Сақтандыру (қайта сақтандыру) ұйымында сақталатын деректерге санкцияланбаған қол жеткізуден ақпараттың сақталуын және қорғалуын қамтамасыз ететін қауіпсіз жұмысты ұйымдастыруға, сондай-ақ сақтандыру (қайта сақтандыру) ұйымының киберқауіпсіздігіне қойылатын талаптарды бекіту туралы

Қазақстан Республикасы Ұлттық Банкі Басқармасының 2018 жылғы 30 шiлдедегi № 164 қаулысы. Қазақстан Республикасының Әділет министрлігінде 2018 жылғы 9 тамызда № 17289 болып тіркелді.

      РҚАО-ның ескертпесі!
      Осы қаулы 01.01.2019 ж. бастап қолданысқа енгізіледі

      "Сақтандыру қызметі туралы" 2000 жылғы 18 желтоқсандағы Қазақстан Республикасының Заңына сәйкес Қазақстан Республикасы Ұлттық Банкінің Басқармасы ҚАУЛЫ ЕТЕДІ:

      1. Қоса беріліп отырған Сақтандыру (қайта сақтандыру) ұйымында сақталатын деректерге санкцияланбаған қол жеткізуден ақпараттың сақталуын және қорғалуын қамтамасыз ететін қауіпсіз жұмысты ұйымдастыруға, сондай-ақ сақтандыру (қайта сақтандыру) ұйымының киберқауіпсіздігіне қойылатын талаптар бекітілсін.

      2. Банктік емес қаржы ұйымдарын реттеу департаменті (Көшербаева А.М.) Қазақстан Республикасының заңнамасында белгіленген тәртіппен:

      1) Заң департаментімен (Сәрсенова Н.В.) бірлесіп осы қаулыны Қазақстан Республикасының Әділет министрлігінде мемлекеттік тіркеуді;

      2) осы қаулы мемлекеттік тіркелген күннен бастап күнтізбелік он күн ішінде оның қазақ және орыс тілдеріндегі қағаз және электрондық түрдегі көшірмесін "Республикалық құқықтық ақпарат орталығы" шаруашылық жүргізу құқығындағы республикалық мемлекеттік кәсіпорнына ресми жариялау және Қазақстан Республикасы нормативтік құқықтық актілерінің эталондық бақылау банкіне енгізу үшін жіберуді;

      3) осы қаулыны ресми жарияланғаннан кейін Қазақстан Республикасы Ұлттық Банкінің ресми интернет-ресурсына орналастыруды;

      4) осы қаулы мемлекеттік тіркелгеннен кейін он жұмыс күні ішінде Заң департаментіне осы қаулының осы тармағының 2), 3) тармақшаларында және 3-тармағында көзделген іс-шаралардың орындалуы туралы мәліметтерді ұсынуды қамтамасыз етсін.

      3. Қаржылық қызметтерді тұтынушылардың құқықтарын қорғау және сыртқы коммуникациялар басқармасы (Терентьев А.Л.) осы қаулы мемлекеттік тіркелгеннен кейін күнтізбелік он күн ішінде оның көшірмесін мерзімді баспасөз басылымдарында ресми жариялауға жіберуді қамтамасыз етсін.

      4. Осы қаулының орындалуын бақылау Қазақстан Республикасының Ұлттық Банкі Төрағасының орынбасары Ж.Б. Құрмановқа жүктелсін.

      5. Осы қаулы 2019 жылғы 1 қаңтардан бастап қолданысқа енгізіледі және ресми жариялануға тиіс.

      Ұлттық Банк Төрағасы Д. Ақышев

  Қазақстан Республикасы
Ұлттық Банкі Басқармасының
2018 жылғы 30 шілдедегі
№ 164 қаулысымен
бекітілген

Сақтандыру (қайта сақтандыру) ұйымында сақталатын деректерге санкцияланбаған қол жеткізуден ақпараттың сақталуын және қорғалуын қамтамасыз ететін қауіпсіз жұмысты ұйымдастыруға, сондай-ақ сақтандыру (қайта сақтандыру) ұйымының киберқауіпсіздігіне қойылатын талаптар

1-тарау. Жалпы ережелер

      1. Осы Сақтандыру (қайта сақтандыру) ұйымында сақталатын деректерге санкцияланбаған қол жеткізуден ақпараттың сақталуын және қорғалуын қамтамасыз ететін қауіпсіз жұмысты ұйымдастыруға, сондай-ақ сақтандыру (қайта сақтандыру) ұйымының киберқауіпсіздігіне қойылатын талаптар (бұдан әрі – Талаптар) "Сақтандыру қызметі туралы" 2000 жылғы 18 желтоқсандағы Қазақстан Республикасының Заңына сәйкес әзірленді және сақтандыру (қайта сақтандыру) ұйымында сақталатын деректерге санкцияланбаған қол жеткізуден ақпараттың сақталуын және қорғалуын қамтамасыз ететін қауіпсіз жұмысты ұйымдастыруға, сондай-ақ сақтандыру (қайта сақтандыру) ұйымының киберқауіпсіздігіне қойылатын талаптарды белгілейді.

