| В частности, в Постановление внесены следующие изменения: в постановлении: заголовок изложен в следующей редакции: «Об утверждении Требований к использованию информационно-коммуникационных технологий и обеспечению информационной безопасности при организации деятельности кредитных бюро, поставщиков информации и получателей кредитных отчетов, а также Требований, предъявляемых кредитными бюро к поставщикам информации и получателям кредитных отчетов; преамбула изложена в следующей редакции: «В соответствии с подпунктом 6) статьи 5 Закона Республики Казахстан «О кредитных бюро и формировании кредитных историй в Республике Казахстан» Правление Национального Банка Республики Казахстан ПОСТАНОВЛЯЕТ:»; пункт 1 изложен в следующей редакции: «1. Утвердить: 1) Требования к использованию информационно-коммуникационных технологий и обеспечению информационной безопасности при организации деятельности кредитных бюро, поставщиков информации и получателей кредитных отчетов согласно приложению 1 к настоящему постановлению; 2) Требования, предъявляемые кредитными бюро к поставщикам информации и получателям кредитных отчетов согласно приложению 2 к настоящему постановлению.»; в приложении 1: заголовок изложен в следующей редакции: «Требования к использованию информационно-коммуникационных технологий и обеспечению информационной безопасности при организации деятельности кредитных бюро, поставщиков информации и получателей кредитных отчетов»; пункт 1 изложен в следующей редакции: «1. Настоящие Требования к использованию информационно-коммуникационных технологий и обеспечению информационной безопасности при организации деятельности кредитных бюро, поставщиков информации и получателей кредитных отчетов разработаны в соответствии с подпунктом 6) статьи 5 Закона Республики Казахстан «О кредитных бюро и формировании кредитных историй в Республике Казахстан» и устанавливают требования к использованию информационно-коммуникационных технологий и обеспечению информационной безопасности при организации деятельности кредитных бюро, банков, организаций, осуществляющих отдельные виды банковских операций, организаций, осуществляющих микрофинансовую деятельность, коллекторских агентств и сервисных компаний, осуществляющих доверительное управление правами (требованиями) по договорам банковского займа и (или) договорам о предоставлении микрокредита в рамках договора доверительного управления правами (требованиями) по договорам банковского займа и (или) договорам о предоставлении микрокредита, заключенного с банком, организацией, осуществляющей отдельные виды банковских операций, организацией, осуществляющей микрофинансовую деятельность, коллекторским агентством, дочерней организацией банка, приобретающей сомнительные и безнадежные активы родительского банка, организацией, специализирующейся на улучшении качества кредитных портфелей банков второго уровня, юридическим лицом - залогодержателем прав требования по договору о предоставлении микрокредита при выпуске микрофинансовой организацией обеспеченных облигаций или получении займов, специальной финансовой компанией, созданной в соответствии с законодательством Республики Казахстан о проектном финансировании и секьюритизации, при сделке секьюритизации, лицом, осуществляющим выкуп ипотечных займов физических лиц, не связанных с предпринимательской деятельностью, сто процентов акций которого принадлежат Национальному Банку Республики Казахстан, специальном фондом развития частного предпринимательства - по договору банковского займа, по договору о предоставлении микрокредита, заключенному в рамках сделки по финансированию субъектов частного предпринимательства путем обусловленного размещения средств в банках и организациях, осуществляющих отдельные виды банковских операций, микрофинансовых организациях, иным лицом - в отношении права (требования) по договору банковского займа, по договору о предоставлении микрокредита физического лица, связанного с осуществлением предпринимательской деятельности, или по договору банковского займа, по договору о предоставлении микрокредита юридического лица, по которому выявлены признаки обесценения в соответствии с международными стандартами финансовой отчетности, в том числе на момент приобретения или возникновения (создания) права (требования) по договору банковского займа, по договору о предоставлении микрокредита.»; пункт 37 изложен в следующей редакции: «37. Руководители структурных подразделений кредитного бюро: 1) обеспечивают ознакомление работников с внутренними документами кредитного бюро, содержащими требования к информационной безопасности (далее - требования к информационной безопасности); 2) несут персональную ответственность за обеспечение информационной безопасности в возглавляемых ими подразделениях; 3) обеспечивают заключение соглашений о неразглашении конфиденциальной информации и включение условий об обеспечении информационной безопасности в соглашения, договоры на оказание услуг/выполнение работ в случаях, когда подразделение кредитного