ҚР Әділет министрлігінде 2015 жылы 14 мамырдағы №11669 тіркелді

«ҚАЗАҚСТАН РЕСПУБЛИКАСЫНЫҢ ҰЛТТЫҚ БАНКІ» РЕСПУБЛИКАЛЫҚ МЕМЛЕКЕТТІК МЕКЕМЕСІ		РЕСПУБЛИКАНСКОЕ ГОСУДАРСТВЕННОЕ УЧРЕЖДЕНИЕ «НАЦИОНАЛЬНЫЙ БАНК РЕСПУБЛИКИ КАЗАХСТАН»
_________________________________________________________________________________________________________________
БАСҚАРМАСЫНЫҢ ҚАУЛЫСЫ		ПОСТАНОВЛЕНИЕ ПРАВЛЕНИЯ
2015 жылғы 27 мамырдағы ______________ 2015 года		№ 91
Алматы қ.		г. Алматы

1. Қоса беріліп отырған Кредиттік бюролардың, ақпарат жеткізушілердің және кредиттік есептерді алушылардың қызметін ұйымдастыру кезінде ақпараттық-коммуникациялық технологияларды пайдалануға және ақпараттық қауіпсіздікті қамтамасыз етуге қойылатын талаптар бекітілсін.

2. Осы қаулының қосымшасына сәйкес Қазақстан Республикасының нормативтік құқықтық актілерінің күші жойылды деп танылсын.

3. Бақылау және қадағалау әдіснамасы департаменті

1) Құқықтық қамтамасыз ету департаментімен (Досмұхамбетов Н.М.) бірлесіп осы қаулыны Қазақстан Республикасының Әділет министрлігінде мемлекеттік тіркеуді;

2) осы қаулыны Қазақстан Республикасының Әділет министрлігінде мемлекеттік тіркелгеннен кейін күнтізбелік он күн ішінде «Қазақстан Республикасы Әділет министрлігінің Республикалық құқықтық ақпарат орталығы» шаруашылық жүргізу құқығындағы республикалық мемлекеттік кәсіпорнының «Әділет» ақпараттық-құқықтық жүйесінде ресми жариялауға жіберуді;

3) осы қаулы ресми жарияланғаннан кейін оны Қазақстан Республикасы Ұлттық Банкінің интернет-ресурсына орналастыруды қамтамасыз етсін.

4. Халықаралық қатынастар және жұртшылықпен байланыс департаменті (Қазыбаев А.Қ.) осы қаулыны Қазақстан Республикасының Әділет министрлігінде мемлекеттік тіркелгеннен кейін күнтізбелік он күн ішінде мерзімді баспасөз басылымдарында ресми жариялауға жіберуді қамтамасыз етсін.

5. Осы қаулының орындалуын бақылау Қазақстан Республикасының Ұлттық Банкі Төрағасының орынбасары Қ.Б. Қожахметовке жүктелсін.

6. Осы қаулы алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі.

Ұлттық Банк

Төрағасы Қ. Келімбетов

Қазақстан Республикасының Ұлттық Банкі Басқармасының 2015 жылғы 27 мамыр № 91 қаулысына

2. Қазақстан Республикасының Ұлттық Банкі Басқармасының «Қазақстан Республикасы Қаржы нарығын және қаржы ұйымдарын реттеу мен қадағалау агенттігі басқармасының «Кредиттік тарихты қалыптастыру жүйесіне қатысушылардың қызметіндегі ақпараттық процесті ұйымдастыруға және оны пайдалануға, қауіпсіздік жүйесін қалыптастыруға, олардың электрондық жабдықтарына, кредиттік тарихтың деректер базасының сақталуына және үй-жайларына қойылатын ең төменгі талаптарды белгілеу жөніндегі нұсқаулықты бекіту туралы» 2008 жылғы 18 шілдедегі № 105 қаулысына өзгеріс пен толықтыру енгізу туралы» 2011 жылғы 26 тамыздағы № 97 қаулысы (Нормативтік құқықтық актілерді мемлекеттік тіркеу тізілімінде № 7211 тіркелген, «Заң газеті» газетінде 2011 жылғы 13 қазанда № 149 (1965) жарияланған).

3. Қазақстан Республикасының Ұлттық Банкі Басқармасының «Қазақстан Республикасы Қаржы ұйымдарын реттеу мен қадағалау агенттігі Басқармасының «Кредиттік тарихты қалыптастыру жүйесіне қатысушылардың қызметіндегі ақпараттық процесті ұйымдастыруға және оны пайдалануға, қауіпсіздік жүйесін қалыптастыруға, олардың электрондық жабдықтарына, кредиттік тарихтың деректер базасының сақталуына және үй-жайларына қойылатын ең төменгі талаптарды белгілеу жөніндегі нұсқаулықты бекіту туралы» 2008 жылғы 18 шілдедегі № 105 қаулысына өзгерістер мен толықтырулар енгізу туралы» 2012 жылғы 24 ақпандағы № 89 қаулысы (Нормативтік құқықтық актілерді мемлекеттік тіркеу тізілімінде № 7620 тіркелген, «Егемен Қазақстан» газетінде 2012 жылғы 4 тамызда № 464-470 (27543) жарияланған).

4. Қазақстан Республикасының Ұлттық Банкі Басқармасының «Қазақстан Республикасы Қаржы ұйымдарын реттеу мен қадағалау агенттігі Басқармасының «Кредиттік тарихты қалыптастыру жүйесіне қатысушылардың қызметіндегі ақпараттық процесті ұйымдастыруға және оны пайдалануға, қауіпсіздік жүйесін қалыптастыруға, олардың электрондық жабдықтарына, кредиттік тарихтың деректер базасының сақталуына және үй-жайларына қойылатын ең төменгі талаптарды белгілеу жөніндегі нұсқаулықты бекіту туралы» 2008 жылғы 18 шілдедегі № 105 қаулысына өзгерістер мен толықтыру енгізу туралы» 2013 жылғы 25 қаңтардағы № 9 қаулысы (Нормативтік құқықтық актілерді мемлекеттік тіркеу тізілімінде № 8365 тіркелген, «Заң газеті» газетінде 2013 жылғы 5 маусымда № 81 (2282) жарияланған).

