О внесении изменений и дополнения в постановление Правления Национального Банка Республики Казахстан от 27 мая 2015 года № 91 "Об утверждении Требований к использованию информационно-коммуникационных технологий и обеспечению информационной безопасности пр

Постановление Правления Национального Банка Республики Казахстан от 14 июня 2017 года № 102. Зарегистрировано в Министерстве юстиции Республики Казахстан 5 сентября 2017 года № 15608. Утратило силу постановлением Правления Национального Банка Республики Казахстан от 27 сентября 2018 года № 228 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования)

Утратил силу

      Сноска. Утратило силу постановлением Правления Национального Банка РК от 27.09.2018 № 228 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      В целях совершенствования нормативных правовых актов Республики Казахстан Правление Национального Банка Республики Казахстан ПОСТАНОВЛЯЕТ:

      1. Внести в постановление Правления Национального Банка Республики Казахстан от 27 мая 2015 года № 91 "Об утверждении Требований к использованию информационно-коммуникационных технологий и обеспечению информационной безопасности при организации деятельности кредитных бюро, поставщиков информации и получателей кредитных отчетов" (зарегистрированное в Реестре государственной регистрации нормативных правовых актов под № 11669, опубликованное 30 июля 2015 года в информационно-правовой системе "Әділет") следующие изменения и дополнение:

      в заголовок внесено изменение на государственном языке, текст на русском языке не меняется;

      в пункт 1 внесено изменение на государственном языке, текст на русском языке не меняется;

      в Требованиях к использованию информационно-коммуникационных технологий и обеспечению информационной безопасности при организации деятельности кредитных бюро, поставщиков информации и получателей кредитных отчетов, утвержденных указанным постановлением:

      в заголовок внесено изменение на государственном языке, текст на русском языке не меняется;

      в пункт 1 внесено изменение на государственном языке, текст на русском языке не меняется;

      пункт 2 изложить в следующей редакции:

      "2. В Требованиях используются понятия, предусмотренные Законом о кредитном бюро, и следующие понятия:

      1) администратор безопасности информационных систем (далее – администратор) – работник организации, обеспечивающий функционирование системы электронного получения и (или) передачи данных, реализацию мер по их защите, осуществляющий генерацию поступающей и (или) передаваемой информации, с учетом его функций и полномочий;

      2) комплекс мер по защите информационной системы – организационно-технические мероприятия, направленные на обеспечение безопасного функционирования информационной системы формирования и использования кредитных историй, в том числе программно-аппаратная защита электронных средств и компьютеров от несанкционированного доступа, обеспечивающая контроль доступа к установленному программному обеспечению и информации, предоставляющая средства разграничения полномочий зарегистрированных пользователей;

      3) политика информационной безопасности – внутренний документ, регламентирующий порядок управления, защиты и распределения информации ограниченного распространения;

      4) информационная среда – среда взаимодействия информационной системы участников системы формирования и использования кредитных историй с ее компонентами и информационными ресурсами;

      5) аутентификация – подтверждение подлинности субъекта или объекта доступа путем определения соответствия предъявленных реквизитов доступа, имеющимся в системе;

      6) ответственное лицо – оператор, администратор, ответственное лицо по кредитным историям и иные работники организации, ответственные за реализацию процесса приема, передачи и формирования кредитных историй;

      7) ответственное лицо по кредитным историям – работник организации, непосредственно осуществляющий подготовку, обработку, редактирование, прием и передачу кредитных историй с использованием подсистемы защиты;

      8) информационная система участников системы формирования и использования кредитных историй (далее – информационная система) – совокупность информационных технологий, информационных сетей и средств их программно-технического обеспечения, предназначенных для реализации информационных процессов поставщиками информации, кредитными бюро, получателями кредитных отчетов и субъектами кредитных историй;

      9) помещение ограниченного доступа – помещение, в котором разрешается пребывание ограниченного круга лиц и доступ других лиц осуществляется только в сопровождении специально допущенных работников;

      10) ключевая информация – криптографические ключи и ключи электронной цифровой подписи;

      11) оператор – работник организации, непосредственно осуществляющий подготовку, обработку, прием и передачу сообщений с использованием подсистемы защиты;

      12) ввод в промышленную эксплуатацию – процесс выполнения организационно-технических мероприятий по подготовке информационной системы и начало функционирования данной системы в промышленных условиях;

      13) пользователь – кредитное бюро и иные участники системы формирования кредитных историй и их использования (далее – участники системы кредитных историй), участвующие в обмене электронными документами и являющиеся сторонами договора о предоставлении информации и (или) получении кредитных отчетов;

      14) политика формирования и использования паролей – внутренний документ, регламентирующий порядок формирования и использования паролей;

