Неофициальный перевод

ПОСТАНОВЛЕНИЕ НАЦИОНАЛЬНОЙ КОМИССИИ ПО ФИНАНСОВОМУ РЫНКУ РЕСПУБЛИКИ МОЛДОВА

от 26 февраля 2009 года №8/15

Об утверждении некоторых положений

Во исполнение положений ст. 6 ч.(1), ч.(4) и ч.(11), ст. 7 ч.(7), ст. 8 ч.(2) и ч.(4), ст. 17 ч.(3) п. 1) пп. a)-d) и g), ч.(7) и ч.(8), ст. 18 ч.(2) п. 1) пп. b) Закона о бюро кредитных историй №122-XVI от 29 мая 2008 г. (повторное опубликование: Официальный монитор Республики Молдова, 2017, №316-321, ст. 546), на основании положений ст.1 ч.(1), ст.3, ст.4 ч.(1) и ч. (2), ст.8 п.b), ст.21 ч.(1), ст.22 ч.(1) и ч.(2) Закона №192-XIV от 12.11.1998 "О Национальной комиссии по финансовому рынку" (повторно опубликован в Официальном мониторе Республики Молдова, 2007 г., № 117-126 BIS) Национальная комиссия по финансовому рынку ПОСТАНОВЛЯЕТ:

1. Утвердить:

Положение об информационных системах, используемых для создания базы данных бюро кредитных историй, согласно приложению №1;

Положение о порядке представления информации в бюро кредитных историй и выдачи кредитного отчета, согласно приложению №2;

Положение о порядке представления отчетности в Национальную комиссию по финансовому рынку бюро кредитных историй, согласно приложению №3.

2. Настоящее постановление вступает в силу со дня опубликования.

Приложение №1

к Постановлению Национальной комиссии по финансовому рынку №8/15 от 26 февраля 2009 года

Положение об информационных системах, используемых для создания базы данных бюро кредитных историй

I. Общие положения

1. Положение об информационных системах, используемых для создания базы данных бюро кредитных историй (далее - Положение) устанавливает требования к организации информационной системы в целях формирования и использования кредитных историй, хранения в условиях безопасности базы данных бюро кредитных историй (далее - бюро), минимальные требования к использованию средств защиты при обработке кредитной истории, минимальные требования к техническому оборудованию и к программному обеспечению и является обязательным для всех юридических лиц, обладающих лицензией на осуществление деятельности бюро кредитных историй.

2. В настоящем Положении используются следующие понятия:

комплекс программно-технических средств – совокупность программного обеспечения и технического оборудования, обеспечивающих осуществление информационных процессов;

средства криптографической защиты информации - аппаратные, программные и аппаратно-программные средства, системы и комплексы, реализующие алгоритмы криптографического преобразования информации, предназначенные для защиты целостности и конфиденциальности информации при ее обработке, хранении и передаче по каналам связи;

защита информации от утечки - комплекс мер, направленных на предотвращение неконтролируемого распространения защищаемой информации по техническим и побочным каналам с помощью специальных технических средств;

защита информации от несанкционированного доступа - комплекс мер, направленных на предотвращение, идентификацию и устранение возможности получения защищаемой информации путем нарушения правил доступа к защищаемой информации, установленных нормативными актами или собственником (владельцем) информации;

защита информации от непреднамеренного воздействия - комплекс мер, направленных на предотвращение непреднамеренного воздействия на защищаемую информацию вследствие ошибок пользователя, сбоев программно-технических средств, природных явлений или иных причин, не направленных на изменение информации, но приводящих к искажению, уничтожению, копированию, блокированию доступа к информации, а также к ее утрате, уничтожению или к сбою функционирования материального носителя информации;

нормы информационной безопасности - совокупность документированных управленческих решений, направленных на защиту информации, программных и технических средств информационных систем;

информационная безопасность - защита информационной системы от случайных или преднамеренных воздействий естественного или искусственного характера, результатом которых является нанесение ущерба участникам информационного обмена;

информационная система - совокупность взаимосвязанных информационных ресурсов, технологий, методов и персонала, предназначенная для хранения, обработки и выдачи информации;

материальные носители - магнитные, оптические, лазерные или иные носители электронной информации, на которых создается, фиксируется, передается, принимается, хранится, или иным образом используется электронная информация и которые представляют возможность воспроизводить и использовать ее в дальнейшем;

технический аудит – оценка информационных систем (оборудования и программного обеспечения), осуществляемая специализированной компанией в области информационных технологий, с привлечением по меньшей мере одного специалиста, владеющего сертификатом CISA (Certified Information Systems Auditor), с целью определения степени безопасности и уровня защиты используемой системы;

электронная подпись – данные в электронной форме, так как они определены в Законе об электронной подписи и электронном документе №91 от 29 мая 2014 г.

