Об утверждении Правил оценки уровня защищенности от угроз информационной безопасности

Постановление Правления Агентства Республики Казахстан по регулированию и развитию финансового рынка от 23 ноября 2020 года № 110. Зарегистрировано в Министерстве юстиции Республики Казахстан 27 ноября 2020 года № 21685.

      Настоящее постановление вводится в действие с 1 января 2021 года.

      В соответствии с подпунктом 1) части первой статьи 13-6 Закона Республики Казахстан от 4 июля 2003 года "О государственном регулировании, контроле и надзоре финансового рынка и финансовых организаций" Правление Агентства Республики Казахстан по регулированию и развитию финансового рынка ПОСТАНОВЛЯЕТ:

      1. Утвердить прилагаемые Правила оценки уровня защищенности от угроз информационной безопасности.

      2. Управлению кибербезопасности в установленном законодательством Республики Казахстан порядке обеспечить:

      1) совместно с Юридическим департаментом государственную регистрацию настоящего постановления в Министерстве юстиции Республики Казахстан;

      2) размещение настоящего постановления на официальном интернет-ресурсе Агентства Республики Казахстан по регулированию и развитию финансового рынка после его официального опубликования;

      3) в течение десяти рабочих дней после государственной регистрации настоящего постановления представление в Юридический департамент сведений об исполнении мероприятия, предусмотренного подпунктом 2) настоящего пункта.

      3. Контроль за исполнением настоящего постановления возложить на курирующего заместителя Председателя Агентства Республики Казахстан по регулированию и развитию финансового рынка.

      4. Настоящее постановление вводится в действие с 1 января 2021 года и подлежит официальному опубликованию.

      Председатель Агентства
Республики Казахстан по регулированию и
развитию финансового рынка
М. Абылкасымова

  Утверждены постановлением
Правления Агентства
Республики Казахстан по
регулированию и развитию
финансового рынка
от 23 ноября 2020 года № 110

Правила оценки уровня защищенности от угроз информационной безопасности

Глава 1. Общие положения

      1. Настоящие Правила оценки уровня защищенности от угроз информационной безопасности (далее – Правила) разработаны в соответствии с Законом Республики Казахстан от 4 июля 2003 года "О государственном регулировании, контроле и надзоре финансового рынка и финансовых организаций" и определяют порядок оценки уровня защищенности от угроз информационной безопасности финансовых организаций и филиалов банков-нерезидентов Республики Казахстан, филиалов страховых (перестраховочных) организаций-нерезидентов Республики Казахстан, филиалов страховых брокеров-нерезидентов Республики Казахстан (далее – финансовые организации).

      2. В Правилах используются следующие понятия:

      1) ключевые информационные системы финансовой организации – информационные системы финансовой организации, необходимые для функционирования бизнес-процессов, реализующих основные направления деятельности финансовой организации;

      2) уполномоченный орган – государственный орган, осуществляющий государственное регулирование, контроль и надзор финансового рынка и финансовых организаций.

Глава 2. Порядок оценки уровня защищенности от угроз

      3. Оценка уровня защищенности от угроз информационной безопасности осуществляется финансовыми организациями по запросу уполномоченного органа.

      4. Оценка уровня защищенности от угроз информационной безопасности осуществляется финансовой организацией в соответствии с параметрами оценки уровня защищенности от угроз информационной безопасности согласно приложению к Правилам.

      По каждому параметру, указанному в столбце 2 приложения к Правилам, финансовая организация определяет один из указанных в столбцах 3, 4, 5 приложения к Правилам уровней защищенности.

      5. Оценка уровня защищенности от угроз информационной безопасности оформляется финансовой организацией в виде таблицы с указанием параметров оценки уровня защищенности от угроз информационной безопасности, перечисленных в столбце 2 приложения к Правилам, уровня защищенности и краткого описания их исполнения.

      6. Результат оценки уровня защищенности от угроз информационной безопасности утверждается руководителем финансовой организации и предоставляется финансовой организацией сопроводительным письмом в уполномоченный орган в срок, не превышающий трех месяцев со дня получения запроса уполномоченного органа на проведение такой оценки.

      7. К результатам оценки уровня защищенности от угроз информационной безопасности финансовой организацией прилагаются документы, подтверждающие уровни защищенности 2 и 3 согласно приложению к Правилам.

      8. Уполномоченный орган проверяет предоставленные финансовой организацией результаты оценки уровня защищенности от угроз информационной безопасности на соответствие приложенным документам и определяет итоговый уровень защищенности финансовой организации по каждому из параметров оценки уровня защищенности от угроз информационной безопасности согласно приложению к Правилам.

      9. Итоговые результаты оценки уровня защищенности финансовой организации от угроз информационной безопасности доводятся уполномоченным органом до сведения финансовой организации.

