Сақтандыру (қайта сақтандыру) ұйымында сақталатын деректерге санкцияланбаған қол жеткізуден ақпараттың сақталуын және қорғалуын қамтамасыз ететін қауіпсіз жұмысты ұйымдастыруға, сондай-ақ сақтандыру (қайта сақтандыру) ұйымының киберқауіпсіздігіне қойылатын талаптарды бекіту туралы

Қазақстан Республикасы Ұлттық Банкі Басқармасының 2018 жылғы 30 шiлдедегi № 164 қаулысы. Қазақстан Республикасының Әділет министрлігінде 2018 жылғы 9 тамызда № 17289 болып тіркелді.

      РҚАО-ның ескертпесі!
      Осы қаулы 01.01.2019 ж. бастап қолданысқа енгізіледі

      "Сақтандыру қызметі туралы" Қазақстан Республикасының Заңына сәйкес Қазақстан Республикасы Ұлттық Банкінің Басқармасы ҚАУЛЫ ЕТЕДІ:

      Ескерту. Кіріспе жаңа редакцияда - ҚР Қаржы нарығын реттеу және дамыту агенттігі Басқармасының 29.08.2024 № 73 (алғашқы ресми жарияланған күнінен кейін күнтізбелік алпыс күн өткен соң қолданысқа енгізіледі) қаулысымен.

      1. Қоса беріліп отырған Сақтандыру (қайта сақтандыру) ұйымында сақталатын деректерге санкцияланбаған қол жеткізуден ақпараттың сақталуын және қорғалуын қамтамасыз ететін қауіпсіз жұмысты ұйымдастыруға, сондай-ақ сақтандыру (қайта сақтандыру) ұйымының киберқауіпсіздігіне қойылатын талаптар бекітілсін.

      2. Банктік емес қаржы ұйымдарын реттеу департаменті (Көшербаева А.М.) Қазақстан Республикасының заңнамасында белгіленген тәртіппен:

      1) Заң департаментімен (Сәрсенова Н.В.) бірлесіп осы қаулыны Қазақстан Республикасының Әділет министрлігінде мемлекеттік тіркеуді;

      2) осы қаулы мемлекеттік тіркелген күннен бастап күнтізбелік он күн ішінде оның қазақ және орыс тілдеріндегі қағаз және электрондық түрдегі көшірмесін "Республикалық құқықтық ақпарат орталығы" шаруашылық жүргізу құқығындағы республикалық мемлекеттік кәсіпорнына ресми жариялау және Қазақстан Республикасы нормативтік құқықтық актілерінің эталондық бақылау банкіне енгізу үшін жіберуді;

      3) осы қаулыны ресми жарияланғаннан кейін Қазақстан Республикасы Ұлттық Банкінің ресми интернет-ресурсына орналастыруды;

      4) осы қаулы мемлекеттік тіркелгеннен кейін он жұмыс күні ішінде Заң департаментіне осы қаулының осы тармағының 2), 3) тармақшаларында және 3-тармағында көзделген іс-шаралардың орындалуы туралы мәліметтерді ұсынуды қамтамасыз етсін.

      3. Қаржылық қызметтерді тұтынушылардың құқықтарын қорғау және сыртқы коммуникациялар басқармасы (Терентьев А.Л.) осы қаулы мемлекеттік тіркелгеннен кейін күнтізбелік он күн ішінде оның көшірмесін мерзімді баспасөз басылымдарында ресми жариялауға жіберуді қамтамасыз етсін.

      4. Осы қаулының орындалуын бақылау Қазақстан Республикасының Ұлттық Банкі Төрағасының орынбасары Ж.Б. Құрмановқа жүктелсін.

      5. Осы қаулы 2019 жылғы 1 қаңтардан бастап қолданысқа енгізіледі және ресми жариялануға тиіс.

Ұлттық Банк Төрағасы

Д. Ақышев

Қазақстан Республикасы Ұлттық Банкі Басқармасының 2018 жылғы 30 шілдедегі № 164 қаулысымен бекітілген

Сақтандыру (қайта сақтандыру) ұйымында сақталатын деректерге санкцияланбаған қол жеткізуден ақпараттың сақталуын және қорғалуын қамтамасыз ететін қауіпсіз жұмысты ұйымдастыруға, сондай-ақ сақтандыру (қайта сақтандыру) ұйымының киберқауіпсіздігіне қойылатын талаптар

1-тарау. Жалпы ережелер

      1. Осы Сақтандыру (қайта сақтандыру) ұйымында сақталатын деректерге санкцияланбаған қол жеткізуден ақпараттың сақталуын және қорғалуын қамтамасыз ететін қауіпсіз жұмысты ұйымдастыруға, сондай-ақ сақтандыру (қайта сақтандыру) ұйымының киберқауіпсіздігіне қойылатын талаптар (бұдан әрі – Талаптар) "Сақтандыру қызметі туралы" Қазақстан Республикасының Заңына сәйкес әзірленді және сақтандыру (қайта сақтандыру) ұйымында сақталатын деректерге санкцияланбаған қол жеткізуден ақпараттың сақталуын және қорғалуын қамтамасыз ететін қауіпсіз жұмысты ұйымдастыруға, сондай-ақ сақтандыру (қайта сақтандыру) ұйымының киберқауіпсіздігіне қойылатын талаптарды белгілейді.

      Ескерту. 1-тармақ жаңа редакцияда - ҚР Қаржы нарығын реттеу және дамыту агенттігі Басқармасының 29.08.2024 № 73 (алғашқы ресми жарияланған күнінен кейін күнтізбелік алпыс күн өткен соң қолданысқа енгізіледі) қаулысымен.

      2. Талаптарда мынадай ұғымдар пайдаланылады:

      1) ақпараттық актив - ақпараттың және оны сақтауға және (немесе) өңдеуге пайдаланылатын ақпараттық-коммуникациялық инфрақұрылым объектісінің жиынтығы;

      2) ақпараттық-коммуникациялық инфрақұрылым объектілері – сақтандыру (қайта сақтандыру) ұйымының ақпараттық жүйелері, технологиялық платформалар, аппараттық-бағдарламалық кешендер, телекоммуникация желілері, сондай-ақ техникалық құралдардың үздіксіз жұмыс істеуін қамтамасыз ету және ақпараттық қауіпсіздік жүйесі;

      3) ақпараттық-коммуникациялық инфрақұрылым (бұдан әрі - ақпараттық инфрақұрылым) - электрондық ақпараттық ресурстарды қалыптастыру және оларға қолжетімділік беру мақсатында технологиялық ортаның жұмыс істеуін қамтамасыз етуге арналған ақпараттық-коммуникациялық инфрақұрылым объектілерінің жиынтығы;

      4) ақпараттық қауіпсіздік - электрондық ақпараттық ресурстардың, ақпараттық жүйелердің және ақпараттық инфрақұрылымның сыртқы және ішкі қауіптерден қорғалу жай-күйі;

      5) ақпараттық қауіпсіздік қатері - ақпараттық қауіпсіздіктің оқыс оқиғаларының пайда болуының алғышарттарын туындататын жағдайлардың және факторлардың жиынтығы;

      6) ақпараттық қауіпсіздікті қамтамасыз ету – сақтандыру (қайта сақтандыру) ұйымының ақпараттық активтерінің конфиденциалдылық, тұтастық және қолжетімділік күйін ұстап тұруға бағытталған процесс;

      7) ақпараттық қауіпсіздіктің оқыс оқиғасы - ақпараттық инфрақұрылымның немесе оның жекелеген объектілерінің жұмысында жеке немесе сериялық туындайтын, олардың тиісінше жұмыс істеуіне қауіп келтіретін іркілістер және (немесе) сақтандыру (қайта сақтандыру) ұйымының электрондық ақпараттық ресурстарын заңсыз алу, көшіру, тарату, модификациялау, жою немесе бұғаттауға арналған талаптар;

      8) деректерді өңдеу орталығы – сақтандыру (қайта сақтандыру) ұйымының ақпараттық инфрақұрылымының серверлік және коммуникациялық жабдығы орналасатын арнайы бөлінген үй-жай;

      9) кіру - ақпараттық активтерді пайдалану мүмкіндігі;

      10) резервтік көшірме – қажет болған жағдайда оларды түпнұсқада немесе жаңадан орналастырылған орнында қалпына келтіруге арналған ақпарат тасымалдағыштағы деректер көшірмесі;

      11) сақтандыру (қайта сақтандыру) ұйымының ақпараттық жүйесі – сақтандыру (қайта сақтандыру) ұйымының және оның клиенттерінің деректері сақталатын және өңделетін ақпараттық жүйе;

      12) технологиялық есептік жазба - ақпарат жүйесіндегі ақпараттық жүйелердің арасында бірегейлендіру жүргізуге арналған есептік жазба;

      13) уәкілетті орган - қаржы нарығын және қаржы ұйымдарын реттеу, бақылау мен қадағалау жөніндегі уәкілетті орган;

      14) шабуыл – кіруді жою, ашу, өзгерту, шектеу, рұқсатсыз кіруді алу, ұрлау немесе ақпараттық активті рұқсатсыз пайдалану әрекеті.

