Қазақстан Республикасының кейбір нормативтік құқықтық актілеріне қаржы нарығындағы ақпараттық қауіпсіздікті реттеу мәселелері бойынша өзгерістер енгізу туралы

Қазақстан Республикасы Қаржы нарығын реттеу және дамыту агенттігі Басқармасының 2022 жылғы 29 сәуірдегі № 30 қаулысы. Қазақстан Республикасының Әділет министрлігінде 2022 жылғы 6 мамырда № 27949 болып тіркелді

      Қазақстан Республикасы Қаржы нарығын реттеу және дамыту агенттігінің Басқармасы ҚАУЛЫ ЕТЕДІ:

      1. Осы қаулыға қосымшаға сәйкес Өзгерістер енгізілетін Қазақстан Республикасының қаржы нарығындағы ақпараттық қауіпсіздікті реттеу мәселелері бойынша нормативтік құқықтық актілерінің тізбесі бекітілсін.

      2. Киберқауіпсіздік басқармасы Қазақстан Республикасының заңнамасында белгіленген тәртіппен:

      1) Заң департаментімен бірлесіп осы қаулыны Қазақстан Республикасының Әділет министрлігінде мемлекеттік тіркеуді;

      2) осы қаулыны ресми жарияланғаннан кейін Қазақстан Республикасы Қаржы нарығын реттеу және дамыту агенттігінің ресми интернет-ресурсына орналастыруды;

      3) осы қаулы мемлекеттік тіркелгеннен кейін он жұмыс күні ішінде Заң департаментіне осы тармақтың 2) тармақшасында көзделген іс-шараның орындалуы туралы мәліметтерді ұсынуды қамтамасыз етсін.

      3. Осы қаулының орындалуын бақылау Қазақстан Республикасының Қаржы нарығын реттеу және дамыту агенттігі Төрағасының жетекшілік ететін орынбасарына жүктелсін.

      4. Осы қаулы алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі.

      Қазақстан Республикасының
Қаржы нарығын реттеу және дамыту
Агенттігінің Төрағасы
М. Абылкасымова
     
      "КЕЛІСІЛДІ"
Қазақстан Республикасының
Ұлттық Банкі

  Қаулыға қосымша

Өзгерістер енгізілетін Қазақстан Республикасының қаржы нарығындағы ақпараттық қауіпсіздікті реттеу мәселелері бойынша нормативтік құқықтық актілерінің тізбесі

      1. "Банктердің, Қазақстан Республикасының бейрезидент-банктері филиалдарының және банк операцияларының жекелеген түрлерін жүзеге асыратын ұйымдардың ақпараттық қауіпсіздігін қамтамасыз етуге қойылатын талаптарды, Ақпараттық жүйелердегі бұзушылықтар, іркілістер туралы мәліметтерді қоса алғанда, ақпараттық қауіпсіздіктің оқыс оқиғалары туралы ақпаратты беру қағидалары мен мерзімдерін бекіту туралы" Қазақстан Республикасы Ұлттық Банкі Басқармасының 2018 жылғы 27 наурыздағы № 48 қаулысына (Қазақстан Республикасының нормативтік құқықтық актілерін мемлекеттік тіркеу тізілімінде № 16772 болып тіркелген) мынадай өзгерістер енгізілсін:

      Банктердің, Қазақстан Республикасының бейрезидент-банктері филиалдарының және банк операцияларының жекелеген түрлерін жүзеге асыратын ұйымдардың ақпараттық қауіпсіздігін қамтамасыз етуге қойылатын талаптар осы Өзгерістер енгізілетін Қазақстан Республикасының қаржы нарығындағы ақпараттық қауіпсіздікті реттеу мәселелері бойынша нормативтік құқықтық актілерінің тізбесіне (бұдан әрі – Тізбе) 1-қосымшаға сәйкес редакцияда жазылсын;

      Ақпараттық жүйелердегі бұзушылықтар, іркілістер туралы мәліметтерді қоса алғанда, ақпараттық қауіпсіздіктің оқыс оқиғалары туралы ақпаратты беру қағидалары мен мерзімдері Тізбеге 2-қосымшаға сәйкес редакцияда жазылсын.

      2. "Ақпараттық қауіпсіздіктің оқыс оқиғаларына ден қою қызметтеріне, ақпараттық қауіпсіздіктің оқыс оқиғаларына ішкі тергеп-тексерулер жүргізуге қойылатын талаптарды бекіту туралы" Қазақстан Республикасының Қаржы нарығын реттеу және дамыту агенттігі Басқармасының 2020 жылғы 21 қыркүйектегі № 90 қаулысына (Қазақстан Республикасының нормативтік құқықтық актілерін мемлекеттік тіркеу тізілімінде № 21274 болып тіркелген) мынадай өзгеріс енгізілсін:

      көрсетілген қаулымен бекітілген Ақпараттық қауіпсіздіктің оқыс оқиғаларына ден қою қызметтеріне, ақпараттық қауіпсіздіктің оқыс оқиғаларына ішкі тергеп-тексерулер жүргізуге қойылатын талаптарда:

      2-тармақ мынадай редакцияда жазылсын:

      "2. Талаптарда "Ақпараттандыру туралы" Қазақстан Республикасының Заңында және Нормативтік құқықтық актілерді мемлекеттік тіркеу тізілімінде № 16772 болып тіркелген "Банктердің, Қазақстан Республикасының бейрезидент-банктері филиалдарының және банк операцияларының жекелеген түрлерін жүзеге асыратын ұйымдардың ақпараттық қауіпсіздігін қамтамасыз етуге қойылатын талаптарды, Ақпараттық жүйелердегі бұзушылықтар, іркілістер туралы мәліметтерді қоса алғанда, ақпараттық қауіпсіздіктің оқыс оқиғалары туралы ақпаратты беру қағидалары мен мерзімдерін бекіту туралы" Қазақстан Республикасы Ұлттық Банкі Басқармасының 2018 жылғы 27 наурыздағы № 48 қаулысында көзделген ұғымдар, сондай-ақ мынадай ұғымдар пайдаланылады:

      1) ақпараттық қауіпсіздік оқиғаларын ретроспективтік талдау –ақпараттық қауіпсіздіктің бұрын байқалған оқыс оқиғаларын анықтау мақсатында белгілі уақыт аралығы үшін ақпараттық қауіпсіздік оқиғаларын мониторингтеу барысында алынған деректер жиынтығын талдау;

      2) ақпараттық қауіпсіздіктің оқыс оқиғаларына ішкі тергеп-тексеру – ақпараттық қауіпсіздіктің оқыс оқиғасының туындау, ақпараттық қауіпсіздіктің оқыс оқиғасының іске асырылу тәртібінің себептері мен алғышарттарын белгілеу, ақпараттық қауіпсіздіктің оқыс оқиғасының іске асырылуының әсер ету ауқымын және одан болған шығынды бағалау, ақпараттық қауіпсіздіктің оқыс оқиғаларына ден қою үшін қабылданған шаралардың тиімділігін талдау мақсатында банктің, ұйымның қызметкерлері және үшінші тұлғалар жүзеге асыратын процесс;

      3) ден қоюдың стандартты рәсімі – ақпараттық қауіпсіздіктің оқыс-оқиғасын оқшаулау бойынша шұғыл шаралар қолдану тәртібі, оның туындау ықтималдылығы қысқа мерзімде ақпараттық қауіпсіздіктің оқыс оқиғасының туындау тәуекелін төмендету мүмкіндігінсіз жоғары;

      4) компрометация индикаторы – объектінің электрондық тасымалдағыштардағы немесе желілік трафиктегі энергияға тәуелді жадыда байқалатын, құрылғының компрометациясына үлкен ықтималдылық үлесіпен көрсететін бірегей сипаттамасы;

      5) осалдық – ақпараттық жүйенің немесе оның жекелеген элементтерінің жетіспеушілігі, оны пайдалану ақпараттық жүйенің тұтастығын және (немесе) конфиденциалдылығы және (немесе) қолжетімділігін бұзуға әкеледі.".

      3. "Қаржы ұйымдарын ақпараттық қауіпсіздік тәуекелдеріне ұшырау дәрежесі бойынша саралау тәртібін қоса алғанда, ақпараттық қауіпсіздік тәуекелдерін бағалау әдістемесін бекіту туралы" Қазақстан Республикасының Қаржы нарығын реттеу және дамыту агенттігі Басқармасының 2020 жылғы 23 қарашадағы № 111 қаулысына (Қазақстан Республикасының нормативтік құқықтық актілерін мемлекеттік тіркеу тізілімінде № 21686 болып тіркелген) мынадай өзгеріс енгізілсін:

      көрсетілген қаулымен бекітілген Қаржы ұйымдарын ақпараттық қауіпсіздік тәуекелдеріне ұшырау дәрежесі бойынша саралау тәртібін қоса алғанда, ақпараттық қауіпсіздік тәуекелдерін бағалау әдістемесінде:

      2-тармақ мынадай редакцияда жазылсын:

      "2. Әдістемеде мынадай ұғымдар пайдаланылады:

      1) ақпараттық активтің бизнес-иесі – жұмыс істеу циклін қамтамасыз ету үшін ақпараттық актив пайдаланылатын негізі бизнес-процестің иесі;

      2) ақпараттық қауіпсіздік қатері – ақпараттық қауіпсіздіктің оқыс оқиғаларының пайда болуының алғышарттарын туындататын жағдайлардың және факторлардың жиынтығы;

      3) ақпараттық қауіпсіздік тәуекелі – конфиденциалдылықты бұзу, активтердің тұтастығын немесе қолжетімділігін қасақана бұзу салдарынан зиянның пайда болу ықтималдығы;

      4) ақпараттық қауіпсіздік тәуекелінің деңгейі – оқиғаның және оның салдарының ықтималдылығының комбинациясы;

      5) ақпараттық қауіпсіздіктің бұзылуынан болған залалдың маңыздылық деңгейі – қаржы ұйымында ақпараттық қауіпсіздіктің бұзылуынан болған залалдың артып кетуі жекелеген ақпараттық актив бойынша қаржы ұйымы үшін қолайлы болмайтын деңгейі;

      6) маңызды ақпараттық актив – Нормативтік құқықтық актілерді мемлекеттік тіркеу тізілімінде № 16772 болып тіркелген "Банктердің, Қазақстан Республикасының бейрезидент-банктері филиалдарының және банк операцияларының жекелеген түрлерін жүзеге асыратын ұйымдардың ақпараттық қауіпсіздігін қамтамасыз етуге қойылатын талаптарды, Ақпараттық жүйелердегі бұзушылықтар, іркілістер туралы мәліметтерді қоса алғанда, ақпараттық қауіпсіздіктің оқыс оқиғалары туралы ақпаратты беру қағидалары мен мерзімдерін бекіту туралы" Қазақстан Республикасы Ұлттық Банкі Басқармасының 2018 жылғы 27 наурыздағы № 48 қаулысына сәйкес айқындалатын ақпараттық актив.".

  Өзгерістер енгізілетін
Қазақстан Республикасының
қаржы нарығындағы
ақпараттық қауіпсіздікті реттеу
мәселелері бойынша
нормативтік құқықтық
актілерінің тізбесіне
1-қосымша
Қазақстан Республикасының
Ұлттық Банкі Басқармасының
2018 жылғы 27 наурыздағы
№ 48 қаулысына
1-қосымша

Банктердің, Қазақстан Республикасының бейрезидент-банктері филиалдарының және банк операцияларының жекелеген түрлерін жүзеге асыратын ұйымдардың ақпараттық қауіпсіздігін қамтамасыз етуге қойылатын талаптар

1-тарау. Жалпы ережелер

      1. Осы Банктердің, Қазақстан Республикасының бейрезидент-банктері филиалдарының және банк операцияларының жекелеген түрлерін жүзеге асыратын ұйымдардың ақпараттық қауіпсіздігін қамтамасыз етуге қойылатын талаптар (бұдан әрі – Талаптар) "Қазақстан Республикасындағы банктер және банк қызметі туралы" Қазақстан Республикасының Заңы 61-5-бабының 7-тармағына сәйкес әзірленді және банктердің, Қазақстан Республикасының бейрезидент-банктері филиалдарының (бұдан әрі – банк) және банк операцияларының жекелеген түрлерін жүзеге асыратын ұйымдардың (бұдан әрі – ұйым) ақпараттық қауіпсіздігін қамтамасыз етуге қойылатын талаптарды белгілейді.

      2. Талаптарда "Ақпараттандыру туралы" Қазақстан Республикасының Заңында көзделген ұғымдар, сондай-ақ мынадай ұғымдар пайдаланылады:

      1) ақпараттандыру саласындағы ақпараттық қауіпсіздік (бұдан әрі – ақпараттық қауіпсіздік) – электрондық ақпараттық ресурстардың, ақпараттық жүйелердің және ақпараттық-коммуникациялық инфрақұрылымның сыртқы және ішкі қатерлерден қорғалуының жай-күйі;

      2) ақпаратты штаттық тасымалдаушы – ақпараттық-коммуникациялық инфрақұрылым объектісінің құрамдас бөлігі болып табылатын және оған тұрақты қосылған ақпарат тасымалдаушы;

      3) ақпараттық актив – ақпараттың және оны сақтауға және (немесе) өңдеуге пайдаланылатын ақпараттық-коммуникациялық инфрақұрылым объектісінің жиынтығы;

      4) ақпараттық жүйенің/активтің АТ-менеджері – банктің, ұйымның ақпараттық жүйені/активті ақпараттық жүйенің/активтің бизнес-иесінің талаптарына сәйкес келетін күйде ұстап тұруға жауапты қызметкері немесе бөлімшесі (қызметкерлері немесе бөлімшелері);

      5) ақпараттық жүйенің немесе шағын жүйесінің бизнес-иесі – банктің, ұйымның ақпараттық жүйе немесе шағын жүйе автоматтандыратын негізгі бизнес-процестің иесі болып табылатын бөлімшесі (қызметкері);

      6) ақпараттық-коммуникациялық инфрақұрылым (бұдан әрі – ақпараттық инфрақұрылым) – электрондық ақпараттық ресурстарды қалыптастыру және оларға қолжетімділік беру мақсатында технологиялық ортаның жұмыс істеуін қамтамасыз етуге арналған ақпараттық-коммуникациялық инфрақұрылым объектілерінің жиынтығы;

      7) ақпараттық-коммуникациялық инфрақұрылымды қорғау шегі – банктің, ұйымның ақпараттық-коммуникациялық инфрақұрылымын сыртқы ақпараттық желілерден оқшаулайтын және ақпараттық қауіпсіздік қауіпінен қорғауды іске асыратын бағдарламалық-аппараттық құралдардың жиынтығы;

      8) ақпараттық қауіпсіздік қатері – ақпараттық қауіпсіздіктің оқыс оқиғаларының пайда болуының алғышарттарын туындататын жағдайлардың және факторлардың жиынтығы;

      9) ақпараттық қауіпсіздік тәуекелі – банктің, ұйымның ақпараттық активтері конфиденциалдылығының бұзылуы, тұтастығының немесе қолжетімділігінің қасақана бұзылуы салдарынан залалдың ықтимал пайда болуы;

      10) ақпараттық қауіпсіздікті қамтамасыз ету – банктің, ұйымның ақпараттық активтерінің конфиденциалдылық, тұтастық және қолжетімділік күйін ұстап тұруға бағытталған процесс

      11) ақпараттық қауіпсіздіктің оқыс оқиғалары туралы ақпарат – ақпараттық-коммуникациялық инфрақұрылымның немесе оның жекелеген объектілерінің жұмысында жеке немесе сериялық туындайтын, олардың тиісінше жұмыс істеуіне қауіп келтіретін іркілістер туралы ақпарат және (немесе) электрондық ақпараттық ресурстарды заңсыз алуға, көшіруге, таратуға, модификациялауға, жою немесе бұғаттауға арналған талаптар;

      12) ақпараттық қауіпсіздіктің оқыс оқиғасы – ақпараттық-коммуникациялық инфрақұрылымның немесе оның жекелеген объектілерінің жұмысында жеке немесе сериялық туындайтын, олардың тиісінше жұмыс істеуіне қауіп келтіретін іркілістер және (немесе) электрондық ақпараттық ресурстарды заңсыз алуға, көшіруге, таратуға, модификациялауға, жоюға немесе бұғаттауға арналған талаптар;

      13) алдын ала орнатылған есептік жазбалар – ақпараттық жүйелерді өндірушілер орнатқан есептік жазбалар;

      14) артықшылықты есептік жазба – ақпараттық жүйедегі жасалу, жойылу және есептік жазбаларға кіру құқықтарын өзгерту артықшылықтары бар есептік жазба;

      15) әкімшілендіру және мониторинг консолі – ақпараттық жүйені қашықтан басқаруды жүзеге асыруға мүмкіндік беретін жұмыс станциясы;

      16) бизнес-процесс – сыртқы немесе ішкі тұтынушы үшін белгілі өнімді немесе қызметті жасауға бағытталған өзара байланысты іс-шаралар немесе міндеттер жиынтығы;

      17) бизнес-процестің иесі – банктің, ұйымның бизнес-процестің жұмыс істеу цикліне және банктің, ұйымның бизнес-процеске тартылған бөлімшелерінің қызметін үйлестіруге жауап беретін бөлімшесі (қызметкері);

      18) виртуалды орта – аппараттық іске асырудан абстракцияланған және бұл ретте бір нақты ресурста орындалатын есептеуіш процестердің бір-бірінен қисынды оқшаулануын қамтамасыз ететін есептеу ресурстары немесе олардың қисынды бірігуі;

      19) гипервизор – бірнеше операциялық жүйені бір серверде немесе компьютерде құруға және іске қосуға мүмкіндік беретін бағдарламалық немесе аппараттық-бағдарламалық қамтамасыз ету;

      20) деректер беру хаттамасы – желіге қосылған екі және одан көп құрылғы арасында қосу мен айырбастауды жүзеге асыруға мүмкіндік беретін қағидалар мен іс-қимыл жиынтығы;

      21) деректерді өңдеу орталығы – банктің, ұйымның ақпараттық жүйелерінің жұмысын қамтамасыз ететін серверлер орналастырылған, арнайы бөлінген үй-жай;

      22) желіаралық экран – ақпараттық инфрақұрылымның берілген қағидаларға сәйкес ол арқылы өтетін желілік трафикке бақылау мен сүзгіден өткізуді жүзеге асыратын элементі;

      23) жұмыс станциясы – банктің, ұйымның ақпараттық активін пайдаланушының стационарлық дербес компьютері;

      24) кіру – банктің, ұйымның ақпараттық активтерін пайдалану мүмкіндігі;

      25) қауіпсіздіктің топтық саясаттары – ақпараттық жүйелердің құралдары арқылы іске асырылған ақпараттық қауіпсіздік қағидаларының үлгі жиынтықтары;

      26) қосымша – ақпараттық жүйе пайдаланушысының қолданбалы бағдарламалық қамтамасыз етуі;

      27) резервтік көшірме – деректер зақымдалған немесе бұзылған жағдайда оларды түпнұсқада немесе жаңадан орналастырылған орнында қалпына келтіруге арналған ақпарат тасымалдағыштағы деректер көшірмесі;

      28) сигнатуралар – бағдарламалық кодты сәйкестендіретін деректер жиынтығы;

      29) техникалық қауіпсіздікті қамтамасыз ету – техникалық құралдарды (күзет және өрт сигнализациясы, кіруді бақылау және басқару, бейнебақылау, өрт сөндіру, деректерді өңдеу орталығында температуралық режим мен ылғалдылықты бақылау жүйелерін) пайдалана отырып банктің, ұйымның қауіпсіздігін қамтамасыз ету процесі;

      30) технологиялық есептік жазба – ақпарат жүйесіндегі ақпараттық жүйелердің өзара іс-әрекет жасау кезінде аутентификаттауға арналған есептік жазба;

      31) түзету шарасы – ақпараттық қауіпсіздікті қамтамасыз ету барысында болған проблеманы не оның бұзылу салдарын түзетуге бағытталған ұйымдастыру және техникалық іс-шараларының жиынтығы;

      32) уәкілетті орган – қаржы нарығын және қаржы ұйымдарын реттеу, бақылау мен қадағалау жөніндегі уәкілетті орган.

      3. Банктердің, ұйымдардың ақпараттық қауіпсіздігін қамтамасыз етуге мынадай талаптар қойылады:

      1) ақпараттық қауіпсіздікті басқару жүйесін ұйымдастыруға қойылатын талаптар;

      2) банктің, ұйымның ақпараттық активтерін санаттарға бөлуге қойылатын талаптар;

      3) банктің, ұйымның ақпараттық активтеріне қол жеткізуді ұйымдастыруға қойылатын талаптар;

      4) ақпараттық инфрақұрылымның қауіпсіздігін қамтамасыз етуге қойылатын талаптар;

      5) ақпаратты криптографиялық қорғау құралдарына қойылатын талаптар;

      6) үшінші тұлғалардың банктің, ұйымның ақпараттық активтеріне қол жеткізуі кезінде ақпараттық қауіпсіздікті қамтамасыз етуге қойылатын талаптар;

      7) ақпараттық қауіпсіздік жай-күйін ішкі тексеруге қойылатын талаптар;

      8) ақпараттық қауіпсіздікті басқару жүйесінің процестеріне қойылатын талаптар.