      2. Талаптарда мынадай ұғымдар пайдаланылады:

      1) ақпараттық актив - ақпараттың және оны сақтауға және (немесе) өңдеуге пайдаланылатын ақпараттық-коммуникациялық инфрақұрылым объектісінің жиынтығы;

      2) ақпараттық-коммуникациялық инфрақұрылым объектілері – сақтандыру (қайта сақтандыру) ұйымының ақпараттық жүйелері, технологиялық платформалар, аппараттық-бағдарламалық кешендер, телекоммуникация желілері, сондай-ақ техникалық құралдардың үздіксіз жұмыс істеуін қамтамасыз ету және ақпараттық қауіпсіздік жүйесі;

      3) ақпараттық-коммуникациялық инфрақұрылым (бұдан әрі - ақпараттық инфрақұрылым) - электрондық ақпараттық ресурстарды қалыптастыру және оларға қолжетімділік беру мақсатында технологиялық ортаның жұмыс істеуін қамтамасыз етуге арналған ақпараттық-коммуникациялық инфрақұрылым объектілерінің жиынтығы;

      4) ақпараттық қауіпсіздік - электрондық ақпараттық ресурстардың, ақпараттық жүйелердің және ақпараттық инфрақұрылымның сыртқы және ішкі қауіптерден қорғалу жай-күйі;

      5) ақпараттық қауіпсіздік қатері - ақпараттық қауіпсіздіктің оқыс оқиғаларының пайда болуының алғышарттарын туындататын жағдайлардың және факторлардың жиынтығы;

      6) ақпараттық қауіпсіздікті қамтамасыз ету – сақтандыру (қайта сақтандыру) ұйымының ақпараттық активтерінің конфиденциалдылық, тұтастық және қолжетімділік күйін ұстап тұруға бағытталған процесс;

      7) ақпараттық қауіпсіздіктің оқыс оқиғасы - ақпараттық инфрақұрылымның немесе оның жекелеген объектілерінің жұмысында жеке немесе сериялық туындайтын, олардың тиісінше жұмыс істеуіне қауіп келтіретін іркілістер және (немесе) сақтандыру (қайта сақтандыру) ұйымының электрондық ақпараттық ресурстарын заңсыз алу, көшіру, тарату, модификациялау, жою немесе бұғаттауға арналған талаптар;

      8) деректерді өңдеу орталығы – сақтандыру (қайта сақтандыру) ұйымының ақпараттық инфрақұрылымының серверлік және коммуникациялық жабдығы орналасатын арнайы бөлінген үй-жай;

      9) кіру - ақпараттық активтерді пайдалану мүмкіндігі;

      10) резервтік көшірме – қажет болған жағдайда оларды түпнұсқада немесе жаңадан орналастырылған орнында қалпына келтіруге арналған ақпарат тасымалдағыштағы деректер көшірмесі;

      11) сақтандыру (қайта сақтандыру) ұйымының ақпараттық жүйесі – сақтандыру (қайта сақтандыру) ұйымының және оның клиенттерінің деректері сақталатын және өңделетін ақпараттық жүйе;

      12) технологиялық есептік жазба - ақпарат жүйесіндегі ақпараттық жүйелердің арасында бірегейлендіру жүргізуге арналған есептік жазба;

      13) уәкілетті орган - қаржы нарығын және қаржы ұйымдарын реттеу, бақылау мен қадағалау жөніндегі уәкілетті орган;

      14) шабуыл – кіруді жою, ашу, өзгерту, шектеу, рұқсатсыз кіруді алу, ұрлау немесе ақпараттық активті рұқсатсыз пайдалану әрекеті.

2-тарау. Сақтандыру (қайта сақтандыру) ұйымында сақталатын деректерге санкцияланбаған қол жеткізуден ақпараттың сақталуын және қорғалуын қамтамасыз ететін қауіпсіз жұмысты ұйымдастыруға, сондай-ақ сақтандыру (қайта сақтандыру) ұйымының киберқауіпсіздігіне қойылатын талаптар

      3. Сақтандыру (қайта сақтандыру) ұйымы ақпараттық қауіпсіздікті қамтамасыз ету барысын басқаруға арналған сақтандыру (қайта сақтандыру) ұйымын жалпы басқару жүйесінің бөлігі болып табылатын ақпараттық қауіпсіздікті басқару жүйесін (бұдан әрі - ақпараттық қауіпсіздікті басқару жүйесі) құру арқылы сақтандыру (қайта сақтандыру) ұйымында сақталатын деректерге санкцияланбаған қол жеткізуден ақпараттың сақталуын және қорғалуын қамтамасыз ететін қауіпсіз жұмысты, сондай-ақ сақтандыру (қайта сақтандыру) ұйымының киберқауіпсіздігін ұйымдастырады.

      4. Ақпараттық қауіпсіздікті басқару жүйесі сақтандыру (қайта сақтандыру) ұйымының ақпараттық активтерінің қорғалуын қамтамасыз етеді.

      5. Сақтандыру (қайта сақтандыру) ұйымы ақпараттық қауіпсіздікті басқару жүйесінің жұмыс істеуін, оның дамуы мен жақсартылуын қамтамасыз етеді.

      6. Сақтандыру (қайта сақтандыру) ұйымының ақпараттық қауіпсіздікті басқару жүйесінің қатысушылары:

      1) басқару органы;

      2) атқарушы орган;

      3) ақпараттық қауіпсіздік бөлімшесі;

      4) ақпараттық технологиялар бөлімшесі;

      5) қауіпсіздік бөлімшесі;

      6) қызметкерлермен жұмыс жүргізу бөлімшесі;

      7) заң бөлімшесі;

      8) комплаенс-бақылау бөлімшесі;

      9) ішкі аудит бөлімшесі.

      Осы тармақтың 3), 4), 5), 6), 7), 8) және 9) тармақшаларында көрсетілген бөлімшелердің функцияларын жауапты қызметкерлердің жүзеге асыруына рұқсат етіледі.

      7. Сақтандыру (қайта сақтандыру) ұйымы ақпараттық қауіпсіздікті басқару жүйесін құру және оның жұмыс істеуі кезінде ақпараттық қауіпсіздік және ақпараттық технологиялар бөлімшелерінің тәуелсіздігін оларды сақтандыру (қайта сақтандыру) ұйымының атқарушы органының әртүрлі мүшелеріне немесе сақтандыру (қайта сақтандыру) ұйымының атқарушы органының тікелей басшысына бағыну арқылы қамтамасыз етеді.

