В целях совершенствования нормативных правовых актов, регулирующих деятельность кредитных бюро, Правление Агентства Республики Казахстан по регулированию и надзору финансового рынка и финансовых организаций (далее - Агентство) ПОСТАНОВЛЯЕТ:
1. Утвердить прилагаемую Инструкцию об организации информационного процесса в деятельности участников системы формирования кредитных историй и их использования, формирования системы безопасности, установлении минимальных требований к их электронному оборудованию, сохранности базы данных кредитных историй и помещениям (далее - Инструкция).
2. Признать утратившими силу:
1) постановление Правления Агентства от 25 октября 2004 года № 303 "Об утверждении Инструкции об организации информационного процесса в деятельности участников системы формирования кредитных историй и их использования, защиты и сохранности базы данных кредитных историй, о минимальных требованиях к их информационным ресурсам, информационным системам, помещениям, электронному оборудованию" (зарегистрированное в Реестре государственной регистрации нормативных правовых актов под № 3318, опубликованное в Бюллетене нормативных правовых актов центральных исполнительных и иных государственных органов Республики Казахстан, № 3-8, 2005 г., ст. 18);
2) постановление Правления Агентства от 27 августа 2007 года № 221 "О внесении изменений и дополнения в постановление Правления Агентства Республики Казахстан по регулированию и надзору финансового рынка и финансовых организаций от 25 октября 2004 года № 303 "Об утверждении Инструкции об организации информационного процесса в деятельности участников системы формирования кредитных историй и их использования, защиты и сохранности базы данных кредитных историй, о минимальных требованиях к их информационным ресурсам, информационным системам, помещениям, электронному оборудованию" (зарегистрированное в Реестре государственной регистрации нормативных правовых актов под № 4966).
3. Настоящее постановление вводится в действие по истечении десяти календарных дней со дня первого официального опубликования.
4. Кредитным бюро в течение двух месяцев со дня введения в действие настоящего постановления привести свою деятельность в соответствие с Инструкцией.
5. Управлению информационных технологий (Тусупов К.А.):
1) совместно с Юридическим департаментом (Сарсенова Н.В.) принять меры к государственной регистрации в Министерстве юстиции Республики Казахстан настоящего постановления;
2) в десятидневный срок со дня государственной регистрации в Министерстве юстиции Республики Казахстан довести настоящее постановление до сведения кредитных бюро, Объединения юридических лиц "Ассоциация финансистов Казахстана".
6. Службе Председателя Агентства (Кенже А.А.) обеспечить публикацию настоящего постановления в средствах массовой информации Республики Казахстан.
7. Контроль за исполнением настоящего постановления возложить на заместителя Председателя Агентства Байсынова М.Б.
Председатель Е. Бахмутова
"СОГЛАСОВАНО"
Агентство Республики Казахстан
по информатизации и связи
25 августа 2008 года
Председатель
Есекеев К.Б.
