Об утверждении Требований к организации безопасной работы, обеспечивающей сохранность и защиту информации от несанкционированного доступа к данным, хранящимся в страховой (перестраховочной) организации, а также кибербезопасности страховой (перестраховочной) организации

Постановление Правления Национального Банка Республики Казахстан от 30 июля 2018 года № 164. Зарегистрировано в Министерстве юстиции Республики Казахстан 9 августа 2018 года № 17289.

      Примечание РЦПИ!
Настоящее постановление вводится в действие с 1 января 2019 года.

      В соответствии с Законом Республики Казахстан "О страховой деятельности" Правление Национального Банка Республики Казахстан ПОСТАНОВЛЯЕТ:

      Сноска. Преамбула - в редакции постановления Правления Агентства РК по регулированию и развитию финансового рынка от 29.08.2024 № 73 (вводится в действие по истечении шестидесяти календарных дней после дня его первого официального опубликования).

      1. Утвердить прилагаемые Требования к организации безопасной работы, обеспечивающей сохранность и защиту информации от несанкционированного доступа к данным, хранящимся в страховой (перестраховочной) организации, а также кибербезопасности страховой (перестраховочной) организации.

      2. Департаменту регулирования небанковских финансовых организаций (Кошербаева А.М.) в установленном законодательством Республики Казахстан порядке обеспечить:

      1) совместно с Юридическим департаментом (Сарсенова Н.В.) государственную регистрацию настоящего постановления в Министерстве юстиции Республики Казахстан;

      2) в течение десяти календарных дней со дня государственной регистрации настоящего постановления направление его копии в бумажном и электронном виде на казахском и русском языках в Республиканское государственное предприятие на праве хозяйственного ведения "Республиканский центр правовой информации" для официального опубликования и включения в Эталонный контрольный банк нормативных правовых актов Республики Казахстан;

      3) размещение настоящего постановления на официальном интернет-ресурсе Национального Банка Республики Казахстан после его официального опубликования;

      4) в течение десяти рабочих дней после государственной регистрации настоящего постановления представление в Юридический департамент сведений об исполнении мероприятий, предусмотренных подпунктами 2), 3) настоящего пункта и пунктом 3 настоящего постановления.

      3. Управлению по защите прав потребителей финансовых услуг и внешних коммуникаций (Терентьев А.Л.) обеспечить в течение десяти календарных дней после государственной регистрации настоящего постановления направление его копии на официальное опубликование в периодические печатные издания.

      4. Контроль за исполнением настоящего постановления возложить на заместителя Председателя Национального Банка Республики Казахстан Курманова Ж.Б.

      5. Настоящее постановление вводится в действие с 1 января 2019 года и подлежит официальному опубликованию.

      Председатель
Национального Банка
Д. Акишев

  Утверждены
постановлением Правления
Национального Банка
Республики Казахстан
от 30 июля 2018 года № 164

Требования к организации безопасной работы, обеспечивающей сохранность и защиту информации от несанкционированного доступа к данным, хранящимся в страховой (перестраховочной) организации, а также кибербезопасности страховой (перестраховочной) организации

Глава 1. Общие положения

      1. Настоящие Требования к организации безопасной работы, обеспечивающей сохранность и защиту информации от несанкционированного доступа к данным, хранящимся в страховой (перестраховочной) организации, а также кибербезопасности страховой (перестраховочной) организации (далее – Требования) разработаны в соответствии с Законом Республики Казахстан "О страховой деятельности" и устанавливают требования к организации безопасной работы, обеспечивающей сохранность и защиту информации от несанкционированного доступа к данным, хранящимся в страховой (перестраховочной) организации, а также кибербезопасности страховой (перестраховочной) организации.

      Сноска. Пункт 1 - в редакции постановления Правления Агентства РК по регулированию и развитию финансового рынка от 29.08.2024 № 73 (вводится в действие по истечении шестидесяти календарных дней после дня его первого официального опубликования).

      2. В Требованиях используются следующие понятия:

      1) информационный актив – совокупность информации и объекта информационной-коммуникационной инфраструктуры, используемого для хранения и (или) обработки информации;

      2) объекты информационной-коммуникационной инфраструктуры – информационные системы страховой (перестраховочной) организации, технологические платформы, аппаратно-программные комплексы, сети телекоммуникаций, а также системы обеспечения бесперебойного функционирования технических средств и информационной безопасности;

      3) информационно-коммуникационная инфраструктура (далее – информационная инфраструктура) – совокупность объектов информационно-коммуникационной инфраструктуры, предназначенных для обеспечения функционирования технологической среды в целях формирования электронных информационных ресурсов и предоставления доступа к ним;

      4) информационная безопасность – состояние защищенности электронных информационных ресурсов, информационных систем и информационной инфраструктуры от внешних и внутренних угроз;

      5) угроза информационной безопасности - совокупность условий и факторов, создающих предпосылки к возникновению инцидента информационной безопасности;

      6) обеспечение информационной безопасности – процесс, направленный на поддержание состояния конфиденциальности, целостности и доступности информационных активов страховой (перестраховочной) организации;

      7) инцидент информационной безопасности – отдельно или серийно возникающие сбои в работе информационной инфраструктуры или отдельных ее объектов, создающие угрозу их надлежащему функционированию и (или) условия для незаконного получения, копирования, распространения, модификации, уничтожения или блокирования электронных информационных ресурсов страховой (перестраховочной) организации;

