О внесении изменений и дополнения в постановление Правления Агентства Республики Казахстан по регулированию и надзору финансового рынка и финансовых организаций от 18 июля 2008 года № 105 "Об утверждении Инструкции об организации информационного процесса

Постановление Правления Национального Банка Республики Казахстан от 25 января 2013 года № 9. Зарегистрировано Министерством юстиции Республики Казахстан 11 марта 2013 года № 8365. Утратило силу постановлением Правления Национального Банка Республики Казахстан от 27 мая 2015 года № 91

Утратил силу

      Сноска. Утратило силу постановлением Правления Национального Банка РК от 27.05.2015 № 91 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      В целях совершенствования нормативных правовых актов Республики Казахстан, Правление Национального Банка Республики Казахстан ПОСТАНОВЛЯЕТ:
      1. Внести в постановление Правления Агентства Республики Казахстан по регулированию и надзору финансового рынка и финансовых организаций от 18 июля 2008 года № 105 «Об утверждении Инструкции об организации информационного процесса в деятельности участников системы формирования кредитных историй и их использования, формирования системы безопасности, установлении минимальных требований к их электронному оборудованию, сохранности базы данных кредитных историй и помещениям» (зарегистрированное в Реестре государственной регистрации нормативных правовых актов под № 5310, опубликованное 15 октября 2008 года в Собрании актов центральных исполнительных и иных центральных государственных органов Республики Казахстан № 10, 31 октября 2008 года в газете «Юридическая газета» № 166 (1566)) следующие изменения и дополнение:
      в Инструкции об организации информационного процесса в деятельности участников системы формирования кредитных историй и их использования, формирования системы безопасности, установлении минимальных требований к их электронному оборудованию, сохранности базы данных кредитных историй и помещениям (далее – Инструкция), утвержденной указанным постановлением:
      пункты 14 и 15 изложить в следующей редакции:
      «14. Для подтверждения соответствия требованиям, предъявляемым к участникам системы формирования кредитных историй и их использования (за исключением микрофинансовой организации и субъекта кредитной истории), поставщик информации или получатель кредитных отчетов направляет в уполномоченный орган в сфере информатизации заявление на бумажном носителе либо через веб-портал «электронного правительства»: www.e.gov.kz (далее – ПЭП) или веб-портал «Е лицензирование» www.elicense.kz (далее – Портал) в виде электронного документа, удостоверенного электронной цифровой подписью (далее - ЭЦП).
      Соблюдение организацией (за исключением микрофинансовой организации) организационно-технических, технологических требований по защите программного обеспечения, соответствие используемых информационных систем установленным Инструкцией и законодательством Республики Казахстан условиям и требованиям, подтверждается комиссией уполномоченного органа в сфере информатизации, созданной совместно с уполномоченным органом по регулированию, контролю и надзору финансового рынка и финансовых организаций (далее - уполномоченный орган), путем составления акта о соответствии требованиям, предъявляемым к участникам системы формирования кредитных историй и их использования (за исключением микрофинансовой организации и субъекта кредитной истории) по форме согласно приложению 1 к Инструкции (далее - акт о соответствии) в виде электронного документа, удостоверенного ЭЦП руководителя комиссии, созданной уполномоченным органом в сфере информатизации совместно с уполномоченным органом.
      Акт о соответствии согласовывается всеми членами комиссии, после чего направляется на подписание представителю проверяемой организации. Если один из членов комиссии не согласен с принятым решением и не согласовывает акт о соответствии, он представляет в письменной форме информацию о причинах своего отказа комиссии и прилагает их к акту о соответствии через ПЭП или Портал.
      Акт о соответствии считается принятым при наличии двух третей решений о согласовании членов комиссии уполномоченного органа в сфере информатизации и двух третей решений о согласовании членов комиссии уполномоченного органа.
      Соблюдение микрофинансовой организацией организационно-технических, технологических требований по защите программного обеспечения, соответствие используемых информационных систем установленным Инструкцией и законодательством Республики Казахстан условиям и требованиям, подтверждается уполномоченным органом путем представления заключения о соответствии требованиям, предъявляемым к микрофинансовой организации по форме согласно приложению 2 к Инструкции (далее – заключение уполномоченного органа).
