Қазақстанда кредиттік бюролардың ақпараттық қауіпсіздігін қамтамасыз етуге қойылатын талаптар өзгерді
Түзетулермен кредиттік бюроның құрылымдық бөлімшелерінің басшылары қарастырылған:
- қызметкерлерді ақпараттық қауіпсіздікке қойылатын талаптарды қамтитын кредиттік бюроның ішкі құжаттарымен таныстыруды қамтамасыз етеді;
- олар басқаратын бөлімшелерде ақпараттық қауіпсіздікті қамтамасыз етуге дербес жауапты болады;
- кредиттік бюро бөлімшесі осындай келісімдерді, шарттарды жасасуға бастамашы болған жағдайларда құпия ақпаратты жария етпеу туралы келісімдер жасасуды және ақпараттық қауіпсіздікті қамтамасыз ету туралы шарттарды келісімдерге, қызметтер көрсетуге/жұмыстарды орындауға арналған шарттарға енгізуді қамтамасыз етеді.
Үшінші тұлғалардың кредиттік бюросының ақпараттық активтеріне қолжетімділік ҚР заңнамасында көзделген жағдайларды қоспағанда, ақпараттық қауіпсіздікке қойылатын талаптарды сақтау туралы талаптарды қамтитын келісім, шарт негізінде жүргізілетін жұмыстармен айқындалатын кезеңге және көлемде беріледі.
Кредиттік есептерді алушының ақпарат берушісімен, үшінші тұлғалармен жасалатын келісімдерде, шарттарда құпиялылық туралы ережелер, ақпараттық қауіпсіздіктің бұзылуы, сондай-ақ ақпараттық жүйелердің жұмысындағы іркілістер және кредиттік бюроның, ақпарат берушінің, кредиттік есептерді алушының, үшінші тұлғалардың әрекетінен немесе әрекетсіздігінен туындаған олардың қауіпсіздігінің бұзылуы салдарынан туындаған залалды өтеу туралы талаптар қамтылады.
Кредиттік бюро жыл сайын, есепті жылдан кейінгі жылдың 20 қаңтарынан кешіктірмей уәкілетті органға ақпараттық қауіпсіздікті басқару жүйесінің жай-күйі және оның талаптарға сәйкестігі туралы ақпарат береді.
Ақпараттық қауіпсіздікті басқару жүйесінің жай күйі туралы ақпарат:
- кредиттік бюроның ақпараттық қауіпсіздігін басқару жүйесінің қолданылу аясы және оның қатысушылары олардың функционалының талаптарға сәйкестігін көрсете отыру;
- ақпараттық қауіпсіздікті басқару жүйесінің құрылуы мен жұмыс істеуін регламенттейтін құжаттардың болуы;
- ақпараттық қауіпсіздікті қамтамасыз ету үшін пайдаланылатын бағдарламалық-техникалық құралдардың болуы және сандық құрамы;
- байланыс операторларымен жасалған қызметтерді көрсету туралы шарттарда, ақпараттық қауіпсіздікті қамтамасыз ету жөніндегі шарттар мен міндеттемелерде бар;
- резервтік деректерді өңдеу орталықтарының болуы, материалдық-техникалық қамтамасыз етілуі және дайындығы;
- ақпараттық қауіпсіздікті басқару жүйесін және кредиттік бюроның ақпараттық активтерін талаптарға сәйкес келтіру бойынша өткізілген іс-шаралар.
Ақпараттық қауіпсіздікті басқару жүйесінің жай-күйі, ақпараттық қауіпсіздіктің оқиғалары мен инциденттері туралы ақпарат уәкілетті органға ақпараттық қауіпсіздіктің оқиғалары мен инциденттері туралы ақпаратты өңдеуге арналған және ақпараттық қауіпсіздік жүйелерімен немесе кредиттік бюро жүйелерімен интеграцияланған ақпаратты өңдеудің автоматтандырылған жүйесі (АБАЖ) арқылы ұсынылады, ұсынылатын деректердің құпиялылығы мен түзетілмейтіндігін қамтамасыз ететін криптографиялық қорғау құралдарымен ақпаратты кепілдендірілген жеткізудің көлік жүйесін пайдалана отырып, ақпараттық инфрақұрылымдағы немесе электрондық форматтағы оқиғалар туралы ақпаратты нақты уақыт режимінде жинауды және талдауды жүзеге асыратын ақпарат.