2-тарау. Сақтандыру (қайта сақтандыру) ұйымында сақталатын деректерге санкцияланбаған қол жеткізуден ақпараттың сақталуын және қорғалуын қамтамасыз ететін қауіпсіз жұмысты ұйымдастыруға, сондай-ақ сақтандыру (қайта сақтандыру) ұйымының киберқауіпсіздігіне қойылатын талаптар

      3. Сақтандыру (қайта сақтандыру) ұйымы ақпараттық қауіпсіздікті қамтамасыз ету барысын басқаруға арналған сақтандыру (қайта сақтандыру) ұйымын жалпы басқару жүйесінің бөлігі болып табылатын ақпараттық қауіпсіздікті басқару жүйесін (бұдан әрі - ақпараттық қауіпсіздікті басқару жүйесі) құру арқылы сақтандыру (қайта сақтандыру) ұйымында сақталатын деректерге санкцияланбаған қол жеткізуден ақпараттың сақталуын және қорғалуын қамтамасыз ететін қауіпсіз жұмысты, сондай-ақ сақтандыру (қайта сақтандыру) ұйымының киберқауіпсіздігін ұйымдастырады.

      4. Ақпараттық қауіпсіздікті басқару жүйесі сақтандыру (қайта сақтандыру) ұйымының ақпараттық активтерінің қорғалуын қамтамасыз етеді.

      5. Сақтандыру (қайта сақтандыру) ұйымы ақпараттық қауіпсіздікті басқару жүйесінің жұмыс істеуін, оның дамуы мен жақсартылуын қамтамасыз етеді.

      6. Сақтандыру (қайта сақтандыру) ұйымының ақпараттық қауіпсіздікті басқару жүйесінің қатысушылары:

      1) басқару органы;

      2) атқарушы орган;

      3) ақпараттық қауіпсіздік бөлімшесі;

      4) ақпараттық технологиялар бөлімшесі;

      5) қауіпсіздік бөлімшесі;

      6) қызметкерлермен жұмыс жүргізу бөлімшесі;

      7) заң бөлімшесі;

      8) комплаенс-бақылау бөлімшесі;

      9) ішкі аудит бөлімшесі.

      Осы тармақтың 3), 4), 5), 6), 7), 8) және 9) тармақшаларында көрсетілген бөлімшелердің функцияларын жауапты қызметкерлердің жүзеге асыруына рұқсат етіледі.

      7. Сақтандыру (қайта сақтандыру) ұйымы ақпараттық қауіпсіздікті басқару жүйесін құру және оның жұмыс істеуі кезінде ақпараттық қауіпсіздік және ақпараттық технологиялар бөлімшелерінің тәуелсіздігін оларды сақтандыру (қайта сақтандыру) ұйымының атқарушы органының әртүрлі мүшелеріне немесе сақтандыру (қайта сақтандыру) ұйымының атқарушы органының тікелей басшысына бағыну арқылы қамтамасыз етеді.

      8. Сақтандыру (қайта сақтандыру) ұйымының басқару органы ақпараттық қауіпсіздік саясатын бекітеді, онда мыналар:

      1) ақпараттық қауіпсіздікті басқару жүйесін құрудың мақсаттары, міндеттері және негізгі қағидаттары;

      2) сақтандыру (қайта сақтандыру) ұйымының ақпараттық жүйелерінде жасалатын, сақталатын және өңделетін ақпаратқа кіруді және ақпараттың және оған кірудің мониторингін ұйымдастыруға қойылатын талаптар;

      3) ақпараттық қауіпсіздіктің оқыс оқиғалары туралы ақпаратты жинауды, шоғырландыруды және сақтауды жүзеге асыруға қойылатын талаптар;

      4) ақпараттық қауіпсіздікті қамтамасыз ету бойынша қызметке мониторинг жүзеге асыруға қойылатын талаптар;

      5) ақпараттық қауіпсіздіктің оқыс оқиғалары туралы ақпаратқа талдау жүргізуге қойылатын талаптар;

      6) сақтандыру (қайта сақтандыру) ұйымы қызметкерлерінің өздеріне жүктелген функционалдық міндеттерді атқару кезінде ақпараттық қауіпсіздікті қамтамасыз етуге жауапкершілігі айқындалады.

      9. Сақтандыру (қайта сақтандыру) ұйымының басқару органы қорғалатын ақпараттың тізбесін, оның ішінде сақтандыру құпиясы, қызметтік, коммерциялық немесе өзге де заңмен қорғалатын құпия болып табылатын мәліметтер туралы ақпаратты (бұдан әрі - қорғалатын ақпарат) қамтитын тізбені және қорғалатын ақпаратпен жұмыс тәртібін бекітеді.

      10. Сақтандыру (қайта сақтандыру) ұйымының басқару органы сақтандыру (қайта сақтандыру) ұйымының ақпараттық қауіпсіздікті басқару жүйесінің жай-күйін бақылауды жүзеге асырады.

      11. Сақтандыру (қайта сақтандыру) ұйымының атқарушы органы ақпараттық қауіпсіздікті қамтамасыз ету процесін регламенттейтін сақтандыру (қайта сақтандыру) ұйымының ішкі құжаттарын, қарау сақтандыру (қайта сақтандыру) ұйымының ішкі құжаттарында айқындалатын тәртібі мен кезеңділігін бекітеді.

      12. Ақпараттық қауіпсіздік бөлімшесі сақтандыру (қайта сақтандыру) ұйымы ақпаратының конфиденциалдылығын, тұтастығын және қолжетімділігін қамтамасыз ету мақсатында мынадай функцияларды жүзеге асырады:

      1) ақпараттық қауіпсіздікті басқару жүйесін құрады, сақтандыру (қайта сақтандыру) ұйымы бөлімшелерінің ақпараттық қауіпсіздікті және қауіптерді анықтау және талдау, шабуылдарға қарсы іс-қимыл жасау және ақпараттық қауіпсіздіктің оқыс оқиғаларын тергеу жөніндегі іс-шараларды қамтамасыз ету бойынша қызметін үйлестіруді және бақылауды жүзеге асырады;

      2) сақтандыру (қайта сақтандыру) ұйымының ақпараттық қауіпсіздік саясатын әзірлейді;

      3) сақтандыру (қайта сақтандыру) ұйымының ақпараттық қауіпсіздікті қамтамасыз ету процесін әдіснамалық қолдауын қамтамасыз етеді;

      4) өз құзыреті шегінде сақтандыру (қайта сақтандыру) ұйымының ақпараттық қауіпсіздігін басқарудың, қамтамасыз етудің және бақылаудың әдістерін, құралдарын және тетіктерін таңдауды, енгізуді және қолдануды жүзеге асырады;

      5) ақпараттық қауіпсіздіктің оқыс оқиғалары туралы ақпаратты жинауды, шоғырландыруды, сақтауды және өңдеуді жүзеге асырады;

      6) ақпараттық қауіпсіздіктің оқыс оқиғалары туралы ақпаратты талдауды жүзеге асырады;

      7) сақтандыру (қайта сақтандыру) ұйымы қызметкерлерінің ақпараттық қауіпсіздік мәселелері жөнінде хабардар болуын қамтамасыз ету бойынша іс-шараларды ұйымдастырады және жүргізеді;

      8) сақтандыру (қайта сақтандыру) ұйымының ақпараттық қауіпсіздікті басқару жүйесінің жай-күйінің мониторингін жүзеге асырады;

      9) сақтандыру (қайта сақтандыру) ұйымының ақпараттық қауіпсіздікті басқару жүйесінің жай-күйі туралы сақтандыру (қайта сақтандыру) ұйымының басшылығын хабардар етуді жүзеге асырады.