II. Задачи информационной безопасности.

3. Участники обмена информации (далее - участники) обеспечивают меры защиты информации при обработке кредитной истории средствами, соответствующими требованиям информационной безопасности, установленным настоящим Положением.

4. Основными задачами по обеспечению информационной безопасности являются:

1) защита информации (обеспечение целостности, конфиденциальности и доступности информации) кредитных историй при обработке;

2) минимизация воздействия и времени для восстановления в случае инцидентов безопасности;

3) эффективное управление рисков безопасности;

4) обеспечение безотказной работы;

5) обеспечение физической безопасности бюро, в том числе компонентов программно-технического комплекса, от повреждения или изменения функционирования;

6) соответствие действующим законодательным и нормативным актам.

5. Комплекс мер и средств защиты информации должен включать:

1) криптографическую защиту информации, включающую средства криптографической защиты информации;

2) защиту информации от несанкционированного доступа и способность обнаружения вторжений;

3) постоянный внутренний контроль системы информационной безопасности;

4) защиту информации от непреднамеренного воздействия, включая резервное копирование и архивирование данных;

5) обеспечение доступности, включая обеспечение безотказной работы оборудования программно-технического комплекса бюро;

6) защита информации от утечки по техническим и побочным каналам;

7) меры физической безопасности участников.

6. Порядок применения комплекса мер и средств защиты информации должен планироваться на этапе проектирования информационной системы.

III. Требования к функционированию информационной системы

7. Информационная система будет разработана согласно требованиям настоящего Положения в соответствии с Поручением технической разработки, утвержденном руководителем, содержащем данные о процессе разработки, внедрения и обслуживания системы, включительно этапы разработки, порядок внесения изменений, приема, тестирования и сдачи в эксплуатацию, требования к документированию каждого этапа и др.

8. Информационная система должна обеспечивать электронный обмен корреспонденцией в течение 24 часов.

9. Электронный обмен корреспонденцией между участниками осуществляется только с использованием комплекса специализированного программного обеспечения, предложенного бюро.

10. Электронная корреспонденция подписывается электронной подписью.

11. В процессе электронного обмена корреспонденцией участники должны соблюдать предписанную последовательность действий и проверять подлинность электронной корреспонденции.

12. В составе информационной системы бюро обязано постоянно:

1) обеспечивать качественное и бесперебойное функционирование информационной системы и установленный уровень безопасности при осуществлении электронного обмена корреспонденцией между участниками;

2) внедрять антивирусную защиту и защиту против спама;

3) осуществлять техническое обслуживание компонентов, оперативно и своевременно устранять неполадки в работе информационной системы;

4) принимать меры по совершенствованию и повышению эффективности работы информационной системы;

5) осуществлять контроль состояния безопасности информационной системы, протоколировать случаи и попытки нарушения ее безопасности, а также принимать меры, необходимые для предотвращения и ликвидации их последствий;

6) консультировать уполномоченных лиц участников по предоставленному программно-техническому комплексу, а также по другим вопросам, относящимся к работе информационной системы;

7) информировать участников, с которыми был заключен договор об оказании информационных услуг, об изменении технических условий функционирования информационной системы.

13. В целях выполнения своих функций, бюро имеет право:

1) оказывать помощь при создании криптографических ключей участников, необходимых для функционирования информационной системы;

2) требовать устранения случаев нарушения правил эксплуатации информационной системы.

14. В целях эффективного функционирования информационной системы участник (который не является бюро) обязан:

1) организовать и обустроить рабочие места для лиц, уполномоченных представлять и получать информацию из кредитных историй;

2) обеспечить условия, необходимые для надежного хранения криптографических ключей и их материальных носителей, а также для исключения доступа посторонних лиц к данным ключам;

3) обеспечить соблюдение условий безопасности и правил эксплуатации информационной системы.

4) использование информации, полученной в результате участия в процессе информационного обмена, лишь в целях, установленных Законом №122-XVI от 29 мая 2008 г. "О бюро кредитных историй";

5) незамедлительно уведомлять ответственное лицо бюро, в устной и письменной форме, в случае обнаружения угрозы безопасности информационной системы.

15. В целях соблюдения требований настоящего Положения при обработке кредитной истории, бюро должно разработать и утвердить нормы о функционировании информационной системы, содержащие: