В соответствии с Законом Республики Казахстан от 6 июля 2004 года «О кредитных бюро и формировании кредитных историй в Республике Казахстан» Правление Национального Банка Республики Казахстан утверждены: 1) Требования к использованию информационно-коммуникационных технологий и обеспечению информационной безопасности при организации деятельности кредитных бюро, поставщиков информации и получателей кредитных отчетов, являющихся банками, организациями, осуществляющими отдельные виды банковских операций, микрофинансовыми организациями и коллекторскими агентствами, согласно приложению 1; 2) Требования, предъявляемые кредитными бюро к поставщикам информации и получателям кредитных отчетов в соответствии с подпунктом 11) пункта 2 и подпунктом 9) пункта 3 статьи 27 Закона Республики Казахстан от 6 июля 2004 года «О кредитных бюро и формировании кредитных историй в Республике Казахстан», согласно приложению 2. Кредитное бюро осуществляет разработку информационной системы (далее - информационная система кредитного бюро), обеспечивающей: 1) получение информации от поставщика информации; 2) формирование базы данных кредитных историй; 3) формирование, выдачу и хранение кредитных отчетов; 4) идентификацию и аутентификацию пользователей информационной системы кредитного бюро; 5) ведение аудиторского следа информационной системы кредитного бюро. Информационная система кредитного бюро соответствует следующим требованиям: 1) осуществление разработки, внедрения и сопровождения информационной системы кредитного бюро (или адаптация готового продукта) на основании технического задания и в соответствии с внутренними документами кредитного бюро, регламентирующими этапы и порядок разработки, внесения изменений, тестирования, приема и ввода в промышленную эксплуатацию, а также документирование всех этапов; 2) обеспечение разграничения прав доступа пользователей информационной системы кредитного бюро; 3) обеспечение управления учетными записями информационной системы кредитного бюро; 4) обеспечение информационной безопасности защищаемых данных информационной системы кредитного бюро. Кредитное бюро обеспечивает наличие и разделение сред разработки, тестирования и промышленной эксплуатации информационной системы кредитного бюро таким образом, чтобы изменения, внесенные в информационную систему кредитного бюро в любой из этих сред, не оказывали влияния на информационную систему кредитного бюро, расположенную в другой среде. Разработка и доработка информационной системы кредитного бюро не осуществляется в среде промышленной эксплуатации. Сторонние организации и работники подразделения по информационным технологиям, осуществляющие разработку программного обеспечения, не имеют доступ к переносу изменений информационной системы кредитного бюро в среде промышленной эксплуатации, а также не имеют администраторский доступ к информационной системе кредитного бюро в среде промышленной эксплуатации. Перед вводом информационной системы кредитного бюро в промышленную эксплуатацию настройки, установленные в ней по умолчанию, изменяются на настройки, соответствующие требованиям к информационной безопасности, определенным внутренними документами кредитного бюро. Указанные настройки включают замену паролей, используемых при тестировании, а также удаление всех тестовых учетных записей. Исходные коды (при наличии) и исполняемые модули информационной системы кредитного бюро хранятся в защищенном хранилище программного обеспечения, которое ведется в пригодном для их восстановления виде. В информационной системе кредитного бюро обеспечивается ведение аудиторского следа, который отражает следующее: 1) события установления соединений, идентификации, аутентификации и авторизации (успешные и неуспешные); 2) события изменения хранящихся данных; 3) события модификации настроек безопасности; 4) события модификации групп пользователей и их полномочий; 5) события модификации учетных записей пользователей и их полномочий; 6) события, отражающие установку обновлений и (или) изменений в информационной системе; 7) события изменения параметров ведения аудиторского следа; 8) события изменений системных параметров. Формат аудиторского следа включает следующую информацию: 1) идентификатор (логин) пользователя, совершившего действие; 2) дата и время совершения действия; 3) наименования объектов, с которыми проводилось действие; 4) тип или название совершенного действия администратора или конечного пользователя информационной системы; 5) результат действия (успешно или не успешно). Срок хранения аудиторского следа составляет не менее 3 (трех) месяцев в оперативном доступе и не менее 1 (одного) года в архивном доступе. Допускается хранение аудиторского следа в специализированной информационной системе хранения, обработки и анализа событий. Кредитное бюро обеспечивает неизменность аудиторского следа как организационными, так и техническими средствами. Администраторам информационной системы предоставляется доступ только на перенос журналов аудиторского следа в архив. Центр обработки данных кредитного бюро соответствует следующим требованиям: 1) система бесперебойного электроснабжения обеспечивается двумя или более независимыми вводами электрических сетей, а также автоматически подключаемыми резервными устройствами питания, обеспечивающими автономное электроснабжение в течение не менее двадцати четырех часов; 2) наличие двух или более каналов передачи данных от независимых провайдеров телекоммуникационных услуг, подведенных в здание разными путями, в основном центре обработки данных, а также не менее двух каналов связи в резервном центре обработки данных. Пропускная способность каналов связи обеспечивает предоставление услуг в соответствии с условиями договоров о предоставлении информации и договоров о получении кредитных отчетов. Кредитное бюро в целях обеспечения устойчивого функционирования информационной системы кредитного бюро соблюдает следующие требования: 1) информационная система кредитного бюро функционирует на серверной системе, обеспечивающей возможность проведения профилактических работ без прерывания функционирования ее основных сервисов. При использовании технологий виртуализации аппаратных мощностей, виртуальные основные и резервные серверы подлежат размещению на раздельных физических серверах; 2) резервный центр обработки данных кредитного бюро размещается вне местонахождения кредитного бюро и обеспечивает восстановление работы информационной системы кредитного бюро в срок, не превышающий двенадцати часов с момента прекращения работы основного центра обработки данных. Поставщик информации при подключении к информационной системе кредитного бюро использует рабочую станцию: 1) соответствующую требованиям кредитного бюро, отраженным в договоре о предоставлении информации; 2) защищенную лицензионным антивирусным программным обеспечением с актуальными антивирусными базами. Получатель кредитных отчетов при подключении к информационной системе кредитного бюро: 1) обеспечивает наличие одной или нескольких рабочих станций, используемых для подключения только к информационной системе кредитного бюро; 2) обеспечивает защиту рабочих станций лицензионным антивирусным программным обеспечением с актуальными антивирусными базами. В случае автоматизации процессов передачи информации поставщиком информации кредитному бюро и передачи кредитных отчетов кредитным бюро получателю кредитных отчетов, требования пунктов 15 и 16 Требований не распространяются на поставщиков информации и получателей кредитных отчетов. Постановление вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования. |