Екiншi деңгейдегi банктердiң және банк операцияларының жекелеген түрлерiн жүзеге асыратын ұйымдардың ақпарат жүйелерiнiң қауiпсiздiгiн қамтамасыз ету жөнiндегi ереженi бекiту туралы

Қазақстан Республикасының Ұлттық Банкі Басқармасының 2001 жылғы 31 наурыздағы N 80 қаулысы Қазақстан Республикасы Әділет министрлігінде 2001 жылғы 18 мамырда тіркелді. Тіркеу N 1517. Күші жойылды - Қазақстан Республикасы Ұлттық Банкі Басқармасының 2018 жылғы 27 наурыздағы № 48 қаулысымен

      Ескерту. Күші жойылды – ҚР Ұлттық Банкі Басқармасының 27.03.2018 № 48 (01.12.2018 бастап қолданысқа енгізіледі) қаулысымен.

      Екiншi деңгейдегi банктердiң және банк операцияларының жекелеген түрлерiн жүзеге асыратын ұйымдардың ақпарат жүйелерiнiң қауiпсiздiгiн қамтамасыз ету жөнiндегi жұмысты жүргiзу тәртiбiн реттеу мақсатында Қазақстан Республикасы Ұлттық Банкiнiң Басқармасы ҚАУЛЫ ЕТЕДI:

      1. Екiншi деңгейдегi банктердiң және банк операцияларының жекелеген түрлерін жүзеге асыратын ұйымдардың ақпарат жүйелерiнiң қауiпсiздiгiн қамтамасыз ету жөнiндегi ереже бекiтiлсiн, Ереже мен осы қаулы Қазақстан Республикасының Әдiлет министрлiгiнде мемлекеттiк тiркелген күннен бастап он төрт күндiк мерзiм өткеннен кейiн күшiне енгiзiлсiн.

      2. Ақпарат технологиясы департаментi (Молчанов С.Н.):

      1) Заң департаментiмен (Шәрiпов С.Б.) бiрлесiп осы қаулыны және Екiншi деңгейдегi банктердiң және банк операцияларының жекелеген түрлерiн жүзеге асыратын ұйымдардың ақпарат жүйелерiнiң қауіпсiздiгiн қамтамасыз ету жөнiндегi ереженi (бұдан әрi - Ереже) Қазақстан Республикасының Әдiлет министрлiгiнде мемлекеттiк тiркеуден өткiзу шараларын қабылдасын;

      2) осы қаулы және Ереже Қазақстан Республикасының Әдiлет министрлiгiнде мемлекеттiк тiркеуден өткiзiлген күннен бастап он күндiк мерзiмде Қазақстан Республикасы Ұлттық Банкiнiң орталық аппаратының барлық бөлiмшелерiне, ұйымдарына және өкiлдiгiне жiберсiн.

      3. Қазақстан Республикасы Ұлттық Банкiнiң аумақтық филиалдарының басшылары осы қаулыны және Ереженi алған күннен бастап төрт күндiк мерзiмде екiншi деңгейдегi банктерге және банк операцияларының жекелеген түрлерiн жүзеге асыратын ұйымдарға - ломбардтар мен айырбастау пункттерiнен басқаларына жiберсiн.

      4. Қазақстан Республикасы Ұлттық Банкiнiң Орталық филиалы (Астана қаласы) (Сейфуллин М.Х.) осы қаулыны және Ереженi алған күннен бастап төрт күндік мерзімде Қазақстан Республикасы Қаржы министрлігінің Қазынашылық Комитетіне жіберсін.

      5. Осы қаулының орындалуын бақылау Қазақстан Республикасының Ұлттық Банкі Төрағасының орынбасарлары Н.Қ. Абдулинаға (2-тармақ бойынша) және Б.Ш. Тәжіяковқа (3 және 4-тармақ бойынша) жүктелсін.

      Ұлттық Банк

      Төрағасы

  Қазақстан Республикасының
 
 
  Ұлттық Банкі Басқармасының
2001 жылғы 31 наурыздағы
N 80 қаулысымен бекітілген
 
 
  Екiншi деңгейдегi банктердiң және банк операцияларының
  жекелеген түрлерiн жүзеге асыратын ұйымдардың ақпарат
  жүйелерiнiң қауiпсiздiгiн қамтамасыз ету жөнiндегi
  ереже
 
  1-тарау. Жалпы ережелер
 

      1. Екiншi деңгейдегi банктер мен банк операцияларының жекелеген түрлерін жүзеге асыратыН ұйымдардың ақпарат жүйелерiнiң қауіпсiздiгiн қамтамасыз ету жөнiндегi ереже (бұдан әрi - Ереже) екiншi деңгейдегi банктер мен банк операцияларының жекелеген түрлерiн жүзеге асыратын ұйымдардың (бұдан әрi - банктiк ұйымдар) ақпарат жүйесi қауiпсiздiгiнiң мақсатын, стратегиясын және жалпы саясатын айқындайды.

      2. Ереже Қазақстан Республикасының нормативтiк құқықтық актiлерiне сәйкес жасалған және ақпарат жүйелерiнiң қауiпсiздiгiне төнетiн қатерлердiң түрлерiн, қорғауға тиiстi ресурстарды, сондай-ақ ұйымдастырушылық және бағдарламалық-техникалық қорғау шараларымен қоса қауiпсiздiк жүйесiн iске асырудың негiзгi бағыттарын анықтайды.

      3. Ереженiң нормалары ломбардтар мен айырбастау пункттерiн қоспағанда, банктiк ұйымдардың қолдануы үшiн мiндеттi.

     

      2-тарау. Ережеде қолданылатын негiзгi ұғымдар

     

      4. Ережеде мынадай ұғымдар қолданылады:

      1) ақпарат қауiпсiздiгi - ақпараттың және оның инфрақұрылымының кездейсоқ немесе әдейi жасалған, табиғи немесе жасанды сипаттағы iс-әрекеттерден, жария болудан, ұрлықтан, жоғалудан, жойылудан, бұрмаланудан, көшiруден, қолдан жасаудан, шек қоюдан және рұқсатсыз кiру салдарынан туындайтын басқа да қауiптерден қорғалуы;

      2) ақпаратты қорғау - ақпарат қауiпсiздiгiн қамтамасыз ететiн iс-шаралар кешенi;

      3) қауiпсiздiк жүйесi - ұйымдастыру шараларының кешенi және ақпаратты қорғаудың бағдарламалық-техникалық құралдары;

      4) зиян келтiретiн бағдарламалық қамтамасыз ету (компьютер вирустары) - орындалатын код жиынтығы, ол (түпнұсқамен iшiнара немесе толық сәйкес келетiн) өз көшiрмелерiн жасауға және оларды пайдаланушымен келiспей-ақ компьютерлiк жүйелердiң, тораптардың түрлi объектiлерiне/ресурстарына енгiзуге қабiлеттi. Мұндайда көшiрме әрi қарай таралу қабiлетiн сақтайды, ақпарат жүйесiнiң және/немесе жабдықтардың қалыпты жұмысын бұзады, көбiнесе ақпарат жүйесiндегi мәлiметтердiң жоғалуына әкелiп соқтырады;

      5) ақпарат жүйелерi - құжаттардың, техникалық құралдар жүйесiнiң және ақпаратты өңдеу тәсiлдерiнiң ұйымдастырылған түрде тәртiпке келтiрiлген жиынтығы;

      6) қауiпсiздiк саясаты - ақпараттың шектеулi таратылуын басқаруды, қорғауды және бөлудi реттейтiн нормалар мен iс жүзiндегi тәсiлдер;

      7) бiрегейлiк - өз ретiнде жалғыз, нақты ақпарат жүйесi шегiнде қайталанбайтын қасиет;

      8) сәйкестендiрушi - субъектiге және/немесе объектiге берiлген және жүйеге және/немесе жүйе ресурстарына тәртiппен кiру рұқсаты үшiн тағайындалған бiрегей дербес код немесе аты;

      9) сәйкестендiру - жүйеге және/немесе сәйкестендiру жүйесiнiң ресурсына кiру рұқсатын алу үшiн ұсынылған жүйеде бар сәйкестендiрушi тiзбенiң сәйкестiгiн беру немесе анықтау;

      10) аутентификация - кiру субъектiсiнiң немесе объектiсiнiң түпнұсқалығын жүйеде көрсетiлiп отырған кiру деректемелерiн анықтау жолымен мақұлдау;

      11) ақпаратты (деректердi, бағдарламалық қамтамасыз етудi, ақпарат хабарларын) жария ету - ақпаратқа рұқсатсыз кiру және алынған мәлiметтердiң кездейсоқ немесе авторсыз әдейi түрде ашып алу нәтижесiнде болған iс-әрекет;

      12) қауiпсiздiк белгiсi - мәлiметтерге қатысты саланың құпиялылығы мен санатының деңгейiнен тұратын ақпараттың жабық болу дәрежесi.

