On approval of the Rules for assessment of level of protection against information security threats

Resolution of the Board of the Agency of the Republic of Kazakhstan on regulation and development of the financial market dated November 23, 2020 No. 110. Registered in the Ministry of Justice of the Republic of Kazakhstan on November 27, 2020 No. 21685

      Unofficial translation

      This resolution comes into force on January 1, 2021.

      In accordance with subparagraph 1) of part 1 of Article 13-6 of the Law of the Republic of Kazakhstan dated July 4, 2003 "On state regulation, control and supervision of the financial market and financial organizations", the Board of the Agency of the Republic of Kazakhstan for regulation and development of the financial market DECIDES:

      1. To approve the attached Rules for assessment of the level of protection against information security threats. 2. The Cybersecurity Department, in the order established by the legislation of the Republic of Kazakhstan, to ensure:

      1) jointly with the Legal Department, a state registration of this resolution in the Ministry of Justice of the Republic of Kazakhstan;

      2) posting of this resolution on the official Internet resource of the Agency of the Republic of Kazakhstan for regulation and development of the financial market after its official publication;

      3) within ten working days after the state registration of this resolution, submission of information to the Legal Department on implementation of the measure provided for in subparagraph 2) of this paragraph.

      3. The supervising Deputy Chairman of the Agency of the Republic of Kazakhstan for regulation and development of the financial market is authorized to control the execution of this resolution.

      4. This resolution comes into force on January 1, 2021 and is subject to official publication.

      Chairperson of the Agency of the
Republic of Kazakhstan for regulation and
development of financial market 		M. Abylkasymova

  Approved
by the resolution of the
Board of the Agency of the
Republic of Kazakhstan for
regulation and development of
financial market
dated November 23, 2020 № 110

Rules for assessment of level of protection against information security threats

Chapter 1. General provisions

      1. These Rules for assessment of the level of protection against information security threats (hereinafter referred to as the Rules) are developed in accordance with the Law of the Republic of Kazakhstan dated July 4, 2003 "On state regulation, control and supervision of the financial market and financial organizations" and determine the procedure for assessment of the level of protection against information security threats of financial organizations and branches of non-resident banks of the Republic of Kazakhstan, branches of insurance (reinsurance) organizations-non-residents of the Republic of Kazakhstan, branches of insurance brokers-non-residents of the Republic of Kazakhstan (hereinafter - financial organizations).

      2. The following concepts are used in the Rules:

      1) key information systems of a financial organization - information systems of a financial organization necessary for functioning of business processes that implement the main activities of a financial organization;

      2) an authorized body - a state body exercising state regulation, control and supervision of the financial market and financial organizations.

Chapter 2. Procedure for assessment of level of protection against threats

      3. Assessment of the level of protection against information security threats is carried out by financial organizations at the request of the authorized body.

      4. The assessment of the level of protection against information security threats is carried out by the financial organization in accordance with the parameters for assessment of the level of protection against information security threats in accordance with the appendix to the Rules.

      For each parameter specified in column 2 of the appendix to the Rules, the financial organization determines one of the levels of security specified in columns 3, 4, 5 of the appendix to the Rules.

      5. The assessment of the level of protection against information security threats is drawn up by the financial organization in the form of a table indicating the parameters for assessment of the level of protection against information security threats listed in column 2 of the appendix to the Rules, the level of protection and a brief description of their implementation.

      6. The result of assessment of the level of protection against information security threats is approved by the head of the financial organization and provided by the financial organization with a cover letter to the authorized body within a period not exceeding three months from the date of receipt of the request from the authorized body for such an assessment.

      7. The results of assessment of the level of protection against information security threats by the financial organization are accompanied by documents confirming the levels of protection 2 and 3 in accordance with the appendix to the Rules.

      8. The authorized body checks the results of assessment of the level of protection against information security threats provided by the financial organization for compliance with the attached documents and determines the final level of protection of the financial organization for each of the parameters for assessment of the level of protection against information security threats in accordance with the appendix to the Rules.

      9. The final results of assessment of the level of protection of a financial organization against information security threats are brought to the attention of the financial organization by the authorized body.

  Appendix
to the Rules for assessment
of level of protection against
information security threats

Parameters of assessment of the level of protection against information security threats

Parameter of assessment of the level of protection against information security threats

Level of protection 1

Level of protection 2

Level of protection 3

1

2

3

4

5

1.

Financial organization approved and notified all employees of the financial organization, as well as third-party organizations, of a document containing a description of the information security policy.

There is no document describing the information security policy.

An approved document containing a description of the information security policy is available.

An approved document containing a description of the information security policy is available and communicated to all employees and third parties.

2.

Financial organization analyzes and revises the document containing the description of the information security policy at specified intervals or when significant changes occur.

The frequency of revision of the document containing the description of the information security policy has not been approved.

The frequency of the revision of the document containing the description of the information security policy has been approved, there is no documentary evidence of the revision within the approved period.

The frequency of revision of the document containing the description of the information security policy has been approved, there is documentary evidence of the revision within the approved period.

3.

Financial organization approved a document defining the responsibilities of employees and management of the financial organization to ensure information security.

There is no document that defines the responsibilities of managers and employees to ensure information security.

There is an approved document that defines the responsibilities of employees to ensure information security.

There is an approved document defining the responsibilities of managers and employees to ensure information security.

4.

Financial institution approved a non-disclosure agreement, which is signed by all employees of the financial organization who have access to confidential information.

There is no a non-disclosure agreement.

An approved nondisclosure agreement is available, but not signed by all employees with access to confidential information.

There is an approved non-disclosure agreement signed by all employees who have access to confidential information.

5.

Financial organization approved procedures that determine the list of persons and the procedure for their interaction with the competent authorities (for example, law enforcement agencies, fire services, an authorized body).

There are no procedures that govern the interaction of employees with the competent authorities

-

There are documented and approved procedures that govern the interaction of employees with the competent authorities.

6.

Financial organization supports the interaction of its information security employees with professional groups, associations and their participation in conferences (forums) on information security.

There is no interaction between information security employees of a financial organization with professional groups, associations and participation in conferences (forums) on information security.
 

There is no an approved document defining the procedure for interaction of information security employees of a financial organization with professional groups, associations and participation in conferences (forums) on information security, information security employees interact on their own initiative.

There is an approved document defining the procedure for interaction of information security employees of a financial organization with professional groups, associations and participation in conferences (forums) on information security, information security employees are members of professional groups, associations and annually take part in conferences (forums) on information security.

7.

Financial organization arranges external audits of the information security processes of key information systems at regular intervals.

An external audit of information security of key information systems has not been conducted over the past three years.

Over the past three years, an external audit of information security has been carried out for more than half of all key information systems.

Over the past three years, an external audit of information security of all key information systems has been carried out.

8.

Financial organization uses the results of an external audit of information security of key information systems to improve information security.

External audit of information security of key information systems is not carried out.

-

Based on the results of the last external audit of information security of key information systems, measures were taken to improve information security.

9.

Financial organization controls the access of third parties to its information processing facilities.

Third party access to information processing facilities of a financial organization is not controlled.

There is an approved document defining information security when providing third parties with access to information processing facilities.
 

When providing third parties with access to information processing facilities, information security risks are analyzed and measures are developed to reduce the identified risks.

10.

Financial organization has determined information security measures when providing clients with access to the information systems of the financial organization.

Information security measures when providing clients with access to the information systems of a financial institution are not defined.

There is an approved document that defines information security measures when providing clients with access to information systems of a financial institution.

-

11.

Financial organization's agreements with third-party organizations that have access to information or information assets of a financial organization contain information security requirements.

Agreements with third parties that have access to information or information assets of a financial organization do not contain information security requirements.
 

Separate agreements with third parties with access to information or information assets of a financial organization contain information security requirements.
 

All current agreements with third-party organizations that have access to information or information assets of a financial organization contain standardized information security requirements defined by an internal document.

12.

