О внесении изменений и дополнения в некоторые нормативные правовые акты Республики Казахстан по вопросам сокращения разрешительных документов и упрощения разрешительных процедур
В соответствии с законами Республики Казахстан от 2 июля 2003 года "О рынке ценных бумаг" и от 6 июля 2004 года "О кредитных бюро и формировании кредитных историй в Республике Казахстан" Правление Национального Банка Республики Казахстан ПОСТАНОВЛЯЕТ:
1. Внести в постановление Правления Национального Банка Республики Казахстан от 24 февраля 2012 года № 58 "Об утверждении Правил осуществления клиринговой деятельности по сделкам с финансовыми инструментами" (зарегистрированное в Реестре государственной регистрации нормативных правовых актов под № 7555, опубликованное 23 июня 2012 года в газете "Казахстанская правда" № 199-200 (27018-27019)) следующее дополнение:
в Правилах осуществления клиринговой деятельности по сделкам с финансовыми инструментами, утвержденных указанным постановлением:
дополнить пунктом 24-1 следующего содержания:
"24-1. Клиринговая организация в течение 10 (десяти) рабочих дней со дня утверждения правил клиринговой организации либо внесения в них изменений и (или) дополнений уведомляет об этом уполномоченный орган с приложением подтверждающих документов.".
2. Внести в постановление Правления Национального Банка Республики Казахстан от 27 мая 2015 года № 91 "Об утверждении Требований к использованию информационно-коммуникационных технологий и обеспечению информационной безопасности при организации деятельности кредитных бюро, поставщиков информации и получателей кредитных отчетов" (зарегистрированное в Реестре государственной регистрации нормативных правовых актов под № 11669, опубликованное 30 июля 2015 года в информационно-правовой системе "Әділет" республиканского государственного предприятия на праве хозяйственного ведения "Республиканский центр правовой информации Министерства юстиции Республики Казахстан") следующие изменения:
в Требованиях к использованию информационно-коммуникационных технологий и обеспечению информационной безопасности при организации деятельности кредитных бюро, поставщиков информации и получателей кредитных отчетов, утвержденных указанным постановлением:
подпункт 11) пункта 2 изложить в следующей редакции:
"11) ввод в промышленную эксплуатацию - процесс выполнения организационно-технических мероприятий по подготовке информационной системы и начало функционирования данной системы в промышленных условиях;";
пункт 8 изложить в следующей редакции:
"8. Процесс разработки, внедрения и сопровождения информационных систем включает в себя определение этапов разработки, порядка внесения изменений, приема, тестирования и ввода в промышленную эксплуатацию, требования к документированию всех этапов.";
пункты 14, 15 и 16 изложить в следующей редакции:
"14. Для подтверждения соответствия требованиям, предъявляемым к участникам системы формирования кредитных историй и их использования (за исключением кредитного бюро, субъекта кредитной истории), поставщик информации или получатель кредитных отчетов направляет в уполномоченный орган заявление на бумажном носителе, заполненное в произвольной форме.
Соблюдение организацией организационно-технических, технологических требований по защите программного обеспечения, соответствие используемых информационных систем установленными Требованиями и законодательством Республики Казахстан условиям и требованиям подтверждаются комиссией уполномоченного органа путем составления акта о соответствии требованиям, предъявляемым к участникам системы формирования кредитных историй и их использования (за исключением субъекта кредитной истории) по форме согласно приложению 1 к Требованиям (далее - акт о соответствии).
Акт о соответствии согласовывается всеми членами комиссии, после чего направляется на подписание представителю проверяемой организации. Если один из членов комиссии не согласен с принятым решением и не подписывает акт о соответствии, он представляет в письменной форме информацию о причинах своего отказа комиссии и прилагает их к акту о соответствии.
Акт о соответствии считается составленным при наличии двух третей подписей о согласовании членов комиссии уполномоченного органа.
Соблюдение микрофинансовой организацией, субъектом естественной монополии организационно-технических, технологических требований по защите программного обеспечения, соответствие используемых информационных систем установленными Требованиями и законодательством Республики Казахстан условиям и требованиям подтверждаются уполномоченным органом путем представления заключения о соответствии требованиям, предъявляемым к микрофинансовым организациям или субъектам естественной монополии, по форме согласно приложению 2 к Требованиям (далее - заключение уполномоченного органа).
15. Обмен информацией между поставщиками информации (за исключением микрофинансовых организаций, субъектов естественных монополий), получателями кредитных отчетов и кредитными бюро осуществляется при наличии акта о соответствии с положительным заключением.
Обмен информацией между поставщиками информации, являющимися микрофинансовыми организациями, субъектами естественных монополий, получателями кредитных отчетов и кредитными бюро осуществляется при наличии положительного заключения уполномоченного органа.