      8. Сақтандыру (қайта сақтандыру) ұйымының басқару органы ақпараттық қауіпсіздік саясатын бекітеді, онда мыналар:

      1) ақпараттық қауіпсіздікті басқару жүйесін құрудың мақсаттары, міндеттері және негізгі қағидаттары;

      2) сақтандыру (қайта сақтандыру) ұйымының ақпараттық жүйелерінде жасалатын, сақталатын және өңделетін ақпаратқа кіруді және ақпараттың және оған кірудің мониторингін ұйымдастыруға қойылатын талаптар;

      3) ақпараттық қауіпсіздіктің оқыс оқиғалары туралы ақпаратты жинауды, шоғырландыруды және сақтауды жүзеге асыруға қойылатын талаптар;

      4) ақпараттық қауіпсіздікті қамтамасыз ету бойынша қызметке мониторинг жүзеге асыруға қойылатын талаптар;

      5) ақпараттық қауіпсіздіктің оқыс оқиғалары туралы ақпаратқа талдау жүргізуге қойылатын талаптар;

      6) сақтандыру (қайта сақтандыру) ұйымы қызметкерлерінің өздеріне жүктелген функционалдық міндеттерді атқару кезінде ақпараттық қауіпсіздікті қамтамасыз етуге жауапкершілігі айқындалады.

      9. Сақтандыру (қайта сақтандыру) ұйымының басқару органы қорғалатын ақпараттың тізбесін, оның ішінде сақтандыру құпиясы, қызметтік, коммерциялық немесе өзге де заңмен қорғалатын құпия болып табылатын мәліметтер туралы ақпаратты (бұдан әрі - қорғалатын ақпарат) қамтитын тізбені және қорғалатын ақпаратпен жұмыс тәртібін бекітеді.

      10. Сақтандыру (қайта сақтандыру) ұйымының басқару органы сақтандыру (қайта сақтандыру) ұйымының ақпараттық қауіпсіздікті басқару жүйесінің жай-күйін бақылауды жүзеге асырады.

      11. Сақтандыру (қайта сақтандыру) ұйымының атқарушы органы ақпараттық қауіпсіздікті қамтамасыз ету процесін регламенттейтін сақтандыру (қайта сақтандыру) ұйымының ішкі құжаттарын, қарау сақтандыру (қайта сақтандыру) ұйымының ішкі құжаттарында айқындалатын тәртібі мен кезеңділігін бекітеді.

      12. Ақпараттық қауіпсіздік бөлімшесі сақтандыру (қайта сақтандыру) ұйымы ақпаратының конфиденциалдылығын, тұтастығын және қолжетімділігін қамтамасыз ету мақсатында мынадай функцияларды жүзеге асырады:

      1) ақпараттық қауіпсіздікті басқару жүйесін құрады, сақтандыру (қайта сақтандыру) ұйымы бөлімшелерінің ақпараттық қауіпсіздікті және қауіптерді анықтау және талдау, шабуылдарға қарсы іс-қимыл жасау және ақпараттық қауіпсіздіктің оқыс оқиғаларын тергеу жөніндегі іс-шараларды қамтамасыз ету бойынша қызметін үйлестіруді және бақылауды жүзеге асырады;

      2) сақтандыру (қайта сақтандыру) ұйымының ақпараттық қауіпсіздік саясатын әзірлейді;

      3) сақтандыру (қайта сақтандыру) ұйымының ақпараттық қауіпсіздікті қамтамасыз ету процесін әдіснамалық қолдауын қамтамасыз етеді;

      4) өз құзыреті шегінде сақтандыру (қайта сақтандыру) ұйымының ақпараттық қауіпсіздігін басқарудың, қамтамасыз етудің және бақылаудың әдістерін, құралдарын және тетіктерін таңдауды, енгізуді және қолдануды жүзеге асырады;

      5) ақпараттық қауіпсіздіктің оқыс оқиғалары туралы ақпаратты жинауды, шоғырландыруды, сақтауды және өңдеуді жүзеге асырады;

      6) ақпараттық қауіпсіздіктің оқыс оқиғалары туралы ақпаратты талдауды жүзеге асырады;

      7) сақтандыру (қайта сақтандыру) ұйымы қызметкерлерінің ақпараттық қауіпсіздік мәселелері жөнінде хабардар болуын қамтамасыз ету бойынша іс-шараларды ұйымдастырады және жүргізеді;

      8) сақтандыру (қайта сақтандыру) ұйымының ақпараттық қауіпсіздікті басқару жүйесінің жай-күйінің мониторингін жүзеге асырады;

      9) сақтандыру (қайта сақтандыру) ұйымының ақпараттық қауіпсіздікті басқару жүйесінің жай-күйі туралы сақтандыру (қайта сақтандыру) ұйымының басшылығын хабардар етуді жүзеге асырады.

      13. Ақпараттық технологиялар бөлімшесі мынадай функцияларды жүзеге асырады:

      1) сақтандыру (қайта сақтандыру) ұйымының ақпараттық инфрақұрылымының схемаларын әзірлейді;

      2) сақтандыру (қайта сақтандыру) ұйымының пайдаланушыларға ақпараттық активтеріне кіру рұқсатын беруді қамтамасыз етеді;

      3) сақтандыру (қайта сақтандыру) ұйымының ішкі құжаттарына сәйкес ақпараттық инфрақұрылымның үзіліссіз жұмыс істеуі, сақтандыру (қайта сақтандыру) ұйымының ақпараттық жүйелері деректерінің конфиденциалдылығы, тұтастығы және қолжетімділігі (ақпаратты резервтеуді және (немесе) мұрағаттауды және резервтік көшіруді қоса алғанда) бойынша белгіленген талаптардың орындалуын қамтамасыз етеді;

      4) ақпараттық жүйелерді таңдау, ендіру, әзірлеу және тестілеуден өткізу кезінде ақпараттық қауіпсіздікке қойылатын талаптарды қамтитын сақтандыру (қайта сақтандыру) ұйымының ішкі құжаттарын сақталуын қамтамасыз етеді.

