Источник: ИС ПАРАГРАФ, 13.09.2012 15:38:49
Кредиттік тарихты қалыптастыру жүйесіне қатысушылардың қызметіндегі ақпараттық процесті ұйымдастыруға және оны пайдалануға, қауіпсіздік жүйесін қалыптастыруға, олардың электрондық жабдықтарына, кредиттік тарихтың деректер базасының сақталуына және үй-жайларына қойылатын ең төменгі талаптарды белгілеу жөніндегі нұсқаулықты бекіту туралы
Қазақстан Республикасы Қаржы ұйымдарын реттеу мен қадағалау агенттігі Басқармасының 2008 жылғы 18 шілдедегі № 105 Қаулысы
(2012.24.02. берілген өзгерістер мен толықтырулармен)
Кредиттік бюроның қызметін реттейтін нормативтік құқықтық актілерін жетілдіру мақсатында Қазақстан Республикасы Қаржы нарығын және қаржы ұйымдарын реттеу мен қадағалау агенттігінің (бұдан әрі - Агенттік) Басқармасы ҚАУЛЫ ЕТЕДІ:
1. Ұсынылып отырған кредиттік тарихты қалыптастыру жүйесіне қатысушылардың қызметіндегі ақпараттық процесті ұйымдастыруға және оны пайдалануға, қауіпсіздік жүйесін қалыптастыруға, олардың электрондық жабдықтарына, кредиттік тарихтың деректер базасының сақталуына және үй-жайларына қойылатын ең төменгі талаптарды белгілеу жөніндегі нұсқаулық (бұдан әрі - Нұсқаулық) бекітілсін.
2. Мыналардың күші жойылды деп танылсын:
1) «Кредиттік тарихты қалыптастыру және оларды пайдалану жүйесі қатысушыларының қызметіндегі ақпараттық процесті ұйымдастыру, кредиттік тарихтың деректер базасының қорғалуына және сақталуына, олардың ақпараттық ресурстарына, ақпараттық жүйелеріне, үй-жайларына, электронды жабдықтарына қойылатын ең төменгі талаптар туралы нұсқаулықты бекіту туралы» Агенттік Басқармасының 2004 жылғы 25 қазандағы № 303 қаулысы (нормативтік құқықтық актілерді мемлекеттік тіркеу тізілімінде № 3318 тіркелген, Қазақстан Республикасының орталық атқарушы және өзге де мемлекеттік органдарды нормативтік құқықтық актілері бюллетенінде жарияланған, № 3-8, 2005 ж., 18-құжат);
2) «Қазақстан Республикасы Қаржы нарығын және қаржы ұйымдарын реттеу мен қадағалау агенттігі Басқармасының 2004 жылғы 25 қазандағы «Кредиттік тарихты қалыптастыру және оларды пайдалану жүйесі қатысушыларының қызметіндегі ақпараттық процесті ұйымдастыру, кредиттік тарихтың деректер базасының қорғалуына және сақталуына, олардың ақпараттық ресурстарына, ақпараттық жүйелеріне, үй-жайларына, электронды жабдықтарына қойылатын ең төменгі талаптар туралы нұсқаулықты бекіту туралы» № 303 қаулысына өзгерістер мен толықтыру енгізу туралы» Агенттік Басқармасының 2007 жылғы 27 тамыздағы № 221 қаулысы (нормативтік құқықтық актілерді мемлекеттік тіркеу тізілімінде № 4966 тіркелген).
3. Осы қаулы алғаш ресми жарияланған күнінен бастап он күнтізбелік күн өткеннен кейін қолданысқа енгізіледі.
4. Кредиттік бюро осы қаулы қолданысқа енгізілген күннен бастап екі ай ішінде өз қызметін осы Нұсқаулыққа сай сәйкестендірсін.
5. Ақпараттық технологиялар департаменті (Түсіпов К.А.):
1) Заң департаментімен (Сәрсенова Н.В.) бірлесіп, осы қаулыны Қазақстан Республикасының Әділет министрлігінде мемлекеттік тіркеу шараларын қолға алсын;
2) осы қаулы Қазақстан Республикасының Әділет министрлігінде мемлекеттік тіркелген күннен бастап он күндік мерзімде оны Кредиттік бюроға, «Қазақстан қаржыгерлер қауымдастығы» заңды тұлғалар бірлестігіне мәлімет үшін жіберсін.
6. Агенттіктің Төрайым қызметі (Кенже А.А.) осы қаулыны Қазақстан Республикасының бұқаралық ақпарат құралдарында жариялау шараларын қабылдасын.
7. Осы қаулының орындалуын бақылау Агенттік Төрайымының орынбасары М.Б. Байсыновқа жүктелсін.