Financial organization approved a document containing a list of key information systems of a financial organization with an indication of the owners.

There is no document containing a list of key information systems of a financial organization.

-

There is a document approved or updated during the last year, which includes a list of key information systems of a financial organization with an indication of the owners.

13.

Financial organization has approved and communicated to all employees of the financial organization a document containing the rules for using e-mail.

There is no document containing the rules for using e-mail
 

-

There is an approved document containing the rules for the use of e-mail, brought to the attention of all employees of the financial organization.
 

14.

Financial organization approved and communicated to all employees of the financial organization a document containing the rules for using the Internet.

There is no document containing the rules for using the Internet.

-

There is an approved document containing the rules for using the Internet, brought to the attention of all employees of the financial organization.

15.

Financial organization approved and communicated to all employees of the financial organization a document containing a list of protected information.

There is no document containing a list of protected information.

-

There is an approved document containing a list of protected information, brought to the attention of all employees of the financial organization.

16.

Financial organization approved and communicated to all employees of the financial organization a document containing a list of personal data.

There is no document containing a list of personal data.

-

There is an approved document containing a list of personal data brought to the attention of all employees of the financial organization.

17.

Financial organization approved and communicated to all employees of the financial organization a document containing the rules for classifying information with an indication of the list of classes of information, principles for assigning information to a certain class, and determining the responsibility of employees for classifying information.

There is no document containing the rules for classifying information

-

There is an approved document containing the rules for classification of information, brought to the attention of all employees of the financial organization.

18.

Financial organization approved and communicated to all employees of the financial organization a document containing the rules for labeling information carriers.

There is no document containing the rules for labeling information carriers

-

There is an approved document containing the rules for labeling information carriers, brought to the attention of all employees of the financial organization.

19.

Financial organization has approved a document that defines the roles and functions of departments or employees of a financial organization in information security processes.

There is no document that defines the roles and functions of departments or employees of a financial organization in information security processes.

An approved document is available that defines the functions of the information security department or information security officer of a financial organization.

There is an approved document that defines the roles and functions in the information security processes of the information security division and other divisions or employees of the financial organization.

20.

Financial organization in labor contracts with employees provides for the responsibility of employees for non-compliance with information security requirements, including liability after dismissal from the financial organization.

Employment contracts with employees do not provide for employee liability for failure to comply with information security requirements

-

Employment contracts with employees provide for employees' liability for non-compliance with information security requirements
 

21.

Employees of a financial organization undergo training or retraining in order to regularly receive information on the requirements of rules and procedures for information security in a financial organization.

Employees are not trained on the requirements of rules and procedures for information security.

Training of employees about the requirements of rules and procedures for information security is carried out irregularly (less than once every six months over the last 3 years).

Employees are trained on the requirements of rules and procedures for information security on a regular basis (at least once every six months over the last 3 years).
 

22.

Financial organization approved a document defining disciplinary liability for violation of rules and procedures on information security

There is no document defining disciplinary responsibility for violation of rules and procedures for information security.

There is an approved document that defines disciplinary liability for violation of rules and procedures for information security.

-

23.

Financial organization provides control over the return of the assets by employees that are in their use upon dismissal from the financial organization.

There is no process for control over the return of assets of a financial organization upon dismissal of employees.

The process of control over the return of assets of a financial organization upon dismissal of employees is carried out manually.

The process of control over the return of assets of a financial organization upon dismissal of employees is partially or fully automated.

24.

Financial organization ensures the revoking of employees' access to information processing facilities upon dismissal.

There is no process of revoking employee’s access to information processing facilities upon dismissal.

The process of revoking employees' access to information processing facilities upon dismissal is carried out manually.

The process of revoking employee’s access to information processing facilities upon dismissal is partially or fully automated.

25.

In a financial organization, physical access to information processing facilities is provided only to authorized employees.

There is no process of limiting physical access to information processing facilities.

The process of limiting physical access to information processing facilities is carried out manually.

The process of limiting physical access to information processing facilities is partially or fully automated.

26.

In a financial organization, server equipment is located in dedicated premises with the provision of a microclimate recommended by the equipment manufacturer.

Server equipment is located in workers' offices.

Server equipment is located in separate rooms where the microclimate is maintained. Microclimate monitoring is not carried out.

Server equipment is located in separate rooms where the microclimate is maintained. Microclimate monitoring is carried out with the notification of responsible workers.

27.

In a financial organization, server equipment is provided with uninterrupted, interference-free power.

There is no interference protection and no backup power supply for server equipment.

There is anti-interference protection and backup power up to 1 hour for server equipment.

There is anti-interference protection and backup power for more than 1 hour for server equipment.

28.

Financial organization protects communication channels that go beyond the physical security perimeter.

Communication channels are not protected.

Encryption of communication channels between stationary offices and devices of a financial organization is carried out.

Encryption of communication channels between stationary offices and devices of a financial organization, as well as communication channels with mobile devices of a financial organization is carried out.

29.

Financial organization destroys information from media before reusing it.
 

Destruction of information from media is not regulated and is not carried out.

Destruction of information from media is regulated and carried out by standard means of operating systems.

Destruction of information from media is regulated and carried out by specialized means of guaranteed destruction of information.

30.

Financial organization controls the movement of equipment across the physical security perimeter.

Control over the movement of equipment across the border of the physical security perimeter is not regulated and is not implemented.

Control over the movement of equipment across the border of the physical security perimeter is regulated and carried out in manual mode.

Control over the movement of equipment across the border of the physical security perimeter is regulated and automated, partially or fully.

31.

Financial organization has defined the rules for managing changes in key information systems.

The rules for managing changes in key information systems are not defined.

The rules for managing changes in key information systems have been defined; the change management process is carried out in manual mode.

The rules for managing changes in key information systems are defined; the change management process is partially or fully automated.

32.

Financial organization uses separate environments for the development, testing and industrial operation of key information systems.
 

Environments for development, testing and industrial operation of key information systems are not separated.

Environments for testing and industrial operation of key information systems are separated.

Environments for development, testing and industrial operation of key information systems are separated.

33.

In a financial organization, workers who develop changes to key information systems do not introduce them into an industrial environment.

Employees combine the responsibilities of developing and introducing changes in key information systems.

Responsibilities for development and introduction of changes in key information systems are divided between employees; developers' access to the industrial environment is not limited.

Responsibilities for development and introduction of changes in key information systems are divided between employees; developers have no access to the industrial environment.

34.

Financial organization installs and regularly updates software that detects malicious code, as well as checks computers and storage media for malicious code.

Malware detection software is not installed on all computers.

Software that detects malicious code is installed on all computers and is not regularly updated or scanned for malicious code on computers and storage media.

Software that detects malicious program code is installed on all computers; regular updates and scanning for the presence of malicious program code of computers and storage media are carried out.

35.

Financial organization regulates and implements processes for creation, verification and testing on a regular basis of backup copies of information and software of key information systems.

Backup copies of information and software of key information systems are not created.

Creation of backup copies of information and software of key information systems is regulated and carried out in accordance with the approved regulations. Backups are not tested.

Creation and testing of backup copies of information and software of key information systems is regulated and carried out in accordance with the approved regulations.

36.

Financial organization maintains and stores audit logs of key information systems, recording user actions, emergency situations and information security events, for use in future investigations and monitoring access control.

Keeping audit logs for key information systems is not regulated, audit logs are maintained with the "default" settings or not.

-

Maintaining, configuring and storing audit logs of key information systems are described in internal approved documents; audit logs are configured, maintained and stored in accordance with the approved documents.
 

37.

Financial organization ensures registration and regular analysis of the actions of privileged users in key information systems

Actions of privileged users in key information systems are not recorded.

Actions of privileged users in key information systems are recorded, but not analyzed on a periodic basis.

Actions of privileged users in key information systems are recorded and analyzed on a periodic basis.

38.

Financial organization synchronizes the system time of key information systems using a single source of accurate time.
 

The system time of key information systems within a financial organization is not synchronized.
 