бюро выступает инициатором заключения таких соглашений, договоров.»; дополнены пунктом 40-1 следующего содержания: «40-1. Доступ к информационным активам кредитного бюро третьих лиц предоставляется на период и в объеме, определяемыми проводимыми работами на основании соглашения, договора, включающего условия о соблюдении требований к информационной безопасности, за исключением случаев, предусмотренных законодательством Республики Казахстан. В соглашениях, договорах, заключаемых с поставщиком информации, получателем кредитных отчетов, третьими лицами, содержатся положения о конфиденциальности, условия о возмещении ущерба, возникшего вследствие нарушения информационной безопасности, а также сбоев в работе информационных систем и нарушения их безопасности, вызванных действием или бездействием кредитного бюро, поставщика информации, получателя кредитных отчетов, третьих лиц.»; заголовок параграфа 7 изложен в следующей редакции: «Параграф 7. Требования к предоставлению информации о состоянии системы управления информационной безопасностью, событиях и инцидентах информационной безопасности кредитных бюро»; пункты 79, 80 и 81 изложены в следующей редакции: «79. Кредитное бюро ежегодно, не позднее 20 января года, следующего за отчетным годом, представляет в уполномоченный орган информацию о состоянии системы управления информационной безопасностью и ее соответствии Требованиям. 80. Информация о состоянии системы управления информационной безопасностью включает сведения о (об): 1) сфере действия системы управления информационной безопасностью кредитного бюро и ее участниках с указанием соответствия их функционала Требованиям; 2) наличии документов, регламентирующих создание и функционирование системы управления информационной безопасностью; 3) наличии и количественном составе программно-технических средств, используемых для обеспечения информационной безопасности; 4) имеющихся в договорах о предоставлении услуг, заключенных с операторами связи, условиях и обязательствах по обеспечению информационной безопасности; 5) наличии, материально-технической обеспеченности и готовности резервных центров обработки данных; 6) проведенных мероприятиях по приведению системы управления информационной безопасностью и информационных активов кредитного бюро в соответствие с Требованиями. 81. Информация о состоянии системы управления информационной безопасностью, событиях и инцидентах информационной безопасности представляется в уполномоченный орган посредством автоматизированной системы обработки информации (далее - АСОИ), предназначенной для обработки информации о событиях и инцидентах информационной безопасности и интегрированной с системами информационной безопасности или системами кредитного бюро, осуществляющими в реальном времени сбор и анализ информации о событиях в информационной инфраструктуре или в электронном формате с использованием транспортной системы гарантированной доставки информации с криптографическими средствами защиты, обеспечивающей конфиденциальность и некорректируемость представляемых данных. Для кредитного бюро с государственным участием допускается представление информации о событиях и инцидентах информационной безопасности в уполномоченный орган посредством объектов информатизации Национального Банка Республики Казахстан, интегрированных с АСОИ.»; дополнен пунктами 81-1 и 81-2 следующего содержания: «81-1. Кредитное бюро предоставляет в уполномоченный орган информацию о следующих выявленных инцидентах информационной безопасности: 1) эксплуатация уязвимостей в прикладном и системном программном обеспечении; 2) несанкционированный доступ в информационную систему; 3) атака «отказ в обслуживании» на информационную систему или сеть передачи данных; 4) заражение сервера вредоносной программой или кодом; 5) совершение несанкционированного перевода денежных средств вследствие нарушения контролей информационной безопасности; 6) иных инцидентах информационной безопасности, повлекших простои информационных систем более одного часа. Информация об инцидентах информационной безопасности, указанных в настоящем пункте, предоставляется незамедлительно кредитным бюро посредством АСОИ или в электронном формате с использованием транспортной системы гарантированной доставки информации с криптографическими средствами защиты, обеспечивающей конфиденциальность и некорректируемость представляемых данных. Для кредитного бюро с государственным участием допускается представление информации о событиях и инцидентах информационной безопасности в уполномоченный орган посредством объектов информатизации Национального Банка Республики Казахстан, интегрированных с АСОИ. 81-2. Информация о событиях информационной безопасности предоставляется в автоматизированном режиме путем передачи из систем информационной безопасности или систем кредитного бюро, осуществляющих в реальном времени сбор и анализ информации о событиях в информационной инфраструктуре кредитного бюро в АСОИ. Для кредитного бюро с государственным участием допускается представление информации о событиях и инцидентах информационной безопасности в уполномоченный орган посредством объектов информатизации Национального Банка Республики Казахстан, интегрированных с АСОИ.»; глава 3 дополнена параграфом 8 следующего содержания: «Параграф 8. Требования к обеспечению информационной безопасности программного обеспечения дистанционного оказания услуг кредитных бюро 81-3. Программное обеспечение дистанционного оказания услуг кредитного бюро включает: 1) программное обеспечение серверов веб-приложений (далее - веб-приложение); 2) программное обеспечение для мобильных устройств (далее - мобильное приложение); 3) программное обеспечение серверов программных интерфейсов (далее - серверное ППО). 