Қаржы ұйымдарын ақпараттық қауіпсіздік тәуекелдеріне ұшырау дәрежесі бойынша саралау тәртібін қоса алғанда, ақпараттық қауіпсіздік тәуекелдерін бағалау әдістемесін бекіту туралы

Қазақстан Республикасы Қаржы нарығын реттеу және дамыту агенттігі Басқармасының 2020 жылғы 23 қарашадағы № 111 қаулысы. Қазақстан Республикасының Әділет министрлігінде 2020 жылғы 27 қарашада № 21686 болып тіркелді.

      ЗҚАИ-ның ескертпесі!
      Осы қаулы 01.01.2021 бастап қолданысқа енгізіледі

      "Қаржы нарығы мен қаржы ұйымдарын мемлекеттік реттеу, бақылау және қадағалау туралы" 2003 жылғы 4 шілдедегі Қазақстан Республикасының Заңының 13-6-бабы бірінші бөлігінің 2) тармақшасына сәйкес Қазақстан Республикасы Қаржы нарығын реттеу және дамыту агенттігінің Басқармасы ҚАУЛЫ ЕТЕДІ:

      1. Қоса беріліп отырған Қаржы ұйымдарын ақпараттық қауіпсіздік тәуекелдеріне ұшырау дәрежесі бойынша саралау тәртібін қоса алғанда, ақпараттық қауіпсіздік тәуекелдерін бағалау әдістемесі бекітілсін.

      2. Киберқауіпсіздік басқармасы Қазақстан Республикасының заңнамасында белгіленген тәртіппен:

      1) Заң департаментімен бірлесіп осы қаулыны Қазақстан Республикасының Әділет министрлігінде мемлекеттік тіркеуді;

      2) осы қаулыны ресми жарияланғаннан кейін Қазақстан Республикасы Қаржы нарығын реттеу және дамыту агенттігінің ресми интернет-ресурсына орналастыруды;

      3) осы қаулы мемлекеттік тіркелгеннен кейін он жұмыс күні ішінде Заң департаментіне осы тармақтың 2) тармақшасында көзделген іс-шараның орындалуы туралы мәліметтерді ұсынуды қамтамасыз етсін.

      3. Осы қаулының орындалуын бақылау Қазақстан Республикасының Қаржы нарығын реттеу және дамыту агенттігі Төрағасының жетекшілік ететін орынбасарына жүктелсін.

      4. Осы қаулы 2021 жылғы 1 қаңтардан бастап қолданысқа енгізіледі және ресми жариялануға тиіс.

Қазақстан Республикасының Қаржы нарығын реттеу және дамыту Агенттігінің Төрағасы

М. Абылкасымова

Қазақстан Республикасының Қаржы нарығын реттеу және дамыту Агенттігінің Басқармасының 2020 жылғы 23 қарашасы № 111 Қаулысымен бекітілді

Қаржы ұйымдарын ақпараттық қауіпсіздік тәуекелдеріне ұшырау дәрежесі бойынша саралау тәртібін қоса алғанда, ақпараттық қауіпсіздік тәуекелдерін бағалау әдістемесі

1-тарау. Жалпы ережелер

      1. Осы Қаржы ұйымдарын ақпараттық қауіпсіздік тәуекелдеріне ұшырау дәрежесі бойынша саралау тәртібін қоса алғанда, ақпараттық қауіпсіздік тәуекелдерін бағалау әдістемесі (бұдан әрі – Әдістеме) "Қаржы нарығы мен қаржы ұйымдарын мемлекеттік реттеу, бақылау және қадағалау туралы" 2003 жылғы 4 шілдедегі Қазақстан Республикасының Заңына сәйкес әзірленді және ақпараттық қауіпсіздік тәуекелдерін бағалау жөніндегі талаптар қойылатын қаржы ұйымдарында және Қазақстан Республикасының бейрезидент-банктерінің филиалдарында, Қазақстан Республикасының бейрезидент-сақтандыру (қайта сақтандыру) ұйымдарының филиалдарында, Қазақстан Республикасының бейрезидент-сақтандыру брокерлерінің филиалдарында (бұдан әрі – қаржы ұйымдары) ақпараттық қауіпсіздік тәуекелдерін бағалау процесін ұйымдастыру мақсатында, қаржы ұйымдарында ақпараттық қауіпсіздік тәуекелдерін өңдеу кезінде іске қосылған ресурстардың басымдықтарын айқындау және оңтайландыру үшін қолданылады.