2-тарау. Ақпараттық қауіпсіздікті басқару жүйесін ұйымдастыруға қойылатын талаптар

      4. Банктің, ұйымның бірінші басшысы ақпараттық қауіпсіздікті қамтамасыз ету процесін басқаруға арналған банкті, ұйымды басқарудың жалпы жүйесінің бір бөлігі болып табылатын ақпараттық қауіпсіздікті басқару жүйесін құруды, оның жұмыс істеуін және жақсаруын қамтамасыз етеді.

      5. Ақпараттық қауіпсіздікті басқару жүйесі банктің, ұйымның бизнес-процестері үшін ықтимал залалдың ең аз деңгейін көздейтін банктің, ұйымның ақпараттық активтерін қорғауды қамтамасыз етеді.

      6. Банк, ұйым ақпараттық қауіпсіздікті басқару жүйесінің тиісті деңгейін, оның дамуы мен жақсартылуын қамтамасыз етеді.

      7. Банктің, ұйымның ақпараттық қауіпсіздігін басқару жүйесінің қатысушылары:

      1) басқару органы;

      2) атқарушы органы;

      3) ақпараттық қауіпсіздікті қамтамасыз ету міндеттері бойынша шешімдер қабылдауға уәкілетті алқалы орган (бұдан әрі – алқалы орган);

      4) ақпараттық қауіпсіздік бөлімшесі; 5) ақпараттық технологиялар бөлімшесі;

      6) қауіпсіздік бөлімшесі;

      7) қызметкерлермен жұмыс жүргізу бөлімшесі;

      8) заң бөлімшесі;

      9) комплаенс-бақылау бөлімшесі;

      10) ішкі аудит бөлімшесі;

      11) ақпараттық қауіпсіздік тәуекелдерін басқару бөлімшесі.

      Бөлімшелердің осы тармақтың бірінші бөлігінің 4), 5), 6), 7), 8), 9), 10) және 11) тармақшаларында көрсетілген функцияларын ұйымда осы тармақтың бірінші бөлігінде көрсетілген бөлімшелер не ұйымның жауапты қызметкерлері жүзеге асырады.

      8. Банк, ұйым ақпараттық қауіпсіздікті басқару жүйесін құру және оның жұмыс істеуі кезінде ақпараттық қауіпсіздік бөлімшесінің және ақпараттық технологиялар бөлімшесінің тәуелсіздігін оларды банктің, ұйымның атқарушы органының әртүрлі мүшелеріне немесе банктің, ұйымның атқарушы органының тікелей басшысына қарату арқылы қамтамасыз етеді.

      9. Банктің, ұйымның басқару органы ақпараттық қауіпсіздік саясатын бекітеді, онда мыналар:

      1) ақпараттық қауіпсіздікті басқару жүйесін құрудың мақсаттары, міндеттері және негізгі қағидаттары;

      2) ақпараттық қауіпсіздікті басқару жүйесінің қолданылу аясы;

      3) банктің, ұйымның ақпараттық активтерінде жасалатын, сақталатын және өңделетін ақпаратқа қолжетімділікті басқаруға қойылатын талаптар;

      4) ақпараттық қауіпсіздікті қамтамасыз ету жөніндегі қызметке және ақпараттық қауіпсіздік қатерлерін анықтау мен талдау, шабуылдарға қарсы іс-қимыл және оқыс оқиғаларды тексеру жөніндегі іс-шараларды мониторингтеуді жүзеге асыруға қойылатын талаптар;

      5) ақпараттық қауіпсіздіктің оқыс оқиғалары туралы ақпаратты жинауды, шоғырландыруды және сақтауды жүзеге асыруға қойылатын талаптар;

      6) ақпараттық қауіпсіздіктің оқыс оқиғалары туралы ақпаратқа талдау жүргізуге қойылатын талаптар;

      7) банк, ұйым қызметкерлерінің өздеріне жүктелген функционалдық міндеттерді атқару кезінде ақпараттық қауіпсіздікті қамтамасыз етуге жауапкершілігі айқындалады.

      10. Банктің, ұйымның басқару органы бюджетті қалыптастыру кезінде банктің, ұйымның ақпараттық қауіпсіздігін қамтамасыз ету үшін ресурстарға қажеттілікті ескереді.

      11. Банктің, ұйымның басқару органы қорғалатын ақпараттың тізбесін, оның ішінде қызметтік, коммерциялық немесе өзге де заңмен қорғалатын құпия болып табылатын мәліметтер туралы ақпаратты (бұдан әрі – қорғалатын ақпарат) қамтитын тізбені және қорғалатын ақпаратпен жұмыс тәртібін бекітеді.

      12. Банктің, ұйымның атқарушы органы ақпараттық қауіпсіздікті басқару процесін регламенттейтін ішкі құжаттарды, қарау банктің, ұйымның ішкі құжаттарында айқындалатын тәртібі мен кезеңділігін бекітеді.

      13. Банк, ұйым алқалы органды құрады, оның құрамына ақпараттық қауіпсіздік бөлімшесінің, ақпараттық қауіпсіздіктің тәуекелдерін басқару бөлімшесінің, ақпараттық технологиялар бөлімшесінің өкілдері, сондай-ақ банктің, ұйымның алқалы органы басшысының шешімі бойынша банктің, ұйымның басқа бөлімшелерінің өкілдері кіреді немесе атқарушы орган осы тармақта көрсетілген алқалы органның құрамына қойылатын талаптарға сәйкес келген кезде атқарушы органға алқалы органның функцияларын жүктейді.

      Банкте, ұйымда алқалы орган құрылған жағдайда банктің, ұйымның алқалы органының басшысы болып банктің, ұйымның атқарушы органының басшысы немесе ақпараттық қауіпсіздік бөлімшесінің қызметіне жетекшілік ететін банктің, ұйымның атқарушы органының мүшесі тағайындалады.

      14. Ақпараттық қауіпсіздік бөлімшесі банк, ұйым ақпаратының конфиденциалдылығын, тұтастығын және қолжетімділігін қамтамасыз ету мақсатында мынадай функцияларды жүзеге асырады:

      1) ақпараттық қауіпсіздікті басқару жүйесін құрады, банк, ұйым бөлімшелерінің ақпараттық қауіпсіздікті және қауіптерді анықтау және талдау, шабуылдарға қарсы іс-қимыл жасау және ақпараттық қауіпсіздіктің оқыс оқиғаларын тергеу жөніндегі іс-шараларды қамтамасыз ету бойынша қызметін үйлестіруді және бақылауды жүзеге асырады;

      2) банктің, ұйымның ақпараттық қауіпсіздік саясатын әзірлейді;

      3) банктің, ұйымның ақпараттық қауіпсіздікті қамтамасыз ету процесін әдіснамалық қолдауды қамтамасыз етеді;

      4) өз өкілеттіктері шеңберінде банктің, ұйымның ақпараттық қауіпсіздігін басқару, қамтамасыз ету және бақылау әдістерін, құралдары мен тетіктерін таңдауды, енгізуді және қолдануды жүзеге асырады;

      5) ақпараттық қауіпсіздіктің оқыс оқиғалары туралы ақпаратты жинауды, шоғырландыруды, сақтауды және өңдеуді жүзеге асырады;

      6) ақпараттық қауіпсіздіктің оқыс оқиғалары туралы ақпаратты талдауды жүзеге асырады;

      7) алқалы органның ақпараттық қауіпсіздік жөніндегі мәселелер бойынша шешім қабылдауы үшін ұсыныстар дайындайды;

      8) банктің, ұйымның ақпараттық қауіпсіздігін қамтамасыз ету процесін автоматтандыратын бағдарламалық-техникалық құралдарын енгізуді және олардың тиісінше жұмыс істеуін, сондай-ақ оларға кіруді қамтамасыз етеді;

      9) артықшылық берілген есептік жазбаларды пайдалану бойынша ақпараттық қауіпсіздікті талаптарын айқындайды;

      10) банк, ұйым қызметкерлерінің ақпараттық қауіпсіздік мәселелері жөнінде хабардар болуын қамтамасыз ету бойынша іс-шараларды ұйымдастырады және жүргізеді;

      11) банктің, ұйымның ақпараттық қауіпсіздікті басқару жүйесінің жай-күйін мониторингтеуді жүзеге асырады;

      12) банктің, ұйымның ақпараттық қауіпсіздікті басқару жүйесінің жай-күйі туралы банктің, ұйымның басшылығын хабардар етуді жүзеге асырады.

      15. Банк, ұйым ақпараттық қауіпсіздік бөлімшесіне техникалық қауіпсіздікті қамтамасыз ету бойынша функцияларды жүктеу мүмкіндігін айқындайды. Ақпараттық қауіпсіздік бөлімшесі олардың негізгі функцияларымен мүдделер қайшылықтарына апаратын функцияларды жүзеге асырмайды.

      16. Ақпараттық технологиялар бөлімшесі мынадай функцияларды жүзеге асырады:

      1) банктің, ұйымның ақпараттық инфрақұрылымы схемасының өзектілігін әзірлейді және қолдау жасайды;

      2) кіруге ақпараттық технологиялар жөніндегі бөлімшеге жатпайтын ақпараттық жүйелердің АТ-менеджерлері рұқсат беретін мамандандырылған ақпараттық активтерді қоспағанда, банктің, ұйымның ақпараттық активтеріне банктің, ұйымның ақпараттық активтерін пайдаланатын банктің, ұйымның қызметкері (бұдан әрі-пайдаланушы) қол жеткізуді қамтамасыз етеді;

      3) ақпараттық қауіпсіздік талаптарын ескере отырып, банктің, ұйымның жүйелік және қолданбалы бағдарламалық қамтылымының үлгі баптауларын қалыптастыруды және конфигурациялауды қамтамасыз етеді;

      4) банктің, ұйымның ішкі құжаттарына сәйкес ақпараттық инфрақұрылымның үзіліссіз жұмыс істеуі, банктің ақпараттық жүйелері деректерінің конфиденциалдылығы, тұтастығы және қолжетімділігі (ақпаратты резервтеуді және (немесе) архивтеуді және резервтік көшіруді қоса алғанда) бойынша белгіленген талаптардың орындалуын қамтамасыз етеді;

      5) ақпараттық жүйелерді таңдау, ендіру, әзірлеу және тестілеуден өткізу кезінде ақпараттық қауіпсіздік талаптарының сақталуын қамтамасыз етеді.

      17. Банк, ұйым Талаптардың 14 және 16-тармақтарында көрсетілген жекелеген функцияларды банктің бөлімшелеріне беру, ұйымдастыру мүмкіндігін айқындайды.

      18. Қауіпсіздік бөлімшесі мынадай функцияларды жүзеге асырады:

      1) банкте, ұйымда физикалық және техникалық қауіпсіздік шараларын іске асырады, оның ішінде өткізу және объектішілік режимді ұйымдастырады;

      2) банк, ұйым қызметкерлерін жұмысқа қабылдау және жұмыстан босату кезінде ақпараттық қауіпсіздік қатерлерінің туындау тәуекелдерін барынша азайтуға бағытталған профилактикалық іс-шараларды жүргізеді.

      19. Қызметкерлермен жұмыс жүргізу бөлімшесі мынадай функцияларды жүзеге асырады:

      1) банк, ұйым қызметкерлерінің, сондай-ақ қызмет көрсету туралы шарт бойынша жұмысқа тартылған адамдардың, стажерлардың, практиканттардың конфиденциалды ақпаратты жария етпеу туралы міндеттемелерге қол қоюын қамтамасыз етеді;

      2) банк, ұйым қызметкерлерінің ақпараттық қауіпсіздік саласында хабардар болуын арттыру процесін ұйымдастыруға қатысады;

      3) уәкілетті органды ақпараттық қауіпсіздік бөлімшесінің қызметкерлерін тағайындау және жұмыстан босату туралы хабардар етеді.

      20. Заң бөлімшесі банктің, ұйымның ақпараттық қауіпсіздікті қамтамасыз ету мәселелері бойынша ішкі құжаттарының құқықтық сараптамасын жүргізеді.

      21. Комплаенс-бақылау бөлімшесі банктің, ұйымның заң бөлімшесімен бірлесе отырып Талаптардың 11-тармағында көзделген қорғалатын ақпараттың тізбесіне енгізуге жататын ақпараттың барлық түрін айқындайды.

      22. Ішкі аудит бөлімшесі банктің, ұйымның ішкі аудит жүйесін ұйымдастыруды реттейтін банктің, ұйымның ішкі құжаттарына сәйкес банктің, ұйымның ақпараттық қауіпсіздікті басқару жүйесінің жай-күйін бағалауды жүргізеді.

      23. Банктің ақпараттық қауіпсіздік тәуекелдерін басқару бөлімшесі Нормативтік құқықтық актілерді мемлекеттік тіркеу тізілімінде № 19632 болып тіркелген, Қазақстан Республикасы Ұлттық Банкі Басқармасының 2019 жылғы 12 қарашадағы № 188 қаулысымен бекітілген Екінші деңгейдегі банктерге, Қазақстан Республикасының бейрезидент-банктері филиалдарына арналған тәуекелдерді басқару және ішкі бақылау жүйесін қалыптастыру қағидаларында көзделген функцияларды жүзеге асырады.

      Ұйымның ақпараттық қауіпсіздік тәуекелдерін басқару бөлімшесі ұйымның ішкі құжаттарына сәйкес функцияларды жүзеге асырады.

      24. Банктің, ұйымның құрылымдық бөлімшелерінің басшылары:

      1) қызметкерлердің банктің, ұйымның ақпараттық қауіпсіздікке қойылатын талаптарды (бұдан әрі - ақпараттық қауіпсіздікке қойылатын талаптары) қамтитын ішкі құжаттарымен танысуын қамтамасыз етеді;

      2) олар басқаратын бөлімшелерде ақпараттық қауіпсіздікті қамтамасыз ету үшін дербес жауапкершілік атқарады;

      3) конфиденциалды ақпаратты жария етпеу туралы келісімдер жасасуды және банктің, ұйымның бөлімшесі мұндай келісімдерді, шарттарды жасасуға бастамашы болған жағдайларда, ақпараттық қауіпсіздікті қамтамасыз ету туралы талаптарды келісімдерге, қызметтер көрсету/жұмыстарды орындау шарттарына енгізуді қамтамасыз етеді.

      25. Ақпараттық жүйелердің немесе шағын жүйелердің бизнес-иелері:

      1) ақпараттық жүйелерді құру, енгізу, түрлендіру, пайдалану және банктің, ұйымның клиенттері мен бөлімшелеріне өнімдер мен қызметтерді ұсыну кезінде, сондай-ақ мемлекеттік органдардың ақпараттық жүйелерін қоса алғанда, ақпараттық жүйелерді сыртқы ақпараттық жүйелермен біріктіру кезінде ақпараттық қауіпсіздікке қойылатын талаптардың сақталуына жауап береді;

      2) ақпараттық жүйелерге кіру матрицаларының жаңартылуын қалыптастырады және қолдайды.

      26. Банктің, ұйымның құрылымдық бөлімшелерінің қызметкерлері:

      1) банкте, ұйымда қабылданған ақпараттық қауіпсіздік талаптарының орындалуы үшін жауап береді;

      2) өздерінің функционалдық міндеттері шеңберінде олар өзара іс-әрекет жасайтын үшінші тұлғалардың ақпараттық қауіпсіздік талаптарын орындауын, оның ішінде аталған талаптарды үшінші тұлғалармен жасалған шарттарға енгізу арқылы бақылайды;

      3) өзінің тікелей басшысына және ақпараттық қауіпсіздік бөлімшесіне банктің, ұйымның ақпараттық активтерімен жұмыс істеу кезіндегі барлық күдікті жағдайлар мен бұзушылықтар туралы хабарлайды.

      27. Егер банктің, ұйымның ақпараттық қауіпсіздігін қамтамасыз ету функциялары тысқары ұйымдарға берілсе, атқарушы органының ақпараттық қауіпсіздік мәселелеріне жетекшілік ететін мүшесі ақпараттық қауіпсіздікті қамтамасыз етуге жауапты болып табылады.

      28. Банк, ұйым жыл сайын есепті жылдан кейінгі жылдың 10 қаңтарынан кешіктірмей уәкілетті органға ақпараттық қауіпсіздікті басқару жүйесінің жай-күйі және оның Талаптарға сәйкестігі туралы ақпарат (бұдан әрі – АҚБЖ туралы ақпарат) береді.

      29. АҚБЖ туралы ақпарат еркін нысанда жасалады және ұсынылатын деректердің құпиялылығы мен түзетілмеуін қамтамасыз ететін криптографиялық қорғау құралдарымен ақпаратты кепілді жеткізудің тасымалдау жүйесін пайдалана отырып, уәкілетті органға ұсынылады.

      30. АҚБЖ туралы ақпаратта мыналар:

      1) банктің, ұйымның ақпараттық қауіпсіздікті басқару жүйесінің қолданылу аясы және олардың функционалының Талаптарға сәйкестігін көрсете отырып, оның қатысушылары;

      2) ақпараттық қауіпсіздікті басқару жүйесін құруды және оның жұмыс істеуін реттейтін құжаттардың болуы;

      3) ақпараттық қауіпсіздікті қамтамасыз ету үшін пайдаланылатын бағдарламалық-техникалық құралдарының болуы және сандық құрамы;

      4) операторлармен жасалған қызметтер көрсету туралы шарттарда ақпараттық қауіпсіздікті қамтамасыз ету бойынша талаптардың және міндеттемелердің болуы;

      5) деректер өңдеудің резервтік орталықтарының болуы, материалдық-техникалық жабдықталуы және дайындығы;

      6) банктің, ұйымның ақпараттық қауіпсіздікті басқару жүйесін және ақпараттық активтерін Талаптарға сәйкестендіру бойынша жүргізілген іс-шаралар туралы мәліметтер қамтылады.

      31. Уәкілетті орган банктің, ұйымның Талаптарға сәйкестігін бағалауды 3 (үш) жылда кемінде бір рет жүзеге асырады.

3-тарау. Ақпараттық активтерді санатқа жатқызуға қойылатын талаптар

      32. Банк, ұйым ақпараттық активтерді санатқа жатқызуды олардың конфиденциалдығын, тұтастығын, қолжетімділігін бұзудан болған зияндар деңгейі негізінде оларды маңызды және маңызды емеске бөлу арқылы жүзеге асырады.

      33. Банк, ұйым олардың иелерін көрсете отырып, маңызды ақпараттық активтердің тізбесін қалыптастырады.

      34. Банк, ұйым Талаптарға сәйкес маңызды санатына жатқызылған ақпараттық активтердің, сондай-ақ осы активтер кіретін ақпараттық жүйелердің ақпараттық қауіпсіздігін қамтамасыз етеді.

      35. Маңызды емес санатына жатқызылған ақпараттық активтерді, сондай-ақ тұтастай осы активтерден тұратын ақпараттық жүйелерді қорғау әдістері мен құралдарын банк, ұйым дербес айқындайды.

4-тарау. Ақпараттық активтерге кіруді ұйымдастыруға қойылатын талаптар

      36. Банктің, ұйымның қызметкерлеріне ақпаратқа кіру олардың функционалдық міндеттерін айқындайтын көлемде беріледі.

      37. Банктің, ұйымның ақпараттық жүйелеріне кіруіне рұқсат беру ақпараттық жүйелерді пайдаланушылардың кіру құқықтарының олардың функционалдық міндеттеріне сәйкестігін қамтамасыз ету үшін рөлдерді қалыптастыру және енгізу жолымен жүргізіледі. Мұндай рөлдердің жиынтығы банк, ұйым электрондық нысанда немесе қағаз тасымалдағышта қалыптастыратын ақпараттық жүйеге кіру матрицасы болып табылады.

      38. Банктің, ұйымның ақпараттық жүйелеріне кіру матрицаларын құру және пайдалану процесі Талаптардың 9-тарауына сәйкес банктің, ұйымның ішкі құжатында айқындалады.

      39. Банктің, ұйымның ақпараттық жүйелеріне кіру ақпараттық жүйелерді пайдаланушыларды сәйкестендіру және бірегейлендіру арқылы жүзеге асырылады.

      Банктің, ұйымның ақпараттық жүйелерін пайдаланушыларды сәйкестендіру және бірегейлендіру мынадай тәсілдердің бірі арқылы:

      1) "есептік жазба (сәйкестендіруші) – пароль" деген жұпты енгізу немесе екі факторлық бірегейлендіру тәсілдерін қолдану арқылы (үш фактордың ішінен екеуін қолданумен: білім, иелік ету, ажырамастық);

      2) биометриялық және (немесе) криптографиялық және (немесе) аппараттық бірегейлендіру тәсілдерін пайдалану арқылы жүргізіледі.

      40. Банктің, ұйымның ақпараттық жүйелерінде пайдаланушылардың дербестендірілген есептік жазбалары ғана пайдаланылады.

      41. Технологиялық есептік жазбалар ақпараттық қауіпсіздік бөлімшесі басшысының келісімі бойынша ақпараттық технологиялар бөлімшесінің басшысы бекітетін, оларды пайдалануға және өзектілігі үшін дербес жауапты адамдарды көрсете отырып, әрбір ақпараттық жүйе үшін осындай есептік жазбалардың тізбесіне сәйкес пайдаланылады.