      15) политика резервного копирования (архивирования) – внутренний документ, регламентирующий порядок резервного копирования (архивирования);

      16) идентификация – присвоение или определение соответствия предъявленного для получения доступа в систему и (или) к ресурсу системы идентификатора перечню идентификаторов, имеющихся в системе;

      17) идентификатор – уникальный персональный код и (или) имя, присвоенные субъекту и (или) объекту системы и предназначенные для регламентированного доступа в систему и (или) к ресурсам системы;

      18) уполномоченный орган – уполномоченный орган, осуществляющий регулирование, контроль и надзор финансового рынка и финансовых организаций;

      19) организация – участник системы формирования кредитных историй и их использования (за исключением субъектов кредитных историй), принимающий участие в информационной системе в соответствии с Требованиями.";

      в пункты 5, 6 и 7 внесены изменения на государственном языке, текст на русском языке не меняется;

      в пункт 13 внесены изменения на государственном языке, текст на русском языке не меняется;

      дополнить пунктом 13-1 следующего содержания:

      "13-1. Обязательным условием заключения договора о предоставлении информации или договора о получении кредитных отчетов является соответствие поставщика информации или получателя кредитных отчетов Требованиям.";

      в пункте 14:

      в части первую и вторую внесены изменения на государственном языке, текст на русском языке не меняется;

      часть пятую изложить в следующей редакции:

      "Соблюдение микрофинансовой организацией, субъектом естественной монополии, оказывающим коммунальные услуги (далее – субъект естественной монополии), кредитным товариществом, коллекторским агентством организационно-технических, технологических требований по защите программного обеспечения, соответствие используемых информационных систем установленным Требованиями условиям и требованиям подтверждаются уполномоченным органом путем представления заключения о соответствии требованиям, предъявляемым к микрофинансовым организациям, субъектам естественной монополии, кредитным товариществам или коллекторским агентствам, по форме, согласно приложению 2 к Требованиям (далее – заключение уполномоченного органа).";

      пункты 15 и 16 изложить в следующей редакции:

      "15. Обмен информацией между поставщиками информации (за исключением микрофинансовых организаций, субъектов естественных монополий, кредитных товариществ, коллекторских агентств), получателями кредитных отчетов и кредитными бюро осуществляется при наличии акта о соответствии с положительным заключением.

      Обмен информацией между поставщиками информации, являющимися микрофинансовыми организациями, субъектами естественных монополий, кредитными товариществами, коллекторскими агентствами, а также получателями кредитных отчетов и кредитными бюро осуществляется при наличии положительного заключения уполномоченного органа.

      16. Входящий и исходящий трафики обеспечиваются криптографической защитой информации.";

      в пункте 28:

      в подпункт 1) внесено изменение на русском языке, текст на государственном языке не меняется:

      "1) наличие системы контроля доступа (индивидуальный электронный пропуск), которая исключает возможность неконтролируемого проникновения в это помещение лиц, не допущенных к рабочему месту ответственного лица;";

      подпункт 6) изложить в следующей редакции:

      "6) при расположении помещения ограниченного доступа на первых или последних этажах зданий, а также при наличии рядом с окнами балконов, пожарных лестниц окна помещения ограниченного доступа оборудуются металлическими решетками;";

      пункт 29 изложить в следующей редакции:

      "29. К помещению ограниченного доступа поставщиков информации (за исключением микрофинансовой организации, субъекта естественной монополии, кредитного товарищества, коллекторского агентства) и получателей кредитных отчетов предъявляются требования, установленные подпунктами 1), 3), 4), 5) и 6) пункта 28 Требований, доступ в помещение ограничивается списком ответственных лиц, и все их посещения регистрируются в журнале посещений с указанием фамилии, имени, отчества (при его наличии), должности, даты, времени и цели посещения.

      К помещению ограниченного доступа микрофинансовой организации, кредитного товарищества предъявляются требования, установленные в подпунктах 1), 3), 4) и 5) пункта 28 Требований, доступ в помещение ограничивается списком ответственных лиц, и все их посещения регистрируются в журнале посещений с указанием фамилии, имени, отчества (при его наличии), должности, даты, времени и цели посещения.

      При наличии общей системы охранной сигнализации в здании, в котором расположены микрофинансовая организация, кредитное товарищество, отдельная охранная сигнализация на помещение ограниченного доступа микрофинансовой организации, кредитного товарищества не требуется.