-

The system time of key information systems within a financial organization is synchronized using a single source of accurate time

39.

In a financial organization, users' access to key information systems is carried out by unique personal identifiers.

No unique personal identifier is required to access one or more key information systems.

-

Access to all key information systems is carried out by unique personal identifiers.

40.

Financial organization uses the functionality of differentiating user access levels in key information systems.

Differentiation of user access levels is used not in all key information systems.

-

Differentiation of user access levels is used in all key information systems.

41.

Financial organization approved and communicated to all employees of the financial organization a document containing the rules for managing user passwords in key information systems.

There is no document containing the rules for managing user passwords in key information systems.

-

There is an approved document containing the rules for managing user passwords in key information systems, communicated to all employees of the financial organization
 

42.

Financial organization approved and communicated to all employees of the financial organization a document containing the rules for periodic review of the current user access rights to key information systems.

There is no document containing the rules for periodic review of the current user access rights to key information systems
 

-

There is an approved document containing the rules for periodic review of the current user access rights to key information systems.
 

43.

Financial organization uses two- or multi-factor authentication to connect users outside the physical security perimeter.

To connect users from outside the physical security perimeter, one factor is used for authentication.


Users connect from outside the physical security perimeter using two- or multi-factor authentication.

44.

The information network of a financial organization is delimited into groups (VLAN).

Delimitation of the information network of a financial organization into groups is not provided.

The information network of a financial organization is delimited into groups according to the functional characteristics of information processing facilities.

The information network of a financial organization is delimited into groups based on the classification of the processed information.

45.

Financial organization uses the functionality of automated password management in key information systems.

Functionality of automated password management is not used in key information systems.

Key information systems use the functionality of self-changing passwords by users, control of periodic password changes.

Key information systems use the functionality of self-changing passwords by users, control of periodic password changes, control of password complexity, control of repeating previous passwords.

46.

Financial organization approved and communicated to all employees of the financial organization a document containing the rules for working in a remote mode.

There is no document containing the rules for working in a remote mode

-

There is an approved document containing the rules for working in a remote mode, brought to the attention of all employees of the financial organization.

47.

Financial organization approved and communicated to all employees of the financial organization a document containing the rules for the use of cryptographic information protection tools

There is no document containing the rules for the use of cryptographic information protection tools
 

-

There is an approved document containing the rules for the use of cryptographic information protection tools, brought to the attention of all employees of a financial organization who have access to cryptographic information protection tools.

48.

Financial organization approved and communicated to all employees of the financial organization a document containing the rules for managing cryptographic keys.

There is no document containing the rules for managing cryptographic keys

-

An approved document is available containing the rules for managing cryptographic keys.

49.

Financial organization provides control over access to the source codes of key information systems.

Access to the source codes of key information systems is not limited

Access to the source codes of key information systems is provided only to developers.

Access to the source codes of key information systems is provided only to developers, information about all changes in the source codes is automatically recorded in the log.

50.

Financial organization analyzes information on technical vulnerabilities of key information systems, assesses the severity of such vulnerabilities and takes measures to eliminate them.

Analysis of information on technical vulnerabilities of key information systems is not carried out.

-

Periodic analysis of information on technical vulnerabilities of key information systems is carried out, the danger of such vulnerabilities is assessed and measures are taken to eliminate them.

51.

Employees of the financial organization are notified of the need for immediate notification of any noticed or suspected information security breaches.

There is no process for notifying employees about the need to report on information security breaches

Employees are periodically notified of the need to report on information security breaches.

Employees are periodically notified of the need to report on information security breaches, and periodic checks of employees' actions are carried out when information security breaches are detected.

52.

Financial organization has approved a document containing procedures for responding to information security incidents.

There is no document containing procedures for responding to information security incidents

-

An approved document containing procedures for responding to information security incidents is available

53.

Financial organization keeps a record of information security incidents and their subsequent analysis.

Information security incidents are not recorded.

Information security incidents are registered, no analysis has been carried out over the past year.

Information security incidents are registered, the results of the analysis over the past year are documented.

54.

Financial organization provides regular penetration testing of the information infrastructure.

Penetration testing of the financial organization's information infrastructure is not carried out.

Penetration testing of the information infrastructure of a financial organization is carried out less than once a year.

Penetration testing of the information infrastructure of a financial organization is carried out at least once a year.

55.

Financial organization regularly analyzes the vulnerabilities of the source codes of key information systems if there is access to such source codes.

Analysis of the source codes of key information systems for vulnerabilities is not carried out.

Analysis of the source codes of key information systems for vulnerabilities is carried out selectively, not for every change in the industrial environment.

Analysis of the source codes of key information systems for vulnerabilities is carried out before each change in the industrial environment.


Ақпараттық қауіпсіздік қатерлерінен қорғалу деңгейін бағалау қағидаларын бекіту туралы

Қазақстан Республикасы Қаржы нарығын реттеу және дамыту агенттігі Басқармасының 2020 жылғы 23 қарашадағы № 110 қаулысы. Қазақстан Республикасының Әділет министрлігінде 2020 жылғы 27 қарашада № 21685 болып тіркелді.

      ЗҚАИ-ның ескертпесі!
      Осы қаулы 01.01.2021 бастап қолданысқа енгізіледі

      "Қаржы нарығы мен қаржы ұйымдарын мемлекеттік реттеу, бақылау және қадағалау туралы" 2003 жылғы 4 шілдедегі Қазақстан Республикасының Заңының 13-6-бабы бірінші бөлігінің 1) тармақшасына сәйкес Қазақстан Республикасы Қаржы нарығын реттеу және дамыту агенттігінің Басқармасы ҚАУЛЫ ЕТЕДІ:

      1. Қоса беріліп отырған Ақпараттық қауіпсіздік қатерлерінен қорғалу деңгейін бағалау қағидалары бекітілсін.

      2. Киберқауіпсіздік басқармасы Қазақстан Республикасының заңнамасында белгіленген тәртіппен:

      1) Заң департаментімен бірлесіп осы қаулыны Қазақстан Республикасының Әділет министрлігінде мемлекеттік тіркеуді;

      2) осы қаулыны ресми жарияланғаннан кейін Қазақстан Республикасы Қаржы нарығын реттеу және дамыту агенттігінің ресми интернет-ресурсына орналастыруды;

      3) осы қаулы мемлекеттік тіркелгеннен кейін он жұмыс күні ішінде Заң департаментіне осы тармақтың 2) тармақшасында көзделген іс-шараның орындалуы туралы мәліметтерді ұсынуды қамтамасыз етсін.

      3. Осы қаулының орындалуын бақылау Қазақстан Республикасының Қаржы нарығын реттеу және дамыту агенттігі Төрағасының жетекшілік ететін орынбасарына жүктелсін.

      4. Осы қаулы 2021 жылғы 1 қаңтардан бастап қолданысқа енгізіледі және ресми жариялануға тиіс.

      Қазақстан Республикасының
Қаржы нарығын реттеу және
дамыту Агенттігінің Төрағасы 		М. Абылкасымова

  Қазақстан Республикасының
Қаржы нарығын реттеу және
дамыту Агенттігінің
Басқармасының
2020 жылғы 23 қарашасы
№ 110 Қаулымен
бекітілді

Ақпараттық қауіпсіздік қатерлерінен қорғалу деңгейін бағалау қағидалары

1-тарау. Жалпы ережелер

      1. Осы Ақпараттық қауіпсіздік қатерлерінен қорғалу деңгейін бағалау қағидалары (бұдан әрі - Қағидалар) "Қаржы нарығы мен қаржы ұйымдарын мемлекеттік реттеу, бақылау және қадағалау туралы" 2003 жылғы 4 шілдедегі Қазақстан Республикасының Заңына сәйкес әзірленді және қаржы ұйымдарының және Қазақстан Республикасының бейрезидент-банктері филиалдарының, Қазақстан Республикасының бейрезидент-сақтандыру (қайта сақтандыру) ұйымдары филиалдарының, Қазақстан Республикасының бейрезидент-сақтандыру брокерлері филиалдарының (бұдан әрі – қаржы ұйымдары) ақпараттық қауіпсіздік қатерлерінен қорғалу деңгейін бағалау тәртібін айқындайды.

