаблонов и практик обеспечения безопасности приложения.

91. Анализ компонентов и (или) сторонних библиотек программного обеспечения дистанционного оказания услуг кредитного бюро проводится с целью выявления известных уязвимостей, присущих используемой версии компонента и (или) сторонней библиотеки, а также отслеживания зависимостей между компонентами и (или) сторонними библиотеками и их версиями.
92. Кредитное бюро обеспечивает реализацию корректирующих мер по устранению выявленных уязвимостей в порядке, определенном внутренним документом, утвержденным исполнительным органом. При этом критичные уязвимости устраняются до ввода в эксплуатацию программного обеспечения дистанционного оказания услуг и (или) его новых версий.
93. Кредитное бюро осуществляет ввод в эксплуатацию программного обеспечения дистанционного оказания услуг и (или) его новых версий после согласования с подразделением по информационной безопасности.
94. Кредитное бюро обеспечивает хранение и доступ в оперативном режиме ко всем версиям исходных кодов программного обеспечения дистанционного оказания услуг и результатов тестирования безопасности, которые были введены в эксплуатацию в течение последних 3 (трех) лет.
95. Обмен данными между клиентской и серверной сторонами программного обеспечения дистанционного оказания услуг шифруется с использованием версии протокола шифрования Transport Layer Security (Транспорт Лэйер Секьюрити) не ниже 1.2.
96. При первичной регистрации клиента в мобильном приложении кредитное бюро осуществляет биометрическую идентификацию клиента посредством Центра обмена идентификационными данными Национального Банка Республики Казахстан (далее – ЦОИД), либо с использованием биометрических данных, полученных посредством устройств кредитного бюро.
97. Изменение кода доступа (пароля) к мобильному приложению осуществляется с применением биометрической идентификации клиента с использованием биометрических данных, подтвержденных ЦОИД, либо с использованием биометрических данных, полученных посредством устройств кредитного бюро.
98. Идентификация и аутентификация клиента в программном обеспечении дистанционного оказания услуг осуществляется с применением способов двухфакторной аутентификации (использованием двух из трех факторов: знания, владения, неотъемлемости) в соответствии с процедурами безопасности, установленными внутренними документами кредитного бюро.
99. Механизм кроссдоменной аутентификации программного обеспечения дистанционного оказания услуг согласовывается с подразделением по информационной безопасности.
100. Веб-приложение обеспечивает:

1) однозначность идентификации принадлежности веб-приложения кредитному бюро (доменное имя, логотипы, корпоративные цвета);

2) запрет на сохранение в памяти браузера авторизационных данных;

3) маскирование вводимых секретов;

4) информирование на странице авторизации клиента о мерах обеспечения кибергигиены, которым рекомендуется следовать при использовании веб-приложения;

5) обработку ошибок и исключений безопасным способом, не допуская отображение в интерфейсе клиента конфиденциальных данных, предоставляя минимально достаточную информацию об ошибке.

101. Мобильное приложение обеспечивает:

1) однозначность идентификации принадлежности мобильного приложения кредитному бюро (данные в официальном магазине приложений, логотипы, корпоративные цвета);

2) блокировку функционала по оказанию дистанционных услуг кредитного бюро в случае обнаружения признаков нарушения целостности и (или) обхода защитных механизмов операционной системы, обнаружения процессов удаленного управления;

3) уведомление клиента о наличии обновлений мобильного приложения;

4) возможность принудительной установки обновлений мобильного приложения или блокировки функционала мобильного приложения до их установки в случаях необходимости устранения критичных уязвимостей;

5) хранение конфиденциальных данных в защищенном контейнере мобильного приложения или хранилище системных учетных данных;

6) исключение кэширования конфиденциальных данных;

7) исключение из резервных копий мобильного приложения конфиденциальных данных в открытом виде;

8) информирование клиента о методах обеспечения кибергигиены, которым рекомендуется следовать при использовании мобильного приложения;

9) информирование клиента о событиях авторизации под его учетной записью, изменения и (или) восстановления пароля, изменения, зарегистрированного кредитным бюро номера мобильного телефона;

10) в ходе осуществления операций с денежными средствами - передачу в серверное ППО кредитного бюро геолокационных данных мобильного устройства при наличии разрешения от клиента либо передачу информации об отсутствии такого разрешения.