      8) центр обработки данных – специально выделенное помещение, в котором размещено серверное и коммуникационное оборудование информационной инфраструктуры страховой (перестраховочной) организации;

      9) доступ – возможность использования информационных активов;

      10) резервная копия – копия данных на носителе информации, предназначенная для восстановления данных в оригинальном или новом месте их расположения в случае необходимости;

      11) информационная система страховой (перестраховочной) организации – информационная система, в которой хранятся и обрабатываются данные страховой (перестраховочной) организации и ее клиентов;

      12) технологическая учетная запись – учетная запись в информационной системе, предназначенная для аутентификации между информационными системами;

      13) уполномоченный орган – уполномоченный орган по регулированию, контролю и надзору финансового рынка и финансовых организаций;

      14) атака – попытка уничтожения, раскрытия, изменения, ограничения доступа, кражи, получения несанкционированного доступа или несанкционированного использования информационного актива.

Глава 2. Требования к организации безопасной работы, обеспечивающей сохранность и защиту информации от несанкционированного доступа к данным, хранящимся в страховой (перестраховочной) организации, а также кибербезопасности страховой (перестраховочной) организации

      3. Страховая (перестраховочная) организация организует безопасную работу, обеспечивающую сохранность и защиту информации от несанкционированного доступа к данным, хранящимся в страховой (перестраховочной) организации, а также кибербезопасность страховой (перестраховочной) организации путем создания системы управления информационной безопасностью (далее – система управления информационной безопасностью), являющейся частью общей системы управления страховой (перестраховочной) организацией, предназначенной для управления процессом обеспечения информационной безопасности.

      4. Система управления информационной безопасностью обеспечивает защиту информационных активов страховой (перестраховочной) организации.

      5. Страховая (перестраховочная) организация обеспечивает функционирование системы управления информационной безопасностью, ее развитие и улучшение.

      6. Участниками системы управления информационной безопасностью страховой (перестраховочной) организации являются:

      1) орган управления;

      2) исполнительный орган;

      3) подразделение по информационной безопасности;

      4) подразделение по информационным технологиям;

      5) подразделение по безопасности;

      6) подразделение по работе с персоналом;

      7) юридическое подразделение;

      8) подразделение по комплаенс-контролю;

      9) подразделение внутреннего аудита.

      Допускается осуществление функций подразделений, указанных в подпунктах 3), 4), 5), 6), 7), 8) и 9) настоящего пункта, ответственными лицами.

      7. Страховая (перестраховочная) организация при создании и функционировании системы управления информационной безопасностью обеспечивает независимость подразделений по информационной безопасности и по информационным технологиям посредством их подчинения разным членам исполнительного органа страховой (перестраховочной) организации или напрямую руководителю исполнительного органа страховой (перестраховочной) организации.

      8. Орган управления страховой (перестраховочной) организации утверждает политику информационной безопасности, которая определяет:

      1) цели, задачи и основные принципы построения системы управления информационной безопасностью;

      2) требования к организации доступа к создаваемой, хранимой и обрабатываемой информации в информационных системах страховой (перестраховочной) организации, мониторинга информации и доступа к ней;

      3) требования к осуществлению сбора, консолидации и хранения информации об инцидентах информационной безопасности;

      4) требования к осуществлению мониторинга деятельности по обеспечению информационной безопасности;

      5) требования к проведению анализа информации об инцидентах информационной безопасности;

      6) ответственность работников страховой (перестраховочной) организации за обеспечение информационной безопасности при исполнении возложенных на них функциональных обязанностей.

      9. Орган управления страховой (перестраховочной) организации утверждает перечень защищаемой информации, включающий в том числе информацию о сведениях, составляющих тайну страхования, служебную, коммерческую или иную охраняемую законом тайну (далее – защищаемая информация), и порядок работы с защищаемой информацией.

      10. Орган управления страховой (перестраховочной) организации осуществляет контроль за состоянием системы управления информационной безопасности страховой (перестраховочной) организации.

      11. Исполнительный орган страховой (перестраховочной) организации утверждает внутренние документы страховой (перестраховочной) организации, регламентирующие процесс обеспечения информационной безопасности, порядок и периодичность пересмотра которых определяется внутренними документами страховой (перестраховочной) организации.

      12. Подразделение по информационной безопасности в целях обеспечения конфиденциальности, целостности и доступности информации страховой (перестраховочной) организации осуществляет следующие функции:

      1) организует систему управления информационной безопасностью, осуществляет координацию и контроль деятельности подразделений страховой (перестраховочной) организации по обеспечению информационной безопасности и мероприятий по выявлению и анализу угроз, противодействию атакам и расследованию инцидентов информационной безопасности;

      2) разрабатывает политику информационной безопасности страховой (перестраховочной) организации;

      3) обеспечивает методологическую поддержку процесса обеспечения информационной безопасности страховой (перестраховочной) организации;

      4) осуществляет выбор, внедрение и применение методов, средств и механизмов управления, обеспечения и контроля информационной безопасности страховой (перестраховочной) организации в рамках своих полномочий;

      5) осуществляет сбор, консолидацию, хранение и обработку информации об инцидентах информационной безопасности;

      6) осуществляет анализ информации об инцидентах информационной безопасности;

      7) организует и проводит мероприятия по обеспечению осведомленности работников страховой (перестраховочной) организации в вопросах информационной безопасности;

      8) осуществляет мониторинг состояния системы управления информационной безопасностью страховой (перестраховочной) организации;

      9) осуществляет информирование руководства страховой (перестраховочной) организации о состоянии системы управления информационной безопасностью страховой (перестраховочной) организации.