Қазақстан Республикасының Ұлттық Банкінің Басқармасының 2015 жылғы 27 мамыр № 91 қаулысымен

бекітіліген

1) ақпараттық жүйелер қауіпсіздігінің әкімшісі (бұдан әрі – әкімші) – жұмысы мен өкілеттігі ескеріле отырып, деректерді электронды түрде алу және (немесе) беру жүйесінің жұмысын, оларды қорғау шараларын іске асыруды, келіп түскен және (немесе) берілетін ақпараттың генерациясын оның жүзеге асыратын ұйымның қызметкері;

2) ақпараттық жүйені қорғау жөніндегі шаралар кешені – кредиттік тарихты қалыптастыру және пайдалану жүйесінің қауіпсіз жұмыс істеуін, оның ішінде электрондық құралдар мен компьютерлерді рұқсатсыз қол жеткізуден бағдарламалық-аппараттық қорғауға бағытталған, орнатылған бағдарламалық қамтамасыз ету мен ақпаратқа қол жеткізуді бақылауды қамтамасыз ететін, тіркелген пайдаланушылар өкілеттіктерінің ара жігін ажыратып беретін ұйымдастыру-техникалық іс-шаралар;

3) ақпараттық орта – кредиттік тарихты қалыптастыру және пайдалану жүйесі қатысушыларының ақпараттық жүйесінің оның компоненттерімен және ақпараттық ресурстарымен бірге өзара іс-әрекет жасау ортасы;

4) ақпараттық қауіпсіздік саясаты – шектеулі таратылатын ақпаратты басқаруды, қорғауды және бөлуді реттейтін нормалар және практикалық тәсілдер;

5) бірдейлестіру – ақпараттық жүйеде бар қол жеткізудің берілген деректемелерінің сәйкестігін анықтау жолымен қол жеткізу субъектісінің немесе объектісінің түпнұсқалығын растау;

6) жауапты тұлға – кредиттік тарихты қабылдау (беру) және қалыптастыру процесін іске асыру үшін жауап беретін ұйымның операторы, басқарушысы әкімшісі және өзге де қызметкерлері;

7) кредиттік тарихты қалыптастыру және пайдалану жүйесі қатысушыларының ақпараттық жүйесі (бұдан әрі – ақпараттық жүйе) – ақпаратты жеткізушілердің, кредиттік бюролардың, кредиттік есептерді қабылдаушылар мен кредиттік тарих субъектілерінің ақпаратты процестерді іске асыруға арналған ақпараттық технологияларының, ақпараттық желілерінің және олардың бағдарламалық-техникалық қамтамасыз ету құралдарының жиынтығы;

8) кіру шектелген үй-жай – шектелген тұлғалар тобының болуына рұқсат етілген үй-жай және осы үй-жайға басқа тұлғалардың кіруі арнайы рұқсат берілген қызметкерлердің алып жүруімен ғана жүзеге асырылады;

9) негізгі ақпарат – криптографиялық кілт және электронды сандық қол қою кілті;

10) оператор – қорғаудың кіші жүйесін пайдалана отырып, хабарламаларды дайындау, өңдеу, қабылдау және беруді тікелей жүзеге асыратын ұйымның қызметкері;

11) пайдалануға беру – ақпараттық жүйені дайындау жөніндегі ұйымдастыру-техникалық іс-шараларын орындау процесі және осы жүйенің өндірістік жағдайларда жұмыс істей бастауы;

12) пайдаланушы – электронды құжат алмасуға қатысатын және ақпарат беру жөніндегі шарттың және (немесе) кредиттік есепті алушы тарап болып табылатын кредиттік бюро және кредиттік тарихты қалыптастыратын және оны пайдалануға қатысатын өзге де қатысушылар (бұдан әрі – кредиттік тарих жүйесінің қатысушылары);

13) резервтік көшірме жасау (мұрағаттау) – резервтік көшірме жасау мәселелерін реттейтін нормалар және практикалық тәсілдер;

14) сәйкестендіруші – жүйенің субъектісіне және (немесе) объектісіне берілген және жүйеге және (немесе) жүйенің ресурстарына қол жеткізуді регламенттеуге арналған бірегей дербес код және (немесе) атау;

15) сәйкестендіру – жүйеде бар сәйкестендірушілер тізбесін сәйкестендірушінің жүйеге және (немесе) жүйе ресурсына қол жеткізу үшін ұсынылған сәйкестікті беру немесе анықтау;

16) уәкілетті орган – қаржы нарығын және қаржы ұйымдарын реттеуді, бақылау мен қадағалауды іске асыратын уәкілетті орган;

17) ұйым – кредиттік тарихты қалыптастыру және пайдалану жүйесінің Талапқа сәйкес ақпараттық жүйеге қатысушы (кредиттік тарих субъектілерінен басқа).

3. Ақпараттық жүйені ұйымдастыру және жұмыс істеуі:

1) оның қатысушыларының келісілген рәсімдер мен технологиялық параметрлер шеңберіндегі қызметін үйлестіруді және басқаруды;

2) пайдаланылатын бағдарламалық және техникалық құралдарды бірегейлендіруді;

3) ақпараттарды ашып көрсету мүмкіндігін жоюды қоса алғандағы ақпарат қауіпсіздігін;

4) тиімділігі жоғары технологияларды енгізуді;

5) ресурстарды икемді және тиімді басқаруды;

6) қызмет көрсету сапасын көтеруді қамтамасыз етеді.

4. Ұйым:

1) деректерді енгізуді бақылауды;

2) құжаттардың параметрлерін (құжаттардың нөмірлерін, байланыс кодын, шарттың нөмірін) есептеу мүмкіндігін;

3) жиынтық ақпарат тудыруды;

4) резервтік көшірмелерін жасауды, деректерді мұрағаттауды;

5) кіру құқығын бақылайтын қорғаудың штатты құралдары бар ақпараттық жүйені пайдалануды;

6) электронды хабарламаларды ұсынуды және қабылдауды реттейтін рәсімдердің болуын;

7) талдамалық және статистикалық есептерді дайындау мүмкіндігін қамтамасыз етеді.