102. Кредитное бюро обеспечивает на своей стороне:

1) обработку ошибок и исключений безопасным способом, не допуская в ответе раскрытия конфиденциальных данных, предоставляя минимально достаточную информацию для диагностики проблемы;

2) идентификацию и аутентификацию мобильных приложений и связанных с ними устройств;

3) проверку данных на валидность для предотвращения атак с подделкой запросов и инъекций вредоносного кода.

 

 

Глава 4. Требования к обеспечению информационной безопасности при организации деятельности поставщиков информации

 

103. Поставщик информации обеспечивает целостность и конфиденциальность информации, передаваемой в цифровую систему кредитного бюро.
104. Поставщик информации обеспечивает надлежащий уровень информационной безопасности в соответствии с условиями договора о предоставлении информации.
105. Поставщик информации обеспечивает исполнение организационно-технических, технологических требований и мер, необходимых для функционирования и защиты системного и прикладного программного обеспечения, используемого для взаимодействия с цифровой системой кредитного бюро.
106. При использовании оборудования для работы с цифровой системой кредитного бюро учитывается необходимость его защиты от несанкционированного доступа, а также защиты носителей информации и сетевых ресурсов.
107. Поставщик информации назначает оператора (операторов).
108. Поставщик информации обеспечивает наличие подписанных обязательств оператора (операторов) о неразглашении и нераспространении информации, ставшей им известной в процессе исполнения ими функциональных обязанностей.
109. Поставщик информации обеспечивает наличие внутренних документов (включая должностные инструкции), определяющих порядок назначения оператора (операторов), его (их) права и ответственность.
110. Доступ к информации предоставляется работникам поставщиков информации в объеме, необходимом для исполнения их функциональных обязанностей.
111. Учетная запись оператора, по которой он идентифицируется в цифровой системе кредитного бюро, принадлежит конкретному физическому лицу.
112. Поставщик информации по запросу уполномоченного органа предоставляет сведения, подтверждающие его соответствие требованиям, предусмотренным договором о предоставлении информации.
113. Операционная система рабочей станции обеспечивает функции идентификации и аутентификации пользователя, а также разграничения прав доступа пользователей и авторизацию в соответствии с назначенными правами.
114. При использовании рабочей станции для подключения к цифровой системе кредитного бюро одновременное подключение к другим ресурсам сети Интернет не производится.
115. Работники поставщика информации обеспечивают конфиденциальность персональных идентификационных и аутентификационных данных, используемых для доступа к цифровым системам.
116. Работники поставщика информации обеспечивают конфиденциальность информации, ставшей им известной в процессе использования цифровой системы кредитного бюро.

 

 

Глава 5. Требования к обеспечению информационной безопасности при организации деятельности получателей кредитных отчетов

 