      13. Подразделение по информационным технологиям осуществляет следующие функции:

      1) разрабатывает схемы информационной инфраструктуры страховой (перестраховочной) организации;

      2) обеспечивает предоставление доступа работникам к информационным активам страховой (перестраховочной) организации;

      3) обеспечивает исполнение установленных требований по непрерывности функционирования информационной инфраструктуры, конфиденциальности, целостности и доступности информационных систем страховой (перестраховочной) организации (включая резервирование и (или) архивирование) в соответствии с внутренними документами страховой (перестраховочной) организации;

      4) обеспечивает соблюдение внутренних документов страховой (перестраховочной) организации, содержащих требования к информационной безопасности при выборе, внедрении, разработке и тестировании информационных систем страховой (перестраховочной) организации.

      14. Подразделение по безопасности осуществляет следующие функции:

      1) реализует меры физической и технической безопасности в страховой (перестраховочной) организации, в том числе организует пропускной и внутриобъектовый режим;

      2) проводит профилактические мероприятия, направленные на минимизацию рисков возникновения угроз информационной безопасности при приеме на работу и увольнении работников страховой (перестраховочной) организации.

      15. Подразделение по работе с персоналом осуществляет следующие функции:

      1) обеспечивает подписание работниками страховой (перестраховочной) организации, а также лицами, привлеченными к работе по договору об оказании услуг, стажерами, практикантами обязательств о неразглашении конфиденциальной информации;

      2) участвует в организации процесса повышения осведомленности работников страховой (перестраховочной) организации в области информационной безопасности.

      16. Юридическое подразделение осуществляет правовую экспертизу внутренних документов страховой (перестраховочной) организации по вопросам обеспечения информационной безопасности.

      17. Подразделение по комплаенс-контролю совместно с юридическим подразделением страховой (перестраховочной) организации определяет виды информации, подлежащие включению в перечень защищаемой информации, предусмотренный пунктом 9 Требований.

      18. Подразделение внутреннего аудита проводит оценку состояния системы управления информационной безопасностью в соответствии с внутренними документами страховой (перестраховочной) организации, регламентирующими организацию системы внутреннего аудита страховой (перестраховочной) организации.

      19. Руководители подразделений страховой (перестраховочной) организации:

      1) обеспечивают ознакомление работников с требованиями к информационной безопасности;

      2) несут персональную ответственность за обеспечение информационной безопасности в возглавляемых ими подразделениях.

      20. Работники подразделений страховой (перестраховочной) организации:

      1) обеспечивают соблюдение требований к информационной безопасности, принятых в страховой (перестраховочной) организации;

      2) извещают своего непосредственного руководителя и подразделение по информационной безопасности обо всех подозрительных ситуациях и нарушениях при работе с информационными активами.

      21. Предоставление физического доступа к информационным активам страховой (перестраховочной) организации осуществляется в соответствии с внутренними документами страховой (перестраховочной) организации.

      22. Доступ к информации предоставляется работникам в объеме, необходимом для исполнения их функциональных обязанностей.

      23. Доступ к информационным системам страховой (перестраховочной) организации осуществляется путем идентификации и аутентификации пользователей информационных систем страховой (перестраховочной) организации.

      24. В информационных системах страховой (перестраховочной) организации используются только персонализированные учетные записи.

      25. Использование технологических учетных записей допускается в соответствии с перечнем таких учетных записей для каждой информационной системы с указанием лиц, персонально ответственных за их использование и актуальность, утверждаемым руководителем подразделения по информационным технологиям по согласованию с руководителем подразделения по информационной безопасности.

      26. В информационных системах страховой (перестраховочной) организации применяются функции или средства по управлению учетными записями и паролями, а также блокировке учетных записей, определяемые внутренними документами страховой (перестраховочной) организации.

      27. Страховая (перестраховочная) организация осуществляет резервное хранение данных информационных систем страховой (перестраховочной) организации, их файлов и настроек, которое обеспечивает восстановление работоспособных копий информационных систем.

      28. Порядок и периодичность резервного копирования, хранения, восстановления информации определяются внутренним документом страховой (перестраховочной) организации.

      29. Страховая (перестраховочная) организация обеспечивает антивирусную защиту информационной инфраструктуры в соответствии с внутренними документами страховой (перестраховочной) организации.

      30. В информационных системах страховой (перестраховочной) организации используется функция ведения аудиторского следа, которая отражает следующие события (успешные и неуспешные):

      1) события установления соединений, идентификации и аутентификации в информационной системе страховой (перестраховочной) организации;

      2) события модификации учетных записей и их полномочий;

      3) события, отражающие установку обновлений и (или) изменений в информационной системе страховой (перестраховочной) организации;

      4) события изменения параметров аудита;

      5) события изменения системных параметров.

      31. Срок хранения аудиторского следа составляет не менее 3 (трех) месяцев в информационных системах страховой (перестраховочной) организации и не менее 1 (одного) года в виде резервных копий аудиторского следа.

      32. Подразделение по информационным технологиям отслеживает обновления информационных систем страховой (перестраховочной) организации и совместно с подразделением по информационной безопасности определяет порядок управления обновлениями информационных систем страховой (перестраховочной) организации.

      33. Обновления информационных систем страховой (перестраховочной) организации до установки в промышленную среду проходят испытания в тестовой среде.