      Для субъектов естественной монополии, коллекторских агентств не требуется организация помещения ограниченного доступа. При этом к помещению, где размещено рабочее место ответственного лица субъекта естественных монополий, коллекторского агентства, предъявляется требование, установленное подпунктом 3) пункта 28 Требований.";

      в пункте 30:

      подпункт 1) изложить в следующей редакции:

      "1) программное обеспечение устанавливается на специально выделенном персональном компьютере, имеющем паспорт, в котором указано его месторасположение, конфигурация, а также аппаратные и программные средства, установленные на нем. Паспорт подписывается руководителем организации и хранится у ответственного лица;";

      подпункт 4) изложить в следующей редакции;

      "4) наличие одного системного имени пользователя (ответственного лица), по которому идентифицируется пользователь и которое при входе в информационную систему соответствует одному физическому лицу;";

      подпункт 7) изложить в следующей редакции:

      "7) системный блок, все порты ввода-вывода информации персонального компьютера, к которым могут быть подключены внешние носители, опечатываются либо пломбируются администратором. Процесс опечатывания (пломбирования) фиксируется в специальном журнале с указанием фамилии, имени, отчества (при его наличии), должности, даты, времени и цели нанесения для каждой пломбы (печати);";

      подпункт 9) изложить в следующей редакции:

      "9) доступ к рабочему месту ответственного лица и в помещение ограниченного доступа осуществляется в соответствии с должностными обязанностями ответственного лица, предусмотренными в его должностной инструкции, и на основании приказа о назначении ответственного лица.";

      пункт 31 изложить в следующей редакции:

      "31. Рабочее место оператора поставщиков информации (за исключением субъектов естественной монополии, коллекторских агентств) и получателей кредитных отчетов размещается в помещении ограниченного доступа и соответствует требованиям, установленным пунктом 30 Требований.

      Рабочее место ответственного лица субъектов естественной монополии, коллекторских агентств соответствует требованиям, предусмотренным подпунктами 1) и 5) пункта 30 Требований.";

      пункты 40, 41 и 42 изложить в следующей редакции:

      "40. Организация (за исключением микрофинансовой организации, субъекта естественной монополии, кредитного товарищества, коллекторского агентства) соблюдает следующие требования по обеспечению безопасности информации:

      1) наличие защищенного канала передачи данных с шифрованием трафика с помощью аппаратных граничных маршрутизаторов;

      2) наличие системы обнаружения (предотвращения) атак из сети интернет в компьютерную сеть организации с помощью межсетевого экрана;

      3) наличие системы криптографической защиты компьютеров с помощью криптоключей и систем идентификации пользователя;

      4) наличие аппаратного сетевого анализатора трафика по идентификатору управления доступом к носителю сетевых карт пользователей;

      5) наличие системы резервного копирования на внешние и (или) съемные носители информации.

      Для реализации вышеуказанных требований кредитное бюро проводит анализ и оценку рисков, уязвимостей и угроз для обеспечения безопасности информации.

      На микрофинансовую организацию, кредитное товарищество распространяются требования по обеспечению безопасности информации, предусмотренные подпунктами 2) и 5) настоящего пункта.

      На субъекта естественной монополии, коллекторское агентство распространяется требование по обеспечению безопасности, предусмотренное подпунктом 5) настоящего пункта.

      41. Организация (за исключением микрофинансовой организации, субъекта естественной монополии, кредитного товарищества, коллекторского агентства) в процессе своей деятельности выполняет следующие требования:

      1) наличие службы информационной безопасности;

      2) наличие ответственных лиц по кредитным историям;

      3) наличие политики информационной безопасности;

      4) наличие политики формирования и использования паролей;

      5) наличие политики резервного копирования (архивирования);

      6) наличие документации с описанием процедур по ограничению доступа и обязанностей пользователей, администраторов безопасности, системных администраторов.

      Микрофинансовая организация, субъект естественной монополии, кредитное товарищество, коллекторское агентство в процессе своей деятельности выполняют требование, предусмотренное подпунктом 2) настоящего пункта.

      42. Организация (за исключением микрофинансовой организации, субъекта естественной монополии, кредитного товарищества, коллекторского агентства) утверждает внутренний документ, который определяет порядок работы с информационной системой и включает в себя:

      1) порядок назначения сотрудников, на которых возлагаются обязанности ответственных лиц;

      2) режим работы ответственных лиц с информационной системой;

      3) права и обязанности ответственных лиц;

      4) список сотрудников, допущенных к рабочему месту оператора;

      5) список сотрудников, допускаемых к рабочему месту оператора в особых случаях (в кризисных ситуациях, а также в случаях замещения сотрудника).