     

      3-тарау. Қауiпсiздiк жүйесiнiң негiзгi мақсаты

     

      5. Қауiпсiздiк жүйесiнiң мақсаты банктiк ұйымдардағы ақпарат жүйесiнiң тұрақты қызмет етуiн, есептеу және телекоммуникациялық құралдардың көмегiмен қаржылық қылмыс жасау мүмкiндiгiнiң алдын алуды, таратылуы шектелген ақпараттың жоғалуына, жария болуына, бұрмалануына және жойылуына жол бермеудi қамтамасыз ету болып табылады.

      6. Банктiк ұйымдардың ақпарат жүйелерiнiң қауiпсiздiк жүйесi мыналарды қамтамасыз етуге тиiс:

      1) ақпараттың құпиялылығы - оны сақтау, өңдеу немесе коммуникациялық арналар арқылы беру кезiнде жария болудан қорғау;

      2) ақпараттың сақталуы - ақпаратты сақтау, өңдеу барысында немесе коммуникациялық арналар бойынша жiберiлген кезде бүлiнуден қорғау, бүтiндiгiн сақтау және рұқсатсыз өзгертуден, толықтырудан, көшiруден немесе өшiруден қорғау;

      3) кiру рұқсаты - ақпараттық хабарларды орта жолдан ұстап қалудан және/немесе деректердiң кешiктiрiлуiнен, сондай-ақ бiрiгiп қолдануға арналған ақпарат жүйесiнiң деректерiн және басқа ресурстарын бiр пайдаланушының қолдануынан қорғау.

     

      4-тарау. Қауiпсiздiк саясаты

     

      7. Әрбiр банктiк ұйымда тиiстi басқару органы бекiтетiн және есептеушi және коммуникациялық ресурстар мен ақпаратты пайдаланудың ең тиiмдi әдiсiн анықтайтын қауiпсiздiк саясаты, сондай-ақ қауiпсiздiк режимiн қамтамасыз ету жөнiндегi iс-шаралар жасалуға тиiс.

      8. Қауiпсiздiк саясаты:

      1) ақпарат қауiпсiздiгi саласындағы жұмыстың жалпы бағыттарын;

      2) ақпарат жүйесiн қорғаудың мақсатын;

      3) ақпарат жүйесiн тұтастай және оның жекелеген бөлiктерiн қорғаудың жалпы талаптарын;

      4) банктiк ұйымның қауiпсiздiк саясатын анықтаушы қажеттi талаптарды жасауға жауапты тұлғаларды бекiтуiн;

      5) банктiк ұйымның ақпарат жүйесiн және оны қорғау жүйесiн құруға және жұмыс iстеуiн қолдауға жауапты бөлiмшенi бекiтуiн анықтайды.

      9. Қауiпсiздiк саясатының мақсаты ақпарат жүйесiнiң қызмет етуiнiң тұрақтылығын және ақпараттың сақталуын қамтамасыз ету болып табылады.

      10. Қауiпсiздiк саясаты банктiк ұйымдардың ақпарат жүйесi үшiн дұрыс деп саналатын тәуекелдердi талдау негiзiнде құрылады және онда:

      1) ақпарат жүйесi құрамының сипаттамасы;

      2) ұйымның ақпарат жүйесiн пайдаланушылардың тiзiмi, олардың ақпаратқа, бағдарламалық және техникалық құралдарға кiру құқықтары мен артықшылықтары (олардың қызмет жағдайы мен атқаратын қызметiнiң сипатына қарай) болады.

     

      5-тарау. Тәуекелдердi бағалау

     

      11. Қауiпсiздiк саясатын қалыптастырудың шешушi құрамдас бөлiгi қауiпсiздiк жүйесi объектiлерiн анықтауға мүмкiндiк беретiн тәуекелдi бағалау және ақпаратты қорғауға қажеттi материалдық ресурстардың қолайлы көлемi болып табылады.

      12. Ақпарат қауiпсiздiгiнiң мәнi болып табылатын тәуекелдердi бағалау үшiн банктiк ұйымдардың лауазымды тұлғалары мен жауапты бөлiмшелерi ақпарат жүйесiнiң қауiпсiздiгiне төнген қатерге: назар салатын қатердiң сипатына (қатер әсер ететiн спектрi) талдау жүргiзедi. Тәуекелдi талдау процесi екi кезеңнен тұрады:

      1) ақпарат жүйесi объектiлерiн сәйкестендiру;

      2) қатердi анықтау.

      13. Ақпарат жүйесi объектiлерiн сәйкестендiру кезiнде қорғауды қажет ететiн объектiлердiң тiзiмi жасалады:

      1) техникалық құралдар - компьютерлер (серверлер және жұмыс станциялары), перифериялық қондырғылар, сыртқы интерфейстер, кабельдiк жүйе, активтi желiлiк жабдық (өткiзгiштер, маршрутизаторлар және экрандар);

      2) бағдарламалық қамтамасыз ету - операциялық жүйелер (желiлiк, серверлiк және клиенттiк), қолданбалы бағдарламалық қамтамасыз ету, бастапқы мәтiндерi, объект модульдерi, қызметтiк бағдарламалар, желiнi және жекелеген жүйелердi басқару құралдары;

      3) ақпарат - өңделетiн, байланыс арналары бойынша берiлетiн, сақталған (архив, резервтiк көшiрме, мәлiметтер базасы, тiркеу журналы және басқа мәлiметтер);

      4) құжаттама - жалпы жүйелiк және қолданбалы бағдарламалық қамтамасыз етуге, компьютерлiк және телекоммуникациялық жабдыққа және басқа техникалық құралдарға, басқару iс-шараларына арналған;

      5) ақпарат тасымалдаушылар - қағаз, магниттi, оптикалық және басқа тасымалдаушылар.

      Сәйкестендiру барысында ақпарат ресурстарына пайдаланушылардың, қызмет көрсететiн қызметкерлердiң және олардың құқықтарының спектрiне тәртiппен кiрудi анықтайтын тiзiм жасалады.

      14. Банктiк ұйымдардың лауазымды тұлғалары қатердi анықтау кезiнде:

      1) қорғауды қажет ететiн объектiлерге бөтен ұйымдар мен тұлғалардың рұқсатсыз кiруiнен;

      2) құпия ақпараттың түрлi сипаттағы өндiрiстiк қызметтi қамтамасыз ететiн және орындау техникалық құралдар арқылы жария болуынан;

      3) пайдаланушылардың, операторлардың, жүйелiк администраторлардың және ақпарат жүйесiне қызмет көрсетушi басқа тұлғалардың байқаусыз жiберген қателерiнiң салдарынан ақпараттың жоғалуынан келетiн болжалды шығынның мөлшерiне бағалау жүргiзуi қажет.

      15. Ақпарат ресурстарына мына жолдармен қатер төнуi мүмкiн:

      1) таратылуы шектелген ақпаратқа рұқсатсыз кiру және алу;

      2) ұйымда немесе құрылымда жұмыс iстейтiн қызметi тiкелей байланысты тұлғаға пара беру;

      3) байланыс құралдары мен жүйелерiнде және есептеу техникаларында айналымдағы ақпаратты байқайтын техникалық құралдардың көмегiмен орта жолдан ұстап қалу, ақпаратты тауып алу және түсіру, ақпаратқа рұқсатсыз кiру және оны өңдеу, беру және сақтау барысында бағдарламалық және саймандық құралдармен әдейi түрде әсер ету;

      4) зиян келтiретiн бағдарламалық қамтамасыз ету арқылы деректердi

     

      және бағдарламалық қамтамасыз етудi бұзу;

      5) таратылуы шектелген ақпаратты (мәлiметтi) авторсыз беру

      және/немесе алу.