5. Ақпаратты жеткізушілер және кредиттік есепті алушылар олармен жасалған ақпарат беру және (немесе) кредиттік есептерді алу туралы шарттардан және Кредиттік бюро туралы заңда көзделген кредиттік бюроның ішкі құжаттарынан туындайтын кредиттік бюроның ұйымдастыру, технологиялық талаптарын және талаптарын орындауды қамтамасыз етеді.

6. Ақпаратты жеткізуші ұсынған ақпаратты кредиттік бюро оның дұрыс немесе толық орындалмауына, ақпаратты жеткізушінің, кредиттік есепті алушының, кредиттік тарих субъектісінің деректерінің ақпараттық жүйеде пайдалану талаптарына сәйкес келмеуіне байланысты кредиттік тарихты ақпараттық жүйеде қалыптастыруды және пайдалануды ақпараттық жүйеге пайдаланбай қайтарады.

7. Кредиттік бюролар ақпаратты жеткізушілерге және кредиттік есепті алушыларға ақпараттық процестерді іске асыру үшін қажетті арнайы бағдарламалық қамтамасыз етуді береді не олар пайдаланып отырған бағдарламалық қамтамасыз етуге тиісті талаптарды белгілейді. Ақпаратты жеткізушілер және кредиттік есепті алушылар арнайы бағдарламалық қамтамасыз етуді дербес әзірлеген жағдайда оны кредиттік бюролармен келіседі.

8. Ақпараттық жүйені әзірлеу, енгізу және ілеспе қызмет көрсету процесінің құрамында әзірлеу кезеңдерін анықтау, өзгерістер енгізу, қабылдау, тестілеу және пайдалануға беру тәртібі, барлық кезеңдерді құжаттандыруға қойылатын талаптар қамтылады.

9. Кредиттік бюролардың ақпараттық жүйені әзірлеуі, енгізуі және оған ілеспе қызмет көрсетуі олардың ішкі құжаттарына және Қазақстан Республикасының аумағындағы қолданыстағы стандарттарына сәйкес жасалады.

10. Кредиттік бюролар ақпараттық жүйені әзірлеуді оның бірінші жетекшісі бекіткен техникалық тапсырма негізінде әзірлейді.

11. Бағдарламалық қамтамасыз етуге өзгерістер енгізу қажет болған жағдайда (жүйенің кемшіліктерін алып тастау немесе жетілдіру үшін) ақпараттық жүйенің бағдарламалық қамтамасыз етуін және (немесе) деректерін рұқсатсыз өзгертуге жол бермеу мақсатында өзгерістер енгізу процесі Қазақстан Республикасының аумағында қолданылып жүрген техникалық тапсырмаға, стандарттарға және кредиттік бюроның ақпараттық қауіпсіздік саясатына сәйкес жүзеге асырылады.

12. Кредиттік тарихтың деректер базасын және аталған ақпараттық жүйелердің қорғаныш құралдарын орналастыру үшін ақпараттық жүйені қалыптастыру және пайдалану кезінде сертификатталған жабдықтар және бағдарламалық қамтамасыз ету қолданылады.

13. Кредиттік бюро ақпаратты жеткізушілермен және кредиттік есептерді алушылармен деректер алмасуды бөлінген байланыс арналары немесе интернет-ресурс арқылы:

1) секундіне 10 мегабит кем емес өткізгіштік қабілеті бар негізгі арнаның болуы;

2) секундіне 2 мегабит кем емес өткізгіштік қабілеті бар резервтік сымсыз арнаның болуы;

3) әртүрлі провайдерлер арналарын пайдалану;

4) ақпаратты жеткізушілермен және кредиттік есептерді алушылармен ғана ақпарат алмасу үшін пайдаланылатын арналарды пайдалану шартымен жүзеге асырады.

14. Кредиттік тарихты қалыптастыру және оны пайдалану жүйесінің қатысушыларына (микроқаржы ұйымын және кредиттік тарих субъектісін қоспағанда) қойылатын талаптарға сәйкес келуін растау үшін, ақпаратты жеткізуші немесе кредиттік есептерді алушы еркін нысанда толтырылған өтінішті уәкілетті органға қағаз тасымалдағышпен жібереді.

Ұйымның (микроқаржы ұйымын қоспағанда) бағдарламалық қамтамасыз етуді қорғау жөніндегі ұйымдастыру-техникалық, технологиялық талаптарды сақтауын, пайдаланылатын ақпараттық жүйелердің Талаптарда және Қазақстан Республикасының заңнамасында белгіленген шарттар мен талаптарға сәйкес келуін уәкілетті органның комиссиясы кредиттік тарихты қалыптастыру және оны пайдалану жүйесінің (микроқаржы ұйымын және кредиттік тарих субъектісін қоспағанда) қатысушыларына Талаптардың 1-қосымшасына сәйкес нысан (бұдан әрі – сәйкес келу туралы акт) бойынша қойылатын талаптарға сәйкес келетіндігі туралы акт жасау арқылы растайды.

Сәйкес келу туралы акт комиссияның барлық мүшелерімен келісіледі, одан кейін тексерілетін ұйымның өкіліне қол қою үшін жіберіледі. Егер комиссияның бір мүшесі қабылданған шешіммен келіспесе және сәйкес келу туралы актісіне қол қоймаса, онда ол комиссияға өзінің бас тарту себебін жазбаша нысанда ұсынады және оны сәйкес келу туралы актіге қоса береді.

Сәйкес келу туралы акт уәкілетті органның комиссия мүшелерінің үштен екісінің келісім туралы қолдары болған кезде жасалған болып саналады.