      34. Порядок обеспечения физической безопасности центров обработки данных определяется внутренними документами страховой (перестраховочной) организации.

      35. Страховой (перестраховочной) организацией определяется перечень программного обеспечения, разрешенного к использованию в страховой (перестраховочной) организации.

      36. Центр обработки данных страховой (перестраховочной) организации оснащается следующими системами технической безопасности:

      1) система контроля и управления доступом;

      2) охранная сигнализация;

      3) пожарная сигнализация;

      4) система автоматического пожаротушения;

      5) система поддержания заданных параметров микроклимата;

      6) система видеонаблюдения;

      7) система бесперебойного электропитания.

      37. Доступ в центр обработки данных предоставляется лицам, перечень которых утверждается руководителем подразделения по информационным технологиям по согласованию с подразделением по информационной безопасности.

      38. Запись событий ведется системой видеонаблюдения центра обработки данных непрерывно или с использованием детектора движения.

      39. Архив системы видеонаблюдения центра обработки данных хранится не менее 3 (трех) месяцев.

      40. Информация об инцидентах информационной безопасности, полученная в ходе мониторинга деятельности по обеспечению информационной безопасности, подлежит консолидации, систематизации и хранению не менее 5 (пяти) лет.

      41. Страховой (перестраховочной) организацией определяется порядок информирования о произошедшем инциденте информационной безопасности руководящих работников и подразделений страховой (перестраховочной) организации.

      42. Страховой (перестраховочной) организацией определяется порядок принятия неотложных мер к устранению инцидента информационной безопасности, его причин и последствий.

      43. В страховой (перестраховочной) организации ведется журнал учета инцидентов информационной безопасности на бумажном носителе либо в электронном виде, в который вносятся регистрационные данные заключения по результатам анализа инцидента информационной безопасности в соответствии с пунктом 46 Требования.

      44. При сборе технических данных с программно-технических средств, вовлеченных в инцидент информационной безопасности, обеспечивается сохранность и неизменность собранных данных.

      45. По результатам обработки инцидента информационной безопасности проводится анализ причин возникновения инцидента информационной безопасности, его механизма и последствий.

      46. По результатам анализа инцидента информационной безопасности готовится заключение в произвольной форме, в котором отражаются вся информация об инциденте информационной безопасности, а также предложения по принятию корректирующих мер в целях снижения вероятности и возможного ущерба от повторного инцидента информационной безопасности.

      47. В страховой (перестраховочной) организации внедряются организационные и технические меры, запрещающие работникам страховой (перестраховочной) организации самостоятельно проводить установку и настройку программного обеспечения.

      48. В исключительных случаях отдельным группам пользователей предоставляется право самостоятельной установки и настройки программного обеспечения и оборудования. Этим группам пользователей предоставляются права локального администратора или аналогичные права.

      49.Перечень пользователей, указанных в пункте 48 Требований, формируется, актуализируется и утверждается руководителем подразделения по информационным технологиям по согласованию с подразделением по информационной безопасности. В случае предоставления пользователям дополнительных прав в соответствии с пунктом 48 Требований подразделение по информационной безопасности осуществляет контроль их использования.

      50. Страховая (перестраховочная) организация ежегодно, не позднее 10 января года, следующего за отчетным годом, представляет в уполномоченный орган информацию о состоянии системы управления информационной безопасностью.

      51. Информация, указанная в пункте 50 Требований, включает сведения о:

      1) наличии документов, регламентирующих создание и функционирование системы управления информационной безопасностью;

      2) наличии и количественном составе программно-технических средств, используемых для обеспечения информационной безопасности;

      3) наличии, материально-технической обеспеченности центров обработки данных;

      4) проведенных мероприятиях по совершенствованию системы управления информационной безопасностью и информационных активов страховой (перестраховочной) организации либо их отсутствии.

      52. Информация, указанная в пункте 50 Требований, представляется в уполномоченный орган посредством автоматизированной системы обработки информации, предназначенной для обработки информации о событиях и инцидентах информационной безопасности, или в электронном формате с использованием транспортной системы гарантированной доставки информации с криптографическими средствами защиты, обеспечивающей конфиденциальность и некорректируемость представляемых данных.

      Сноска. Пункт 52 - в редакции постановления Правления Агентства РК по регулированию и развитию финансового рынка от 29.08.2024 № 73 (вводится в действие по истечении шестидесяти календарных дней после дня его первого официального опубликования).

      53. Уполномоченный орган осуществляет проверку соответствия страховой (перестраховочной) организации Требованиям не реже одного раза в 3 (три) года.

Глава 3. Требования к обеспечению информационной безопасности программного обеспечения дистанционного оказания услуг страховой (перестраховочной) организации

      Сноска. Требование дополнено главой 3 в соответствии с постановлением Правления Агентства РК по регулированию и развитию финансового рынка от 29.08.2024 № 73 (вводится в действие по истечении шестидесяти календарных дней после дня его первого официального опубликования).

      54. Программное обеспечение дистанционного оказания услуг страховой (перестраховочной) организации включает:

      1) программное обеспечение серверов веб-приложений (далее – веб-приложение);

      2) программное обеспечение для мобильных устройств (далее – мобильное приложение);

      3) программное обеспечение серверов программных интерфейсов (далее – серверное ППО).

      55. Разработка и (или) доработка программного обеспечения дистанционного оказания услуг осуществляется страховой (перестраховочной) организации в соответствии с внутренними документами страховой (перестраховочной) организации, регламентирующими порядок разработки и (или) доработки программного обеспечения, этапы разработки и их участников.

