Об утверждении Требований к использованию информационно-коммуникационных технологий и обеспечению информационной безопасности при организации деятельности кредитных бюро, поставщиков информации и получателей кредитных отчетов, являющихся банками, организациями, осуществляющими отдельные виды банковских операций, микрофинансовыми организациями и коллекторскими агентствами, а также Требований, предъявляемых кредитными бюро к поставщикам информации и получателям кредитных отчетов в соответствии с подпунктом 11) пункта 2 и подпунктом 9) пункта 3 статьи 27 Закона Республики Казахстан от 6 июля 2004 года «О кредитных бюро и формировании кредитных историй в Республике Казахстан» Постановление Правления Национального Банка Республики Казахстан от 27 сентября 2018 года № 228. Зарегистрировано в Министерстве юстиции Республики Казахстан 6 ноября 2018 года № 17702

В соответствии с Законом Республики Казахстан от 6 июля 2004 года «О кредитных бюро и формировании кредитных историй в Республике Казахстан» Правление Национального Банка Республики Казахстан ПОСТАНОВЛЯЕТ:

1. Утвердить:

1) Требования к использованию информационно-коммуникационных технологий и обеспечению информационной безопасности при организации деятельности кредитных бюро, поставщиков информации и получателей кредитных отчетов, являющихся банками, организациями, осуществляющими отдельные виды банковских операций, микрофинансовыми организациями и коллекторскими агентствами, согласно приложению 1 к настоящему постановлению;

2) Требования, предъявляемые кредитными бюро к поставщикам информации и получателям кредитных отчетов в соответствии с подпунктом 11) пункта 2 и подпунктом 9) пункта 3 статьи 27 Закона Республики Казахстан от 6 июля 2004 года «О кредитных бюро и формировании кредитных историй в Республике Казахстан», согласно приложению 2 к настоящему постановлению.

2. Признать утратившими силу нормативные правовые акты Республики Казахстан, а также структурные элементы некоторых нормативных правовых актов Республики Казахстан по перечню согласно приложению 3 к настоящему постановлению.

3. Управлению информационных угроз и киберзащиты (Перминов Р.В.) в установленном законодательством Республики Казахстан порядке обеспечить:

1) совместно с Юридическим департаментом (Сарсенова Н.В.) государственную регистрацию настоящего постановления в Министерстве юстиции Республики Казахстан;

2) в течение десяти календарных дней со дня государственной регистрации настоящего постановления его направление на казахском и русском языках в Республиканское государственное предприятие на праве хозяйственного ведения «Республиканский центр правовой информации» для официального опубликования и включения в Эталонный контрольный банк нормативных правовых актов Республики Казахстан;

3) размещение настоящего постановления на официальном интернет-ресурсе Национального Банка Республики Казахстан после его официального опубликования;

4) в течение десяти рабочих дней после государственной регистрации настоящего постановления представление в Юридический департамент сведений об исполнении мероприятий, предусмотренных подпунктами 2), 3) настоящего пункта и пунктом 4 настоящего постановления.

4. Управлению по защите прав потребителей финансовых услуг и внешних коммуникаций (Терентьев А.Л.) обеспечить в течение десяти календарных дней после государственной регистрации настоящего постановления направление его копии на официальное опубликование в периодические печатные издания.

5. Контроль за исполнением настоящего постановления возложить на заместителя Председателя Национального Банка Республики Казахстан Смолякова О.А.

6. Настоящее постановление вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования.

Председатель Национального Банка Д. Акишев

1. Настоящие Требования к использованию информационно-коммуникационных технологий и обеспечению информационной безопасности при организации деятельности кредитных бюро, поставщиков информации и получателей кредитных отчетов, являющихся банками, организациями, осуществляющими отдельные виды банковских операций, микрофинансовыми организациями и коллекторскими агентствами, (далее – Требования) разработаны в соответствии с Законом Республики Казахстан от 6 июля 2004 года «О кредитных бюро и формировании кредитных историй в Республике Казахстан» (далее - Закон о кредитных бюро) и устанавливают требования к использованию информационно-коммуникационных технологий и обеспечению информационной безопасности при организации деятельности кредитных бюро, поставщиков информации и получателей кредитных отчетов, являющихся банками, организациями, осуществляющими отдельные виды банковских операций, микрофинансовыми организациями и коллекторскими агентствами.