Микроқаржы ұйымының бағдарламалық қамтамасыз етуді қорғау жөніндегі ұйымдастыру-техникалық, технологиялық талаптарды сақтауын, пайдаланылатын ақпараттық жүйелердің Талаптарда және Қазақстан Республикасының заңнамасында белгіленген шарттар мен талаптарға сәйкес келуін уәкілетті орган Талаптардың 2-қосымшасына сәйкес нысан (бұдан әрі - уәкілетті органның қорытындысы) бойынша микроқаржы ұйымдарына қойылатын талаптарға сәйкес келуі туралы қорытындыны ұсыну арқылы растайды.

15. Ақпаратты жеткізушілер (микроқаржы ұйымдарын қоспағанда), кредиттік есептерді алушылар және кредиттік бюролар арасындағы ақпарат алмасу оң қорытындыға сәйкестік туралы акт болған кезде жүзеге асырылады.

Микроқаржы ұйымдары, кредиттік есептерді алушылар және кредиттік бюролар арасындағы ақпарат алмасу уәкілетті органның оң қорытындысы болған кезде жүзеге асырылады.

16. Кіріс және шығыс трафигі криптографиялық қорғанышпен қамтамасыз етіледі.

17. Ішкі рәсімдер:

салыстырып тексеру талаптарын, тәртібін және мерзімдерін;

салыстырып тексеруге жататын ақпараттың параметрлерін;

салыстырып тексеруге байланысты ақпараттық процестерді іске асыру үшін қажетті бағдарламалық қамтамасыз етуге қойылатын талаптарды;

салыстырып тексеруге жататын ақпаратты қорғауды қамтамасыз ету тәртібін;

мемлекеттің қатысуы бар кредиттік бюроға салыстырып тексеру жүргізуге байланысты келтірілген нақты шығыстарды өтеу тәртібін айқындайды.

18. Кредиттік бюро кредиттік бюроның кредиттік тарихының дерекқорында сақталатын ақпараттың дәйектілігін қамтамасыз ету үшін жылына кемінде бір рет оны мемлекеттің қатысуы бар кредиттік бюроның ішкі рәсімдерімен белгіленген талаптармен, тәртіппен және мерзімдерде мемлекеттік қатысуы бар кредиттік бюроның ақпаратымен салыстырып тексереді.

Кредиттік бюроның кредиттік тарихының дерекқорында сақталатын ақпаратты салыстырып тексеру есепті жылдың соңғы айдың жиырмасыншы жұмыс күнінен кешіктірмей жүргізіледі.

Салыстырып тексеруге жататын ақпарат көлемін кредиттік бюро дербес түрде, салыстырып тексеруге жататын ақпарат параметрлерінің мемлекеттің қатысуы бар кредиттік бюроның ішкі рәсімдерінде белгіленген ақпарат параметрлеріне сәйкес келуі шартымен анықтайды.

19. Мемлекеттің қатысуы бар кредиттік бюро өзге де кредиттік бюролардан қабылданған ақпаратты ішкі рәсімдерде белгіленген мерзімде мемлекеттің қатысуы бар кредиттік бюроның кредиттік тарихының деректер базасында бар ақпаратпен салыстырып тексереді.

20. Мемлекеттің қатысуы бар кредиттік бюроның және өзге де кредиттік бюроның уәкілетті өкілдері олардың кредиттік тарихтарының дерекқорында бар, салыстырып тексеруге жататын ақпараттың сәйкес келуін немесе сәйкессіздігін салыстырып тексеру актісін немесе сәйкессіздік актісін еркін нысанда жасау арқылы растайды.

Мемлекеттің қатысуы бар кредиттік бюро сәйкес келмеу актісін жасаған кезде сәйкес келмеу актісін жасаған күннен бастап екі жұмыс күн ішінде оның көшірмесін уәкілетті органға ұсынады.

21. Салыстырып тексеру актісі немесе сәйкес келмеу актісі әр тарап үшін бір данадан екі данада жасалады, салыстырып тексеруді жүзеге асыратын тараптарының уәкілетті өкілдері оған қол қояды және олардың мөрлерімен расталады.

22. Салыстырып тексеру актілері кезекті салыстырып тексеру жүргізілгенге дейін сақталады. Сәйкес келмеу актілері олар жасалған күннен бастап бес жыл бойы сақталады.

23. Кредиттік бюро және мемлекеттік қатысуы бар кредиттік бюро сәйкес келмеу актісін жасаған күннен бастап он жұмыс күн ішінде анықталған сәйкессіздіктерді жою жөніндегі шараларды қабылдайды. Мемлекеттік қатысуы бар кредиттік бюро анықталған сәйкессіздіктерді жою жөнінде қабылданған шаралардың нәтижелері туралы уәкілетті органға үш жұмыс күн ішінде хабарлайды.

24. Кредиттік бюро тұрғын үйге жатпайтын үйде, кіру шектелген үй-жайда орналасады.

25. Кредиттік бюроның қауіпсіздік жүйесі Талаптарда:

1) серверлік үй-жайға және кіру шектелген үй-жайға;

2) кредиттік бюроның қызметін автоматтандыру үшін пайдаланылатын жүйелік бағдарламалық қамтамасыз етуге;

3) кредиттік бюроның қызметін автоматтандыру үшін пайдаланылатын арнайы бағдарламалық қамтамасыз етуге (ақпараттық жүйеге);

4) кредиттік бюроның техникалық құралдарына (ақпараттық ресурстарына);

5) ақпарат қауіпсіздігін қамтамасыз етуге белгіленген талаптарға сәйкес келуі тиіс.

26. Кредиттік бюроның жабдықталған серверлік үй-жайы:

1) кіруді бақылау жүйесін (жеке электронды рұқсатнама);

2) серверлік үй-жайына және кросс бөлмелеріне кіруді бейнебақылау жүйесін;

3) міндетті түрде газбен толтырылған толық резервтік баллоны бар және кепілдік берілген қуат беру жүйесіне қосылған автоматты өрт сөндіру жүйесін;

4) есік, терезелердің күзет сигнализациясы жүйесін және герметикалық аймақтың ішіндегі датчиктерді;

5) серверлік бөлменің гермоаймағында тұрған үздіксіз таза қуат беру жүйесін;

6) тәулік бойғы жұмыс істейтін кезекші жарықты қоса алғанда, серверлік және кросс бөлмелерінің барлық электр желісінің кепілдік берілген қуат беру жүйесін;

7) толық резерві бер кондиционирлеу жүйесін қамтиды.