      42. Банктің, ұйымның ақпараттық жүйелерінде Талаптардың 9-тарауына сәйкес банк, ұйым айқындайтын есептік жазбаларды және парольдерді басқару, сондай-ақ пайдаланушылардың есептік жазбаларын оқшаулау бойынша функциялар пайдаланылады.

5-тарау. Ақпараттық инфрақұрылымның қауіпсіздігін қамтамасыз етуге қойылатын талаптар

      43. Банктің, ұйымның ақпараттық технологиялар бөлімшесі мыналарды:

      1) элементтерінің нақты орналасқан жерін көрсете отырып, ақпараттық инфрақұрылымның жалпы схемасын қалыптастыру және бекіту процесін;

      2) ақпараттық активті немесе ақпараттық активтер тобын конфигурациялау құқығы берілген банктің, ұйымның жауапты қызметкерлерін (бұдан әрі – әкімшілер) тағайындау процесін;

      3) мынадай:

      операциялық жүйелердің;

      дерекқорын басқару жүйелерін;

      телекоммуникациялық құрылғыларды;

      ақпараттық жүйелерді;

      ақпараттық инфрақұрылымның тораптары мен соңғы нүктелерін, жұмыс станцияларын, оның ішінде қорғау периметрінің шегінен тыс тасымалдау және пайдалану үшін ыңғайлы нысанда жасалған дербес компьютерлерді (бұдан әрі – ноутбук) және операциялық жүйенің мобильді нұсқасы негізінде жұмыс істейтін жеке пайдаланылатын электрондық құрылғыларды (бұдан әрі-мобильді құрылғы) құжаттамалау және типтік теңшеулерін бекіту процесін әзірлейді және оларды іске асыруды қамтамасыз етеді.

      44. Ақпараттық қауіпсіздік бөлімшесі банктің, ұйымның ақпараттық активтеріндегі жүйелік және конфигурациялық файлдардың, сондай-ақ аудиторлық із журналдарының қауіпсіздік теңшеулерінің және тұтастығының өзгеруін бақылау жүйесін ұйымдастыруды қамтамасыз етеді.

      45. Банк, ұйым авторизацияланбаған құрылғылардың не теңшеулері банктің, ұйымның ішкі құжатында белгіленген ақпараттық қауіпсіздікті қамтамасыз ету тәртібіне қайшы келетін құрылғылардың ақпараттық инфрақұрылымына кіру тәуекелін төмендететін ұйымдастыру іс-шараларын жүргізеді және (немесе) бағдарламалық-техникалық құралдарды орнатады.

      46. Банктің, ұйымның әрбір ақпараттық активі үшін ақпараттық жүйенің немесе шағын жүйенің кем дегенде бизнес-иесі, сондай-ақ АТ-менеджері және (немесе) әкімшісі анықталады.

      47. Ақпараттық инфрақұрылым объектілерін құруға (жаңғыртуға) техникалық тапсырмаларды әзірлеу кезінде ақпараттық жүйенің немесе шағын жүйенің бизнес-иесі ақпараттық қауіпсіздік талаптарын ескереді.

      48. Банк, ұйым ақпараттық жүйенің жұмыс істеуге қабілетті көшірмесін қалпына келтіруді қамтамасыз ететін ақпараттық жүйелер деректерінің, олардың файлдарының және теңшеулерінің резервтік сақталуын қамтамасыз етеді.

      Ақпаратты резервтік көшіру, сақтау, қалпына келтіру тәртібі мен кезеңділігін, резервтік көшірмелерден маңызды ақпараттық жүйелердің жұмыс істеу қабілетін қалпына келтіруді тестілеуден өткізу кезеңділігін банк, ұйым айқындайды.

      49. Банк, ұйым ақпараттық инфрақұрылымды вирусқа қарсы қорғауды Талаптардың 9-тарауына сәйкес банк, ұйым айқындаған тәртіппен қамтамасыз етеді.

      50. Банктің, ұйымның деректерді өңдеу орталықтарының нақты қауіпсіздігін қамтамасыз ету тәртібін Талаптардың 9-тарауына сәйкес банк, ұйым айқындайды.

      51. Банк, ұйым қызметкерлерінің жұмыс станцияларына, ноутбуктеріне және корпоративтік мобильді құрылғыларына олардың функционалды міндеттеріне сәйкес бағдарламалық қамтамасыз ету орнатылады.

      52. Ақпараттық технологиялар бөлімшесі банкте, ұйымда пайдалануға рұқсат етілетін бағдарламалық қамтамасыз етудің тізбесін қалыптастырады және өзектендіреді. Бағдарламалық қамтамасыз ету ақпараттық қауіпсіздік бөлімшесі тексеру жүргізгеннен кейін тізбеге енгізіледі.

      53. Банк, ұйым Талаптардың 9-тарауына сәйкес банктің, ұйымның жұмыс станцияларын, ноутбуктар мен мобильді құрылғыларын, сондай-ақ ақпарат тасымалдағыштарының және желілік ресурстарын қорғауды қамтамасыз ететін ұйымдық және техникалық шараларды айқындайды.

6-тарау. Ақпаратты криптографиялық қорғау құралдарына қойылатын талаптар

      54. Ақпараттық жүйенің бизнес-иесі ақпаратты криптографиялық қолдау құралдарын енгізу және қолдау процесін ақпараттық қауіпсіздік бөлімшесімен келіседі.

      55. Банк, ұйым Талаптардың 9-тарауына сәйкес ақпаратты криптографиялық қорғау құралдарын пайдалану тәртібін айқындайды. Банк, ұйым олардың мақсатын, оларда іске асырылатын криптографиялық алгоритмдерді, ақпараттық жүйенің атауын, ақпаратты криптографиялық қорғау құралдарын пайдаланатын ақпараттық жүйенің иесін көрсете отырып, қолданылатын ақпаратты криптографиялық қорғау құралдарының тізбесін бекітеді.

7-тарау. Үшінші тұлғалардың банктің, ұйымның ақпараттық активтеріне кіруі кезінде ақпараттық қауіпсіздікті қамтамасыз етуге қойылатын талаптар

      56. Банк, ұйым банктің, ұйымның қызметкерлері немесе клиенттері болып табылмайтын үшінші тұлғалардың (бұдан әрі – үшінші тұлғалар) банктің, ұйымның ақпараттық активтеріне кіру кезінде ақпараттық қауіпсіздікті қамтамасыз етеді.

      57. Үшінші тұлғалардың банктің, ұйымның ақпараттық активтеріне кіру рұқсаты Қазақстан Республикасының заңнамасында көзделген жағдайларды қоспағанда, ақпараттық қауіпсіздік талаптарын сақтау туралы талаптарды қамтитын келісім, шарт негізінде жүргізілетін жұмыстарда айқындалатын кезеңге және көлемде беріледі. Үшінші тұлғалармен жасалатын ақпараттық қауіпсіздік талаптарын сақтау туралы келісімдерде, шарттарда конфиденциалдылық туралы ережелер, ақпараттық қауіпсіздіктің бұзылуы салдарынан туындаған шығынды қайтару туралы, сондай-ақ үшінші тұлғалардың араласуы салдарынан болған ақпараттық жүйелердің жұмысындағы іркілістер және үшінші тұлғалардың әрекетінен немесе әрекетсіздігінен болған олардың қауіпсіздігін бұзуы салдарынан туындаған зиянды өтеу туралы талаптар қамтылады.

      58. Банктің, ұйымның қызметіне тексеруді жүзеге асырған не тиісті кіру рұқсаты немесе ақпарат ұсынғанға дейін уәкілетті орган ақпарат сұратқан кезде уәкілетті орган өкілдерінің өкілеттіктері тексеріледі.

      59. Үшінші тұлғалардың қызметін бақылауды қамтамасыз ету мақсатында мынадай ұйымдастыру және (немесе) бағдарламалық-техникалық шаралар көзделеді:

      1) үшінші тұлғалар қызметінің нәтижесін тексеру;

      2) үшінші тұлғалардың қызметін банк, ұйым қызметкерлерінің қатысуымен ғана жүзеге асыру;

      3) үшінші тұлғалардың іс-қимылдары бойынша аудиторлық ізді жүргізу;

      4) банктің, ұйымның ақпараттық активтеріне кіру сессиясын жазу.

      60. Үшінші тұлғаларға банктің, ұйымның ақпараттық активтерінің бір бөлігін беру (серверлік қуаттарды тысқары деректерді өңдеу орталықтарына орналастыру, деректерді өңдеу және/немесе сақтаудың сыртқы сервистерін пайдалану) жағдайында ақпараттық қауіпсіздікті қамтамасыз етудің мынадай шаралары қабылданады:

      1) үшінші тұлғамен жасалған тиісті келісімде, шартта банктің, ұйымның ақпараттық активтерін қорғау жөніндегі талаптарды және банктің, ұйымның осындай талаптардың орындалуын тексеру құқығын, сондай-ақ қауіпсіздікті және ақпараттық жүйелердің жұмыс істеу қабілетінің бұзылуы салдарынан туындаған шығынды қайтару туралы талаптарды көрсету;

      2) Қазақстан Республикасының азаматтық, банк заңнамасына, Қазақстан Республикасының дербес деректер және оларды қорғау туралы заңнамасына сәйкес үшінші тұлғаларға беруге жол берілмейтін ақпаратқа үшінші тұлғалардың қол жеткізу мүмкіндігін болдырмау. Бұлттық сервистерді пайдалану кезінде осы мақсаттар үшін банк, ұйым тарапынан ақпаратты жариялаумен, ақпаратты шифрланған түрде сақтау әдісі қолданылады. Бұл ретте шифрлау кілті банкте, ұйымда сақталады.

8-тарау. Ақпараттық қауіпсіздіктің жай-күйіне ішкі тексерулер жүргізуге қойылатын талаптар

      61. Ақпараттық қауіпсіздіктің жай-күйі мынадай тексеру жүргізу арқылы бағаланады:

      1) ақпараттық қауіпсіздік бөлімшесі – атқарушы органның ақпараттық қауіпсіздік бөлімшесіне жетекшілік ететін мүшесі бекітетін жоспарға сәйкес, сондай-ақ банктің, ұйымның басқару органы басшысының жеке өкімі бойынша;

      2) ішкі аудит бөлімшесі – банктің, ұйымның ішкі аудит жүйесін ұйымдастыруды реттейтін банктің, ұйымның ішкі құжаттарына сәйкес аудиторлық тексерулердің жылдық жоспары шеңберінде.

      62. Ақпараттық қауіпсіздік бөлімшесі тексерудің нәтижесі бойынша тексеру материалдарын тіркей отырып, есеп жасайды, оны банктің, ұйымның тексерілетін бөлімшесіне мәлімет үшін жібереді.

9-тарау Ақпараттық қауіпсіздікті басқару жүйесінің процестеріне қойылатын талаптар

1-параграф. Ақпараттық жүйелерге кіруді ұйымдастыру процесіне қойылатын талаптар

      63. Ақпараттық жүйеге кіру матрицасын құру процесін банк, ұйым белгіленген тәртіппен жүзеге асырады және мынадай кезеңдерден тұрады:

      1) ақпараттық жүйенің бизнес-иесі банктің, ұйымның ақпараттық жүйесіне кіру матрицасын құруға және белсенділігін қамтамасыз етеді;

      2) бизнес-процестің иесі ақпараттық жүйенің АТ-менеджерімен бірлесе отырып, қызметкерлердің функционалдық міндеттерінде айқындалатын көлемде ақпараттық жүйеде рөлдердің қалыптасуын және өзектілігін қамтамасыз етеді;

      3) қалыптастырылған рөлдер ақпараттық жүйенің бизнес-иесімен келісіледі;

      4) банк, ұйым қолданыстағы автоматтандырылған бақылауларды айналып өтуге мүмкіндік беретін кірудің қайшылықты құқықтарын рөлдерде алып тастауды қамтамасыз етеді;

      5) ақпараттық жүйенің АТ-менеджері ақпараттық жүйеде рөлдерді іске асырады;

      6) ақпараттық жүйенің немесе шағын жүйенің бизнес-иесі және бизнес-процестің иесі құрылған рөлдерді тестілеуден өткізеді;

      7) ақпараттық жүйенің АТ-менеджері ақпараттық жүйеге рөлдерді енгізеді.

      64. Ақпараттық жүйеге кіру матрицасына өзгерістер мен толықтыруларды енгізу Талаптардың 63-тармағында белгіленген тәртіппен жүзеге асырылады.

      65. Банктің, ұйымның ақпараттық жүйесіне кіруді басқарудың тетігі мыналарды:

      1) жаңа пайдаланушыны қосымша деңгейінде тіркеу мүмкіндігін;

      2) пайдаланушыларға ақпараттық жүйелерге рольдер арқылы ғана кіру құқықтарын тағайындауды;

      3) пайдаланушыларға ақпараттық жүйенің немесе шағын жүйенің бизнес-иесімен келісе отырып және ақпараттық қауіпсіздік бөлімшесіне хабарлай отырып, ақпараттық жүйеде бар рөлге қосымша жекелеген құқықтар беруді;

      4) пайдаланушылардың рольдеріне ілеспе қызмет көрсетуді (құру, өзгерту, жою);

      5) транзакциялық жүйелер үшін бірдей есептік деректер арқылы әртүрлі аппараттық құралдардан (компьютерлерден) бірмезгілде кіруді оқшаулау мүмкіндігін;

      6) аудиторлық із жүргізуді қамтамасыз етеді.

      66. Банктің, ұйымның ақпараттық жүйесінің деректеріне кіруді басқару тетігі мыналарды қамтиды:

      1) пайдаланушыларға ақпараттық жүйенің деректеріне қосымша арқылы ғана кіруді қамтамасыз ету;

      2) ақпараттық жүйенің деректеріне қосымшаны айналып өтіп, кіруді ұсыну ақпараттық қауіпсіздік бөлімшесімен келісу бойынша жүзеге асырылады;

      3) ақпараттық технологиялар бөлімшесінің қосымшаны айналып өтіп, деректерге тікелей кіруге рұқсат берілген пайдаланушылар тізбесін қалыптастыруы және өзектендіруі.

      67. Қызметкердің функционалдық міндеттері өзгерген кезде қолда бар кіру құқықтары ажыратылады және оның жаңа функционалдық міндеттеріне сәйкес жаңа кіру құқықтары тағайындалады. Қызметкер жұмыстан босатылған кезде жұмыстан босатылған күннен бастап бір тәуліктен асырмай оның барлық есептік жазбалары ажыратылады.

      68. Ақпараттық қауіпсіздік бөлімшесі кіру матрицаларына сәйкес ақпараттық жүйелерге кіру құқықтарының дұрыстығына тексеру, сондай-ақ жұмыстан босатылған қызметкерлердің кіру құқықтарының ажыратылуына бақылау жүргізеді.

      69. Ақпараттық жүйелердің және шағын жүйелердің бизнес-иелері ақпараттық жүйелерге кіру рөлдері мен құқықтарын қайта қарауды банктің, ұйымның мүдделі бөлімшелерін тарта отырып, жылына кемінде бір рет жүргізеді.

      70. Банкте, ұйымдарда осы параграфтың бір немесе бірнеше талабын іске асыруға техникалық мүмкіндіктер болмаған кезде, ақпараттық қауіпсіздік тәуекелдерінің әсерін ішінара немесе толық болдырмау бойынша қосымша техникалық және ұйымдастыру шаралары түріндегі өтеу шараларын қолданады.

2-параграф. Пайдаланушылардың ақпараттық жүйелердегі парольдерін және есептік жазбаларын оқшаулауды басқару процесіне қойылатын талаптар

      71. Банктің, ұйымның ақпараттық жүйелерінде пайдаланушылардың парольдерін және есептік жазбаларын оқшаулауды басқару жөніндегі функцияның мынадай өлшемдері қолданылады:

      1) парольдің ең қысқа ұзындығы – осы өлшемнің мәні 8 символдан тұрады. Парольді осы өлшемге сәйкестігін тексеру пароль ауысқан сайын жүргізіледі, сәйкес келмеген жағдайда – пайдаланушыға хабарлама жіберіледі;

      2) парольдің күрделілігі – парольде кемінде символдардың үш тобының: кішкентай әріптер, бас әріптерінің, цифрлық мәндердің, арнайы символдардың болуын тексеру мүмкіндігі. Парольдің осы өлшемге сәйкестігін тексеру пароль ауысқан сайын жүргізіледі, сәйкес келмеген жағдайда – пайдаланушыға хабарлама жіберіледі;

      3) парольдің тарихы – жаңа пароль кемінде алдыңғы жеті парольді қайталамайды. Парольдің осы өлшемге сәйкестігін тексеру пароль ауысқан сайын жүргізіледі, сәйкес келмеген жағдайда – пайдаланушыға хабарлама жіберіледі;

      4) парольдің ең қысқа пайдалану мерзімі – 1 (бір) жұмыс күні;

      5) парольдің ең ұзақ пайдалану мерзімі – күнтізбелік 60 (алпыс) күннен аспайды. Парольдің осы өлшемге сәйкестігін тексеру ақпараттық жүйеге кірген сайын және пароль ауысқан кезде жүргізіледі. Парольдің ең ұзақ пайдалану мерзімі аяқталғанға дейін күнтізбелік 7 (жеті) күн және одан аз күн қалған жағдайда пайдаланушыға тиісті хабарлама жіберіледі. Парольдің ең ұзақ қолданылу мерзімі аяқталғаннан кейін ақпараттық жүйе кіруді оқшаулайды және парольді міндетті түрде ауыстыруды талап етеді;

      6) ақпараттық жүйеге бірінші рет кіру кезінде, не әкімші парольді ауыстырғаннан кейін ақпараттық жүйе пайдаланушыдан бұл рәсімді орындамау мүмкіндігінсіз парольді ауыстыруды сұратуға тиіс. Осы қағида парольдің қолданылу мерзімі туралы қағидадан басым болады;

      7) ақпараттық жүйеде пайдаланушының белсенділігі күнтізбелік 30 (отыз) күннен аса болмаған жағдайда, оның есептік жазбасы автоматты түрде оқшауланады;

      8) дұрыс емес парольді қатарынан бес рет енгізген кезде пайдаланушының есептік жазбасы уақытша оқшауланады;

      9) пайдаланушы 30 (отыз) минуттан аса белсенді болмаған кезде ақпараттық жүйе пайдаланушының жұмыс істеу сеансын автоматты түрде аяқтайды, не пайдаланушының аутентификациялық деректерін енгізген кезде ғана оқшалаусыздандыру мүмкіндігімен жұмыс станциясын оқшаулайды.

      72. Талаптардың 71-тармағының талаптары мынадай:

      1) ақпараттық жүйе Талаптардың 71-тармағының талаптарына сәйкес келетін ақпараттық жүйемен аутентификациялау бөлігінде ықпалдастырылған;

      2) бір ақпараттық жүйенің функциялары басқа ақпараттық жүйеде авторизацияланбаған кіру тәуекелін барынша азайтқан жағдайларда қолданылмайды.

      73. Банк, ұйым парольдерді және есептік жазбаларды басқару процесін айқындайды және мыналарды қамтиды:

      1) ақпараттық жүйелер әкімшілерінің ақпараттық жүйелерді пайдаланушылардың есептік жазбаларын басқару және олардың парольдерін ауыстыру;

      2) есептік жазбаларды құруға өтінімдерді беру және қарау, сондай-ақ штаттан тыс оқиға туындаған кезде парольді өзгерту;

      3) есептік жазбаларды өзгертуге немесе жоюға өтінімдер беру;

      4) есептік жазбаларды құруға, өзгертуге немесе жоюға өтінім беретін тұлғаларды сәйкестендіру, сондай-ақ парольді өзгерту;

      5) парольдерді үшінші тұлғаларға, ақпараттық жүйелерді басқарушыларға және банктің, ұйымның өзге де қызметкерлеріне заңсыз беруге тыйым салу;

      6) пайдаланушыны дәлме-дәл идентификаттауды қамтамасыз ету кезінде көрсетілген уақыт аралығында ақпараттық қауіпсіздік бөлімшесімен келісім бойынша қызметтің үздіксіздігін қамтамасыз ету мақсатында бөтен есептік жазбаға қол жеткізуді ұсынуды қоспағанда, ақпараттық жүйелерде бөтен есептік жазбалармен жұмыс істеуге жол бермеу болып табылады.

3-параграф. Ақпарат қауіпсіздігін қамтамасыз ету процесіне қойылатын талаптар

      74. Интернетті және электрондық поштаны пайдаланған кезде ақпаратты қорғау процесін банк, ұйым мынадай әдістердің кез келгенін пайдалана отырып, бірақ олармен шектелмей айқындайды:

      1) ұйымдастырушылық: банк, ұйым айқындайтын шектеулер, қызметкерлердің хабардар болуын қамтамасыз ету, Интернет желісіне, жедел хабарламалар қызметіне, бұлттық сервистерге, IP-телефонияға және сыртқы электрондық почтаға кіру рұқсаты бар қызметкерлердің санын шектеу;

      2) бағдарламалық-техникалық: пайдаланушылар санын және олардың интернет-ресурстарына кіруін шектеу, Интернетке, оның ішінде жедел хабарламалар қызметі, IP-телефония және сыртқы электрондық почта арқылы берілетін ақпаратты бақылау, Интернетке кіруді терминалдық сервер арқылы беру, желі сегменттерін бөлу, сыртқы электрондық почтаның мұрағатын жүргізу (сақтау мерзімін банк, ұйым айқындайды, осы мұрағаттағы ақпаратты өзгертуге немесе жоюға кіруді шектеу), банктің, ұйымның ақпараттық инфрақұрылымының қорғау периметріне бағытталған шабуылдарға қарсы іс-қимыл жасау жүйелерін пайдалану, жіберілетін ақпаратты шифрлау.