      2. Қағидаларда мынадай ұғымдар пайдаланылады:

      1) қаржы ұйымының негізгі ақпараттық жүйелері – қаржы ұйымы қызметінің негізгі бағыттарын іске асыратын бизнес – процестердің жұмыс істеуі үшін қажетті қаржы ұйымының ақпараттық жүйелері;

      2) уәкілетті орган – қаржы нарығы мен қаржы ұйымдарын мемлекеттік реттеуді, бақылауды және қадағалауды жүзеге асыратын мемлекеттік орган.

2-тарау. Ақпараттық қауіпсіздік қатерлерінен қорғалу деңгейін бағалау тәртібі

      3. Ақпараттық қауіпсіздік қатерлерінен қорғалу деңгейін бағалауды қаржы ұйымдары уәкілетті органның сұрау салуы бойынша жүзеге асырады.

      4. Ақпараттық қауіпсіздік қатерлерінен қорғалу деңгейін бағалауды Қағидалардың қосымшасына сәйкес ақпараттық қауіпсіздік қатерлерінен қорғалу деңгейін бағалау өлшемдеріне сәйкес қаржы ұйымы жүзеге асырады.

      Қағидаларға қосымшаның 2-бағанында көрсетілген әрбір өлшем бойынша қаржы ұйымы Қағидаларға қосымшаның 3, 4, 5-бағандарында көрсетілген қорғалу деңгейлерінің бірін айқындайды.

      5. Ақпараттық қауіпсіздік қатерлерінен қорғалу деңгейін бағалауды қаржы ұйымы Қағидаларға қосымшаның 2-бағанында санамаланған ақпараттық қауіпсіздік қатерлерінен қорғалу деңгейін бағалау параметрлерін, қорғалу деңгейін және олардың орындалуының қысқаша сипаттамасын көрсете отырып, кесте түрінде ресімдейді.

      6. Ақпараттық қауіпсіздік қатерлерінен қорғалу деңгейін бағалау нәтижесін қаржы ұйымының басшысы бекітеді және қаржы ұйымы осындай бағалауды жүргізуге уәкілетті органның сұрау салуы алынған күннен бастап үш айдан аспайтын мерзімде уәкілетті органға ілеспе хатпен ұсынады.

      7. Қаржы ұйымы ақпараттық қауіпсіздік қатерлерінен қорғалу деңгейін бағалау нәтижелеріне Қағидаларға қосымшаға сәйкес 2 және 3 қорғалу деңгейлерін растайтын құжаттарды қоса береді.

      8. Уәкілетті орган қаржы ұйымы ұсынған ақпараттық қауіпсіздік қатерлерінен қорғалу деңгейін бағалау нәтижелерінің қоса берілген құжаттарға сәйкестігін тексереді және Қағидаларға қосымшаға сәйкес ақпараттық қауіпсіздік қатерлерінен қорғалу деңгейін бағалау өлшемдерінің әрқайсысы бойынша қаржы ұйымы қорғалуының қорытынды деңгейін айқындайды.

      9. Қаржы ұйымының ақпараттық қауіпсіздік қатерлерінен қорғалу деңгейін бағалаудың қорытынды нәтижелерін уәкілетті орган қаржы ұйымының назарына жеткізеді.

  Ақпараттық қауіпсіздік
қатерлерінен қорғалу деңгейін
бағалау қағидаларына
қосымша

Ақпараттық қауіпсіздік қатерлерінен қорғалу деңгейін бағалау өлшемдері

Ақпараттық қауіпсіздік қатерлерінен қорғалу деңгейін бағалау өлшемі

Қорғалу деңгейі 1

Қорғалу деңгейі 2

Қорғалу деңгейі 3

1

2

3

4

5

1.

Қаржы ұйымы ақпараттық қауіпсіздік саясатының
сипаттамасын қамтитын құжатты бекіткен және қаржы ұйымының, сондай-ақ сыртқы ұйымдардың барлық қызметкерлеріне назарына жеткізген.

Ақпараттық қауіпсіздік саясатының сипаттамасы бар құжат жоқ.

Ақпараттық қауіпсіздік саясатының сипаттамасын қамтитын бекітілген құжат бар.

Ақпараттық қауіпсіздік саясатының сипаттамасын қамтитын және барлық қызметкерлердің, сондай-ақ сыртқы ұйымдардың назарына жеткізілген, бекітілген құжат бар.

2.

Қаржы ұйымы ақпараттық қауіпсіздік саясатының сипаттамасын қамтитын құжатты талдауды және қайта қарауды берілген уақыт аралығынан кейін немесе елеулі өзгерістер туындаған кезде жүзеге асырады.

Ақпараттық қауіпсіздік саясатының сипаттамасы бар құжатты қайта қарау кезеңділігі бекітілмеген.

Ақпараттық қауіпсіздік саясатының сипатын қамтитын құжатты қайта қарау кезеңділігі бекітілген, бекітілген мерзімде құжаттамалық қайта қарау куәліктері жоқ.

Ақпараттық қауіпсіздік саясатының сипатын қамтитын құжатты қайта қарау кезеңділігі бекітілген, бекітілген мерзімде құжаттамалық қайта қарау куәліктері бар.

3.

Қаржы ұйымы қызметкерлерінің және қаржы ұйымы басшылығының ақпараттық қауіпсіздікті қамтамасыз ету жөніндегі міндеттерін айқындаған.

Басшылар мен қызметкерлердің ақпараттық қауіпсіздікті қамтамасыз ету жөніндегі міндеттерін айқындайтын құжат жоқ.

Қызметкерлердің ақпараттық қауіпсіздікті қамтамасыз ету жөніндегі міндеттерін айқындайтын бекітілген құжат бар.

Басшылар мен қызметкерлердің ақпараттық қауіпсіздікті қамтамасыз ету жөніндегі міндеттерін айқындайтын бекітілген құжат бар.

4.

Қаржы ұйымы құпия ақпаратқа қол жеткізе алатын қаржы ұйымының барлық қызметкерлері қол қойған ақпаратты жария етпеу туралы келісімді айқындаған.

Ақпаратты жария етпеу туралы келісім жоқ.

Ақпаратты жария етпеу туралы бекітілген келісім бар, бірақ оған конфиденциалды ақпаратқа рұқсаты бар барлық қызметкерлер қол қоймаған.

Конфиденциалды ақпаратқа рұқсаты бар барлық қызметкерлер қол қойған ақпаратты жария етпеу туралы бекітілген келісім бар.

5.

Қаржы ұйымы адамдардың тізбесін және олардың құзыретті органдармен (мысалы, құқық қорғау органдары, өрт қызметтері, уәкілетті орган) өзара іс-қимыл тәртібін айқындайтын рәсімдерді айқындаған.

Қызметкерлердің құзыретті органдармен өзара іс-қимылын айқындайтын рәсімдер жоқ.

-

Қызметкерлердің құзыретті органдармен өзара іс-қимылын айқындайтын құжатталған және бекітілген рәсімдер бар.

6.

Қаржы ұйымының ақпараттық қауіпсіздік жөніндегі қызметкерлерінің кәсіби топтармен, қауымдастықтармен өзара іс-қимылы және ақпараттық қауіпсіздік бойынша конференцияларға (форумдарға) қатысуы қолдау табады.

Қаржы ұйымының ақпараттық қауіпсіздік жөніндегі қызметкерлерінің кәсіби топтармен, қауымдастықтармен өзара іс-қимылы және ақпараттық қауіпсіздік бойынша конференцияларға (форумдарға) қатысуы жоқ.