      2. Әдістемеде мынадай ұғымдар пайдаланылады:

      1) ақпараттық активтің бизнес-иесі – жұмыс істеу циклін қамтамасыз ету үшін ақпараттық актив пайдаланылатын негізі бизнес-процестің иесі;

      2) ақпараттық қауіпсіздік қатері – ақпараттық қауіпсіздіктің оқыс оқиғаларының пайда болуының алғышарттарын туындататын жағдайлардың және факторлардың жиынтығы;

      3) ақпараттық қауіпсіздік тәуекелі – конфиденциалдылықты бұзу, активтердің тұтастығын немесе қолжетімділігін қасақана бұзу салдарынан зиянның пайда болу ықтималдығы;

      4) ақпараттық қауіпсіздік тәуекелінің деңгейі – оқиғаның және оның салдарының ықтималдылығының комбинациясы;

      5) ақпараттық қауіпсіздіктің бұзылуынан болған залалдың маңыздылық деңгейі – қаржы ұйымында ақпараттық қауіпсіздіктің бұзылуынан болған залалдың артып кетуі жекелеген ақпараттық актив бойынша қаржы ұйымы үшін қолайлы болмайтын деңгейі;

      6) маңызды ақпараттық актив – Нормативтік құқықтық актілерді мемлекеттік тіркеу тізілімінде № 16772 болып тіркелген "Банктердің, Қазақстан Республикасының бейрезидент-банктері филиалдарының және банк операцияларының жекелеген түрлерін жүзеге асыратын ұйымдардың ақпараттық қауіпсіздігін қамтамасыз етуге қойылатын талаптарды, Ақпараттық жүйелердегі бұзушылықтар, іркілістер туралы мәліметтерді қоса алғанда, ақпараттық қауіпсіздіктің оқыс оқиғалары туралы ақпаратты беру қағидалары мен мерзімдерін бекіту туралы" Қазақстан Республикасы Ұлттық Банкі Басқармасының 2018 жылғы 27 наурыздағы № 48 қаулысына сәйкес айқындалатын ақпараттық актив.

      Ескерту. 2-тармақ жаңа редакцияда - ҚР Қаржы нарығын реттеу және дамыту агенттігі Басқармасының 29.04.2022 № 30 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      3. Ақпараттық қауіпсіздік тәуекелдерін бағалау үшін қаржы ұйымы мынадай іс-шаралар жүргізіледі:

      1) маңызды ақпараттық активтердің тізбесін қалыптастыру;

      2) маңызды ақпараттық активтер үшін ақпараттық қауіпсіздік тәуекелдерін бағалау.

2-тарау. Маңызды ақпараттық активтер тізбесін қалыптастыру

      4. Маңызды ақпараттық активтердің тізбесін қалыптастыру және одан әрі маңызын арттыру мақсатында қаржы ұйымдары мынадай процестерді іске асыруды қамтамасыз етеді:

      1) қаржы ұйымының ақпараттық қауіпсіздігін басқару жүйесінің қолдану аясына кіретін бизнес-процестерді талдау;

      2) ақпараттық активтердің ақпараттық қауіпсіздігінің қасиеттерін (конфиденциалдылығы, тұтастығы және қолжетімділігі) бұзудан болған әлеуетті зиянды анықтау;

      3) маңызды ақпараттық активтердің тізбесін қалыптастыру және одан әрі маңызын арттыру.

      5. Қаржы ұйымының ақпараттық қауіпсіздігінің басқару жүйесінің қолдану аясына кіретін бизнес-процестерді талдауды қаржы ұйымының бизнес-процестерінің иелері-бөлімшелері бизнес-процестердің жұмыс істеуі үшін қажетті ақпараттық активтерді идентификаттау мақсатында қаржы ұйымының тәуекелдерді басқару бөлімшесінің басшылығымен жүзеге асырады. Идентификатталатын ақпараттық активтердің түрлері Әдістемеге 1-қосымшаға сәйкес ақпараттық активтер түрлерінің тізбесі бойынша айқындалады.

      Ақпараттық активтерді идентификаттау үшін қаржы ұйымының бизнес-процесінің иесі бөлімшесінің шешімі бойынша қаржы ұйымының ақпараттық технологиялар бөлімшесі тартылады.

      6. Әрбір идентификатталған ақпараттық актив бойынша қаржы ұйымы ақпараттық қауіпсіздікті бұзудан болған әлеуметтік зиянның мынадай түрлерін айқындайды:

      1) ақпараттық активтің конфиденциалдығын бұзудан болған зиян;

      2) ақпараттық активтің тұтастығын бұзудан болған зиян;

      3) ақпараттық активтің қолжетімділігін бұзудан болған зиян.

      Ақпараттық активтердің бизнес-иелері қаржы ұйымының тәуекелдерді басқару бөлімшесінің басшылығымен зиянды анықтайды.

      7. Ақпараттық активтердің ақпараттық қауіпсіздігінің бұзылуынан болған әлеуетті зиянды бағалау үшін қаржы ұйымы зиянды бағалауға:

      1) қаржы ұйымының ақпараттық активтерді пайдаланатын бизнес-процестерге сәйкес кәсіби қызметті регламенттейтін ішкі құжаттарын;

      2) ақпараттық активтерді пайдаланатын бизнес-процестер, сондай-ақ ақпараттық активтермен жұмыс процестерін;

      3) Әдістеменің 8-тармағында көрсетілген әлеуетті зиянның мөлшеріне ықпал ететін факторларды білетін қызметкерлердің қатысуын қамтамасыз етеді.