      16. Тәуекелдi талдағаннан және қауiпсiздiк саясатын жасағаннан кейiн

      банктiк ұйымның лауазымды тұлғалары тиiмдi және үнемдi қорғау

      механизмдерiне таңдау жүргiзедi және ақпаратты қорғау жоспарын жасайды.

      6-тарау. Ақпаратты қорғау жоспарын iске асыру

      17. Ақпаратты қорғау жоспарына:

      1) ұйымдастырушылық;

      2) бағдарламалық-техникалық шаралар кiредi.

      18. Банктiк ұйымдарда ақпарат жүйелерiнiң тиiмдi қорғау жүйесiн құру үшiн мынадай негiзгi принциптер мен тәсiлдер пайдаланылуы керек:

      1) пайдаланушыларды сәйкестендiру - ақпарат жүйесiн пайдаланушылардың әрқайсысы өзiнiң жеке, айрықша сәйкестендiрушi (тиiстi қосалқы жүйенiң шеңберiнде), немесе бiрнешеуi немесе барлық автоматтандырылған жүйелер үшін айрықша сәйкестендіруші иемденуі тиіс;

      2) кiру рұқсаты бойынша шектеу - пайдаланушыға немесе пайдаланушылар тобына әртүрлi мәлiметке, мәлiметтер тобына немесе ресурстарына кiру рұқсатының тиiстi деңгейi ұсынылады;

      3) қызметкерлердi дайындау - банктiк ұйымдар ақпаратты қорғау жүйесiн басқаруға, пайдалануға немесе қызмет етуiне қатысатын барлық қызметкерлердi мiндеттi кезеңдiк оқытумен қамтамасыз етуi тиiс;

      4) ақпарат жүйесiн орталықтан басқару - банктiк ұйымдардың әрбiр ақпарат жүйесiнде тиiстi өкiммен ақпарат жүйесiнiң қауiпсiздiк басқарушысы тағайындалуы тиiс;

      5) бағдарламалық қамтамасыз етудiң тазалығы - пайдаланылатын қолданбалы және жалпы жүйелiк бағдарламалық қамтамасыз етудiң лицензиясы болуы тиiс, бағдарламалық қамтамасыз ету сертификатталған жеткiзушiлерден алынған немесе Қазақстан Республикасының нормативтiк құқықтық актiлерiне сәйкес сертификатталған болуы керек;

      6) сапалы қызметтi пайдалану - ақпарат жүйелерiн қорғау құралдары мен жүйелерiн жасау және қондыру үшін шарт негiзiнде тек көрсетілген қызмет түрiне лицензиясы (сертификаты) бар мамандандырылған ұйымдар тартылуы тиiс.

     

      &1. Ақпарат қауiпсiздiгiн қамтамасыз етудiң

      ;

      ұйымдастыру шаралары

     

      19. Ұйымдастыру шаралары Қазақстан Республикасының нормативтiк құқықтық актiлерiн және банктiк ұйымның iшкi талаптарын сақтауды, ұйым iшiндегi қауiпсiздiк жағдайын қадағалауды, тәртiп бұзу жағдайларында әрекет ету, ұйымдағы өзгерiстердi ескере отырып қорғау шараларын дамытуды қамтамасыз етуi тиiс.

      20. Қауiпсiздiктi қамтамасыз етудi ұйымдастыру шараларына мынадай

     

      iс-шаралар жатады:

      1) ақпарат жүйесiн нақты қорғау;

      2) ақпарат қауiпсiздiгiне қатысы бар ақпарат жүйелерiнiң жұмысына

      қолдау көрсету;

      3) ақпарат жүйесiнiң деректерiн өзгерту бойынша iс-әрекеттердi

      орындау кезiнде мiндеттердi бөлу және оның қажеттiгiн кем дегенде 2 (екi)

      қызметкердiң растауы (санкция беруi);

      4) әрбiр пайдаланушыға өзiне берiлген лауазымдық мiндеттерiн

      орындауға қажеттi тиiстi кiру құқығын белгiлеу және өзара ауыстыруын

      қамтамасыз ету;

      5) жауапты тұлғаның ақпарат қауiпсiздiгi режимiн бұзуына жол

      бермеу;

      6) қалпына келтiру жұмыстарын жоспарлау.

      21. Нақты қорғау мыналарға бөлiнедi:

      1) кiру рұқсатын нақты басқару;

      2) өртке қарсы қауiпсiздiк шаралары;

      3) қолдау көрсетушi инфрақұрылымды қорғау;

      4) мәлiметтердi орта жолдан ұстап қалудан қорғау, ықшамды жүйелердi

      қорғау.

      22. Ақпарат жүйелерiнiң жұмыс iстеуiне қолдау көрсету жөнiндегi

      iс-шаралар мыналарға бөлiнедi:

      1) пайдаланушыларға қолдау көрсету - ақпарат қауiпсiздiгi мәселелерi бойынша кеңес берудi ұйымдастыру, олардың әдеттегiдей қателерiн анықтау және кең таралған жағдайларға арналған ұсынысы бар ескертпемен қамтамасыз ету;

      2) бағдарламалық қамтамасыз етуге қолдау көрсету - бағдарламалық қамтамасыз етудiң лицензиялық (сертификаттық) тазалығын бақылау;

      3) конфигурациялық басқару - бағдарламалық және техникалық конфигурацияға енгiзiлген өзгертулерге бақылау және белгiлеу жасау;

      4) апат және дүлей күштiң басқа жағдайында ақпарат жүйесiн және

     

      деректердi қалпына келтiру үшiн резервтiк көшiрме жасау;

      5) деректердi тасымалдаушыны басқару - есеп, күтiп ұстау және сақтау

      тәртiбi;

      6) құжаттау - iстiң ағымдағы жағдайының өзектi көрсетiлуi.

      23. Ақпарат жүйесi қауiпсiздiгiнiң режимi бұзылған жағдайда

      банктiк ұйымдардың жауапты тұлғалары:

      1) келтiрiлген зиянды азайту мақсатында шұғыл шараларды орындауға -

      рұқсатсыз кiрген тұлғаны анықтауға және оны қоршауға;

      2) бұзудың жинақталған статистикасына шолу жасауға - келеңсiз

      оқиғаға талдау жасауға, қайталама бұзуды анықтауға, қорғау жүйесiн

      жетiлдiру жөнiнде шаралар әзiрлеуге мiндеттi.

      24. Ақпараттық жүйелердiң жұмыс iстеу қабiлеттiлiгi жоғалғаннан

      кейiн резервтiк көшiру және қалпына келтiру банк ұйымында белгiленген

      талаптармен анықталады.

      &2. Ақпараттық қамтамасыз етудің

      ; бағдарламалық-техникалық шаралары

      25. Банк ұйымын ақпараттық қамтамасыз ету жөнiндегi

      бағдарламалық-техникалық шараларға мына жүйе енуге тиiс:

      1) кiру-алу рұқсатын басқару;

      2) хаттама жасау және техникалық жағдайын тексеру;

      3) деректердi криптографиялық қорғау.