  Приложение
к Правилам оценки уровня
защищенности от угроз
информационной безопасности

Параметры оценки уровня защищенности от угроз информационной безопасности

Параметр оценки уровня защищенности от угроз информационной безопасности

Уровень защищенности 1

Уровень защищенности 2

Уровень защищенности 3

1

2

3

4

5

1.

Финансовой организацией утвержден и доведен до сведения всех работников финансовой организации, а также сторонних организаций документ, содержащий описание политики информационной безопасности.

Отсутствует документ, содержащий описание политики информационной безопасности.

В наличии утвержденный документ, содержащий описание политики информационной безопасности.

В наличии утвержденный документ, содержащий описание политики информационной безопасности, и доведенный до сведения всех работников, а также сторонних организаций.

2.

Финансовой организацией осуществляется анализ и пересмотр документа, содержащего описание политики информационной безопасности, через заданные промежутки времени или при возникновении существенных изменений.

Периодичность пересмотра документа, содержащего описание политики информационной безопасности, не утверждена.

Периодичность пересмотра документа, содержащего описание политики информационной безопасности, утверждена, нет документальных свидетельств пересмотра в утвержденный срок.

Периодичность пересмотра документа, содержащего описание политики информационной безопасности, утверждена, есть документальные свидетельства пересмотра в утвержденный срок.

3.

Финансовой организацией утвержден документ, определяющий обязанности работников и руководства финансовой организации по обеспечению информационной безопасности.

Отсутствует документ, определяющий обязанности руководителей и работников по обеспечению информационной безопасности.

В наличии утвержденный документ, определяющий обязанности работников по обеспечению информационной безопасности.

В наличии утвержденный документ, определяющий обязанности руководителей и работников по обеспечению информационной безопасности.

4.

Финансовой организацией утверждено соглашение о неразглашении информации, которое подписано всеми работниками финансовой организации, имеющими доступ к конфиденциальной информации.

Отсутствует соглашение о неразглашении информации.

В наличии утвержденное соглашение о неразглашении информации, но оно не подписано всеми работниками, имеющими доступ к конфиденциальной информации.

В наличии утвержденное соглашение о неразглашении информации, которое подписано всеми работниками, имеющими доступ к конфиденциальной информации.

5.

Финансовой организацией утверждены процедуры, определяющие перечень лиц и порядок их взаимодействия с компетентными органами (например, правоохранительными органами, пожарными службами, уполномоченным органом).

Отсутствуют процедуры, определяющие взаимодействие работников с компетентными органами.

-

В наличии задокументированные и утвержденные процедуры, определяющие взаимодействие работников с компетентными органами.

6.

Финансовой организацией поддерживается взаимодействие ее работников по информационной безопасности с профессиональными группами, ассоциациями и принятие ими участия в конференциях (форумах) по информационной безопасности.

Отсутствует взаимодействие работников по информационной безопасности финансовой организации с профессиональными группами, ассоциациями и принятие участия в конференциях (форумах) по информационной безопасности.

Отсутствует утвержденный документ, определяющий порядок взаимодействия работников по информационной безопасности финансовой организации с профессиональными группами, ассоциациями и принятие участия в конференциях (форумах) по информационной безопасности, работники по информационной безопасности осуществляют взаимодействие по собственной инициативе.

В наличии утвержденный документ, определяющий порядок взаимодействия работников по информационной безопасности финансовой организации с профессиональными группами, ассоциациями и принятие участия в конференциях (форумах) по информационной безопасности, работники по информационной безопасности состоят в профессиональных группах, ассоциациях и ежегодно принимают участие в конференциях (форумах) по информационной безопасности.

7.

Финансовая организация подвергает внешнему аудиту процессы обеспечения информационной безопасности ключевых информационных систем через определенные промежутки времени.

Внешний аудит информационной безопасности ключевых информационных систем не проводился в течение последних трех лет.

В течение последних трех лет проводился внешний аудит обеспечения информационной безопасности более половины из всех ключевых информационных систем.

В течение последних трех лет проводился внешний аудит обеспечения информационной безопасности всех ключевых информационных систем.

8.

Финансовой организацией результаты внешнего аудита обеспечения информационной безопасности ключевых информационных систем используются для улучшения обеспечения информационной безопасности.

Внешний аудит информационной безопасности ключевых информационных систем не проводится.

-

По результатам последнего внешнего аудита обеспечения информационной безопасности ключевых информационных систем реализованы мероприятия по улучшению обеспечения информационной безопасности.

9.

Финансовая организация контролирует доступ третьих лиц к своим средствам обработки информации.

Доступ третьих лиц к средствам обработки информации финансовой организации не контролируется.

В наличии утвержденный документ, определяющий обеспечение информационной безопасности при предоставлении доступа третьим лицам к средствам обработки информации.