      14. Қауіпсіздік бөлімшесі мынадай функцияларды жүзеге асырады:

      1) сақтандыру (қайта сақтандыру) ұйымында жеке басының қауіпсіздігі және техникалық қауіпсіздік шараларын іске асырады, оның ішінде кіру және объектішілік режимін ұйымдастырады;

      2) сақтандыру (қайта сақтандыру) ұйымының қызметкерлерін жұмысқа қабылдаған және жұмыстан босатқан кезде ақпараттық қауіпсіздік қауіптерінің туындауы тәуекелдерін барынша азайтуға бағытталған алдын алу іс-шараларын жүргізеді.

      15. Қызметкерлермен жұмыс жүргізу бөлімшесі мынадай функцияларды жүзеге асырады:

      1) сақтандыру (қайта сақтандыру) ұйымы қызметкерлерінің, сондай-ақ қызмет көрсету туралы шарт бойынша жұмысқа тартылған адамдардың, стажерлардың, практиканттардың ақпаратты жария етпеу туралы міндеттемелерге қол қоюын қамтамасыз етеді;

      2) сақтандыру (қайта сақтандыру) ұйымы қызметкерлерінің ақпараттық қауіпсіздік саласында хабардар болуын арттыру процесін ұйымдастыруға қатысады.

      16. Заң бөлімшесі сақтандыру (қайта сақтандыру) ұйымының ақпараттық қауіпсіздікті қамтамасыз ету мәселелері бойынша ішкі құжаттарының құқықтық сараптамасын жүргізеді.

      17. Комплаенс-бақылау бөлімшесі сақтандыру (қайта сақтандыру) ұйымының заң бөлімшесімен бірлесе отырып Талаптардың 9-тармағында көзделген қорғалатын ақпараттың тізбесіне енгізуге жататын ақпараттың барлық түрін айқындайды.

      18. Ішкі аудит бөлімшесі сақтандыру (қайта сақтандыру) ұйымының ішкі аудит жүйесін ұйымдастыруды реттейтін сақтандыру (қайта сақтандыру) ұйымының ішкі құжаттарына сәйкес сақтандыру (қайта сақтандыру) ұйымының ақпараттық қауіпсіздікті басқару жүйесінің жай-күйін бағалауды жүргізеді.

      19. Сақтандыру (қайта сақтандыру) ұйымы бөлімшелерінің басшылары:

      1) қызметкерлердің ақпараттық қауіпсіздікке қойылатын талаптармен танысуын қамтамасыз етеді;

      2) олар басқаратын бөлімшелерде ақпараттық қауіпсіздікті қамтамасыз ету үшін дербес жауапкершілік атқарады.

      20. Сақтандыру (қайта сақтандыру) ұйымы бөлімшелерінің қызметкерлері:

      1) сақтандыру (қайта сақтандыру) ұйымында қабылданған ақпараттық қауіпсіздікке қойылатын талаптардың орындалуы үшін жауап береді;

      2) өзінің тікелей басшысына және ақпараттық қауіпсіздік бөлімшесіне ақпараттық активтермен жұмыс істеу кезіндегі барлық күдікті жағдайлар мен бұзушылықтар туралы хабарлайды.

      21.Сақтандыру (қайта сақтандыру) ұйымының ақпараттық активтеріне нақты кіруді ұсыну сақтандыру (қайта сақтандыру) ұйымының ішкі құжаттарына сәйкес жүзеге асырылады.

      22. Қызметкерлерге ақпаратқа кіру олардың функционалдық міндеттерін орындау үшін қажетті көлемде беріледі.

      23. Сақтандыру (қайта сақтандыру) ұйымының ақпараттық жүйелеріне кіру сақтандыру (қайта сақтандыру) ұйымының ақпараттық жүйелерін пайдаланушыларды сәйкестендіру және бірегейлендіру арқылы жүзеге асырылады.

      24. Сақтандыру (қайта сақтандыру) ұйымының ақпараттық жүйелерінде пайдаланушылардың дербестендірілген есептік жазбалары ғана пайдаланылады.

      25. Технологиялық есептік жазбаларды пайдалануға және жаңартылуына дербес жауапкершілік атқаратын адамдарды көрсете отырып, әрбір ақпараттық жүйе үшін ақпараттық қауіпсіздік бөлімшесі басшысының келісімімен ақпараттық технологиялар бөлімшесінің басшысы бекітетін осындай есептік жазбалардың тізбесіне сәйкес технологиялық есептік жазбаларды пайдалануға жол беріледі.

      26. Сақтандыру (қайта сақтандыру) ұйымының ақпараттық жүйелерінде сақтандыру (қайта сақтандыру) ұйымының ішкі құжатында айқындалатын есептік жазбаларды және парольдерді басқару, сондай-ақ есептік жазбаларды оқшаулау бойынша функциялар немесе құралдар пайдаланылады.

      27. Сақтандыру (қайта сақтандыру) ұйымы жұмыс істеуге қабілетті ақпараттық жүйелерінің көшірмелерін қалпына келтіруді қамтамасыз ететін сақтандыру (қайта сақтандыру) ұйымының ақпараттық жүйелер деректерінің, олардың файлдарының және теңшеулерінің резервтік сақталуын қамтамасыз етеді.

      28. Ақпаратты резервтік көшіру, сақтау, қалпына келтіру тәртібі мен кезеңділігі сақтандыру (қайта сақтандыру) ұйымының ішкі құжатында айқындалады.

      29. Сақтандыру (қайта сақтандыру) ұйымы ақпараттық инфрақұрылымды вирусқа қарсы қорғауды сақтандыру (қайта сақтандыру) ұйымының ішкі құжаттарына сәйкес қамтамасыз етеді.

      30. Сақтандыру (қайта сақтандыру) ұйымының ақпараттық жүйелерінде аудиторлық із жүргізу функциясы пайдаланылады, ол мынадай оқиғаларды (ойдағыдай және ойдағыдай емес) көрсетеді:

      1) сақтандыру (қайта сақтандыру) ұйымының ақпараттық жүйесіндегі қосылғыштарды орнату, сәйкестендіру және бірегейлендіру;

      2) есептік жазбаларды және олардың өкілеттіктерін түрлендіру оқиғасы;

      3) сақтандыру (қайта сақтандыру) ұйымының ақпараттық жүйесіндегі жаңартуларды және (немесе) өзгерістерді орнатуды көрсететін оқиға;

      4) аудиттің өлшемдерінің өзгеру оқиғасы;

      5) жүйелік өлшемдердің өзгерістер оқиғасы.