27. Серверлік үй-жай кейіннен кеңістікті кеңейту мүмкіндігі бар және өлшемі ірі аппаратураларды орналастыру мүмкіндігі бар жерлерге орналасады және мынадай талаптарға сәйкес келуі тиіс:

1) cерверлік бөлменің ең төменгі қолжетімді мөлшері – 20 шаршы метр;

2) cерверлік бөлме мөлшері 1,5 кондуитпен үйдің жерге қосылу жүйесінің бас электродымен қосылуға тиіс;

3) cерверлік бөлменің талап етілетін ең төменгі биіктігі 2,44 метр болуға тиіс.

28. Кредиттік бюроның кіру шектелген үй-жайы мынадай талаптарға сәйкес келуге тиіс:

1) жауапты тұлғаның жұмыс орнына жіберілмейтін тұлғалардың осы үй-жайға қадағаланбай кіріп кету мүмкіндігін болдырмайтын кіруді бақылау жүйесінің (жеке электронды рұқсатнама) болуы;

2) кіруді бейнебақылау жүйесінің болуы (тұрақты жазып отыратын бейнекамера);

3) өрт сигнализациясы жүйесінің болуы;

4) күзет сигнализациясы жүйесінің болуы;

5) үй-жайда кредиттік бюроның қызметіне қатысы жоқ жұмыс орындарын иеленуге тыйым салынады;

6) кіру шектелген үй-жай үйдің бірінші немесе соңғы қабаттарында орналасқан жағдайда, сондай-ақ балкондардың терезелерінің жанында өрт баспалдақтары бар болса, үй-жайдың терезелері металл торкөздермен жабдықталады;

7) кіру шектелген үй-жайда жауапты тұлғалардың жұмыс орындары орналасады.

29. Ақпаратты жеткізушілер (микроқаржы ұйымын қоспағанда) мен кредиттік есептерді алушылардың кіру шектелген үй-жайларына Талаптардың 28-тармағының 1), 3), 4), 5) және 6) тармақшаларында белгіленген талаптар қойылады, сондай-ақ үй-жайға кіру әрбір келуі келу журналында тіркелетін жауапты тұлғалардың аты, тегі, әкесінің аты (бар болған кезде), лауазымы, күні, уақыты және келу мақсаты көрсетіле отырып олардың тізімімен шектеледі.

Микроқаржы ұйымының кіру шектелген үй-жайларына Талаптардың 28-тармағының 1), 3), 4) және 5) тармақшаларында белгіленген талаптар қойылады, сондай-ақ үй-жайға кіру әрбір келуі журналында тіркелетін жауапты тұлғалардың аты, тегі, әкесінің аты (бар болған кезде), лауазымы, күні, уақыты және келу мақсаты көрсетіле отырып олардың тізімімен шектеледі.

Микроқаржы ұйымы орналасқан үйде жалпы күзет сигнализациясының жүйесі болған кезде микроқаржы ұйымының кіру шектелген үй-жайына жеке күзет сигнализациясы талап етілмейді.

30. Жауапты тұлғаның жұмыс орны мынадай талаптарға сәйкес келуі тиіс:

1) бағдарламалық қамтамасыз ету орналасқан жері, конфигурациясы, сондай-ақ оған орнатылған аппараттық және бағдарламалық құралдар көрсетілген паспорты бар арнайы бөлінген дербес компьютерге орнатылады. Паспорт ұйым басшысының қолымен ресімделеді және жауапты тұлғада сақталады;

2) жауапты тұлғаның дербес компьютерін пайдалануға және дайындау, өңдеу, жіберу мақсаттарымен байланысты емес немесе ақпараттық жүйеге қатысу аясындағы электрондық құжаттарды жүргізу жүйесінде бағдарламалық құрал-жабдықтарды орнатуға жол берілмейді;

3) жауапты тұлғаның дербес компьютерінде төмендегілер қамтылатын қорғаныш кешені болуға тиіс:

пайдаланушының сәйкестендіру және бірдейлендіру құралдары;

компьютерге кіруге және пайдаланушылардың іс-қимылдарына байланысты қызметті бақылау мақсатында электронды құжаттарды сақтау мерзімі ішінде электронды журналдарды жүргізу мүмкіндігі;

4) пайдаланушының (жауапты тұлғаның) пайдаланушы сәйкестендіретін бір жүйелік атының болуы, ақпараттық жүйеге кіру кезінде бір жеке тұлға сәйкес келуге тиіс;

5) дербес компьютерде бағдарламалық қамтамасыз етудің бүтіндігі мен құпиялылығын қамтамасыз ететін құралдар болуға тиіс;

6) желілік ресурстар мен сыртқы тасымалдағыштарға, сондай-ақ оператордың дербес компьютеріне ақпаратты енгізу-шығару порттарына кіру, оның ішінде енгізу-шығарудың базалық жүйесін теңшеу кезінде де ажыратылуы тиіс;

7) дербес компьютердің жүйелік блогын, ақпаратты енгізу-шығару порттарын әкімші мөр соғады не пломбалайды. Мөр соғу (пломбалау) процесі тегін, атын, әкесінің атын (бар болған кезде), қызметін, келу күнін, уақытын және пломбалау (мөр соғу) мақсатын көрсете отырып, арнайы журналында тіркеледі. Ноутбуктер үшін порттарға мөр соқпай, енгізу-шығару базалық жүйесіндегі қондырғыларды ажыратуды пайдалануға ғана рұқсат беріледі. Үйден ақпараттық қауіпсіздік қызметі басшысының жауапты қызметкерінің өтінімдері негізінде жасалатын профилактикалық және жөндеу жұмыстарын жүргізуден басқа жағдайларда компьютерлер мен ноутбуктерді алып шығуға тыйым салынады;

8) қорғаныш жүйесін пайдалана отырып, ақпараттық ортаға берілетін ақпаратты жинақтау үшін бөлінген өзге ресурстарға (дискілік кеңістік, директория, дерекқор және дерекқордың резервтік көшірмелері) кіру тәртібі, ақпараттық ортадан ақпарат алу, ақпаратты сақтау, мұрағаттау және басқа да өңдеу осы ресурстарға рұқсат етілмеген кіру мүмкіндігін болдырмауы тиіс;

9) жауапты тұлғаның жұмыс орнына және кіру шектелген үй-жайына кіру оның лауазымдық міндеттеріне сәйкес жүзеге асырылады.