      13. Ақпараттық технологиялар бөлімшесі мынадай функцияларды жүзеге асырады:

      1) сақтандыру (қайта сақтандыру) ұйымының ақпараттық инфрақұрылымының схемаларын әзірлейді;

      2) сақтандыру (қайта сақтандыру) ұйымының пайдаланушыларға ақпараттық активтеріне кіру рұқсатын беруді қамтамасыз етеді;

      3) сақтандыру (қайта сақтандыру) ұйымының ішкі құжаттарына сәйкес ақпараттық инфрақұрылымның үзіліссіз жұмыс істеуі, сақтандыру (қайта сақтандыру) ұйымының ақпараттық жүйелері деректерінің конфиденциалдылығы, тұтастығы және қолжетімділігі (ақпаратты резервтеуді және (немесе) мұрағаттауды және резервтік көшіруді қоса алғанда) бойынша белгіленген талаптардың орындалуын қамтамасыз етеді;

      4) ақпараттық жүйелерді таңдау, ендіру, әзірлеу және тестілеуден өткізу кезінде ақпараттық қауіпсіздікке қойылатын талаптарды қамтитын сақтандыру (қайта сақтандыру) ұйымының ішкі құжаттарын сақталуын қамтамасыз етеді.

      14. Қауіпсіздік бөлімшесі мынадай функцияларды жүзеге асырады:

      1) сақтандыру (қайта сақтандыру) ұйымында жеке басының қауіпсіздігі және техникалық қауіпсіздік шараларын іске асырады, оның ішінде кіру және объектішілік режимін ұйымдастырады;

      2) сақтандыру (қайта сақтандыру) ұйымының қызметкерлерін жұмысқа қабылдаған және жұмыстан босатқан кезде ақпараттық қауіпсіздік қауіптерінің туындауы тәуекелдерін барынша азайтуға бағытталған алдын алу іс-шараларын жүргізеді.

      15. Қызметкерлермен жұмыс жүргізу бөлімшесі мынадай функцияларды жүзеге асырады:

      1) сақтандыру (қайта сақтандыру) ұйымы қызметкерлерінің, сондай-ақ қызмет көрсету туралы шарт бойынша жұмысқа тартылған адамдардың, стажерлардың, практиканттардың ақпаратты жария етпеу туралы міндеттемелерге қол қоюын қамтамасыз етеді;

      2) сақтандыру (қайта сақтандыру) ұйымы қызметкерлерінің ақпараттық қауіпсіздік саласында хабардар болуын арттыру процесін ұйымдастыруға қатысады.

      16. Заң бөлімшесі сақтандыру (қайта сақтандыру) ұйымының ақпараттық қауіпсіздікті қамтамасыз ету мәселелері бойынша ішкі құжаттарының құқықтық сараптамасын жүргізеді.

      17. Комплаенс-бақылау бөлімшесі сақтандыру (қайта сақтандыру) ұйымының заң бөлімшесімен бірлесе отырып Талаптардың 9-тармағында көзделген қорғалатын ақпараттың тізбесіне енгізуге жататын ақпараттың барлық түрін айқындайды.

      18. Ішкі аудит бөлімшесі сақтандыру (қайта сақтандыру) ұйымының ішкі аудит жүйесін ұйымдастыруды реттейтін сақтандыру (қайта сақтандыру) ұйымының ішкі құжаттарына сәйкес сақтандыру (қайта сақтандыру) ұйымының ақпараттық қауіпсіздікті басқару жүйесінің жай-күйін бағалауды жүргізеді.

      19. Сақтандыру (қайта сақтандыру) ұйымы бөлімшелерінің басшылары:

      1) қызметкерлердің ақпараттық қауіпсіздікке қойылатын талаптармен танысуын қамтамасыз етеді;

      2) олар басқаратын бөлімшелерде ақпараттық қауіпсіздікті қамтамасыз ету үшін дербес жауапкершілік атқарады.

      20. Сақтандыру (қайта сақтандыру) ұйымы бөлімшелерінің қызметкерлері:

      1) сақтандыру (қайта сақтандыру) ұйымында қабылданған ақпараттық қауіпсіздікке қойылатын талаптардың орындалуы үшін жауап береді;

      2) өзінің тікелей басшысына және ақпараттық қауіпсіздік бөлімшесіне ақпараттық активтермен жұмыс істеу кезіндегі барлық күдікті жағдайлар мен бұзушылықтар туралы хабарлайды.

      21.Сақтандыру (қайта сақтандыру) ұйымының ақпараттық активтеріне нақты кіруді ұсыну сақтандыру (қайта сақтандыру) ұйымының ішкі құжаттарына сәйкес жүзеге асырылады.

      22. Қызметкерлерге ақпаратқа кіру олардың функционалдық міндеттерін орындау үшін қажетті көлемде беріледі.

      23. Сақтандыру (қайта сақтандыру) ұйымының ақпараттық жүйелеріне кіру сақтандыру (қайта сақтандыру) ұйымының ақпараттық жүйелерін пайдаланушыларды сәйкестендіру және бірегейлендіру арқылы жүзеге асырылады.

      24. Сақтандыру (қайта сақтандыру) ұйымының ақпараттық жүйелерінде пайдаланушылардың дербестендірілген есептік жазбалары ғана пайдаланылады.

      25. Технологиялық есептік жазбаларды пайдалануға және жаңартылуына дербес жауапкершілік атқаратын адамдарды көрсете отырып, әрбір ақпараттық жүйе үшін ақпараттық қауіпсіздік бөлімшесі басшысының келісімімен ақпараттық технологиялар бөлімшесінің басшысы бекітетін осындай есептік жазбалардың тізбесіне сәйкес технологиялық есептік жазбаларды пайдалануға жол беріледі.

      26. Сақтандыру (қайта сақтандыру) ұйымының ақпараттық жүйелерінде сақтандыру (қайта сақтандыру) ұйымының ішкі құжатында айқындалатын есептік жазбаларды және парольдерді басқару, сондай-ақ есептік жазбаларды оқшаулау бойынша функциялар немесе құралдар пайдаланылады.

      27. Сақтандыру (қайта сақтандыру) ұйымы жұмыс істеуге қабілетті ақпараттық жүйелерінің көшірмелерін қалпына келтіруді қамтамасыз ететін сақтандыру (қайта сақтандыру) ұйымының ақпараттық жүйелер деректерінің, олардың файлдарының және теңшеулерінің резервтік сақталуын қамтамасыз етеді.

      28. Ақпаратты резервтік көшіру, сақтау, қалпына келтіру тәртібі мен кезеңділігі сақтандыру (қайта сақтандыру) ұйымының ішкі құжатында айқындалады.

      29. Сақтандыру (қайта сақтандыру) ұйымы ақпараттық инфрақұрылымды вирусқа қарсы қорғауды сақтандыру (қайта сақтандыру) ұйымының ішкі құжаттарына сәйкес қамтамасыз етеді.

      30. Сақтандыру (қайта сақтандыру) ұйымының ақпараттық жүйелерінде аудиторлық із жүргізу функциясы пайдаланылады, ол мынадай оқиғаларды (ойдағыдай және ойдағыдай емес) көрсетеді:

      1) сақтандыру (қайта сақтандыру) ұйымының ақпараттық жүйесіндегі қосылғыштарды орнату, сәйкестендіру және бірегейлендіру;

      2) есептік жазбаларды және олардың өкілеттіктерін түрлендіру оқиғасы;

      3) сақтандыру (қайта сақтандыру) ұйымының ақпараттық жүйесіндегі жаңартуларды және (немесе) өзгерістерді орнатуды көрсететін оқиға;

      4) аудиттің өлшемдерінің өзгеру оқиғасы;

      5) жүйелік өлшемдердің өзгерістер оқиғасы.

      31. Аудиторлық ізді сақтау мерзімі сақтандыру (қайта сақтандыру) ұйымының ақпараттық жүйесіндегі кемінде 3 (үш) айды және аудиторлық іздің резервтік көшірмелері түрінде кемінде 1 (бір) жылды құрайды.

      32. Ақпараттық технологиялар бөлімшесі сақтандыру (қайта сақтандыру) ұйымының ақпараттық жүйелерін жаңартуларды қадағалап отырады және ақпараттық қауіпсіздік бөлімшесімен бірлесіп сақтандыру (қайта сақтандыру) ұйымының ақпараттық жүйелерін жаңартуларды басқару тәртібін айқындайды.

      33. Сақтандыру (қайта сақтандыру) ұйымының ақпараттық жүйелерін жаңартулар өнеркәсіптік ортаға орнатылғанға дейін тестілеу ортасында сынақтан өтеді.

      34. Деректерді өңдеу орталықтарының нақты қауіпсіздігін қамтамасыз ету тәртібі сақтандыру (қайта сақтандыру) ұйымының ішкі құжаттарында айқындалады.

      35. Сақтандыру (қайта сақтандыру) ұйымы сақтандыру (қайта сақтандыру) ұйымында пайдалануға рұқсат етілетін бағдарламалық қамтамасыз етудің тізбесін айқындайды.