      56. Если разработка и (или) доработка программного обеспечения дистанционного оказания услуг страховой (перестраховочной) организации передана сторонней организации и (или) третьему лицу, страховая (перестраховочная) организации обеспечивает исполнение сторонней организацией и (или) третьим лицом требований настоящей главы и внутренних документов, отвечает за состояние безопасности программного обеспечения дистанционного оказания услуг.

      57. Хранение исходных кодов программного обеспечения дистанционного оказания услуг, разрабатываемых в страховой (перестраховочной) организации, осуществляется в специализированных системах управления репозиториями кода, размещаемых в периметре защиты страховой (перестраховочной) организации, с обеспечением резервного копирования.

      58. Независимо от принятого в страховой (перестраховочной) организации подхода к разработке и (или) доработке программного обеспечения дистанционного оказания услуг, обязательным является тестирование основных функций системы, таких как регистрация пользователей, обмен сообщениями и другие ключевые операции, проверка безопасности системы для защиты от угроз, таких как несанкционированный доступ, фишинг, взлом и утечка данных.

      59. Страховая (перестраховочная) организация обеспечивает реализацию корректирующих мер по устранению выявленных уязвимостей в порядке, определенном внутренним документом, утвержденным исполнительным органом. При этом критичные уязвимости устраняются до ввода в эксплуатацию программного обеспечения дистанционного оказания услуг и (или) его новых версий.

      60. Страховая (перестраховочная) организация осуществляет ввод в эксплуатацию программного обеспечения дистанционного оказания услуг и (или) его новых версий, после согласования с ответственным лицом по информационной безопасности.

      61. Страховая (перестраховочная) организация обеспечивает хранение и доступ в оперативном режиме ко всем версиям исходных кодов программного обеспечения дистанционного оказания услуг и результатов тестирования безопасности, которые были введены в эксплуатацию в течение последних 3 (трех) лет.

      62. Обмен данными между клиентской и серверной сторонами программного обеспечения дистанционного оказания услуг шифруется с использованием версии протокола шифрования Transport Layer Security (Транспорт Лэйер Секьюрити) не ниже 1.2.

      63. При первичной регистрации клиента в мобильном приложении страховая (перестраховочная) организация осуществляет биометрическую идентификацию клиента посредством Центра обмена идентификационными данными (далее - ЦОИД) и одноразового персонального идентификатора (пароля) полученного в SMS-сообщении.

      64. Изменение кода доступа (пароля) к мобильному приложению осуществляется с применением биометрической идентификации клиента с использованием биометрических данных, подтвержденных ЦОИД и одноразового персонального идентификатора (пароля) полученного в SMS-сообщении.

      65. Идентификация и аутентификация клиента в программном обеспечении дистанционного оказания услуг осуществляется с применением способов двухфакторной аутентификации (использованием двух из трех факторов: знания, владения, неотъемлемости) в соответствии с процедурами безопасности, установленными внутренними документами страховой (перестраховочной) организации.

      66. Механизм кроссдоменной аутентификации программного обеспечения дистанционного оказания услуг согласовывается с подразделением по информационной безопасности.

      67. Веб-приложение обеспечивает:

      1) однозначность идентификации принадлежности веб-приложения страховой (перестраховочной) организации (доменное имя, логотипы, корпоративные цвета);

      2) запрет на сохранение в памяти браузера авторизационных данных;

      3) маскирование вводимых секретов;

      4) информирование на странице авторизации клиента о мерах обеспечения кибергигиены, которым рекомендуется следовать при использовании веб-приложения;

      5) обработку ошибок и исключений безопасным способом, не допуская отображение в интерфейсе клиента конфиденциальных данных, предоставляя минимально достаточную информацию об ошибке.

      68. Мобильное приложение обеспечивает:

      1) однозначность идентификации принадлежности мобильного приложения страховой (перестраховочной) организации (данные в официальном магазине приложений, логотипы, корпоративные цвета);

      2) блокировку функционала по оказанию дистанционных услуг страховой (перестраховочной) организации в случае обнаружения признаков нарушения целостности и (или) обхода защитных механизмов операционной системы, обнаружения процессов удаленного управления;

      3) уведомление клиента о наличии обновлений мобильного приложения;

      4) возможность принудительной установки обновлений мобильного приложения или блокировки функционала мобильного приложения до их установки в случаях необходимости устранения критичных уязвимостей;

      5) хранение конфиденциальных данных в защищенном контейнере мобильного приложения или хранилище системных учетных данных;

      6) исключение кэширования конфиденциальных данных;

      7) исключение из резервных копий мобильного приложения конфиденциальных данных в открытом виде;

      8) информирование клиента о методах обеспечения кибергигиены, которым рекомендуется следовать при использовании мобильного приложения;

      9) информирование клиента о событиях авторизации под его учетной записью, изменения и (или) восстановления пароля, изменения, зарегистрированного страховой организацией номера мобильного телефона;

      10) в ходе осуществления операций с денежными средствами - передачу в серверное ППО страховой (перестраховочной) организации геолокационных данных мобильного устройства при наличии разрешения от клиента либо передачу информации об отсутствии такого разрешения.