Қазақстан Республикасының Ақпараттандыру
және байланыс агенттігімен келісілді
2008 жылғы «____»_________
Төраға
Есекеев К. Б. __________________________
(қолы, күні, елтаңбалы мөр)
Қазақстан Республикасы Қаржы
нарығын және қаржы ұйымдарын
реттеу мен қадағалау агенттігі
Басқармасының 2008 жылғы
18 шілдедегі № 105 қаулысымен
бекітілген
Кредиттік тарихты қалыптастыру жүйесіне қатысушылардың қызметіндегі ақпараттық процесті ұйымдастыруға және оны пайдалануға, қауіпсіздік жүйесін қалыптастыруға, олардың электрондық жабдықтарына, кредиттік тарихтың деректер базасының сақталуына және үй-жайларына қойылатын ең төменгі талаптарды белгілеу жөніндегі
нұсқаулық
ҚР Ұлттық Банкі Басқармасының 2012.24.02. № 89 Қаулысымен тақырыбы жаңа редакцияда (бұр.ред.қара)
1. Жалпы ережелер
1. Осы Нұсқаулықта «Қазақстан Республикасындағы кредиттік бюролар және кредиттік тарихты қалыптастыру туралы» Қазақстан Республикасының 2004 жылғы 6 шілдедегі Заңында көзделген мынадай ұғымдар пайдаланылады:
1) ақпарат жүйесі қауіпсіздігін басқарушы (бұдан әрі - басқарушы) - электронды деректерді қабылдау және (немесе) беру жүйесінің қызметін, оларды қорғау шараларын іске асыратын, келіп түскен және (немесе) беріліп отырған ақпараттың қызметі мен өкілеттігін ескере отырып, жайғастыруды қамтамасыз ететін ұйымның қызметкері;
2) аутентификациялау - рұқсат берудің көрсетілген деректемелерінің жүйеде барымен сәйкес келуін анықтау жолымен субъекті немесе объектінің түпнұсқалығын растау;
3) пайдалануға беру - ақпараттық жүйені дайындау жөніндегі ұйымдастыру-техникалық іс-шараларын орындау процесі және осы жүйенің өндірістік жағдайларда жұмыс істей бастауы;
4) бірегейлендіруші - бірегей дербес код және (немесе) жүйенің субъектісіне және (немесе) объектісіне берілген және жүйеге және (немесе) жүйе ресурстарына ретпен кіруге берілген есім;
5) бірегейлендіру - бірегейлендіру жүйесіне және (немесе) ресурстар жүйесінде бар бірегейлендірушілер тізбесіне кіруге рұқсат алу үшін жасалған иелену немесе сәйкестікті анықтау;
6) кредиттік тарихты қалыптастыру және пайдалану жүйесі қатысушыларының ақпараттық жүйесі (бұдан әрі - ақпараттық жүйе) - ақпаратты жеткізушілердің, кредиттік бюролардың, кредиттік есептерді қабылдаушылар мен кредиттік тарих субъектілерінің ақпаратты процестерді іске асыруға арналған ақпараттық технологияларының, ақпараттық желілерінің және олардың бағдарламалық-техникалық қамтамасыз ету құралдарының жиынтығы;
7) ақпараттық орта - кредиттік тарихты қалыптастыру және пайдалану жүйесі қатысушыларының ақпараттық жүйесінің оның компоненттерімен және ақпараттық ресурстарымен ақпараттық жүйеде өзара қарым-қатынас жасау ортасы;
8) шешуші ақпарат - криптографиялық кілт және электронды сандық қол қою кілті;
9) ақпараттық жүйені қорғау жөніндегі кешенді шаралар - кредиттік тарихты қалыптастырудың және пайдаланудың ақпараттық
жүйесінің жұмыс істеу қауіпсіздігін қамтамасыз етуге бағытталған
ұйымдастыру-техникалық іс-шаралар, оның ішінде белгіленген
бағдарламалық қамтамасыз етуге кіруге бақылауды және тіркелген пайдаланушылардың өкілеттігін шектемейтін құралдарды беруді
қамтамасыз ететін санкцияланбаған кіруден электронды құралдар мен компьютерлерді қорғайтын бағдарламалық аппараттық қорғаныс;
10) оператор - қорғаныс жүйесін пайдаланушымен хабарламаларды дайындау, өңдеу, қабылдау және беруді қорғаныстың шағын жүйесін пайдалана отырып, тікелей жүзеге асыратын кредиттік бюро қызметкері;
11) ұйым - осы Нұсқаулыққа сәйкес кредиттік тарихты қалыптастыру және пайдалану (кредиттік тарих субъектілерінен басқа) жөніндегі ақпарат жүйесіне қатысушы;
12) жауапты тұлға - кредиттік тарихты қабылдау (өткізу) және қалыптастыру процесін іске асыруға жауапты ұйымдардың операторы, басқарушысы және өзге қызметкерлері;
13) ақпараттық қауіпсіздік саясаты - таратылуы шектеулі ақпаратты басқаруды, қорғауды және бөлуді реттейтін нормалар және практикалық тәсілдер;
14) резервтік көшірме жасау (архивтеу) - резервтік көшірме жасау мәселелерін реттейтін нормалар және практикалық тәсілдер;
15) пайдаланушы - электронды құжат алмасуға қатысатын және ақпарат беру жөніндегі шарттың және (немесе) кредиттік есепті алушы тарап болып табылатын кредиттік бюро және кредиттік тарихты қалыптастыратын және оны пайдалануға қатысатын өзге де қатысушылар (бұдан әрі - кредиттік тарих жүйесінің қатысушылары);
16) кіруі шектеулі үй-жай - шектеулі тұлғалар аясының болуына ғана рұқсат берілетін үй-жай, және бұл үй-жайға кіру рұқсаты арнайы рұқсат берілген қызметкерлердің ілесіп жүруі арқылы ғана болуы мүмкін.
ҚР Ұлттық Банкі Басқармасының 2012.24.02. № 89 Қаулысымен тақырыбы жаңа редакцияда (бұр.ред.қара)
2. Ақпараттық процесті ұйымдастыру
2. Кредиттік тарихты қалыптастыру және пайдалану жөніндегі ақпарат жүйесінің ұйымдастырылуы және жұмыс істеуі былай қамтамасыз етіледі:
1) келісілген рәсімдер мен технологиялық параметрлер аясындағы қатысушылар қызметін үйлестіру және басқару;
2) қолданыстағы бағдарламалық және техникалық құралдарды сәйкестендіру;
3) ақпараттарды ашу мүмкіндігін алып тастауды қосқандағы ақпарат қауіпсіздігі;
4) жоғары тиімділікті технологияларды енгізу;
5) ресурстарды икемді және тиімді басқару;
6) қызмет көрсету сапасын көтеру.
3. Ұйым мыналарды қамтамасыз етеді:
1) деректерді енгізуді бақылауды;
2) құжаттардың параметрлерін есепке алу мүмкіндігі (құжаттар нөмірі, байланыс коды, шарт нөмірі);
3) жиынтық ақпарат тудыруды;
4) резерв көшірмелерін жасауды, деректерді архивтеуді;
5) кіру құқығын бақылайтын қорғаудың штатты құралдары бар ақпарат жүйесін пайдалануды;
6) электронды хабарламаларды ұсынуды және қабылдауды реттейтін рәсімдердің болуы;
7) талдамалық және статистикалық есептерді дайындау мүмкіндігін.