31. Ақпаратты жеткізушілердің операторы мен кредиттік есептерді алушылардың жұмыс орны кіру шектелген үй-жайда болуы тиіс және осы Талаптардың 28-тармағымен белгіленген талаптарға сәйкес келуге тиіс.

32. Кредиттік бюроның жүйелі бағдарламалық қамтамасыз етулерді (операциялық жүйелер, дерекқорларды басқару жүйесі, офистік бағдарламалар, вирусқа қарсы бағдарламалар) пайдалануы лицензиямен, сертификаттармен расталуы тиіс.

33. Кредиттік тарих бойынша деректерді жинақтау және сақтау үшін дерекқорды басқарудың өнеркәсіптік жүйесі пайдаланылады, әзірлеушінің ресми өкілдігі және Қазақстан Республикасының аумағында техникалық қолдау көрсету орталығы бар.

34. Бағдарламалық қамтамасыз етуді енгізуді және пайдалануға беруді (дайын өнімді әзірлеу немесе бейімдеу) кредиттік бюро оның бірінші басшысы бекіткен техникалық тапсырмасы негізінде орындайды, бұл ретте қауіпсіздік тетіктеріне арналған тиісті сертификаттар болуы қажет. Кредиттік бюроның бағдарламалық қамтамасыз етуін әзірлеушілердің барабар жүйелерді әзірлеу бойынша екі жылдан кем емес тәжірибесі болуға тиіс.

35. Кредиттік бюроның бағдарламалық қамтамасыз етуінде ақпаратты қабылдаудың (жеткізудің) мынадай екі және одан көп тәсілі көзделеді:

қолжетімді форматтардағы есептердің бағдарламалық қамтамасыз етуін пайдалана отырып стандартты форматтағы файл дайындалатын интерактивті интерфейс;

нақты уақыт режимінде берудің стандартты форматпен пайдаланылатын желілік кіру, деректерді қолмен енгізу функциясының көмегі арқылы енгізу, веб-браузерді пайдалану арқылы сайттарда экрандық нысандарды толтыру.

36. Ақпараттық қауіпсіздік мақсатында кредиттік бюроның бағдарламалық қамтамасыз етуі мыналарды қамтамасыз етеді:

1) криптографиялық қайта құру арқылы бірегейлендіруді және бірдейлестіруді;

2) пайдаланушылардың құқықтарын шектеуді;

3) бағдарламалық қамтамасыз ету ядросы деңгейіндегі жұмысты жүйе аясындағы мәні бар іс-әрекеттің (пайдаланушының немесе процестегі іс-әрекеті) ешқайсысының қауіпсіздік тетігінің қатысуынсыз өтпеуін;

4) бағдарламалық қамтамасыз етуде іске асырылған қауіпсіздік схемасы бағдарламалық қамтамасыз ету іске асырылатын операциялық жүйенің өзінің қауіпсіздік құралдарынан бөлінуін, сонымен қатар, операциялық жүйенің қауіпсіздік құралдарының осалдығы бағдарламалық қамтамасыз етудің қауіпсіздік жұмысына әсер етпеуін;

5) бағдарламалық қамтамасыз етудегі деректердің тұйықталып сақталуын:

көрсетілген деректерге бағдарламалық қамтамасыз етудің қосымшаларының жұмыс аясынан тыс қисынды кірудің мүмкін болмауын;

деректердің бағдарламалық қамтамасыз етудің дерекқорына (дерекқорынан) кез-келген ауыстырудың қауіпсіздік тетіктерінің бақылауды қамтамасыз ететін тәсілмен ұйымдастырылуын;

6) фактіні, жою, өзгерту процесіндегі объекті мен және субъектіні сәйкестендіру үшін қажетті ақпаратты белгілеуді және жойылған деректерді қалпына келтіру мүмкіндігін;

7) іркілістер пайда болған кезде тұрақты жұмыс істеу мүмкіндігін;

8) пайдаланушының жұмыс орны істен шыққан немесе оған қасақана рұқсат етілмей кірудің жүйенің серверлік бөлігінің жұмысына әсер етпеуі, ал сервер қосымшаларының іркілісі жүйе деректерінің жай-күйіне әсер етпеуі үшін үш деңгейлі «клиент-сервер» архитектурасын;

9) тіркеу журналында тіркей отырып, сондай-ақ кез-келген субъект тарапынан қорғаныш мүмкіндігімен жүйелік-маңызды оқиғалардың аудитін;

10) пайдаланушылар мен басқарушылардың байланыс орнату әрекетінен бастап сәтті, сондай-ақ сәтсіз іс-қимылдарының аудитін;

11) экспортталатын және импортталатын деректерді бақылауды;

12) қауіпсіздік модульдері мен механизмдерін әзірлеу (пысықтау) мүмкіндігін;

13) ақпараттық жүйенің әзірлеушісімен жасалған шартта мынадай міндеттердің көзделуін:

кредиттік бюроны жүйеде анықталған қателер мен жүйенің осал тұстары, сондай-ақ жүйедегі өзгерістер мен жаңартуларды уақтылы беру туралы жүйелі түрде хабардар ету;

шұғыл қолдау көрсету қызметін ұйымдастыру, оның ішінде кредиттік бюро қызметкерлеріне кеңестер беру және оларға ақпараттық қауіпсіздік мәселелері бойынша практикалық көмек көрсетуге арналған қауіпсіздік мәселелері бойынша.