Қаржы ұйымының ақпараттық қауіпсіздік жөніндегі қызметкерлерінің кәсіби топтармен, қауымдастықтармен өзара іс-қимыл тәртібін және ақпараттық қауіпсіздік жөніндегі конференцияларға (форумдарға) қатысуды айқындайтын бекітілген құжат жоқ, Ақпараттық қауіпсіздік жөніндегі қызметкерлер өзара іс-қимылды өз бастамасы бойынша жүзеге асырады.

Қаржы ұйымының ақпараттық қауіпсіздік жөніндегі қызметкерлерінің кәсіби топтармен, қауымдастықтармен өзара іс-қимыл жасау және ақпараттық қауіпсіздік жөніндегі конференцияларға (форумдарға) қатысу тәртібін айқындайтын бекітілген құжат бар, ақпараттық қауіпсіздік жөніндегі қызметкерлер кәсіби топтарда, қауымдастықтарда тұрады және жыл сайын ақпараттық қауіпсіздік жөніндегі конференцияларға (форумдарға) қатысады.

7.

Қаржы ұйымы белгілі бір уақыт аралығында негізгі ақпараттық жүйелердің ақпараттық қауіпсіздігін қамтамасыз ету процестерін сыртқы аудитке шығарады.

Соңғы үш жылдың ішінде барлық негізгі ақпараттық жүйелердің ақпараттық қауіпсіздігіне сыртқы аудит жүргізілген жоқ.

Соңғы үш жылдың ішінде барлық негізгі ақпараттық жүйелердің жартысынан астамында ақпараттық қауіпсіздікті қамтамасыз етуге сыртқы аудит жүргізілді.

Соңғы үш жылдың ішінде барлық негізгі ақпараттық жүйелерде ақпараттық қауіпсіздікті қамтамасыз етуге сыртқы аудит жүргізілді.

8.

Қаржы ұйымы негізгі ақпараттық жүйелердің ақпараттық қауіпсіздігін қамтамасыз етудің сыртқы аудитінің нәтижелерін ақпараттық қауіпсіздікті қамтамасыз етуді жақсарту үшін пайдаланады.

Негізгі ақпараттық жүйелердің ақпараттық қауіпсіздігінің сыртқы аудиті жүргізілмейді.

-

Негізгі ақпараттық жүйелердің ақпараттық қауіпсіздіктіқамтамасыз етудің соңғы сыртқы аудитінің нәтижелері бойынша ақпараттық қауіпсіздікті қамтамасыз етуді жақсарту жөніндегі іс-шаралар іске асырылды.

9.

Қаржы ұйымы үшінші тұлғалардың өзінің ақпаратты өңдеу құралдарына қол жеткізуін бақылайды.

Қаржы ұйымының ақпаратты өңдеу құралдарына үшінші тараптардың қол жеткізуі бақыланбайды.

Үшінші тұлғаларға ақпаратты өңдеу құралдарына рұқсат беру кезінде ақпараттық қауіпсіздікті қамтамасыз етуді айқындайтын бекітілген құжат бар

Үшінші тараптарға қолжетімділік берілген кезде ақпараттық қауіпсіздік тәуекелдерін талдау жүзеге асырылады және анықталған тәуекелдерді төмендету бойынша іс-шаралар әзірленеді.

10.

Қаржы ұйымы клиенттерге қаржы ұйымының ақпараттық жүйелеріне қол жеткізуді ұсыну кезіндегі ақпараттық қауіпсіздік шараларын айқындаған.

Клиенттерге қаржы ұйымының ақпараттық жүйелеріне қол жеткізуді ұсыну кезіндегі ақпараттық қауіпсіздік шаралары айқындалмаған.

Клиенттерге қаржы ұйымының ақпараттық жүйелеріне қол жеткізуді ұсыну кезіндегі ақпараттық қауіпсіздік шараларын айқындайтын бекітілген құжат бар.

-

11.

Қаржы ұйымының ақпаратқа немесе қаржы ұйымының ақпараттық активтеріне қолжетімділігі бар сыртқы ұйымдармен жасасқан келісімдерінде ақпараттық қауіпсіздік жөніндегі талаптар қамтылады.

Ақпаратқа немесе қаржы ұйымының ақпараттық активтеріне қол жеткізе алатын сыртқы ұйымдармен жасалған келісімдерде ақпараттық қауіпсіздік жөніндегі талаптар қамтылмайды.

Қаржы ұйымының ақпаратына немесе ақпараттық активтеріне қол жеткізе алатын сыртқы ұйымдармен жасалған жекелеген келісімдерде ақпараттық қауіпсіздік жөніндегі талаптар қамтылады.

Қаржы ұйымының ақпаратына немесе ақпараттық активтеріне қол жеткізе алатын сыртқы ұйымдармен жасалған барлық қолданыстағы келісімдерде ішкі құжатпен айқындалған ақпараттық қауіпсіздік стандартталған талаптары қамтылған.

12.

Қаржы ұйымы иелерін көрсете отырып, қаржы ұйымының негізгі ақпараттық жүйелерінің тізбесін қамтитын құжатты бекіткен.

Қаржы ұйымының негізгі ақпараттық жүйелерінің тізбесі көрсетілген құжат жоқ.

-

Иелерін көрсете отырып, қаржы ұйымының негізгі ақпараттық жүйелерінің тізбесін қамтитын соңғы жыл ішінде бекітілген немесе өзектендірілген құжат бар.

13.

Қаржы ұйымы электрондық поштаны пайдалану қағидаларын қамтитын құжатты бекіткен және қаржы ұйымының барлық қызметкерлерінің назарына жеткізген.

Электрондық поштаны пайдалану қағидалары бар құжат жоқ.

-

Қаржы ұйымының барлық қызметкерлерінің назарына жеткізілген, электрондық поштаны пайдалану қағидаларын қамтитын бекітілген құжат бар.

14.

Қаржы ұйымы интернет желісін пайдалану қағидаларын қамтитын құжатты бекіткен және қаржы ұйымының барлық қызметкерлерінің назарына жеткізген.

Интернет желісін пайдалану ережелерін қамтитын құжат жоқ.

-

Интернет желісін пайдалану қағидаларын қамтитын, қаржы ұйымының барлық қызметкерлерінің назарына жеткізілген, бекітілген құжат бар.

15.

Қаржы ұйымы қорғалатын ақпараттың тізбесін қамтитын құжатты бекіткен және қаржы ұйымының барлық қызметкерлерінің назарына жеткізген.

Қорғалатын ақпараттың тізбесін қамтитын құжат жоқ.

-

Қаржы ұйымының барлық қызметкерлерінің назарына жеткізілген, қорғалатын ақпараттың тізбесін қамтитын бекітілген құжат бар.

16.

Қаржы ұйымы дербес деректер тізбесін қамтитын құжатты бекіткен және қаржы ұйымының барлық қызметкерлерінің назарына жеткізген.

Дербес деректер тізбесі бар құжат жоқ.

-

Қаржы ұйымының барлық қызметкерлерінің назарына жеткізілген, дербес деректердің тізбесін қамтитын бекітілген құжат бар.

17.

Қаржы ұйымы ақпарат сыныптарының тізбесін, ақпаратты белгілі бір сыныпқа жатқызу қағидаттарын, ақпаратты сыныптау бойынша қызметкерлердің жауапкершілігін айқындауды көрсете отырып, ақпаратты сыныптау қағидаларын қамтитын құжатты бекіткен және қаржы ұйымының барлық қызметкерлерінің назарына жеткізген.

Ақпаратты жіктеу қағидалары бар құжат жоқ.

-

Қаржы ұйымының барлық қызметкерлерінің назарына жеткізілген, ақпаратты жіктеу қағидаларын қамтитын бекітілген құжат бар.

18.

Қаржы ұйымы ақпарат тасымалдағыштарды таңбалау қағидаларын қамтитын құжатты бекіткен және қаржы ұйымының барлық қызметкерлерінің назарына жеткізген.

Ақпарат тасымалдағыштарды таңбалау қағидаларын қамтитын құжат жоқ.

