Қазақстан Республикасы Қаржы нарығын реттеу және дамыту агенттігінің Басқармасы ҚАУЛЫ ЕТЕДІ:
1. "Ақпараттық қауіпсіздіктің оқыс оқиғаларына ден қою қызметтеріне, ақпараттық қауіпсіздіктің оқыс оқиғаларына ішкі тергеп-тексерулер жүргізуге қойылатын талаптарды бекіту туралы" Қазақстан Республикасының Қаржы нарығын реттеу және дамыту агенттігі Басқармасының 2020 жылғы 21 қыркүйектегі № 90 қаулысына (Нормативтік құқықтық актілерді мемлекеттік тіркеу тізілімінде № 21274 болып тіркелген) мынадай өзгеріс енгізілсін:
көрсетілген қаулымен бекітілген Ақпараттық қауіпсіздіктің оқыс оқиғаларына ден қою қызметтеріне, ақпараттық қауіпсіздіктің оқыс оқиғаларына ішкі тергеп-тексерулер жүргізуге қойылатын талаптарда:
4-тармақ мынадай редакцияда жазылсын:
"4. Ден қою қызметінің тиісінше жұмыс істеуі мақсатында банк, ұйым:
1) ақпараттық қауіпсіздік оқиғаларын мониторингтеу және ақпараттық қауіпсіздіктің оқыс-оқиғаларына ден қою процестерін автоматтандыратын бағдарламалық-техникалық құралдарды енгізуді, тиісінше жұмыс істеуін;
2) қабылданған шараларды, ақпараттық қауіпсіздік оқиғаларының көздерін, ақпараттық қауіпсіздік оқиғаларын мониторингтеу кезеңділігін, тәртібі мен әдістерін белгілей отырып, оларға ден қою қызметі міндетті түрде дереу ден қоюды талап ететін ақпараттық қауіпсіздік оқиғаларының тізбесін және (немесе) оқиғалар жиынтығын (бұдан әрі – ақпараттық қауіпсіздік оқиғаларының тізбесі) айқындауды;
3) ақпараттық қауіпсіздік оқиғаларын ақпараттық қауіпсіздіктің оқыс оқиғаларына жатқызу, оларды жіктеу және басымдық беру тәртібін айқындауды;
4) ден қоюдың стандартты рәсімдерін әзірлеу, өзекті жағдайда қолдау және ден қою қызметінің қызметкерлерін ден қоюдың стандартты рәсімдерін қолдану мәселелері бойынша оқытуды;
5) банктің, ұйымның басшы қызметкерлерін, банктің, ұйымның және қаржы нарығын және қаржы ұйымдарын реттеу, бақылау және қадағалау жөніндегі уәкілетті органның (бұдан әрі – уәкілетті орган) бөлімшелерін, оның ішінде ақпараттық қауіпсіздіктің оқыс-оқиғасына ішкі тергеп-тексерулер жүргізу туралы шешім қабылдау үшін ақпараттандыру тәртібін айқындауды;
6) ақпараттық жүйелердегі бұзушылықтар, іркілістер туралы мәліметтерді, ақпараттық қауіпсіздіктің оқыс оқиғаларының ішкі тергеп-тексерулер нәтижелері туралы ақпаратты және осы тергеп-тексерулердің материалдарын қоса алғанда, ақпараттық қауіпсіздіктің оқыс-оқиғалары туралы ақпаратты есепке алу, сақтау, тұтастығы мен сақталуын қамтамасыз ету тәртібін айқындауды;
7) ақпараттық қауіпсіздіктің оқыс-оқиғаларына ден қою процесіне тартылған банктің, ұйымның жауапты қызметкерлерін және (немесе) бөлімшелерін айқындауды;
8) ақпараттық қауіпсіздіктің оқыс оқиғаларын жою бойынша шұғыл шаралар қабылдау, ақпараттық қауіпсіздіктің оқыс оқиғаларының туындау себептері мен олардың салдарларын анықтау тәртібін айқындауды;
9) ден қою қызметіне ақпараттық қауіпсіздіктің оқыс оқиғасы анықталған жағдайда банкте, ұйымда бизнес-процесті ішінара немесе толық тоқтату бойынша қосымша бақылау шараларын енгізу жөнінде өкілеттіктер беруді;
10) ақпараттық қауіпсіздік оқиғаларының тізбесін, ақпараттық қауіпсіздік оқиғаларының көздерін, ақпараттық қауіпсіздік оқиғаларының кезеңділігін, мониторингтеу тәртібі мен әдістерін жылына кемінде бір рет қайта қарауды;
11) ақпараттық қауіпсіздік тәуекелдерін бағалау, ақпараттық қауіпсіздікті қамтамасыз етудің әдістері мен құралдарын түзету, банктің, ұйымның бизнес-процестерін өзгерту мақсатында анықталған ақпараттық қауіпсіздіктің оқыс оқиғаларын және банктің, ұйымның алқалы органының қарауы үшін олар келтірген зиянды жылына кемінде бір рет талдауды;
12) ақпараттық қауіпсіздіктің оқыс оқиғаларына ден қою тәртібінің іске асырылуын растайтын құжаттардың, мәліметтер мен фактілердің болуын;
13) ден қою қызметінің банктің, ұйымның маңызды ақпараттық жүйелерінде туындайтын ақпараттық қауіпсіздік оқыс оқиғаларына ден қоюдың үздіксіздігін қамтамасыз ететін жұмыс режимін;
14) ақпараттық қауіпсіздік оқыс оқиғасының іске асырылу салдарынан банкке, ұйымға және (немесе) банктің, ұйымның клиенттеріне материалдық залал келтірілген жағдайларда, уәкілетті органды тергеп-тексеруді жүргізудің басталғаны, мерзімдері және нәтижелері туралы хабардар ете отырып, ақпараттық қауіпсіздіктің оқыс оқиғасына ішкі тергеп-тексеру жүргізуді қамтамасыз етеді.".
2. Киберқауіпсіздік басқармасы Қазақстан Республикасының заңнамасында белгіленген тәртіппен:
1) Заң департаментімен бірлесіп осы қаулыны Қазақстан Республикасының Әділет министрлігінде мемлекеттік тіркеуді;
2) осы қаулыны ресми жарияланғаннан кейін Қазақстан Республикасы Қаржы нарығын реттеу және дамыту агенттігінің ресми интернет-ресурсына орналастыруды;
3) осы қаулы мемлекеттік тіркелгеннен кейін он жұмыс күні ішінде Заң департаментіне осы тармақтың 2) тармақшасында көзделген іс-шараның орындалуы туралы мәліметтерді ұсынуды қамтамасыз етсін.
3. Осы қаулының орындалуын бақылау Қазақстан Республикасының Қаржы нарығын реттеу және дамыту агенттігі Төрағасының жетекшілік ететін орынбасарына жүктелсін.
4. Осы қаулы алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі.
|
Қазақстан Республикасының Қаржы нарығын реттеу және дамыту Агенттігінің Төрағасы |
М. Абылкасымова |