При предоставлении доступа третьим лицам к средствам обработки информации осуществляется анализ рисков информационной безопасности и разрабатываются мероприятия по снижению выявленных рисков.

10.

Финансовой организацией определены меры информационной безопасности при предоставлении клиентам доступа к информационным системам финансовой организации.

Меры информационной безопасности при предоставлении клиентам доступа к информационным системам финансовой организации не определены.

В наличии утвержденный документ, определяющий меры информационной безопасности при предоставлении клиентам доступа к информационным системам финансовой организации.

-

11.

Соглашения финансовой организации со сторонними организациями, имеющими доступ к информации или информационным активам финансовой организации, содержат требования по информационной безопасности.

Соглашения со сторонними организациями, имеющими доступ к информации или информационным активам финансовой организации, не содержат требования по информационной безопасности.

Отдельные соглашения со сторонними организациями, имеющими доступ к информации или информационным активам финансовой организации, содержат требования по информационной безопасности.

Все действующие соглашения со сторонними организациями, имеющими доступ к информации или информационным активам финансовой организации, содержат стандартизированные требования по информационной безопасности, определенные внутренним документом.

12.

Финансовой организацией утвержден документ, содержащий перечень ключевых информационных систем финансовой организации с указанием владельцев.

Отсутствует документ, содержащий перечень ключевых информационных систем финансовой организации.

-

В наличии утвержденный или актуализированный в течение последнего года документ, включающий перечень ключевых информационных систем финансовой организации с указанием владельцев.

13.

Финансовой организацией утвержден и доведен до сведения всех работников финансовой организации документ, содержащий правила использования электронной почты.

Отсутствует документ, содержащий правила использования электронной почты.

-

В наличии утвержденный документ, содержащий правила использования электронной почты, доведенный до сведения всех работников финансовой организации.

14.

Финансовой организацией утвержден и доведен до сведения всех работников финансовой организации документ, содержащий правила использования сети Интернет.

Отсутствует документ, содержащий правила использования сети Интернет.

-

В наличии утвержденный документ, содержащий правила использования сети Интернет, доведенный до сведения всех работников финансовой организации.

15.

Финансовой организацией утвержден и доведен до сведения всех работников финансовой организации документ, содержащий перечень защищаемой информации.

Отсутствует документ, содержащий перечень защищаемой информации.

-

В наличии утвержденный документ, содержащий перечень защищаемой информации, доведенный до сведения всех работников финансовой организации.

16.

Финансовой организацией утвержден и доведен до сведения всех работников финансовой организации документ, содержащий перечень персональных данных.

Отсутствует документ, содержащий перечень персональных данных.

-

В наличии утвержденный документ, содержащий перечень персональных данных, доведенный до сведения всех работников финансовой организации.

17.

Финансовой организацией утвержден и доведен до сведения всех работников финансовой организации документ, содержащий правила классификации информации с указанием перечня классов информации, принципов отнесения информации к определенному классу, определением ответственности работников по классификации информации.

Отсутствует документ, содержащий правила классификации информации.

-

В наличии утвержденный документ, содержащий правила классификации информации, доведенный до сведения всех работников финансовой организации.

18.

Финансовой организацией утвержден и доведен до сведения всех работников финансовой организации документ, содержащий правила маркировки носителей информации.

Отсутствует документ, содержащий правила маркировки носителей информации.

-

В наличии утвержденный документ, содержащий правила маркировки носителей информации, доведенный до сведения всех работников финансовой организации.

19.

Финансовой организацией утвержден документ, определяющий роли и функции подразделений или работников финансовой организации в процессах обеспечения информационной безопасности.

Отсутствует документ, определяющий роли и функции подразделений или работников финансовой организации в процессах обеспечения информационной безопасности.

В наличии утвержденный документ, определяющий функции подразделения по информационной безопасности или работника по информационной безопасности финансовой организации.

В наличии утвержденный документ, определяющий роли и функции в процессах обеспечения информационной безопасности подразделения по информационной безопасности и других подразделений или работников финансовой организации.

20.

Финансовой организацией в трудовых договорах с работниками предусмотрена ответственность работников за несоблюдение требований информационной безопасности, включая ответственность после увольнения из финансовой организации.

В трудовых договорах с работниками ответственность работников за несоблюдение требований информационной безопасности не предусмотрена.

-

В трудовых договорах с работниками предусмотрена ответственность работников за несоблюдение требований информационной безопасности.

21.

Работники финансовой организации проходят обучение или переподготовку в целях регулярного получения информации о требованиях правил и процедур по информационной безопасности в финансовой организации.

Обучение работников о требованиях правил и процедур по информационной безопасности не проводится.

Обучение работников о требованиях правил и процедур по информационной безопасности проводится нерегулярно (менее чем 1 раз в полгода за последние 3 года).