      31. Аудиторлық ізді сақтау мерзімі сақтандыру (қайта сақтандыру) ұйымының ақпараттық жүйесіндегі кемінде 3 (үш) айды және аудиторлық іздің резервтік көшірмелері түрінде кемінде 1 (бір) жылды құрайды.

      32. Ақпараттық технологиялар бөлімшесі сақтандыру (қайта сақтандыру) ұйымының ақпараттық жүйелерін жаңартуларды қадағалап отырады және ақпараттық қауіпсіздік бөлімшесімен бірлесіп сақтандыру (қайта сақтандыру) ұйымының ақпараттық жүйелерін жаңартуларды басқару тәртібін айқындайды.

      33. Сақтандыру (қайта сақтандыру) ұйымының ақпараттық жүйелерін жаңартулар өнеркәсіптік ортаға орнатылғанға дейін тестілеу ортасында сынақтан өтеді.

      34. Деректерді өңдеу орталықтарының нақты қауіпсіздігін қамтамасыз ету тәртібі сақтандыру (қайта сақтандыру) ұйымының ішкі құжаттарында айқындалады.

      35. Сақтандыру (қайта сақтандыру) ұйымы сақтандыру (қайта сақтандыру) ұйымында пайдалануға рұқсат етілетін бағдарламалық қамтамасыз етудің тізбесін айқындайды.

      36. Сақтандыру (қайта сақтандыру) ұйымының деректерді өңдеу орталығы техникалық қауіпсіздіктің мынадай жүйелерімен жарақтандырылады:

      1) кіруді бақылау және басқару жүйесі;

      2) күзет сигнализациясы;

      3) өрт сигнализациясы;

      4) өртті автоматты сөндіру жүйесі;

      5) микроклиматтың белгіленген өлшемдерін ұстап тұру жүйесі;

      6) бейнебақылау жүйесі;

      7) үздіксіз электр қуат беру жүйесі.

      37. Деректерді өңдеу орталығына кіру рұқсаты тізбесін ақпараттық қауіпсіздік бөлімшесінің келісімі бойынша ақпараттық технологиялар бөлімшесінің басшысы бекітетін адамдарға беріледі.

      38. Деректерді өңдеу орталығының бейнебақылау жүйесі оқиғалардың жазбасы үздіксіз немесе қозғалыс детекторын пайдалана отырып жүргізіледі.

      39. Деректерді өңдеу орталығының бейнебақылау жүйесінің мұрағаты кемінде 3 (үш) ай сақталады.

      40. Ақпараттық қауіпсіздікті қамтамасыз ету жөніндегі қызметті мониторингтеу барысында алынған ақпараттық қауіпсіздік оқиғалары туралы ақпарат кемінде 5 (бес) жыл шоғырландырылуға, жүйелендірілуге және сақталуға тиіс.

      41. Сақтандыру (қайта сақтандыру) ұйымы сақтандыру (қайта сақтандыру) ұйымының басшы қызметкерлеріне және бөлімшелеріне ақпараттық қауіпсіздіктің орын алған оқыс оқиғалары туралы хабарлау тәртібін айқындайды.

      42. Сақтандыру (қайта сақтандыру) ұйымы ақпараттық қауіпсіздіктің оқыс оқиғаларын, оның себептері мен салдарын жою үшін кезек күттірмес шаралар қабылдау тәртібін айқындайды.

      43. Сақтандыру (қайта сақтандыру) ұйымында ақпараттық қауіпсіздіктің оқыс оқиғасы қағаз тасымалдағышта не электронды түрде жүргізіледі, онда Талаптардың 46-тармағына сәйкес ақпараттық қауіпсіздіктің оқыс оқиғасына жасалған талдау нәтижелері бойынша қорытындының тіркеу деректері енгізіледі.

      44.Ақпараттық қауіпсіздіктің оқыс оқиғасына қатысты бағдарламалық-техникалық құралдардан техникалық деректерді жинау кезінде жинақталған деректердің сақталуы және өзгермеуі қамтамасыз етіледі.

      45. Ақпараттық қауіпсіздіктің оқыс оқиғасын өңдеу нәтижесі бойынша ақпараттық қауіпсіздіктің оқыс оқиғасының туындау себептеріне, оның тетігіне және салдарына талдау жүргізіледі.

      46. Ақпараттық қауіпсіздіктің оқыс оқиғасын талдау нәтижесі бойынша қорытынды еркін нысанда дайындалады, онда ақпараттық қауіпсіздіктің оқыс оқиғасы бойынша барлық ақпарат, сондай-ақ ақпараттық қауіпсіздіктің қайталанған оқыс оқиғасының болу ықтималын және ықтимал залалды төмендету мақсатында түзету шараларын қабылдау бойынша ұсыныстар көрсетіледі.

      47. Сақтандыру (қайта сақтандыру) ұйымының қызметкерлеріне бағдарламалық қамтамасыз етуді өз бетінше орнатуды және теңшеуді жүргізуге тыйым салынатын сақтандыру (қайта сақтандыру) ұйымында ұйымдастырушылық және техникалық шаралар анықталады және енгізіледі.

      48. Ерекше жағдайларда пайдаланушылардың жекелеген топтарына бағдарламалық қамтамасыз етуді және жабдықты өз бетінше орнату және теңшеу құқығы беріледі. Пайдаланушылардың бұл топтарына жергілікті әкімшінің құқықтары немесе ұқсас құқықтар беріледі.