      26. Кiру-алу рұқсатын басқару жүйесi мынадай iс-шаралардың орындалуын

      қамтамасыз етуi тиiс:

      1) деректер, мiндеттер тобының тiзбесiн анықтау және олардың

      құпиялылық деңгейiн белгiлеу;

      2) әрбiр дерек топтарын қорғаудың тәсiлдерi мен iс-шараларын белгiлеу;

      3) ақпарат жүйелерiн пайдаланушылар тобын анықтау және оларды орындайтын қызметтерi бойынша санаттарға бөлу және ақпаратқа кiру рұқсатының деңгейiн белгiлеу;

      4) пайдаланушылардың сәйкестiлiк санаттарының тәртiбiн белгiлеу;

      5) әрбiр "пайдаланушылар санаты - деректер типi" жұптары үшiн кiру рұқсаты санаттарын анықтау;

      6) жүйеге арнайы қондырғылар (жетондар, карталар, электрондық кiлттер) бойынша кiру кезiнде және ұзақтығы сегiз әрiптi-цифрлы символдардан кем емес уақытша әрекет жасайтын парольге пайдаланушыларды сәйкестендiру және дәлме-дәл келтiру;

      7) терминалдарды, персоналды компьютерлердi, компьютерлiк желiлер тораптарын, байланыс арналарын, сыртқы есептеу машиналарын бiрiктiрiлген ерекше қондырғылар бойынша аппараттық сәйкестендiру және дәлме-дәл келтiру;

      8) бағдарламаларды, атаулы дискiлi кеңiстiктердi (логикалық дискiлер томдары, каталогтар, файлдар), жазбаларды, аты және бақылау сомалары бойынша жазбалар жолдарын (парольдер, кiлттер) сәйкестендiру және дәлме-дәл келтiру;

      9) ақпарат ағындарын қауiпсiздiк белгiлерi көмегiмен басқару.

     

      Мұндайда жинақтағыштар құпиялылығының деңгейi оған жазылатын ақпараттың

      құпиялылық деңгейiнен төмен болмауы тиiс.

      27. Пайдаланушыларға, пайдаланушылар тобына, қызмет көрсетушiлерге

      ақпарат жүйесiнiң ресурстарына кiру рұқсаты құқығын белгiлеген сәттен

      бастап жүйенiң бағдарламалық-техникалық құралдармен жүйеде болып жатқан

      оқиғалар туралы ақпараттарды хаттамалау, жинау және жинақтау жүргiзiледi.

      28. Жүйе оқиғаларын хаттамалау барысында мынадай ақпарат жазылады:

      1) оқиғаның күнi мен уақыты;

      2) оқиғаның бастамашысын сәйкестендiрушi;

      3) оқиғаның түрi;

      4) әрекеттiң нәтижесi (сәттi немесе сәтсiз);

      5) сұраушының көзi (терминалдың атауы);

      6) қозғалған объектiлердiң аттары (ашылатын, көшiрiлетiн немесе

      алынып тасталынатын файлдардың);

      7) деректердi қорғау базасына енгiзiлген өзгерiстердi сипаттау

      (объектi қауiпсiздiгiнiң жаңа белгiсi);

      8) оқиға субъектiлерiнiң және объектiлерiнiң қауiпсiздiк белгiсi.

      29. Хаттамалау нәтижелерi келесiде жүйенiң техникалық жағдайын

      тексеру үшiн қолданылады.

      30. Жинақталған ақпаратты бақылау мақсатында техникалық жағдайын

      тексеру, қауiпсiздiктiң бұзылғанын байқауды жеңiлдету, туындау себептерiн

      анықтау үшiн банктiк ұйымдардың лауазымды тұлғаларымен күнделiктi

      жүргiзiледi.

      31. Ақпарат жүйесiнiң қауiпсiздiгiне қатысты және тексерудi талап

      ететiн оқиғаларға мыналар жатады:

      1) жүйеге кiру (сәттi немесе сәтсiз);

      2) жүйеден шығу;

      3) алыстағы жүйемен байланысу;

      4) файлдармен операциялар жасау (ашу, жабу, атауын өзгерту, алып

      тастау, көшiру);

      5) кiру рұқсатының немесе қауiпсiздiктiң басқа белгiлерiнiң деңгейiнiң өзгерiстерi (рұқсат режимi, пайдаланушының ақпарат ресурстарына кiру рұқсатының құқығы).

      32. Ақпарат құпиялылығын қамтамасыз ету мақсатын жүзеге асыру кезiнде криптографиялық құралдармен және/немесе осы ақпаратты шифрлеу жүйелерiмен мыналарды орындау қажет:

      1) деректердi бөлiнетiн тасымалдаушыларға жазу (әртүрлi пайдаланушылар мен пайдаланушылар топтарымен бiрiгiп қолданылатын);

      2) байланыс арналары бойынша хабарлау;

      3) деректердi ұзақ мерзiмдi сақтайтын кез келген алынатын тасымалдаушыларда жұмыстық, архивтiк және резервтiк көшiрмелердi жасау.

      33. Әртүрлi пайдаланушыларға жататын (пайдаланушылар топтарына) ақпаратты шифрлеу (шифрын ашу) үшiн әртүрлi криптографиялық кiлттердi қолдану қажет.

      34. Ақпаратты шифрлеу (шифрын ашу) операциясын тек тиiстi

     

      криптографиялық кiлттерге арнайы рұқсаты бар пайдаланушылар немесе

      пайдаланушылар топтары орындауы мүмкiн.

      35. Шифрлеу (шифрын ашу) жөнiндегi жұмыстарды ұйымдастыру және

      бақылауды мына төмендегiлердi орындайтын банктiк ұйымның жауапты адамы

      жүргiзедi:

      1) криптографиялаудың бағдарламалық құралдарын есепке алу, сақтау

      және қолдау;

      2) криптографиялық кiлттердiң генерациясын, кiлттерi бар ақпарат

      тасымалдаушыларды есепке алу, сақтау және беру;

      3) криптографиялық кiлттердiң иелерiнiң тiзiмiн жүргiзу;

      4) криптографиялық кiлттердiң иелерiнiң қауiпсiздiгiн қажеттi

      нұсқаулармен қамтамасыз ету.

      7-тарау. Ақпарат жүйесiн әзiрлеу iсiнiң

      технологиясы мен құжаттауы

      36. Банктiк ұйымдардағы ақпарат жүйелерiн әзiрлеу, енгiзу және қолдау iсi әзiрлеу кезеңдерiн, өзгерiстер енгiзу тәртiбiн, өнеркәсiптiк пайдалануға қабылдау, тесттен өткiзу және iске қосу, барлық кезеңдердi құжаттауды талап етудi қосуы тиiс.

      37. Банктiк ұйымдардағы ақпарат жүйелерiн әзiрлеу, енгiзу және қолдау iсi Қазақстан Республикасы аумағында қолданылып жүрген банктiк ұйымдарда белгiленген ақпарат технологияларының стандарттары мен талаптарына сәйкес орындалады.

      38. Ақпарат жүйелерiн әзiрлеу банктiк ұйымды басқарушы тиiстi органмен бекiтiлген жүйенiң техникалық тапсырмасының негiзiнде және жобалау кезеңдерiне нақпа-нақ сәйкес орындалуы тиiс.

      39. Өндiрiстiк пайдаланудағы ақпарат жүйесiнiң бағдарламалық қамтамасыз етуi өзгерiссiз қалпында ұсталуы тиiс.

      40. Бағдарламалық қамтамасыз етуге және/немесе ақпарат жүйесiнiң деректерiне рұқсат етiлмеген өзгерiстердi болдырмау, қажет болған кезде бағдарламалық қамтамасыз етуге өзгерiстер енгiзу (кемшiлiктердi жою немесе жүйенi толықтыру үшiн) мақсатында өзгерiстер енгiзу ісi және оны құжаттау Қазақстан Республикасы аумағында қолданылып жүрген банктiк ұйымдарда белгiленген ақпарат технологияларының стандарттары мен талаптарына сәйкес орындалады.

     

      8-тарау. Бақылау және жауапкершiлiк

     

      41. Қауiпсiздiк саясатын әзiрлеудi бақылау және ереже нормаларын сақтауды банктiк ұйымдардың лауазымды адамдары жүзеге асырады.

      42. Қауiпсiздiк саясатының нақты орындалуы үшiн жауапкершiлiк арнайы тағайындалған жауапты орындаушыларға жүктелуi тиiс.