      36. Сақтандыру (қайта сақтандыру) ұйымының деректерді өңдеу орталығы техникалық қауіпсіздіктің мынадай жүйелерімен жарақтандырылады:

      1) кіруді бақылау және басқару жүйесі;

      2) күзет сигнализациясы;

      3) өрт сигнализациясы;

      4) өртті автоматты сөндіру жүйесі;

      5) микроклиматтың белгіленген өлшемдерін ұстап тұру жүйесі;

      6) бейнебақылау жүйесі;

      7) үздіксіз электр қуат беру жүйесі.

      37. Деректерді өңдеу орталығына кіру рұқсаты тізбесін ақпараттық қауіпсіздік бөлімшесінің келісімі бойынша ақпараттық технологиялар бөлімшесінің басшысы бекітетін адамдарға беріледі.

      38. Деректерді өңдеу орталығының бейнебақылау жүйесі оқиғалардың жазбасы үздіксіз немесе қозғалыс детекторын пайдалана отырып жүргізіледі.

      39. Деректерді өңдеу орталығының бейнебақылау жүйесінің мұрағаты кемінде 3 (үш) ай сақталады.

      40. Ақпараттық қауіпсіздікті қамтамасыз ету жөніндегі қызметті мониторингтеу барысында алынған ақпараттық қауіпсіздік оқиғалары туралы ақпарат кемінде 5 (бес) жыл шоғырландырылуға, жүйелендірілуге және сақталуға тиіс.

      41. Сақтандыру (қайта сақтандыру) ұйымы сақтандыру (қайта сақтандыру) ұйымының басшы қызметкерлеріне және бөлімшелеріне ақпараттық қауіпсіздіктің орын алған оқыс оқиғалары туралы хабарлау тәртібін айқындайды.

      42. Сақтандыру (қайта сақтандыру) ұйымы ақпараттық қауіпсіздіктің оқыс оқиғаларын, оның себептері мен салдарын жою үшін кезек күттірмес шаралар қабылдау тәртібін айқындайды.

      43. Сақтандыру (қайта сақтандыру) ұйымында ақпараттық қауіпсіздіктің оқыс оқиғасы қағаз тасымалдағышта не электронды түрде жүргізіледі, онда Талаптардың 46-тармағына сәйкес ақпараттық қауіпсіздіктің оқыс оқиғасына жасалған талдау нәтижелері бойынша қорытындының тіркеу деректері енгізіледі.

      44.Ақпараттық қауіпсіздіктің оқыс оқиғасына қатысты бағдарламалық-техникалық құралдардан техникалық деректерді жинау кезінде жинақталған деректердің сақталуы және өзгермеуі қамтамасыз етіледі.

      45. Ақпараттық қауіпсіздіктің оқыс оқиғасын өңдеу нәтижесі бойынша ақпараттық қауіпсіздіктің оқыс оқиғасының туындау себептеріне, оның тетігіне және салдарына талдау жүргізіледі.

      46. Ақпараттық қауіпсіздіктің оқыс оқиғасын талдау нәтижесі бойынша қорытынды еркін нысанда дайындалады, онда ақпараттық қауіпсіздіктің оқыс оқиғасы бойынша барлық ақпарат, сондай-ақ ақпараттық қауіпсіздіктің қайталанған оқыс оқиғасының болу ықтималын және ықтимал залалды төмендету мақсатында түзету шараларын қабылдау бойынша ұсыныстар көрсетіледі.

      47. Сақтандыру (қайта сақтандыру) ұйымының қызметкерлеріне бағдарламалық қамтамасыз етуді өз бетінше орнатуды және теңшеуді жүргізуге тыйым салынатын сақтандыру (қайта сақтандыру) ұйымында ұйымдастырушылық және техникалық шаралар анықталады және енгізіледі.

      48. Ерекше жағдайларда пайдаланушылардың жекелеген топтарына бағдарламалық қамтамасыз етуді және жабдықты өз бетінше орнату және теңшеу құқығы беріледі. Пайдаланушылардың бұл топтарына жергілікті әкімшінің құқықтары немесе ұқсас құқықтар беріледі.

      49. Талаптардың 48-тармағында көрсетілген пайдаланушылардың тізбесін ақпараттық қауіпсіздік бөлімшесімен келісу бойынша ақпараттық технологиялар бөлімшесінің басшысы қалыптастырады, жаңартады және бекітеді. Пайдаланушыларға қосымша құқықтар берілген жағдайда Талаптардың 48-тармағына сәйкес ақпараттық қауіпсіздік бөлімшесі олардың пайдаланылуын бақылайды.

      50. Сақтандыру (қайта сақтандыру) ұйымы жыл сайын есепті жылдан кейінгі жылдың 10 қаңтарынан кешіктірмей уәкілетті органға ақпараттық қауіпсіздікті басқару жүйесінің жай-күйі туралы ақпарат береді.

      51. Талаптардың 50-тармағында көрсетілген ақпаратта мыналар:

      1) ақпараттық қауіпсіздікті басқару жүйесін құруды және оның жұмыс істеуін реттейтін құжаттардың болуы;

      2) ақпараттық қауіпсіздікті қамтамасыз ету үшін пайдаланылатын бағдарламалық-техникалық құралдарының болуы және сандық құрамы;

      3) деректер өңдеу орталықтарының болуы, материалдық-техникалық жабдықталуы;

      4) сақтандыру (қайта сақтандыру) ұйымының ақпараттық қауіпсіздікті басқару жүйесін және ақпараттық активтерін жетілдіру бойынша жүргізілген іс-шаралар не олардың болмауы туралы мәліметтер қамтылады.

      52. Талаптардың 50-тармағында көрсетілген ақпарат уәкілетті органға ақпараттық қауіпсіздіктің оқиғалары мен оқыс оқиғалары туралы ақпаратты өңдеуге арналған ақпаратты өңдеудің автоматтандырылған жүйесі арқылы немесе берілетін деректердің құпиялылығы мен түзетілмейтіндігін қамтамасыз ететін криптографиялық қорғау құралдарымен ақпаратты кепілдікті тасымалдау жүйесін қолдана отырып, электрондық форматта ұсынылады.

      Ескерту. 52-тармақ жаңа редакцияда - ҚР Қаржы нарығын реттеу және дамыту агенттігі Басқармасының 29.08.2024 № 73 (алғашқы ресми жарияланған күнінен кейін күнтізбелік алпыс күн өткен соң қолданысқа енгізіледі) қаулысымен.

      53. Уәкілетті орган сақтандыру (қайта сақтандыру) ұйымының Талаптарға сәйкестігін тексеруді 3 (үш) жылда кемінде бір рет жүзеге асырады.

3-тарау. Сақтандыру (қайта сақтандыру) ұйымы қызметтерін қашықтан көрсетуді бағдарламалық қамтамасыз етудің ақпараттық қауіпсіздігін қамтамасыз етуге қойылатын талаптар

      Ескерту. Талаптар 3-тараумен толықтырылды - ҚР Қаржы нарығын реттеу және дамыту агенттігі Басқармасының 29.08.2024 № 73 (алғашқы ресми жарияланған күнінен кейін күнтізбелік алпыс күн өткен соң қолданысқа енгізіледі) қаулысымен.

      54. Сақтандыру (қайта сақтандыру) ұйымы қызметтерін қашықтан көрсетуді бағдарламалық қамтамасыз ету:

      1) веб-қосымшалардың (бұдан әрі – веб-қосымша) серверлерін бағдарламалық қамтамасыз етуді;

      2) мобильді құрылғыларға (бұдан әрі – мобильді қосымша) арналған бағдарламалық қамтамасыз етуді;

      3) бағдарламалық интерфейстердің серверлерін бағдарламалық қамтамасыз етуді (бұдан әрі – серверлік ББҚ) қамтиды.

      55. Сақтандыру (қайта сақтандыру) ұйымы қашықтан қызметтер көрсетуді бағдарламалық қамтамасыз етуді әзірлеу және (немесе) пысықтауды сақтандыру (қайта сақтандыру) ұйымының бағдарламалық қамтамасыз етуді әзірлеу және (немесе) пысықтау тәртібін, әзірлеу кезеңдерін және олардың қатысушыларын регламенттейтін ішкі құжаттарына сәйкес жүзеге асырады.

      56. Егер сақтандыру (қайта сақтандыру) ұйымы қызметтерін қашықтан көрсетуді бағдарламалық қамтамасыз етуді әзірлеу және (немесе) пысықтау бөгде ұйымға және (немесе) үшінші тұлғаға берілсе, сақтандыру (қайта сақтандыру) ұйымы бөгде ұйымның және (немесе) үшінші тұлғаның осы тараудың талаптарын және ішкі құжаттардың орындалуын қамтамасыз етеді, қызметтерді қашықтан көрсетуді бағдарламалық қамтамасыз етудің қауіпсіздік жай-күйіне жауап береді.

