Постановление Правления Национального Банка Республики Казахстан от 25 января 2013 года № 9 О внесении изменений и дополнения в постановление Правления Агентства Республики Казахстан по регулированию и надзору финансового рынка и финансовых организаций от 18 июля 2008 года № 105 «Об утверждении Инструкции об организации информационного процесса в деятельности участников системы формирования кредитных историй и их использования, формирования системы безопасности, установлении минимальных требований к их электронному оборудованию, сохранности базы данных кредитных историй и помещениям»

В целях совершенствования нормативных правовых актов Республики Казахстан, Правление Национального Банка Республики Казахстан ПОСТАНОВЛЯЕТ:

1. Внести в постановление Правления Агентства Республики Казахстан по регулированию и надзору финансового рынка и финансовых организаций от 18 июля 2008 года № 105 «Об утверждении Инструкции об организации информационного процесса в деятельности участников системы формирования кредитных историй и их использования, формирования системы безопасности, установлении минимальных требований к их электронному оборудованию, сохранности базы данных кредитных историй и помещениям» (зарегистрированное в Реестре государственной регистрации нормативных правовых актов под № 5310, опубликованное 15 октября 2008 года в Собрании актов центральных исполнительных и иных центральных государственных органов Республики Казахстан № 10, 31 октября 2008 года в газете «Юридическая газета» № 166 (1566)) следующие изменения и дополнение:

в Инструкции об организации информационного процесса в деятельности участников системы формирования кредитных историй и их использования, формирования системы безопасности, установлении минимальных требований к их электронному оборудованию, сохранности базы данных кредитных историй и помещениям (далее - Инструкция), утвержденной указанным постановлением:

пункты 14 и 15 изложить в следующей редакции:

«14. Для подтверждения соответствия требованиям, предъявляемым к участникам системы формирования кредитных историй и их использования (за исключением микрофинансовой организации и субъекта кредитной истории), поставщик информации или получатель кредитных отчетов направляет в уполномоченный орган в сфере информатизации заявление на бумажном носителе либо через веб-портал «электронного правительства»: www.e.gov.kz (далее - ПЭП) или веб-портал «Е лицензирование» www.elicense.kz (далее - Портал) в виде электронного документа, удостоверенного электронной цифровой подписью (далее - ЭЦП).

Соблюдение организацией (за исключением микрофинансовой организации) организационно-технических, технологических требований по защите программного обеспечения, соответствие используемых информационных систем установленным Инструкцией и законодательством Республики Казахстан условиям и требованиям, подтверждается комиссией уполномоченного органа в сфере информатизации, созданной совместно с уполномоченным органом по регулированию, контролю и надзору финансового рынка и финансовых организаций (далее - уполномоченный орган), путем составления акта о соответствии требованиям, предъявляемым к участникам системы формирования кредитных историй и их использования (за исключением микрофинансовой организации и субъекта кредитной истории) по форме согласно приложению 1 к Инструкции (далее - акт о соответствии) в виде электронного документа, удостоверенного ЭЦП руководителя комисии, созданной уполномоченным органом в сфере информатизации совместно с уполномоченным органом.

Акт о соответствии согласовывается всеми членами комиссии, после чего направляется на подписание представителю проверяемой организации. Если один из членов комиссии не согласен с принятым решением и не согласовывает акт о соответствии, он представляет в письменной форме информацию о причинах своего отказа комиссии и прилагает их к акту о соответствии через ПЭП или Портал.

Акт о соответствии считается принятым при наличии двух третей решений о согласовании членов комиссии уполномоченного органа в сфере информатизации и двух третей решений о согласовании членов комиссии уполномоченного органа.

Соблюдение микрофинансовой организацией организационно-технических, технологических требований по защите программного обеспечения, соответствие используемых информационных систем установленным Инструкцией и законодательством Республики Казахстан условиям и требованиям, подтверждается уполномоченным органом путем представления заключения о соответствии требованиям, предъявляемым к микрофинансовой организации по форме согласно приложению 2 к Инструкции (далее - заключение уполномоченного органа).

15. Обмен информацией между поставщиками информации (за исключением микрофинансовых организаций), получателями кредитных отчетов и кредитными бюро осуществляется при наличии акта о соответствии с положительным заключением.

Обмен информацией между микрофинансовыми организациями, получателями кредитных отчетов и кредитными бюро осуществляется при наличии положительного заключения уполномоченного органа.»;

пункт 22 изложить в следующей редакции:

«22. К помещению ограниченного доступа поставщиков информации (за исключением микрофинансовой организации) и получателей кредитных отчетов предъявляются требования, установленные подпунктами 1), 3), 4), 5) и 6) пункта 21 Инструкции, а также доступ в помещение ограничивается списком ответственных лиц, каждое посещение которых регистрируется в журнале посещений с указанием фамилии, имени, при наличии - отчества, должности, даты, времени и цели посещения.

К помещению ограниченного доступа микрофинансовой организации предъявляются требования, установленные в подпунктах 1), 3), 4) и 5) пункта 21 Инструкции, а также доступ в помещение ограничивается списком ответственных лиц, каждое посещение которых регистрируется в журнале посещений с указанием фамилии, имени, при наличии - отчества, должности, даты, времени и цели посещения.

При наличии общей системы охранной сигнализации в здании, в котором расположена микрофинансовая организация, отдельная охранная сигнализация на помещение ограниченного доступа микрофинансовой организации не требуется.»;

пункты 32, 33 и 34 изложить в следующей редакции:

«32. Требования к организации (за исключением микрофинансовой организации) по обеспечению безопасности информации:

1) наличие защищенного канала передачи данных с шифрованием трафика с помощью аппаратных граничных маршрутизаторов;

2) наличие системы обнаружения (предотвращения) атак из сети Интернет в компьютерную сеть организации с помощью межсетевого экрана;

3) наличие системы криптографической защиты компьютеров с помощью криптоключей и систем идентификации пользователя;

4) наличие аппаратного сетевого анализатора трафика по идентификатору управления доступом к носителю сетевых карт пользователей;

5) наличие системы резервного копирования - библиотеки на внешние носители информации.

Для реализации вышеуказанных требований кредитное бюро проводит анализ и оценку рисков, уязвимостей и угроз для обеспечения безопасности информации.

На микрофинансовую организацию распространяются требования по обеспечению безопасности информации, предусмотренные в подпунктах 2) и 5) настоящего пункта.

33. Организация (за исключением микрофинансовой организации) в процессе своей деятельности выполняет следующие требования:

1) наличие службы информационной безопасности;

2) наличие ответственных лиц по кредитным историям;

3) наличие политики информационной безопасности;

4) наличие политики формирования и использования паролей;

5) наличие политики резервного копирования (архивирования);

6) наличие документации с описанием процедур по ограничению доступа и обязанностей пользователей, администраторов безопасности, системных администраторов.

Микрофинансовая организация в процессе своей деятельности выполняет требование, установленное в подпункте 2) настоящего пункта.

34. Организация (за исключением микрофинансовой организации) принимает внутренний документ, который определяет порядок работы с информационной системой, включающий:

1) порядок назначения сотрудников, на которых возлагаются обязанности ответственных лиц;<