      43. Банктiк ұйымдардың ақпарат қауiпсiздiгiн сақтау үшін жауапкершiлiктi әдеттегiдей лауазымдық мiндеттерiне сәйкес мына төмендегiлерге жүктеледi:

      1) бiрiншi басшылар;

      2) ақпарат жүйесiн және оларды қорғау жүйесiн жасау және жұмыс iстеу қабiлеттiлiгiн қолдауға, қауiпсiздiк саясатын пайдаланушыларға жеткiзудi және пайдаланушылармен байланыстарды қамтамасыз етушi жауапты бөлiмшелердiң басшылары;

      3) қауiпсiздiк саясатын iске асыруға қажеттi ақпарат жүйесiнiң үздiксiз қызмет етуiн және техникалық шаралардың жүзеге асырылуын қамтамасыз етушi ақпарат жүйесi қауiпсiздiгiн басқарушылар;

      4) қауiпсiздiк саясатына сәйкес ақпарат жүйесiн пайдалануға жауапкершiлiк атқаратын пайдаланушылар қауiпсiздiктiң жекелеген аспектiлерi үшiн жауапты адамдардың өкiмдерiне бағынуға, басшыларды барлық күдiктi жағдайлар туралы хабардар етуге мiндеттi.

      44. Банктiк ұйымдардың лауазымды адамдары:

      1) қауiпсiздiк режимiнiң бұзылуынан мүмкiн болатын шығынның мөлшерiн бағалай және тиiмдi қорғау құралдарын таңдай отырып, ақпарат жүйелерiнiң ұрымтал жерлерiнiң тәуекелдерiн талдауды, қорғауды талап ететiн объектiлердi анықтауды жүргiзедi;

      2) төтенше (шұғыл) жағдайларда қауiпсiздiк шараларына және әрекет ету ережелерiне, вирусқа қарсы бақылауға және жүйеге дұрыс кiруге қатысты мәселелерге (тiркеу кезiнде тек өзiнiң сәйкестендiрушiсiн көрсете отырып) айрықша назар аудару арқылы қызметкерлердi оқытуды қамтамасыз етедi;

      3) кез келген қызметкер басқа бөлiмшеге ауысқан жағдайда, демалыста, iссапарда болғанда немесе жұмыстан шыққан жағдайда бұл жөнiнде ақпарат жүйелерiнiң қауiпсiздiгiне жауапты арнайы тағайындалған жауапты орындаушыларды және басқарушыларды дереу хабарлауды қамтамасыз етедi.

      45. Ақпарат жүйесiнiң қауiпсiздiк басқарушылары қорғау жүйесiн күнделiктi басқару және жұмыс iстеу қабiлеттiлiгiне қолдау көрсету және үздiксiз қызмет ету жөнiндегi жұмыстарды орындайды.

      46. Ақпарат жүйесiнiң қауiпсiздiк басқарушылары:

      1) ақпарат жүйелерiнiң ресурстарына кiру рұқсатына арналған сәйкестендiру және дәлме-дәл келтiру iс-шараларының мiндеттiлiгiн қамтамасыз етуге;

      2) қосарланбаған пайдаланушыларға ақпарат ресурстарына кiру рұқсаты құқығын алуға жол бермеу, пайдаланушыларға тек тiркеу нысандарын толтырғаннан кейiн кiру есiмдерiн және бастапқы парольдердi беруге;

      3) ақпарат жүйесi өңдейтiн ақпараттардың резервтiк көшiрмелерiн орындалуын қайталануын бақылауға;

      4) жүйе ресурстарының қорғалу берiктiлiгiне жоспарлы және жоспардан тыс тексеру жүргiзу, қолдағы қауiпсiздiк саясатының тиiмдiлiгi туралы арнайы тағайындалған жауапты орындаушыларды хабардар етiп және олардың қарауына қорғау жүйесiн жетiлдiру жөнiнде ұсыныс енгiзуге;

      5) корпоративтiк желi жабдығының, оның iшiнде арнайы желi аралық бағдарламалық құралдардың қорғанысын қамтамасыз етуге;

      6) қауiп төндiрушi оқиғаларға жедел және тиiмдi жауап қайтару, қауiптiң бетiн қайтару жөнiнде шаралар қабылдауға және бұзғыштарды анықтау, тiркеу және қорғанысты бұзуға тырысу туралы арнайы тағайындалған жауапты орындаушыларға хабарлауға;

      7) күдiктi жағдайларды байқау, зиянды бағдарламалық қамтамасыз етудiң бар екендiгiн және оның ақпарат жүйесi мен оның құрамдас бөлiктерiнiң жұмысына әсерiн байқау мақсатында ақпарат жүйесiнiң қызмет ету барысын қадағалаудың тексерiлген бағдарламалық-техникалық құралдарын пайдалануға;

      8) күнделiктi жалпы ақпарат жүйесiне және айрықша файлдық серверлерге қатысты тiркеу ақпаратын талдауға;

      9) ақпарат қауiпсiздiгi саласындағы жаңалықтарға шолу жасау, олар жөнiнде пайдаланушыларды және арнайы тағайындалған жауапты орындаушыларды хабардар етуге мiндеттi.

      47. Ақпарат жүйесi қауiпсiздiгiнiң басқарушылары оларға берiлген өкілеттікті өз мақсатына немесе зиянкестік пиғылда қолдануға құқығы жоқ.

      48. Банктiк ұйымдардың бөлiмшелерiнiң қызметкерлерi (пайдаланушылар):

      1) ақпарат жүйесiнiң қауiпсiздiгiн қамтамасыз ететiн iшкi талаптарды бiлуге және сақтауға;

      2) өзiнiң ақпараттарының құпиялылығын және бiртұтастығын қамтамасыз етуге арналған қолдағы тiркелген қорғау тетiктерiн пайдалануға;

      3) ұзындығы сегiзден кем емес әрiптi-цифрлы символдары бар жеке парольдердi таңдауға;

      4) жеке парольдерге басқа адамдар кiре алмауын қамтамасыз етуге;

      5) ақпарат жүйесiнiң қауiпсiздiгiнiң басқарушыларын және/немесе арнайы тағайындалған жауапты орындаушыларды қауiпсiздiктiң бұзылғаны және басқа күдiктi жағдайлар туралы хабардар етуге;

      6) ақпарат жүйелерiнiң ресурстарын қорғауда әлсiз жерлерiн байқаған жағдайда бұл жөнiнде ақпарат жүйесiнiң қауiпсiздiгiнiң басқарушыларын және/немесе арнайы тағайындалған жауапты орындаушыларды дереу хабардар етуге;

      7) дұрыс сәйкестендiрiлген және дәлме-дәл келтiрiлген ақпаратты

     

      берудi қамтамасыз етуге;

      8) өз компьютерiнiң қатты дискiсiндегi ақпараттың резервтiк

      көшiрмесiн жасауды қамтамасыз етуге;

      9) қауiптi кодтың кiруiнiң алдын алу үшiн оны байқау және жоюға

      арналған шараларды орындауға;

      10) төтенше жағдайларда әрекет ету нормаларын, апат және басқа да

      дүлей күштiң салдарларын жою кезiнде iс-қимылдардың бiрiздiлiгiн орындауға

      мiндеттi.

      49. Банктiк ұйымдардың бөлiмшелерiнiң қызметкерлерi (пайдаланушылар)

      ақпарат жүйесiнiң деректерiмен қосарланбаған жұмыс iстеуге, басқа

      пайдаланушыларға кедергi келтiруге, басқа пайдаланушылардың атынан жұмыс

      iстеуге әрекет жасауға құқықтары жоқ.

      50. Ұлттық Банк Қазақстан Республикасының қолданылып жүрген

      заңдарында белгіленген өз өкілеттіктері шеңберінде банктік ұйымдардың

      қызметін тексеру кезеңінде Ереже талаптарының орындалуын бақылауды жүзеге

      асырады.

      Ұлттық Банк

      Төрағасы

      Мамандар:

      Икебаева А.Ж.

      Жұманазарова А.Б.