      69. Страховая (перестраховочная) организация обеспечивает на своей стороне:

      1) обработку ошибок и исключений безопасным способом, не допуская в ответе раскрытия конфиденциальных данных, предоставляя минимально достаточную информацию для диагностики проблемы;

      2) идентификацию и аутентификацию мобильных приложений и связанных с ними устройств;

      3) проверку данных на валидность для предотвращения атак с подделкой запросов и инъекций вредоносного кода.

On approval of Requirements to the organization of safe work, ensuring safety and information security from unauthorized access to data stored in the insurance (reinsurance) organization, and also cybersecurity of the insurance (reinsurance) organization

Resolution of the Board of the National Bank of the Republic of Kazakhstan of July 30, 2018 № 164. Registered with the Ministry of Justice of the Republic of Kazakhstan on August 9, 2018 № 17289.

      Unofficial translation

      In accordance with the Law of the Republic of Kazakhstan of December 18, 2000 “On Insurance Activities,” the Board of the National Bank of the Republic of Kazakhstan RESOLVES:

      1. Approve the attached Requirements for organization of safe work, ensuring safety and information security from unauthorized access to data stored in the insurance (reinsurance) organization, also cybersecurity of the insurance (reinsurance) organization.

      2. In accordance with the procedure established by the legislation of the Republic of Kazakhstan, the Department for the Regulation of Non-Bank Financial Organizations (A.M. Kosherbayeva) shall:

      1) together with the Legal Department (N.V. Sarsenova) provide the state registration of this resolution with the Ministry of Justice of the Republic of Kazakhstan;

      2) within ten calendar days from the date of state registration of this resolution, direct its paper and electronic copy in the Kazakh and Russian languages to the Republican State Enterprise with the Right of Economic Management “Republican Center of Legal Information” for official publication and inclusion in the Reference Control Bank of Regulatory Legal Acts of the Republic of Kazakhstan;

      3) place this resolution on the official Internet resource of the National Bank of the Republic of Kazakhstan after its official publication;

      4) within ten working days after the state registration of this resolution, submit to the Legal Department the data on execution of the actions provided for in subparagraphs 2), 3) of this paragraph and paragraph 3 of this resolution.

      3. The Directorate for the Protection of the Rights of Consumers of Financial Services and External Communications (A.L. Terentiev) shall direct its copy for official publication in periodicals.

      4. Control over the execution of this resolution shall be entrusted to the Deputy Chairman of the National Bank of the Republic of Kazakhstan, Zh.B. Kurmanov.

      5. This resolution shall be enforced on January 1, 2019 and is subject to official publication.

      Chairman
of the National Bank
D. Akishev

  Approved
by Resolution № 164
of the Board
of the National Bank
of the Republic of Kazakhstan
of July 30, 2018

Requirements to the organization of safe work, ensuring safety and information security from unauthorized access to data stored
in the insurance (reinsurance) organization, and also cybersecurity of the insurance (reinsurance) organization

Chapter 1. General Provisions

      1. These Requirements to the organization of safe work, ensuring safety and protection of information from unauthorized access to data stored in the insurance (reinsurance) organization, as well as the cybersecurity of the insurance (reinsurance) organization (hereinafter - Requirements) are developed in accordance with the Law of the Republic of Kazakhstan of December 18, 2000 “On Insurance Activities” and establish requirements to the organization of safe work, ensuring the safety and protection of information from unauthorized access to the data stored in the insurance (reinsurance) organization, as well as cybersecurity of the insurance (reinsurance) organization.

      2. In the Requirements the following concepts shall be used:

      1) data asset – a set of information and the object of information-communication infrastructure used for storage and (or) information processing;

      2) objects of information and communication infrastructure - information systems of an insurance (reinsurance) organization, technological frameworks, the hardware and software, telecommunications networks, and also systems of ensuring smooth functioning of technical means and information security;

      3) information and communication infrastructure (hereinafter - information infrastructure) – a set of information and communication infrastructure facilities intended to ensure functioning of the technological environment for the purpose of forming electronic information resources and provision of access to them;

      4) information security - condition of security of electronic information resources, information systems and information infrastructure from external and internal threats;

      5) threat of information security – a set of the conditions and factors creating prerequisites to emergence of an information security incident;

      6) ensuring information security - the process directed to maintenance of condition of confidentiality, integrity and availability of data assets of the insurance (reinsurance) organization;

      7) information security incident - separately or serially arising malfunctions in the work of the information infrastructure or its separate objects posing threat to their proper functioning and (or) conditions for unlawfully obtaining, copying, distributing, modifying, destroying or blocking electronic information resources of the insurance (reinsurance) organization;

      8) data processing center - a specially designated room in which the server and communication equipment of the information infrastructure of the insurance (reinsurance) organization is placed;

      9) access - the ability to use data assets;

      10) backup copy - a copy of the data on a storage medium intended to restore the data to the original or new location if need arises;

      11) information system of insurance (reinsurance) organization - an information system in which data of the insurance (reinsurance) organization and its clients are stored and processed;

      12) technological account - an account in the information system intended for authentication between information systems;

      13) authorized body - an authorized body for regulation, control and supervision of the financial market and financial organizations;

      14) attack - an attempt of destroying, disclosing, changing, restricting access, theft, obtaining unauthorized access or unauthorized use of a data asset.

Chapter 2. Requirements to the organization of safe work, ensuring safety and information security from unauthorized access to data
stored in the insurance (reinsurance) organization, and also cybersecurity of the insurance (reinsurance) organization

      3. The insurance (reinsurance) organization shall organize safe work ensuring safety and information security from unauthorized access to data stored in the insurance (reinsurance) organization, and also cybersecurity of the insurance (reinsurance) organization by creating an information security management system (hereinafter information security management system), which is part of the overall management system of the insurance (reinsurance) organization, intended to manage the process of information security provision.