37. Кредиттік бюроның бағдарламалық қамтамасыз етуінде Кредиттік бюро туралы заңда белгіленген мерзім ішінде кредиттік тарих субъектісіне қатысты ақпараттың сақталуы, сондай-ақ кредиттік тарихты қалыптастырғаннан бастап кез келген уақыттағы жағдай бойынша кредиттік есептердің бір жұмыс күні ішінде қалыптастыру мүмкіндігі көзделеді.

38. Кредиттік бюроның техникалық құралдарына қойылатын талаптар:

1) меншікті аппараттық қамтамасыз етудің (компьютерлік жабдық, серверлер, қорғаныштың аппараттық құралдары, құрауыш және өзге жабдық) және аппараттық қамтамасыз етудің кредиттік бюроға тиесілігін растайтын құжаттардың болуы;

2) сәйкес келуді растаушы орган берген, аппараттық қамтамасыз етудің қауіпсіздік талаптарына сәйкес келу сертификаттарының болуы;

3) екі үздіксіз қуат беру көздерінен (бұдан әрі – ҮҚК) берілетін сигнал арқылы жұмыс істейтін және бүкіл ұйым бойынша таза қуат желісінде электрді үздіксіз ұстап тұратын резервті, дизельдік генерациялау құрылғысын автоматты түрде қосатын кепілдік берілген қуат жүйесі – қалқанының болуы. Бұл ретте әрбір ҮҚК жүктемесі штаттық режімде қырық пайыздан аспайды.

39. Кредиттік бюроның серверлері үзіліссіз орнықты жұмыс істейтін аяқталған жүйені құрайды және аппараттық бөлікті бір жүз пайыз қайталайтын кластерді білдіреді. Кредиттік бюроның дерекқорының резервтік серверлері негізгі серверден кемінде он километр қашықтықта орналасады және кредиттік бюроның дерекқордың үзіліссіз жұмыс істеуін дерекқордың негізгі серверлерінің жұмысы тоқтаған жағдайда, кредиттік бюро негізгі сервердің жұмысын тоқтатқан сәттен бастап 6 (алты) сағаттан аспайтын мерзімде резервтік серверлердегі деректер базасының жұмысын қалпына келтіруді қамтамасыз ететіндей қамтамасыз етеді.

40. Ақпарат қауіпсіздігін қамтамасыз ететін ұйымға (микроқаржы ұйымын қоспағанда) қойылатын талаптар:

1) аппараттық шектес маршрутизаторлардың көмегімен трафикті шифрлау арқылы деректер берудің қорғалған арнасының болуы;

2) интернет желісінен ұйымның компьютер желісіне жасалатын шабуылдарды желіаралық экранның көмегімен анықтау (болдырмау) жүйелерінің болуы;

3) пайдаланушының криптокілті мен сәйкестендіру жүйесінің көмегімен компьютерлерді криптографиялық қорғау жүйесінің болуы;

4) пайдаланушылардың желілік карталарының тасымалдағыштарына кіруді басқару сәйкестендіруші бойынша трафикті аппараттық желілік талдаушының болуы;

5) резервтік көшірме жасау – ақпараттың сыртқа тасымалдағыштарына арналған кітапханасы жүйесінің болуы.

Жоғарыда көрсетілген талаптарды іске асыру үшін кредиттік бюро ақпарат қауіпсіздігін қамтамасыз ету үшін тәуекелдерді, осалдықтар мен қауіп-қатерлерді талдайды және бағалайды.

Микроқаржы ұйымына осы тармақтың 2) және 5) тармақшаларында көзделген ақпарат қауіпсіздігін қамтамасыз ету бойынша талаптар қолданылады.

41. Ұйым (микроқаржы ұйымын қоспағанда) өз қызметі барысында мынадай талаптарды орындайды:

1) ақпарат қауіпсіздігі қызметінің болуы;

2) кредиттік тарихтар бойынша жауапты тұлғалардың болуы;

3) ақпарат қауіпсіздігі саясатының болуы;

4) парольдерді қалыптастыру және пайдалану саясатының болуы;

5) резервтік көшірме жасау (мұрағаттау) саясатының болуы;

6) пайдаланушылардың, қауіпсіздік әкімшілерінің, жүйелік әкімшілердің кіруін шектеу және олардың міндеттері жөніндегі рәсімдерді сипаттайтын құжаттаманың болуы.

Микроқаржы ұйымы өз қызметі барысында осы тармақтың 2) тармақшасында белгіленген талапты орындайды.

42. Ұйым (микроқаржы ұйымын қоспағанда) төмендегілер қамтылатын ақпараттық жүйемен жұмыс тәртібін анықтайтын ішкі құжатты қабылдайды:

1) жауапты тұлғалардың міндеттері жүктелетін қызметкерлерді тағайындау тәртібі;

2) жұмыс режимі;

3) лауазымдық нұсқаулықтарды қоса алғанда, жауапты тұлғалардың құқықтары мен міндеттері;

4) оператордың жұмыс орнына кіруге рұқсат берілген қызметкерлердің тізімі;

5) айырықша жағдайларда (дағдарыс жағдайында, сондай-ақ қызметкердің орнын ауыстырған жағдайда) оператордың жұмыс орнына кіруге рұқсат берілген қызметкерлердің тізімі.

Микроқаржы ұйымына осы тармақтың 3), 4) және 5) тармақшаларында көзделген талаптар қолданылады.

43. Жауапты тұлғалар:

1) ақпараттық жүйелер ресурстарына кіру үшін бірегейлендіру және бірдейлестіру рәсімдерінің міндеттілігін қамтамасыз етеді;

2) авторизацияланбаған пайдаланушылардың ақпараттық ресурстарға кіру құқығын алуына жол бермейді;

3) ақпараттық жүйе өңдейтін ақпараттың резервтік көшірмесін жасаудың жүйелі болуын бақылайды;

4) жүйе ресурстарының қорғалу сенімділігін жоспарлы және жоспардан тыс тексереді;

5) корпоративтік желінің жабдықтарын, оның ішінде арнайы желіаралық бағдарламалық құралдарды қорғауды қамтамасыз етеді;

6) қауіп-қатерді көрсету және бұзушыларды анықтау жөнінде шаралар қабылдайды;

7) оқиғалар журналын, ондағы ақпаратқа рұқсат етілмеген кіру әрекеттері болған жазбаларды жүйелі түрде қарап отырады.

