Қазақстан Республикасы Қаржы нарығын реттеу және дамыту агенттігінің Басқармасы ҚАУЛЫ ЕТЕДІ:
1. "Ақпараттық қауіпсіздіктің оқыс оқиғаларына ден қою қызметтеріне, ақпараттық қауіпсіздіктің оқыс оқиғаларына ішкі тергеп-тексерулер жүргізуге қойылатын талаптарды бекіту туралы" Қазақстан Республикасының Қаржы нарығын реттеу және дамыту агенттігі Басқармасының 2020 жылғы 21 қыркүйектегі № 90 қаулысына (Нормативтік құқықтық актілерді мемлекеттік тіркеу тізілімінде № 21274 болып тіркелген) мынадай өзгерістер енгізілсін:
көрсетілген қаулымен бекітілген Ақпараттық қауіпсіздіктің оқыс оқиғаларына ден қою қызметтеріне, ақпараттық қауіпсіздіктің оқыс оқиғаларына ішкі тергеп-тексерулер жүргізуге қойылатын талаптарда:
2-тамақ мынадай редакцияда жазылсын:
"2. Талаптарда "Ақпараттандыру туралы" Қазақстан Республикасының Заңында және Нормативтік құқықтық актілерді мемлекеттік тіркеу тізілімінде № 16772 болып тіркелген "Банктердің, Қазақстан Республикасының бейрезидент-банктері филиалдарының және банк операцияларының жекелеген түрлерін жүзеге асыратын ұйымдардың ақпараттық қауіпсіздігін қамтамасыз етуге қойылатын талаптарды, Ақпараттық жүйелердегі бұзушылықтар, іркілістер туралы мәліметтерді қоса алғанда, ақпараттық қауіпсіздіктің оқыс оқиғалары туралы ақпаратты беру қағидалары мен мерзімдерін бекіту туралы" Қазақстан Республикасы Ұлттық Банкі Басқармасының 2018 жылғы 27 наурыздағы № 48 қаулысында көзделген ұғымдар, сондай-ақ мынадай ұғымдар пайдаланылады:
1) ақпараттық қауіпсіздік оқиғаларын ретроспективтік талдау – ақпараттық қауіпсіздіктің бұрын байқалған оқыс оқиғаларын және (немесе) онымен байланысты ақпараттық қауіпсіздіктің қауіп-қатерлерін анықтау мақсатында компрометацияның жаңартылған индикаторлары және ақпараттық қауіпсіздіктің маңызды қауіп-қатерлері жөнінде өзге де мәліметтердің негізінде кемінде үш ай уақыт аралығы үшін ақпараттық қауіпсіздік оқиғаларын мониторингтеу барысында алынған деректер жиынтығын талдау;
2) ақпараттық қауіпсіздіктің оқыс оқиғаларына ішкі тергеп-тексеру – ақпараттық қауіпсіздіктің оқыс оқиғасының туындау, ақпараттық қауіпсіздіктің оқыс оқиғасының іске асырылу тәртібінің себептері мен алғышарттарын белгілеу, ақпараттық қауіпсіздіктің оқыс оқиғасының іске асырылуының әсер ету ауқымын және одан болған шығынды бағалау, ақпараттық қауіпсіздіктің оқыс оқиғаларына ден қою үшін қабылданған шаралардың тиімділігін талдау мақсатында банктің, ұйымның қызметкерлері және үшінші тұлғалар жүзеге асыратын процесс;
3) ден қоюдың стандартты рәсімі – ақпараттық қауіпсіздіктің оқыс-оқиғасын оқшаулау бойынша шұғыл шаралар қолдану тәртібі, оның туындау ықтималдылығы қысқа мерзімде ақпараттық қауіпсіздіктің оқыс оқиғасының туындау тәуекелін төмендету мүмкіндігінсіз жоғары;
4) компрометация индикаторы – объектінің электрондық тасымалдағыштардағы немесе желілік трафиктегі энергияға тәуелді жадыда байқалатын, құрылғының компрометациясына үлкен ықтималдылық үлесіпен көрсететін бірегей сипаттамасы;
5) осалдық – ақпараттық жүйенің немесе оның жекелеген элементтерінің жетіспеушілігі, оны пайдалану ақпараттық жүйенің тұтастығын және (немесе) конфиденциалдылығы және (немесе) қолжетімділігін бұзуға әкеледі.";
8 және 9-тармақтар мынадай редакцияда жазылсын:
