Обновлены требования к обеспечению информбезопасности кредитных бюро

11:40, 10 июля 2026

© Фото: freepik

Постановлением Агентства по регулированию и развитию финансового рынка от 30 июня 2026 года внесены изменения в Требования к использованию информационно-коммуникационных технологий и обеспечению информационной безопасности при организации деятельности кредитных бюро, сообщает Zakon.kz.

В частности Требования к использованию цифровых технологий и обеспечению информационной безопасности при организации деятельности кредитных бюро, поставщиков информации и получателей кредитных отчетов, изложены в новой редакции.

Так, говорится, что Кредитное бюро обеспечивает информационную безопасность защищенной информации при ее получении, хранении и обработке, а также при подготовке и выдаче кредитных отчетов.

Кредитное бюро обеспечивает создание и функционирование системы управления информационной безопасностью, являющейся частью общей системы управления кредитного бюро, предназначенной для управления процессом обеспечения информационной безопасности.

Система управления информационной безопасностью обеспечивает защиту информационных активов кредитного бюро, допускающую минимальный уровень потенциального ущерба для бизнес-процессов кредитного бюро.

Кредитное бюро в целях обеспечения надлежащего уровня системы управления информационной безопасностью ее развития и улучшения, обеспечивает наличие внутренних документов, определяющих:

политику информационной безопасности, включающую:

  • цели, задачи и основные принципы построения системы управления информационной безопасностью;
  • область действия системы управления информационной безопасностью;
  • ответственность в рамках системы управления информационной безопасностью;
  • распространение и обеспечение доступности политики информационной безопасности;
  • условия к пересмотру политики информационной безопасности;

правила управления информационными активами, включающие:

  • основные требования к информации с указанием уровней конфиденциальности;
  • требование по маркировке и паспортизации активов;
  • порядок обращения с информацией с учетом уровней конфиденциальности;

порядок резервного копирования (архивирования), включающий:

  • требования к резервному и архивному копированию;
  • порядок тестирования резервных копий;

методику оценки и управления рисками информационной безопасности, включающую:

  • процесс оценки и обработки рисков информационной безопасности;
  • критерии приемлемости рисков информационной безопасности;
  • план обработки рисков информационной безопасности;
  • отчет об оценке и обработке рисков информационной безопасности;

процедуры по ограничению доступа и обязанности пользователей цифровой системы (операторов, администраторов цифровых систем), включающие:

  • порядок прекращения или изменения функциональных обязанностей, включающий требования о неразглашении конфиденциальной информации после завершения действия трудового договора;
  • порядок обучения и повышения осведомленности;
  • порядок контроля доступа к информации, цифровым системам, сетям, сервисам, оборудованию и в помещения;
  • условия регулярного пересмотра прав доступа;
  • требование к управлению пользовательскими и привилегированными правами доступа;
  • порядок технической реализации предоставления, изменения, удаления прав доступа;

порядок работы с цифровой системой кредитного бюро, включающий:

  • процедуры разработки и управления изменениями цифровой системы кредитного бюро;
  • права и обязанности операторов и администраторов цифровой системы кредитного бюро;

процедуры управления инцидентами информационной безопасности, включающие:

  • классификацию инцидентов, порядок оповещения об инцидентах с указанием лиц, подлежащих оповещению;
  • порядок реагирования и обработки инцидентов;
  • правила защиты информационных активов от вредоносного программного обеспечения.

Участниками системы управления информационной безопасностью кредитного бюро являются:

  • орган управления;
  • исполнительный орган;
  • коллегиальный орган, уполномоченный принимать решения по задачам обеспечения информационной безопасности;
  • подразделение по управлению рисками;
  • подразделение по информационной безопасности;
  • подразделение по информационным технологиям;
  • подразделение по безопасности;
  • подразделение по работе с персоналом;
  • юридическое подразделение;
  • иные подразделения.

Постановление вводится в действие с 12 июля 2026 года.

Источник: zakon.kz


Подписывайтесь на наш Telegram-канал. Будьте в курсе всех событий!
Мы работаем для Вас!