Об утверждении Правил по обеспечению безопасности информационных систем банков второго уровня и организаций, осуществляющих отдельные виды банковских операций

Постановление Правления Национального Банка Республики Казахстан от 31 марта 2001 года N 80 Зарегистрирован в Министерстве юстиции Республики Казахстан 18.05.2001 г. за N 1517. Утратило силу постановлением Правления Национального Банка Республики Казахстан от 27 марта 2018 года № 48 (вводится в действие с 01.12.2018)

      Сноска. Утратило силу постановлением Правления Национального Банка РК от 27.03.2018 № 48 (вводится в действие с 01.12.2018).

      В целях урегулирования порядка проведения работ по обеспечению безопасности информационных систем банков второго уровня и организаций, осуществляющих отдельные виды банковских операций, Правление Национального Банка Республики Казахстан постановляет:

      1. Утвердить прилагаемые Правила по обеспечению безопасности информационных систем банков второго уровня и организаций, осуществляющих отдельные виды банковских операций, и ввести их и настоящее постановление в действие по истечении четырнадцатидневного срока со дня государственной регистрации в Министерстве юстиции Республики Казахстан.

      2. Департаменту информационных технологий (Молчанов С.Н.):

      1) совместно с Юридическим департаментом (Шарипов С.Б.) принять меры к государственной регистрации в Министерстве юстиции Республики Казахстан настоящего постановления и Правил по обеспечению безопасности информационных систем банков второго уровня и организаций, осуществляющих отдельные виды банковских операций (далее - Правила);

      2) в десятидневный срок со дня государственной регистрации в Министерстве юстиции Республики Казахстан довести настоящее постановление и утвержденные Правила до сведения всех подразделений центрального аппарата, филиалов, организаций и представительства Национального Банка Республики Казахстан.

      3. Руководителям территориальных филиалов Национального Банка Республики Казахстан в четырехдневный срок со дня получения настоящего постановления и утвержденных Правил довести их до сведения банков второго уровня и организаций, осуществляющих отдельные виды банковских операций, за исключением ломбардов и обменных пунктов.

      4. Центральному филиалу Национального Банка Республики Казахстан (г. Астана) (Сейфуллин М.Х.) в четырехдневный срок со дня получения настоящего постановления и утвержденных Правил довести их до сведения Комитета Казначейства Министерства финансов Республики Казахстан.

      5. Контроль за исполнением настоящего постановления возложить на заместителей Председателя Национального Банка Республики Казахстан Абдулину Н.К. (по пункту 2) и Таджиякова Б.Ш. (по пунктам 3 и 4).

      Председатель

      Национального Банка

  Утверждены
постановлением Правления
Национального Банка
Республики Казахстан
от 31 марта 2001 года
N 80
 

Правила по обеспечению безопасности
информационных систем банков второго уровня
и организаций, осуществляющих отдельные виды
банковских операций

Глава 1. Общие положения

      1. Правила по обеспечению безопасности информационных систем банков второго уровня и организаций, осуществляющих отдельные виды банковских операций (далее - Правила), определяют цели, стратегию и общую политику безопасности информационных систем банков второго уровня и организаций, осуществляющих отдельные виды банковских операций (далее - банковские организации).

      2. Правила разработаны в соответствии с нормативными правовыми актами Республики Казахстан и определяют виды угроз безопасности информационных систем, ресурсы, подлежащие защите, а также основные направления реализации системы безопасности, включая организационные и программно-технические меры защиты.

      3. Нормы Правил обязательны для применения банковскими организациями, за исключением ломбардов и обменных пунктов.

     

      Глава 2. Основные понятия, используемые в Правилах

     

      4. В Правилах используются следующие понятия:

      1) информационная безопасность - защищенность информации и поддерживающей ее инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, утечки, хищения, утраты, уничтожения, искажения, копирования, подделки, блокирования и других угроз, возникающих в результате несанкционированного доступа;

      2) защита информации - комплекс мероприятий, обеспечивающих информационную безопасность;

      3) система безопасности - комплекс организационных мер и программно-технических средств защиты информации;

      4) зловредное программное обеспечение (компьютерные вирусы) - совокупность выполняемого кода, способная создавать свои копии (частично или полностью совпадающие с оригиналом) и внедрять их в различные объекты/ресурсы компьютерных систем, сетей без ведома пользователя. При этом копии сохраняют способность дальнейшего распространения, нарушают нормальную работу информационной системы и/или оборудования, зачастую приводят к потере данных информационных систем;

      5) информационные системы - организационно упорядоченная совокупность документов, систем технических средств и способов обработки информации;

      6) политика безопасности - нормы и практические приемы, регулирующие управление, защиту и распределение информации ограниченного распространения;

      7) уникальность - единственность в своем роде, свойство неповторяемости в границах конкретной информационной системы;

      8) идентификатор - уникальные персональный код или имя, присвоенные субъекту и/или объекту системы, и предназначенные для регламентированного доступа в систему и/или к ресурсам системы;

      9) идентификация - присвоение или определение соответствия предъявленного для получения доступа в систему и/или к ресурсу системы идентификатора перечню идентификаторов, имеющихся в системе;

      10) аутентификация - подтверждение подлинности субъекта или объекта доступа путем определения соответствия предъявленных реквизитов доступа имеющимся в системе;

      11) раскрытие информации (данных, программного обеспечения, информационных сообщений) - действие, происходящее в результате получения несанкционированного доступа к информации и возможного раскрытия полученных сведений случайным или неавторизованным намеренным образом;

      12) метка безопасности - степень закрытости информации, состоящая из уровня секретности и категории предметной области, к которой относятся данные.

     

      Глава 3. Основные цели системы безопасности

     

      5. Целью системы безопасности является обеспечение устойчивого функционирования информационных систем банковских организаций, предотвращение возможности совершения финансовых преступлений при помощи вычислительных и телекоммуникационных средств, утраты, утечки, искажения и уничтожения информации ограниченного распространения.

      6. Система безопасности информационных систем банковских организаций должна обеспечивать:

      1) конфиденциальность информации - защиту от раскрытия в ходе ее хранения, обработки или при передаче по коммуникационным каналам;

      2) сохранность информации - защиту от повреждений, целостность и защищенность от несанкционированного изменения, дополнения, копирования или удаления в ходе ее хранения, обработки или при передаче по коммуникационным каналам;

      3) доступность - защиту от перехвата информационных сообщений и/или данных с последующей их задержкой, а также от использования одним пользователем данных и иных ресурсов информационной системы, предназначенных для совместного использования.

     

      Глава 4. Политика безопасности

     

      7. В каждой банковской организации должна быть разработана политика безопасности, утверждаемая ее соответствующим органом управления и определяющая наиболее эффективный способ использования вычислительных и коммуникационных ресурсов и информации, а также разработаны процедуры по обеспечению режима безопасности.

      8. Политика безопасности определяет:

      1) общие направления работы в области информационной безопасности;

      2) цель защиты информационной системы;

      3) общие требования к защите информационной системы в целом и отдельным ее частям;

      4) закрепление должностных лиц банковских организаций, ответственных за разработку необходимых требований, определяющих политику безопасности;

      5) закрепление подразделений банковских организаций, ответственных за создание и поддержание работоспособности информационных систем и системы их защиты.

      9. Целью политики безопасности является обеспечение устойчивости функционирования информационной системы и сохранности информации.

      10. Политика безопасности строится на основе анализа рисков, которые признаются реальными для информационной системы банковской организации и содержит:

      1) описание состава информационной системы;

      2) список пользователей информационной системы организации, их права и приоритеты (в зависимости от их служебного положения и характера выполняемых функций) на доступ к информации, программным и техническим средствам.

     

      Глава 5. Оценка рисков

     

      11. Ключевым компонентом формирования политики безопасности является оценка рисков, позволяющая определить объекты системы безопасности и оптимальный объем материальных ресурсов, необходимый для защиты информации.

      12. Для оценки рисков, являющихся предметом информационной безопасности, должностными лицами и ответственными подразделениями банковских организаций проводится анализ угроз безопасности информационных систем: характер принимаемых во внимание угроз (спектр воздействия угроз). Процесс анализа рисков состоит из двух этапов:

      1) идентификация объектов информационных систем;

      2) определение угроз.

