О внесении изменения в постановление Правления Агентства Республики Казахстан по регулированию и развитию финансового рынка от 21 сентября 2020 года № 90 "Об утверждении Требований к службам реагирования на инциденты информационной безопасности, проведению внутренних расследований инцидентов информационной безопасности"

Постановление Правления Агентства Республики Казахстан по регулированию и развитию финансового рынка от 23 ноября 2022 года № 95. Зарегистрировано в Министерстве юстиции Республики Казахстан 25 ноября 2022 года № 30744

      Правление Агентства Республики Казахстан по регулированию и развитию финансового рынка ПОСТАНОВЛЯЕТ:

      1. Внести в постановление Правления Агентства Республики Казахстан по регулированию и развитию финансового рынка от 21 сентября 2020 года № 90 "Об утверждении Требований к службам реагирования на инциденты информационной безопасности, проведению внутренних расследований инцидентов информационной безопасности" (зарегистрировано в Реестре государственной регистрации нормативных правовых актов под № 21274) следующее изменение:

      в Требованиях к службам реагирования на инциденты информационной безопасности, проведению внутренних расследований инцидентов информационной безопасности, утвержденных указанным постановлением:

      пункт 4 изложить в следующей редакции:

      "4. В целях надлежащего функционирования службы реагирования банк, организация обеспечивает:

      1) внедрение, надлежащее функционирование программно-технических средств, автоматизирующих процессы мониторинга событий информационной безопасности и реагирования на инциденты информационной безопасности;

      2) определение перечня событий и (или) совокупностей событий информационной безопасности, требующих обязательного незамедлительного реагирования на них службой реагирования, с фиксацией предпринятых мер (далее – перечень событий информационной безопасности), источников событий информационной безопасности, периодичности, порядка и методов мониторинга событий информационной безопасности;

      3) определение порядка отнесения событий информационной безопасности к инцидентам информационной безопасности, их классификации и приоритизации;

      4) разработку, поддержание в актуальном состоянии стандартных процедур реагирования и обучение работников службы реагирования по вопросам применения стандартных процедур реагирования;

      5) определение порядка информирования руководящих работников банка, организации, подразделений банка, организации и уполномоченного органа по регулированию, контролю и надзору финансового рынка и финансовых организаций (далее – уполномоченный орган), в том числе для принятия решения о проведении внутреннего расследования инцидента информационной безопасности;

      6) определение порядка учета, хранения, обеспечения целостности и сохранности информации об инцидентах информационной безопасности, включая сведения о нарушениях, сбоях в информационных системах, информации о результатах внутренних расследований инцидентов информационной безопасности и материалов этих расследований;

      7) определение ответственных работников и (или) подразделений банка, организации, вовлеченных в процесс реагирования на инциденты информационной безопасности;

      8) определение порядка принятия неотложных мер по устранению инцидентов информационной безопасности, установления причин возникновения инцидентов информационной безопасности и их последствий;

      9) наделение службы реагирования полномочиями по введению дополнительных мер контроля по частичной или полной остановке бизнес-процесса в банке, организации в случае выявления инцидента информационной безопасности;

      10) не реже одного раза в год пересмотр перечня событий информационной безопасности, источников событий информационной безопасности, периодичности, порядка и методов мониторинга событий информационной безопасности;

      11) не реже одного раза в год анализ выявленных инцидентов информационной безопасности и нанесенного ими ущерба для рассмотрения коллегиальным органом банка, организации с целью оценки рисков информационной безопасности, корректировки методов и средств обеспечения информационной безопасности, изменения бизнес-процессов банка, организации;

      12) наличие документов, сведений и фактов, подтверждающих реализацию порядка реагирования на инциденты информационной безопасности;

      13) режим работы службы реагирования, обеспечивающий непрерывность реагирования на инциденты информационной безопасности, возникающие в критических информационных системах банка, организации;

      14) в случаях нанесения материального ущерба банку, организации и (или) клиентам банка, организации вследствие реализации инцидента информационной безопасности, проведение внутреннего расследования инцидента информационной безопасности, с уведомлением уполномоченного органа о начале, сроках и результатах проведения расследования.".