__________________
(подпись, дата,
__________________
гербовая печать)
Утверждена
постановлением Правления
Агентства Республики Казахстан
по регулированию и надзору
финансового рынка и
финансовых организаций
от 18 июля 2008 года № 105
Инструкция
об организации информационного процесса в деятельности
участников системы формирования кредитных историй и их
использования, формирования системы безопасности,
установлении минимальных требований к их электронному оборудованию, сохранности базы данных кредитных
историй и помещениям
Глава 1. Общие положения
1. В настоящей Инструкции используются понятия, предусмотренные Законом Республики Казахстан от 6 июля 2004 года "О кредитных бюро и формировании кредитных историй в Республике Казахстан" (далее - Закон о кредитном бюро), а также следующие понятия:
1) администратор безопасности информационных систем (далее - администратор) - работник организации, обеспечивающий функционирование системы электронного получения и (или) передачи данных, реализацию мер по их защите, осуществляющий генерацию поступающей и (или) передаваемой информации с учетом ее функций и полномочий;
2) аутентификация - подтверждение подлинности субъекта или объекта доступа путем определения соответствия предъявленных реквизитов доступа имеющимся в системе;
3) ввод в эксплуатацию - процесс выполнения организационно- технических мероприятий по подготовке информационной системы и начало функционирования данной системы в промышленных условиях;
4) идентификатор - уникальные персональный код и (или) имя, присвоенные субъекту и (или) объекту системы, и предназначенные для регламентированного доступа в систему и (или) к ресурсам системы;
5) идентификация - присвоение или определение соответствия предъявленного для получения доступа в систему и (или) к ресурсу системы идентификатора перечню идентификаторов, имеющихся в системе;
6) информационная система участников системы формирования и использования кредитных историй (далее - информационная система) - совокупность информационных технологий, информационных сетей и средств их программно-технического обеспечения, предназначенных для реализации информационных процессов поставщиками информации, кредитными бюро, получателями кредитных отчетов и субъектами кредитных историй;
7) информационная среда - среда взаимодействия информационной системы участников системы формирования и использования кредитных историй с ее компонентами и информационными ресурсами;
8) ключевая информация - криптографические ключи и ключи электронной цифровой подписи;
9) комплекс мер по защите информационной системы - организационно-технические мероприятия, направленные на обеспечение безопасного функционирования информационной системы формирования и использования кредитных историй, в том числе программно-аппаратная защита электронных средств и компьютеров от несанкционированного доступа, обеспечивающая контроль доступа к установленному программному обеспечению и информации, предоставляющая средства разграничения полномочий зарегистрированных пользователей;
10) оператор - работник организации, непосредственно осуществляющий подготовку, обработку, прием и передачу сообщений с использованием подсистемы защиты;
11) организация - участник системы формирования кредитных историй и их использования (за исключением субъектов кредитных историй), принимающий участие в информационной системе в соответствии с настоящей Инструкцией;
12) ответственное лицо - оператор, администратор и иные работники организации, ответственные за реализацию процесса приема/ передачи и формирования кредитных историй;
13) политика информационной безопасности - нормы и практические приемы, регулирующие управление, защиту и распределение информации ограниченного распространения;
14) политика резервного копирования (архивирования) - нормы и практические приемы, регулирующие вопросы резервного копирования;
15) пользователь - кредитное бюро и иные участники системы формирования кредитных историй и их использования (далее - участники системы кредитных историй), участвующие в обмене электронными документами и являющиеся сторонами договора о предоставлении информации и (или) получении кредитных отчетов;
16) помещение ограниченного доступа - помещение, в котором разрешается пребывание ограниченного круга лиц, и доступ других лиц в эти помещения может происходить только в сопровождении специально допущенных работников.
Глава 2. Организация информационного процесса
2. Организация и функционирование информационной системы формирования и использования кредитных историй обеспечивают:
1) координацию и управляемость деятельности ее участников в рамках согласованных процедур и технологических параметров;
2) унификацию используемых программных и технических средств;
3) информационную безопасность, включая устранение возможности раскрытия информации;
4) внедрение высокоэффективных технологий;
5) гибкое и эффективное управление ресурсами;
6) рост качества услуг.
3. Организация обеспечивает:
1) контроль ввода данных;
2) возможность вычисления параметров документов (номеров документов, кода связи, номера договора);
3) генерацию сводной информации;
4) создание резервных копий, архивирование данных;
5) использование информационных систем, имеющих штатные средства защиты, с контролем за правами доступа;
6) наличие регламентированных процедур предоставления и получения электронных сообщений;
7) возможность подготовки аналитических и статистических отчетов.
4. Поставщики информации и получатели кредитного отчета обеспечивают выполнение организационных, технологических условий и требований кредитного бюро, вытекающие из заключенных с ним договоров о предоставлении информации и (или) получении кредитных отчетов и внутренних документов кредитного бюро, предусмотренных Законом о кредитном бюро.
5. Информация, представленная поставщиком информации, может быть возвращена кредитным бюро без ее использования в информационной системе формирования и использования кредитных историй, в связи с ее неправильным или неполным оформлением, несоответствием данных поставщика информации, получателя кредитного отчета, субъекта кредитной истории требованиям в используемой информационной системе.