      8. Қаржы ұйымының ақпараттық активтің құпиялылығын, тұтастығын және қолжетімділігін бұзудан болатын ықтимал зияндарды айқындауы мынадай факторларды ескере отырып жүзеге асырылады:

      1) қаржы ұйымындағы бизнес - процестердің өмірлік цикліне бұзушылықтың әсер ету дәрежесі;

      2) бұзушылықтың қаржы ұйымының іскерлік беделіне әсер ету дәрежесі;

      3) қаржы ұйымының ықтимал қаржылық шығындарының көлемі;

      4) Қазақстан Республикасы заңнамасының, оның ішінде Қаржы нарығы мен қаржы ұйымдарын реттеу, бақылау мен қадағалау жөніндегі уәкілетті органның (бұдан әрі – уәкілетті орган) нормативтік құқықтық актілерінің талаптарын және (немесе) қаржы ұйымының шарттық міндеттемелерін ықтимал бұзудың салдарлары;

      5) ақпараттық актив өңдейтін қорғалатын маңызды ақпараттың көлемі.

      9. Ақпараттық активтерді жіктеуді жүзеге асыру мақсатында қаржы ұйымының тәуекелдерді басқару жөніндегі бөлімшесі ақпараттық қауіпсіздікті бұзудан болған зияндардың маңыздылығы деңгейін белгілейді. Ақпараттық қауіпсіздікті бұзудан болған зияндардың маңыздылығы деңгейі қаржы ұйымындағы операциялық тәуекелдерге арналған тәуекел-тәбетіне және ол қаржы ұйымында болған кезде ақпараттық қауіпсіздік тәуекелдеріне арналған тәуекел-тәбетіне сәйкес айқындалады.

      10. Маңызды ақпараттық активтердің тізбесін қаржы ұйымының тәуекелдерді басқару бөлімшесінің басшылығымен жұмыс тобы қалыптастырады және жаңартып отырады. Маңызды ақпараттық активтердің тізбесіне олардың ерекшеліктерін бұзудан болған зияндар ақпараттық қауіпсіздікті бұзудан болған зияндардың маңыздылығының белгіленген деңгейінен асатын ақпараттық активтер кіреді. Әрбір маңызды ақпараттық актив үшін Әдістемеге 1-қосымшаға сәйкес Ақпараттық активтер түрлерінің тізбесіне сәйкес оның түрі мен типі, ерекшеліктерін (конфиденциалдығын, тұтастығын және (немесе) қолжетімділігін) бұзудан болған зияндар, сондай-ақ ақпараттық активтің бизнес-иесі көрсетіледі.

3-тарау. Маңызды ақпараттық активтер үшін ақпараттық қауіпсіздік тәуекелін бағалау

      11. Маңызды ақпараттық активтер үшін ақпараттық қауіпсіздік тәуекелін бағалау мақсатында қаржы ұйымдары мынадай процестерді іске асыруды қамтамасыз етеді:

      1) маңызды ақпараттық активтерге ақпараттық қауіпсіздік қатерлерін идентификаттау;

      2) маңызды ақпараттық активтер үшін релевантты ақпараттық қауіпсіздік қатерлерінің көздерін идентификаттау;

      3) маңызды ақпараттық активтердің осалдықтарын идентификаттау;

      4) ақпараттық қауіпсіздік тәуекелдерін басқарудың қолданыстағы шараларын идентификаттау;

      5) маңызды ақпараттық активтерге ақпараттық қауіпсіздік қатерлері көздерінің ақпараттық қауіпсіздік қатерлеріне әкеп соғу ықтималын бағалау;

      6) ақпараттық қауіпсіздік тәуекелдерінің деңгейін бағалау.

      12. Маңызды ақпараттық активтерге ақпараттық қауіпсіздік қатерлерін идентификаттауды қаржы ұйымының ақпараттық қауіпсіздігі жөніндегі бөлімшесі жүзеге асырады. Әрбір маңызды ақпараттық актив үшін ақпараттық қауіпсіздік қатерлеріне, оның ішінде Әдістемеге 2-қосымшаға сәйкес Ақпараттық активтерге ақпараттық қауіпсіздік қатерлерінің тізбесінде көрсетілген ақпараттық қауіпсіздік қатерлеріне талдау жасалады.