      13. При идентификации объектов информационных систем составляется список объектов, нуждающихся в защите:

      1) технические средства - компьютеры (серверы и рабочие станции), периферийные устройства, внешние интерфейсы, кабельная система, активное сетевое оборудование (мосты, маршрутизаторы и экраны);

      2) программное обеспечение - операционные системы (сетевые, серверные и клиентские), прикладное программное обеспечение, исходные тексты, объектные модули, служебные программы, средства управления сетью и отдельными системами;

      3) информация - обрабатываемая, передаваемая по каналам связи, сохраненная (архив, резервная копия, база данных, регистрационный журнал и прочие данные);

      4) документация - на общесистемное и прикладное программное обеспечение, компьютерное и телекоммуникационное оборудование и иные технические средства, на административные процедуры;

      5) носители информации - бумажные, магнитные, оптические и другие носители.

      В процессе идентификации формируется список, определяющий регламентированный доступ к информационным ресурсам - пользователей, обслуживающего персонала и спектр их прав.

      14. Должностными лицами банковских организаций при определении угроз необходимо проведение оценки размера возможного ущерба от:

      1) несанкционированного доступа к объектам, нуждающимся в защите, со стороны сторонних организаций и лиц;

      2) утечки конфиденциальной информации через технические средства обеспечения производственной деятельности различного характера и исполнения;

      3) потери информации вследствие непреднамеренных ошибок пользователей, операторов, системных администраторов и других лиц, обслуживающих информационные системы.

      15. Угрозы информационным ресурсам могут быть реализованы путем:

      1) несанкционированного доступа и съема информации ограниченного распространения;

      2) подкупа лиц, работающих в организации или структурах, непосредственно связанных с их деятельностью;

      3) перехвата информации, циркулирующей в средствах и системах связи и вычислительной технике, с помощью технических средств обнаружения и съема информации, несанкционированного доступа к информации и преднамеренных воздействий на нее программными и инструментальными средствами в процессе обработки, передачи и хранения;

      4) разрушения данных и программного обеспечения зловредным программным обеспечением;

      5) неавторизованной передачи и/или получения информации (сведений) ограниченного распространения.

      16. После анализа рисков и разработки политики безопасности должностными лицами банковских организаций осуществляется выбор эффективных и экономичных защитных механизмов и составляется план защиты информации.

      Глава 6. Реализация плана защиты информации

      17. План защиты информации включает следующие меры:

      1) организационные;

      2) программно-технические.

      18. Для построения эффективных систем защиты информационных систем в банковских организациях должны использоваться следующие основные принципы и подходы:

      1) идентификация пользователей - каждый пользователь информационной системы должен иметь свой индивидуальный, уникальный идентификатор (в рамках соответствующей подсистемы регистрации), либо единый для нескольких или всех автоматизированных систем;

      2) ограничение по доступу - пользователю или группе пользователей предоставляется соответствующий уровень доступа к различным данным, группам данных или ресурсам;

      3) подготовка персонала - банковские организации должны обеспечивать обязательное периодическое обучение всех работников, участвующих в управлении, использовании или функционировании системы защиты информации;

      4) централизованное администрирование информационной системы - в каждой информационной системе банковских организаций соответствующим распоряжением должен быть назначен администратор безопасности информационной системы;

      5) чистота программного обеспечения - используемое прикладное и общесистемное программное обеспечение должно иметь лицензию, приобретаться у сертифицированных поставщиков программного обеспечения или быть сертифицировано в соответствии с нормативными правовыми актами Республики Казахстан;

      6) использование качественных услуг - для разработки и установки средств и систем защиты информационных систем должны привлекаться на договорной основе только специализированные организации, имеющие лицензии (сертификаты) на указанные виды деятельности.

     

      Параграф 1. Организационные меры обеспечения

      информационной безопасности

     

      19. Организационные меры должны обеспечивать соблюдение нормативных правовых актов Республики Казахстан и внутренних требований банковской организации, отслеживание состояния безопасности внутри организации, реагирование на случаи нарушений, развитие защитных мер с учетом изменений в организации.

      20. К организационным мерам обеспечения безопасности относятся следующие мероприятия:

      1) физическая защита информационных систем;

      2) поддержание работоспособности информационных систем, имеющих отношение к информационной безопасности;

      3) разделение обязанностей при выполнении действий по изменению данных информационной системы и подтверждения (санкционирования) их необходимости не менее 2 (двумя) сотрудниками;

      4) установление каждому пользователю соответствующего права доступа,необходимого для выполнения им возложенных должностных обязанностей и обеспечения взаимозаменяемости;

      5) реагирование ответственных лиц на нарушения режима информационной безопасности;

      6) планирование восстановительных работ.

      21. Физическая защита подразделяется на:

      1) физическое управление доступом;

      2) меры противопожарной безопасности;

      3) защита поддерживающей инфраструктуры;

      4) защита от перехвата данных, защита мобильных систем.

      22. Мероприятия по поддержанию работоспособности информационных систем подразделяются на:

      1) поддержку пользователей - организация консультаций по вопросам информационной безопасности, выявление их типичных ошибок и обеспечение памятками с рекомендациями для распространенных ситуаций;

      2) поддержку программного обеспечения - контроль лицензионной (сертифицированной) чистоты программного обеспечения;

      3) конфигурационное управление - контроль и фиксирование изменений, вносимых в программную и техническую конфигурацию;

      4) резервное копирование для восстановления информационной системы и данных в случае аварии и других обстоятельств непреодолимой силы;

      5) управление носителями данных - правила учета, обращения и хранения;

      6) документирование - актуальное отражение текущего состояния дел.

      23. В случае нарушения режима безопасности информационных систем ответственные лица банковских организаций обязаны осуществлять:

      1) выполнение оперативных мероприятий с целью уменьшения наносимого вреда - выявление лица, совершившего несанкционированный доступ и его блокирование;

      2) обзор накопленной статистики нарушений - анализ инцидента,выявление повторных нарушений, разработка мер по усовершенствованию системы защиты.

      24. Резервное копирование и восстановление после потери работоспособности информационной системы определяются требованиями,установленными в банковской организации.

      Параграф 2. Программно-технические меры обеспечения

      информационной безопасности

      25. Программно-технические меры по обеспечению информационной безопасности банковской организации должны включать в себя систему:

      1) управления доступом;

      2) протоколирования и проверки технического состояния;

      3) криптографической защиты данных.

      26. Система управления доступом должна обеспечивать выполнение следующих мероприятий:

      1) определение перечня групп данных, задач и установления им уровня секретности;

      2) установление способов и процедур защиты каждой группы данных;

      3) определение групп пользователей информационных систем и разбиение их на категории по выполняемым функциям и установление им уровней доступа к информации;

      4) установление порядка идентификации категории пользователей;

      5) определение категории доступа для каждой пары "категория пользователей - тип данных";

      6) идентификация и аутентификация пользователей при входе в систему по специальным устройствам (жетонам, картам, электронным ключам) и паролю временного действия длиной не менее восьми буквенно-цифровых символов;

      7) аппаратная идентификация и аутентификация терминалов, персональных компьютеров, узлов компьютерной сети, каналов связи, внешних устройств вычислительных машин по уникальным встроенным устройствам;

      8) идентификация и аутентификация программ, именованных дисковых пространств (томов логических дисков, каталогов, файлов), записей, полей записей по именам и контрольным суммам (паролям, ключам);

      9) управление потоками информации с помощью меток безопасности. При этом уровень конфиденциальности накопителей должен быть не ниже уровня конфиденциальности записываемой на него информации.

      27. С момента установления пользователям, группе пользователей, обслуживающему персоналу прав доступа к ресурсам информационной системы программно-техническими средствами системы ведется протоколирование, сбор и накопление информации о происходящих в системе событий.

      28. В процессе протоколирования событий системы записывается следующая информация:

      1) дата и время события;

      2) идентификатор инициатора события;

      3) тип события;

      4) результат действия (успех или неудача);

      5) источник запроса (имя терминала);

      6) имена затронутых объектов (открываемых, копируемых или удаляемых файлов);

      7) описание изменений, внесенных в базы данных защиты (новая метка безопасности объекта);

      8) метки безопасности субъектов и объектов события.

