Об утверждении Инструкции по определению особенностей организации деятельности поставщиков информации, кредитных бюро и получателей кредитных отчетов (за исключением субъектов кредитных историй) на рынке информационных услуг

Об утверждении Инструкции по определению особенностей организации деятельности поставщиков информации, кредитных бюро и получателей кредитных отчетов (за исключением субъектов кредитных историй) на рынке информационных услуг

В целях реализации пункта 3 статьи 4 Закона Республики Казахстан "О кредитных бюро и формировании кредитных историй в Республике Казахстан" ПРИКАЗЫВАЮ:

1. Утвердить прилагаемую Инструкцию по определению особенностей организации деятельности поставщиков информации, кредитных бюро и получателей кредитных отчетов (за исключением субъектов кредитных историй) на рынке информационных услуг.

2. Департаменту информатизации и юридической службы Агентства Республики Казахстан по информатизации и связи (далее - Агентство) (Жайлаубаевой А.) обеспечить в установленном порядке государственную регистрацию настоящего приказа в Министерстве юстиции Республики Казахстан.

3. Управлению финансового регулирования Агентства (Арпабаев Б.К.) после государственной регистрации настоящего приказа, в установленном порядке, обеспечить его официальное опубликование в средствах массовой информации.

4. Настоящий приказ вводится в действие со дня официального опубликования.

Председатель

Согласовано:

Председатель Правления

Агентства Республики Казахстан

по регулированию и надзору

финансового рынка и

финансовых организаций

4 апреля 2005 г.

Утверждена

приказом Председателя Агентства

Республики Казахстан

по информатизации и связи

от 23 марта 2005 года N 72-п

Инструкция по определению особенностей организации деятельности поставщиков информации, кредитных бюро и получателей кредитных отчетов (за исключением субъектов кредитных историй) на рынке информационных услуг

Настоящая Инструкция разработана в соответствии с Законами Республики Казахстан "О кредитных бюро и формировании кредитных историй в Республике Казахстан" (далее - Закон о кредитных бюро), " Об информатизации", " Об электронном документе и электронной цифровой подписи" и определяет особенности организации деятельности поставщиков информации, кредитных бюро и получателей кредитных отчетов (за исключением субъектов кредитных историй) на рынке информационных услуг.

1. Общие положения

1. В настоящей Инструкции используются следующие понятия:

1) администратор безопасности информационных систем - работник организации, обеспечивающий функционирование системы электронного получения и (или) передачи данных, реализацию мер по их защите, осуществляющий генерацию поступающей и (или) передаваемой информации с учетом ее функций и полномочий (далее - администратор);

2) аутентификация - подтверждение подлинности субъекта или объекта доступа путем определения соответствия предъявленных реквизитов доступа имеющимся в системе;

3) идентификация - процесс присвоения или определения соответствия предъявленного для получения доступа в систему и (или) к ресурсу системы идентификатора перечню идентификаторов, имеющихся в системе;

4) информационная система участников системы формирования и использования кредитных историй - совокупность информационных технологий, информационных сетей и средств их программно-технического обеспечения, предназначенных для реализации поставщиками информации, кредитными бюро, получателями кредитных отчетов и субъектами кредитных историй информационных процессов (далее - информационная система формирования и использования кредитных историй);

5) ключевая информация - криптографические ключи и ключи электронной цифровой подписи;

6) оператор - работник кредитного бюро, непосредственно осуществляющий прием, сбор, обработку и передачу информации с использованием системы защиты;

7) организация - кредитное бюро, поставщик информации, получатель кредитного отчета (за исключением субъектов кредитных историй), обязанные принимать участие в информационной системе формирования и использования кредитных историй в соответствии с настоящей Инструкцией;

8) ответственное лицо - работник кредитного бюро, обеспечивающий функционирование и контроль средств защиты информации от несанкционированного доступа;

9) пользователь - кредитное бюро и иные участники информационной системы кредитных историй, участвующие в обмене электронными документами и являющиеся сторонами договора о предоставлении информации и (или) получении кредитных отчетов;

10) электронная цифровая подпись - набор электронных цифровых символов, созданный средствами электронной цифровой подписи и подтверждающий достоверность электронного документа, его принадлежность и неизменность содержания;

11) электронный документ - документ, в котором информация представлена в электронно-цифровой форме и удостоверена посредством электронной цифровой подписи.

Поставщики информации и получатели кредитного отчета (за исключением субъекта кредитной истории) обеспечивают выполнение организационных, технологических условий и требований кредитного бюро, вытекающие из заключенных с ним договоров о предоставлении информации и внутренних документов кредитного бюро, предусмотренных Законом о кредитных бюро.

2. Техническое обеспечение деятельности участников в системе формирования кредитных историй

3. Порядок технического обеспечения деятельности организации в системе формирования кредитных историй определяется актом участника в системе формирования кредитных историй (приказ, распоряжение) включающим:

1) назначение сотрудников, на которых возлагаются обязанности ответственного лица, администратора, оператора;

2) список сотрудников, допущенных к рабочему месту пользователя;

3) режим работы.

4. Ключевая информация находится на машинном носителе. Машинные носители после окончания работы хранятся в специально выделенных для этих целей сейфах.