81-4. Разработка и (или) доработка программного обеспечения дистанционного оказания услуг осуществляется кредитным бюро в соответствии с внутренними документами кредитного бюро, регламентирующими порядок разработки и (или) доработки программного обеспечения, этапы разработки и их участников. 81-5. В случае, если разработка и (или) доработка программного обеспечения дистанционного оказания услуг кредитного бюро передана сторонней организации и (или) третьему лицу, кредитное бюро обеспечивает исполнение сторонней организацией и (или) третьим лицом требований настоящей главы и внутренних документов, отвечает за состояние безопасности программного обеспечения дистанционного оказания услуг. 81-6. Хранение исходных кодов программного обеспечения дистанционного оказания услуг, разрабатываемых в кредитном бюро, осуществляется в специализированных системах управления репозиториями кода, размещаемых в периметре защиты кредитного бюро, с обеспечением резервного копирования. 81-7. Независимо от принятого в кредитном бюро подхода к разработке и (или) доработке программного обеспечения дистанционного оказания услуг, обязательным является тестирование безопасности, в ходе которого осуществляются, как минимум, следующие мероприятия: 1) статический анализ исходного кода; 2) анализ компонентов и (или) сторонних библиотек. 81-8. Статический анализ исходного кода программного обеспечения дистанционного оказания услуг кредитного бюро проводится с использованием сканера статического анализа исходных кодов, поддерживающего анализ всех используемых языков программирования в проверяемом программном обеспечении, в функции которого входит выявление следующих уязвимостей, но не ограничиваясь: 1) наличие механизмов, допускающих инъекции вредоносного кода; 2) использование уязвимых операторов и функций языков программирования; 3) использование слабых и уязвимых криптографических алгоритмов; 4) использование кода, вызывающего при определенных условиях отказ в обслуживании или существенное замедление работы программного обеспечения дистанционного оказания услуг кредитного бюро; 5) наличие механизмов обхода систем защиты программного обеспечения дистанционного оказания услуг кредитного бюро; 6) использование в коде секретов в открытом виде; 7) нарушение шаблонов и практик обеспечения безопасности приложения. 81-9. Анализ компонентов и (или) сторонних библиотек программного обеспечения дистанционного оказания услуг кредитного бюро проводится с целью выявления известных уязвимостей, присущих используемой версии компонента и (или) сторонней библиотеки, а также отслеживания зависимостей между компонентами и (или) сторонними библиотеками и их версиями. 81-10. Кредитное бюро обеспечивает реализацию корректирующих мер по устранению выявленных уязвимостей в порядке, определенном внутренним документом, утвержденным исполнительным органом. При этом критичные уязвимости устраняются до ввода в эксплуатацию программного обеспечения дистанционного оказания услуг и (или) его новых версий. 81-11. Кредитное бюро осуществляет ввод в эксплуатацию программного обеспечения дистанционного оказания услуг и (или) его новых версий после согласования с подразделением по информационной безопасности. 81-12. Кредитное бюро обеспечивает хранение и доступ в оперативном режиме ко всем версиям исходных кодов программного обеспечения дистанционного оказания услуг и результатов тестирования безопасности, которые были введены в эксплуатацию в течение последних 3 (трех) лет. 81-13. Обмен данными между клиентской и серверной сторонами программного обеспечения дистанционного оказания услуг шифруется с использованием версии протокола шифрования Transport Layer Security (Транспорт Лэйер Секьюрити) не ниже 1.2. 81-14. При первичной регистрации клиента в мобильном приложении кредитное бюро осуществляет биометрическую идентификацию клиента посредством Центра обмена идентификационными данными (далее - ЦОИД), либо с использованием биометрических данных, полученных посредством устройств кредитного бюро. 81-15. Изменение кода доступа (пароля) к мобильному приложению осуществляется с применением биометрической идентификации клиента с использованием биометрических данных, подтвержденных ЦОИД, либо с использованием биометрических данных, полученных посредством устройств кредитного бюро. 81-16. Идентификация и аутентификация клиента в программном обеспечении дистанционного оказания услуг осуществляется с применением способов двухфакторной аутентификации (использованием двух из трех факторов: знания, владения, неотъемлемости) в соответствии с процедурами безопасности, установленными внутренними документами кредитного бюро. 81-17. Механизм кроссдоменной аутентификации программного обеспечения дистанционного оказания услуг согласовывается с подразделением по информационной безопасности. 