Глава 3. Условия обмена информацией между
поставщиками информации, получателями кредитных
отчетов и кредитными бюро
6. Обмен информацией между поставщиками информации, получателями кредитных отчетов и кредитными бюро осуществляется через информационную систему, условия использования которой определяются государственным уполномоченным органом, осуществляющим реализацию государственной политики и государственное регулирование в сфере информатизации и "электронного правительства" (далее - уполномоченный орган в сфере информатизации).
7. Кредитные бюро передают поставщикам информации и получателям кредитных отчетов специализированное программное обеспечение, необходимое для реализации информационных процессов либо устанавливают соответствующие требования к используемому ими программному обеспечению. В случае самостоятельной разработки специализированного программного обеспечения поставщиками информации и получателями кредитных отчетов оно согласуется с кредитными бюро.
8. Процесс разработки, внедрения и сопровождения информационных систем включает определение этапов разработки, порядка внесения изменений, приема, тестирования и ввода в эксплуатацию, требования к документированию всех этапов.
9. Разработка, внедрение и сопровождение информационных систем кредитными бюро выполняется в соответствии с их внутренними документами и действующими на территории Республики Казахстан стандартами.
10. Разработка информационных систем выполняется кредитными бюро на основании технического задания, утвержденного его первым руководителем.
11. В целях исключения несанкционированного изменения программного обеспечения и (или) данных информационной системы при необходимости внесения изменений (для устранения недостатков или доработки системы) в программное обеспечение, процесс внесения изменений осуществляется в соответствии с техническим заданием, стандартами, действующими на территории Республики Казахстан, и политикой информационной безопасности кредитных бюро.
12. При формировании и использовании информационных систем для размещения базы данных кредитных историй и средств защиты указанных информационных систем применяются сертифицированные оборудование и программное обеспечение.
13. Кредитное бюро осуществляет обмен данными с поставщиками информации и получателями кредитных отчетов по выделенным каналам связи или через Интернет, при условии:
1) наличия основного канала, пропускной способностью не менее 10 мегабит в секунду;
2) наличия беспроводного резервного канала, пропускной способностью не менее 2 мегабит в секунду;
3) использования каналов разных провайдеров;
4) использования каналов исключительно для обмена информацией с поставщиками информации и получателями кредитных отчетов.
14. Соблюдение организацией организационно-технических, технологических требований по защите программного обеспечения, соответствие используемых информационных систем установленным настоящей Инструкцией и законодательством Республики Казахстан условиям и требованиям, подтверждается комиссией уполномоченного органа в сфере информатизации, созданной совместно с уполномоченным органом по регулированию и надзору финансовых организаций (далее - уполномоченный орган), путем составления акта о соответствии требованиям, предъявляемым к участникам системы формирования кредитных историй и их использования (за исключением субъекта кредитной истории) по форме согласно приложению к настоящей Инструкции (далее - акт о соответствии).
Акт о соответствии подписывается всеми членами комиссии и представителем проверяемой организации. В случае, если один из членов комиссии не согласен с принятым решением и не подписывает акт о соответствии, он представляет в письменной форме информацию о причинах своего отказа комиссии и прилагает их к акту о соответствии.
Акт о соответствии считается принятым при наличии двух третей подписей членов комиссии уполномоченного органа в сфере информатизации и двух третей подписей членов комиссии уполномоченного органа.
15. Обмен информацией между поставщиками информации, получателями кредитных отчетов и кредитными бюро осуществляется только при наличии акта о соответствии с положительным заключением.
16. Входящий и исходящий трафик должен быть обеспечен криптографической защитой.
Глава 4. Формирование системы безопасности и
минимальные требования к помещениям, электронному и
иному оборудованию участников системы кредитных историй
17. Кредитное бюро размещается в нежилом здании, помещении с ограниченным доступом.