      13. Маңызды ақпараттық активтер үшін орынды ақпараттық қауіпсіздік қатерлерінің көздерін идентификаттауды қаржы ұйымының ақпараттық қауіпсіздігі жөніндегі бөлімшесі Әдістеменің 10-тармағында көрсетілген маңызды ақпараттық активтер тізбесінің және Әдістеменің 12-тармағына сәйкес идентификатталған маңызды ақпараттық активтерге ақпараттық қауіпсіздік қатерлерінің негізінде жүзеге асырады. Маңызды ақпараттық активтерге ақпараттық қауіпсіздіктің әрбір идентификатталған қатері үшін Әдістемеге 3-қосымшаға сәйкес Ақпараттық қауіпсіздік қатерлерінің үлгі көздерінің тізбесінде көрсетілген ақпараттық қауіпсіздік қатерлерінің көздерін ескере отырып, ақпараттық қауіпсіздік қатерлерінің релевантты көздеріне талдау жасалады.

      14. Маңызды ақпараттық активтердің осалдықтарын идентификаттауды қаржы ұйымының ақпараттық қауіпсіздігі жөніндегі бөлімшесі Әдістеменің 10-тармағында көрсетілген маңызды ақпараттық активтер тізбесінің негізінде, мынадай ақпаратты ескере отырып жүзеге асырады:

      1) ақпараттық активтің конструкциясы туралы;

      2) ақпараттық активтің нақты орналасуы туралы;

      3) бағдарламалық кодтағы белгілі қателер туралы;

      4) конфигурациядағы қателер туралы;

      5) ақпараттық активті пайдалану процесінің кемшіліктері туралы.

      15. Маңызды ақпараттық активтер үшін ақпараттық қауіпсіздік тәуекелдерін басқарудың бар шараларын идентификаттауды қаржы ұйымының ақпараттық қауіпсіздік бөлімшесі Әдістеменің 10-тармағында көрсетілген маңызды ақпараттық активтердің тізбесі негізінде маңызды ақпараттық активтердің ақпараттық қауіпсіздігін қамтамасыз ету процесіндегі орын алған кемшіліктерді не оны бұзу салдарын түзетуге бағытталған ұйымдастыру және техникалық іс-шаралар туралы ақпаратты ескере отырып жүзеге асырады.

      16. Ақпараттық қауіпсіздік қаупінің маңызды ақпараттық активтерге іске асу ықтималдығын ақпараттық қауіпсіздік қаупі дереккөздерімен бағалауды қаржы ұйымының ақпараттық қауіпсіздік бөлімшесі маңызды ақпараттық актив үшін ақпараттық қауіпсіздік қаупі, ақпараттық қауіпсіздік қаупі және осалдық дереккөзінің барлық релевантты комбинациялары үшін мына ақпаратты ескере отырып жүзеге асырады:

      1) тиісті маңызды ақпараттық активтерге қатысты ақпараттық қауіпсіздік қаупі дереккөзінің орналасуы (ішкі немесе сырты) туралы деректер. Ақпараттық қауіпсіздік қаупінің ішкі дереккөздері үшін активті пайдаланушылар саны, ақпараттық қауіпсіздік қаупінің сыртқы дереккөздері үшін қорғау өлшемінен тыс ықтимал кіру рұқсатының болуы;

      2) ақпараттық қауіпсіздік қаупі дереккөзіне кіру рұқсатының деңгейі туралы деректер;

      3) ақпараттық қауіпсіздік қаупінің бұрын маңызды ақпараттық активке іске асу жиілігі туралы статистикалық деректер;

      4) ақпараттық қауіпсіздік қаупінің маңызды ақпараттық активке іске асуының күрделілігі туралы ақпарат;

      5) қарастырылып отырған маңызды ақпараттық активтерде қорғау шараларының бар болуы туралы деректер.

      17. Ақпараттық қауіпсіздік қаупінің маңызды ақпараттық активтерге іске асу ықтималдығын бағалауға ақпараттық қауіпсіздік қаупінің дереккөздері бірнеше сарапшыларды тартқан және түрлі бағалар алған кезде анағұрлым ықтималдықты айқындайтын бағаға тең жинақталған жиынтық баға қабылданады.

      18. Ақпараттық қауіпсіздік тәуекелдері деңгейін бағалау ақпараттық қауіпсіздік қаупінің маңызды ақпараттық активтерге іске асу ықтималдығын ақпараттық қауіпсіздік дереккөздерімен бағалауды және маңызды ақпараттық активтердің конфиденциалдығы, тұтастығы немесе қолжетімділігі бұзылуынан тиісті әлеуетті шығындарды бағалауды салыстыру негізінде жүргізіледі.