"8. Ақпараттық қауіпсіздік оқыс оқиғаларына ден қою сатысында ден қою қызметі ден қоюдың стандартты рәсімдерін қолданады, ал ден қоюдың стандартты рәсімдерін қолданудың тиімділігі төмен болған жағдайда ақпараттық қауіпсіздік оқыс оқиғаларына ден қоюдың мынадай, бірақ олармен шектелмейтін шаралары кіретін жедел ден қою шараларын қабылдайды:
1) ақпараттық қауіпсіздік оқыс оқиғасына тиімді қарсы іс-қимыл процесін қамтамасыз ету мақсатында банктің, ұйымның қызметкерлерін, сондай-ақ үшінші тұлғаларды ақпараттандыру және тарту;
2) бизнес-процесстің иелерімен келісім бойынша банкте, ұйымда бизнес-процессті ішінара немесе толық тоқтату бойынша қосымша шаралар қабылдау;
3) ақпараттық қауіпсіздік оқыс оқиғасына тартылған бағдарламалық-техникалық құралдардан деректер жинау;
4) ақпараттық қауіпсіздік оқыс оқиғасын талдау, оны тежеу және оның салдарын жою;
5) ақпараттық қауіпсіздік оқиғаларын ретроспективті талдау;
6) ақпараттық қауіпсіздік оқыс оқиғаларына ден қою барысында анықталған ымыраға келу және осалдықтардың индикаторларын айқындау және бұдан былай ұқсас ақпараттық қауіпсіздік оқыс оқиғасына жол бермеуге бағытталған түзету шараларын іске асыру;
7) ақпараттық қауіпсіздік оқыс оқиғасына ішкі тергеу жүргізу қажеттілігі туралы шешім қабылдау.
9. Нормативтік құқықтық актілерді мемлекеттік тіркеу тізілімінде № 29639 болып тіркелген Қазақстан Республикасының Қаржы нарығын реттеу және дамыту агенттігі Басқармасының 2022 жылғы 12 қыркүйектегі № 67 қаулысымен бекітілген Қаржы ұйымдарының қаржы нарығы мен қаржы ұйымдарының ақпараттық қауіпсіздіктің салалық орталығы пайдаланатын ақпараттық қауіпсіздіктің оқиғалары мен оқыс оқиғалары бойынша ақпарат жинау, өңдеу және алмасу жөніндегі ақпараттандыру объектісін қосу және пайдалану қағидаларының 12-тармағына сәйкес көрсетілген ақпаратты уәкілетті органның ақпараттық қауіпсіздік оқиғалары мен инциденттері бойынша ақпаратты өңдеудің автоматтандырылған жүйесіне енгізе отырып, ден қою қызметі ақпараттық қауіпсіздіктің оқыс оқиғасы, қабылданған шаралар және ұсынылатын түзету шаралары туралы ақпаратты көрсетумен, ақпараттық қауіпсіздіктің оқыс оқиғаларын есепке алу журналында ақпараттық қауіпсіздіктің оқыс оқиғалары туралы ақпаратты қағаз тасымалдағышта не электрондық түрде шоғырландыруды, жүйелендіруді, сақтауды, оның тұтастығын және сақталуын қамтамасыз етеді.".
2. Ақпараттық және киберқауіпсіздік департаменті Қазақстан Республикасының заңнамасында белгіленген тәртіппен:
1) Заң департаментімен бірлесіп осы қаулыны Қазақстан Республикасының Әділет министрлігінде мемлекеттік тіркеуді;
2) осы қаулыны ресми жарияланғаннан кейін Қазақстан Республикасы Қаржы нарығын реттеу және дамыту агенттігінің ресми интернет-ресурсына орналастыруды;
3) осы қаулы мемлекеттік тіркелгеннен кейін он жұмыс күні ішінде Заң департаментіне осы тармақтың 2) тармақшасында көзделген іс-шараның орындалуы туралы мәліметтерді ұсынуды қамтамасыз етсін.
3. Осы қаулының орындалуын бақылау Қазақстан Республикасының Қаржы нарығын реттеу және дамыту агенттігі Төрағасының жетекшілік ететін орынбасарына жүктелсін.
4. Осы қаулы алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі.
Қазақстан Республикасының Қаржы нарығын реттеу және дамыту Агенттігінің Төрағасы |
М. Абылкасымова |