18. Система безопасности кредитного бюро должна отвечать требованиям, установленным настоящей Инструкцией:
1) к серверному помещению и помещению ограниченного доступа;
2) к системному программному обеспечению, используемому для автоматизации деятельности кредитного бюро;
3) к специализированному программному обеспечению (информационной системе), используемому для автоматизации деятельности кредитного бюро;
4) к техническим средствам (информационным ресурсам) кредитного бюро;
5) к обеспечению безопасности информации.
19. Оборудованное серверное помещение кредитного бюро содержит:
1) систему контроля доступа (индивидуальный электронный пропуск);
2) систему видеоконтроля входа в серверное помещение и кроссовые комнаты;
3) автоматическую систему газового пожаротушения с обязательным, полным резервом баллонов с газом, и подключенной к системе гарантированного питания;
4) систему охранной сигнализации дверей, окон и датчиками движения внутри гермозоны;
5) безотказную систему чистого питания находящуюся в гермозоне серверной комнаты;
6) систему гарантированного питания всей электрической сети серверной и кроссовых комнат, включая круглосуточное, дежурное освещение;
7) систему кондиционирования с полным резервом.
20. Серверное помещение должно располагаться в местах, где возможно впоследствии расширение пространства и есть возможность размещения крупногабаритной аппаратуры, и отвечать следующим требованиям:
1) минимальный допустимый размер серверной комнаты - 20 квадратных метров;
2) серверная комната должна быть соединена с главным электродом системы заземления здания кондуитом размером 1,5;
3) требуемая минимальная высота потолка серверной комнаты должна составлять 2,44 метра.
21. Помещение ограниченного доступа кредитного бюро должно соответствовать следующим требованиям:
1) наличие системы контроля доступа (индивидуальный электронный пропуск), которая исключает возможность неконтролируемого проникновения в это помещение лиц, не допущенных к рабочему месту ответственного лица;
2) наличие системы видеоконтроля входа (видеокамера с постоянной записью);
3) наличие системы пожарной сигнализации;
4) наличие системы охранной сигнализации;
5) запрещается располагать в помещении рабочие места, не имеющие отношения к деятельности кредитного бюро;
6) при расположении помещения ограниченного доступа на первых или последних этажах зданий, а также при наличии рядом с окнами балконов, пожарных лестниц, окна помещений оборудуются металлическими решетками;
7) в помещении ограниченного доступа размещаются рабочие места ответственных лиц.
22. Помещение ограниченного доступа поставщиков информации и получателей кредитных отчетов должно соответствовать требованиям, установленным в подпунктах 1), 3), 4), 5), и 6) пункта 21 настоящей Инструкции, а также доступ в помещение должен быть ограничен списком ответственных лиц, каждое посещение которых регистрируется в журнале посещений с указанием фамилии, имени, при наличии - отчества, должности, даты, времени и цели посещения.
23. Рабочее место ответственного лица должно соответствовать следующим требованиям:
1) программное обеспечение устанавливается на специально выделенном персональном компьютере, имеющем паспорт, в котором указано его месторасположение, конфигурация, а также аппаратные и программные средства, установленные на нем. Паспорт оформляется за подписью руководителя организации и хранится у ответственного лица;
2) не допускается эксплуатация персонального компьютера ответственного лица и установка на нем программных средств, не связанных с целями подготовки, обработки, передачи или ведения электронных документов в рамках участия в информационной системе;
3) персональный компьютер ответственного лица должен иметь комплекс защиты, включающий в себя:
средства идентификации и аутентификации пользователей;
возможность ведения электронных журналов в течение срока хранения электронных документов, с целью контроля деятельности, связанной с доступом к компьютеру и действиями пользователей;
4) наличие одного системного имени пользователя (ответственного лица), по которому идентифицируется пользователь, при входе в информационную систему должно соответствовать одному физическому лицу;
5) персональный компьютер должен иметь средства обеспечения целостности и конфиденциальности программного обеспечения;
6) доступ к сетевым ресурсам и внешним носителям, а также к портам ввода-вывода информации с персонального компьютера оператора должен быть отключен, в том числе и в настройках базовой системы ввода-вывода;
7) системный блок, порты ввода-вывода информации персонального компьютера опечатываются либо пломбируются администратором. Процесс опечатывания (пломбирования) фиксируется в специальном журнале с указанием фамилии, имени, при наличии - отчества, должности, даты, времени и цели нанесения пломбы (печати). Для ноутбуков разрешается использовать только отключение устройств в базовой системе ввода-вывода без опечатывания портов. Выносить из здания компьютеры и ноутбуки не допускается, за исключением случаев проведения профилактических и ремонтных работ, которые проводятся на основании заявки ответственного лица руководителю службы информационной безопасности;
8) порядок доступа к иным ресурсам (дисковое пространство, директории, базы данных и резервные копии базы данных), выделенным для накопления в них информации для передачи в информационную среду с использованием системы защиты, получения информации из информационной среды, хранения, архивирования либо другой обработки информации, должен исключать возможность несанкционированного доступа к этим ресурсам;
9) доступ к рабочему месту ответственного лица и в помещение ограниченного доступа осуществляется в соответствии с его должностными обязанностями.