4-тарау. Қаржы ұйымдарын ақпараттық қауіпсіздік тәуекелдеріне ұшырау дәрежесі бойынша саралау

      19. Қаржы ұйымдарын ақпараттық қауіпсіздік тәуекелдеріне ұшырау дәрежесі бойынша саралауды уәкілетті орган мынадай көрсеткіштер бойынша жүзеге асырады:

      1) ықтимал залалдардың көрсеткіші, ол қаржылық ұйымның барлық маңызды ақпараттық активтерінің конфиденциалдылықты, тұтастықты және қолжетімділігін бұзудан болатын ықтимал залалдардың жалпы сомасы ретінде айқындалады;

      2) маңызды ақпараттық активтер үлесінің көрсеткіші, ол барлық маңызды ақпараттық активтердің конфиденциалдылықты, тұтастықты және қолжетімділігін бұзудан болатын шығындардың жалпы сомасының банктің меншікті капиталына немесе банктік операциялардың жекелеген түрлерін жүзеге асыратын ұйымның жарғылық капиталына қатынасы ретінде айқындалады.

      20. Саралауды жүзеге асыру үшін ақпаратты қаржы ұйымдары уәкілетті органның сұратуы бойынша ұсынады.

      21. Ықтимал залалдардың көрсеткіші үшін саралау жоғарыдан төменгіге дейін жүргізіледі.

      22. Маңызды ақпараттық активтер үлесінің көрсеткіші үшін саралау төменнен жоғарыға жүргізіледі.

Қаржы ұйымдарын ақпараттық қауіпсіздік тәуекелдеріне ұшырау дәрежесі бойынша саралау тәртібін қоса алғанда, ақпараттық қауіпсіздік тәуекелдерін бағалау әдістемесіне 1-қосымша

Ақпараттық активтер түрлерінің тізбесі

Актив түрі	Типі
Ақпаратты өңдеудің жеке құрылғысы (компьютер, планшет, ноутбук, смартфон)	Аппараттық
Ақпаратты тасымалдаушы	Аппараттық
Перифериялық компьютерлік жабдық	Аппараттық
Сервер	Аппараттық
Желілік жабдық	Аппараттық
Телефония аппаратурасы	Аппараттық
Байланыстың нақты арнасы	Аппараттық
Дерекқор	Бағдарламалық
Байланыстың виртуалды арнасы	Бағдарламалық
Виртуалдандыру жүйесі	Бағдарламалық
Операциялық жүйе	Бағдарламалық
Аппараттық құралдарды бағдарламалық қамтамасыз ету	Бағдарламалық
Қолданбалы бағдарламалық қамтамасыз ету	Бағдарламалық
Телефонияны бағдарламалық қамтамасыз ету	Бағдарламалық

Қаржы ұйымдарын ақпараттық қауіпсіздік тәуекелдеріне ұшырау дәрежесі бойынша саралау тәртібін қоса алғанда, ақпараттық қауіпсіздік тәуекелдерін бағалау әдістемесіне 2-қосымша

Ақпараттық активтерге ақпараттық қауіпсіздік қатерлерінің тізбесі

Актив типі	Ақпараттық қауіпсіздік қатері	Әсері
Аппараттық	Нақты ұрлау	Конфиденциалдылық, қолжетімділік
Аппараттық	Рұқсат етілмеген нақты қол жеткізу	Конфиденциалдылық, тұтастылық, қолжетімділік
Аппараттық	Нақты бұзылу	Қолжетімділік
Бағдарламалық	Жою	Қолжетімділік
Бағдарламалық	Рұқсат етілмеген кодтың орындалуы	Конфиденциалдылық, тұтастылық, қолжетімділік
Бағдарламалық	Бағдарламалық қате	Конфиденциалдылық, тұтастылық, қолжетімділік
Бағдарламалық	Конфигурация қатесі	Конфиденциалдылық, тұтастылық, қолжетімділік

Қаржы ұйымдарын ақпараттық қауіпсіздік тәуекелдеріне ұшырау дәрежесі бойынша саралау тәртібін қоса алғанда, ақпараттық қауіпсіздік тәуекелдерін бағалау әдістемесіне 3-қосымша

Ақпараттық қауіпсіздік қатерлерінің үлгі көздерінің тізбесі

Ақпараттық қауіпсіздік қатерлерінің көзі	Орналасуы	Қол жеткізу деңгейі
Хакерлер	Сыртқы	Төмен
Пайдаланушы	Ішкі	Орташа
Артықшылық берілген пайдаланушы	Ішкі	Жоғары

Об утверждении методики оценки рисков информационной безопасности, включая порядок ранжирования финансовых организаций по степени подверженности рискам информационной безопасности

Постановление Правления Агентства Республики Казахстан по регулированию и развитию финансового рынка от 23 ноября 2020 года № 111. Зарегистрировано в Министерстве юстиции Республики Казахстан 27 ноября 2020 года № 21686.

      Настоящее постановление вводится в действие с 1 января 2021 года.