16. Входящий и исходящий трафики обеспечиваются криптографической защитой (за исключением исходящего трафика субъектов естественной монополии).";
пункты 29, 30 и 31 изложить в следующей редакции:
"29. К помещению ограниченного доступа поставщиков информации (за исключением микрофинансовой организации, субъекта естественной монополии) и получателей кредитных отчетов предъявляются требования, установленные подпунктами 1), 3), 4), 5) и 6) пункта 28 Требований, доступ в помещение ограничивается списком ответственных лиц, и все их посещения регистрируются в журнале посещений с указанием фамилии, имени, отчества (при его наличии), должности, даты, времени и цели посещения.
К помещению ограниченного доступа микрофинансовой организации предъявляются требования, установленные в подпунктах 1), 3), 4) и 5) пункта 28 Требований, доступ в помещение ограничивается списком ответственных лиц, и все их посещения регистрируются в журнале посещений с указанием фамилии, имени, отчества (при его наличии), должности, даты, времени и цели посещения.
При наличии общей системы охранной сигнализации в здании, в котором расположена микрофинансовая организация, отдельная охранная сигнализация на помещение ограниченного доступа микрофинансовой организации не требуется.
Для субъектов естественной монополии, не требуется организация помещения ограниченного доступа. При этом к помещению, где размещено рабочее место ответственного лица субъекта естественных монополий, предъявляются требования, установленные подпунктом 3) пункта 28 Требований.
30. К рабочему месту ответственного лица предъявляются следующие требования:
1) программное обеспечение устанавливается на специально выделенном персональном компьютере, имеющем паспорт, в котором указано его месторасположение, конфигурация, а также аппаратные и программные средства, установленные на нем. Паспорт оформляется за подписью руководителя организации и хранится у ответственного лица;
2) не допускаются эксплуатация персонального компьютера ответственного лица и установка на нем программных средств, не связанных с целями подготовки, обработки, передачи или ведения электронных документов в рамках участия в информационной системе;
3) персональный компьютер ответственного лица имеет комплекс защиты, включающий в себя:
средства идентификации и аутентификации пользователей;
возможность ведения системных журналов в течение срока хранения электронных документов с целью контроля деятельности, связанной с доступом к компьютеру и действиями пользователей;
4) наличие одного системного имени пользователя (ответственного лица), по которому идентифицируется пользователь, которое при входе в информационную систему должно соответствовать одному физическому лицу;
5) программное обеспечение, установленное на персональном компьютере, является лицензионным;
6) доступ к сетевым ресурсам и внешним носителям, а также к портам ввода-вывода информации с персонального компьютера оператора отключен, в том числе и в настройках базовой системы ввода-вывода;
7) системный блок, порты ввода-вывода информации персонального компьютера опечатываются либо пломбируются администратором. Процесс опечатывания (пломбирования) фиксируется в специальном журнале с указанием фамилии, имени, отчества (при его наличии), должности, даты, времени и цели нанесения пломбы (печати). Для ноутбуков разрешается использовать только отключение устройств в базовой системе ввода-вывода без опечатывания портов. Вынос из здания компьютеров и ноутбуков разрешается в случае проведения профилактических и ремонтных работ, которые проводятся на основании заявки ответственного лица руководителю службы информационной безопасности;
8) порядок доступа к иным ресурсам (дисковое пространство, директории базы данных и резервные копии базы данных), выделенным для накопления в них информации в целях передачи в информационную среду с использованием системы защиты, получения информации из информационной среды, хранения, архивирования либо другой обработки информации, исключает возможность несанкционированного доступа к этим ресурсам;
9) доступ к рабочему месту ответственного лица и в помещение ограниченного доступа осуществляется в соответствии с его должностными обязанностями.
31. Рабочее место оператора поставщиков информации (за исключением субъектов естественной монополии) и получателей кредитных отчетов размещается в помещении ограниченного доступа и отвечает требованиям, установленным пунктом 28 Требований.