      75. Сыртқы электрондық ақпаратты тасымалдағыштарды пайдаланған кезде ақпаратты қорғау үшін мынадай әдістердің кез келгені қолданылады, бірақ олармен шектелмейді:

      1) ұйымдастырушылық: банк, ұйым айқындайтын шектеулер, қызметкерлердің хабардар болуын қамтамасыз ету, сыртқы ақпарат тасымалдағыштарға жазба жасауға кіру рұқсаты бар қызметкерлердің санын шектеу;

      2) бағдарламалық-техникалық: ақпаратты сыртқы тасымалдағыштарға жазуды шектеуді, бақылауды және шифрлауды қамтамасыз ететін бағдарламалық-техникалық құралдарды пайдалану; банк, ұйым қызметкерлерінің жұмыс станцияларында немесе серверлерде пайдаланылмайтын енгізу-шығару порттарын және сыртқы тасымалдағышта жазба жасау құрылғыларын ажырату.

      76. Қағаз тасымалдағыштарды пайдалану кезінде ақпаратты қорғау үшін мынадай әдістердің кез келгені пайдаланылады, бірақ олармен шектелмейді:

      1) ұйымдастырушылық: банк, ұйым айқындайтын шектеулер, қызметкерлердің хабардар болуын қамтамасыз ету, қорғалатын ақпарат қамтылған құжаттармен жұмыс жасауға кіру рұқсаты бар қызметкерлердің санын шектеу;

      2) бағдарламалық-техникалық: ақпаратты қағаз тасымалдағыштарына шығаруды бақылауды қамтамасыз ететін бағдарламалық-техникалық құралдарды пайдалану.

      77. Штаттық ақпарат тасымалдағыштар жоғалған жағдайда, ақпаратты қорғау үшін мынадай әдістердің кез келгені пайдаланылады, бірақ олармен шектелмейді:

      1) ұйымдастырушылық: банк, ұйым айқындайтын шектеулер, банктің, ұйымның периметрінің нақты қауіпсіздігін қамтамасыз ету, қызметкерлердің хабардар болуын қамтамасыз ету, ақпарат тасымалдағыштарын жарамсыз ету нормалары;

      2) бағдарламалық-техникалық: жүйелік блоктарды ашуды бақылайтын құралдарды пайдалану, жұмыс станцияларында, серверлерде ақпаратты шифрлау, дерекқорын басқару жүйелерінде ақпаратты шифрлау немесе токенизациялау (түпнұсқа деректерді кездейсоқ деректер (токен) жинағын пайдалана отырып қандай да бір суррогатпен ауыстыру).

      78. Қорғалатын ақпаратты жою оны қалпына келтіруді болдырмайтын әдістермен, тасымалдағыштың түріне байланысты аталған ақпарат жоюдың мына әдістерінің кез келгенін пайдалана отырып, жүргізіледі:

      1) ақпарат тасымалдағышты нақты жою;

      2) ақпарат тасымалдағышқа электромагниттік әсер ету (магниттік тасымалдағыштар үшін);

      3) электрондық ақпаратты мамандандырылған бағдарламалық құралдармен бағдарламалық жою.

4-параграф. Ақпараттық инфрақұрылымның қорғау периметрінің қауіпсіздігін қамтамасыз ету процесіне қойылатын талаптар

      79. Банк, ұйым ақпараттық-коммуникациялық инфрақұрылымының қорғау периметрін (бұдан әрі – қорғау периметрі) айқындайды. Ақпараттық технологиялар бөлімшесі қорғау периметрінің схемасын және қорғау периметрінің қауіпсіздігін қамтамасыз ету құралдары басқарушыларының тізбесін бекітеді және жұмыс істейтін жағдайда қолдайды.

      80. Банктің, ұйымның қорғау периметрінен шығатын қалалық телефон желісімен қосылғыштарды қоспағанда, телекоммуникациялық қосылғыштар.

      81. Телекоммуникациялық қосылғыштарды шифрлау ақпараттық қауіпсіздік жөніндегі бөлімшемен келісілген әдістермен жүргізіледі.

      82. Талаптардың 80 және 81-тармақтарында көрсетілген телекоммуникациялық қосылғыштарды шифрлаумен бірге берілетін ақпаратты шифрлау қолданылады.

      83. Қорғау периметрінде ақпараттық инфрақұрылымға кіруді шектеу үшін желіаралық экрандар орнатылады.

      84. Желіаралық экрандар орнатылған кіру қағидалары банктің, ұйымның ақпараттық активтерінің жұмыс істеп тұру үшін пайдаланылмаған қосылғыштарды оқшаулауға теңшеледі. Көрсетілген қағидалар ақпараттық қауіпсіздік бөлімшесімен келісіледі. Қорғау периметріне жасалған шабуылдарды анықтау және көрсету үшін басып кіруді анықтау және алдын алу құралдары пайдаланылады.

      85. Банк, ұйым "қызмет көрсетуден бас тарту" сияқты шабуылдарды болдырмау шараларын қолдануды қамтамасыз етеді. Аталған шараларды іске асыру кезінде қорғау периметрін қамтамасыз ету жүйесінің штаттық тетіктері және (немесе) қорғау периметрінің қауіпсіздігін қамтамасыз етудің қосымша әдісі (телекоммуникациялық қызметтердің провайдерлерімен шарттар, осы тектес шабуылдан қорғау бойынша тиісті функционалы бар арнайы жүйелерді орнату және басқа тәсілдер) пайдаланылады.

      86. Банктің, ұйымның ақпараттық активтеріне қорғау периметрінен тыс жерден кіруді пайдаланушыны аутентификациялай отырып қорғау периметрінде шифрленген арна бойынша ғана ұсынылады. Қорғау периметрінен тыс жерден ақпараттық жүйелерге кіру екі факторлық аутентификациялау әдісін пайдалана отырып қана ұсынылады (үш фактордың ішінен екеуін пайдалану арқылы: "мен нені білем", "менде не бар", "мен кіммін").

      87. Пайдаланушыларға Интернет желісінің ресурстарына кірудің, сондай-ақ сыртқы электрондық поштаны пайдаланудың қауіпсіздігін қамтамасыз ету үшін тиісті шлюздер орнатылады, олар мыналарды:

      1) трафикті зиянды кодтан тазалауды;

      2) деструктивті функциялары бар Интернет ресурсты бұғаттауды;

      3) пошта трафигін спамнан тазалауды қамтамасыз етеді;

      4) кіріс электрондық поштаны жөнелтушінің домендік атауын аутентификациялауды және криптографиялық алгоритмдерді пайдалана отырып, шығыс электрондық поштаның домендік атауын аутентификациялау мүмкіндігін қамтиды.

      88. Қорғау периметрінің қауіпсіздігін қамтамасыз ету құралының конфигурациясы өндірушілердің ұсынымдарын ескере отырып орындалады және банк, ұйым айқындаған кезеңділікпен қайта қаралады. Алдын ала белгіленген есептік жазбаларға парольдер міндетті тәртіпте өзгертіледі. Пайдаланылмаған, алдын ала белгіленген есептік жазбалар бұғатталады немесе жойылады.

      89. Осы саладағы тәуелсіз сыртқы сарапшылар банк, ұйым айқындаған кезеңділікпен ақпараттық инфрақұрылымға рұқсатсыз кіруге тестілеу жүргізеді. Осы тестілеудің шегінде, жүйелік және қолданбалы бағдарламалық қамтылымның осал жерлерін іздестіру және пайдалану мүмкіндіктерінен басқа "қызмет көрсетуден бас тарту" шабуылына ұқсатып жүктеме тестілер, сондай-ақ әлеуметтік инженерия бойынша тестілер жүргізіледі.

5-параграф. Ақпараттық инфрақұрылымды қорғауды қамтамасыз ету процесіне қойылатын талаптар

      90. Ақпараттық жүйенің АТ-менеджері ақпараттық активтің жүйелік уақытын эталондық уақыттың орталықтандырылған дереккөзімен үйлестіруді қамтамасыз етеді.

      91. Ақпараттық технологиялар бөлімшесі ішкі желілік инфрақұрылымды кемінде мынадай сегменттерге:

      1) клиенттік (пайдаланушылық);

      2) серверлік (инфрақұрылымдық);

      3) әзірлемелер (бар болса);

      4) тестілік бөлуді қамтамасыз етеді.

      92. Желілік инфрақұрылым сегменттері арасында ақпараттық активтердің жұмыс істеуі үшін пайдаланылмаған қосылғыштарды оқшаулауға рұқсат беру қағидалары теңшеледі.

      93. Банк, ұйым ақпараттық инфрақұрылымды қорғау мақсатында банктің, ұйымның ақпараттық инфрақұрылымындағы болжанбаған (аномальді) белсенділікті анықтауға мүмкіндік беретін әдістерді немесе жүйелерді қолданады.

      94. Банк, ұйым ақпараттық инфрақұрылымның түпкілікті құрылғыларына қауіпсіздіктің қажетті теңшеуін орнатуға мүмкіндік беретін операциялық жүйелердің, желілік архитектуралардың немесе бағдарламалық қамтылымның мүмкіндіктерін пайдалана отырып қауіпсіздіктің топтық саясаттарын құру және қолдану жөніндегі ұйымдық және (немесе) техникалық шараларды қолданады.

      Қауіпсіздіктің топтық саясатынан ақпараттық инфрақұрылымның түпкілікті құрылғыларын алып тастау ақпараттық технологиялар бөлімшесімен келісіледі.

      95. Банктің, ұйымның бірнеше ақпараттық активтерін бір серверде немесе гипервизорда орналастырған кезде осы серверде немесе гипервизорда орналастырылған барынша күрделі ақпараттық активке сәйкес келетін деңгейде қорғау қамтамасыз етіледі.

6-параграф. Ақпараттық жүйелерді қорғауды қамтамасыз ету процесіне қойылатын талаптар

      96. Ақпараттық жүйелерді өнеркәсіптік пайдалану ортасында әзірлеу және пысықтау жүзеге асырылмайды.

      97. Әзірлеу, тестілеу және өнеркәсіптік пайдалану орталары осы орталардың кез келгеніне енгізілген өзгерістер басқа ортада орналасқан ақпараттық жүйеге әсер етпейтіндей етіп бір бірінен бөлінеді.

      98. Қорғалатын ақпаратты әзірлеу және тестілеу ортасында пайдаланған жағдайда оларды қорғау бойынша тиісті шаралар қолданылады.

      99. Банктің, ұйымның және әзірлеуді жүзеге асыратын тысқары ұйымдардың ақпараттық технологиялар бөлімшесі қызметкерлерінің ақпараттық жүйенің өзгерістерін өнеркәсіптік ортаға ауыстыру өкілеттіктері, сондай-ақ өнеркәсіптік ортадағы ақпараттық жүйелерге әкімшілік кіру рұқсаты жоқ.

      100. Ақпараттық жүйені өнеркәсіптік пайдалануға енгізудің алдында онда қалыпты жағдай бойынша орнатылған қауіпсіздік теңшеулері банкте, ұйымда белгіленген ақпараттық қауіпсіздікке қойылатын талаптарына сәйкес келетін теңшеулерге өзгертіледі. Көрсетілген теңшеулер тестілеу кезінде пайдаланылатын парольдерге ауыстыруды, сондай-ақ барлық тестілік есептік жазбаларды алып тастауды қамтуға тиіс.

      101. Артықшылық берілген есептік жазбалардың пайдаланылуын бақылау:

      1) ақпараттық жүйелер әкімшілерінің тізбесін жасау және бекіту (операциялық жүйе, дерекқорды басқару жүйесі, қосымша);

      2) ақпараттық жүйелерді әкімшілендіру функцияларын орындау кезінде қосарланған бақылауды енгізу және (немесе) артықшылық берілген есептік жазбалардың пайдаланылуын бақылаудың арнайы кешендерін енгізу арқылы қамтамасыз етіледі.

      102. Банктің, ұйымның ақпараттық жүйелері техникалық қолдаумен қамтамасыз етіледі, оның құрамына тиісті ақпараттық жүйенің жаңартуларын, оның ішінде қауіпсіздік жаңартуларын ұсыну қызметтері кіреді.

7-параграф. Қызметкерлермен жұмыс жүргізу процесіне қойылатын талаптар

      103. Жұмысқа қабылдау кезінде банктің, ұйымның жаңа қызметкері қорғалатын ақпаратты жария етпеу туралы міндеттемеге қол қояды. Міндеттеме қызметкердің жеке ісіне тігіледі.

      104. Жаңа қызметкер жұмысқа қабылданған кезде ол жұмысқа қабылданған сәттен бастап 5 (бес) жұмыс күнінен кешіктірмей ақпараттық қауіпсіздікті қамтамасыз ету жөніндегі негізгі талаптармен (кіріспе нұсқаулық) қолын қоя отырып танысады. Танысу нәтижелері тиісті нұсқаулық журналында немесе нұсқаулықтан өткенін растайтын жеке құжатта тіркеледі. Нұсқаулықтан өткенін растайтын жеке құжат қызметкердің жеке ісіне тігіледі.

      105. Қызметкерді ақпараттық қауіпсіздікке қойылатын талаптармен танысқанға дейін оған маңызды емес ақпараттық активтерге ғана кіруге рұқсат етіледі.

      106. Банктің, ұйымның қызметкерімен жасасқан еңбек шартында ақпараттық қауіпсіздікті қамтамасыз ету жөніндегі талаптарды сақтау туралы міндеттеме қамтылады.

      107. Банк, ұйым қызметкерлердің ақпараттық қауіпсіздікті қамтамасыз ету мәселелері жөнінде хабардар болуын арттыру бағдарламасын әзірлейді. Бұл ретте қызметкерлердің хабардар болуын арттырудың мынадай әдістері қолданылуы мүмкін:

      1) банктің, ұйымның ішкі құжаттарымен, сондай-ақ оларға енгізілген өзгерістермен және толықтырулармен танысу;

      2) банктің, ұйымның атқарушы органы бекітетін банк, ұйым қызметкерлеріне тест жүргізу жоспарына сәйкес банктің, ақпараттық қауіпсіздік жөніндегі ұйымның ішкі құжаттарының талаптарын білуге арналған тест жүргізу;

      3) банк, ұйым айқындаған әдістер.

      108. Нұсқаулық жүргізу кезінде сондай-ақ хабардар болуды арттыру жөніндегі одан кейінгі іс-шаралар өткізу кезінде:

      1) "әлеуметтік инженерияға" қарсы іс-қимыл әдістері;

      2) Қазақстан Республикасының банктік заңнамасында тыйым салынған ақпаратты таратуға тыйым салу;

      3) банктің, ұйымның ақпараттық жүйелерінде құрылатын, сақталатын және өңделетін кез келген ақпаратты мониторингтеуді жүзеге асыруға банктің, ұйымның құқығы туралы ереже;

      4) ақпараттық қауіпсіздікті қамтамасыз етуге қойылатын талаптар белгіленетін ішкі құжаттарды бұзғаны үшін көзделген жауапкершілік туралы талаптар.

      109. Банк, ұйым ақпараттық қауіпсіздік, ақпараттық қауіпсіздік тәуекелдерін басқару бөлімшелері және ішкі аудит бөлімшесі қызметкерлерінің біліктілігін көтеруді мыналарды жүргізу арқылы қамтамасыз етеді:

      1) ішкі іс-шаралар (лекциялар, семинарлар);

      2) сырттай оқыту (курстарға, семинарларға қатысу – әрбір қызметкер үшін үш жылда кемінде бір реттен).

      110. Қызметкер жұмыстан босатылған кезде, ақпараттық қауіпсіздікті қамтамасыз ету мақсатында мыналар бойынша іс-шаралар жүзеге асырылады:

      1) банктің, ұйымның құжаттары мен ақпараттық активтерін қабылдау-өткізу;

      2) куәліктерді, рұқсат қағаздарын және рұқсат ету құжаттарын тапсыру;

      3) жұмыстан босатылатын қызметкерлермен конфиденциалды ақпаратты жария етпеу туралы нұсқама жүргізу;

      4) ақпараттық жүйелерде есептік жазбаларды оқшаулау немесе жою.

8-параграф. Ақпараттық жүйелерде аудиторлық із жүргізу процесіне қойылатын талаптар

      111. Ақпараттық жүйенің АТ-менеджері ұйымдастырушылық және техникалық деңгейде аудиторлық іздің жүргізілуін және өзгермеуін қамтамасыз етеді.

      112. Банктің, ұйымның ақпараттық активтерінде аудиторлық із жүргізу функциясы пайдаланылады, ол мыналарды көрсетеді:

      1) ақпараттық активте қосылғыштарды орнату, сәйкестендіру, бірегейлендіру және авторизациялау (табысты және сәтсіз) оқиғалары;

      2) қауіпсіздік теңшеулерін түрлендіру оқиғалары;

      3) пайдаланушылардың топтарын және олардың өкілеттіктерін түрлендіру оқиғасы;

      4) пайдаланушылардың есептік жазбаларын және олардың өкілеттіктерін түрлендіру оқиғасы;

      5) ақпараттық жүйедегі жаңартуларды және (немесе) өзгерістерді орнатуды көрсететін оқиға;

      6) аудиттің өлшемдерінің өзгеру оқиғасы;

      7) жүйелік өлшемдердің өзгерістер оқиғасы.

      113. Аудиторлық із форматы мынадай ақпаратты қамтиды:

      1) іс-қимыл жасайтын пайдаланушының сәйкестендіргіші (логины);

      2) іс-қимыл жасау күні және уақыты;

      3) пайдаланушының жұмыс станциясының атауы және (немесе) іс-қимыл жасалған IP мекенжайы;

      4) іс-қимыл жүргізілген объектілердің атауы;

      5) жасалған іс-қимылдың түрі және атауы;

      6) іс-қимылдың нәтижесі (ойдағыдай немесе ойдағыдай емес).

      114. Аудиторлық ізді сақтау мерзімі жедел қолжетімділікте кемінде 3 (үш) айды және архивтік қолжетімділікте кемінде 1 (бір) жылды не жедел қолжетімділікте кемінде 1 (бір) жылды құрайды.

9-параграф. Вирусқа қарсы қорғауды қамтамасыз ету процесіне қойылатын талаптар

      115. Банк, ұйым лицензиялық вирусқа қарсы бағдарламалық қамтамасыз етуді немесе жұмыс стансаларында, ноутбуктарда, мобилді құрылғыларда, сол сияқты серверлерде, банкоматтарда және банктік киоскілерде бағдарламалық ортаның тұтастығы мен тұрақтылығын қамтамасыз ететін жүйелерді пайдаланады.

      116. Банк, ұйым пайдаланатын вирусқа қарсы бағдарламалық қамтамасыз ету төмендегі талаптарға сәйкес келеді

      1) белгілі сигнатурлар негізінде вирустарды анықтау;

      2) эвристикалық талдау негізінде (вирустарға тән командалар мен тәртіптік талдауды іздестіру) вирустарды анықтау;

      3) қосу кезінде ауыстырылатын тасымалдағыштарды сканерлеу;

      4) кесте бойынша вирусқа қарсы базаны сканерлеуді және жаңартуды іске қосу;

      5) басқарудың және мониторинг жүргізудің орталықтандырылған консолінің болуы;

      6) пайдаланушы үшін вирусқа қарсы бағдарламалық қамтамасыз етудің, сондай-ақ вирусқа қарсы бағдарламалық қамтамасыз етуді жаңарту және вирустардың болмауын жоспарлы тексеру процестерінің жұмыс істеуін үзу мүмкіндігін оқшаулау;

      7) виртуалды орта үшін – вирусқа қарсы бағдарламалық қамтамасыз етудің виртуалды орта қауіпсіздігінің қоса орнатылған функцияларын пайдалануы, мұндай мүмкіндіктер болмаған кезде – өндірушінің банк, ұйым пайдаланатын виртуалды орталарда вирусқа қарсы бағдарламалық қамтамасыз етуді тестіден өткізуі туралы растауы;

      8) банкті, ұйымды қорғаудың периметрінен тыс пайдаланылатын мобилді құрылғылар және өзге де құрылғылар үшін желіаралық экранға шығарудың қоса орнатылған функцияларымен вирусқа қарсы бағдарламалық қамтамасыз етуді пайдалану.