-

Қаржы ұйымының барлық қызметкерлерінің назарына жеткізілген, ақпарат жеткізгіштерді таңбалау қағидаларын қамтитын бекітілген құжат бар.

19.

Қаржы ұйымы ақпараттық қауіпсіздікті қамтамасыз ету процестеріндегі қаржы ұйымы бөлімшелерінің немесе қызметкерлерінің рөлі мен функцияларын айқындаған.

Ақпараттық қауіпсіздікті қамтамасыз ету процестеріндегі қаржы ұйымы бөлімшелерінің немесе қызметкерлерінің рөлі мен функцияларын айқындайтын құжат жоқ.

Қаржы ұйымының ақпараттық қауіпсіздік бөлімшесінің немесе ақпараттық қауіпсіздік қызметкерінің функцияларын айқындайтын бекітілген құжат бар.

Қаржы ұйымының ақпараттық қауіпсіздік бөлімшесінің және басқа бөлімшелерінің немесе қызметкерлерінің ақпараттық қауіпсіздікті қамтамасыз ету процестерінде рөлдері мен функцияларын айқындайтын бекітілген құжат бар.

20.

Қаржы ұйымы қызметкерлермен еңбек шарттарында қызметкерлердің ақпараттық қауіпсіздік талаптарын сақтамағаны үшін жауапкершілігін, оның ішінде қаржы ұйымынан шығарылғаннан кейінгі жауапкершілікті көздейді.

Қызметкерлермен еңбек шарттарында қызметкерлердің ақпараттық қауіпсіздік талаптарын сақтамағаны үшін жауапкершілігі көзделмеген.

-

Қызметкерлермен еңбек шарттарында ақпараттық қауіпсіздік талаптарын сақтамағаны үшін қызметкерлердің жауапкершілігі
көзделген.

21.

Қаржы ұйымының қызметкерлері қаржы ұйымында ақпараттық қауіпсіздік жөніндегі қағидалар мен рәсімдердің талаптары туралы тұрақты ақпарат алу мақсатында оқудан немесе қайта даярлаудан өтеді.

Ақпараттық қауіпсіздік қағидалары мен рәсімдерінің талаптары туралы қызметкерлермен оқу жүргізілмейді.

Ақпараттық қауіпсіздік қағидалары мен рәсімдерінің талаптары туралы қызметкерлермен оқу тұрақты түрде жүргізілмейді (соңғы 3 жылда жарты жылда кемінде 1 рет).

Ақпараттық қауіпсіздік қағидалары мен рәсімдерінің талаптары туралы қызметкерлермен оқу тұрақты түрде жүргізіледі (соңғы 3 жылда жарты жылда 1 реттен кем емес).

22.

Қаржы ұйымы ақпараттық қауіпсіздік жөніндегі қағидалар мен рәсімдерді бұзғаны үшін тәртіптік жауапкершілікті белгілеген.

Ақпараттық қауіпсіздік қағидалары мен рәсімдерін бұзғаны үшін тәртіптік жауапкершілікті айқындайтын құжат жоқ.

Ақпараттық қауіпсіздік жөніндегі қағидалар мен рәсімдерді бұзғаны үшін тәртіптік жауапкершілік айқындалған бекітілген құжат бар.

-

23.

Қаржы ұйымы қызметкерлерді жұмыстан шығарған кезде олар пайдаланған активтердің қайтарылуын бақылауды қамтамасыз етеді.

Қызметкерлер жұмыстан босатылған кезде қаржы ұйымының активтерін қайтаруды бақылау процесі жоқ.

Қызметкерлер жұмыстан босатылған кезде қаржы ұйымының активтерін қайтаруды бақылау процесі қол режимінде жүзеге асырылады.

Қызметкерлер жұмыстан босатылған кезде қаржы ұйымының активтерін қайтаруды бақылау процесі ішінара немесе толық автоматтандырылған.

24.

Қаржы ұйымы жұмыстан босатылған кезде қызметкерлердің ақпаратты өңдеу құралдарына қол жеткізуінің күшін жоюды қамтамасыз етеді.

Қызметкерлер жұмыстан босатылған кезде ақпаратты өңдеу құралдарына берілген рұқсаттың күшін жою процесі жоқ.

Қызметкерлер жұмыстан босатылған кезде ақпаратты өңдеу құралдарына берілген рұқсаттың күшін жою процесі қол режимінде жүзеге асырылады.

Қызметкерлер жұмыстан босатылған кезде ақпаратты өңдеу құралдарына берілген рұқсаттың күшін жою процесі ішінара немесе толық автоматтандырылған.

25.

Қаржы ұйымында ақпаратты өңдеу құралдарына жеке қол жетімділік тек уәкілетті қызметкерлерге беріледі.

Ақпаратты өңдеу құралдарына нақты қол жеткізуді шектеу процесі жоқ.

Ақпаратты өңдеу құралдарына нақты қол жеткізуді шектеу процесі қолмен жасау режимінде жүзеге асырылады.

Ақпаратты өңдеу құралдарына нақты қол жеткізуді шектеу процесі ішінара немесе толық автоматтандырылған.

26.

Қаржы ұйымында серверлік жабдық жабдықты өндіруші ұсынған микроклиматты қамтамасыз ете отырып, бөлінген үй-жайларда орналасады.

Серверлік жабдық қызметкерлер жұмыс істейтін кабинеттерде орналастырылады.

Серверлік жабдық микроклимат сақталатын бөлек бөлмелерде орналастырылады. Микроклимат мониторингі жүргізілмейді.

Серверлік жабдық микроклимат сақталатын жеке үй-жайларда орналасады. Жауапты қызметкерлерді хабардар ете отырып, микроклиматты мониторингтеу жүзеге асырылады.

27.

Қаржы ұйымында серверлік жабдық кедергілерден қорғалған үздіксіз қорек көзімен қамтамасыз етіледі.

Кедергілерден қорғаныс және серверлік жабдықтың резервтік қорек көзі жоқ.

Сервер жабдығы үшін кедергіден және резервтік қоректен 1 сағатқа дейін қорғау бар.

Сервер жабдығы үшін кедергіден және резервтік қоректен 1 сағаттан артық қорғау бар.

28.

Қаржы ұйымы қауіпсіздіктің нақты аясы шеңберінен шығатын байланыс арналарын қорғауды жүзеге асырады.

Байланыс арналарын қорғау жүзеге асырылмайды.

Қаржы ұйымының стационарлық офистері мен құрылғылары арасындағы байланыс арналарын шифрлау жүзеге асырылады.

Қаржы ұйымының стационарлық кеңселері мен құрылғылары арасындағы байланыс арналарын, сондай-ақ қаржы ұйымының мобильдік құрылғыларымен байланыс арналарын шифрлау жүзеге асырылады.

29.

Қаржы ұйымы оларды қайталап пайдаланар алдында тасымалдағыштардан алынған ақпаратты жоюды жүзеге асырады.

Тасымалдағыштардан ақпаратты жою регламенттелмеген және жүргізілмейді.

Тасымалдағыштардан ақпаратты жою регламенттелген және операциялық жүйелердің штаттық құралдарымен жүргізіледі.

Тасымалдағыштарда ақпаратты жою регламенттелген және ақпаратты арнайы кепілдендірілген жою құралдарымен жүргізіледі.

30.

Қаржы ұйымы жабдықтың қауіпсіздіктің нақты аясының шекарасы арқылы өтуін бақылауды жүзеге асырады.

Жабдықтың қауіпсіздіктің нақты периметрінің шекарасы арқылы өтуін бақылау регламенттелмеген және жүргізілмейді.

Жабдықтың қауіпсіздіктің нақты периметрінің шекарасы арқылы өтуін бақылау регламенттелген және қолмен жүргізу режимінде жүзеге асырылады.

Жабдықтың қауіпсіздіктің нақты периметрінің шекарасы арқылы өтуін бақылау регламенттелген және ішінара немесе толық автоматтандырылған.