      57. Сақтандыру (қайта сақтандыру) ұйымында әзірленетін қызметтерді қашықтықтан көрсетуді бағдарламалық қамтамасыз етудің бастапқы кодтарын сақтау резервтік көшірмені қамтамасыз ете отырып, сақтандыру (қайта сақтандыру) ұйымының қорғау ауқымында орналастырылатын код репозиторийлерін басқарудың мамандандырылған жүйелерінде жүзеге асырылады.

      58. Қызметтерді қашықтан көрсетуді бағдарламалық қамтамасыз етуді әзірлеуге және (немесе) пысықтауға сақтандыру (қайта сақтандыру) ұйымында қабылданған тәсілге қарамастан, пайдаланушыларды тіркеу, хабар алмасу және басқа да негізгі операциялар сияқты жүйенің негізгі функцияларын тестілеу, рұқсатсыз кіру, фишинг, бұзу және деректердің жария болуы сияқты қауіптерден қорғау үшін жүйенің қауіпсіздігін тексеру міндетті болып табылады.

      59. Сақтандыру (қайта сақтандыру) ұйымы атқарушы орган бекіткен ішкі құжатта айқындалған тәртіппен анықталған осалдықтарды жою жөніндегі түзету шараларының іске асырылуын қамтамасыз етеді. Бұл ретте күрделі осалдықтар қызметтерді қашықтан көрсетуді бағдарламалық қамтамасыз етуді және (немесе) оның жаңа нұсқаларын пайдалануға бергенге дейін жойылады.

      60. Сақтандыру (қайта сақтандыру) ұйымы ақпараттық қауіпсіздік жөніндегі жауапты тұлғамен келісілгеннен кейін қызметтерді қашықтан көрсетуді бағдарламалық қамтамасыз етуді және (немесе) оның жаңа нұсқаларын пайдалануға беруді жүзеге асырады.

      61. Сақтандыру (қайта сақтандыру) ұйымы соңғы 3 (үш) жыл ішінде пайдалануға берілген қызметтерді қашықтан көрсетуді бағдарламалық қамтамасыз етудің бастапқы кодтарының барлық нұсқаларына жедел режимде сақтауды және оларға қол жеткізуді және қауіпсіздікті тестілеу нәтижелерін қамтамасыз етеді.

      62. қызметтерді қашықтан көрсетуді бағдарламалық қамтамасыз етудің клиенттік және серверлік тараптары арасында деректер алмасу Transport Layer Security (Көлік Лейер Секьюрити) шифрлау хаттамасының 1.2-ден төмен емес нұсқасын пайдалана отырып шифрланады.

      63. Клиентті мобильді қосымшада бастапқы тіркеу кезінде сақтандыру (қайта сақтандыру) ұйымы Сәйкестендіру деректерімен алмасу орталығы (бұдан әрі – СДАО) және SMS-хабарламамен алынған біржолғы дербес сәйкестендіргіш (пароль) арқылы клиентті биометриялық сәйкестендіруді жүзеге асырады.

      64. Мобильді қосымшаға кіру кодын (паролін) өзгерту СДАО растаған биометриялық деректерді және SMS-хабарламамен алынған біржолғы дербес сәйкестендіргішті (парольді) пайдалана отырып, клиенттің биометриялық сәйкестендіруін қолдану арқылы жүзеге асырылады.

      65. Қызметтерді қашықтан көрсетуді бағдарламалық қамтамасыз етуде клиентті сәйкестендіру және бірдейлендіру сақтандыру (қайта сақтандыру) ұйымының ішкі құжаттарында белгіленген қауіпсіздік рәсімдеріне сәйкес екі факторлы бірдейлендіру тәсілдерін (үш фактордың екеуін: білімін, иеленуін, ажырамастығын) пайдалана отырып жүзеге асырылады.

      66. Қызметтерді қашықтан көрсетуді бағдарламалық қамтамасыз етуді кроссдомендік бірдейлендіру тетігі ақпараттық қауіпсіздік жөніндегі бөлімшемен келісіледі.

      67. Веб-қосымша:

      1) веб-қосымшаның сақтандыру (қайта сақтандыру) ұйымына тиесілілігін идентификаттаудың бірегейлігін (домендік атауы, логотиптері, корпоративтік түстері);

      2) браузердің жадында авторизациялық деректерді сақтауға тыйым салуды;

      3) енгізілген құпияларды жасыруды;

      4) веб-қосымшаны пайдалану кезінде сақтауға ұсынылатын кибергигиенаны қамтамасыз ету шаралары туралы клиенттің авторизация бетінде хабардар етілуін;

      5) клиенттің интерфейсінде құпия деректердің көрсетілуіне жол бермей, қате туралы барынша жеткілікті ақпарат бере отырып, қателер мен ерекшеліктердің қауіпсіз тәсілмен өңделуін қамтамасыз етеді.

      68. Мобильдік қосымша:

      1) мобильдік қосымшаның сақтандыру (қайта сақтандыру) ұйымына тиесілілігін идентификаттаудың бірегейлігін (қосымшалардың ресми дүкеніндегі деректер, логотиптер, корпоративтік түстер);

      2) операциялық жүйенің тұтастығын бұзу және (немесе) қорғау тетіктерін айналып өту белгілері анықталған, қашықтан басқару процестері анықталған жағдайда сақтандыру (қайта сақтандыру) ұйымының қашықтықтан қызмет көрсету жөніндегі функционалын бұғаттауды;

      3) клиентке мобильдік қосымшаның жаңартулары бар екендігі туралы хабарлауды;

      4) маңызды осалдықтарды жою қажет болған жағдайда мобильдік қосымшаның жаңартуларын мәжбүрлеп орнату немесе оларды орнатқанға дейін мобильдік қосымшаның функционалын бұғаттау мүмкіндігін;

      5) құпия деректерді мобильдік қосымшаның қорғалған контейнерінде немесе жүйелік есептік деректер қоймасында сақтауды;

      6) құпия деректердің кэштелуін болдырмауды;

      7) мобильдік қосымшаның резервтік көшірмелерінен ашық түрдегі құпия деректерін алып тастауды;

      8) клиентті мобильдік қосымшаны пайдалану кезінде сақтауға ұсынылатын кибергигиенаны қамтамасыз ету әдістері туралы хабардар етуді;

      9) клиентті оның есептік жазбасындағы авторландыру оқиғалары, парольді өзгерту және (немесе) қалпына келтіру, сақтандыру ұйым тіркеген ұялы телефон нөмірін өзгерту туралы хабардар ету;

      10) ақшалай қаражатпен операцияларды жүзеге асыру барысында – клиенттің рұқсаты болған жағдайда мобильдік құрылғының геолокациялық деректерін сақтандыру (қайта сақтандыру) ұйымының серверлік ББҚ-ға жіберуді не мұндай рұқсаттың жоқ екендігі туралы ақпаратты жіберуді қамтамасыз етеді.

      69. Сақтандыру (қайта сақтандыру) ұйымы өз тарапынан:

      1) жауапта құпия деректердің жария болуына жол бермей, проблеманы диагностикалау үшін барынша аз жеткілікті ақпарат бере отырып, қателер мен ерекшеліктерді қауіпсіз тәсілмен өңдеуді;

      2) мобильдік қосымшаларды және олармен байланысты құрылғыларды сәйкестендіруді және бірдейлендіруді;

      3) жалған сұратулар мен зиянды кодтың инъекцияларымен шабуылдардың алдын алу үшін деректердің жарамдылығын тексеруді қамтамасыз етеді.

Об утверждении Требований к организации безопасной работы, обеспечивающей сохранность и защиту информации от несанкционированного доступа к данным, хранящимся в страховой (перестраховочной) организации, а также кибербезопасности страховой (перестраховочной) организации

Постановление Правления Национального Банка Республики Казахстан от 30 июля 2018 года № 164. Зарегистрировано в Министерстве юстиции Республики Казахстан 9 августа 2018 года № 17289.

      Примечание РЦПИ!
Настоящее постановление вводится в действие с 1 января 2019 года.

      В соответствии с Законом Республики Казахстан "О страховой деятельности" Правление Национального Банка Республики Казахстан ПОСТАНОВЛЯЕТ:

      Сноска. Преамбула - в редакции постановления Правления Агентства РК по регулированию и развитию финансового рынка от 29.08.2024 № 73 (вводится в действие по истечении шестидесяти календарных дней после дня его первого официального опубликования).

      1. Утвердить прилагаемые Требования к организации безопасной работы, обеспечивающей сохранность и защиту информации от несанкционированного доступа к данным, хранящимся в страховой (перестраховочной) организации, а также кибербезопасности страховой (перестраховочной) организации.