      2. Управлению кибербезопасности в установленном законодательством Республики Казахстан порядке обеспечить:

      1) совместно с Юридическим департаментом государственную регистрацию настоящего постановления в Министерстве юстиции Республики Казахстан;

      2) размещение настоящего постановления на официальном интернет-ресурсе Агентства Республики Казахстан по регулированию и развитию финансового рынка после его официального опубликования;

      3) в течение десяти рабочих дней после государственной регистрации настоящего постановления представление в Юридический департамент сведений об исполнении мероприятия, предусмотренного подпунктом 2) настоящего пункта.

      3. Контроль за исполнением настоящего постановления возложить на курирующего заместителя Председателя Агентства Республики Казахстан по регулированию и развитию финансового рынка.

      4. Настоящее постановление вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования.

Председатель Агентства Республики Казахстан по регулированию и развитию финансового рынка

М. Абылкасымова

"Ақпараттық қауіпсіздіктің оқыс оқиғаларына ден қою қызметтеріне, ақпараттық қауіпсіздіктің оқыс оқиғаларына ішкі тергеп-тексерулер жүргізуге қойылатын талаптарды бекіту туралы" Қазақстан Республикасының Қаржы нарығын реттеу және дамыту агенттігі Басқармасының 2020 жылғы 21 қыркүйектегі № 90 қаулысына өзгеріс енгізу туралы

Қазақстан Республикасы Қаржы нарығын реттеу және дамыту агенттігі Басқармасының 2022 жылғы 23 қарашадағы № 95 қаулысы. Қазақстан Республикасының Әділет министрлігінде 2022 жылғы 25 қарашада № 30744 болып тіркелді

      Қазақстан Республикасы Қаржы нарығын реттеу және дамыту агенттігінің Басқармасы ҚАУЛЫ ЕТЕДІ:

      1. "Ақпараттық қауіпсіздіктің оқыс оқиғаларына ден қою қызметтеріне, ақпараттық қауіпсіздіктің оқыс оқиғаларына ішкі тергеп-тексерулер жүргізуге қойылатын талаптарды бекіту туралы" Қазақстан Республикасының Қаржы нарығын реттеу және дамыту агенттігі Басқармасының 2020 жылғы 21 қыркүйектегі № 90 қаулысына (Нормативтік құқықтық актілерді мемлекеттік тіркеу тізілімінде № 21274 болып тіркелген) мынадай өзгеріс енгізілсін:

      көрсетілген қаулымен бекітілген Ақпараттық қауіпсіздіктің оқыс оқиғаларына ден қою қызметтеріне, ақпараттық қауіпсіздіктің оқыс оқиғаларына ішкі тергеп-тексерулер жүргізуге қойылатын талаптарда:

      4-тармақ мынадай редакцияда жазылсын:

      "4. Ден қою қызметінің тиісінше жұмыс істеуі мақсатында банк, ұйым:

      1) ақпараттық қауіпсіздік оқиғаларын мониторингтеу және ақпараттық қауіпсіздіктің оқыс-оқиғаларына ден қою процестерін автоматтандыратын бағдарламалық-техникалық құралдарды енгізуді, тиісінше жұмыс істеуін;

      2) қабылданған шараларды, ақпараттық қауіпсіздік оқиғаларының көздерін, ақпараттық қауіпсіздік оқиғаларын мониторингтеу кезеңділігін, тәртібі мен әдістерін белгілей отырып, оларға ден қою қызметі міндетті түрде дереу ден қоюды талап ететін ақпараттық қауіпсіздік оқиғаларының тізбесін және (немесе) оқиғалар жиынтығын (бұдан әрі – ақпараттық қауіпсіздік оқиғаларының тізбесі) айқындауды;

      3) ақпараттық қауіпсіздік оқиғаларын ақпараттық қауіпсіздіктің оқыс оқиғаларына жатқызу, оларды жіктеу және басымдық беру тәртібін айқындауды;

      4) ден қоюдың стандартты рәсімдерін әзірлеу, өзекті жағдайда қолдау және ден қою қызметінің қызметкерлерін ден қоюдың стандартты рәсімдерін қолдану мәселелері бойынша оқытуды;

      5) банктің, ұйымның басшы қызметкерлерін, банктің, ұйымның және қаржы нарығын және қаржы ұйымдарын реттеу, бақылау және қадағалау жөніндегі уәкілетті органның (бұдан әрі – уәкілетті орган) бөлімшелерін, оның ішінде ақпараттық қауіпсіздіктің оқыс-оқиғасына ішкі тергеп-тексерулер жүргізу туралы шешім қабылдау үшін ақпараттандыру тәртібін айқындауды;