      На микрофинансовую организацию, субъекта естественной монополии, кредитное товарищество, коллекторское агентство распространяются требования, предусмотренные подпунктами 3), 4) и 5) настоящего пункта.";

      часть вторую пункта 43 изложить в следующей редакции:

      "На субъектов естественной монополии, коллекторские агентства распространяются требования, предусмотренные подпунктами 1), 2) и 3) настоящего пункта.";

      в Акт о соответствии требованиям, предъявляемым к участникам системы формирования кредитных историй и их использования (за исключением субъекта кредитной истории), по форме, согласно приложению 1 к указанным Требованиям внесены изменения на государственном языке, текст на русском языке не меняется;

      Заключение о соответствии требованиям, предъявляемым к микрофинансовой организации или субъектам естественной монополии, по форме, согласно приложению 2 к указанным Требованиям изложить в редакции согласно приложению к настоящему постановлению.

      2. Департаменту методологии финансового рынка (Абдрахманов Н.А.) в установленном законодательством Республики Казахстан порядке обеспечить:

      1) совместно с Юридическим департаментом (Сарсенова Н.В.) государственную регистрацию настоящего постановления в Министерстве юстиции Республики Казахстан;

      2) в течение десяти календарных дней со дня государственной регистрации настоящего постановления направление его копии в бумажном и электронном виде на казахском и русском языках в Республиканское государственное предприятие на праве хозяйственного ведения "Республиканский центр правовой информации" для официального опубликования и включения в Эталонный контрольный банк нормативных правовых актов Республики Казахстан;

      3) размещение настоящего постановления на официальном интернет-ресурсе Национального Банка Республики Казахстан после его официального опубликования.

      3. Управлению по защите прав потребителей финансовых услуг и внешних коммуникаций (Терентьев А.Л.) обеспечить в течение десяти календарных дней после государственной регистрации настоящего постановления направление его копии на официальное опубликование в периодические печатные издания.

      4. Контроль за исполнением настоящего постановления возложить на заместителя Председателя Национального Банка Республики Казахстан Смолякова О.А.

      5. Настоящее постановление вводится в действие по истечении двадцати одного календарного дня после дня его первого официального опубликования.

      Председатель
Национального Банка
Д. Акишев

      "СОГЛАСОВАНО"
Министерство информации и коммуникаций
Республики Казахстан
Министр _______Д. Абаев
7 августа 2017 года

      "СОГЛАСОВАНО"
Министерство национальной экономики
Республики Казахстан
Министр ____________ Т. Сулейменов
27 июля 20417 года

  Приложение
к постановлению Правления
Национального Банка
Республики Казахстан
от 14 июня 2017 года № 102
  Приложение 2
к Требованиям к использованию
информационно-коммуникационных технологий
и обеспечению информационной
безопасности при организации деятельности
кредитных бюро, поставщиков информации
и получателей кредитных отчетов
  Форма

                                    Заключение

            о соответствии _____________________________________________________________
________________________________________________________________________________
      (наименование микрофинансовой организации, субъекта естественной монополии,
            кредитного товарищества или коллекторского агентства) требованиям,
      предъявляемым к микрофинансовым организациям, субъектам естественной
            монополии, кредитным товариществам или коллекторским агентствам
______________________                              ______________________
место составления                                                дата

            Заключение о готовности микрофинансовой организации, субъекта естественной
монополии, кредитного товарищества или коллекторского агентства к началу своей
деятельности на рынке информационных услуг и выполнению ею (им) требований к
использованию информационно-коммуникационных технологий и обеспечению
информационной безопасности при организации деятельности кредитных бюро,
поставщиков информации и получателей кредитных отчетов составлено представителями
уполномоченного органа, осуществляющего регулирование, контроль и надзор финансового рынка и финансовых организаций, в следующем составе:

      ________________________________________________________________________________
_______________________________________________________________________________.

            Подробное описание обследованных объектов и изученных документов:

      ________________________________________________________________________________
_______________________________________________________________________________.

            Проверкой технических и иных документов микрофинансовой организации, субъекта
естественной монополии, кредитного товарищества или коллекторского агентства
_____________________________, обследованием ее (его) технических помещений,
электронно-компьютерного оборудования, систем связи и защитных устройств и иных
объектов, предназначенных для работы в системе формирования кредитных историй и их
использования, установлено _______________________________________________________
________________________________________________________________________________
_______________________________________________________________________________.
      (соответствие (несоответствие) предъявляемым требованиям и достаточность
      (недостаточность) для начала (продолжения) деятельности организации на рынке
                              информационных услуг).

            Представители уполномоченного органа, осуществляющего регулирование, контроль
и надзор финансового рынка и финансовых организаций:

      _________________             ___________________________            ___________________
(должность)                   (фамилия, имя, отчество                        (подпись)
                        (при его наличии)

      _________________             ___________________________            ___________________
(должность)                   (фамилия, имя, отчество                        (подпись)
                        (при его наличии)

      _________________             ___________________________            ___________________
(должность)                   (фамилия, имя, отчество                        (подпись)
                        (при его наличии)