4. Ақпаратты жеткізушілер және кредиттік есепті алушылар ақпарат беру және (немесе) кредиттік есептерді алу жөнінде олармен жасалған шарттардан және Кредиттік бюро жөніндегі Заңмен көзделген кредиттік бюроның ішкі құжаттарынан туындайтын кредиттік бюроның ұйымдастыру, технологиялық талаптарын және шарттарын қамтамасыз етеді.
5. Ақпаратты жеткізуші ұсынған ақпарат оның дұрыс және толық орындалмауына, ақпаратты жеткізушінің, кредиттік есепті қабылдаушының, кредиттік тарих субъектісінің деректерінің ақпараттық жүйеде пайлану талаптарына сәйкес келмеуіне байланысты кредиттік тарихты ақпараттық жүйеде қалыптастыруда және пайдалануда ақпараттық жүйеге пайдаланбай кредиттік бюроға қайтаруы мүмкін.
ҚР Ұлттық Банкі Басқармасының 2012.24.02. № 89 Қаулысымен тақырыбы жаңа редакцияда (бұр.ред.қара)
3. Ақпаратты жеткізушілердің, кредиттік есептерді алушылардың және кредиттік бюро арасындағы ақпарат алмасу талаптары, сондай-ақ мемлекеттің қатысуы бар кредиттік бюроның және өзге де кредиттік бюролардың деректер базасында бар ақпаратты салыстырып тексеру талаптары
6. Ақпаратты жеткізушілер, кредиттік есептерді алушылар және кредиттік бюро арасында ақпарат алмасу талаптарын ақпараттандыру және «электронды үкімет» аясындағы мемлекеттік саясатты және мемлекеттік реттеуді іске асыратын уәкілетті мемлекеттік орган белгілеген ақпараттық жүйе (бұдан әрі - ақпараттандыру аясындағы уәкілетті орган) арқылы жүзеге асырылады.
7. Кредиттік бюро ақпаратты жеткізушілерге және кредиттік есепті қабылдаушыларға ақпараттық процестерді іске асыру үшін қажетті арнайы бағдарламалық қамтамасыз етуді береді не олар пайдаланып отырған бағдарламалық қамтамасыз етуге тиісті талаптар белгілейді. Ақпаратты жеткізушілер және кредиттік есепті қабылдаушылар арнайы бағдарламалық қамтамасыз етуді дербес әзірлеген жағдайда оны кредиттік бюромен келіседі.
8. Ақпараттық жүйені әзірлеу, енгізу және ілеспе қызмет көрсету процесінің құрамында әзірлеу кезеңдерін анықтау, өзгерістер енгізу, қабылдау, тестілеу және пайдалануға беру тәртібі, барлық кезеңдерді құжаттандыру талаптары бар.
9. Кредиттік бюроның ақпараттық жүйені әзірлеуі, енгізуі және оған ілеспе қызмет көрсетуі олардың ішкі құжаттарына және Қазақстан Республикасының аумағындағы қолданыстағы стандарттарына сәйкес жасалады.
10. Кредиттік бюро ақпараттық жүйені әзірлеуді оның бірінші жетекшісі бекіткен техникалық тапсырма негізінде әзірлейді.
11. Бағдарламалық қамтамасыз етуге өзгерістер енгізу қажет болған жағдайда (жүйенің кемшіліктерін алып тастау немесе жетілдіру үшін) ақпараттық жүйенің бағдарламалық қамтамасыз етуінен және (немесе) деректерінен санкцияланбаған өзгерістерді алып тастау мақсатында бағдарламалық қамтамасыз етуге өзгерістер енгізу процесі Қазақстан Республикасының аумағында қолданылып жүрген техникалық тапсырмаға, стандарттарға және кредиттік бюроның ақпараттық қауіпсіздік сәйкес жүзеге асырылады.
12. Кредиттік тарихтың деректер базасын және аталған ақпараттық жүйенің қорғаныс құрал-жабдықтарын орналастыру үшін ақпараттық жүйені қалыптастыру және пайдалану кезінде сертификацияланған жабдықтар және бағдарламалық қамтамасыз ету қолданылады.
13. Кредиттік бюро ақпаратты жеткізушілермен және бөлінген байланыс арналары немесе Интернет арқылы мынадай талаптарды сақтай отырып, жүзеге асырылады:
1) секундіне 10 мегабит кем емес өткізгіштік қабілеті бар негізгі арнаның болуы;
2) секундіне 2 мегабит кем емес өткізгіштік қабілеті бар резервтік сымсыз арнаның болуы;
3) әртүрлі провайдерлер арналарын пайдалану;
4) тек қана ақпаратты жеткізушілер мен кредиттік есептерді алушылармен ақпарат алмасу үшін пайдаланылатын арналар.
14. Ұйымның бағдарламалық қамтамасыз етуді қорғау жөніндегі ұйымдастыру-техникалық, технологиялық талаптарды сақтауын осы Нұсқаулықпен және Қазақстан Республикасының заңнамасымен белгіленген шарттар мен талаптарға сәйкес келуін пайдаланылып отырған ақпараттық жүйенің кредиттік тарихты қалыптастыру және оны пайдалану жүйесінің (кредиттік тарих субъектісін қоспағанда) қатысушыларына осы Нұсқаулықтың қосымшасына сай (бұдан әрі - Сәйкестілік туралы акт) нысанмен қойылатын талаптарға сәйкес келетіндігі туралы акт жасау жолымен, Қаржы ұйымдарын реттеу мен қадағалау жөніндегі уәкілетті органмен (бұдан әрі - уәкілетті орган) бірлесіп, уәкілетті органның ақпараттандыру саласындағы комиссиясы растайды.
Сәйкестілік туралы актіге комиссияның барлық мүшелері және тексеріп отырған ұйым өкілі қол қояды. Егер комиссияның бір мүшесі қабылданған шешіммен келіспесе және Сәйкестілік туралы актіге қол қоймаса, онда ол өзінің бас тарту себебін жазбаша нысанда көрсетуі және оны Сәйкестілік туралы актіге қоса беруі керек.