5. Хранение и использование машинных носителей с ключевой информацией исключают возможность несанкционированного доступа к ним. 6. Сотрудникам организации не допускается:

1) снимать несанкционированные копии с носителей ключевой информации;

2) разглашать данные в отношении носителей ключевой информации, порядка их хранения, а также передавать носители ключевой информации посторонним лицам;

3) записывать постороннюю информацию на носители ключевой информации.

3. Технические требования к рабочему месту системы защиты, компьютерному оборудованию и программному обеспечению

7. Программные и аппаратные меры защиты основаны на использовании специальных программ и аппаратуры, входящих в состав информационной системы и выполняющих (самостоятельно или в комплексе с другими средствами) функции защиты:

1) идентификацию и аутентификацию пользователей;

2) разграничение доступа к ресурсам;

3) регистрацию событий;

4) криптографические преобразования;

5) проверку целостности системы;

6) проверку отсутствия вредоносных программ;

7) программную защиту передаваемой информации и каналов связи;

8) защиту системы от наличия и появления нежелательной информации;

9) создание физических препятствий на путях проникновения нарушителей;

10) мониторинг и сигнализацию соблюдения правильности работы системы;

11) создание резервных копий ценной информации.

8. Рабочее место системы защиты размещается в специально выделенном изолированном помещении. Местонахождение, контроль доступа и охранно-пожарная сигнализация исключают возможность неконтролируемого проникновения в помещение лиц, не допущенных к рабочему месту пользователя.

9. Программное обеспечение пользователя устанавливается на специально выделенных программно-аппаратных средствах, имеющих паспорт рабочего места с подробными данными по его месторасположению, конфигурации.

10. Не допускается эксплуатация программно-аппаратных средств пользователя и установка на них программных средств, не связанных с целью подготовки, обработки, передачи или ведения электронных документов в рамках участия в информационной системе участников системы формирования и использования кредитных историй.

11. Программно-аппаратные средства пользователя сертифицируются в соответствии с законодательством Республики Казахстан о сертификации и включают следующий комплекс защиты:

1) средства идентификации и аутентификации пользователей,

2) возможность ведения электронных журналов в течение срока хранения электронных документов, с целью контроля деятельности, связанной с доступом к компьютеру и действиями пользователей.

12. Одному системному имени пользователя соответствует один идентификационный код для входа в информационные системы.

13. Системный блок программно-аппаратных средств пользователя опечатывается или пломбируется ответственным лицом. В случае необходимости допуск к системному блоку осуществляется в присутствии ответственного лица. По окончании работ системный блок опечатывается или пломбируется ответственным лицом.

14. Подготовка электронных документов, предназначенных для передачи в зашифрованном виде, происходит исключительно на рабочем месте системы защиты и исключает возможность несанкционированного доступа.

15. Доступ к ресурсам (дисковое пространство, директории, сетевые ресурсы, базы данных), выделенным для накопления в них информации для передачи в информационную среду с использованием системы защиты, получение информации из информационной среды, хранение, архивирование и другая обработка информации исключают возможность несанкционированного доступа к этим ресурсам.

16. В случае нарушения порядка защитных действий или его разглашения, сторона установившая данное нарушение, немедленно уведомляет об этом другую сторону и принимает меры по ликвидации последствий.

4. Выявление технических каналов утечки информации

17. Технические каналы утечки информации делятся на:

1) радиоканалы (электромагнитные излучения радиодиапазона);

2) электрические (напряжения и токи в различных токопроводящих коммуникациях);

3) акустические (распространение звуковых колебаний в любом звукопроводящем материале);

4) оптические (электромагнитные излучения в видимой, инфракрасной и ультрафиолетовой частях спектра).

18. Источниками излучений в технических каналах являются разнообразные технические средства, особенно те, в которых циркулирует конфиденциальная информация. К их числу относятся:

1) сети электропитания и линии заземления;

2) автоматические сети телефонной связи;

3) системы факсимильной, телекодовой и телеграфной связи;

4) средства громкоговорящей связи;

5) средства звуко- и видеозаписи;

6) системы звукоусиления речи;

7) электронно-вычислительная техника;

8) электронные средства оргтехники.

19. Для создания системы защиты объекта от утечки информации по техническим каналам необходимо осуществить ряд мероприятий. Необходимо проанализировать специфические особенности расположения зданий, помещений в зданиях, территорию вокруг них и подведенные коммуникации. Затем необходимо выделить те помещения, внутри которых циркулирует конфиденциальная информация и инвентаризировать используемые в них технические средства.

20. Технические мероприятия:

1) проверить используемую технику на соответствие величины побочных излучений допустимым уровням;

2) экранировать помещения с техникой или эту технику в помещениях;

3) перемонтировать отдельные цепи, линии, кабели;

4) использовать специальные устройства и средства пассивной и активной защиты.

5. Особенности использования электронной цифровой подписи в системе формирования кредитных историй

21. Применение электронной цифровой подписи в системе формирования кредитных историй регулируется в соответствии с Законом Республики Казахстан "Об электронном документе и электронной цифровой подписи".

6. Заключительные положения

22. Вопросы, не урегулированные настоящей Инструкцией, разрешаются в порядке, определенном законодательством Республики Казахстан.

___________________________________