24. Рабочее место оператора поставщиков информации и получателей кредитных отчетов должно размещаться в помещении ограниченного доступа и отвечать требованиям, установленным пунктом 23 настоящей Инструкции.
25. Использование кредитным бюро системных программных обеспечений (операционные системы, системы управления базами данных, офисные программы, антивирусные программы) должны подтверждаться лицензиями, сертификатами.
26. Для накопления и хранения данных по кредитным историям должна использоваться промышленная система управления базами данных, разработчик которой должен иметь официальное представительство и центр технической поддержки на территории Республики Казахстан.
27. Внедрение и ввод в эксплуатацию (разработка или адаптация готового продукта) программного обеспечения кредитным бюро выполняется на основании технического задания, утвержденного его первым руководителем, при этом необходимо наличие соответствующих сертификатов на механизмы безопасности. Разработчики информационной системы кредитного бюро должны иметь опыт разработки аналогичных систем не менее двух лет.
28. Программное обеспечение кредитного бюро должно обеспечивать два и более способа получения (передачи) информации:
интерактивный интерфейс с подготовкой файла в стандартном формате с использованием программного обеспечения формирования отчетов в доступных форматах;
сетевой доступ с использованием стандартного формата передачи в режиме реального времени, ввод данных с помощью функционала ручного ввода, заполнение экранных форм на сайте, с использованием веб-браузера.
29. В целях информационной безопасности программное обеспечение кредитного бюро должно обеспечивать следующее:
1) идентификацию и аутентификацию с криптографическим преобразованием;
2) разграничение прав пользователей;
3) работу на уровне ядра программного обеспечения таким образом, чтобы ни одно значимое действие в рамках системы (будь то действие пользователя или процесса) не происходило без участия механизма безопасности;
4) схема безопасности, реализованная в программном обеспечении, должна быть отделена от средств безопасности самой операционной системы, на которой будет реализовано программное обеспечение, в том смысле, что уязвимость средств безопасности операционной системы не должна влиять на работу безопасности программного обеспечения;
5) замкнутое сохранение данных в программном обеспечении должно быть организовано способом, обеспечивающим:
невозможность получения логического доступа к указанным данным вне рамок работы приложения программного обеспечения;
любые перемещения данных в/из базу данных программного обеспечения под контролем механизмов безопасности;
6) фиксирование информации, необходимой для идентификации факта, объекта и субъекта процесса удаления, изменение и возможность восстановления удаленных данных;
7) возможность устойчивой работы при появлении сбоев;
8) трехуровневую архитектуру "клиент-сервер" с тем, чтобы вывод из строя рабочего места пользователя или получение злоумышленником несанкционированного доступа к нему не сказывался на работе серверной части системы, а сбой сервера приложений не влиял на состояние данных системы;
9) аудит системно-значимых событий с фиксированием в регистрационный журнал, а также с возможностью защиты со стороны любого субъекта;
10) аудит действий пользователей и администраторов, как успешных, так и неудачных, начиная от попытки установления связи;
11) контроль экспортируемых и импортируемых данных;
12) возможность разработки (доработки) модулей и механизмов безопасности;
13) в договоре с разработчиком информационной системы должна быть предусмотрена обязанность:
регулярного информирования кредитного бюро об обнаруженных ошибках и уязвимостях системы, а также своевременного предоставления изменений и обновлений к системе;
организовать службу оперативной поддержки, в том числе по вопросам безопасности для консультирования работников кредитного бюро и оказания им практической помощи в вопросах информационной безопасности.