      29. Результаты протоколирования используются для последующих проверок технического состояния системы.

      30. Проверка технического состояния накопленной информации с целью контроля, проводится должностными лицами банковских организаций ежедневно для облегчения обнаружения нарушения безопасности, выявления причин возникновения.

      31. К числу событий, затрагивающих безопасность информационной системы и требующих проверки, относятся:

      1) вход в систему (успешный или нет);

      2) выход из системы;

      3) обращение к удаленной системе;

      4) операции с файлами (открыть, закрыть, переименовать, удалить, копировать);

      5) изменение уровня доступа или иных атрибутов безопасности (режима доступа, права доступа пользователя к информационным ресурсам).

      32. В целях обеспечения конфиденциальности информации необходимо выполнять криптографическими средствами и/или системами шифрование данной информации при осуществлении:

      1) записи на разделяемые носители данных (совместно используемые различными пользователями и группами пользователей);

      2) передачи по каналам связи;

      3) создании рабочих, архивных и резервных копий на любых съемных носителях данных долговременного хранения.

      33. Для шифрования (расшифровки) информации, принадлежащей различным пользователям (группам пользователей), необходимо использовать различные криптографические ключи.

      34. Операция шифрования (расшифровки) информации может выполняться только пользователями и/или группами пользователей, имеющими специальный доступ к соответствующим криптографическим ключам.

      35. Организация и контроль работ по шифрованию (расшифровке) ведется ответственным лицом банковской организации, который выполняет:

      1) учет, хранение и сопровождение программных средств криптографирования;

      2) генерацию криптографических ключей, учет, хранение и выдачу информационных носителей, содержащих ключи;

      3) ведение списка владельцев криптографических ключей;

      4) обеспечение владельцев криптографических ключей необходимыми инструкциями.

     

      Глава 7. Технология и документирование процесса

      разработки информационных систем

     

      36. Процесс разработки, внедрения и сопровождения информационных систем в банковских организациях должен включать определение этапов разработки, порядка внесения изменений, приема, тестирования и ввода в промышленную эксплуатацию, требования к документированию всех этапов.

      37. Разработка, внедрение и сопровождение информационных систем в банковских организациях выполняется в соответствии с действующим на территории Республики Казахстан стандартами информационных технологий и требованиями, установленными в банковской организации.

      38. Разработка информационных систем должна выполняться на основании технического задания на систему, утвержденного соответствующим органом управления банковской организации, и в строгом соответствии с этапами проектирования.

      39. Программное обеспечение информационной системы, находящейся в промышленной эксплуатации, должно поддерживаться в неизменном виде.

      40. В целях исключения несанкционированного изменения программного обеспечения и/или данных информационной системы при необходимости внесения изменений (для устранения недостатков или доработки системы) в программное обеспечение, процесс внесения изменений и его документирования осуществляются в соответствии с техническим заданием, стандартами информационных технологий, действующими на территории Республики Казахстан, и внутренними требованиями, установленными в банковской организации.

     

      Глава 8. Контроль и ответственность

     

      41. Контроль за разработкой политики безопасности и соблюдением норм Правил осуществляется должностными лицами банковской организации.

      42. Ответственность за реальное исполнение политики безопасности должна возлагаться на специально назначенных ответственных исполнителей.

      43. Ответственность за соблюдение информационной безопасности банковских организаций, как правило в соответствии с должностными обязанностями, несут:

      1) первые руководители;

      2) руководители подразделений, ответственные за создание и поддержание работоспособности информационных систем и системы их защиты, обеспечивающие доведение политики безопасности до пользователей и контакты с пользователями;

      3) администраторы безопасности информационных систем, обеспечивающие непрерывное функционирование информационных систем и реализацию технических мер, необходимых для проведения в жизнь политики безопасности;

      4) пользователи, несущие ответственность за использование информационной системы в соответствии с политикой безопасности, обязаны подчиняться распоряжениям лиц, отвечающих за отдельные аспекты безопасности, ставить в известность руководство обо всех подозрительных ситуациях.

      44. Должностные лица банковских организаций:

      1) осуществляют проведение анализа рисков, выявление объектов, требующих защиты, и уязвимых мест информационных систем, оценивая размер возможного ущерба от нарушения режима безопасности и выбирая эффективные средства защиты;

      2) обеспечивают проведение обучения персонала мерам безопасности и правилам поведения в чрезвычайных (экстренных) ситуациях, путем обращения особого внимания на вопросы, связанные с антивирусным контролем и правильным вхождением в систему (с указанием при регистрации только своего идентификатора);

      3) в случае перевода какого-либо работника в другое подразделение, нахождения в отпуске, в командировке либо увольнении, обеспечивают незамедлительное информирование об этом специально назначенных ответственных исполнителей и администраторов безопасности информационных систем.

      45. Администраторы безопасности информационных систем выполняют работы по ежедневному управлению и поддержанию работоспособности и непрерывного функционирования системы защиты.

      46. Администраторы безопасности информационных систем обязаны:

      1) обеспечивать обязательность процедуры идентификации и аутентификации для доступа к ресурсам информационных систем;

      2) не допускать получения права доступа к информационным ресурсам неавторизованными пользователями, представлять пользователям входные имена и начальные пароли только после заполнения регистрационных форм;

      3) контролировать регулярность выполнения резервного копирования информации, обрабатываемой информационной системой;

      4) проводить плановую и внеплановую проверку надежности защиты ресурсов системы, информировать специально назначенных ответственных исполнителей об эффективности существующей политики безопасности и вносить на их рассмотрение предложения об улучшении системы защиты;

      5) обеспечивать защиту оборудования корпоративной сети, в том числе специальных межсетевых программных средств;

      6) оперативно и эффективно реагировать на события, содержащие угрозу, принимать меры по отражению угрозы и выявлению нарушителей, фиксировать и информировать специально назначенных ответственных исполнителей о попытках нарушения защиты;

      7) использовать проверенные программно-технические средства отслеживания процесса функционирования информационной системы с целью обнаружения подозрительных ситуаций, наличия зловредного программного обеспечения и его влияния на работу информационной системы и ее компонентов;

      8) ежедневно анализировать регистрационную информацию, относящуюся к информационной системе в целом и к файловым серверам, в особенности;

      9) проводить обзор новинок в области информационной безопасности, информировать о них пользователей и специально назначенных ответственных исполнителей.

      47. Администраторы безопасности информационных систем не вправе использовать данные им полномочия в корыстных целях или со злым умыслом.

      48. Работники подразделений банковских организаций (пользователи) обязаны:

      1) знать и соблюдать внутренние требования, обеспечивающие безопасность информационных систем;

      2) использовать доступные зарегистрированные защитные механизмы для обеспечения конфиденциальности и целостности своей информации;

      3) выбирать личные пароли длиной не менее восьми буквенно-цифровых символов;

      4) обеспечивать недоступность личных паролей другим лицам;

      5) информировать администраторов безопасности информационных систем и/или специально назначенных ответственных исполнителей о нарушениях безопасности и иных подозрительных ситуациях;

      6) в случае обнаружения слабых мест в защите ресурсов информационных систем, незамедлительно сообщать об этом администраторам безопасности информационных систем и/или специально назначенным ответственным исполнителям;

      7) обеспечивать представление корректной идентификационной и аутентификационной информации;

      8) обеспечивать резервное копирование информации с жесткого диска своего компьютера;

      9) выполнять процедуры для предупреждения проникновения опасного кода, для его обнаружения и уничтожения;

      10) выполнять нормы поведения в экстренных ситуациях,последовательность действий при ликвидации последствий аварий и иных обстоятельств непреодолимой силы.

      49. Работники подразделений банковских организаций (пользователи) не вправе совершать неавторизованную работу с данными информационных систем, создавать помехи другим пользователям, осуществлять попытку работать от имени других пользователей.

      50. Национальный Банк осуществляет контроль за применением требований Правил в период проверок деятельности банковских организаций в рамках его полномочий, установленных действующим законодательством Республики Казахстан.

Председатель
Национального Банка