      117. Бағдарламалық ортаның тұтастығы мен тұрақтылығын қамтамасыз ететін жүйелерді пайдаланған кезде төмендегілер ең төменгі талаптар болып табылады:

      1) жаңартуды және техникалық қолдауды көздейтін лицензиялық бағдарламалық қамтамасыз етудің болуы;

      2) басқарудың және мониторинг жүргізудің орталықтандырылған консолінің болуы;

      3) түпкілікті пайдаланушы үшін осы жүйенің жұмыс істеуін үзу үшін оқшаулау мүмкіндігінің болуы;

      4) түпкілікті құрылғыларға орнату алдында вирусқа қарсы бағдарламалық қамтамасыз ету арқылы бағдарламалық ортаның бейінін тексеру мүмкіндігінің болуы;

      5) қорғаудың периметрінен тыс пайдаланылатын мобилді құрылғылар және өзге де құрылғылар үшін желіаралық экранның болуы.

      118. Вирусқа қарсы бағдарламалық қамтамасыз етуді таңдауды ақпараттық технологиялар бөлімшесі ақпараттық қауіпсіздік бөлімшесінің міндетті қатысуымен жүргізеді.

      119. Вирусқа қарсы бағдарламалық қамтамасыз ету пайдаланушының барлық қызметтік процестерді барынша үздіксіз қолдануын қамтамасыз етеді (кесте бойынша сканерлеу, жаңарту және басқалары). Вирусқа қарсы бағдарламалық қамтамасыз етуді жаңарту тәулігіне кемінде бір рет, компьютерді толық сканерлеу – аптасына кемінде бір рет жүргізіледі.

10-параграф. Ақпараттық жүйелердің жаңартуларын және осалдығын басқару процесіне қойылатын талаптар

      120. Ақпараттық жүйенің АТ-менеджері банктің, ұйымның ақпараттық активтерінің қауіпсіздік жаңартуларын уақытылы орнатуды қамтамасыз етеді.

      121. Маңызды осалдықтарды жоятын ақпараттық жүйелерді жаңартулар ақпараттық қауіпсіздік бөлімшесімен келісілген жағдайларды қоспағанда, оларды жариялау және өндіруші таратқан күннен бастап бір айдан кешіктірмей орнатылады.

      122. Ақпараттық жүйелерді жаңартулар өнеркәсіптік ортаға орнатылғанға дейін тестілеу ортасында сынақтан өтеді.

      123. Ақпараттық қауіпсіздік жүйесімен келісу бойынша жаңартуларды орнату мүмкіндігі болмаған жағдайда, ақпараттық жүйенің АТ-менеджері түзету шараларын жүзеге асырады.

      124. Ақпараттық қауіпсіздік бөлімшесі ақпараттық активтерді мамандандырылған бағдарламалық қамтамасыз етуді пайдалана отырып, осалдықтың болуына сканерлеуді (бұдан әрі – сканерлеу) (қорғаныстың техникалық талдауы) қамтамасыз етеді. Банктің, ұйымның ақпараттық активтерін сканерлеу 6 (алты) айда кемінде бір рет жоспарлы негізде жүргізіледі. Сканерлеуді банктің, ұйымның қызметкерлері және (немесе) сырттан мамандандырылған компаниялар жүргізе алады. Сканерлеудің нәтижелері анықталған осалдықтарды жою бойынша түзету шаралары жөнінде ұсынымдарды көрсете отырып, ақпараттық қауіпсіздіктің жағдайы туралы есеп түрінде қалыптастырылады.

      125. Ақпараттық жүйенің АТ-менеджері анықталған осалдықтарды жою бойынша түзету шараларын іске асыруды қамтамасыз етеді.

      Осалдықтарды жою бойынша жұмыстар аяқталысымен ақпараттық жүйенің АТ-менеджері анықталған осалдықтардың жойылғаны туралы растаманы ақпараттық қауіпсіздік бөлімшесіне ұсынады.

11-параграф. Ақпаратты криптографиялық қорғау құралдарын пайдалану процесіне қойылатын талаптар

      126. Ақпаратты криптографиялық қорғау құралдарын пайдалану процесін банктің, ұйымның ақпараттық қауіпсіздік бөлімшесінің келісімі бойынша ақпараттық технологиялар бөлімшесі мыналарды қоса алғанда, бірақ олармен шектелмей:

      1) ақпаратты криптографиялық қорғау құралдарының сипаттамасын (жүйенің атауы, криптоалгоритм, кілттің ұзындығы);

      2) ақпаратты криптографиялық қорғау құралдарын пайдалану саласын;

      3) ақпаратты криптографиялық қорғау құралдарын күйге келтірудің сипаттамасын;

      4) негізгі ақпаратты басқару: генерация, қауіпсіз беру (кілт пен қорғалатын ақпаратты беру үшін түрлі арналарды пайдалану талаптары есебімен кілттерді алмастыру), сақтау, пайдалану және жою тәртібін;

      5) негізгі ақпарат әшкереленген кездегі іс-әрекетті;

      6) ақпаратты криптографиялық қорғау құралдарын соңғы пайдаланушылардың пайдалану тәртібін;

      7) ақпаратты криптографиялық қорғау құралдарына әкімшілендіруге және негізгі ақпаратты басқаруға жіберілген тұлғалар тізбесін айқындайды.

12-параграф. Деректерді өңдеу орталықтарының нақты қауіпсіздігін қамтамасыз ету процесіне қойылатын талаптар

      127. Банктің, ұйымның деректерді өңдеу орталықтары техникалық қауіпсіздіктің мынадай жүйелерімен:

      1) кіруді бақылау және басқару жүйесімен;

      2) күзет сигнализациясымен;

      3) өрт сигнализациясымен;

      4) өртті автоматты сөндіру жүйесімен;

      5) температура мен ылғалдылықтың белгіленген өлшемдерін ұстап тұру жүйесімен;

      6) бейнебақылау жүйесімен жарақтандырылады.

      Серверлік және коммуникациялық жабдық үздіксіз қуат көздері арқылы электр қуаты жүйесіне қосылады.

      Банкте, ұйымда деректерді өңдеу орталығы болмаған жағдайда аталған тармақтың талаптары банктің, ұйымның ақпараттық инфрақұрылымы жүйесі мен құрамдастары орналастырылған банктің, ұйымның үй-жайына қолданылады.

      128. Деректерді өңдеу орталығына кіру рұқсаты тізбесін ақпараттық қауіпсіздік бөлімшесінің келісімі бойынша ақпараттық технологиялар бөлімшесінің басшысы бекітетін адамдарға беріледі.

      129. Банк, ұйым деректерді өңдеу орталығына кіруді бақылау және басқару жүйесінің журналын жүргізеді, ол кемінде 1 (бір) жыл сақталады.

      130. Деректерді өңдеу орталығының өртті автоматты сөндіру жүйесі бүкіл үй-жай көлемінің тұтануын болдырмауды қамтамасыз етеді.

      131. Деректерді өңдеу орталығының бейне бақылау жүйесі деректерді өңдеу орталығының барлық кіреберістерін бақылауды қамтамасыз етеді. Деректерді өңдеу орталығында бейнекамераларды орналастыру деректерді өңдеу орталығы үй-жайының ішінде және кіреберісі алдында бейнебақылаумен қамтамасыз етілмеген аймақтардың болуына жол бермейді.

      132. Деректерді өңдеу орталығының бейнебақылау жүйесі оқиғаларының жазбасы үздіксіз немесе қозғалыс детекторын пайдалана отырып жүргізіледі.

      133. Деректерді өңдеу орталығының бейнебақылау жүйесінің мұрағаты кемінде 3 (үш) ай сақталады.

      134. Деректерді өңдеу орталығынан тыс орналасқан серверлерге және белсенді желілік жабдыққа санкцияланбаған нақты кірудің алдын алу мақсатында олардың қауіпсіздігін қамтамасыз ету бойынша шаралар анықталады және іске асырылады.

      135. Банктің, ұйымның ақпараттық активтеріне нақты рұқсатты ұсынуды банк, ұйым айқындайды.

13-параграф. Жұмыс станцияларын, ноутбуктарды және мобильдік құрылғыларды қорғауды қамтамасыз ету процесіне қойылатын талаптар

      136. Банкте, ұйымда пайдаланушыларға бағдарламалық қамтамасыз етуді, жұмыс станцияларын, ноутбуктар мен перифериялық жабдықты өз бетінше орнатуды және теңшеуді жүргізуге тыйым салынатын ұйымдастырушылық және техникалық шаралар анықталады және енгізіледі.

      137. Жергілікті әкімшінің қол жеткізу құқығы немесе жергілікті әкімшінің қол жеткізу құқығына ұқсас құқықтар пайдаланушы орындайтын функцияларды автоматтандыратын бағдарламалық қамтылымның жұмыс істеуі үшін талап етілетін жағдайларды қоспағанда, пайдаланушыларға жергілікті әкімшінің қол жеткізу құқығы немесе осыған ұқсас қол жеткізу құқығы берілмейді.

      138. Пайдаланушының өз функционалдық міндеттерін бағдарламалық қамтамасыз етуді және жабдықты өз бетінше орнату және теңшеуді жүзеге асырусыз орындау мүмкіндігі болмаған жағдайда, мұндай пайдаланушыға жергілікті әкімші құқығы немесе ұқсас құқықтар беріледі.

      139. Талаптардың 137 және 138-тармақтарында көрсетілген пайдаланушылардың тізбесін ақпараттық қауіпсіздік бөлімшесімен келісу бойынша ақпараттық технологиялар бөлімшесінің басшысы қалыптастырады, жаңартады және бекітеді. Ақпараттық қауіпсіздік бөлімшесі пайдаланушылардың Талаптардың 137 және 138-тармақтарында көрсетілген кіру құқықтарын бақылауды жүзеге асырады.

      140. Ақпараттық технологиялар бөлімшесі банктің, ұйымның жұмыс станцияларын, ноутбуктарын және корпоративтік желісіндегі мобильдік құрылғыларды есепке алу жүйесі осы жұмыс станциясының орналасқан орнын немесе мобильдік құрылғының тиесілілігін нақты сәйкестендіруге мүмкіндік береді.

      141. Банктің, ұйымның қорғаныс периметрінің аумағынан тыс мобильдік құрылғылар, ноутбуктар банктің, ұйымның ақпараттық активтеріне қосылған жағдайда бұл құрылғыларға ақпараттық активтерге қорғалған рұқсатты қамтамасыз ететін (байланыс арнасын шифрлеу, екіфакторлы аутентификаттауды қамтамсыз ету, қашықтықтан мобильдік құрылғыдан деректерді жою) арнайы бағдарламалық қамсыздандыру орнатылады.

      142. Банктің, ұйымның ақпараттық активтерін өңдеу үшін банк, ұйым қызметкерлерінің жеке ноутбуктарын және мобильді құрылғыларын қолдану кезінде берілген ноутбуктар мен мобильді құрылғыларға жеке деректерді және банктің, ұйымның ақпараттық активтерін өңдеу ортасын жіктеуді қамтамасыз ететін арнайы бағдарламалық қамтылым орнатылады.

      143. Банктің, ұйымның ноутбукта және мобильдік құрылғыларда орналасқан бүкіл ақпараты шифрленген түрде сақталады.

  Өзгерістер енгізілетін
Қазақстан Республикасының
қаржы нарығындағы ақпараттық
қауіпсіздікті реттеу мәселелері
бойынша нормативтік құқықтық
актілерінің тізбесіне
2-қосымша
Қазақстан Республикасының
Ұлттық Банкі Басқармасының
2018 жылғы 27 наурыздағы
№ 48 қаулысына
2-қосымша

Ақпараттық жүйелердегі бұзушылықтар, іркілістер туралы мәліметтерді қоса алғанда, ақпараттық қауіпсіздіктің оқыс оқиғалары туралы ақпаратты беру қағидалары мен мерзімдері

      1. Осы Ақпараттық жүйелердегі бұзушылықтар, іркілістер туралы мәліметтерді қоса алғанда, ақпараттық қауіпсіздіктің оқыс оқиғалары туралы ақпаратты беру қағидалары мен мерзімдері (бұдан әрі – Қағидалар) "Қазақстан Республикасындағы банктер және банк қызметі туралы" Қазақстан Республикасы Заңы 61-5-бабының 7-тармағына сәйкес әзірленді және банктердің, Қазақстан Республикасының бейрезидент-банктері филиалдарының (бұдан әрі - банк) және банк операцияларының жекелеген түрлерін жүзеге асыратын ұйымдардың (бұдан әрі - ұйым) ақпараттық қауіпсіздігін қамтамасыз етуге қойылатын талаптарды, ақпараттық жүйелердегі бұзушылықтар, іркілістер туралы мәліметтерді қоса алғанда, ақпараттық қауіпсіздіктің оқыс оқиғалары туралы ақпаратты беру қағидалары мен мерзімдерін айқындайды.

      2. Қағидаларда "Ақпараттандыру туралы" Қазақстан Республикасының Заңында көзделген ұғымдар, сондай-ақ мынадай ұғымдар пайдаланылады:

      1) ақпараттандыру саласындағы ақпараттық қауіпсіздік (бұдан әрі – ақпараттық қауіпсіздік) – электрондық ақпараттық ресурстардың, ақпараттық жүйелердің және ақпараттық-коммуникациялық инфрақұрылымның сыртқы және ішкі қатерлерден қорғалуының жай-күйі;

      2) ақпараттық-коммуникациялық инфрақұрылым (бұдан әрі – ақпараттық инфрақұрылым) – электрондық ақпараттық ресурстарды қалыптастыру және оларға қолжетімділік беру мақсатында технологиялық ортаның жұмыс істеуін қамтамасыз етуге арналған ақпараттық-коммуникациялық инфрақұрылым объектілерінің жиынтығы;

      3) ақпараттық қауіпсіздік қатері – ақпараттық қауіпсіздіктің оқыс оқиғасының туындауына алғышарттар жасайтын жағдайлар мен факторлардың жиынтығы;

      4) ақпараттық қауіпсіздіктің оқыс оқиғалары туралы ақпарат – ақпараттық-коммуникациялық инфрақұрылымның немесе оның жекелеген объектілерінің жұмысында жеке немесе сериялық туындайтын, олардың тиісінше жұмыс істеуіне қауіп келтіретін іркілістер туралы ақпарат және (немесе) банктің, ұйымның электрондық ақпараттық ресурстарын заңсыз алу, көшіру, тарату, модификациялау, жою немесе бұғаттауға арналған талаптар;

      5) ақпараттық қауіпсіздіктің оқыс оқиғасы – ақпараттық-коммуникациялық инфрақұрылымның немесе оның жекелеген объектілерінің жұмысында жеке немесе сериялық туындайтын, олардың тиісінше жұмыс істеуіне қауіп келтіретін және (немесе) банктің, ұйымның электрондық ақпараттық ресурстарын заңсыз алу, көшіру, тарату, модификациялау, жою немесе бұғаттауға арналған талаптар;

      6) кіру – ақпараттық активтерді пайдалану мүмкіндігі;

      7) "қызмет көрсетуден бас тарту" түріндегі шабуыл (DoS немесе DDoS-шабуыл, шабуылдың сыртқы көздерінің санына байланысты) – ақпараттық жүйе жұмысының штаттық режимін бұзу мақсатында ақпараттық жүйеге шабуыл жасау немесе жүйенің заңды пайдаланушылары ұсынылатын ресурстарға қолжетімділік ала алмайтын, не бұл қолжетімділік қиын болатын жағдайлар жасау;

      8) уәкілетті орган - қаржы нарығы мен қаржы ұйымдарын реттеу, бақылау және қадағалау жөніндегі уәкілетті орган.

      3. Банк, ұйым уәкілетті органға ақпараттық қауіпсіздіктің мынадай анықталған оқыс оқиғалары туралы ақпаратты ұсынады:

      1) қолданбалы және жүйелік бағдарламалық қамтамасыз етуде осалдықтарды пайдалану;

      2) ақпараттық жүйеге санкцияланбаған кіру;

      3) ақпараттық жүйеге немесе деректерді беру желісіне "қызмет көрсетуден бас тарту" шабуылы;

      4) сервердің зиянды бағдарламамен немесе кодпен зақымдануы;

      5) ақпараттық қауіпсіздік бақылауын бұзу салдарынан ақша қаражатын санкцияланбай аударуды жүзеге асыру;

      6) ақпараттық жүйелердің бір сағаттан артық тұрып қалуына әкеп соққан ақпараттық қауіпсіздіктің өзге де оқыс оқиғалары жатады.

      Осы тармақта көрсетілген ақпараттық қауіпсіздіктің оқыс оқиғалары туралы ақпаратты банк немесе ұйым ақпараттық қауіпсіздік оқиғалары мен оқыс оқиғалары туралы ақпаратты өңдеуге арналған және ақпараттық қауіпсіздік жүйелерімен немесе ақпараттық инфрақұрылымдағы оқиғалар туралы ақпаратты нақты уақытта жинауды және талдауды жүзеге асыратын банктің, ұйымның жүйелерімен ықпалдастырылған уәкілетті органның автоматтандырылған жүйесі (бұдан әрі – ААӨЖ) арқылы немесе ұсынылатын деректердің конфиденциалдығын және түзетілмеуін қамтамасыз ететін криптографиялық қорғау құралдары бар ақпараттың жеткізілуіне кепілдік беретін көлік жүйесін пайдалана отырып, электрондық форматта дереу береді.

      4. Банк, ұйым ақпараттық қауіпсіздікті қамтамасыз етудің қабылданған шараларының бұзылғаны туралы не ақпараттық қауіпсіздікке ықтимал қатысы бар бұрын белгісіз болған жағдай туралы куәландыратын ақпараттық қауіпсіздік жүйелерін қоса алғанда, ақпараттық-коммуникациялық инфрақұрылымның немесе оның жекелеген объектілерінің жұмысында жеке немесе сериялы түрде туындайтын оқиғалар туралы мәліметтерді (бұдан әрі – ақпараттық жүйелердегі бұзушылықтар, іркілістер туралы мәліметтер) ААӨЖ арқылы беруді қамтамасыз етеді. Ақпараттық жүйелердегі бұзушылықтар, іркілістер туралы мәліметтер ақпараттық қауіпсіздік жүйелерінен немесе банктің, ұйымның ақпараттық инфрақұрылымындағы оқиғалар туралы ақпаратты нақты уақытта жинауды және талдауды жүзеге асыратын ұйымның жүйелерінен беру арқылы автоматтандырылған режимде ұсынылады.

      Қазақстан Республикасы Ұлттық Банкінің құрылымына кіретін ұйымдар және дауыс беретін акцияларының елу және одан да көп пайызы Қазақстан Республикасының Ұлттық Банкіне тиесілі заңды тұлғалар үшін ақпараттық жүйелердегі бұзушылықтар, іркілістер туралы мәліметтерді Қазақстан Республикасы Ұлттық Банкінің ААӨЖ-мен ықпалдастырылған ақпараттандыру объектілері арқылы беруге рұқсат етіледі.

О внесении изменений в некоторые нормативные правовые акты Республики Казахстан по вопросам регулирования информационной безопасности на финансовом рынке

Постановление Правления Агентства Республики Казахстан по регулированию и развитию финансового рынка от 29 апреля 2022 года № 30. Зарегистрировано в Министерстве юстиции Республики Казахстан 6 мая 2022 года № 27949

      Правление Агентства Республики Казахстан по регулированию и развитию финансового рынка ПОСТАНОВЛЯЕТ:

      1. Утвердить Перечень нормативных правовых актов Республики Казахстан по вопросам регулирования информационной безопасности на финансовом рынке, в которые вносятся изменения, согласно приложению к настоящему постановлению.

      2. Управлению кибербезопасности в установленном законодательством Республики Казахстан порядке обеспечить:

      1) совместно с Юридическим департаментом государственную регистрацию настоящего постановления в Министерстве юстиции Республики Казахстан;

      2) размещение настоящего постановления на официальном интернет-ресурсе Агентства Республики Казахстан по регулированию и развитию финансового рынка после его официального опубликования;

      3) в течение десяти рабочих дней после государственной регистрации настоящего постановления представление в Юридический департамент сведений об исполнении мероприятия, предусмотренного подпунктом 2) настоящего пункта.

      3. Контроль за исполнением настоящего постановления возложить на курирующего заместителя Председателя Агентства Республики Казахстан по регулированию и развитию финансового рынка.

      4. Настоящее постановление вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования.

      Председатель Агентства
Республики Казахстан
по регулированию
и развитию финансового рынка
М. Абылкасымова

      "СОГЛАСОВАНО"
Национальный Банк
Республики Казахстан

  Приложение
к постановлению

Перечень нормативных правовых актов Республики Казахстан по вопросам регулирования информационной безопасности на финансовом рынке, в которые вносятся изменения

      1. Внести в постановление Правления Национального Банка Республики Казахстан от 27 марта 2018 года № 48 "Об утверждении Требований к обеспечению информационной безопасности банков, филиалов банков-нерезидентов Республики Казахстан и организаций, осуществляющих отдельные виды банковских операций, Правил и сроков предоставления информации об инцидентах информационной безопасности, включая сведения о нарушениях, сбоях в информационных системах" (зарегистрировано в Реестре государственной регистрации нормативных правовых актов под № 16772) следующие изменения:

      Требования к обеспечению информационной безопасности банков, филиалов банков-нерезидентов Республики Казахстан и организаций, осуществляющих отдельные виды банковских операций, изложить в редакции согласно приложению 1 к настоящему Перечню нормативных правовых актов Республики Казахстан по вопросам регулирования информационной безопасности на финансовом рынке, в которые вносятся изменения (далее – Перечень);

      Правила и сроки предоставления информации об инцидентах информационной безопасности, включая сведения о нарушениях, сбоях в информационных системах, изложить в редакции согласно приложению 2 к настоящему Перечню.