      2. Департаменту регулирования небанковских финансовых организаций (Кошербаева А.М.) в установленном законодательством Республики Казахстан порядке обеспечить:

      1) совместно с Юридическим департаментом (Сарсенова Н.В.) государственную регистрацию настоящего постановления в Министерстве юстиции Республики Казахстан;

      2) в течение десяти календарных дней со дня государственной регистрации настоящего постановления направление его копии в бумажном и электронном виде на казахском и русском языках в Республиканское государственное предприятие на праве хозяйственного ведения "Республиканский центр правовой информации" для официального опубликования и включения в Эталонный контрольный банк нормативных правовых актов Республики Казахстан;

      3) размещение настоящего постановления на официальном интернет-ресурсе Национального Банка Республики Казахстан после его официального опубликования;

      4) в течение десяти рабочих дней после государственной регистрации настоящего постановления представление в Юридический департамент сведений об исполнении мероприятий, предусмотренных подпунктами 2), 3) настоящего пункта и пунктом 3 настоящего постановления.

      3. Управлению по защите прав потребителей финансовых услуг и внешних коммуникаций (Терентьев А.Л.) обеспечить в течение десяти календарных дней после государственной регистрации настоящего постановления направление его копии на официальное опубликование в периодические печатные издания.

      4. Контроль за исполнением настоящего постановления возложить на заместителя Председателя Национального Банка Республики Казахстан Курманова Ж.Б.

      5. Настоящее постановление вводится в действие с 1 января 2019 года и подлежит официальному опубликованию.

Председатель Национального Банка

Д. Акишев

Утверждены постановлением Правления Национального Банка Республики Казахстан от 30 июля 2018 года № 164

Требования к организации безопасной работы, обеспечивающей сохранность и защиту информации от несанкционированного доступа к данным, хранящимся в страховой (перестраховочной) организации, а также кибербезопасности страховой (перестраховочной) организации

Глава 1. Общие положения

      1. Настоящие Требования к организации безопасной работы, обеспечивающей сохранность и защиту информации от несанкционированного доступа к данным, хранящимся в страховой (перестраховочной) организации, а также кибербезопасности страховой (перестраховочной) организации (далее – Требования) разработаны в соответствии с Законом Республики Казахстан "О страховой деятельности" и устанавливают требования к организации безопасной работы, обеспечивающей сохранность и защиту информации от несанкционированного доступа к данным, хранящимся в страховой (перестраховочной) организации, а также кибербезопасности страховой (перестраховочной) организации.

      Сноска. Пункт 1 - в редакции постановления Правления Агентства РК по регулированию и развитию финансового рынка от 29.08.2024 № 73 (вводится в действие по истечении шестидесяти календарных дней после дня его первого официального опубликования).

      2. В Требованиях используются следующие понятия:

      1) информационный актив – совокупность информации и объекта информационной-коммуникационной инфраструктуры, используемого для хранения и (или) обработки информации;

      2) объекты информационной-коммуникационной инфраструктуры – информационные системы страховой (перестраховочной) организации, технологические платформы, аппаратно-программные комплексы, сети телекоммуникаций, а также системы обеспечения бесперебойного функционирования технических средств и информационной безопасности;

      3) информационно-коммуникационная инфраструктура (далее – информационная инфраструктура) – совокупность объектов информационно-коммуникационной инфраструктуры, предназначенных для обеспечения функционирования технологической среды в целях формирования электронных информационных ресурсов и предоставления доступа к ним;

      4) информационная безопасность – состояние защищенности электронных информационных ресурсов, информационных систем и информационной инфраструктуры от внешних и внутренних угроз;

      5) угроза информационной безопасности - совокупность условий и факторов, создающих предпосылки к возникновению инцидента информационной безопасности;

      6) обеспечение информационной безопасности – процесс, направленный на поддержание состояния конфиденциальности, целостности и доступности информационных активов страховой (перестраховочной) организации;

      7) инцидент информационной безопасности – отдельно или серийно возникающие сбои в работе информационной инфраструктуры или отдельных ее объектов, создающие угрозу их надлежащему функционированию и (или) условия для незаконного получения, копирования, распространения, модификации, уничтожения или блокирования электронных информационных ресурсов страховой (перестраховочной) организации;

      8) центр обработки данных – специально выделенное помещение, в котором размещено серверное и коммуникационное оборудование информационной инфраструктуры страховой (перестраховочной) организации;

      9) доступ – возможность использования информационных активов;

      10) резервная копия – копия данных на носителе информации, предназначенная для восстановления данных в оригинальном или новом месте их расположения в случае необходимости;

      11) информационная система страховой (перестраховочной) организации – информационная система, в которой хранятся и обрабатываются данные страховой (перестраховочной) организации и ее клиентов;

      12) технологическая учетная запись – учетная запись в информационной системе, предназначенная для аутентификации между информационными системами;

      13) уполномоченный орган – уполномоченный орган по регулированию, контролю и надзору финансового рынка и финансовых организаций;

      14) атака – попытка уничтожения, раскрытия, изменения, ограничения доступа, кражи, получения несанкционированного доступа или несанкционированного использования информационного актива.

Глава 2. Требования к организации безопасной работы, обеспечивающей сохранность и защиту информации от несанкционированного доступа к данным, хранящимся в страховой (перестраховочной) организации, а также кибербезопасности страховой (перестраховочной) организации

      3. Страховая (перестраховочная) организация организует безопасную работу, обеспечивающую сохранность и защиту информации от несанкционированного доступа к данным, хранящимся в страховой (перестраховочной) организации, а также кибербезопасность страховой (перестраховочной) организации путем создания системы управления информационной безопасностью (далее – система управления информационной безопасностью), являющейся частью общей системы управления страховой (перестраховочной) организацией, предназначенной для управления процессом обеспечения информационной безопасности.

      4. Система управления информационной безопасностью обеспечивает защиту информационных активов страховой (перестраховочной) организации.

      5. Страховая (перестраховочная) организация обеспечивает функционирование системы управления информационной безопасностью, ее развитие и улучшение.

      6. Участниками системы управления информационной безопасностью страховой (перестраховочной) организации являются:

      1) орган управления;

      2) исполнительный орган;

      3) подразделение по информационной безопасности;

      4) подразделение по информационным технологиям;

      5) подразделение по безопасности;

      6) подразделение по работе с персоналом;

      7) юридическое подразделение;

      8) подразделение по комплаенс-контролю;

      9) подразделение внутреннего аудита.

      Допускается осуществление функций подразделений, указанных в подпунктах 3), 4), 5), 6), 7), 8) и 9) настоящего пункта, ответственными лицами.

      7. Страховая (перестраховочная) организация при создании и функционировании системы управления информационной безопасностью обеспечивает независимость подразделений по информационной безопасности и по информационным технологиям посредством их подчинения разным членам исполнительного органа страховой (перестраховочной) организации или напрямую руководителю исполнительного органа страховой (перестраховочной) организации.

      8. Орган управления страховой (перестраховочной) организации утверждает политику информационной безопасности, которая определяет:

      1) цели, задачи и основные принципы построения системы управления информационной безопасностью;

      2) требования к организации доступа к создаваемой, хранимой и обрабатываемой информации в информационных системах страховой (перестраховочной) организации, мониторинга информации и доступа к ней;

      3) требования к осуществлению сбора, консолидации и хранения информации об инцидентах информационной безопасности;

      4) требования к осуществлению мониторинга деятельности по обеспечению информационной безопасности;

      5) требования к проведению анализа информации об инцидентах информационной безопасности;

      6) ответственность работников страховой (перестраховочной) организации за обеспечение информационной безопасности при исполнении возложенных на них функциональных обязанностей.

      9. Орган управления страховой (перестраховочной) организации утверждает перечень защищаемой информации, включающий в том числе информацию о сведениях, составляющих тайну страхования, служебную, коммерческую или иную охраняемую законом тайну (далее – защищаемая информация), и порядок работы с защищаемой информацией.

      10. Орган управления страховой (перестраховочной) организации осуществляет контроль за состоянием системы управления информационной безопасности страховой (перестраховочной) организации.

      11. Исполнительный орган страховой (перестраховочной) организации утверждает внутренние документы страховой (перестраховочной) организации, регламентирующие процесс обеспечения информационной безопасности, порядок и периодичность пересмотра которых определяется внутренними документами страховой (перестраховочной) организации.