29-1. Программное обеспечение кредитного бюро должно обеспечивать хранение информации в отношении субъекта кредитной истории в течение срока, установленного Законом о кредитном бюро, а также возможность формирования в течение одного рабочего дня кредитных отчетов по состоянию на любой момент времени с начала формирования кредитных историй.
Сноска. Инструкция дополнена пунктом 29-1 в соответствии с постановлением Правления Национального Банка РК от 26.08.2011 № 97 (вводится в действие по истечении десяти календарных дней со дня первого официального опубликования).
30. Требования к техническим средствам кредитного бюро:
1) наличие собственного аппаратного обеспечения (компьютерное оборудование, серверы, аппаратные средства защиты, комплектующие и другое оборудование), также наличие документов, подтверждающих принадлежность аппаратного обеспечения кредитному бюро;
2) наличие сертификатов соответствия аппаратного обеспечения на соответствие требованиям безопасности, выданных органом подтверждения соответствия;
3) наличие системы гарантированного питания - щита автоматического включения резерва, дизельного генерирующего устройства, работающих от сигнала с двух источников бесперебойного питания (далее - ИБП) и непрерывно поддерживающей электричество в сети чистого питания во всей организации. При этом, нагрузка каждого ИБП должна быть не более сорока процентов в штатном режиме.
31. Серверы кредитного бюро должны составлять отказоустойчивую завершенную систему и представлять собой кластер со стопроцентным дублированием аппаратной части. Резервные серверы базы данных кредитного бюро должны быть расположены от основных серверов на расстоянии не менее десяти километров, и обеспечивать бесперебойную работу базы данных кредитного бюро таким образом, чтобы в случае прекращения работы основных серверов базы данных, кредитное бюро могло обеспечить восстановление работы базы данных на резервных серверах в срок не более 6 (шести) часов с момента прекращения работы основного сервера.
Сноска. Пункт 31 редакции постановления Правления Национального Банка РК от 26.08.2011 № 97 (вводится в действие по истечении десяти календарных дней со дня первого официального опубликования).
32. Требования к организации по обеспечению безопасности информации:
1) наличие защищенного канала передачи данных с шифрованием трафика с помощью аппаратных граничных маршрутизаторов;
2) наличие системы обнаружения (предотвращения) атак из сети Интернет в компьютерную сеть организации с помощью межсетевого экрана;
3) наличие системы криптографической защиты компьютеров с помощью криптоключей и систем идентификации пользователя;
4) наличие аппаратного сетевого анализатора трафика по идентификатору управления доступом к носителю сетевых карт пользователей;
5) наличие системы резервного копирования - библиотеки на внешние носители информации.
Для реализации вышеуказанных требований кредитное бюро проводит анализ и оценку рисков, уязвимостей и угроз для обеспечения безопасности информации.
33. Организация в процессе своей деятельности выполняет следующие требования:
1) наличие службы информационной безопасности;
2) наличие ответственных лиц по кредитным историям;
3) наличие политики информационной безопасности;
4) наличие политики формирования и использования паролей;
5) наличие политики резервного копирования (архивирования);
6) наличие документации с описанием процедур по ограничению доступа и обязанностей пользователей, администраторов безопасности, системных администраторов.
34. Организация принимает внутренний документ, который определяет порядок работы с информационной системой, включающий:
1) порядок назначения сотрудников, на которых возлагаются обязанности ответственных яиц;
2) режим работы;
3) права и обязанности ответственных лиц, включая должностные инструкции;
4) список сотрудников, допущенных к рабочему месту оператора;
5) список сотрудников, допускаемых к рабочему месту оператора в особых случаях (в кризисных ситуациях, а также в случаях замещения сотрудника).