      6) ақпараттық жүйелердегі бұзушылықтар, іркілістер туралы мәліметтерді, ақпараттық қауіпсіздіктің оқыс оқиғаларының ішкі тергеп-тексерулер нәтижелері туралы ақпаратты және осы тергеп-тексерулердің материалдарын қоса алғанда, ақпараттық қауіпсіздіктің оқыс-оқиғалары туралы ақпаратты есепке алу, сақтау, тұтастығы мен сақталуын қамтамасыз ету тәртібін айқындауды;

      7) ақпараттық қауіпсіздіктің оқыс-оқиғаларына ден қою процесіне тартылған банктің, ұйымның жауапты қызметкерлерін және (немесе) бөлімшелерін айқындауды;

      8) ақпараттық қауіпсіздіктің оқыс оқиғаларын жою бойынша шұғыл шаралар қабылдау, ақпараттық қауіпсіздіктің оқыс оқиғаларының туындау себептері мен олардың салдарларын анықтау тәртібін айқындауды;

      9) ден қою қызметіне ақпараттық қауіпсіздіктің оқыс оқиғасы анықталған жағдайда банкте, ұйымда бизнес-процесті ішінара немесе толық тоқтату бойынша қосымша бақылау шараларын енгізу жөнінде өкілеттіктер беруді;

      10) ақпараттық қауіпсіздік оқиғаларының тізбесін, ақпараттық қауіпсіздік оқиғаларының көздерін, ақпараттық қауіпсіздік оқиғаларының кезеңділігін, мониторингтеу тәртібі мен әдістерін жылына кемінде бір рет қайта қарауды;

      11) ақпараттық қауіпсіздік тәуекелдерін бағалау, ақпараттық қауіпсіздікті қамтамасыз етудің әдістері мен құралдарын түзету, банктің, ұйымның бизнес-процестерін өзгерту мақсатында анықталған ақпараттық қауіпсіздіктің оқыс оқиғаларын және банктің, ұйымның алқалы органының қарауы үшін олар келтірген зиянды жылына кемінде бір рет талдауды;

      12) ақпараттық қауіпсіздіктің оқыс оқиғаларына ден қою тәртібінің іске асырылуын растайтын құжаттардың, мәліметтер мен фактілердің болуын;

      13) ден қою қызметінің банктің, ұйымның маңызды ақпараттық жүйелерінде туындайтын ақпараттық қауіпсіздік оқыс оқиғаларына ден қоюдың үздіксіздігін қамтамасыз ететін жұмыс режимін;

      14) ақпараттық қауіпсіздік оқыс оқиғасының іске асырылу салдарынан банкке, ұйымға және (немесе) банктің, ұйымның клиенттеріне материалдық залал келтірілген жағдайларда, уәкілетті органды тергеп-тексеруді жүргізудің басталғаны, мерзімдері және нәтижелері туралы хабардар ете отырып, ақпараттық қауіпсіздіктің оқыс оқиғасына ішкі тергеп-тексеру жүргізуді қамтамасыз етеді.".

      2. Киберқауіпсіздік басқармасы Қазақстан Республикасының заңнамасында белгіленген тәртіппен:

      1) Заң департаментімен бірлесіп осы қаулыны Қазақстан Республикасының Әділет министрлігінде мемлекеттік тіркеуді;

      2) осы қаулыны ресми жарияланғаннан кейін Қазақстан Республикасы Қаржы нарығын реттеу және дамыту агенттігінің ресми интернет-ресурсына орналастыруды;

      3) осы қаулы мемлекеттік тіркелгеннен кейін он жұмыс күні ішінде Заң департаментіне осы тармақтың 2) тармақшасында көзделген іс-шараның орындалуы туралы мәліметтерді ұсынуды қамтамасыз етсін.

      3. Осы қаулының орындалуын бақылау Қазақстан Республикасының Қаржы нарығын реттеу және дамыту агенттігі Төрағасының жетекшілік ететін орынбасарына жүктелсін.

      4. Осы қаулы алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі.

Қазақстан Республикасының Қаржы нарығын реттеу және дамыту Агенттігінің Төрағасы

М. Абылкасымова