      2. Внести в постановление Правления Агентства Республики Казахстан по регулированию и развитию финансового рынка от 21 сентября 2020 года № 90 "Об утверждении Требований к службам реагирования на инциденты информационной безопасности, проведению внутренних расследований инцидентов информационной безопасности" (зарегистрировано в Реестре государственной регистрации нормативных правовых актов под № 21274) следующее изменение:

      в Требованиях к службам реагирования на инциденты информационной безопасности, проведению внутренних расследований инцидентов информационной безопасности, утвержденных указанным постановлением:

      пункт 2 изложить в следующей редакции:

      "2. В Требованиях используются понятия, предусмотренные Законом Республики Казахстан "Об информатизации", постановлением Правления Национального Банка Республики Казахстан от 27 марта 2018 года № 48 "Об утверждении Требований к обеспечению информационной безопасности банков, филиалов банков-нерезидентов Республики Казахстан и организаций, осуществляющих отдельные виды банковских операций, Правил и сроков предоставления информации об инцидентах информационной безопасности, включая сведения о нарушениях, сбоях в информационных системах", зарегистрированным в Реестре государственной регистрации нормативных правовых актов под № 16772, а также следующие понятия:

      1) ретроспективный анализ событий информационной безопасности – анализ совокупности данных, полученных в ходе мониторинга событий информационной безопасности за определенный промежуток времени с целью выявления необнаруженных ранее инцидентов информационной безопасности;

      2) внутреннее расследование инцидента информационной безопасности – процесс, осуществляемый работниками банка, организации и третьими лицами в целях установления причин и предпосылок возникновения инцидента информационной безопасности, порядка реализации инцидента информационной безопасности, оценки масштаба воздействия и ущерба от реализации инцидента информационной безопасности, анализа эффективности принятых мер реагирования на инциденты информационной безопасности;

      3) стандартная процедура реагирования – порядок применения неотложных мер по локализации инцидента информационной безопасности, вероятность возникновения которого высока без возможности снижения риска возникновения инцидента информационной безопасности в короткие сроки;

      4) индикатор компрометации – уникальная характеристика объекта, наблюдаемого в энергозависимой памяти, на электронных носителях или в сетевом трафике, которая с большой долей вероятности указывает на компрометацию устройства;

      5) уязвимость – недостаток информационной системы или ее отдельных элементов, эксплуатация которого способна привести к нарушению целостности и (или) конфиденциальности и (или) доступности информационной системы.".

      3. Внести в постановление Правления Агентства Республики Казахстан по регулированию и развитию финансового рынка от 23 ноября 2020 года № 111 "Об утверждении методики оценки рисков информационной безопасности, включая порядок ранжирования финансовых организаций по степени подверженности рискам информационной безопасности" (зарегистрировано в Реестре государственной регистрации нормативных правовых актов под № 21686) следующее изменение:

      в Методике оценки рисков информационной безопасности, включая порядок ранжирования финансовых организаций по степени подверженности рискам информационной безопасности, утвержденной указанным постановлением:

      пункт 2 изложить в следующей редакции:

      "2. В Методике используются следующие понятия:

      1) бизнес-владелец информационного актива – владелец основного бизнес-процесса, для обеспечения жизненного цикла которого используется информационный актив;

      2) угроза информационной безопасности – совокупность условий и факторов, создающих предпосылки к возникновению инцидента информационной безопасности;

      3) риск информационной безопасности – вероятное возникновение ущерба вследствие нарушения конфиденциальности, преднамеренного нарушения целостности или доступности информационных активов;

      4) уровень риска информационной безопасности - комбинация вероятности события и его последствий;

      5) уровень существенности убытков от нарушения информационной безопасности – уровень убытков от нарушения информационной безопасности в финансовой организации, превышение которого по отдельному информационному активу не приемлемо для финансовой организации;

      6) критичный информационный актив – информационный актив, определяемый в соответствии с постановлением Правления Национального Банка Республики Казахстан от 27 марта 2018 года № 48 "Об утверждении Требований к обеспечению информационной безопасности банков, филиалов банков-нерезидентов Республики Казахстан и организаций, осуществляющих отдельные виды банковских операций, Правил и сроков предоставления информации об инцидентах информационной безопасности, включая сведения о нарушениях, сбоях в информационных системах", зарегистрированным в Реестре государственной регистрации нормативных правовых актов под № 16772.".

  Приложение 1
к Перечню нормативных
правовых актов
Республики Казахстан
по вопросам регулирования
информационной безопасности
на финансовом рынке,
в которые вносятся изменения
  Приложение 1
к постановлению Правления
Национального Банка
Республики Казахстан
от 27 марта 2018 года № 48

Требования к обеспечению информационной безопасности банков, филиалов банков-нерезидентов Республики Казахстан и организаций, осуществляющих отдельные виды банковских операций

Глава 1. Общие положения

      1. Настоящие Требования к обеспечению информационной безопасности банков, филиалов банков-нерезидентов Республики Казахстан и организаций, осуществляющих отдельные виды банковский операций (далее – Требования), разработаны в соответствии с пунктом 7 статьи 61-5 Закона Республики Казахстан "О банках и банковской деятельности в Республике Казахстан" и устанавливают требования к обеспечению информационной безопасности банков, филиалов банков-нерезидентов Республики Казахстан (далее – банк) и организаций, осуществляющих отдельные виды банковских операций (далее – организация).

      2. В Требованиях используются понятия, предусмотренные Законом Республики Казахстан "Об информатизации", а также следующие понятия:

      1) информационная безопасность в сфере информатизации (далее – информационная безопасность) – состояние защищенности электронных информационных ресурсов, информационных систем и информационно-коммуникационной инфраструктуры от внешних и внутренних угроз;

      2) штатный носитель информации – носитель информации, являющийся составной частью объекта информационно-коммуникационной инфраструктуры и подключенный к нему на постоянной основе;

      3) информационный актив – совокупность информации и объекта информационно-коммуникационной инфраструктуры, используемого для ее хранения и (или) обработки;

      4) ИТ-менеджер информационной системы/актива – работник или подразделение (работники или подразделения) банка, организации ответственные за поддержание информационной системы/актива в состоянии, соответствующем требованиям бизнес-владельца информационной системы/актива;

      5) бизнес-владелец информационной системы или подсистемы – подразделение (работник) банка, организации, являющееся (являющийся) владельцем основного бизнес-процесса, который автоматизирует информационная система или подсистема;

      6) информационно-коммуникационная инфраструктура (далее – информационная инфраструктура) – совокупность объектов информационно-коммуникационной инфраструктуры, предназначенных для обеспечения функционирования технологической среды в целях формирования электронных информационных ресурсов и предоставления доступа к ним;

      7) периметр защиты информационно-коммуникационной инфраструктуры – совокупность программно-аппаратных средств, отделяющих информационно-коммуникационную инфраструктуру банка, организации от внешних информационных сетей и реализующих защиту от угроз информационной безопасности;

      8) угроза информационной безопасности – совокупность условий и факторов, создающих предпосылки к возникновению инцидента информационной безопасности;

      9) риск информационной безопасности — вероятное возникновение ущерба вследствие нарушения конфиденциальности, преднамеренного нарушения целостности или доступности информационных активов банка, организации;

      10) обеспечение информационной безопасности – процесс, направленный на поддержание состояния конфиденциальности, целостности и доступности информационных активов банка, организации;

      11) информация об инцидентах информационной безопасности – информация об отдельно или серийно возникающих сбоях в работе информационно-коммуникационной инфраструктуры или отдельных ее объектов, создающих угрозу их надлежащему функционированию и (или) условия для незаконного получения, копирования, распространения, модификации, уничтожения или блокирования электронных информационных ресурсов;

      12) инцидент информационной безопасности – отдельно или серийно возникающие сбои в работе информационно-коммуникационной инфраструктуры или отдельных ее объектов, создающие угрозу их надлежащему функционированию и (или) условия для незаконного получения, копирования, распространения, модификации, уничтожения или блокирования электронных информационных ресурсов;

      13) предустановленные учетные записи – учетные записи информационных систем, установленные их производителями;

      14) привилегированная учетная запись – учетная запись в информационной системе, обладающая привилегиями создания, удаления и изменения прав доступа учетных записей;

      15) консоль администрирования и мониторинга – рабочая станция, позволяющая осуществлять удаленное управление информационной системой;

      16) бизнес-процесс – совокупность взаимосвязанных мероприятий или задач, направленных на создание определенного продукта или услуги для внешнего или внутреннего потребителя;

      17) владелец бизнес-процесса – подразделение (работник) банка, организации, отвечающее (отвечающий) за жизненный цикл бизнес-процесса и координацию деятельности подразделений банка, организации, вовлеченных в бизнес-процесс;

      18) виртуальная среда – вычислительные ресурсы или их логическое объединение, абстрагированное от аппаратной реализации, и обеспечивающее при этом логическую изоляцию друг от друга вычислительных процессов, выполняемых на одном физическом ресурсе;

      19) гипервизор – программное или аппаратно-программное обеспечение, позволяющее создавать и запускать одновременно несколько операционных систем на одном и том же сервере или компьютере;

      20) протокол передачи данных – набор правил и действий, позволяющий осуществлять соединение и обмен данными между двумя и более включенными в сеть устройствами;

      21) центр обработки данных – специально выделенное помещение, в котором размещены серверы, обеспечивающие работу информационных систем банка, организации;

      22) межсетевой экран – элемент информационной инфраструктуры, осуществляющий контроль и фильтрацию проходящего через него сетевого трафика в соответствии с заданными правилами;

      23) рабочая станция – стационарный персональный компьютер пользователя информационного актива банка, организации;

      24) доступ – возможность использования информационных активов банка, организации;

      25) групповые политики безопасности – реализованные средствами информационных систем типовые наборы правил информационной безопасности;

      26) приложение – прикладное программное обеспечение пользователя информационной системы;

      27) резервная копия – копия данных на носителе информации, предназначенная для восстановления данных в оригинальном или новом месте их расположения в случае их повреждения или разрушения;

      28) сигнатуры – набор данных, идентифицирующих программный код;

      29) обеспечение технической безопасности – процесс обеспечения безопасности банка, организации с использованием технических средств (системы охранной и пожарной сигнализации, контроля и управления доступом, видеонаблюдения, пожаротушения, контроля температурного режима и влажности в центре обработки данных);

      30) технологическая учетная запись – учетная запись в информационной системе, предназначенная для аутентификации при взаимодействии информационных систем;

      31) корректирующая мера – набор организационных и технических мероприятий, направленных на исправление существующей проблемы в процессе обеспечения информационной безопасности либо последствий ее нарушения;

      32) уполномоченный орган – уполномоченный орган по регулированию, контролю и надзору финансового рынка и финансовых организаций.

      3. К обеспечению информационной безопасности банков, организаций предъявляются следующие требования:

      1) требования к организации системы управления информационной безопасностью;

      2) требования к категорированию информационных активов банка, организации;

      3) требования к организации доступа к информационным активам банка, организации;

      4) требования к обеспечению безопасности информационной инфраструктуры;

      5) требования к средствам криптографической защиты информации;

      6) требования к обеспечению информационной безопасности при доступе третьих лиц к информационным активам банка, организации;

      7) требования к проведению внутренних проверок состояния информационной безопасности;

      8) требования к процессам системы управления информационной безопасностью.

Глава 2. Требования к организации системы управления информационной безопасностью

      4. Первый руководитель банка, организации обеспечивает создание, функционирование и улучшение системы управления информационной безопасностью, являющейся частью общей системы управления банка, организации, предназначенной для управления процессом обеспечения информационной безопасности.

      5. Система управления информационной безопасностью обеспечивает защиту информационных активов банка, организации, предусматривающую минимальный уровень потенциального ущерба для бизнес-процессов банка, организации.

      6. Банк, организация обеспечивают надлежащий уровень системы управления информационной безопасностью, ее развитие и улучшение.

      7. Участниками системы управления информационной безопасностью банка, организации являются:

      1) орган управления;

      2) исполнительный орган;

      3) коллегиальный орган, уполномоченный принимать решения по задачам обеспечения информационной безопасности (далее – коллегиальный орган);

      4) подразделение по информационной безопасности;

      5) подразделение по информационным технологиям;

      6) подразделение по безопасности;

      7) подразделение по работе с персоналом;

      8) юридическое подразделение;

      9) подразделение по комплаенс-контролю;

      10) подразделение внутреннего аудита;

      11) подразделение по управлению рисками информационной безопасности.

      Функции подразделений, указанные в подпунктах 4), 5), 6), 7), 8), 9), 10) и 11) части первой настоящего пункта, в организации осуществляются подразделениями, указанными в части первой настоящего пункта, либо ответственными работниками организации.

      8. Банк, организация при создании и функционировании системы управления информационной безопасностью обеспечивают независимость подразделения по информационной безопасности и подразделения по информационным технологиям посредством их подчинения разным членам исполнительного органа банка, организации или напрямую руководителю исполнительного органа банка, организации.

      9. Орган управления банка, организации утверждает политику информационной безопасности, которая определяет:

      1) цели, задачи и основные принципы построения системы управления информационной безопасностью;

      2) область действия системы управления информационной безопасностью;

      3) требования к управлению доступом к создаваемой, хранимой и обрабатываемой информации в информационных активах банка, организации;

      4) требования к осуществлению мониторинга деятельности по обеспечению информационной безопасности и мероприятий по выявлению и анализу угроз, противодействию атакам и расследованию инцидентов информационной безопасности;

      5) требования к осуществлению сбора, консолидации и хранения информации об инцидентах информационной безопасности;

      6) требования к проведению анализа информации об инцидентах информационной безопасности;

      7) ответственность работников банка, организации за обеспечение информационной безопасности при исполнении возложенных на них функциональных обязанностей.

      10. Орган управления банка, организации при формировании бюджета учитывает потребности в ресурсах для обеспечения информационной безопасности банка, организации.

      11. Орган управления банка, организации утверждает перечень защищаемой информации, включающий в том числе информацию о сведениях, составляющих служебную, коммерческую или иную охраняемую законом тайну (далее – защищаемая информация), и порядок работы с защищаемой информацией.

      12. Исполнительный орган банка, организации утверждает внутренние документы, регламентирующие процесс управления информационной безопасностью, порядок и периодичность пересмотра которых определяется внутренними документами банка, организации.

      13. Банк, организация создают коллегиальный орган, в состав которого входят представители подразделения по информационной безопасности, подразделения по управлению рисками информационной безопасности, подразделения по информационным технологиям, а также по решению руководителя коллегиального органа банка, организации представители иных подразделений банка, организации или возлагают на исполнительный орган функции коллегиального органа при соответствии исполнительного органа требованиям к составу коллегиального органа, указанным в настоящем пункте.

      В случае создания в банке, организации коллегиального органа руководителем коллегиального органа банка, организации назначается руководитель исполнительного органа банка, организации либо член исполнительного органа банка, организации, курирующий деятельность подразделения по информационной безопасности.

      14. Подразделение по информационной безопасности в целях обеспечения конфиденциальности, целостности и доступности информации банка, организации осуществляет следующие функции:

      1) организует систему управления информационной безопасностью, осуществляет координацию и контроль деятельности подразделений банка, организации по обеспечению информационной безопасности и мероприятий по выявлению и анализу угроз, противодействию атакам и расследованию инцидентов информационной безопасности;

      2) разрабатывает политику информационной безопасности банка, организации;

      3) обеспечивает методологическую поддержку процесса обеспечения информационной безопасности банка, организации;

      4) осуществляет выбор, внедрение и применение методов, средств и механизмов управления, обеспечения и контроля информационной безопасности банка, организации в рамках своих полномочий;

      5) осуществляет сбор, консолидацию, хранение и обработку информации об инцидентах информационной безопасности;

      6) осуществляет анализ информации об инцидентах информационной безопасности;

      7) подготавливает предложения для принятия коллегиальным органом решений по вопросам информационной безопасности;

      8) обеспечивает внедрение, надлежащее функционирование программно-технических средств, автоматизирующих процесс обеспечения информационной безопасности банка, организации, а также предоставление доступа к ним;

      9) определяет требования информационной безопасности по использованию привилегированных учетных записей;

      10) обеспечивает проведение мероприятий по повышению осведомленности работников банка, организации в области информационной безопасности;

      11) осуществляет мониторинг состояния системы управления информационной безопасностью банка, организации;

      12) осуществляет информирование руководства банка, организации о состоянии системы управления информационной безопасностью банка, организации.

      15. Банк, организация определяют возможность возложения на подразделение по информационной безопасности функций по обеспечению технической безопасности. Подразделение по информационной безопасности не осуществляет функции, влекущие конфликт интересов с их основными функциями.

      16. Подразделение по информационным технологиям осуществляет следующие функции:

      1) разрабатывает и поддерживает актуальность схемы информационной инфраструктуры банка, организации;

      2) обеспечивает предоставление доступа работникам банка, организации, использующим информационные активы банка, организации (далее – пользователь) к информационным активам банка, организации, за исключением специализированных информационных активов, доступ к которым предоставляется ИТ-менеджерами информационных систем, не относящимися к подразделению по информационным технологиям;

      3) обеспечивает формирование типовых настроек и конфигурирование системного и прикладного программного обеспечения банка, организации с учетом требований информационной безопасности;

      4) обеспечивает исполнение требований по непрерывности функционирования информационной инфраструктуры, конфиденциальности, целостности и доступности данных информационных систем банка, организации (включая резервирование и (или) архивирование и резервное копирование информации) в соответствии с внутренними документами банка, организации;

      5) обеспечивает соблюдение требований информационной безопасности при выборе, внедрении, разработке и тестировании информационных систем.

      17. Банк, организация определяют возможность делегирования подразделениям банка, организации отдельных функций, указанных в пунктах 14 и 16 Требований.

      18. Подразделение по безопасности осуществляет следующие функции:

      1) реализует меры физической и технической безопасности в банке, организации, в том числе организует пропускной и внутриобъектовый режим;

      2) проводит профилактические мероприятия, направленные на минимизацию рисков возникновения угроз информационной безопасности при приеме на работу и увольнении работников банка, организации.

      19. Подразделение по работе с персоналом осуществляет следующие функции:

      1) обеспечивает подписание работниками банка, организации, а также лицами, привлеченными к работе по договору об оказании услуг, стажерами, практикантами обязательств о неразглашении конфиденциальной информации;

      2) участвует в организации процесса повышения осведомленности работников банка, организации в области информационной безопасности.

      3) уведомляет уполномоченный орган о назначении и увольнении работников подразделения по информационной безопасности.

      20. Юридическое подразделение осуществляет правовую экспертизу внутренних документов банка, организации по вопросам обеспечения информационной безопасности.

      21. Подразделение по комплаенс-контролю совместно с юридическим подразделением банка, организации определяет виды информации, подлежащие включению в перечень защищаемой информации, предусмотренный пунктом 11 Требований.

      22. Подразделение внутреннего аудита проводит оценку состояния системы управления информационной безопасностью банка, организации в соответствии с внутренними документами банка, организации, регламентирующими организацию системы внутреннего аудита банка, организации.

      23. Подразделение по управлению рисками информационной безопасности банка осуществляет функции, предусмотренные Правилами формирования системы управления рисками и внутреннего контроля для банков второго уровня, филиалов банков-нерезидентов Республики Казахстан, утвержденными постановлением Правления Национального Банка Республики Казахстан от 12 ноября 2019 года № 188, зарегистрированными в Реестре государственной регистрации нормативных правовых актов под № 19632.

      Подразделение по управлению рисками информационной безопасности организации осуществляет функции в соответствии с внутренними документами организации.

      24. Руководители структурных подразделений банка, организации:

      1) обеспечивают ознакомление работников с внутренними документами банка, организации, содержащими требования к информационной безопасности (далее – требования к информационной безопасности);

      2) несут персональную ответственность за обеспечение информационной безопасности в возглавляемых ими подразделениях;

      3) обеспечивают заключение соглашений о неразглашении конфиденциальной информации и включение условий об обеспечении информационной безопасности в соглашения, договоры на оказание услуг/выполнение работ в случаях, когда подразделение банка, организации выступает инициатором заключения таких соглашений, договоров.

      25. Бизнес-владельцы информационных систем или подсистемы:

      1) отвечают за соблюдение требований к информационной безопасности при создании, внедрении, модификации, эксплуатации информационных систем и предоставлении продуктов и услуг клиентам и подразделениям банка, организации, а также при интеграции информационных систем с внешними информационными системами, включая информационные системы государственных органов;

      2) формируют и поддерживают актуальность матриц доступа к информационным системам.

      26. Работники структурных подразделений банка, организации:

      1) отвечают за соблюдение требований к информационной безопасности, принятых в банке, организации;

      2) контролируют исполнение требований к информационной безопасности третьими лицами, с которыми они взаимодействуют в рамках своих функциональных обязанностей, в том числе путем включения указанных требований в соглашения, договоры с третьими лицами;

      3) извещают своего непосредственного руководителя и подразделение по информационной безопасности обо всех подозрительных ситуациях и нарушениях при работе с информационными активами банка, организации.