      15. Обмен информацией между поставщиками информации
(за исключением микрофинансовых организаций), получателями кредитных отчетов и кредитными бюро осуществляется при наличии акта о соответствии с положительным заключением.
      Обмен информацией между микрофинансовыми организациями, получателями кредитных отчетов и кредитными бюро осуществляется при наличии положительного заключения уполномоченного органа.»;
      пункт 22 изложить в следующей редакции:
      «22. К помещению ограниченного доступа поставщиков информации (за исключением микрофинансовой организации) и получателей кредитных отчетов предъявляются требования, установленные подпунктами 1), 3), 4), 5) и 6) пункта 21 Инструкции, а также доступ в помещение ограничивается списком ответственных лиц, каждое посещение которых регистрируется в журнале посещений с указанием фамилии, имени, при наличии - отчества, должности, даты, времени и цели посещения.
      К помещению ограниченного доступа микрофинансовой организации предъявляются требования, установленные в подпунктах 1), 3), 4) и 5)  пункта 21 Инструкции, а также доступ в помещение ограничивается списком ответственных лиц, каждое посещение которых регистрируется в журнале посещений с указанием фамилии, имени, при наличии - отчества, должности, даты, времени и цели посещения.
      При наличии общей системы охранной сигнализации в здании, в котором расположена микрофинансовая организация, отдельная охранная сигнализация на помещение ограниченного доступа микрофинансовой организации не требуется.»;
      пункты 3233 и 34 изложить в следующей редакции:
      «32. Требования к организации (за исключением микрофинансовой организации) по обеспечению безопасности информации:
      1) наличие защищенного канала передачи данных с шифрованием трафика с помощью аппаратных граничных маршрутизаторов;
      2) наличие системы обнаружения (предотвращения) атак из сети Интернет в компьютерную сеть организации с помощью межсетевого экрана;
      3) наличие системы криптографической защиты компьютеров с помощью криптоключей и систем идентификации пользователя;
      4) наличие аппаратного сетевого анализатора трафика по идентификатору управления доступом к носителю сетевых карт пользователей;
      5) наличие системы резервного копирования - библиотеки на внешние носители информации.
      Для реализации вышеуказанных требований кредитное бюро проводит анализ и оценку рисков, уязвимостей и угроз для обеспечения безопасности информации.
      На микрофинансовую организацию распространяются требования по обеспечению безопасности информации, предусмотренные в подпунктах 2) и 5) настоящего пункта.
      33. Организация (за исключением микрофинансовой организации) в процессе своей деятельности выполняет следующие требования:
      1) наличие службы информационной безопасности;
      2) наличие ответственных лиц по кредитным историям;
      3) наличие политики информационной безопасности;
      4) наличие политики формирования и использования паролей;
      5) наличие политики резервного копирования (архивирования);
      6) наличие документации с описанием процедур по ограничению доступа и обязанностей пользователей, администраторов безопасности, системных администраторов.
      Микрофинансовая организация в процессе своей деятельности выполняет требование, установленное в подпункте 2) настоящего пункта.
      34. Организация (за исключением микрофинансовой организации) принимает внутренний документ, который определяет порядок работы с информационной системой, включающий:
      1) порядок назначения сотрудников, на которых возлагаются обязанности ответственных лиц;
      2) режим работы;
      3) права и обязанности ответственных лиц, включая должностные инструкции;
      4) список сотрудников, допущенных к рабочему месту оператора;
      5) список сотрудников, допускаемых к рабочему месту оператора в особых случаях (в кризисных ситуациях, а также в случаях замещения сотрудника).
      На микрофинансовую организацию распространяются требования, предусмотренные в подпунктах 3), 4), 5) настоящего пункта.»;
      приложение к Инструкции изложить в редакции в соответствии с приложением 1 к настоящему постановлению;
      дополнить приложением 2 к Инструкции в соответствии с приложением 2 к настоящему постановлению.
      2. Настоящее постановление вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования.