Сәйкестілік туралы акт уәкілетті органның ақпарат саласындағы комиссия мүшелерінің үштен екісінің және уәкілетті органның комиссия мүшелерінің үштен екісінің қолдары болғанда қабылданды деп есептеледі.
15. Ақпаратты жеткізушілермен және кредиттік есептерді алушылар және кредиттік бюроның арасындағы ақпарат алмасу оң қорытындыға сәйкестік туралы акт болғанда ғана жүзеге асырылады.
16. Кіріс және шығыс трафигі криптографиялық қорғаныспен қамтамасыз етілуі тиіс.
ҚР Ұлттық Банкі Басқармасының 2012.24.02. № 89 Қаулысымен 16-1-тармақпен толықтырылсын
16-1. Мемлекеттің қатысуы бар кредиттік бюро мемлекеттің қатысуы бар кредиттік бюроның және уәкілетті органмен келісілуі тиіс өзге де кредиттік бюролардың деректер базасында бар ақпаратты ішкі салыстырып тексеру рәсімдерін (бұдан әрі - ішкі рәсімдер) бекітеді.
ҚР Ұлттық Банкі Басқармасының 2012.24.02. № 89 Қаулысымен 16-2-тармақпен толықтырылсын
16-2. Ішкі рәсімдер мыналарды анықтайды:
салыстырып тексерудің талаптарын, тәртібін және мерзімдерін;
салыстырып тексеруге жататын ақпараттың параметрлерін;
салыстырып тексеруге байланысты ақпараттық процестерді іске асыру үшін қажетті бағдарламалық қамтамасыз етуге қойылатын талаптарын;
салыстырып тексеруге жататын ақпаратты қорғауды қамтамасыз ету тәртібін;
мемлекеттің қатысуы бар кредиттік бюроға салыстырып тексеруге байланысты ұшыраған нақты шығыстар көлемінде өтеу тәртібін.
ҚР Ұлттық Банкі Басқармасының 2012.24.02. № 89 Қаулысымен 16-3-тармақпен толықтырылсын
16-3. Кредиттік бюро бір жылда кемінде бір рет кредиттік бюроның кредиттік тарихының деректер базасында сақталатын ақпараттың шынайылығын қамтамасыз ету үшін мемлекеттің қатысуы бар кредиттік бюроның ішкі рәсімдерімен белгіленген шарттарда, тәртіпте және мерзімдерде мемлекеттік қатысуы бар кредиттік бюроның ақпаратымен салыстырып тексереді.
Кредиттік бюроның кредиттік тарихының деректер базасында сақталатын ақпаратты салыстырып тексеру есепті жылдың соңғы айдың жиырмасыншы жұмыс күнінен кешіктірмей жүргізіледі.
Кредиттік бюро ақпарат көлемін салыстырып тексеруге жататын ақпарат көлемін дербес түрде, салыстырып тексеруге жататын ақпарат параметрлерінің Мемлекеттің қатысуы бар кредиттік бюроның ішкі рәсімдерімен белгіленген ақпарат параметрлеріне сәйкес келу талаптары арқылы анықтайды.
ҚР Ұлттық Банкі Басқармасының 2012.24.02. № 89 Қаулысымен 16-4-тармақпен толықтырылсын
16-4. Мемлекеттің қатысуы бар кредиттік бюро өзге де кредиттік бюролардан қабылданған ақпаратты мемлекеттің қатысуы бар кредиттік бюроның кредиттік тарихының деректер базасында бар ақпаратпен салыстырып тексереді.
ҚР Ұлттық Банкі Басқармасының 2012.24.02. № 89 Қаулысымен 16-5-тармақпен толықтырылсын
16-5. Мемлекеттің қатысуы бар кредиттік бюроның және өзге де кредиттік бюроның уәкілетті өкілдері олардың кредиттік тарихтарының деректер базасында бар, салыстырып тексеруге жататын ақпараттың сәйкес келуін немесе сәйкессіздігін салыстырып тексеру актісін немесе сәйкессіздік актісін еркін нысанда жасау жолымен растайды.
Мемлекеттің қатысуы бар кредиттік бюро сәйкессіздік актісін кезде сәйкессіздік актісін жасаған күннен бастап екі жұмыс күн ішінде оның көшірмесін уәкілетті органға ұсынады.
ҚР Ұлттық Банкі Басқармасының 2012.24.02. № 89 Қаулысымен 16-6-тармақпен толықтырылсын
16-6. Салыстырып тексеру актісі немесе сәйкессіздік актісі екі данада әр тарап үшін бір данадан жасалады, салыстырып тексеруді жүзеге асыратын тараптарының уәкілетті өкілдері оған қол қояды және олардың мөрлерімен расталады.
ҚР Ұлттық Банкі Басқармасының 2012.24.02. № 89 Қаулысымен 16-7-тармақпен толықтырылсын
16-7. Салыстырып тексеру актісі кезекті салыстырып тексеру өткенге дейін сақталады. Сәйкессіздік актісі ол жасалған күннен бастап бес жыл бойы сақталуы тиіс.
ҚР Ұлттық Банкі Басқармасының 2012.24.02. № 89 Қаулысымен 16-8-тармақпен толықтырылсын
16-8. Кредиттік бюро және мемлекеттік қатысуы бар кредиттік бюро сәйкессіздік актіні жасаған күннен бастап он жұмыс күн ішінде анықталған сәйкессіздіктер жою бойынша шараларды қабылдайды. Анықталған сәйкессіздіктерді жою бойынша қабылданған шаралардың нәтижелері туралы мемлекеттік қатысуы бар кредиттік бюро уәкілетті органға үш жұмыс күн ішінде хабарлайды.
ҚР Ұлттық Банкі Басқармасының 2012.24.02. № 89 Қаулысымен тақырыбы жаңа редакцияда (бұр.ред.қара)
4. Қауіпсіздік жүйесін қалыптастыру және үй-жайларға, электронды және кредиттік тарих жүйесі қатысушыларының өзге де жабдықтарына қойылатын ең төменгі талаптар
17. Кредиттік бюро тұрғын емес үйде, кіруі шектеулі үй-жайда орналасады.