31.

Қаржы ұйымы негізгі ақпараттық жүйелердегі өзгерістерді басқару қағидаларын айқындаған.

Негізгі ақпараттық жүйелердегі өзгерістерді басқару қағидалары анықталмаған.

Негізгі ақпараттық жүйелердегі өзгерістерді басқару қағидалары анықталған, өзгерістерді басқару процесі қолмен жүргізу режимінде жүзеге асырылады.

Негізгі ақпараттық жүйелердегі өзгерістерді басқару қағидалары анықталған, өзгерістерді басқару процесі ішінара немесе толық автоматтандырылған.

32.

Қаржы ұйымы негізгі ақпараттық жүйелерді әзірлеу, тестілеу және өнеркәсіптік пайдалану үшін бөлек орталарды қолданады.

Негізгі ақпараттық жүйелерді әзірлеу, тестілеу және өнеркәсіптік пайдалану орталары бөлінбеген.

Негізгі ақпараттық жүйелерді тестілеу және өнеркәсіптік пайдалану орталары бөлінген.

Негізгі ақпараттық жүйелерді әзірлеу, тестілеу және өнеркәсіптік пайдалану орталары бөлінген.

33.

Қаржы ұйымында негізгі ақпараттық жүйелер үшін өзгерістер әзірлейтін қызметкерлер оларды өнеркәсіптік ортаға енгізуді жүзеге асырмайды.

Қызметкерлер негізгі ақпараттық жүйелерге өзгерістерді әзірлеу және енгізу бойынша міндеттерді қоса атқарады.

Өзгерістерді әзірлеу және негізгі ақпараттық жүйелерге енгізу бойынша міндеттер қызметкерлер арасында бөлінген, өнеркәсіптік ортаға әзірлеушілердің кіруі шектелмеген.

Негізгі ақпараттық жүйелерге өзгерістерді әзірлеу және енгізу бойынша міндеттер қызметкерлер арасында бөлінген, әзірлеушілердің өнеркәсіптік ортаға кіруі шектелген.

34.

Қаржы ұйымы бағдарламалық қамтамасыз етуді орнату және зиянды бағдарламалық кодты анықтаған бағдарламалық қамтамасыз етуді үнемі жаңарту, сондай-ақ компьютерлер мен ақпарат тасымалдағыштарында зиянды бағдарламалық кодтың болуына тексеруді жүзеге асырады.

Зиянды бағдарламалық кодты анықтайтын бағдарламалық қамтамасыз ету барлық компьютерлерде орнатылмаған.

Зиянды бағдарламалық кодты анықтайтын бағдарламалық қамтамасыз ету барлық компьютерлерде орнатылған, компьютерлер мен ақпарат тасымалдағыштардың зиянды бағдарламалық кодын тұрақты жаңарту немесе сканерлеу жүзеге асырылмайды.

Зиянды бағдарламалық кодты анықтайтын бағдарламалық қамтамасыз ету барлық компьютерлерде орнатылған, компьютерлер мен ақпарат тасмыалдағыштарында зиянды бағдарламалық кодтың болуын үнемі жаңарту немесе сканерлеу.

35.

Қаржы ұйымы ақпараттың резервтік көшірмелерін және негізгі ақпараттық жүйелердің бағдарламалық қамтамасыз етілуін тұрақты негізде құру, тексеру және тестілеу бойынша процестерді регламенттейді және жүзеге асырады.

Негізгі ақпараттық жүйелердің ақпараттары мен бағдарламалық қамтамасыз етуінің резервтік көшірмелері жасалмайды.

Ақпараттың және негізгі ақпараттық жүйелердің бағдарламалық қамтамасыз етуінің резервтік көшірмелерін жасау регламенттелген және бекітілген регламентке сәйкес жүзеге асырылады.
Резервтік көшірмелерді тестілеу жүргізілмейді.

Негізгі ақпараттық жүйелердің ақпараттары мен бағдарламалық қамтамасыз етуінің резервтік көшірмелерін жасау және тестілеу регламенттелген және бекітілген регламентке сәйкес жүзеге асырылады.

36.

Қаржы ұйымы болашақта жүргізілетін тексерулерге және қол жеткізуді бақылау мониторингін жүргізуге көмектесу мақсатында пайдаланушылардың іс-әрекеттерін, ақпараттық қауіпсіздіктің штаттан тыс жағдайлары мен оқиғаларын тіркейтін аудит журналдарын жүргізуді және сақтауды жүзеге асырады.

Негізгі ақпараттық жүйелердің аудит журналдарын жүргізу реттелмеген, аудит журналдары "әдеттегі" теңшеулермен жүргізіледі немесе жүргізілмейді.

-

Негізгі ақпараттық жүйелердің аудит журналдарын жүргізу, теңшеу және сақтау ішкі бекітілген құжаттарда сипатталған, аудит журналдары бекітілген құжаттарға сәйкес реттеледі, жүргізіледі және сақталады.

37.

Қаржы ұйымы негізгі ақпараттық жүйелерде артықшылықты пайдаланушылардың іс-қимылдарын тіркеуді және тұрақты талдауды қамтамасыз етеді.

Негізгі ақпараттық жүйелерде артықшылықты пайдаланушылардың іс-әрекеттері тіркелмейді.

Негізгі ақпараттық жүйелердегі артықшылықты пайдаланушылардың іс-әрекеттері тіркеледі, бірақ кезең-кезеңмен талданбайды.

Негізгі ақпараттық жүйелердегі артықшылықты пайдаланушылардың іс-әрекеттері кезең-кезеңмен тіркеледі және талданады.

38.

Қаржы ұйымы нақты уақыттың бірыңғай көзі арқылы негізгі ақпараттық жүйелердің жүйелік уақытын синхрондайды.

Қаржы ұйымы шегінде негізгі ақпараттық жүйелердің жүйелік уақыты синхрондалмайды.

-

Қаржы ұйымы шегіндегі негізгі ақпараттық жүйелердің жүйелік уақыты дәл уақыттың бірыңғай көзі арқылы синхрондалады.

39.

Қаржы ұйымында пайдаланушылардың негізгі ақпараттық жүйелерге қолжетімділігі бірегей дербес сәйкестендіргіштер бойынша жүзеге асырылады.

Бір немесе бірнеше негізгі ақпараттық жүйелерге қол жеткізу үшін бірегей дербес сәйкестендіргіш талап етілмейді.

-

Негізгі ақпараттық жүйелерге қолжетімділік бірегей дербес сәйкестендіргіштер бойынша жүзеге асырылады.

40.

Қаржы ұйымында негізгі ақпараттық жүйелерде пайдаланушылардың қолжетімділік деңгейлерін шектеу функционалы пайдаланылады.

Пайдаланушылардың қол жетімділік деңгейлерін ажырату барлық негізгі ақпараттық жүйелерде қолданылмайды.

-

Пайдаланушылардың қол жетімділік деңгейлерін ажырату барлық негізгі ақпараттық жүйелерде қолданылады.

41.

Қаржы ұйымы негізгі ақпараттық жүйелерде пайдаланушылардың парольдерін басқару қағидаларын қамтитын құжатты бекіткен және қаржы ұйымының барлық қызметкерлерінің назарына жеткізген.

Негізгі ақпараттық жүйелерде пайдаланушылардың парольдерін басқару қағидалары бар құжат жоқ.

-

Қаржы ұйымының барлық қызметкерлеріне жеткізілген, негізгі ақпараттық жүйелерде пайдаланушылардың парольдерін басқару қағидаларын қамтитын бекітілген құжат бар.

42.

Қаржы ұйымында пайдаланушылардың негізгі ақпараттық жүйелерге қолжетімділігінің қолданыстағы құқықтарын кезең-кезеңімен қайта қарау қағидаларын қамтитын құжатты бекіткен және қаржы ұйымының барлық қызметкерлерінің назарына жеткізген.