44. Ұйым қызметкерлері (жауапты тұлға, әкімші, оператор) олардың қызметтік міндеттерін орындау барысында белгілі болған ақпаратты жария етпейтіні және таратпайтыны туралы жазбаша міндеттеме береді.

45. Жауапты тұлға жұмыстан шыққан жағдайда ұйымның негізгі ақпараты жоспардан тыс ауыстырылады, бұл туралы кредиттік бюро хабардар етіледі. Негізгі жаңа ақпарат ол жұмыстан шығарылған күннен бастап қолданысқа енгізіледі.

46. Ұйымдағы негізгі ақпарат бар сыртқы тасымалдағыштарды сақтау және пайдалану тәртібі оған рұқсат етілмеген кіру әрекеттерінің мүмкіндігін болдырмайды.

Кредиттік бюролардың, ақпарат жеткізушілердің

1-қосымша

Нысан

________________________________________

кредиттік тарихты қалыптастыру және оны пайдалану жүйесінің қатысушыларына (микроқаржы ұйымын және кредиттік тарих субъектісін қоспағанда) қойылатын талаптарға сәйкес келуі туралы

 

________________________________	________________
жасалған орны	күні

 

Осы Кредиттік тарихты қалыптастыру және оны пайдалану жүйесі қатысушысының ақпараттық қызмет көрсету нарығындағы өз қызметін бастауға және олардың кредиттік бюролардың, ақпарат жеткізушілердің және кредиттік есептерді алушылардың қызметін ұйымдастыру кезінде ақпараттық-коммуникациялық технологияларды пайдалануға және ақпараттық қауіпсіздікті қамтамасыз етуге қойылатын талаптарды орындауға дайын екені туралы актіні мынадай құрамдағы комиссия жасады:

қаржы нарығын және қаржы ұйымдарын реттеуді, бақылау мен қадағалауды іске асыратын уәкілетті органның өкілдері:

__________________________________________________________________

__________________________________________________________________

__________________________________________________________________

Комиссияның жұмысына кредиттік тарихты қалыптастыру және оны пайдалану жүйесі қатысушысының мынадай өкілдері қатысады:

__________________________________________________________________

__________________________________________________________________

__________________________________________________________________

Комиссия зерттеген объектілердің және зерделеген құжаттардың толық сипаттамасы:

__________________________________________________________________

__________________________________________________________________

__________________________________________________________________

Кредиттік тарихты қалыптастыру және оны пайдалану жүйесі қатысушысының өкілдері түсіндірмелерінің қысқаша мазмұны:

__________________________________________________________________

__________________________________________________________________

__________________________________________________________________

Комиссияның _________________ кредиттік тарихты қалыптастыру және оны пайдалану жүйесі қатысушысының техникалық және өзге де құжаттарын тексеруі, оның кредиттік тарихты қалыптастыру және оны пайдалану жүйесіндегі жұмыстарға арналған техникалық үй-жайын, электрондық-компьютерлік жабдығын, байланыс жүйелерін және қорғаныш құрылғыларын және өзге де объектілерін тексеруі кезінде

__________________________________________________________________

_________________________________________________________________________________________ анықталды

(қойылған талаптарға сәйкес (сәйкес емес) және ақпараттық қызмет көрсету нарығында қызметті ұйымдастыруды бастау (жалғастыру) үшін жеткілікті (жеткіліксіз).

Кредиттік тарихты қалыптастыру және оны пайдалану жүйесінің қатысушысы комиссия актісіне қоса берілген мынадай техникалық құжаттаманы және өзге де құжаттарды ұсынды:

__________________________________________________________________

__________________________________________________________________

__________________________________________________________________

Комиссия мүшелері:

Комиссия басшысы:

_________________________________________________________________

(электрондық цифрлық қолтаңба)

Кредиттік бюролардың, ақпарат жеткізушілердің

2-қосымша

Нысан

_________________________________________

микроқаржы ұйымына қойылатын талаптарға

сәйкес келуі туралы

қорытынды

 

_________________________	________________
жасалған орны	күні

 

Микроқаржы ұйымының ақпараттық қызмет көрсету нарығындағы өз қызметін бастауға және оның кредиттік бюролардың, ақпарат жеткізушілердің және кредиттік есептерді алушылардың қызметін ұйымдастыру кезінде ақпараттық-коммуникациялық технологияларды пайдалануға және ақпараттық қауіпсіздікті қамтамасыз етуге қойылатын талаптарды орындауға дайын екені туралы қорытындыны қаржы нарығын және қаржы ұйымдарын реттеуді, бақылау мен қадағалауды іске асыратын уәкілетті органның мынадай құрамдағы өкілдері жасады:

__________________________________________________________________

__________________________________________________________________

__________________________________________________________________

Зерттелген объектілердің және зерделенген құжаттардың толық сипаттамасы:

__________________________________________________________________

__________________________________________________________________

__________________________________________________________________

__________________ микроқаржы ұйымының техникалық және өзге де құжаттарын тексеру, оның кредиттік тарихты қалыптастыру және оны пайдалану жүйесіндегі жұмыстарға арналған техникалық үй-жайын, электрондық-компьютерлік жабдығын, байланыс жүйесін және қорғау құрылғыларын және өзге де объектілерін зерттеу кезінде

__________________________________________________________________

_____________________ анықталды

(қойылған талаптарға сәйкес (сәйкес емес) және ақпарат қызметін көрсету нарығында қызметті ұйымдастыруды бастау (жалғастыру) үшін жеткілікті (жеткіліксіз).

Қаржы нарығын және қаржы ұйымдарын реттеуді, бақылау мен қадағалауды іске асыратын уәкілетті органның өкілдері:

__________________________________________________________________

__________________________________________________________________