      49. Талаптардың 48-тармағында көрсетілген пайдаланушылардың тізбесін ақпараттық қауіпсіздік бөлімшесімен келісу бойынша ақпараттық технологиялар бөлімшесінің басшысы қалыптастырады, жаңартады және бекітеді. Пайдаланушыларға қосымша құқықтар берілген жағдайда Талаптардың 48-тармағына сәйкес ақпараттық қауіпсіздік бөлімшесі олардың пайдаланылуын бақылайды.

      50. Сақтандыру (қайта сақтандыру) ұйымы жыл сайын есепті жылдан кейінгі жылдың 10 қаңтарынан кешіктірмей уәкілетті органға ақпараттық қауіпсіздікті басқару жүйесінің жай-күйі туралы ақпарат береді.

      51. Талаптардың 50-тармағында көрсетілген ақпаратта мыналар:

      1) ақпараттық қауіпсіздікті басқару жүйесін құруды және оның жұмыс істеуін реттейтін құжаттардың болуы;

      2) ақпараттық қауіпсіздікті қамтамасыз ету үшін пайдаланылатын бағдарламалық-техникалық құралдарының болуы және сандық құрамы;

      3) деректер өңдеу орталықтарының болуы, материалдық-техникалық жабдықталуы;

      4) сақтандыру (қайта сақтандыру) ұйымының ақпараттық қауіпсіздікті басқару жүйесін және ақпараттық активтерін жетілдіру бойынша жүргізілген іс-шаралар не олардың болмауы туралы мәліметтер қамтылады.

      52. Талаптардың 50-тармағында көрсетілген ақпарат еркін нысанда жасалады және ұсынылатын деректердің конфиденциалдылығы мен түзетілмеуін қамтамасыз ететін криптографиялық қорғау құралдарымен ақпаратты кепілді жеткізудің тасымалдау жүйесін пайдалана отырып, уәкілетті органға ұсынылады.

      53. Уәкілетті орган сақтандыру (қайта сақтандыру) ұйымының Талаптарға сәйкестігін тексеруді 3 (үш) жылда кемінде бір рет жүзеге асырады.

On approval of Requirements to the organization of safe work, ensuring safety and information security from unauthorized access to data stored in the insurance (reinsurance) organization, and also cybersecurity of the insurance (reinsurance) organization

Resolution of the Board of the National Bank of the Republic of Kazakhstan of July 30, 2018 № 164. Registered with the Ministry of Justice of the Republic of Kazakhstan on August 9, 2018 № 17289.

      Unofficial translation

      In accordance with the Law of the Republic of Kazakhstan of December 18, 2000 “On Insurance Activities,” the Board of the National Bank of the Republic of Kazakhstan RESOLVES:

      1. Approve the attached Requirements for organization of safe work, ensuring safety and information security from unauthorized access to data stored in the insurance (reinsurance) organization, also cybersecurity of the insurance (reinsurance) organization.

      2. In accordance with the procedure established by the legislation of the Republic of Kazakhstan, the Department for the Regulation of Non-Bank Financial Organizations (A.M. Kosherbayeva) shall:

      1) together with the Legal Department (N.V. Sarsenova) provide the state registration of this resolution with the Ministry of Justice of the Republic of Kazakhstan;

      2) within ten calendar days from the date of state registration of this resolution, direct its paper and electronic copy in the Kazakh and Russian languages to the Republican State Enterprise with the Right of Economic Management “Republican Center of Legal Information” for official publication and inclusion in the Reference Control Bank of Regulatory Legal Acts of the Republic of Kazakhstan;

      3) place this resolution on the official Internet resource of the National Bank of the Republic of Kazakhstan after its official publication;

      4) within ten working days after the state registration of this resolution, submit to the Legal Department the data on execution of the actions provided for in subparagraphs 2), 3) of this paragraph and paragraph 3 of this resolution.

      3. The Directorate for the Protection of the Rights of Consumers of Financial Services and External Communications (A.L. Terentiev) shall direct its copy for official publication in periodicals.

      4. Control over the execution of this resolution shall be entrusted to the Deputy Chairman of the National Bank of the Republic of Kazakhstan, Zh.B. Kurmanov.

      5. This resolution shall be enforced on January 1, 2019 and is subject to official publication.

      Chairman
of the National Bank 		D. Akishev

  Approved
by Resolution № 164
of the Board
of the National Bank
of the Republic of Kazakhstan
of July 30, 2018

Requirements to the organization of safe work, ensuring safety and information security from unauthorized access to data stored
in the insurance (reinsurance) organization, and also cybersecurity of the insurance (reinsurance) organization

Chapter 1. General Provisions

      1. These Requirements to the organization of safe work, ensuring safety and protection of information from unauthorized access to data stored in the insurance (reinsurance) organization, as well as the cybersecurity of the insurance (reinsurance) organization (hereinafter - Requirements) are developed in accordance with the Law of the Republic of Kazakhstan of December 18, 2000 “On Insurance Activities” and establish requirements to the organization of safe work, ensuring the safety and protection of information from unauthorized access to the data stored in the insurance (reinsurance) organization, as well as cybersecurity of the insurance (reinsurance) organization.

      2. In the Requirements the following concepts shall be used:

      1) data asset – a set of information and the object of information-communication infrastructure used for storage and (or) information processing;

      2) objects of information and communication infrastructure - information systems of an insurance (reinsurance) organization, technological frameworks, the hardware and software, telecommunications networks, and also systems of ensuring smooth functioning of technical means and information security;

      3) information and communication infrastructure (hereinafter - information infrastructure) – a set of information and communication infrastructure facilities intended to ensure functioning of the technological environment for the purpose of forming electronic information resources and provision of access to them;

      4) information security - condition of security of electronic information resources, information systems and information infrastructure from external and internal threats;

      5) threat of information security – a set of the conditions and factors creating prerequisites to emergence of an information security incident;

      6) ensuring information security - the process directed to maintenance of condition of confidentiality, integrity and availability of data assets of the insurance (reinsurance) organization;

      7) information security incident - separately or serially arising malfunctions in the work of the information infrastructure or its separate objects posing threat to their proper functioning and (or) conditions for unlawfully obtaining, copying, distributing, modifying, destroying or blocking electronic information resources of the insurance (reinsurance) organization;

      8) data processing center - a specially designated room in which the server and communication equipment of the information infrastructure of the insurance (reinsurance) organization is placed;

      9) access - the ability to use data assets;

      10) backup copy - a copy of the data on a storage medium intended to restore the data to the original or new location if need arises;

      11) information system of insurance (reinsurance) organization - an information system in which data of the insurance (reinsurance) organization and its clients are stored and processed;

      12) technological account - an account in the information system intended for authentication between information systems;

      13) authorized body - an authorized body for regulation, control and supervision of the financial market and financial organizations;

      14) attack - an attempt of destroying, disclosing, changing, restricting access, theft, obtaining unauthorized access or unauthorized use of a data asset.