      27. В случае, если отдельные функции обеспечения информационной безопасности банка, организации переданы сторонним организациям, член исполнительного органа, курирующий вопросы информационной безопасности, является ответственным за обеспечение информационной безопасности банка, организации.

      28. Банк, организация ежегодно, не позднее 10 января года, следующего за отчетным годом, представляют в уполномоченный орган информацию о состоянии системы управления информационной безопасностью и ее соответствии Требованиям (далее – информация о СУИБ).

      29. Информация о СУИБ составляется в произвольной форме и представляется в уполномоченный орган в электронном формате с использованием транспортной системы гарантированной доставки информации с криптографическими средствами защиты, обеспечивающей конфиденциальность и некорректируемость представляемых данных или на бумажном носителе.

      30. Информация о СУИБ включает сведения о (об):

      1) области действия системы управления информационной безопасностью банка, организации и ее участниках с указанием соответствия их функционала Требованиям;

      2) наличии документов, регламентирующих создание и функционирование системы управления информационной безопасностью;

      3) наличии и количественном составе программно-технических средств, используемых для обеспечения информационной безопасности;

      4) имеющихся в договорах о предоставлении услуг, заключенных с операторами связи, условий и обязательств по обеспечению информационной безопасности;

      5) наличии, материально-технической обеспеченности и готовности резервных центров обработки данных;

      6) проведенных мероприятиях по приведению системы управления информационной безопасностью и информационных активов банка, организации в соответствие с Требованиями.

      31. Уполномоченный орган осуществляет оценку соответствия банка, организации Требованиям не реже одного раза в 3 (три) года.

Глава 3. Требования к категорированию информационных активов

      32. Банк, организация осуществляют категорирование информационных активов путем разделения их на критичные и некритичные на основании уровня убытков от нарушения их конфиденциальности, целостности, доступности.

      33. Банк, организация формируют перечень критичных информационных активов с указанием их владельцев.

      34. Банк, организация обеспечивают информационную безопасность информационных активов банка, организации, отнесенных к категории критичных, а также информационных систем, включающих эти активы, в соответствии с Требованиями.

      35. Методы и средства защиты информационных активов, отнесенных к категории некритичных, а также информационных систем, полностью состоящих из этих активов, определяются банком, организацией самостоятельно.

Глава 4. Требования к организации доступа к информационным активам

      36. Доступ к информации предоставляется работникам банка, организации в объеме, определяемом их функциональными обязанностями.

      37. Предоставление доступа к информационным системам банка, организации производится путем формирования и внедрения ролей для обеспечения соответствия прав доступа пользователей информационных систем их функциональным обязанностям. Совокупность таких ролей представляет собой матрицы доступа к информационной системе, которая формируется банком, организацией в электронной форме или на бумажном носителе.

      38. Процесс создания и использования матриц доступа в информационные системы банка, организации определяется банком, организацией в соответствии с главой 9 Требований.

      39. Доступ к информационным системам банка, организации осуществляется путем идентификации и аутентификации пользователей информационных систем.

      Идентификация и аутентификация пользователей информационных систем банка, организации производится одним из следующих способов:

      1) посредством ввода пары "учетная запись (идентификатор) – пароль" или с применением способов двухфакторной аутентификации (использованием двух из трех факторов: знания, владения, неотъемлемости);

      2) с использованием способов биометрической и (или) криптографической и (или) аппаратной аутентификации.

      40. В информационных системах банка, организации используются только персонализированные пользовательские учетные записи.

      41. Технологические учетные записи используются в соответствии с перечнем таких учетных записей для каждой информационной системы с указанием лиц, персонально ответственных за их использование и актуальность, утверждаемым руководителем подразделения по информационным технологиям по согласованию с руководителем подразделения по информационной безопасности.

      42. В информационных системах банка, организации применяются функции по управлению учетными записями и паролями, а также блокировке учетных записей пользователей, определяемые банком, организацией в соответствии с главой 9 Требований.

Глава 5. Требования к обеспечению безопасности информационной инфраструктуры

      43. Подразделение по информационным технологиям банка, организации разрабатывает следующие процессы и обеспечивает их реализацию:

      1) процесс формирования и утверждения общей схемы информационной инфраструктуры с указанием физического расположения ее элементов;

      2) процесс назначения ответственных работников банка, организации, наделенных правами конфигурирования информационного актива или группы информационных активов (далее – администраторов);

      3) процесс документирования и утверждения типовых настроек:

      операционных систем;

      систем управления базами данных;

      телекоммуникационных устройств;

      информационных систем;

      узлов и конечных точек информационной инфраструктуры, рабочих станций, персональных компьютеров, исполненных в форме, удобной для переноски и использования в том числе, за пределами периметра защиты (далее – ноутбук) и электронных устройств индивидуального пользования, функционирующих на основе мобильной версии операционной системы (далее – мобильное устройство).

      44. Подразделение по информационной безопасности обеспечивает организацию системы контроля изменения настроек безопасности и целостности системных и конфигурационных файлов, а также журналов аудиторского следа в информационных активах банка, организации.

      45. Банком, организацией проводятся организационные мероприятия и (или) устанавливаются программно-технические средства, снижающие риск доступа к информационной инфраструктуре неавторизованных устройств либо устройств, настройки которых не соответствует установленному внутренним документом банка, организации порядку обеспечения информационной безопасности.

      46. Для каждого информационного актива банка, организации определяются, как минимум, бизнес-владелец информационной системы или подсистемы, а также ИТ-менеджер и (или) администратор.

      47. При разработке технических заданий на создание (модернизацию) объектов информационной инфраструктуры бизнес-владелец информационной системы или подсистемы учитывает требования к информационной безопасности.

      48. Банк, организация обеспечивают резервное хранение данных информационных систем, их файлов и настроек, которое обеспечивает восстановление работоспособной копии информационной системы.

      Порядок и периодичность резервного копирования, хранения, восстановления информации, периодичность тестирования восстановления работоспособности информационных систем из резервных копий определяется банком, организацией.

      49. Банк, организация обеспечивают антивирусную защиту информационной инфраструктуры в порядке, определяемом банком, организацией в соответствии с главой 9 Требований.

      50. Порядок обеспечения физической безопасности центров обработки данных банка, организации определяется банком, организацией в соответствии с главой 9 Требований.

      51. На рабочие станции, ноутбуки и корпоративные мобильные устройства работников банка, организации устанавливается программное обеспечение в соответствии с их функциональными обязанностями.

      52. Подразделение по информационным технологиям формирует и актуализирует перечень программного обеспечения, разрешенного к использованию в банке, организации. Программное обеспечение включается в перечень после проведения проверки подразделением по информационной безопасности.

      53. Организационные и технические меры, обеспечивающие защиту рабочих станций, ноутбуков и мобильных устройств банка, организации, а также носителей информации и сетевой инфраструктуры определяются банком, организацией в соответствии с главой 9 Требований.

Глава 6. Требования к средствам криптографической защиты информации

      54. Процесс внедрения и поддержки средств криптографической защиты информации согласовывается бизнес-владельцем информационной системы с подразделением по информационной безопасности.

      55. Порядок использования средств криптографической защиты информации определяется банком, организацией в соответствии с главой 9 Требований. Перечень применяемых средств криптографической защиты информации с указанием их назначения, реализованных в них криптографических алгоритмов, наименования информационной системы, владельца информационной системы, использующей средства криптографической защиты информации определяет банк, организация.

Глава 7. Требования к обеспечению информационной безопасности при доступе третьих лиц к информационным активам банка, организации

      56. Банк, организация обеспечивает информационную безопасность при доступе к информационным активам банка, организации лиц, не являющихся работниками или клиентами банка, организации (далее – третьи лица).

      57. Доступ к информационным активам банка, организации третьих лиц предоставляется на период и в объеме, определяемыми проводимыми работами на основании соглашения, договора, включающего условия о соблюдении требований к информационной безопасности, за исключением случаев, предусмотренных законодательством Республики Казахстан. В соглашениях, договорах, заключаемых с третьими лицами, содержатся положения о конфиденциальности, условия о возмещении ущерба, возникшего вследствие нарушения информационной безопасности, а также сбоев в работе информационных систем и нарушения их безопасности, вызванных действием или бездействием третьих лиц.

      58. При осуществлении проверки деятельности банка, организации либо при запросе информации уполномоченным органом до предоставления соответствующего доступа или информации проверяются полномочия представителей уполномоченного органа.

      59. В целях обеспечения контроля деятельности третьих лиц предусматриваются, как минимум, одна из следующих организационных и (или) программно-технических мер:

      1) проверка результата деятельности третьих лиц;

      2) осуществление деятельности третьих лиц только в присутствии работников банка, организации;

      3) ведение аудиторского следа по действиям третьих лиц;

      4) запись сессии доступа к информационным активам банка, организации.

      60. В случае передачи третьим лицам информационных активов банка, организации (размещение серверных мощностей в сторонних центрах обработки данных, использование внешних сервисов обработки и/или хранения данных) предпринимаются следующие меры обеспечения информационной безопасности:

      1) отражение в соответствующем соглашении, договоре с третьим лицом требований по защите информационных активов банка, организации и права проверки банком, организацией исполнения таких требований, а также условий о возмещении ущерба, возникшего вследствие нарушения информационной безопасности и работоспособности информационных систем;

      2) исключение возможности доступа третьих лиц к информации, передача которой третьим лицам не допускается в соответствии с гражданским, банковским законодательством Республики Казахстан, законодательством Республики Казахстан о персональных данных и их защите. При использовании облачных сервисов для этих целей применяется метод хранения информации в зашифрованном виде с раскрытием информации на стороне банка, организации. При этом ключ шифрования хранится в банке, организации.

Глава 8. Требования к проведению внутренних проверок состояния информационной безопасности

      61. Состояние информационной безопасности оценивается путем проведения проверок:

      1) подразделением по информационной безопасности – в соответствии с планом, утверждаемым членом исполнительного органа, курирующим подразделение по информационной безопасности, а также по отдельному распоряжению руководителя исполнительного органа или руководителя органа управления банка, организации;

      2) подразделением внутреннего аудита – в рамках годового плана аудиторских проверок в соответствии с внутренними документами банка, организации, регламентирующими организацию системы внутреннего аудита банка, организации.

      62. По результатам проверки подразделением по информационной безопасности составляется отчет с приложением материалов проверки, который доводится до сведения проверяемого подразделения банка, организации.

Глава 9. Требования к процессам системы управления информационной безопасностью

Параграф 1. Требования к процессу организации доступа к информационным системам

      63. Процесс создания матрицы доступа к информационной системе осуществляется в порядке, определяемом банком, организацией, и состоит из следующих этапов:

      1) бизнес-владелец информационной системы обеспечивает формирование и актуальность матрицы доступа к информационной системе банка, организации;

      2) владелец бизнес-процесса совместно с ИТ-менеджером информационной системы обеспечивают формирование и актуальность ролей в информационной системе в объеме, определяемом функциональными обязанностями работников;

      3) сформированные роли согласовываются с бизнес-владельцем информационной системы;

      4) банк, организация обеспечивает исключение в ролях конфликтующих прав доступа, позволяющих обойти существующие автоматизированные контроли;

      5) ИТ-менеджер информационной системы реализует роли в информационной системе;

      6) бизнес-владелец информационной системы или подсистемы и владелец бизнес-процесса тестируют созданные роли;

      7) ИТ-менеджер информационной системы внедряет роли в информационной системе.

      64. Внесение изменений и дополнений в матрицу доступа к информационной системе осуществляется в порядке, установленном пунктом 63 Требований.

      65. Механизм управления доступом информационной системы банка, организации обеспечивает:

      1) возможность регистрации нового пользователя на уровне приложения;

      2) назначение пользователям прав на доступ к информационным системам только через роли;

      3) предоставление пользователям отдельных прав в дополнение к имеющейся роли в информационной системе по согласованию с бизнес-владельцем информационной системы или подсистемы и с уведомлением подразделения по информационной безопасности; 4) сопровождение ролей пользователей (создание, изменение, удаление);

      5) возможность блокирования одновременного доступа под одними учетными данными с различных аппаратных средств (компьютеров) для транзакционных систем;

      6) ведение аудиторского следа.

      66. Механизм управления доступом к данным информационной системы банка, организации включает:

      1) обеспечение доступа к данным информационной системы через приложение;

      2) предоставление доступа к данным информационной системы напрямую, минуя приложение, осуществляется по согласованию с подразделением по информационной безопасности;

      3) формирование и актуализацию подразделением по информационным технологиям перечня пользователей, которым предоставлен доступ к данным напрямую, минуя приложение.

      67. При изменении функциональных обязанностей работника отключаются все имеющиеся права доступа и присваиваются новые права доступа, соответствующие его новым функциональным обязанностям. При увольнении работника не более, чем через сутки с даты увольнения отключаются все его учетные записи.

      68. Подразделением по информационной безопасности производится проверка корректности прав доступа к информационным системам в соответствии с матрицей доступа, а также контроль отключения прав доступа уволенным работникам.

      69. Пересмотр ролей и прав доступа к информационным системам производится не реже одного раза в год бизнес-владельцами информационных систем или подсистем с привлечением заинтересованных подразделений банка, организации.

      70. При отсутствии технической возможности реализации одного или нескольких требований настоящего параграфа в банке, организации применяются компенсирующие меры в виде дополнительных технических и организационных мер по частичному или полному исключению влияния рисков информационной безопасности.

Параграф 2. Требования к процессу управления паролями и блокировками учетных записей пользователей в информационных системах

      71. В информационных системах банка, организации применяются следующие параметры функции по управлению паролями и блокировками учетных записей пользователей:

      1) минимальная длина пароля – значение данного параметра составляет не менее 8 символов. Проверка пароля на соответствие данному параметру производится при каждой смене пароля, в случае несоответствия – выдается уведомление пользователю;

      2) сложность пароля – возможность проверки наличия в пароле как минимум трех групп символов: строчных букв, заглавных букв, цифровых значений, специальных символов. Проверка пароля на соответствие данному параметру производится при каждой смене пароля, в случае несоответствия – выдается уведомление пользователю;

      3) история пароля –- новый пароль не повторяет как минимум семь предыдущих паролей. Проверка пароля на соответствие данному параметру производится при каждой смене пароля, в случае несоответствия выдается уведомление пользователю;

      4) минимальный срок действия пароля – 1 (один) рабочий день;

      5) максимальный срок действия пароля – не более 60 (шестидесяти) календарных дней. Проверка пароля на соответствие данному параметру производится при каждом входе в информационную систему и смене пароля. В случае, если до истечения максимального срока действия остается 7 (семь) и менее календарных дней, пользователю выдается соответствующее уведомление. По истечении максимального срока действия пароля информационная система блокирует доступ и требует обязательную смену пароля;

      6) при первом входе в информационную систему либо после смены пароля администратором информационная система запрашивает у пользователя смену пароля с невозможностью отклонить данную процедуру. Данное правило превалирует над правилом о сроке действия пароля;

      7) в случае отсутствия активности пользователя в информационной системе более 30 (тридцати) календарных дней его учетная запись автоматически блокируется;

      8) при последовательном пятикратном вводе неправильного пароля учетная запись пользователя временно блокируется;

      9) при неактивности пользователя более 30 (тридцати) минут информационная система автоматически завершает сеанс работы пользователя либо блокирует рабочую станцию или ноутбук с возможностью разблокировки только при вводе аутентификационных данных пользователя.

      72. Требования пункта 71 Требований не применяются в случаях, когда:

      1) информационная система интегрирована в части аутентификации с информационной системой, соответствующей требованиям пункта 71 Требований;

      2) функции одной информационной системы минимизируют риск неавторизованного доступа в другой информационной системе.

      73. Процесс управления паролями и учетными записями определяется банком, организацией и включает:

      1) управление администраторами информационных систем учетными записями пользователей информационных систем и сменой их паролей;

      2) подачу и рассмотрение заявок на создание учетных записей, а также изменения пароля при возникновении нештатной ситуации;

      3) подачу заявок на изменение или удаление учетных записей;

      4) идентификацию лиц, подающих заявки на создание, изменение или удаление учетных записей, а также изменение пароля;

      5) недопущение неправомерной передачи паролей третьим лицам, а также администраторам информационных систем и иным работникам банка, организации;

      6) недопущение работы в информационных системах под чужими учетными записями, за исключением предоставления доступа к чужой учетной записи в целях обеспечения непрерывности деятельности по согласованию с подразделением по информационной безопасности в указанный промежуток времени при обеспечении точной идентификации пользователя.

Параграф 3. Требования к процессу обеспечения безопасности информации

      74. Процесс защиты информации при использовании Интернета и электронной почты определяется банком, организацией и включает любой из следующих методов, но не ограничиваясь ими:

      1) организационный: обеспечение осведомленности персонала, ограничение количества работников, имеющих доступ к Интернету, службам мгновенных сообщений, облачным сервисам, IP-телефонии и внешней электронной почте;

      2) программно-технический: ограничение количества пользователей и их доступа к интернет-ресурсам, контроль информации, передаваемой в Интернет, в том числе по службам мгновенных сообщений, IP-телефонии и внешней электронной почте, предоставление доступа в Интернет через терминальный сервер, разделение сегментов сети, ведение архива внешней электронной почты (срок хранения определяется банком, организацией, ограничение доступа на изменение или удаление информации в данном архиве), использование систем противодействия атакам, направленным на периметр защиты информационной инфраструктуры банка, организации, шифрование передаваемой информации.

      75. Для защиты информации при использовании внешних носителей электронной информации применяются любой из следующих методов, включая, но не ограничиваясь ими:

      1) организационный: обеспечение осведомленности персонала, ограничение количества работников, имеющих доступ к записи на внешние носители информации;

      2) программно-технический: использование программно-технических средств, обеспечивающих ограничение, контроль и шифрование записи информации на внешние носители, отключение неиспользуемых портов ввода-вывода и устройств записи внешних носителей на рабочих станциях персонала банка, организации и серверах.

      76. Для защиты информации при использовании бумажных носителей применяются любой из следующих методов, включая, но не ограничиваясь ими:

      1) организационный: ограничения, определяемые банком, организацией, обеспечение осведомленности персонала, ограничение количества работников, имеющих доступ к работе с документами, содержащими защищаемую информацию;

      2) программно-технический: использование программно-технических средств, обеспечивающих контроль вывода информации на бумажные носители.

      77. Для защиты информации в случае утраты штатных носителей информации применяются любой из следующих методов, включая, но не ограничиваясь ими:

      1) организационный: ограничения, определяемые банком, организацией, обеспечение физической безопасности периметра банка, организации, обеспечение осведомленности персонала, нормы утилизации носителей информации;

      2) программно-технический: использование средств, контролирующих вскрытие системных блоков, шифрование информации на рабочих станциях, серверах, шифрование или токенизация (замена оригинальных данных на суррогат с использованием набора случайных данных (токена) информации в системах управления базами данных.

      78. Уничтожение защищаемой информации производится методами, исключающими ее восстановление, с использованием любого из следующих методов уничтожения информации в зависимости от типа носителя:

      1) физическое уничтожение носителя информации;

      2) электромагнитное воздействие на носитель информации (для магнитных носителей);

      3) программное уничтожение электронной информации специализированными программными средствами.

Параграф 4. Требования к процессу обеспечения безопасности периметра защиты информационной инфраструктуры

      79. Банком, организацией определяются периметр защиты информационно-коммуникационной инфраструктуры (далее – периметр защиты). Подразделением по информационным технологиям утверждаются и поддерживаются в актуальном состоянии схема периметра защиты и перечень администраторов средств обеспечения безопасности периметра защиты.

      80. Телекоммуникационные соединения, за исключением соединений с городской телефонной сетью, выходящие за периметр защиты банка, организации, подлежат шифрованию.

      81. Шифрование телекоммуникационных соединений производится методами, согласованными с подразделением по информационной безопасности.

      82. Наравне с шифрованием телекоммуникационных соединений, указанных в пунктах 80 и 81 Требований, используется шифрование передаваемой информации.

      83. Для ограничения доступа к информационной инфраструктуре на периметре защиты устанавливаются межсетевые экраны.

      84. Правила доступа, установленные на межсетевых экранах, настраиваются на блокирование соединений, неиспользуемых для функционирования информационных активов банка, организации. Указанные правила согласовываются с подразделением по информационной безопасности. Для выявления и отражения атак на периметр защиты используются средства обнаружения и предотвращения вторжений.

      85. Банк, организация обеспечивают применение мер предотвращения атак типа "отказ в обслуживании". При реализации указанных мер используются штатные механизмы систем обеспечения безопасности периметра защиты и (или) дополнительные способы обеспечения безопасности периметра защиты.

      86. Доступ пользователей к информационным активам банка, организации, находящимся внутри периметра защиты, из-за пределов периметра защиты предоставляется только по зашифрованному каналу с аутентификацией пользователя на периметре защиты. Доступ пользователей к информационным системам из-за пределов периметра защиты предоставляется только с использованием методов двухфакторной аутентификации (использованием двух из трех факторов: "что я знаю", "что я имею", "что я есть сам").