117. Получатель кредитного отчета обеспечивает конфиденциальность и целостность информации, получаемой из цифровой системы кредитного бюро.
118. Получатель кредитного отчета обеспечивает надлежащий уровень информационной безопасности в соответствии с условиями договора о получении кредитных отчетов.
119. Получатель кредитного отчета обеспечивает исполнение организационно-технических, технологических требований и мер, необходимых для функционирования и защиты системного и прикладного программного обеспечения, используемого для взаимодействия с цифровой системой кредитного бюро и обработки получаемой из нее информации.
120. При использовании оборудования для работы с цифровой системой кредитного бюро учитывается необходимость его защиты от несанкционированного доступа, а также защиты носителей информации и сетевых ресурсов, используемых для работы с цифровой системой кредитного бюро.
121. Получатель кредитного отчета определяет и утверждает перечень ответственных лиц.
122. Получатель кредитного отчета обеспечивает наличие подписанных ответственными (ответственным) лицами (лицом) организации обязательств о неразглашении и нераспространении информации, ставшей им известной в процессе исполнения ими функциональных обязанностей.
123. Получатель кредитного отчета обеспечивает наличие внутренних документов, определяющих порядок определения и утверждения перечня ответственных лиц, их права и ответственность (включая должностные инструкции).
124. Доступ к информации предоставляется работникам в объеме, необходимом для исполнения их функциональных обязанностей.
125. Учетная запись ответственного лица, по которой он идентифицируется в цифровой системе кредитного бюро, соответствует конкретному физическому лицу.
126. Получатель кредитного отчета проводит плановые и внеплановые проверки соответствия рабочих станций Требованиям и внутренним документам получателя кредитного отчета, регламентирующим информационную безопасность.
127. Получатель кредитного отчета по запросу уполномоченного органа представляет сведения, подтверждающие его соответствие требованиям, предусмотренным в договоре о получении кредитных отчетов.
128. Операционная система рабочей станции обеспечивает функции идентификации и аутентификации пользователя, а также разграничения прав доступа пользователей и авторизации в соответствии с назначенными правами.
129. Получатель кредитных отчетов использует собственную рабочую станцию.
130. При использовании рабочей станции для подключения к цифровой системе кредитного бюро одновременное подключение к другим ресурсам сети Интернет не производится.
131. Работники получателя кредитных отчетов обеспечивают конфиденциальность персональных идентификационных и аутентификационных данных, используемых для доступа к цифровым системам.
132. Работники получателя кредитных отчетов обеспечивают конфиденциальность информации, ставшей им известной в процессе использования цифровой системы кредитного бюро.

Приложение 2 к постановлению Правления Агентства Республики Казахстан по регулированию и развитию финансового рынка «__»_________2026 года № _______     Утверждены постановлением Правления Агентства Республики Казахстан по регулированию и развитию финансового рынка от 28 сентября 2018 года №228

 

 

Требования, предъявляемые кредитными бюро к поставщикам информации и получателям кредитных отчетов

 

1. Требования, предъявляемые кредитными бюро к поставщикам информации и получателям кредитных отчетов (далее – Требования), разработаны в соответствии с подпунктом 6) статьи 5 Закона Республики Казахстан «О кредитных бюро и формировании кредитных историй в Республике Казахстан» (далее – Закон о кредитных бюро) и определяют требования, предъявляемые кредитными бюро к использованию цифровых технологий и обеспечению информационной безопасности при организации деятельности поставщиков информации, являющихся индивидуальным предпринимателем или юридическим лицом, реализующим товары и услуги в кредит либо предоставляющим отсрочки платежей, систематизированные признаки которых определяются постановлением Правительства Республики Казахстан от 18 января 2005 года № 25 «Об утверждении систематизированных признаков индивидуальных предпринимателей или юридических лиц, реализующих товары и услуги в кредит либо предоставляющих отсрочки платежей» (далее – постановление № 25), субъектами естественной монополии, оказывающими коммунальные услуги, иными лицами на основании договоров о предоставлении информации (далее – поставщики информации), а также получателей кредитных отчетов, являющихся индивидуальным предпринимателем или юридическим лицом, реализующим товары и услуги в кредит либо предоставляющим отсрочки платежей, систематизированные признаки которых определяются постановлением № 25, иными лицами, предусмотренными подпунктами 3) и 4) статьи 20 Закона о кредитных бюро (далее – получатели кредитных отчетов).
2. Требования, предъявляемые кредитными бюро к поставщикам информации и получателям кредитных отчетов, включаются в договор о предоставлении информации и договор о получении кредитных отчетов.
3. Требования, предъявляемые кредитными бюро к использованию цифровых технологий при организации деятельности поставщиков информации и получателей кредитных отчетов, соответствуют требованиям пунктов 15, 16 и 17 Требований к использованию цифровых технологий и обеспечению информационной безопасности при организации деятельности кредитных бюро, поставщиков информации и получателей кредитных отчетов, утвержденных настоящим постановлением.
4. Требования, предъявляемые кредитными бюро к обеспечению информационной безопасности при организации деятельности поставщиков информации и получателей кредитных отчетов, соответствуют требованиям глав 4 и 5 Требований к использованию цифровых технологий и обеспечению информационной безопасности при организации деятельности кредитных бюро, поставщиков информации и получателей кредитных отчетов, утвержденных настоящим постановлением.