Рабочее место ответственного лица субъектов естественной монополии, соответствует требованиям, предусмотренным подпунктами 1) и 5) пункта 30 Требований.";
пункт 34 изложить в следующей редакции:
"34. Внедрение и ввод в промышленную эксплуатацию (разработка или адаптация готового продукта) программного обеспечения кредитным бюро выполняется на основании технического задания, утвержденного его первым руководителем, при этом необходимо наличие соответствующих сертификатов на механизмы безопасности. Разработчики информационной системы кредитного бюро имеют опыт разработки аналогичных систем не менее 2 (двух) лет.";
пункты 40, 41, 42 и 43 изложить в следующей редакции:
"40. Организация (за исключением микрофинансовой организации, субъекта естественной монополии) соблюдают следующие требования обеспечения безопасности информации:
1) наличие защищенного канала передачи данных с шифрованием трафика с помощью аппаратных граничных маршрутизаторов;
2) наличие системы обнаружения (предотвращения) атак из сети интернет в компьютерную сеть организации с помощью межсетевого экрана;
3) наличие системы криптографической защиты компьютеров с помощью криптоключей и систем идентификации пользователя;
4) наличие аппаратного сетевого анализатора трафика по идентификатору управления доступом к носителю сетевых карт пользователей;
5) наличие системы резервного копирования на внешние и (или) съемные носители информации.
Для реализации вышеуказанных требований кредитное бюро проводит анализ и оценку рисков, уязвимостей и угроз для обеспечения безопасности информации.
На микрофинансовую организацию распространяются требования по обеспечению безопасности информации, предусмотренные подпунктами 2) и 5) части первой настоящего пункта.
На субъекта естественной монополии распространяется требование по обеспечению безопасности, предусмотренное подпунктом 5) части первой настоящего пункта.
41. Организация (за исключением микрофинансовой организации, субъекта естественной монополии) в процессе своей деятельности выполняет следующие требования:
1) наличие службы информационной безопасности;
2) наличие ответственных лиц по кредитным историям;
3) наличие политики информационной безопасности;
4) наличие политики формирования и использования паролей;
5) наличие политики резервного копирования (архивирования);
6) наличие документации с описанием процедур по ограничению доступа и обязанностей пользователей, администраторов безопасности, системных администраторов.
Микрофинансовая организация, субъект естественной монополии в процессе своей деятельности выполняет требование, предусмотренное подпунктом 2) части первой настоящего пункта.
42. Организация (за исключением микрофинансовой организации, субъекта естественной монополии) принимает внутренний документ, который определяет порядок работы с информационной системой и включает в себя:
1) порядок назначения сотрудников, на которых возлагаются обязанности ответственных лиц;
2) режим работы;
3) права и обязанности ответственных лиц, включая должностные инструкции;
4) список сотрудников, допущенных к рабочему месту оператора;
5) список сотрудников, допускаемых к рабочему месту оператора в особых случаях (в кризисных ситуациях, а также в случаях замещения сотрудника).
На микрофинансовую организацию, субъекта естественной монополии распространяются требования, предусмотренные подпунктами 3), 4) и 5) части первой настоящего пункта.
43. Ответственные лица:
1) обеспечивают обязательность процедуры идентификации и аутентификации для доступа к ресурсам информационных систем;
2) не допускают получения права доступа к информационным ресурсам неавторизованными пользователями;
3) контролируют регулярность выполнения резервного копирования информации, в том числе обрабатываемой информационной системой;
4) проводят плановую и внеплановую проверку надежности защиты ресурсов системы;
5) обеспечивают защиту оборудования корпоративной сети, в том числе специальных межсетевых программных средств;
6) принимают меры по отражению угрозы и выявлению нарушителей;
7) регулярно просматривают журнал событий, проводят анализ с записями, где были попытки несанкционированного доступа к информации.
На субъектов естественной монополии распространяются требования, предусмотренные подпунктами 1), 2) и 3) части первой настоящего пункта.";
приложение 1 изложить в редакции согласно приложению 1 к настоящему постановлению;
приложение 2 изложить в редакции согласно приложению 2 к настоящему постановлению.
3. Департаменту методологии финансового рынка (Абдрахманов Н.А.) в установленном законодательством Республики Казахстан порядке обеспечить:
1) совместно с Юридическим департаментом (Сарсенова Н.В.) государственную регистрацию настоящего постановления в Министерстве юстиции Республики Казахстан;
2) направление настоящего постановления в республиканское государственное предприятие на праве хозяйственного ведения "Республиканский центр правовой информации Министерства юстиции Республики Казахстан":
на официальное опубликование в информационно-правовой системе "Әділет" в течение десяти календарных дней после его государственной регистрации в Министерстве юстиции Республики Казахстан;
для включения в Государственный реестр нормативных правовых актов Республики Казахстан, Эталонный контрольный банк нормативных правовых актов Республики Казахстан в течение пяти рабочих дней со дня его получения Национальным Банком Республики Казахстан после государственной регистрации в Министерстве юстиции Республики Казахстан;
3) размещение настоящего постановления на официальном интернет-ресурсе Национального Банка Республики Казахстан после его официального опубликования.
4. Управлению защиты прав потребителей финансовых услуг и внешних коммуникаций (Терентьев А.Л.) обеспечить направление настоящего постановления на официальное опубликование в периодических печатных изданиях в течение десяти календарных дней после его государственной регистрации в Министерстве юстиции Республики Казахстан.