      12. Подразделение по информационной безопасности в целях обеспечения конфиденциальности, целостности и доступности информации страховой (перестраховочной) организации осуществляет следующие функции:

      1) организует систему управления информационной безопасностью, осуществляет координацию и контроль деятельности подразделений страховой (перестраховочной) организации по обеспечению информационной безопасности и мероприятий по выявлению и анализу угроз, противодействию атакам и расследованию инцидентов информационной безопасности;

      2) разрабатывает политику информационной безопасности страховой (перестраховочной) организации;

      3) обеспечивает методологическую поддержку процесса обеспечения информационной безопасности страховой (перестраховочной) организации;

      4) осуществляет выбор, внедрение и применение методов, средств и механизмов управления, обеспечения и контроля информационной безопасности страховой (перестраховочной) организации в рамках своих полномочий;

      5) осуществляет сбор, консолидацию, хранение и обработку информации об инцидентах информационной безопасности;

      6) осуществляет анализ информации об инцидентах информационной безопасности;

      7) организует и проводит мероприятия по обеспечению осведомленности работников страховой (перестраховочной) организации в вопросах информационной безопасности;

      8) осуществляет мониторинг состояния системы управления информационной безопасностью страховой (перестраховочной) организации;

      9) осуществляет информирование руководства страховой (перестраховочной) организации о состоянии системы управления информационной безопасностью страховой (перестраховочной) организации.

      13. Подразделение по информационным технологиям осуществляет следующие функции:

      1) разрабатывает схемы информационной инфраструктуры страховой (перестраховочной) организации;

      2) обеспечивает предоставление доступа работникам к информационным активам страховой (перестраховочной) организации;

      3) обеспечивает исполнение установленных требований по непрерывности функционирования информационной инфраструктуры, конфиденциальности, целостности и доступности информационных систем страховой (перестраховочной) организации (включая резервирование и (или) архивирование) в соответствии с внутренними документами страховой (перестраховочной) организации;

      4) обеспечивает соблюдение внутренних документов страховой (перестраховочной) организации, содержащих требования к информационной безопасности при выборе, внедрении, разработке и тестировании информационных систем страховой (перестраховочной) организации.

      14. Подразделение по безопасности осуществляет следующие функции:

      1) реализует меры физической и технической безопасности в страховой (перестраховочной) организации, в том числе организует пропускной и внутриобъектовый режим;

      2) проводит профилактические мероприятия, направленные на минимизацию рисков возникновения угроз информационной безопасности при приеме на работу и увольнении работников страховой (перестраховочной) организации.

      15. Подразделение по работе с персоналом осуществляет следующие функции:

      1) обеспечивает подписание работниками страховой (перестраховочной) организации, а также лицами, привлеченными к работе по договору об оказании услуг, стажерами, практикантами обязательств о неразглашении конфиденциальной информации;

      2) участвует в организации процесса повышения осведомленности работников страховой (перестраховочной) организации в области информационной безопасности.

      16. Юридическое подразделение осуществляет правовую экспертизу внутренних документов страховой (перестраховочной) организации по вопросам обеспечения информационной безопасности.

      17. Подразделение по комплаенс-контролю совместно с юридическим подразделением страховой (перестраховочной) организации определяет виды информации, подлежащие включению в перечень защищаемой информации, предусмотренный пунктом 9 Требований.

      18. Подразделение внутреннего аудита проводит оценку состояния системы управления информационной безопасностью в соответствии с внутренними документами страховой (перестраховочной) организации, регламентирующими организацию системы внутреннего аудита страховой (перестраховочной) организации.

      19. Руководители подразделений страховой (перестраховочной) организации:

      1) обеспечивают ознакомление работников с требованиями к информационной безопасности;

      2) несут персональную ответственность за обеспечение информационной безопасности в возглавляемых ими подразделениях.

      20. Работники подразделений страховой (перестраховочной) организации:

      1) обеспечивают соблюдение требований к информационной безопасности, принятых в страховой (перестраховочной) организации;

      2) извещают своего непосредственного руководителя и подразделение по информационной безопасности обо всех подозрительных ситуациях и нарушениях при работе с информационными активами.

      21. Предоставление физического доступа к информационным активам страховой (перестраховочной) организации осуществляется в соответствии с внутренними документами страховой (перестраховочной) организации.

      22. Доступ к информации предоставляется работникам в объеме, необходимом для исполнения их функциональных обязанностей.

      23. Доступ к информационным системам страховой (перестраховочной) организации осуществляется путем идентификации и аутентификации пользователей информационных систем страховой (перестраховочной) организации.

      24. В информационных системах страховой (перестраховочной) организации используются только персонализированные учетные записи.

      25. Использование технологических учетных записей допускается в соответствии с перечнем таких учетных записей для каждой информационной системы с указанием лиц, персонально ответственных за их использование и актуальность, утверждаемым руководителем подразделения по информационным технологиям по согласованию с руководителем подразделения по информационной безопасности.

      26. В информационных системах страховой (перестраховочной) организации применяются функции или средства по управлению учетными записями и паролями, а также блокировке учетных записей, определяемые внутренними документами страховой (перестраховочной) организации.

      27. Страховая (перестраховочная) организация осуществляет резервное хранение данных информационных систем страховой (перестраховочной) организации, их файлов и настроек, которое обеспечивает восстановление работоспособных копий информационных систем.

      28. Порядок и периодичность резервного копирования, хранения, восстановления информации определяются внутренним документом страховой (перестраховочной) организации.

      29. Страховая (перестраховочная) организация обеспечивает антивирусную защиту информационной инфраструктуры в соответствии с внутренними документами страховой (перестраховочной) организации.

      30. В информационных системах страховой (перестраховочной) организации используется функция ведения аудиторского следа, которая отражает следующие события (успешные и неуспешные):

      1) события установления соединений, идентификации и аутентификации в информационной системе страховой (перестраховочной) организации;

      2) события модификации учетных записей и их полномочий;

      3) события, отражающие установку обновлений и (или) изменений в информационной системе страховой (перестраховочной) организации;

      4) события изменения параметров аудита;

      5) события изменения системных параметров.

      31. Срок хранения аудиторского следа составляет не менее 3 (трех) месяцев в информационных системах страховой (перестраховочной) организации и не менее 1 (одного) года в виде резервных копий аудиторского следа.

      32. Подразделение по информационным технологиям отслеживает обновления информационных систем страховой (перестраховочной) организации и совместно с подразделением по информационной безопасности определяет порядок управления обновлениями информационных систем страховой (перестраховочной) организации.

      33. Обновления информационных систем страховой (перестраховочной) организации до установки в промышленную среду проходят испытания в тестовой среде.

      34. Порядок обеспечения физической безопасности центров обработки данных определяется внутренними документами страховой (перестраховочной) организации.

      35. Страховой (перестраховочной) организацией определяется перечень программного обеспечения, разрешенного к использованию в страховой (перестраховочной) организации.

      36. Центр обработки данных страховой (перестраховочной) организации оснащается следующими системами технической безопасности:

      1) система контроля и управления доступом;

      2) охранная сигнализация;

      3) пожарная сигнализация;

      4) система автоматического пожаротушения;

      5) система поддержания заданных параметров микроклимата;

      6) система видеонаблюдения;

      7) система бесперебойного электропитания.

      37. Доступ в центр обработки данных предоставляется лицам, перечень которых утверждается руководителем подразделения по информационным технологиям по согласованию с подразделением по информационной безопасности.

      38. Запись событий ведется системой видеонаблюдения центра обработки данных непрерывно или с использованием детектора движения.

      39. Архив системы видеонаблюдения центра обработки данных хранится не менее 3 (трех) месяцев.

      40. Информация об инцидентах информационной безопасности, полученная в ходе мониторинга деятельности по обеспечению информационной безопасности, подлежит консолидации, систематизации и хранению не менее 5 (пяти) лет.

      41. Страховой (перестраховочной) организацией определяется порядок информирования о произошедшем инциденте информационной безопасности руководящих работников и подразделений страховой (перестраховочной) организации.

      42. Страховой (перестраховочной) организацией определяется порядок принятия неотложных мер к устранению инцидента информационной безопасности, его причин и последствий.

      43. В страховой (перестраховочной) организации ведется журнал учета инцидентов информационной безопасности на бумажном носителе либо в электронном виде, в который вносятся регистрационные данные заключения по результатам анализа инцидента информационной безопасности в соответствии с пунктом 46 Требования.

      44. При сборе технических данных с программно-технических средств, вовлеченных в инцидент информационной безопасности, обеспечивается сохранность и неизменность собранных данных.

      45. По результатам обработки инцидента информационной безопасности проводится анализ причин возникновения инцидента информационной безопасности, его механизма и последствий.

      46. По результатам анализа инцидента информационной безопасности готовится заключение в произвольной форме, в котором отражаются вся информация об инциденте информационной безопасности, а также предложения по принятию корректирующих мер в целях снижения вероятности и возможного ущерба от повторного инцидента информационной безопасности.