      4. The information security management system shall provide protection of information assets of the insurance (reinsurance) organization.

      5. The insurance (reinsurance) organization shall ensure the functioning of the information security management system, its development and improvement.

      6. Participants in the information security management system of an insurance (reinsurance) organization shall be:

      1) the management body;

      2) the executive body;

      3) information security unit;

      4) information technology unit;

      5) security unit;

      6) human resources unit;

      7) legal unit;

      8) compliance control unit;

      9) internal audit unit.

      It shall be allowed to exercise the functions of the subdivisions indicated in subparagraphs 3), 4), 5), 6), 7), 8) and 9) of this paragraph by responsible persons.

      7. In the creation and functioning of the information security management system the insurance (reinsurance) organization shall ensure independence of information security and information technology units through their subordination to various members of the executive body of the insurance (reinsurance) organization or directly to the head of the executive body of the insurance (reinsurance) organization.

      8. The management body of the insurance (reinsurance) organization shall approve information security policy that shall determine:

      1) goals, objectives and basic principles of building an information security management system;

      2) requirements to the organization of access to the created, stored and processed information in the information systems of the insurance (reinsurance) organization, monitoring of information and access to it;

      3) requirements to the collection, consolidation and storage of data on information security incidents;

      4) requirements to monitoring of the information security activities;

      5) requirements to carrying out the analyses of data on information security incidents;

      6) responsibility of employees of the insurance (reinsurance) organization in ensuring information security in the performance of their functional duties.

      9. The management body of the insurance (reinsurance) organization shall approve the list of protected information, including data on information constituting the insurance secret, official, commercial or other secrets protected by law (hereinafter - the protected information), and the procedure for working with the protected information.

      10. The management body of the insurance (reinsurance) organization shall exercise control over the state of the information security management system of the insurance (reinsurance) organization.

      11. The executive body of the insurance (reinsurance) organization shall approve the internal documents of the insurance (reinsurance) organization governing the information security process, the order and frequency of revisions of which shall be determined by the internal documents of the insurance (reinsurance) organization.

      12. For the purposes of ensuring confidentiality, integrity and accessibility of information of the insurance (reinsurance) organization, the information security unit shall perform the following functions:

      1) organize the information security management system, carry out coordination and monitoring of activities of the insurance (reinsurance) organization in the provision of information security and measures to identify and analyze threats, counter attacks and investigate information security incidents;

      2) develop the information security policy of the insurance (reinsurance) organization;

      3) provide methodological support for the process of ensuring the information security of the insurance (reinsurance) organization;

      4) select, implement and apply methods, means and mechanisms for managing, ensuring and controlling the information security of the insurance (reinsurance) organization within its authority;

      5) collect, consolidate, store and processes data on information security incidents;

      6) carry out analyses of the data on information security incidents;

      7) organize and conduct apprising of the insurance (reinsurance) organization’s employees of the information security matters;

      8) monitor condition of the information security management system of the insurance (reinsurance) organization;

      9) apprise the insurance (reinsurance) organization’s management of the condition of the information security management system of the insurance (reinsurance) organization.

      13. The information technology unit shall perform the following functions:

      1) develop information infrastructure schemes for the insurance (reinsurance) organization;

      2) provide employees’ access to the information assets of the insurance (reinsurance) organization;

      3) provide compliance with the established requirements for continuity of the information infrastructure, confidentiality, integrity and accessibility of information systems of the insurance (reinsurance) organization (including reservation and (or) archiving) in accordance with the internal documents of the insurance (reinsurance) organization;

      4) provide compliance with the internal documents of the insurance (reinsurance) organization containing information security requirements when selecting, implementing, developing and testing information systems of the insurance (reinsurance) organization.

      14. The security unit shall perform the following functions:

      1) implement measures of physical and technical safety in the insurance (reinsurance) organization, including organization of access and internal security control regime;

      2) conduct preventive measures directed at minimization of risks of threats to information security when hiring and firing employees of the insurance (reinsurance) organization.

      15. The human resources unit shall perform the following functions:

      1) provide the signing of non-disclosure obligations by employees of the insurance (reinsurance) organization, also by persons involved in the work under a service contract, trainees, interns;

      2) contribute to organization of awareness raising process in the field of information security for the insurance (reinsurance) organization’s employees.

      16. The legal unit shall provide legal expertise on the internal documents of the insurance (reinsurance) organization regarding information security.

      17. The compliance control unit together with the legal unit of the insurance (reinsurance) organization shall determine the types of information to be included in the list of protected information provided for in paragraph 9 of the Requirements.

      18. The internal audit unit shall perform assessment of condition of the information security management system in accordance with the internal documents of the insurance (reinsurance) organization governing the arrangement of the internal audit system of the insurance (reinsurance) organization.

      19. Heads of insurance (reinsurance) organization’s units shall:

      1) apprise the staff of the information security requirements;

      2) bear personal responsibility for information security safeguarding in the units they are in charge of.

      20. Employees of the insurance (reinsurance) organization shall:

      1) ensure compliance with the information security requirements adopted by the insurance (reinsurance) organization;

      2) notify their immediate supervisor and the information security unit about all dubious situations and violations arising in the work with information assets.