81-18. Веб-приложение обеспечивает: 1) однозначность идентификации принадлежности веб-приложения кредитному бюро (доменное имя, логотипы, корпоративные цвета); 2) запрет на сохранение в памяти браузера авторизационных данных; 3) маскирование вводимых секретов; 4) информирование на странице авторизации клиента о мерах обеспечения кибергигиены, которым рекомендуется следовать при использовании веб-приложения; 5) обработку ошибок и исключений безопасным способом, не допуская отображение в интерфейсе клиента конфиденциальных данных, предоставляя минимально достаточную информацию об ошибке. 81-19. Мобильное приложение обеспечивает: 1) однозначность идентификации принадлежности мобильного приложения кредитному бюро (данные в официальном магазине приложений, логотипы, корпоративные цвета); 2) блокировку функционала по оказанию дистанционных услуг кредитного бюро в случае обнаружения признаков нарушения целостности и (или) обхода защитных механизмов операционной системы, обнаружения процессов удаленного управления; 3) уведомление клиента о наличии обновлений мобильного приложения; 4) возможность принудительной установки обновлений мобильного приложения или блокировки функционала мобильного приложения до их установки в случаях необходимости устранения критичных уязвимостей; 5) хранение конфиденциальных данных в защищенном контейнере мобильного приложения или хранилище системных учетных данных; 6) исключение кэширования конфиденциальных данных; 7) исключение из резервных копий мобильного приложения конфиденциальных данных в открытом виде; 8) информирование клиента о методах обеспечения кибергигиены, которым рекомендуется следовать при использовании мобильного приложения; 9) информирование клиента о событиях авторизации под его учетной записью, изменения и (или) восстановления пароля, изменения, зарегистрированного кредитным бюро номера мобильного телефона; 10) в ходе осуществления операций с денежными средствами - передачу в серверное ППО кредитного бюро геолокационных данных мобильного устройства при наличии разрешения от клиента либо передачу информации об отсутствии такого разрешения. 81-20. Кредитное бюро обеспечивает на своей стороне: 1) обработку ошибок и исключений безопасным способом, не допуская в ответе раскрытия конфиденциальных данных, предоставляя минимально достаточную информацию для диагностики проблемы; 2) идентификацию и аутентификацию мобильных приложений и связанных с ними устройств; 3) проверку данных на валидность для предотвращения атак с подделкой запросов и инъекций вредоносного кода.»; в приложении 2: заголовок изложен в следующей редакции: «Требования, предъявляемые кредитными бюро к поставщикам информации и получателям кредитных отчетов»; пункт 1 изложен в следующей редакции: «1. Настоящие Требования, предъявляемые кредитными бюро к поставщикам информации и получателям кредитных отчетов (далее - Требования), разработаны в соответствии с подпунктом 6) статьи 5 Закона Республики Казахстан «О кредитных бюро и формировании кредитных историй в Республике Казахстан» и определяют требования, предъявляемые кредитными бюро к использованию информационно-коммуникационных технологий и обеспечению информационной безопасности при организации деятельности поставщиков информации, являющихся индивидуальным предпринимателем или юридическим лицом, реализующим товары и услуги в кредит либо предоставляющим отсрочки платежей, систематизированные признаки которых определяются постановлением Правительства Республики Казахстан от 18 января 2005 года № 25 «Об утверждении систематизированных признаков индивидуальных предпринимателей или юридических лиц, реализующих товары и услуги в кредит либо предоставляющих отсрочки платежей» (далее - постановление № 25), субъектами естественной монополии, оказывающими коммунальные услуги, иными лицами на основании договоров о предоставлении информации (далее - поставщики информации), а также получателей кредитных отчетов, являющихся индивидуальным предпринимателем или юридическим лицом, реализующим товары и услуги в кредит либо предоставляющим отсрочки платежей, систематизированные признаки которых определяются постановлением № 25, иными лицами на основании договоров о предоставлении информации, представителем держателей облигаций в отношении кредитного отчета эмитента облигаций, с которым заключен договор о представлении интересов держателей облигаций (далее - получатели кредитных отчетов).». Постановление вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования. | 