      Председатель
      Национального Банка                        Г. Марченко

      СОГЛАСОВАНО
      Министерство транспорта
      и коммуникаций
      Республики Казахстан
      Министр      А. Жумагалиев
      __________ «___» _________ 2013 года

Приложение 1     
к постановлению Правления
Национального Банка  
Республики Казахстан  
от 25 января 2013 года № 9 

«Приложение 1
к Инструкции об организации информационного процесса в
деятельности участников системы формирования кредитных
историй и их использования, формирования системы
безопасности, установления минимальных требований к их
электронному оборудованию, сохранности базы данных
кредитных историй и помещениям

                                                                Форма

                              АКТ
            о соответствии _________________________
                         (наименование участника)
               требованиям, предъявляемым к участникам
                системы формирования кредитных историй и
             их использования (за исключением микрофинансовой
                  организации и субъекта кредитной истории)

      _________________                           ________________
      место составления                           дата составления

      Настоящий акт о готовности участника системы формирования
кредитных историй и их использования к началу своей деятельности на
рынке информационных услуг и выполнении им требований по организации
информационного процесса в деятельности участников системы
формирования кредитных историй и их использования, формирования
системы безопасности, выполнении минимальных требований к их
электронному оборудованию, сохранности базы данных кредитных историй
и помещениям составлен комиссией в следующем составе:
      представители уполномоченного органа в сфере информатизации:
________________________________________________________________
________________________________________________________________
________________________________________________________________
________________________________________________________________
      представители уполномоченного органа:
_______________________________________________________________
________________________________________________________________
________________________________________________________________
В работе комиссии участвуют представители участника системы
формирования кредитных историй и их использования:
_________________________________________________________________
_________________________________________________________________
_________________________________________________________________
Подробное описание обследованных объектов и изученных комиссией
документов:
_________________________________________________________________
_________________________________________________________________
_________________________________________________________________
Краткое содержание пояснений представителей участника системы
формирования кредитных историй и их использования:
_________________________________________________________________
_________________________________________________________________
_________________________________________________________________
Проверкой комиссией технических и иных документов участника системы
формирования кредитных историй и их использования _______
________________________, обследованием его технических помещений,
электронно-компьютерного оборудования, систем связи и защитных
устройств и иных объектов, предназначенных для работы в системе
формирования кредитных историй и их использования установлено
__________________________________________________________________
__________________________________________________________________
(соответствие (не соответствие) предъявляемым требованиям и
достаточность (недостаточность) для начала (продолжения) деятельности
организации на рынке информационных услуг).
Участником системы формирования кредитных историй и их использования
предъявлена следующая техническая документация и иные документы,
которые приложены к акту комиссии:
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
Члены комиссии:
_________________ __________________ ____________________________
(должность)             (ФИО)          согласовано/не согласовано
_________________ __________________ ____________________________
(должность)             (ФИО)          согласовано/не согласовано
_________________ __________________ ____________________________
(должность)             (ФИО)          согласовано/не согласовано
Руководитель комиссии:
___________________________________________________________________»
                          (ЭЦП)

Приложение 2  
к постановлению Правления
Национального Банка 
Республики Казахстан 
от 25 января 2013 года № 9

«Приложение 2
к Инструкции об организации информационного процесса в
деятельности участников системы формирования кредитных
историй и их использования, формирования системы
безопасности, установления минимальных требований к их
электронному оборудованию, сохранности базы данных
кредитных историй и помещениям

                                                                Форма

                             Заключение
      о соответствии _______________________________________
                   (наименование микрофинансовой организации)
      требованиям, предъявляемым к микрофинансовой организации
             ____________________      ____________________
               место составления         дата составления

      Заключение о готовности микрофинансовой организации к началу
своей деятельности на рынке информационных услуг и выполнении ею
требований по организации информационного процесса в деятельности
участников системы формирования кредитных историй и их использования,
формирования системы безопасности, выполнении минимальных требований
к их электронному оборудованию, сохранности базы данных кредитных
историй и помещениям составлено представителями уполномоченного
органа в следующем составе:
_______________________________________________________________
_______________________________________________________________
_______________________________________________________________
      Подробное описание обследованных объектов и изученных
документов:
_______________________________________________________________
_______________________________________________________________
_______________________________________________________________

      Проверкой технических и иных документов микрофинансовой
организации _______________________________, обследованием ее
технических помещений, электронно-компьютерного оборудования,
систем связи и защитных устройств и иных объектов, предназначенных
для работы в системе формирования кредитных историй и их
использования установлено
_______________________________________________________________
_______________________________________________________________
      (соответствие (не соответствие) предъявляемым требованиям и
достаточность (недостаточность) для начала (продолжения) деятельности
организации на рынке информационных услуг).
      Представители уполномоченного органа:
_______________________________________________________________
_______________________________________________________________
_______________________________________________________________».