      В соответствии с подпунктом 2) части первой статьи 13-6 Закона Республики Казахстан от 4 июля 2003 года "О государственном регулировании, контроле и надзоре финансового рынка и финансовых организаций" Правление Агентства Республики Казахстан по регулированию и развитию финансового рынка ПОСТАНОВЛЯЕТ:

      1. Утвердить прилагаемую Методику оценки рисков информационной безопасности, включая порядок ранжирования финансовых организаций по степени подверженности рискам информационной безопасности.

      2. Управлению кибербезопасности в установленном законодательством Республики Казахстан порядке обеспечить:

      1) совместно с Юридическим департаментом государственную регистрацию настоящего постановления в Министерстве юстиции Республики Казахстан;

      2) размещение настоящего постановления на официальном интернет-ресурсе Агентства Республики Казахстан по регулированию и развитию финансового рынка после его официального опубликования;

      3) в течение десяти рабочих дней после государственной регистрации настоящего постановления представление в Юридический департамент сведений об исполнении мероприятия, предусмотренного подпунктом 2) настоящего пункта.

      3. Контроль за исполнением настоящего постановления возложить на курирующего заместителя Председателя Агентства Республики Казахстан по регулированию и развитию финансового рынка.

      4. Настоящее постановление вводится в действие с 1 января 2021 года и подлежит официальному опубликованию.

Председатель Агентства Республики Казахстан по регулированию и развитию финансового рынка

М. Абылкасымова

Утверждена постановлением Правления Агентства Республики Казахстан по регулированию и развитию финансового рынка от 23 ноября 2020 года № 111

Методика оценки рисков информационной безопасности, включая порядок ранжирования финансовых организаций по степени подверженности рискам информационной безопасности

Глава 1. Общие положения

      1. Настоящая Методика оценки рисков информационной безопасности, включая порядок ранжирования финансовых организаций по степени подверженности рискам информационной безопасности (далее - Методика), разработана в соответствии с Законом Республики Казахстан от 4 июля 2003 года "О государственном регулировании, контроле и надзоре финансового рынка и финансовых организаций" и применяется в целях организации процесса оценки рисков информационной безопасности в финансовых организациях и филиалах банков - нерезидентов Республики Казахстан, филиалах страховых (перестраховочных) организаций - нерезидентов Республики Казахстан, филиалах страховых брокеров - нерезидентов Республики Казахстан (далее – финансовые организации), к которым предъявляются требования по проведению оценки рисков информационной безопасности, для определения приоритетов и оптимизации ресурсов, задействованных при обработке рисков информационной безопасности в финансовых организациях.

      2. В Методике используются следующие понятия:

      1) бизнес-владелец информационного актива – владелец основного бизнес-процесса, для обеспечения жизненного цикла которого используется информационный актив;

      2) угроза информационной безопасности – совокупность условий и факторов, создающих предпосылки к возникновению инцидента информационной безопасности;

      3) риск информационной безопасности – вероятное возникновение ущерба вследствие нарушения конфиденциальности, преднамеренного нарушения целостности или доступности информационных активов;

      4) уровень риска информационной безопасности - комбинация вероятности события и его последствий;

      5) уровень существенности убытков от нарушения информационной безопасности – уровень убытков от нарушения информационной безопасности в финансовой организации, превышение которого по отдельному информационному активу не приемлемо для финансовой организации;

      6) критичный информационный актив – информационный актив, определяемый в соответствии с постановлением Правления Национального Банка Республики Казахстан от 27 марта 2018 года № 48 "Об утверждении Требований к обеспечению информационной безопасности банков, филиалов банков-нерезидентов Республики Казахстан и организаций, осуществляющих отдельные виды банковских операций, Правил и сроков предоставления информации об инцидентах информационной безопасности, включая сведения о нарушениях, сбоях в информационных системах", зарегистрированным в Реестре государственной регистрации нормативных правовых актов под № 16772.

      Сноска. Пункт 2 - в редакции постановления Правления Агентства РК по регулированию и развитию финансового рынка от 29.04.2022 № 30 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      3. Для оценки рисков информационной безопасности финансовой организацией проводятся следующие мероприятия:

      1) формирование перечня критичных информационных активов;

      2) оценка рисков информационной безопасности для критичных информационных активов.

Глава 2. Формирование перечня критичных информационных активов

      4. В целях формирования и последующей актуализации перечня критичных информационных активов финансовые организации обеспечивают реализацию следующих процессов:

      1) анализ бизнес-процессов, входящих в область действия системы управления информационной безопасностью финансовой организации;

      2) определение потенциальных убытков от нарушения свойств информационной безопасности (конфиденциальности, целостности и доступности) информационных активов;

      3) формирование и последующая актуализация перечня критичных информационных активов.

      5. Анализ бизнес-процессов, входящих в область действия системы управления информационной безопасностью финансовой организации, осуществляется подразделениями-владельцами бизнес-процессов финансовой организации под руководством подразделения по управлению рисками финансовой организации с целью идентификации информационных активов, необходимых для функционирования бизнес-процессов. Виды идентифицируемых информационных активов определяются по перечню видов информационных активов согласно приложению 1 к Методике.