      47. В страховой (перестраховочной) организации внедряются организационные и технические меры, запрещающие работникам страховой (перестраховочной) организации самостоятельно проводить установку и настройку программного обеспечения.

      48. В исключительных случаях отдельным группам пользователей предоставляется право самостоятельной установки и настройки программного обеспечения и оборудования. Этим группам пользователей предоставляются права локального администратора или аналогичные права.

      49.Перечень пользователей, указанных в пункте 48 Требований, формируется, актуализируется и утверждается руководителем подразделения по информационным технологиям по согласованию с подразделением по информационной безопасности. В случае предоставления пользователям дополнительных прав в соответствии с пунктом 48 Требований подразделение по информационной безопасности осуществляет контроль их использования.

      50. Страховая (перестраховочная) организация ежегодно, не позднее 10 января года, следующего за отчетным годом, представляет в уполномоченный орган информацию о состоянии системы управления информационной безопасностью.

      51. Информация, указанная в пункте 50 Требований, включает сведения о:

      1) наличии документов, регламентирующих создание и функционирование системы управления информационной безопасностью;

      2) наличии и количественном составе программно-технических средств, используемых для обеспечения информационной безопасности;

      3) наличии, материально-технической обеспеченности центров обработки данных;

      4) проведенных мероприятиях по совершенствованию системы управления информационной безопасностью и информационных активов страховой (перестраховочной) организации либо их отсутствии.

      52. Информация, указанная в пункте 50 Требований, представляется в уполномоченный орган посредством автоматизированной системы обработки информации, предназначенной для обработки информации о событиях и инцидентах информационной безопасности, или в электронном формате с использованием транспортной системы гарантированной доставки информации с криптографическими средствами защиты, обеспечивающей конфиденциальность и некорректируемость представляемых данных.

      Сноска. Пункт 52 - в редакции постановления Правления Агентства РК по регулированию и развитию финансового рынка от 29.08.2024 № 73 (вводится в действие по истечении шестидесяти календарных дней после дня его первого официального опубликования).

      53. Уполномоченный орган осуществляет проверку соответствия страховой (перестраховочной) организации Требованиям не реже одного раза в 3 (три) года.

Глава 3. Требования к обеспечению информационной безопасности программного обеспечения дистанционного оказания услуг страховой (перестраховочной) организации

      Сноска. Требование дополнено главой 3 в соответствии с постановлением Правления Агентства РК по регулированию и развитию финансового рынка от 29.08.2024 № 73 (вводится в действие по истечении шестидесяти календарных дней после дня его первого официального опубликования).

      54. Программное обеспечение дистанционного оказания услуг страховой (перестраховочной) организации включает:

      1) программное обеспечение серверов веб-приложений (далее – веб-приложение);

      2) программное обеспечение для мобильных устройств (далее – мобильное приложение);

      3) программное обеспечение серверов программных интерфейсов (далее – серверное ППО).

      55. Разработка и (или) доработка программного обеспечения дистанционного оказания услуг осуществляется страховой (перестраховочной) организации в соответствии с внутренними документами страховой (перестраховочной) организации, регламентирующими порядок разработки и (или) доработки программного обеспечения, этапы разработки и их участников.

      56. Если разработка и (или) доработка программного обеспечения дистанционного оказания услуг страховой (перестраховочной) организации передана сторонней организации и (или) третьему лицу, страховая (перестраховочная) организации обеспечивает исполнение сторонней организацией и (или) третьим лицом требований настоящей главы и внутренних документов, отвечает за состояние безопасности программного обеспечения дистанционного оказания услуг.

      57. Хранение исходных кодов программного обеспечения дистанционного оказания услуг, разрабатываемых в страховой (перестраховочной) организации, осуществляется в специализированных системах управления репозиториями кода, размещаемых в периметре защиты страховой (перестраховочной) организации, с обеспечением резервного копирования.

      58. Независимо от принятого в страховой (перестраховочной) организации подхода к разработке и (или) доработке программного обеспечения дистанционного оказания услуг, обязательным является тестирование основных функций системы, таких как регистрация пользователей, обмен сообщениями и другие ключевые операции, проверка безопасности системы для защиты от угроз, таких как несанкционированный доступ, фишинг, взлом и утечка данных.

      59. Страховая (перестраховочная) организация обеспечивает реализацию корректирующих мер по устранению выявленных уязвимостей в порядке, определенном внутренним документом, утвержденным исполнительным органом. При этом критичные уязвимости устраняются до ввода в эксплуатацию программного обеспечения дистанционного оказания услуг и (или) его новых версий.

      60. Страховая (перестраховочная) организация осуществляет ввод в эксплуатацию программного обеспечения дистанционного оказания услуг и (или) его новых версий, после согласования с ответственным лицом по информационной безопасности.

      61. Страховая (перестраховочная) организация обеспечивает хранение и доступ в оперативном режиме ко всем версиям исходных кодов программного обеспечения дистанционного оказания услуг и результатов тестирования безопасности, которые были введены в эксплуатацию в течение последних 3 (трех) лет.

      62. Обмен данными между клиентской и серверной сторонами программного обеспечения дистанционного оказания услуг шифруется с использованием версии протокола шифрования Transport Layer Security (Транспорт Лэйер Секьюрити) не ниже 1.2.

      63. При первичной регистрации клиента в мобильном приложении страховая (перестраховочная) организация осуществляет биометрическую идентификацию клиента посредством Центра обмена идентификационными данными (далее - ЦОИД) и одноразового персонального идентификатора (пароля) полученного в SMS-сообщении.

      64. Изменение кода доступа (пароля) к мобильному приложению осуществляется с применением биометрической идентификации клиента с использованием биометрических данных, подтвержденных ЦОИД и одноразового персонального идентификатора (пароля) полученного в SMS-сообщении.

      65. Идентификация и аутентификация клиента в программном обеспечении дистанционного оказания услуг осуществляется с применением способов двухфакторной аутентификации (использованием двух из трех факторов: знания, владения, неотъемлемости) в соответствии с процедурами безопасности, установленными внутренними документами страховой (перестраховочной) организации.

      66. Механизм кроссдоменной аутентификации программного обеспечения дистанционного оказания услуг согласовывается с подразделением по информационной безопасности.

      67. Веб-приложение обеспечивает:

      1) однозначность идентификации принадлежности веб-приложения страховой (перестраховочной) организации (доменное имя, логотипы, корпоративные цвета);

      2) запрет на сохранение в памяти браузера авторизационных данных;

      3) маскирование вводимых секретов;

      4) информирование на странице авторизации клиента о мерах обеспечения кибергигиены, которым рекомендуется следовать при использовании веб-приложения;

      5) обработку ошибок и исключений безопасным способом, не допуская отображение в интерфейсе клиента конфиденциальных данных, предоставляя минимально достаточную информацию об ошибке.

      68. Мобильное приложение обеспечивает:

      1) однозначность идентификации принадлежности мобильного приложения страховой (перестраховочной) организации (данные в официальном магазине приложений, логотипы, корпоративные цвета);

      2) блокировку функционала по оказанию дистанционных услуг страховой (перестраховочной) организации в случае обнаружения признаков нарушения целостности и (или) обхода защитных механизмов операционной системы, обнаружения процессов удаленного управления;

      3) уведомление клиента о наличии обновлений мобильного приложения;

      4) возможность принудительной установки обновлений мобильного приложения или блокировки функционала мобильного приложения до их установки в случаях необходимости устранения критичных уязвимостей;

      5) хранение конфиденциальных данных в защищенном контейнере мобильного приложения или хранилище системных учетных данных;

      6) исключение кэширования конфиденциальных данных;

      7) исключение из резервных копий мобильного приложения конфиденциальных данных в открытом виде;

      8) информирование клиента о методах обеспечения кибергигиены, которым рекомендуется следовать при использовании мобильного приложения;

      9) информирование клиента о событиях авторизации под его учетной записью, изменения и (или) восстановления пароля, изменения, зарегистрированного страховой организацией номера мобильного телефона;

      10) в ходе осуществления операций с денежными средствами - передачу в серверное ППО страховой (перестраховочной) организации геолокационных данных мобильного устройства при наличии разрешения от клиента либо передачу информации об отсутствии такого разрешения.

      69. Страховая (перестраховочная) организация обеспечивает на своей стороне:

      1) обработку ошибок и исключений безопасным способом, не допуская в ответе раскрытия конфиденциальных данных, предоставляя минимально достаточную информацию для диагностики проблемы;

      2) идентификацию и аутентификацию мобильных приложений и связанных с ними устройств;

      3) проверку данных на валидность для предотвращения атак с подделкой запросов и инъекций вредоносного кода.