18. Кредиттік бюроның қауіпсіздік жүйесі осы Нұсқаулықпен белгіленген мынадай талаптарға жауап беруі тиіс:
1) серверлік үй-жайға және кіруі шектеулі үй-жайға;
2) кредиттік бюроның қызметін автоматтандыру үшін пайдаланылатын жүйелі бағдарламалық қамтамасыз етуге;
3) кредиттік бюроның қызметін автоматтандыру үшін пайдаланылатын арнайы бағдарламалық қамтамасыз етуге (ақпараттық жүйеге);
4) кредиттік бюроның техникалық құрал-жабдықтарына (ақпараттық ресурстарына);
5) ақпарат қауіпсіздігін қамтамасыз етуге.
19. Кредиттік бюроның жабдықталған серверлік үй-жайында мыналар бар:
1) кіруді бақылау жүйесі (жеке электронды рұқсатнама);
2) серверлік үй-жайына кіру бейне бақылау жүйесі және кросс бөлмелері;
3) толық толтырылған міндетті резервтік газы бар және кепілдік берілген қорек жүйесіне қосылған өрт сөндіру автоматты жүйесі;
4) есік, терезелердің күзет сигнализациясы және герметикалық аймақтың ішіндегі датчиктер жүйесі;
5) серверлік бөлменің гермоаймағында тұрған таза қоректің тоқтаусыз жүйесі;
6) тәулік бойғы кезекшілік жарықты қосқандағы серверлік және кросс бөлмелерінің барлық электр желісінің кепілдік берілген қорек жүйесі;
7) резерві толық кондиционирлеу жүйесін.
20. Серверлік үй-жай соңынан кеңістікті кеңейту мүмкіндігі бар және ірігабариттік аппаратураларды орналастыру мүмкіндігі бар жерлерге орналасуы және мынадай талаптарға жауап беруі тиіс:
1) cерверлік бөлменің ең төменгі қол жетімді мөлшері - 20 шаршы метр;
2) cерверлік бөлме кондуитті мөлшері 1,5 үйдің жерге қосылу жүйесінің бас электродымен қосылуы тиіс;
3) cерверлік бөлменің талап етілетін биіктігі 2,44 метр болуы тиіс.
21. Кредиттік бюроның кіруі шектеулі үй-жайы мынадай талаптарға сәйкес келуі тиіс:
1) жауапты тұлғаның жұмыс орнына жіберілмейтін тұлғалардың осы үй-жайға қадағаланбай кіріп кету мүмкіндігін болдырмайтын кіруді бақылау жүйесінің (жеке электронды рұқсатнама) болуы;
2) кірудің бейнебақылау жүйесінің болуы (тұрақты жазылып отырылатын бейнекамера);
3) өрт сигнализациясы жүйесінің болуы;
4) күзет сигнализациясы жүйесінің болуы;
5) үй-жайда кредиттік бюроның қызметіне қатысы жоқ жұмыс орындарын иеленуге тыйым салынады;
6) кіруі шектеулі үй-жай үйдің бірінші немесе соңғы
қабаттарында орналасқан жағдайда, сондай-ақ балкондардың терезелерінің жанында өрт баспалдақтары бар болса, үй-жайдың терезелері металл торкөздермен жабдықталады;
7) кіруі шектеулі үй-жайда жауапты тұлғалардың жұмыс орындары орналасады.
22. Ақпаратты жеткізушілер мен кредиттік есептерді алушылардың кіруі шектеулі үй-жайлары осы Нұсқаулықтың 22-тармағының 1), 3), 4), 5) және 6) тармақшаларында белгіленген талаптарға сәйкес болуы, сондай-ақ үй-жайға кіру келуді тіркеу журналында әрбір кірген кезі тіркелетін жауапты тұлғалардың тізімімен шектелуі тиіс және олардың аты, тегі, әкесінің аты - егер болса, лауазымы, күні, уақыты және мақсаты туралы мәліметтер енгізіледі.
23. Жауапты тұлғаның жұмыс орны мынадай талаптарға сәйкес келуі тиіс:
1) бағдарламалық қамтамасыз ету тұрғылықты орны, конфигурациясы, сондай-ақ оған орнатылған аппараттық және бағдарламалық құрал-жабдықтары қойылған арнайы бөлінген дербес компьютерге орнатылады. Паспорт ұйым басшысының қолымен ресімделеді және ол жауапты тұлғада сақталады;
2) жауапты тұлғаның дербес компьютерін пайдалануға және дайындау, өңдеу, жіберу мақсаттарымен байланыссыз немесе ақпараттық жүйеге қатысу аясындағы электрондық құжаттарды жүргізу жүйесінде бағдарламалық құрал-жабдықтарды қоюға жол берілмейді;
3) жауапты тұлғаның дербес компьютерінде мынадай қорғаныс кешені болуы тиіс:
пайдаланушының бірегейлендіретін және аутентификациялайтын құрал-жабдықтары;
компьютерьге кіруге және пайдаланушылардың іс-қимылдарына байланысты қызметті бақылау мақсатында электронды құжаттарды сақтау мерзімі аралығында электронды журналдарды жүргізу мүмкіндігі;
4) пайдаланушы бірегейлендіретін пайдаланушының (жауапты тұлғаның) бір жүйелі атының болуы, ақпараттық жүйеге кіру кезінде онда бір жеке тұлға сәйкес келуі тиіс;
5) дербес компьютерде бағдарламалық қамтамасыз етудің бүтіндігі мен құпиялылығын қамтамасыз ететін құрал-жабдық болуы тиіс;
6) желілік ресурстар мен сыртқы тасымалдаушыларға, сондай-ақ оператордың дербес компьютеріне ақпаратты кіргізу-шығару порттары, оның ішінде кіргізу-шығару базалық жүйесін жұмысқа дайындау да ажыратылуы тиіс;
7) дербес компьютердің жүйелі блогын, ақпаратты кіргізу-шығару порттарын басқарушы мөрмен жабады не пломбылайды. Мөрмен жабу (пломбылау) процесі тегін, атын, бар болса - әкесінің атын, қызметін, келу күнін, уақытын және пломбылау (мөрмен жабу) мақсатын көрсете отырып, арнайы журналында тіркеледі. Ноутбуктер үшін порттарды мөрмен жаппай, кіргізу-шығару базалық жүйесіндегі қондырғыларды ажыратуды пайдалануға ғана рұқсат беріледі. Үйден ақпараттық қауіпсіздік қызметі басшысының жауапты қызметкерінің өтінімдері негізінде жасалатын профилактикалық және жөндеу жұмыстарын жүргізуден басқа жағдайларда компьютерлер мен ноутбуктерді алып шығуға тыйым салынады;
8) қорғаныс жүйесін пайдалана отырып, ақпараттық ортаға берілетін ақпаратты жинақтау үшін бөлінген өзге ресурстарға (дискілік кеңістік, директория, деректер базасы және деректер базасының резервтік көшірмелері) кіру тәртібі, ақпараттық ортадан ақпарат алу, ақпаратты сақтау, архивтеу және басқа да өңдеу осы ресурстарға санкцияланбаған кіру мүмкіндігін болдырмауы тиіс;
9) жауапты тұлғаның жұмыс орнына және кіруі шектеулі
үй-жайына кіру оның лауазымдық міндеттеріне сәйкес жүзеге асырылады.