Негізгі ақпараттық жүйелерде пайдаланушылардың қолжетімділігінің қолданыстағы құқықтарын мерзімді қайта қарау қағидаларын қамтитын құжат жоқ.

-

Негізгі ақпараттық жүйелерде пайдаланушылардың қолжетімділігінің қолданыстағы құқықтарын мерзімді қайта қарау қағидаларын қамтитын бекітілген құжат бар.

43.

Қаржы ұйымында пайдаланушыларды нақты қауіпсіздік аясынан тыс қосу үшін екі немесе көп факторлы аутентификая пайдаланылады.

Пайдаланушыларды нақты қауіпсіздік периметрінен тыс қосу үшін аутентификацияныңбір факторы пайдаланылады.

-

Пайдаланушыларды нақты қауіпсіздік периметрінен тыс қосу үшін екі немесе көп факторлы аутентификация пайдаланылады.

44.

Қаржы ұйымының ақпараттық желісі топтарға бөлінген (VLAN).

Қаржы ұйымының ақпараттық желісін топтарға бөлу көзделмеген.

Қаржы ұйымының ақпараттық желісі ақпаратты өңдеу құралдарының функционалдық белгісі бойынша топтарға бөлінген.

Қаржы ұйымының ақпараттық желісі өңделетін ақпаратты жіктеу негізінде топтарға бөлінген.

45.

Қаржы ұйымында негізгі ақпараттық жүйелерде парольдерді автоматтандырылған басқару функционалы пайдаланылады.

Негізгі ақпараттық жүйелерде парольдерді автоматтандырылған басқару функционалы пайдаланылмайды.

Негізгі ақпараттық жүйелерде пайдаланушылардың парольдерді өз бетінше өзгерту, парольдің мерзімді өзгеруін бақылау функционалы пайдаланылады.

Негізгі ақпараттық жүйелерде пайдаланушылардың парольдерді өз бетінше өзгерту, парольдің мерзімді өзгеруін бақылау, парольдің күрделілігін бақылау, алдыңғы парольдердің қайталануын бақылау функционалы пайдаланылады.

46.

Қаржы ұйымы қашықтан жұмыс жасау режимінде жұмыс істеу қағидаларын қамтитын құжатты бекіткен және қаржы ұйымының барлық қызметкерлерінің назарына жеткізген.

Қашықтан жұмыс жасау режимінде жұмыс істеу қағидалары бар құжат жоқ.

-

Қашықтан жұмыс жасау режимінде жұмыс істеу қағидаларын қамтитын, қаржы ұйымының барлық қызметкерлерінің назарына жеткізілген, бекітілген құжат бар.

47.

Қаржы ұйымы ақпаратты криптографиялық қорғау құралдарын пайдалану қағидаларын қамтитын құжатты бекіткен және қаржы ұйымының барлық қызметкерлерінің назарына жеткізген.

Ақпаратты криптографиялық қорғау құралдарын пайдалану қағидалары бар құжат жоқ.

-

Ақпаратты криптографиялық қорғау құралдарына қолжетімділігі бар қаржы ұйымының барлық қызметкерлерінің назарына жеткізілген, ақпаратты криптографиялық қорғау құралдарын пайдалану қағидаларын қамтитын бекітілген құжат бар.

48.

Қаржы ұйымы криптографиялық кілттерді басқару қағидаларын қамтитын құжатты бекіткен және қаржы ұйымының барлық қызметкерлерінің назарына жеткізген.

Криптографиялық кілттерді басқару қағидалары бар құжат жоқ.

-

Криптографиялық кілттерді басқару қағидалары бар бекітілген құжат бар.

49.

Қаржы ұйымында негізгі ақпараттық жүйелердің бастапқы кодтарына кіруді бақылау қамтамасыз етіледі.

Негізгі ақпараттық жүйелердің бастапқы кодтарына кіру шектелмеген.

Негізгі ақпараттық жүйелердің бастапқы кодтарына тек әзірлеушілер ғана кіре алады.

Негізгі ақпараттық жүйелердің бастапқы кодтарына қол жетімділік тек әзірлеушілерге беріледі, бастапқы кодтардағы барлық өзгерістер туралы ақпарат автоматты түрде журналға жазылады.

50.

Қаржы ұйымы негізгі ақпараттық жүйелердің техникалық осалдықтары туралы ақпаратты талдауды, осындай осалдықтардың қауіптілігін бағалауды және оларды жою жөнінде шаралар қабылдауды қамтамасыз етеді.

Негізгі ақпараттық жүйелердің техникалық осалдықтары туралы ақпаратты талдау жүзеге асырылмайды.

-

Негізгі ақпараттық жүйелердің техникалық осалдықтары туралы ақпаратты кезең-кезеңмен талдау, осындай осалдықтардың қауіптілігін бағалау жүзеге асырылады және оларды жою бойынша шаралар қабылданады.

51.

Қаржы ұйымының қызметкелері ақпараттық қауіпсіздіктің кез келген байқалған немесе болжанатын бұзушылықтары туралы дереу хабардар ету қажеттігі туралы біледі.

Қызметкерлерді ақпараттық қауіпсіздікті бұзушылықтар туралы хабардар ету процесі жоқ.

Қызметкерлер ақпараттық қауіпсіздіктің бұзушылықтары туралы хабарлау қажеттігі туралы кезең-кезеңімен хабарланып отырады.

Қызметкерлер ақпараттық қауіпсіздік бұзушылықтары туралы хабарлау қажеттігі туралы кезең-кезеңімен хабарланып отырады, ақпараттық қауіпсіздік бұзушылықтары анықталған кезде қызметкерлердің іс-әрекеттеріне кезең-кезеңімен тексеру жүргізіліп отырады.

52.

Қаржы ұйымы ақпараттық қауіпсіздіктің оқыс оқиғаларына ден қою рәсімдерін қамтитын құжатты бекіткен.

Ақпараттық қауіпсіздіктің оқыс оқиғаларына ден қою рәсімдері қамтылған құжат жоқ.

-

Ақпараттық қауіпсіздіктің оқыс оқиғаларына ден қою рәсімдері қамтылған, бекітілген құжат бар.

53.

Қаржы ұйымы ақпараттық қауіпсіздіктің оқыс оқиғаларын тіркеуді және оларды кейіннен талдауды жүргізеді.

Ақпараттық қауіпсіздіктің оқыс оқиғаларын тіркеу жүргізілмейді.

Ақпараттық қауіпсіздіктің оқыс оқиғаларын тіркеу жүргізіледі,
өткен жыл ішінде талдау жүргізілген жоқ.

Ақпараттық қауіпсіздіктің оқыс оқиғаларын тіркеу жүргізіледі,
өткен жыл ішінде талдау нәтижелері құжатпен бекітілді.

54.

Қаржы ұйымы ақпараттық инфрақұрылымның енуін тұрақты тестілеуді қамтамасыз етеді.

Қаржы ұйымының ақпараттық инфрақұрылымының енуін тестілеу жүзеге асырылмайды.

Қаржы ұйымының ақпараттық инфрақұрылымының енуін тестілеу жылына бір реттен кем жүзеге асырылады.

Қаржы ұйымының ақпараттық инфрақұрылымының енуін тестілеу жылына кемінде бір рет жүзеге асырылады.

55.

Қаржы ұйымы негізгі ақпараттық жүйелердің бастапқы кодтарының осалдықтарына осындай бастапқы кодтарға қолжетімділік болған кезде талдауды тұрақты түрде жүзеге асырады.

Негізгі ақпараттық жүйелердің бастапқы кодтарын осалдыққа талдау жүзеге асырылмайды.

Негізгі ақпараттық жүйелердің бастапқы кодтарын осалдыққа талдау өнеркәсіптік ортадағы әрбір өзгеріс бойынша емес, ішінара жүзеге асырылады.

Негізгі ақпараттық жүйелердің бастапқы кодтарын осалдыққа талдау өнеркәсіптік ортадағы әрбір өзгеріс алдында жүзеге асырылады.