Chapter 2. Requirements to the organization of safe work, ensuring safety and information security from unauthorized access to data
stored in the insurance (reinsurance) organization, and also cybersecurity of the insurance (reinsurance) organization

      3. The insurance (reinsurance) organization shall organize safe work ensuring safety and information security from unauthorized access to data stored in the insurance (reinsurance) organization, and also cybersecurity of the insurance (reinsurance) organization by creating an information security management system (hereinafter information security management system), which is part of the overall management system of the insurance (reinsurance) organization, intended to manage the process of information security provision.

      4. The information security management system shall provide protection of information assets of the insurance (reinsurance) organization.

      5. The insurance (reinsurance) organization shall ensure the functioning of the information security management system, its development and improvement.

      6. Participants in the information security management system of an insurance (reinsurance) organization shall be:

      1) the management body;

      2) the executive body;

      3) information security unit;

      4) information technology unit;

      5) security unit;

      6) human resources unit;

      7) legal unit;

      8) compliance control unit;

      9) internal audit unit.

      It shall be allowed to exercise the functions of the subdivisions indicated in subparagraphs 3), 4), 5), 6), 7), 8) and 9) of this paragraph by responsible persons.

      7. In the creation and functioning of the information security management system the insurance (reinsurance) organization shall ensure independence of information security and information technology units through their subordination to various members of the executive body of the insurance (reinsurance) organization or directly to the head of the executive body of the insurance (reinsurance) organization.

      8. The management body of the insurance (reinsurance) organization shall approve information security policy that shall determine:

      1) goals, objectives and basic principles of building an information security management system;

      2) requirements to the organization of access to the created, stored and processed information in the information systems of the insurance (reinsurance) organization, monitoring of information and access to it;

      3) requirements to the collection, consolidation and storage of data on information security incidents;

      4) requirements to monitoring of the information security activities;

      5) requirements to carrying out the analyses of data on information security incidents;

      6) responsibility of employees of the insurance (reinsurance) organization in ensuring information security in the performance of their functional duties.

      9. The management body of the insurance (reinsurance) organization shall approve the list of protected information, including data on information constituting the insurance secret, official, commercial or other secrets protected by law (hereinafter - the protected information), and the procedure for working with the protected information.

      10. The management body of the insurance (reinsurance) organization shall exercise control over the state of the information security management system of the insurance (reinsurance) organization.

      11. The executive body of the insurance (reinsurance) organization shall approve the internal documents of the insurance (reinsurance) organization governing the information security process, the order and frequency of revisions of which shall be determined by the internal documents of the insurance (reinsurance) organization.

      12. For the purposes of ensuring confidentiality, integrity and accessibility of information of the insurance (reinsurance) organization, the information security unit shall perform the following functions:

      1) organize the information security management system, carry out coordination and monitoring of activities of the insurance (reinsurance) organization in the provision of information security and measures to identify and analyze threats, counter attacks and investigate information security incidents;

      2) develop the information security policy of the insurance (reinsurance) organization;

      3) provide methodological support for the process of ensuring the information security of the insurance (reinsurance) organization;

      4) select, implement and apply methods, means and mechanisms for managing, ensuring and controlling the information security of the insurance (reinsurance) organization within its authority;

      5) collect, consolidate, store and processes data on information security incidents;

      6) carry out analyses of the data on information security incidents;

      7) organize and conduct apprising of the insurance (reinsurance) organization’s employees of the information security matters;

      8) monitor condition of the information security management system of the insurance (reinsurance) organization;

      9) apprise the insurance (reinsurance) organization’s management of the condition of the information security management system of the insurance (reinsurance) organization.

      13. The information technology unit shall perform the following functions:

      1) develop information infrastructure schemes for the insurance (reinsurance) organization;

      2) provide employees’ access to the information assets of the insurance (reinsurance) organization;

      3) provide compliance with the established requirements for continuity of the information infrastructure, confidentiality, integrity and accessibility of information systems of the insurance (reinsurance) organization (including reservation and (or) archiving) in accordance with the internal documents of the insurance (reinsurance) organization;

      4) provide compliance with the internal documents of the insurance (reinsurance) organization containing information security requirements when selecting, implementing, developing and testing information systems of the insurance (reinsurance) organization.

      14. The security unit shall perform the following functions:

      1) implement measures of physical and technical safety in the insurance (reinsurance) organization, including organization of access and internal security control regime;

      2) conduct preventive measures directed at minimization of risks of threats to information security when hiring and firing employees of the insurance (reinsurance) organization.

      15. The human resources unit shall perform the following functions:

      1) provide the signing of non-disclosure obligations by employees of the insurance (reinsurance) organization, also by persons involved in the work under a service contract, trainees, interns;

      2) contribute to organization of awareness raising process in the field of information security for the insurance (reinsurance) organization’s employees.

      16. The legal unit shall provide legal expertise on the internal documents of the insurance (reinsurance) organization regarding information security.

      17. The compliance control unit together with the legal unit of the insurance (reinsurance) organization shall determine the types of information to be included in the list of protected information provided for in paragraph 9 of the Requirements.

      18. The internal audit unit shall perform assessment of condition of the information security management system in accordance with the internal documents of the insurance (reinsurance) organization governing the arrangement of the internal audit system of the insurance (reinsurance) organization.