24. Ақпаратты жеткізушілердің операторы мен кредиттік есептерді алушылардың жұмыс орны кіруі шектеулі үй-жайда болуы тиіс және осы Нұсқаулықтың 23-тармағымен белгіленген талаптарға жауап беруі тиіс.
25. Кредиттік бюроның жүйелі бағдарламалық қамтамасыз етулерін пайдалануы (операциялық жүйелер, деректер базасын басқару жүйесі, офистік бағдарламалар, вирусқа қарсы бағдарламалар) лицензиямен, сертификаттармен расталуы тиіс.
26. Кредиттік тарих бойынша деректерді жинақтау және сақтау үшін әзірлеушінің ресми өкілдігі және Қазақстан Республикасының аумағында техникалық қолдау көрсету орталығы болуы тиіс деректер базасын басқарудың өнеркәсіптік жүйесі пайдаланылуы тиіс.
27. Кредиттік бюро бағдарламалық қамтамасыз етуді енгізу
және пайдалануға беруді (дайын өнімді әзірлеу немесе бейімдеу) оның бірінші басшысы бекіткен техникалық тапсырмасы негізінде орындайды, бұл ретте қауіпсіздік механизмдеріне арналған тиісті сертификаттар болуы қажет. Кредиттік бюроның бағдарламалық қамтамасыз етуін әзірлеушілердің барабар жүйелерді әзірлеу бойынша екі жылдан кем емес тәжірибесі болуы тиіс.
28. Кредиттік бюроның бағдарламалық қамтамасыз етуі
ақпаратты қабылдаудың (жеткізудің) мынадай екі және одан артық
тәсілін қамтамасыз етуі тиіс:
қолжетімді форматтардағы есептерді бағдарламалық
қамтамасыз етуді пайдаланатын интерактивті интерфейс;
нақты уақыт режимінде стандартты форматпен беруді пайдаланатын желілік кіру, деректерді қолмен енгізу функциясының көмегі арқылы енгізу, веб-браузерді пайдалану арқылы сайттарда экрандық нысандарды толтыру.
29. Ақпараттық қауіпсіздік мақсатында кредиттік бюроның
бағдарламалық қамтамасыз етуі мыналарды қамтамасыз етуі тиіс:
1) криптографиялық қайта құру арқылы бірегейлендіруді және аутентификациялауды;
2) пайдаланушылардың құқықтарын шектемеу;
3) бағдарламалық қамтамасыз ету ядросы деңгейіндегі жұмысты қамтамасыз ету нәтижесі бойынша жүйе аясындағы бірде-бір мәні бар іс-қимыл (пайдаланушының немесе процестегі іс-қимыл болса да)
қауіпсіздік механизмінің қатысуынсыз өтпеуі тиіс;
4) бағдарламалық қамтамасыз етуде іске асырылған қауіпсіздік схемасы, бағдарламалық қамтамасыз ету іске асырылатын операциялық жүйенің өзінің қауіпсіздік құралдарынан оқшаулануы тиіс, былайша айтқанда, операциялық жүйенің өзінің қауіпсіздік құралдарының осалдығы бағдарламалық қамтамасыз етудің қауіпсіздік жұмысына әсер етпеуі тиіс;
5) бағдарламалық қамтамасыз етудегі деректердің тұйықталып сақталуы мынадай тәсілмен ұйымдастырылып, қамтамасыз етілуі тиіс:
бағдарламалық қамтамасыз етудің қосымшаларының жұмыс аясынан тыс аталған деректерге логикалық жағынан кіру мүмкін болмаған жағдайда;
бағдарламалық қамтамасыз етудің деректер базасына/базасынан жасалған кез-келген ауыстырулар қауіпсіздік механизмдерінің
бақылауымен;
6) фактіні, объектіні және жою процесіндегі субъектіні
сәйкестендіру үшін қажетті ақпаратты белгілеу, белгілі бір уақыт аралығында жойылған, өзгертілген деректерді қалпына келтіру
мүмкіндігі;
7) іркілістер пайда болған кезде тұрақты жұмыс істету
мүмкіндігі;
8) пайдаланушының жұмыс орны істен шыққан немесе қаскүнем оған санкцияланбаған жолмен кіруі жүйенің серверлік бөлігінің жұмысында байқалмаған, ал сервер қосымшаларының іркілісі жүйе деректерінің жай-күйіне әсер етпеген жағдайдағы «клиент-сервер» үш деңгейлі сәулетімен;
9) тіркеу журналында белгілеу, сондай-ақ кез-келген субъект тарапынан қорғау мүмкіндігі болатын жүйелі маңызды оқиғалар аудиті;
10) пайдаланушылар мен басқарушылардың байланыс орнату әрекетінен бастап, сәтті, сондай-ақ сәтсіз іс-қимылдарының аудиті;
11) экспортқа және импортқа шығарылатын деректерді бақылау;
12) қауіпсіздік модульдері мен механизмдерін әзірлеу (пысықтау) мүмкіндігі;
13) ақпараттық жүйе әзірлеушісімен жасалған шартта мынадай міндеттер көзделуі тиіс:
кредиттік бюроны жүйеде анықталған қателер мен жүйенің осал тұстары, сондай-ақ жүйедегі өзгерістер мен жетілдірулер туралы
тұрақты және уақтылы хабардар етіп отыру;
шұғыл қолдау көрсету қызметін ұйымдастыру, оның ішінде кредиттік бюро қызметкерлеріне кеңестер беру және оларға ақпараттық қауіпсіздік мәселелері бойынша практикалық көмек көрсету.