      Для идентификации информационных активов по решению подразделения-владельца бизнес-процесса финансовой организации привлекается подразделение по информационным технологиям финансовой организации.

      6. По каждому идентифицированному информационному активу финансовая организация определяет следующие виды потенциальных убытков от нарушения информационной безопасности:

      1) убытки от нарушения конфиденциальности информационного актива;

      2) убытки от нарушения целостности информационного актива;

      3) убытки от нарушения доступности информационного актива.

      Убытки определяются бизнес-владельцами информационных активов под руководством подразделения по управлению рисками финансовой организации.

      7. Для оценки потенциальных убытков от нарушения информационной безопасности информационных активов финансовая организация обеспечивает участие в оценке убытков сотрудников, обладающих знаниями:

      1) внутренних документов финансовой организации, регламентирующих профессиональную деятельность, соответствующую бизнес-процессам, в которых используются информационные активы;

      2) бизнес-процессов, в которых используются информационные активы, а также процессов работы с информационными активами;

      3) факторов, влияющих на размер потенциальных убытков, указанных в пункте 8 Методики.

      8. Определение потенциальных убытков от нарушения конфиденциальности, целостности и доступности информационного актива финансовой организацией осуществляется с учетом следующих факторов:

      1) степень влияния нарушения на жизненный цикл бизнес-процессов в финансовой организации;

      2) степень влияния нарушения на деловую репутацию финансовой организации;

      3) объем возможных финансовых потерь финансовой организации;

      4) последствия от возможного нарушения требований законодательства Республики Казахстан, в том числе нормативных правовых актов уполномоченного органа по регулированию, контролю и надзору финансового рынка и финансовых организаций (далее – уполномоченный орган), и (или) договорных обязательств финансовой организации;

      5) объем критичной защищаемой информации, обрабатываемой информационным активом.

      9. В целях осуществления классификации информационных активов подразделение по управлению рисками финансовой организации устанавливает уровень существенности убытков от нарушения информационной безопасности. Уровень существенности убытков от нарушения информационной безопасности определяется в соответствии с риск-аппетитом для операционных рисков в финансовой организации или риск-аппетитом для рисков информационной безопасности при его наличии в финансовой организации.

      10. Перечень критичных информационных активов формируется и актуализируется рабочей группой под руководством подразделения по управлению рисками финансовой организации. В перечень критичных информационных активов включаются информационные активы, убытки от нарушения свойств которых превышают установленный уровень существенности убытков от нарушения информационной безопасности. Для каждого критичного информационного актива указывается его вид и тип в соответствии с Перечнем видов информационных активов согласно приложению 1 к Методике, убытки от нарушения свойств (конфиденциальности, целостности и (или) доступности), а также бизнес-владелец информационного актива.

Глава 3. Оценка рисков информационной безопасности для критичных информационных активов

      11. В целях осуществления оценки рисков информационной безопасности для критичных информационных активов финансовые организации обеспечивают реализацию следующих процессов:

      1) идентификация угроз информационной безопасности критичным информационным активам;

      2) идентификация источников угроз информационной безопасности, релевантных для критичных информационных активов;

      3) идентификация уязвимостей критичных информационных активов;

      4) идентификация существующих мер управления рисками информационной безопасности;

      5) оценка вероятности реализации угроз информационной безопасности критичным информационным активам источниками угроз информационной безопасности;

      6) оценка уровня рисков информационной безопасности.

      12. Идентификация угроз информационной безопасности критичным информационным активам осуществляется подразделением по информационной безопасности финансовой организации. Для каждого критичного информационного актива анализируются угрозы информационной безопасности, в том числе указанные в Перечне угроз информационной безопасности информационным активам согласно приложению 2 к Методике.

      13. Идентификация источников угроз информационной безопасности, релевантных для критичных информационных активов, осуществляется подразделением по информационной безопасности финансовой организации на основании перечня критичных информационных активов, указанного в пункте 10 Методики, и угроз информационной безопасности критичным информационным активам, идентифицированных в соответствии с пунктом 12 Методики. Для каждой идентифицированной угрозы информационной безопасности критичным информационным активам анализируются релевантные источники угроз информационной безопасности с учетом источников угроз информационной безопасности, указанных в Перечне типовых источников угроз информационной безопасности согласно приложению 3 к Методике.

      14. Идентификация уязвимостей критичных информационных активов осуществляется подразделением по информационной безопасности финансовой организации на основании перечня критичных информационных активов, указанного в пункте 10 Методики, с учетом следующей информации о (об):

      1) конструкции информационного актива;

      2) физическом расположении информационного актива;

      3) известных ошибках в программном коде;

      4) ошибках в конфигурации;

      5) недостатках процесса эксплуатации информационного актива.

