«Кредитное бюро ежегодно, не позднее 20 января года, следующего за отчетным годом, представляет в уполномоченный орган информацию о состоянии системы управления информационной безопасностью и ее соответствии Требованиям», — говорится в проекте приказа.
Согласно документу, информация о состоянии системы управления информационной безопасностью включает сведения о (об):
1) сфере действия системы управления информационной безопасностью кредитного бюро и ее участниках с указанием соответствия их функционала требованиям;
2) наличии документов, регламентирующих создание и функционирование системы управления информационной безопасностью;
3) наличии и количественном составе программно-технических средств, используемых для обеспечения информационной безопасности;
4) имеющихся в договорах о предоставлении услуг, заключенных с операторами связи, условиях и обязательствах по обеспечению информационной безопасности;
5) наличии, материально-технической обеспеченности и готовности резервных центров обработки данных;
6) проведенных мероприятиях по приведению системы управления информационной безопасностью и информационных активов кредитного бюро в соответствие с Требованиями", — уточняют, в Агентстве РК по регулированию и развитию финансового рынка.
«Кредитное бюро обеспечивает на своей стороне: 1) обработку ошибок и исключений безопасным способом, не допуская в ответе раскрытия конфиденциальных данных, предоставляя минимально достаточную информацию для диагностики проблемы; 2) идентификацию и аутентификацию мобильных приложений и связанных с ними устройств; 3) проверку данных на валидность для предотвращения атак с подделкой запросов и инъекций вредоносного кода», — сказано в документе.