      19. Heads of insurance (reinsurance) organization’s units shall:

      1) apprise the staff of the information security requirements;

      2) bear personal responsibility for information security safeguarding in the units they are in charge of.

      20. Employees of the insurance (reinsurance) organization shall:

      1) ensure compliance with the information security requirements adopted by the insurance (reinsurance) organization;

      2) notify their immediate supervisor and the information security unit about all dubious situations and violations arising in the work with information assets.

      21. Provision of physical access to information assets of the insurance (reinsurance) organization shall be in line with the internal documents of the insurance (reinsurance) organization.

      22. Access to information shall be provided to employees in the amount necessary for the performance of their functional duties.

      23. Access to information systems of the insurance (reinsurance) organization shall be carried out by identifying and authenticating the users of the insurance (reinsurance) organization’s information systems.

      24. In the information systems of the insurance (reinsurance) organization, solely personalized accounts shall be used.

      25. The use of technology accounts shall be permissible in accordance with the list of such accounts for each information system with indication of individuals that are personally responsible for their use and relevance, approved by the head of the information technology department in coordination with the head of the information security department.

      26. In the information systems of the insurance (reinsurance) organization, functions or means of managing accounts and passwords, also of blocking accounts shall be applied, determined by internal documents of the insurance (reinsurance) organization.

      27. The insurance (reinsurance) organization shall provide backup storage of the data of the information systems of the insurance (reinsurance) organization, their files and settings, which enables restoration of workable copies of the information systems.

      28. The order and periodicity of backup, storage, recovery of information shall be determined by the internal document of the insurance (reinsurance) organization.

      29. The insurance (reinsurance) organization shall provide anti-virus protection of the information infrastructure in accordance with the internal documents of the insurance (reinsurance) organization.

      30. Information systems of the insurance (reinsurance) organization shall use audit trail function, which shall reflect the following events (successful and unsuccessful):

      1) connection setup, identification and authentication in the information system of the insurance (reinsurance) organization;

      2) modification of accounts and their powers;

      3) installation of updates and (or) changes in the information system of the insurance (reinsurance) organization;

      4) change of the audit parameters;

      5) changes of system parameters.

      31. The shelf life of the audit trail shall be at least 3 (three) months in the information systems of the insurance (reinsurance) organization and at least 1 (one) year in the form of backup copies of the audit trail.

      32. The information technology unit shall monitor updates of the insurance (reinsurance) organization’s information systems and, together with the information security unit, shall determine the procedure for managing updates of the insurance (reinsurance) organization’s information systems.

      33. Updates of information systems of the insurance (reinsurance) organization shall be tried in a test environment prior to installation in an industrial environment.

      34. The procedure for assuring physical security of data processing centers shall be determined by the internal documents of the insurance (reinsurance) organization.

      35. The insurance (reinsurance) organization shall determine the list of software authorized for use in the insurance (reinsurance) organization.

      36. The data processing center of the insurance (reinsurance) organization shall be equipped with the following technical safety systems:

      1) access monitoring and control system;

      2) security alarm;

      3) fire alarm;

      4) automatic fire extinguishing system;

      5) system for maintaining specified microclimate parameters;

      6) video surveillance system (CCTV);

      7) uninterruptible power supply system.

      37. Access to the data processing center shall be provided to individuals that are on the list approved by the head of the information technology unit in agreement with the information security unit.

      38. Recording of events shall be made by the video surveillance (CCTV) system of the data processing center continuously or using the motion detection.

      39. The archive of the data center’s CCTV system shall be stored for at least 3 (three) months.

      40. Data on information security incidents obtained in the course of monitoring of the information security activities shall be subject to consolidation, systematization and storage for at least five (5) years.

      41. The insurance (reinsurance) organization shall determine the procedure for notifying the executives and units of insurance (reinsurance) organization about the occurrence of information security incident.

      42. The insurance (reinsurance) organization shall determine the procedure for taking urgent measures to eliminate information security incident, its causes and consequences.

      43. The insurance (reinsurance) organization shall maintain a log of information security incidents in paper or electronic format, in which registration data of the conclusion on the analysis of information security incident shall be entered in accordance with paragraph 46 of the Requirements.

      44. At the collection of technical data from software and hardware involved in the information security incident, the collected data shall be kept safe and unaltered.

      45. Upon the processed results of the information security incident, an analysis shall be conducted of the causes of the information security incident, its mechanism and consequences.

      46. Upon the analysis of the information security incident, a conclusion shall be drawn, reflecting full information on the information security incident, along with proposed corrective actions to reduce the likelihood and possible damage of a repeated security incident.

      47. The insurance (reinsurance) organization shall undertake organizational and technical measures that prohibit the insurance (reinsurance) organization’s employees to install and configure software on their own.

      48. In exceptional cases, individual groups of users shall be permitted to independently install and configure software and hardware. These user groups shall be granted local administrator or similar rights.

      49. The list of users specified in clause 48 of the Requirements shall be formed, updated and approved by the head of the information technology department in agreement with the information security department. In the event of granting additional rights to users in accordance with clause 48 of the Requirements, the information security division shall monitor their exercising.

      50. Annually, no later than January 10 of the year following the reporting year, the insurance (reinsurance) organization shall submit information to the authorized body on the state of the information security management system.

      51. The information specified paragraph 50 of the Requirements shall include data on:

      1) availability of documents governing creation and operation of the information security management system;

      2) availability and numerical composition of software and hardware used to maintain information security;

      3) availability and logistics of the data processing facilities;

      4) measures taken to improve the information security management system and information assets of the insurance (reinsurance) organization or their absence.

      52. The information specified in paragraph 50 of the Requirements shall be compiled in a free form and submitted to the authorized body in electronic format using a guaranteed data transport system with cryptographic security tools to ensure confidentiality and uncorrectability of the submitted data.

      53. The authorized body shall check compliance of the insurance (reinsurance) organization with the Requirements at least once in 3 (three) years.