ҚР Ұлттық Банкі Басқармасының 2011.26.08. № 97 Қаулысымен нұсқаулық 29-1-тармақпен толықтырылды
29-1. Кредиттік бюроның бағдарламалық қамтамасыз етуі Кредиттік бюро туралы заңмен белгіленген мерзім ішінде кредиттік тарих субъектісіне қатысты ақпараттың сақталуын, сондай-ақ кредиттік тарихты қалыптастырғаннан бастап кез келген уақыттағы жағдай бойынша кредиттік есептердің бір жұмыс күні ішінде қалыптастыру мүмкіндігін қамтамасыз етуі тиіс.
30. Кредиттік бюроның техникалық құрал-жабдықтарына қойылатын талаптар:
1) меншікті аппараттық қамтамасыз етудің болуы (компьютерлік жабдықтар, серверлер, қорғаныстың аппараттық құрал-жабдықтары, комплектілік және өзге де жабдықтар), сондай-ақ кредиттік бюроның аппараттық қамтамасыз етілудегі керек-жарақтарын растайтын құжаттардың болуы;
2) сәйкестілікті растаушы орган берген қауіпсіздік талаптарына сәйкестікке аппараттық қамтамасыз ету сәйкестілігі сертификаттарының болуы;
3) кепілдік берілген қорек жүйесі - бар ұйымда таза қорек желісіндегі электр қуатын үзіліссіз қолдау арқылы және резервті автоматты түрде қосу қалқанының, үзіліссіз қорек жүйесінің (бұдан әрі - ҮҚЖ) екі қайнар көзі сигналынан атқарылатын дизельді генератор қондырғысының болуы.
ҚР Ұлттық Банкі Басқармасының 2011.26.08. № 97 Қаулысымен 31-тармақ жаңа редакцияда (бұр.ред.қара)
31. Кредиттік бюроның серверлері бас тартатын тұрақты аяқталған жүйеден тұруы тиіс және аппараттық бөлікті жүз пайыз қайталайтын кластерді білдіруі тиіс. Кредиттік бюроның деректер базасының резервтік серверлері негізгі серверден он километрден кем емес аралықта орналасуы және деректер базасының негізгі серверлері жұмысын тоқтатқан жағдайда, кредиттік бюро негізгі сервердің жұмысын тоқтатқан сәттен бастап 6 (алты) сағаттан аспайтын мерзімде резервтік серверлердегі деректер базасының жұмысын қалпына келтіруді қамтамасыз ететіндей кредиттік бюроның деректер базасының үздіксіз жұмыс істеуін қамтамасыз етуі тиіс.
32. Ақпарат қауіпсіздігін қамтамасыз ететін ұйымға қойылатын талаптар:
1) аппаратты шекаралық маршрутизаторлардың көмегімен трафикті шифрлау арқылы деректер берудің қорғанысты арнасының болуы;
2) интернет желісінен ұйымның компьютер желісіне жасалатын шабуылдарды желіаралық экранның көмегімен анықтау (болдырмау) жүйелерінің болуы;
3) пайдаланушының криптокілті мен сәйкестендіру жүйесінің көмегімен компьютерлерді криптографиялық жағынан қорғау жүйесінің болуы;
4) пайдаланушылардың желілік карталарының тасымалдағыштарына кіруді басқаратын сәйкестендіру жөніндегі трафикті аппараттық желілік талдаушының болуы;
5) резервтік көшірме жасау - ақпаратты сыртқа тасымалдағыштар кітапханасы жүйесінің болуы.
Кредиттік бюро жоғарыда аталған талаптарды іске асыру үшін, ақпарат қауіпсіздігін осалдықтар мен қауіп-қатерден сақтау үшін тәуекелдерді талдайды және баға береді.
33. Ұйым өз қызметі процесінде мынадай талаптарды орындайды:
1) ақпарат қауіпсіздігі қызметінің болуы;
2) кредиттік тарихтар бойынша жауапты тұлғалардың болуы;
3) ақпарат қауіпсіздігі қызметі саясатының болуы;
4) парольдерді қалыптастыру және пайдалану саясатының болуы;
5) резервтік көшірме жасау саясатының болуы (архивтеу);
6) пайдаланушылардың, қауіпсіздік басқарушыларының, жүйелі басқарушылардың кіруіне шек қою және олардың міндеттері жөніндегі рәсімдерді сипаттайтын құжаттаманың болуы.
34. Ұйым мыналар бар ақпараттық жүйемен жұмыс тәртібін анықтайтын ішкі құжатты қабылдайды:
1) жауапты тұлға болу міндеті жүктелетін қызметкерлерді тағайындау тәртібін;
2) жұмыс режимін;
3) лауазымдық нұсқаулықтарды қосқандағы жауапты тұлғалардың құқықтары мен міндеттері;
4) оператордың жұмыс орнына кіруге рұқсат берілген қызметкерлердің тізімі;
5) оператордың жұмыс орнына айырықша жағдайларда (дағдарыс жағдайында, сондай-ақ қызметкердің орнын ауыстырған жағдайда) ғана кіруге рұқсат берілген қызметкерлердің тізімі.