Мемлекет қатысатын кредиттік бюро үшін ақпараттық қауіпсіздіктің оқиғалары мен инциденттері туралы ақпаратты ҚР Ұлттық Банкінің АСОИ-мен интеграцияланған ақпараттандыру объектілері арқылы уәкілетті органға ұсынуға жол беріледі.
Кредиттік бюро уәкілетті органға келесі анықталған ақпараттық қауіпсіздік оқиғалары туралы ақпарат береді:
- қолданбалы және жүйелік бағдарламалық қамтамасыз етудегі осалдықтарды пайдалану;
- ақпараттық жүйеге рұқсатсыз кіру;
- ақпараттық жүйеге немесе деректер желісіне «қызмет көрсетуден бас тарту» шабуылы;
- серверді зиянды бағдарламамен немесе кодпен жұқтыру;
- ақпараттық қауіпсіздікті бақылауды бұзу салдарынан ақшалай қаражатты рұқсатсыз аударуды жасау;
- ақпараттық жүйелердің бір сағаттан артық тоқтап қалуына әкеп соқтырған ақпараттық қауіпсіздіктің өзге де инциденттері.
Осы тармақта көрсетілген ақпараттық қауіпсіздік инциденттері туралы ақпарат кредиттік бюроға ұсынылатын деректердің құпиялылығын және түзетілмейтіндігін қамтамасыз ететін криптографиялық қорғау құралдарымен ақпаратты кепілді жеткізудің көлік жүйесін пайдалана отырып, АСОИ арқылы немесе электрондық форматта дереу беріледі.
Ақпараттық қауіпсіздік оқиғалары туралы ақпарат ақпараттық қауіпсіздік жүйелерінен немесе кредиттік бюро жүйелерінен ACOI-дегі кредиттік бюроның ақпараттық инфрақұрылымындағы оқиғалар туралы ақпаратты нақты уақытта жинауды және талдауды жүзеге асыратын беру арқылы автоматтандырылған режимде беріледі.
Құжатқа кредиттік бюролардың қызметтерін қашықтықтан көрсетуді бағдарламалық қамтамасыз етудің ақпараттық қауіпсіздігін қамтамасыз етуге қойылатын талаптарды белгілейтін жаңа абзац қосылды.
Несиелік бюроның қашықтықтан қызмет көрсету бағдарламалық жасақтамасына мыналар кіреді:
- веб-қосымшалар серверінің бағдарламалық жасақтамасы (веб-қосымша);
- мобильді құрылғыларға арналған бағдарламалық жасақтама (мобильді қосымша);
- бағдарламалық интерфейс серверлерін бағдарламалық қамтамасыз ету (серверлік БПҰ).
Қашықтықтан қызмет көрсетудің бағдарламалық қамтамасыз етуін әзірлеуді және (немесе) пысықтауды кредиттік бюроның бағдарламалық қамтамасыз етуді әзірлеу және (немесе) пысықтау тәртібін, әзірлеу кезеңдерін және олардың қатысушыларын регламенттейтін ішкі құжаттарына сәйкес кредиттік бюро жүзеге асырады.
Егер кредиттік бюро қызметтерін қашықтықтан көрсетудің бағдарламалық қамтамасыз етуін әзірлеу және (немесе) пысықтау бөгде ұйымға және (немесе) үшінші тұлғаға берілген жағдайда, кредиттік бюро бөгде ұйымның және (немесе) үшінші тұлғаның осы тараудың және ішкі құжаттардың талаптарын орындауын қамтамасыз етеді, қызметтерді қашықтықтан көрсетудің бағдарламалық қамтамасыз етуінің қауіпсіздік жай-күйіне жауап береді.
Қаулы 2024 жылғы 1 қыркүйектен бастап қолданысқа енгізіледі.