      21. Provision of physical access to information assets of the insurance (reinsurance) organization shall be in line with the internal documents of the insurance (reinsurance) organization.

      22. Access to information shall be provided to employees in the amount necessary for the performance of their functional duties.

      23. Access to information systems of the insurance (reinsurance) organization shall be carried out by identifying and authenticating the users of the insurance (reinsurance) organization’s information systems.

      24. In the information systems of the insurance (reinsurance) organization, solely personalized accounts shall be used.

      25. The use of technology accounts shall be permissible in accordance with the list of such accounts for each information system with indication of individuals that are personally responsible for their use and relevance, approved by the head of the information technology department in coordination with the head of the information security department.

      26. In the information systems of the insurance (reinsurance) organization, functions or means of managing accounts and passwords, also of blocking accounts shall be applied, determined by internal documents of the insurance (reinsurance) organization.

      27. The insurance (reinsurance) organization shall provide backup storage of the data of the information systems of the insurance (reinsurance) organization, their files and settings, which enables restoration of workable copies of the information systems.

      28. The order and periodicity of backup, storage, recovery of information shall be determined by the internal document of the insurance (reinsurance) organization.

      29. The insurance (reinsurance) organization shall provide anti-virus protection of the information infrastructure in accordance with the internal documents of the insurance (reinsurance) organization.

      30. Information systems of the insurance (reinsurance) organization shall use audit trail function, which shall reflect the following events (successful and unsuccessful):

      1) connection setup, identification and authentication in the information system of the insurance (reinsurance) organization;

      2) modification of accounts and their powers;

      3) installation of updates and (or) changes in the information system of the insurance (reinsurance) organization;

      4) change of the audit parameters;

      5) changes of system parameters.

      31. The shelf life of the audit trail shall be at least 3 (three) months in the information systems of the insurance (reinsurance) organization and at least 1 (one) year in the form of backup copies of the audit trail.

      32. The information technology unit shall monitor updates of the insurance (reinsurance) organization’s information systems and, together with the information security unit, shall determine the procedure for managing updates of the insurance (reinsurance) organization’s information systems.

      33. Updates of information systems of the insurance (reinsurance) organization shall be tried in a test environment prior to installation in an industrial environment.

      34. The procedure for assuring physical security of data processing centers shall be determined by the internal documents of the insurance (reinsurance) organization.

      35. The insurance (reinsurance) organization shall determine the list of software authorized for use in the insurance (reinsurance) organization.

      36. The data processing center of the insurance (reinsurance) organization shall be equipped with the following technical safety systems:

      1) access monitoring and control system;

      2) security alarm;

      3) fire alarm;

      4) automatic fire extinguishing system;

      5) system for maintaining specified microclimate parameters;

      6) video surveillance system (CCTV);

      7) uninterruptible power supply system.

      37. Access to the data processing center shall be provided to individuals that are on the list approved by the head of the information technology unit in agreement with the information security unit.

      38. Recording of events shall be made by the video surveillance (CCTV) system of the data processing center continuously or using the motion detection.

      39. The archive of the data center’s CCTV system shall be stored for at least 3 (three) months.

      40. Data on information security incidents obtained in the course of monitoring of the information security activities shall be subject to consolidation, systematization and storage for at least five (5) years.

      41. The insurance (reinsurance) organization shall determine the procedure for notifying the executives and units of insurance (reinsurance) organization about the occurrence of information security incident.

      42. The insurance (reinsurance) organization shall determine the procedure for taking urgent measures to eliminate information security incident, its causes and consequences.

      43. The insurance (reinsurance) organization shall maintain a log of information security incidents in paper or electronic format, in which registration data of the conclusion on the analysis of information security incident shall be entered in accordance with paragraph 46 of the Requirements.

      44. At the collection of technical data from software and hardware involved in the information security incident, the collected data shall be kept safe and unaltered.

      45. Upon the processed results of the information security incident, an analysis shall be conducted of the causes of the information security incident, its mechanism and consequences.

      46. Upon the analysis of the information security incident, a conclusion shall be drawn, reflecting full information on the information security incident, along with proposed corrective actions to reduce the likelihood and possible damage of a repeated security incident.

      47. The insurance (reinsurance) organization shall undertake organizational and technical measures that prohibit the insurance (reinsurance) organization’s employees to install and configure software on their own.

      48. In exceptional cases, individual groups of users shall be permitted to independently install and configure software and hardware. These user groups shall be granted local administrator or similar rights.

      49. The list of users specified in clause 48 of the Requirements shall be formed, updated and approved by the head of the information technology department in agreement with the information security department. In the event of granting additional rights to users in accordance with clause 48 of the Requirements, the information security division shall monitor their exercising.

      50. Annually, no later than January 10 of the year following the reporting year, the insurance (reinsurance) organization shall submit information to the authorized body on the state of the information security management system.

      51. The information specified paragraph 50 of the Requirements shall include data on:

      1) availability of documents governing creation and operation of the information security management system;

      2) availability and numerical composition of software and hardware used to maintain information security;

      3) availability and logistics of the data processing facilities;

      4) measures taken to improve the information security management system and information assets of the insurance (reinsurance) organization or their absence.

      52. The information specified in paragraph 50 of the Requirements shall be compiled in a free form and submitted to the authorized body in electronic format using a guaranteed data transport system with cryptographic security tools to ensure confidentiality and uncorrectability of the submitted data.

      53. The authorized body shall check compliance of the insurance (reinsurance) organization with the Requirements at least once in 3 (three) years.