35. Ответственные лица:
1) обеспечивают обязательность процедуры идентификации и аутентификации для доступа к ресурсам информационных систем;
2) не допускают получения права доступа к информационным ресурсам неавторизованными пользователями;
3) контролируют регулярность выполнения резервного копирования информации, обрабатываемой информационной системой;
4) проводят плановую и внеплановую проверку надежности защиты ресурсов системы;
5) обеспечивают защиту оборудования корпоративной сети, в том числе специальных межсетевых программных средств;
6) принимают меры по отражению угрозы и выявлению нарушителей;
7) регулярно просматривают журнал событий, проводят анализ с записями, где были попытки несанкционированного доступа к информации.
36. Сотрудники организации (ответственное лицо, администратор, оператор) дают письменное обязательство о неразглашении и нераспространении информации, ставшей им известной в процессе исполнения ими служебных обязанностей.
37. При увольнении ответственного лица производится внеплановая смена ключевой информации организации, о чем уведомляется кредитное бюро. Новая ключевая информация вводится в действие со дня их увольнения.
38. Порядок хранения и использования внешних носителей с ключевой информацией в организации должен исключать возможность несанкционированного доступа к ним.
Глава 6. Заключительные положения
39. Вопросы, не урегулированные настоящей Инструкцией, разрешаются в порядке, определенном законодательством Республики Казахстан.
Приложение
к Инструкции об организации
информационного процесса в
деятельности участников системы
формирования кредитных историй и
их использования, формирования
системы безопасности, установления
минимальных требований к их
электронному оборудованию,
сохранности базы данных кредитных
историй и помещениям
АКТ
о соответствии__________________________
(наименование участника)
требованиям, предъявляемым к участникам
системы формирования кредитных историй и
их использования (за исключением субъекта
кредитной истории)
_________________ ________________
место составления дата составления
Настоящий акт о готовности участника системы формирования
кредитных историй и их использования к началу своей деятельности на
рынке информационных услуг и выполнении им требований по организации
информационного процесса в деятельности участников системы
формирования кредитных историй и их использования, формирования
системы безопасности, выполнении минимальных требований к их
электронному оборудованию, сохранности базы данных кредитных историй
и помещениям составлен комиссией в следующем составе:
представители уполномоченного органа в сфере информатизации:
________________________________________________________________
________________________________________________________________
________________________________________________________________
________________________________________________________________
представители уполномоченного органа:
________________________________________________________________
________________________________________________________________
________________________________________________________________
В работе комиссии участвуют представители участника системы
формирования кредитных историй и их использования:
_________________________________________________________________
_________________________________________________________________
_________________________________________________________________
Подробное описание обследованных объектов и изученных комиссией
документов:
_________________________________________________________________
_________________________________________________________________
_________________________________________________________________
Краткое содержание пояснений представителей участника системы
формирования кредитных историй и их использования:
_________________________________________________________________
_________________________________________________________________
_________________________________________________________________
Проверкой комиссией технических и иных документов участника
системы формирования кредитных историй и их использования _______
________________________, обследованием его технических помещений,
электронно-компьютерного оборудования, систем связи и защитных
устройств и иных объектов, предназначенных для работы в системе
формирования кредитных историй и их использования установлено
__________________________________________________________________
__________________________________________________________________
(соответствие (не соответствие) предъявляемым требованиям и
достаточность (недостаточность) для начала/продолжения деятельности
организации на рынке информационных услуг).
Участником системы формирования кредитных историй и их
использования предъявлена следующая техническая документация и иные
документы, которые приложены к акту комиссии:
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
Акт составлен в трех экземплярах и по одному экземпляру
передан:
уполномоченному органу в сфере информатизации;
уполномоченному органу;
участнику информационной системы формирования и использования
кредитных историй.
Члены комиссии:
___________________________________________________________________
___________________________________________________________________
___________________________________________________________________
Представитель проверяемой организации:
__________________________________________________________________
__________________________________________________________________