      15. Идентификация существующих мер управления рисками информационной безопасности для критичных информационных активов осуществляется подразделением по информационной безопасности финансовой организации на основании перечня критичных информационных активов, указанного в пункте 10 Методики, с учетом информации об организационных и технических мероприятиях, направленных на исправление существующих недостатков в процессе обеспечения информационной безопасности критичных информационных активов либо последствий ее нарушения.

      16. Оценка вероятности реализации угроз информационной безопасности критичным информационным активам источниками угроз информационной безопасности осуществляется подразделением по информационной безопасности финансовой организации для всех релевантных для критичного информационного актива комбинаций источника угрозы информационной безопасности, угрозы информационной безопасности и уязвимости, с учетом следующей информации:

      1) данные о расположении источника угрозы информационной безопасности относительно соответствующих критичных информационных активов (внутренний или внешний). Для внутренних источников угроз информационной безопасности учитывается количество пользователей актива, для внешних источников угроз информационной безопасности – наличие возможного доступа извне периметра защиты;

      2) данные об уровне доступа источника угрозы информационной безопасности;

      3) статистические данные о частоте реализации угрозы информационной безопасности критичному информационному активу в прошлом;

      4) информация о сложности реализации угрозы информационной безопасности критичному информационному активу;

      5) данные о наличии у рассматриваемых критичных информационных активов защитных мер.

      17. При привлечении к оценке вероятности реализации угрозы информационной безопасности критичным информационным активам источниками угроз информационной безопасности нескольких экспертов и получении разных оценок итоговая, обобщенная оценка принимается равной оценке, определяющей наибольшую вероятность.

      18. Оценка уровня рисков информационной безопасности проводится на основании сопоставления оценок вероятности реализации угрозы информационной безопасности критичным информационным активам источниками угроз информационной безопасности и оценок соответствующих потенциальных убытков от нарушения конфиденциальности, целостности или доступности критичного информационного актива.

Глава 4. Ранжирование финансовых организаций по степени подверженности рискам информационной безопасности

      19. Ранжирование финансовых организаций по степени подверженности рискам информационной безопасности осуществляется уполномоченным органом по следующим показателям:

      1) показатель потенциальных убытков, который определяется как общая сумма потенциальных убытков от нарушения конфиденциальности, целостности и доступности всех критичных информационных активов финансовой организации;

      2) показатель доли критичных информационных активов, который определяется как соотношение общей суммы убытков от нарушения конфиденциальности, целостности и доступности всех критичных информационных активов к собственному капиталу банка или уставному капиталу организации, осуществляющей отдельные виды банковских операций.

      20. Информация для осуществления ранжирования предоставляется финансовыми организациями по запросу уполномоченного органа.

      21. Для показателя потенциальных убытков ранжирование осуществляется от максимального к минимальному.

      22. Для показателя доли критичных информационных активов ранжирование осуществляется от минимального к максимальному.

Приложение 1 к Методике оценки рисков информационной безопасности, включая порядок ранжирования финансовых организаций по степени подверженности рискам информационной безопасности

Перечень видов информационных активов

Вид актива	Тип
Индивидуальное устройство обработки информации (компьютер, планшет, ноутбук, смартфон)	Аппаратный
Носитель информации	Аппаратный
Периферийное компьютерное оборудование	Аппаратный
Сервер	Аппаратный
Сетевое оборудование	Аппаратный
Аппаратура телефонии	Аппаратный
Физический канал связи	Аппаратный
База данных	Программный
Виртуальный канал связи	Программный
Система виртуализации	Программный
Операционная система	Программный
Программное обеспечение аппаратных средств	Программный
Прикладное программное обеспечение	Программный
Программное обеспечение телефонии	Программный

Приложение 2 к Методике оценки рисков информационной безопасности, включая порядок ранжирования финансовых организаций по степени подверженности рискам информационной безопасности

Перечень угроз информационной безопасности информационным активам

Тип актива	Угроза информационной безопасности	Влияние
Аппаратный	Физическое хищение	Конфиденциальность, доступность
Аппаратный	Несанкционированный физический доступ	Конфиденциальность, целостность, доступность
Аппаратный	Физическое разрушение	Доступность
Программный	Удаление	Доступность
Программный	Исполнение несанкционированного кода	Конфиденциальность, целостность, доступность
Программный	Программная ошибка	Конфиденциальность, целостность, доступность
Программный	Ошибка конфигурации	Конфиденциальность, целостность, доступность

Приложение 3 к Методике оценки рисков информационной безопасности, включая порядок ранжирования финансовых организаций по степени подверженности рискам информационной безопасности

Перечень типовых источников угроз информационной безопасности

Источник угрозы информационной безопасности	Расположение	Уровень доступа
Хакеры	Внешнее	Низкий
Пользователь	Внутреннее	Средний
Привилегированный пользователь	Внутреннее	Высокий