5. Контроль за исполнением настоящего постановления возложить на заместителя Председателя Национального Банка Республики Казахстан Смолякова О.А.
6. Настоящее постановление вводится в действие по истечении двадцати одного календарного дня после дня его первого официального опубликования.
Председатель |
|
Национального Банка |
Д. Акишев |
"СОГЛАСОВАНО"
Министерство информации и коммуникаций
Республики Казахстан
Министр _______________ Д. Абаев
29 июля 2016 года
"СОГЛАСОВАНО"
Министр национальной экономики
Республики Казахстан
_______________ К. Бишимбаев
08 июля 2016 года
Приложение 1 |
|
Форма |
Акт
о соответствии ________________________
(наименование участника)
требованиям, предъявляемым к участникам системы формирования кредитных историй и их использования (за исключением субъекта кредитной истории)
________________________ |
______________________ |
место составления |
дата |
Настоящий акт о соответствии участника системы формирования кредитных историй и их использования (за исключением субъекта кредитной истории) требованиям к использованию информационно-коммуникационных технологий и обеспечению информационной безопасности при организации деятельности кредитных бюро, поставщиков информации и получателей кредитных отчетов составлен комиссией в следующем составе:
представители уполномоченного органа, осуществляющего регулирование, контроль и надзор финансового рынка и финансовых организаций:
_________________________________________________________________________________________________________________________________________________________.
В работе комиссии участвуют представители участника системы формирования кредитных историй и их использования:
_________________________________________________________________________________________________________________________________________________________.
Подробное описание обследованных объектов и изученных комиссией документов:
_________________________________________________________________________________________________________________________________________________________.
Краткое содержание пояснений представителей участника системы формирования кредитных историй и их использования:
_________________________________________________________________________________________________________________________________________________________.
Проверкой комиссией технических и иных документов участника системы формирования кредитных историй и их использования __________________________, обследованием его технических помещений, электронно-компьютерного оборудования, систем связи и защитных устройств и иных объектов, предназначенных для работы в системе формирования кредитных историй и их использования, установлено
__________________________________________________________________________________________________________________________________________________________
__________________________________________________________________________________________________________________________________________________________.
(соответствие (несоответствие) предъявляемым требованиям и достаточность недостаточность) для начала (продолжения) деятельности организации на рынке информационных услуг).
Участником системы формирования кредитных историй и их использования предъявлена следующая техническая документация и иные документы, которые приложены к акту комиссии:
_________________________________________________________________________________________________________________________________________________________.
Члены комиссии:
____________ _______________________________________ __________________________
(должность) (фамилия, имя, отчество (при его наличии)) согласовано (не согласовано)
____________ _______________________________________ __________________________
(должность) (фамилия, имя, отчество (при его наличии)) согласовано (не согласовано)
____________ _______________________________________ __________________________
(должность) (фамилия, имя, отчество (при его наличии)) согласовано (не согласовано)
Руководитель комиссии:
______________________________________________________________________________
(электронная цифровая подпись)
Приложение 2 |
|
Форма |
Заключение
о соответствии __________________________________________
(наименование микрофинансовой организации или субъекта естественной монополии)
требованиям, предъявляемым к микрофинансовой организации или субъектам естественной монополии
________________________ |
______________________ |
место составления |
дата |
Заключение о готовности микрофинансовой организации или субъекта естественной монополии к началу своей деятельности на рынке информационных услуг и выполнении ею (им) требований к использованию информационно-коммуникационных технологий и обеспечению информационной безопасности при организации деятельности кредитных бюро, поставщиков информации и получателей кредитных отчетов составлено представителями уполномоченного органа, осуществляющего регулирование, контроль и надзор финансового рынка и финансовых организаций, в следующем составе:
_______________________________________________________________________________________________________________________________________________________________.
Подробное описание обследованных объектов и изученных документов:
_______________________________________________________________________________________________________________________________________________________________.
Проверкой технических и иных документов микрофинансовой организации или субъекта естественной монополии _____________________________, обследованием ее (его) технических помещений, электронно-компьютерного оборудования, систем связи и защитных устройств и иных объектов, предназначенных для работы в системе формирования кредитных историй и их использования, установлено
_______________________________________________________________________________________________________________________________________________________________.
(соответствие (несоответствие) предъявляемым требованиям и достаточность (недостаточность) для начала (продолжения) деятельности организации на рынке информационных услуг).
Представители уполномоченного органа осуществляющего регулирование, контроль и надзор финансового рынка и финансовых организаций:
_______________________________________________________________________________________________________________________________________________________________.