2. В Требованиях используются понятия, предусмотренные Законом о кредитных бюро, а также следующие понятия:

1) поставщики информации - поставщики информации, указанные в подпункте 1) пункта 1 статьи 18 Закона о кредитных бюро;

2) информационный актив - совокупность информации и объекта информационно-коммуникационной инфраструктуры, используемого для ее хранения и (или) обработки;

3) информационно-коммуникационная инфраструктура (далее - информационная инфраструктура) - совокупность объектов информационной инфраструктуры, предназначенных для обеспечения функционирования технологической среды в целях формирования электронных информационных ресурсов и предоставления доступа к ним;

4) информационная безопасность - состояние защищенности электронных информационных ресурсов, информационных систем и информационно-коммуникационной инфраструктуры от внешних и внутренних угроз;

5) риск информационной безопасности - вероятное возникновение ущерба вследствие нарушения конфиденциальности, преднамеренного нарушения целостности или доступности информационных активов кредитного бюро;

6) обеспечение информационной безопасности - процесс, направленный на поддержание состояния конфиденциальности, целостности и доступности информационных активов кредитного бюро;

7) инцидент информационной безопасности - отдельно или серийно возникающие сбои в работе информационной инфраструктуры или отдельных ее объектов, создающие угрозу их надлежащему функционированию и (или) условия для незаконного получения, копирования, распространения, модификации, уничтожения или блокирования электронных информационных ресурсов кредитного бюро;

8) привилегированная учетная запись - учетная запись в информационной системе, обладающая привилегиями создания, удаления и изменения прав доступа других учетных записей;

9) аудиторский след - хронологическая последовательность записей, которые содержат доказательства изменения данных в результате выполнения функции информационной системы;

10) аутентификация - подтверждение подлинности субъекта или объекта доступа к информационной системе путем определения соответствия предъявленных реквизитов доступа;

11) бизнес-процесс - совокупность взаимосвязанных мероприятий или задач, направленных на создание определенного продукта или услуги для внешнего (клиент) или внутреннего (работник, подразделение кредитного бюро, другой бизнес-процесс) потребителя;

12) виртуальная среда - вычислительные ресурсы или их логическое объединение, абстрагированное от аппаратной реализации, обеспечивающие логическую изоляцию друг от друга вычислительных процессов, выполняемых на одном физическом ресурсе;

13) центр обработки данных - специально выделенное помещение, в котором размещено серверное и коммуникационное оборудование информационной инфраструктуры кредитного бюро. Центр обработки данных подразделяется на основной и резервный;

14) ответственное лицо - работник получателя кредитных отчетов, имеющий доступ к кредитным отчетам;

15) рабочая станция - персональный компьютер, используемый для доступа к информационной системе кредитного бюро;

16) бизнес-владелец информационной системы кредитного бюро - подразделение (работник) кредитного бюро, являющееся (являющийся) владельцем основного бизнес-процесса, который автоматизирует информационная система кредитного бюро;

17) получатели кредитных отчетов - получатели кредитных отчетов, указанные в подпункте 1) части первой пункта 1 статьи 20 Закона о кредитных бюро;

18) доступ - возможность использования информационных активов;

19) оператор - работник, отвечающий за корректность ввода информации в информационную систему кредитного бюро;

20) резервная копия - копия данных на носителе информации, предназначенная для восстановления данных в оригинальном или новом месте их расположения в случае необходимости;

21) обеспечение технической безопасности - процесс обеспечения безопасности кредитного бюро с использованием технических средств (системы охранной и пожарной сигнализации, контроля и управления доступом, видеонаблюдения, пожаротушения, контроля температурного режима и влажности в центре обработки данных);

22) технологическая учетная запись - учетная запись в информационной системе, предназначенная для аутентификации между информационными системами;

23) корректирующая мера - набор организационных и технических мероприятий, направленных на исправление существующей проблемы в процессе обеспечения информационной безопасности либо последствий ее нарушения;

24) уполномоченный орган - уполномоченный орган по регулированию, контролю и надзору финансового рынка и финансовых организаций.

3. Кредитное бюро осуществляет разработку информационной системы (далее – информационная система кредитного бюро), обеспечивающей:

1) получение информации от поставщика информации;

2) формирование базы данных кредитных историй;

3) формирование, выдачу и хранение кредитных отчетов;