35. Жауапты тұлғалар:
1) ақпараттық жүйе ресурсына кіру үшін бірегейлендіру және аутентификациялау рәсімдерінің міндеттілігін қамтамасыз етеді;
2) рұқсат берілмеген пайдаланушылардың ақпараттық ресурстарға кіру құқығын алуына жол берілмейді;
3) ақпараттық жүйе өңделіп отырған ақпараттың резервтік көшірмесін жасаудың тұрақты болуына бақылау жасайды;
4) жүйе ресурстарының қорғалу сенімділігін жоспарлы түрде және жоспардан тыс тексеру жүргізеді;
5) корпоративті желінің жабдықтарын, оның ішінде арнайы желіаралық бағдарламалық құрал-жабдықтарды қорғауды қамтамасыз етеді;
6) қауіп-қатерді көрсету және бұзушыларды анықтау жөнінде шаралар қабылдайды;
7) оқиғалар журналын, ондағы ақпаратқа санкцияланбаған кіру әрекеттерінің болғандығы туралы жазбаларды тұрақты қарап отырады.
36. Ұйым қызметкерлері (жауапты тұлға, басқарушы, оператор) олардың қызметтік міндеттерін орындау барысында белгілі болған
ақпаратты жарияламау және таратпау туралы жазбаша міндеттеме береді.
37. Жауапты тұлға жұмыстан шыққан жағдайда ұйымның кілт
жөніндегі ақпараты жоспардан тыс ауыстырылады, бұл туралы кредиттік бюро хабардар етіледі. Ұйымның кілт жөніндегі жаңа ақпарат олар жұмыстан шығарылған күннен бастап қолданысқа енгізіледі.
38. Ұйымдағы кілт жөніндегі жаңа ақпараттағы сыртқы тасымалдаушыларды сақтау және пайдалану тәртібі оған санкцияланбаған кіру әрекеттерінің мүмкіндігін болдырмауы тиіс.
6-тарау. ҚР Ұлттық Банкі Басқармасының 2012.24.02. № 89 Қаулысымен алып тасталды (бұр.ред.қара)
Кредиттік тарихты Қалыптастыру
жүйесіне қатысушылардың
қызметіндегі ақпараттық процесті
ұйымдастыруға және оны пайдалануға,
қауіпсіздік жүйесін қалыптастыруға,
олардың электрондық жабдықтарына,
кредиттік тарихтың деректер базасының
сақталуына және үй-жайларына қойылатын
ең төменгі талаптарды белгілеу
жөніндегі нұсқаулыққа
қосымша
_________________________________________________________________
(қатысушының атауы)
кредиттік тарихты қалыптастыру жүйесінің қатысушыларына және
оларды пайдалануға байланысты қойылатын талаптардың cәйкестігі
жөніндегі
АКТ
(кредиттік тарих субъектілерін қоспағанда)
__________________ ____________________
жасалған орны күні
Кредиттік тарихтың ақпараттық жүйесіне қатысушысының ақпараттық қызмет көрсету рыногындағы өз қызметін бастауға дайындығын және бағдарламалық қамтамасыз етуді қорғау, кредиттік тарихты қалыптастыру жүйесі қатысушыларының қызметіндегі ақпараттық процесті ұйымдастыру жөніндегі талаптарды орындау және олардың қауіпсіздік жүйесін пайдалану, қалыптастыру, олардың электронды жабдықтарына, кредиттік тарихтың деректер базасының және үй-жайлардың сақталуына қойылатын ең төменгі талаптарды орындау жөніндегі осы акт мынадай құрамда жасалды:
ақпараттандыру саласындағы уәкілетті органның өкілдері:
_________________________________________________________________________________________________________________________________________________________________________________________________
уәкілетті органның өкілдері
___________________________________________________________________________________________________________________________________________________________________________________________________
Комиссияның жұмысына кредиттік тарихты қалыптастыру және пайдалану жөніндегі ақпарат жүйесі қатысушысының өкілдері қатысады:
___________________________________________________________________________________________________________________________________________________________________________________________________
Комиссия зерттеген объектілердің және зерделеген құжаттардың жан-жақты сипаттамасы:
___________________________________________________________________________________________________________________________________________________________________________________________________
Кредиттік тарихтың ақпараттық жүйесіне қатысушысының өкілдерінің және өзге де келушілердің түсіндірмелерінің қысқаша мазмұны:
_______________________________________________________________________________________________________________________________________________________________________________________________________________
________Кредиттік тарихтың ақпараттық жүйесіне қатысушысы өкілдерінің техникалық және өзге де құжаттарын тексеруі, оның кредиттік тарихтың электронды деректер базасын қалыптастыру жүйесіндегі жұмыстарға арналған техникалық үй-жайын, электронды-компьютерлік жабдықтарын, байланыс жүйесін және қорғаныс құрылғыларын және өзге де объектілерін зерттеу кезінде
_________________________________________________________________ ______________________________ анықталды (ұсынылып отырған талаптарға сәйкес (сәйкес емес) және ақпараттық қызмет нарығында қызметті жалғастыруды ұйымдастырудың басы жеткілікті (жеткіліксіз).
Кредиттік тарихты қалыптастыру және пайдалану жөніндегі ақпарат жүйесі қатысушысы комиссия актісіне қоса берілген техникалық құжаттаманы және өзге де құжаттарды береді:
___________________________________________________________________________________________________________________________________________________________________________________________________
Акт үш данада жасалды және бір-бір данамен мыналарға жіберілді:
Ақпараттандыру саласындағы уәкілетті органға;
уәкілетті органға;
Кредиттік тарихты қалыптастыру және пайдалану жөніндегі ақпарат жүйесінің қатысушысына.
Комиссия мүшелері:
___________________________________________________________________________________________________________________________________________________________________________________________________
Тексеруші ұйым өкілі:
__________________________________________________________________________________________________________________________________
Достарыңызбен бөлісу: |