      87. Для обеспечения безопасности доступа пользователей к ресурсам Интернета, а также использования внешней электронной почты устанавливаются соответствующие шлюзы, обеспечивающие:

      1) очистку трафика от вредоносного кода;

      2) блокировку ресурсов Интернета, содержащих деструктивные функции;

      3) очистку почтового трафика от спама;

      4) аутентификацию доменного имени отправителя входящей электронной почты и возможность аутентификации доменного имени исходящей электронной почты с использованием криптографических алгоритмов.

      88. Конфигурация средств обеспечения безопасности периметра защиты выполняется с учетом рекомендаций производителей и пересматривается с периодичностью, определяемой банком, организацией. В обязательном порядке изменяются пароли на предустановленные учетные записи. Неиспользуемые предустановленные учетные записи блокируются или удаляются.

      89. С периодичностью, определяемой банком, организацией, проводится тестирование на проникновение в информационную инфраструктуру независимыми внешними экспертами в данной области. В рамках данного тестирования, кроме поиска и попыток эксплуатации уязвимостей системного и прикладного программного обеспечения, проводятся нагрузочные тесты, включая имитацию атак "отказ в обслуживании", а также тесты по социальной инженерии.

Параграф 5. Требования к процессу обеспечения защиты информационной инфраструктуры

      90. ИТ-менеджер информационной системы обеспечивает синхронизацию системного времени информационного актива с централизованным источником эталонного времени.

      91. Подразделение по информационным технологиям обеспечивает разделение внутренней сетевой инфраструктуры как минимум на следующие сегменты:

      1) клиентский (пользовательский);

      2) серверный (инфраструктурный);

      3) разработки (при наличии);

      4) тестовый.

      92. Между сегментами сетевой инфраструктуры настраиваются правила доступа на блокирование соединений, неиспользуемых для функционирования информационных активов банка, организации.

      93. Банк, организация в целях защиты информационной инфраструктуры используют методы или системы, позволяющие выявлять непредвиденную (аномальную) активность в информационной инфраструктуре банка, организации.

      94. Банком, организацией используются организационные и (или) технические меры по созданию и применению групповых политик безопасности с использованием возможностей операционных систем, сетевой архитектуры или программного обеспечения, позволяющие устанавливать на конечных устройствах информационной инфраструктуры настройки безопасности.

      Исключение конечных устройств информационной инфраструктуры из групповых политик безопасности согласуется с подразделением по информационной безопасности.

      95. При размещении на одном сервере или гипервизоре нескольких информационных активов банка, организации, обеспечивается защита на уровне, соответствующем максимально критичному информационному активу, размещенному на данном сервере или гипервизоре.

Параграф 6. Требования к процессу обеспечения защиты информационных систем

      96. Разработка и доработка информационных систем не осуществляется в среде промышленной эксплуатации.

      97. Среды разработки, тестирования и промышленной эксплуатации отделяются друг от друга таким образом, чтобы изменения, внесенные в любую из этих сред, не оказывали влияния на информационную систему, расположенную в другой среде.

      98. В случае использования в среде разработки и тестирования защищаемой информации, предпринимаются соответствующие меры по их защите.

      99. Работники подразделения по информационным технологиям банка, организации и сторонних организаций, осуществляющие разработку, не имеют полномочий на перенос изменений информационной системы в промышленную среду, а также административный доступ к информационным системам в промышленной среде.

      100. Перед вводом в промышленную эксплуатацию информационной системы в ней изменяются настройки безопасности, установленные по умолчанию, на настройки, соответствующие требованиям к информационной безопасности, установленным в банке, организации. Указанные настройки включают замену паролей, используемых при тестировании, а также удаление всех тестовых учетных записей.

      101. Контроль использования привилегированных учетных записей обеспечивается путем:

      1) составления и утверждения перечня администраторов информационных систем (операционная система, система управления базами данных, приложение);

      2) введения двойного контроля при исполнении функций администрирования информационных систем и (или) внедрения специальных комплексов контроля использования привилегированных учетных записей.

      102. Информационные системы банка, организации обеспечиваются технической поддержкой, в состав которой входят услуги по предоставлению обновлений соответствующей информационной системы, в том числе обновлений безопасности.

Параграф 7. Требования к процессу работы с персоналом

      103. При приеме на работу новый работник банка, организации подписывает обязательство о неразглашении защищаемой информации. Обязательство приобщается к личному делу работника.

      104. При приеме на работу нового работника, не позднее 5 (пяти) рабочих дней с момента приема на работу, он ознакамливается под подпись с основными требованиями к обеспечению информационной безопасности (вводный инструктаж). Результат ознакомления фиксируется в соответствующем журнале инструктажа или ином документе, подтверждающем прохождение инструктажа. Отдельный документ, подтверждающий прохождение инструктажа, приобщается к личному делу работника.

      105. До ознакомления работника с требованиями к информационной безопасности ему предоставляется доступ только к некритичным информационным активам.

      106. Трудовой договор, заключаемый с работником банка, организации, содержит обязательство о соблюдении требований по обеспечению информационной безопасности.

      107. Банком, организацией разрабатывается программа повышения осведомленности работников в вопросах обеспечения информационной безопасности. При этом применяются следующие методы повышения осведомленности работников:

      1) ознакомление с внутренними документами банка, организации, а также с внесенными в них изменениями и дополнениями;

      2) проведение тестирования работников на знание требований внутренних документов банка, организации по информационной безопасности в соответствии с планом проведения тестирования работников банка, организации, утверждаемым исполнительным органом банка, организации;

      3) методы, определенные банком, организацией.

      108. При инструктаже, а также и при дальнейших мероприятиях по повышению осведомленности освещаются:

      1) методы противодействия "социальной инженерии";

      2) запрет на распространение информации, запрещенной банковским законодательством Республики Казахстан;

      3) положения о полномочиях банка, организации осуществлять мониторинг любой информации, создаваемой, хранимой и обрабатываемой в информационных системах банка, организации;

      4) условия об ответственности, предусмотренной за нарушение внутренних документов банка, организации, устанавливающих требования к обеспечению информационной безопасности.

      109. Банк, организация обеспечивают повышение квалификации работников подразделений по информационной безопасности, по управлению рисками информационной безопасности и внутреннего аудита путем проведения:

      1) внутренних мероприятий (лекции, семинары);

      2) внешнего обучения (посещение курсов, семинаров – не реже одного раза в три года для каждого работника).

      110. При увольнении работника в целях обеспечения информационной безопасности осуществляются мероприятия по:

      1) приему - передаче документов и информационных активов банка, организации;

      2) сдаче удостоверений, пропусков и разрешительных документов;

      3) проведению инструктажа с увольняющимся работником по неразглашению конфиденциальной информации;

      4) блокировке или удалению учетных записей в информационных системах.

Параграф 8. Требования к процессу ведения аудиторского следа в информационных системах

      111. ИТ-менеджер информационной системы обеспечивает ведение и неизменность аудиторского следа, как на организационном, так и на техническом уровне.

      112. В информационных активах банка, организации используется функция ведения аудиторского следа, которая отражает следующее:

      1) события установления соединений, идентификации, аутентификации и авторизации в информационном активе (успешные и неуспешные);

      2) события модификации настроек безопасности;

      3) события модификации групп пользователей и их полномочий;

      4) события модификации учетных записей пользователей и их полномочий;

      5) события, отражающие установку обновлений и (или) изменений в информационной системе;

      6) события изменения параметров аудита;

      7) события изменений системных параметров.

      113. Формат аудиторского следа включает следующую информацию:

      1) идентификатор (логин) пользователя, совершившего действие;

      2) дата и время совершения действия;

      3) наименование рабочей станции пользователя и (или) IP адрес, с которого совершено действие;

      4) название объектов, с которыми проводилось действие;

      5) тип или название совершенного действия;

      6) результат действия (успешно или не успешно).

      114. Срок хранения аудиторского следа составляет не менее 3 (трех) месяцев в оперативном доступе и не менее 1 (одного) года в архивном доступе либо не менее 1 (одного) года в оперативном доступе.

Параграф 9. Требования к процессу обеспечения антивирусной защиты

      115. Банк, организация используют лицензионное антивирусное программное обеспечение или системы, обеспечивающие целостность и неизменность программной среды, как на рабочих станциях, ноутбуках, мобильных устройствах, так и на серверах, банкоматах и банковских киосках.

      116. Используемое банком, организацией антивирусное программное обеспечение соответствует следующим требованиям:

      1) обнаружение вирусов на основе известных сигнатур;

      2) обнаружение вирусов на основе эвристического анализа (поиска характерных для вирусов команд и поведенческого анализа);

      3) сканирование сменных носителей при подключении;

      4) запуск сканирования и обновления антивирусной базы по расписанию;

      5) наличие централизованной консоли администрирования и мониторинга;

      6) блокирование для пользователя возможности прерывания функционирования антивирусного программного обеспечения, а также процессов обновления антивирусного программного обеспечения и плановой проверки на отсутствие вирусов;

      7) для виртуальной среды – использование антивирусным программным обеспечением встроенных функций безопасности виртуальных сред, при отсутствии таких возможностей – подтверждение производителя о тестировании антивирусного программного обеспечения в виртуальных средах, используемых банком, организацией;

      8) для мобильных устройств и иных устройств, используемых вне периметра защиты банка, организации, использование антивирусного программного обеспечения со встроенной функцией межсетевого экранирования.

      117. При использовании систем, обеспечивающих целостность и неизменность программной среды, минимальными требованиями являются:

      1) наличие лицензионного программного обеспечения, предусматривающего обновление и техническую поддержку;

      2) наличие централизованной консоли администрирования и мониторинга;

      3) наличие возможности блокирования для конечного пользователя возможности прерывания функционирования данной системы;

      4) наличие возможности проверки образа программной среды антивирусным программным обеспечением перед установкой на конечные устройства;

      5) наличие межсетевого экрана для мобильных устройств и иных устройств, используемых вне периметра защиты.

      118. Выбор антивирусного программного обеспечения проводится подразделением по информационным технологиям при обязательном участии подразделения по информационной безопасности.

      119. Антивирусное программное обеспечение максимально исключает прерывание пользователем всех служебных процессов. Обновление антивирусного программного обеспечения производится не реже одного раза в сутки, полное сканирование компьютера – не реже одного раза в неделю.

Параграф 10. Требования к процессу управления обновлениями и уязвимостями информационных активов

      120. ИТ-менеджер информационной системы обеспечивает своевременную установку обновлений безопасности информационных активов банка, организации.

      121. Обновления безопасности информационных активов, устраняющие критичные уязвимости, устанавливаются не позднее одного месяца со дня их публикации и распространения производителем, за исключением случаев, согласованных с подразделением по информационной безопасности.

      122. Обновления информационных активов до установки в промышленную среду проходят испытания в тестовой среде.

      123. В случае невозможности установки обновлений по согласованию с подразделением по информационной безопасности, ИТ-менеджер информационной системы реализует корректирующие меры.

      124. Подразделение по информационной безопасности обеспечивает сканирование (технический анализ защищенности) информационных активов на наличие уязвимостей с использованием специализированного программного обеспечения (далее – сканирование). Сканирование информационных активов банка, организации проводится на плановой основе не реже одного раза в 6 (шесть) месяцев. Сканирование проводится работниками банка, организации и (или) внешними специализированными организациями. Результаты сканирования формируются в виде отчета о состоянии информационной безопасности с указанием рекомендаций о корректирующих мерах по устранению выявленных уязвимостей.

      125. ИТ-менеджер информационной системы обеспечивает реализацию корректирующих мер по устранению выявленных уязвимостей.

      По окончании работ по устранению уязвимостей ИТ-менеджер информационной системы представляет в подразделение по информационной безопасности подтверждение об устранении выявленных уязвимостей.

Параграф 11. Требования к процессу использования средств криптографической защиты информации

      126. Процесс использования средств криптографической защиты информации определяется подразделением по информационным технологиям по согласованию с подразделением по информационной безопасности банка, организации, включая, но не ограничиваясь:

      1) описание средства криптографической защиты информации (наименование системы, криптоалгоритм, длина ключа);

      2) область применения средства криптографической защиты информации;

      3) описание настройки средства криптографической защиты информации;

      4) порядок управления ключевой информацией: генерации, безопасной передачи (обмена ключами, с учетом требования использования различных каналов для передачи ключа и защищаемой информации), хранения, использования и уничтожения;

      5) действия при компрометации ключевой информации;

      6) порядок использования средства криптографической защиты информации конечными пользователями;

      7) перечень лиц, допущенных к администрированию средства криптографической защиты информации и управлению ключевой информацией.

Параграф 12. Требования к процессу обеспечения физической безопасности центров обработки данных

      127. Центр обработки данных банка, организации оснащается следующими системами технической безопасности:

      1) системой контроля и управления доступом;

      2) охранной сигнализацией;

      3) пожарной сигнализацией;

      4) системой автоматического пожаротушения;

      5) системой поддержания заданных параметров температуры и влажности;

      6) системой видеонаблюдения.

      Серверное и коммуникационное оборудование подключается к системе электропитания через источники бесперебойного питания.

      В случае отсутствия в банке, организации центра обработки данных, требования настоящего пункта распространяются на помещения банка, организации, в которых размещены системы и компоненты информационной инфраструктуры банка, организации.

      128. Доступ в центр обработки данных предоставляется лицам, перечень которых утверждается руководителем подразделения по информационным технологиям по согласованию с подразделением по информационной безопасности.

      129. Банк, организация ведут журнал системы контроля и управления доступом в центр обработки данных, который хранится не менее 1 (одного) года.

      130. Система автоматического пожаротушения центра обработки данных обеспечивает устранение возгорания по всему объему помещения и имеет резервный запас. 131. Система видеонаблюдения центра обработки данных обеспечивает наблюдение за всеми проходами, входами в центр обработки данных. В центре обработки данных расстановка видеокамер исключает наличие зон внутри помещения центра обработки данных и перед его входом, не покрытых видеонаблюдением.

      132. Запись событий системой видеонаблюдения центра обработки данных ведется непрерывно или с использованием детектора движения.

      133. Архив записей системы видеонаблюдения центра обработки данных хранится не менее 3 (трех) месяцев.

      134. В целях предотвращения несанкционированного физического доступа к серверам и активному сетевому оборудованию, находящемуся вне центра обработки данных, определяются и реализуются меры по обеспечению их безопасности.

      135. Предоставление физического доступа к информационным активам банка, организации определяется банком, организацией.

Параграф 13. Требования к процессу обеспечения защиты рабочих станций, ноутбуков и мобильных устройств работников

      136. В банке, организации определяются и внедряются организационные и технические меры, запрещающие пользователям проводить самостоятельно установку и настройку программного обеспечения, рабочих станций, ноутбуков и периферийного оборудования.

      137. Пользователям не предоставляются права доступа локального администратора или аналогичные права доступа, за исключением случаев, когда права доступа локального администратора или права, аналогичные правам доступа локального администратора, требуются для функционирования программного обеспечения, автоматизирующего функции, исполняемые пользователем.

      138. В случае невозможности исполнения пользователем его функциональных обязанностей без осуществления самостоятельной установки и настройки программного обеспечения и оборудования, такому пользователю предоставляются права локального администратора или аналогичные права.

      139. Перечень пользователей, указанных в пунктах 137 и 138 Требований, формируется, актуализируется и утверждается руководителем подразделения по информационным технологиям по согласованию с подразделением по информационной безопасности. Подразделение по информационной безопасности осуществляет контроль использования прав доступа пользователей, указанных в пунктах 137 и 138 Требований. 140. Подразделение по информационным технологиям обеспечивает учет рабочих станций, ноутбуков и мобильных устройств в корпоративной сети банка, организации, который позволяет точно идентифицировать местонахождение данной рабочей станции или принадлежность ноутбука, мобильного устройства.

      141. В случае подключения мобильных устройств, ноутбуков к информационным активам банка, организации из-за пределов периметра защиты банка, организации на данных устройствах устанавливается специальное программное обеспечение, обеспечивающее защищенный доступ к информационным активам (шифрование канала связи, обеспечение двухфакторной аутентификации, дистанционное удаление данных с мобильного устройства).

      142. При использовании для обработки информационных активов банка, организации личных ноутбуков и мобильных устройств работников банка, организации, на данные ноутбуки и мобильные устройства устанавливается специальное программное обеспечение, обеспечивающие разделение сред обработки личных данных и информационных активов банка, организации.

      143. Вся информация банка, организации, размещенная на ноутбуках и мобильных устройствах, хранится в зашифрованном виде.

  Приложение 2
к Перечню нормативных
правовых актов
Республики Казахстан
по вопросам регулирования
информационной безопасности
на финансовом рынке,
в которые вносятся изменения
  Приложение 2
к постановлению Правления
Национального Банка
Республики Казахстан
от 27 марта 2018 года № 48

Правила и сроки предоставления информации об инцидентах информационной безопасности, включая сведения о нарушениях, сбоях в информационных системах

      1. Настоящие Правила и сроки предоставления информации об инцидентах информационной безопасности, включая сведения о нарушениях, сбоях в информационных системах (далее – Правила) разработаны в соответствии с пунктом 7 статьи 61-5 Закона Республики Казахстан "О банках и банковской деятельности в Республике Казахстан" и определяют порядок и сроки предоставления банками, филиалами банков-нерезидентов Республики Казахстан (далее – банк) и организациями, осуществляющими отдельные виды банковских операций (далее – организация), информации об инцидентах информационной безопасности, включая сведения о нарушениях, сбоях в информационных системах.

      2. В Правилах используются понятия, предусмотренные Законом Республики Казахстан "Об информатизации", а также следующие понятия:

      1) информационная безопасность в сфере информатизации (далее – информационная безопасность) – состояние защищенности электронных информационных ресурсов, информационных систем и информационно-коммуникационной инфраструктуры от внешних и внутренних угроз;

      2) информационно-коммуникационная инфраструктура (далее – информационная инфраструктура) – совокупность объектов информационно-коммуникационной инфраструктуры, предназначенных для обеспечения функционирования технологической среды в целях формирования электронных информационных ресурсов и предоставления доступа к ним;

      3) угроза информационной безопасности – совокупность условий и факторов, создающих предпосылки к возникновению инцидента информационной безопасности;

      4) информация об инцидентах информационной безопасности – информация об отдельно или серийно возникающих сбоях в работе информационно-коммуникационной инфраструктуры или отдельных ее объектов, создающих угрозу их надлежащему функционированию и (или) условия для незаконного получения, копирования, распространения, модификации, уничтожения или блокирования электронных информационных ресурсов банка, организации;

      5) инцидент информационной безопасности – отдельно или серийно возникающие сбои в работе информационно-коммуникационной инфраструктуры или отдельных ее объектов, создающие угрозу их надлежащему функционированию и (или) условия для незаконного получения, копирования, распространения, модификации, уничтожения или блокирования электронных информационных ресурсов банка, организации;

      6) доступ – возможность использования информационных активов;

      7) атака типа "отказ в обслуживании" (DoS или DDoS-атака, в зависимости от количества атакующих внешних источников атаки) – атака на информационную систему с целью нарушения штатного режима ее работы или создание условий, при которых легальные пользователи системы не могут получить доступ к предоставляемым ресурсам, либо этот доступ затруднен;

      8) уполномоченный орган – уполномоченный орган по регулированию, контролю и надзору финансового рынка и финансовых организаций.

      3. Банк, организация предоставляют в уполномоченный орган информацию о следующих выявленных инцидентах информационной безопасности:

      1) эксплуатация уязвимостей в прикладном и системном программном обеспечении;

      2) несанкционированный доступ в информационную систему;

      3) атака "отказ в обслуживании" на информационную систему или сеть передачи данных;

      4) заражение сервера вредоносной программой или кодом;

      5) совершение несанкционированного перевода денежных средств вследствие нарушения контролей информационной безопасности;

      6) иных инцидентах информационной безопасности, повлекших простои информационных систем более одного часа.

      Информация об инцидентах информационной безопасности, указанных в настоящем пункте, предоставляется банком или организацией незамедлительно посредством автоматизированной системы уполномоченного органа, предназначенной для обработки информации о событиях и инцидентах информационной безопасности и интегрированной с системами информационной безопасности или системами банка, организации, осуществляющими в реальном времени сбор и анализ информации о событиях в информационной инфраструктуре (далее – АСОИ) или в электронном формате с использованием транспортной системы гарантированной доставки информации с криптографическими средствами защиты, обеспечивающей конфиденциальность и некорректируемость представляемых данных.

      4. Банк, организация обеспечивают передачу сведений об отдельно или серийно возникающих событиях в работе информационно-коммуникационной инфраструктуры или отдельных ее объектов, включая системы информационной безопасности, свидетельствующих о нарушении принятых мер обеспечения информационной безопасности либо о ранее неизвестной ситуации, потенциально имеющей отношение к информационной безопасности (далее – сведения о нарушениях, сбоях в информационных системах) посредством АСОИ. Сведения о нарушениях, сбоях в информационных системах предоставляются в автоматизированном режиме путем передачи из систем информационной безопасности или систем банка, организации, осуществляющих в реальном времени сбор и анализ информации о событиях в информационной инфраструктуре банка, организации.

      Для организаций, входящих в структуру Национального Банка Республики Казахстан, и юридических лиц, пятьдесят и более процентов голосующих акций которых принадлежат Национальному Банку Республики Казахстан, допускается передача сведений о нарушениях, сбоях в информационных системах посредством объектов информатизации Национального Банка Республики Казахстан, интегрированных с АСОИ.