Обучение работников о требованиях правил и процедур по информационной безопасности проводится регулярно (не менее чем 1 раз в полгода за последние 3 года).

22.

Финансовой организацией утвержден документ, определяющий дисциплинарную ответственность за нарушение правил и процедур по информационной безопасности.

Отсутствует документ, определяющий дисциплинарную ответственность за нарушение правил и процедур по информационной безопасности.

В наличии утвержденный документ, в котором определена дисциплинарная ответственность за нарушение правил и процедур по информационной безопасности.

-

23.

Финансовой организацией обеспечивается контроль возврата работниками при увольнении активов финансовой организации, находящихся в их пользовании.

Процесс контроля возврата активов финансовой организации при увольнении работников отсутствует.

Процесс контроля возврата активов финансовой организации при увольнении работников осуществляется в ручном режиме.

Процесс контроля возврата активов финансовой организации при увольнении работников частично или полностью автоматизирован.

24.

Финансовой организацией обеспечивается аннулирование доступа работников к средствам обработки информации при увольнении.

Процесс аннулирования доступа работников к средствам обработки информации при увольнении отсутствует.

Процесс аннулирования доступа работников к средствам обработки информации при увольнении осуществляется в ручном режиме.

Процесс аннулирования доступа работников к средствам обработки информации при увольнении частично или полностью автоматизирован.

25.

В финансовой организации физический доступ к средствам обработки информации предоставляется только авторизованным работникам.

Процесс ограничения физического доступа к средствам обработки информации отсутствует.

Процесс ограничения физического доступа к средствам обработки информации осуществляется в ручном режиме.

Процесс ограничения физического доступа к средствам обработки информации частично или полностью автоматизирован.

26.

В финансовой организации серверное оборудование располагается в выделенных помещениях с обеспечением микроклимата, рекомендованного производителем оборудования.

Серверное оборудование располагается в рабочих кабинетах работников.

Серверное оборудование располагается в отдельных помещениях, где поддерживается микроклимат. Мониторинг микроклимата не осуществляется.

Серверное оборудование располагается в отдельных помещениях, где поддерживается микроклимат. Осуществляется мониторинг микроклимата с оповещением ответственных работников.

27.

В финансовой организации серверное оборудование обеспечивается бесперебойным, защищенным от помех питанием.

Отсутствует защита от помех и резервное питание серверного оборудования.

В наличии имеется защита от помех и резервное питание до 1-го часа для серверного оборудования.

В наличии имеется защита от помех и резервное питание более 1-го часа для серверного оборудования.

28.

Финансовой организацией осуществляется защита каналов связи, выходящих за пределы физического периметра безопасности.

Защита каналов связи не осуществляется.

Осуществляется шифрование каналов связи между стационарными офисами и устройствами финансовой организации.

Осуществляется шифрование каналов связи между стационарными офисами и устройствами финансовой организации, а также каналов связи с мобильными устройствами финансовой организации.

29.

Финансовой организацией осуществляется уничтожение информации с носителей перед повторным их использованием.

Уничтожение информации с носителей не регламентировано и не осуществляется.

Уничтожение информации с носителей регламентировано и осуществляется штатными средствами операционных систем.

Уничтожение информации с носителей регламентировано и осуществляется специализированными средствами гарантированного уничтожения информации.

30.

Финансовой организацией осуществляется контроль перемещения оборудования через границу физического периметра безопасности.

Контроль перемещения оборудования через границу физического периметра безопасности не регламентирован и не осуществляется.

Контроль перемещения оборудования через границу физического периметра безопасности регламентирован и осуществляется в ручном режиме.

Контроль перемещения оборудования через границу физического периметра безопасности регламентирован и автоматизирован частично или полностью.

31.

Финансовой организацией определены правила управления изменениями в ключевых информационных системах.

Правила управления изменениями в ключевых информационных системах не определены.

Правила управления изменениями в ключевых информационных системах определены, процесс управления изменениями осуществляется в ручном режиме.

Правила управления изменениями в ключевых информационных системах определены, процесс управления изменениями частично или полностью автоматизирован.

32.

Финансовой организацией используются раздельные среды для разработки, тестирования и промышленной эксплуатации ключевых информационных систем.

Среды разработки, тестирования и промышленной эксплуатации ключевых информационных систем не разделены.

Разделены среды тестирования и промышленной эксплуатации ключевых информационных систем.

Разделены среды разработки, тестирования и промышленной эксплуатации ключевых информационных систем.

33.

В финансовой организации работники, осуществляющие разработку изменений для ключевых информационных систем, не осуществляют их внедрение в промышленную среду.

Работники совмещают обязанности по разработке и внедрению изменений в ключевые информационные системы.

Обязанности по разработке и внедрению изменений в ключевые информационные системы разделены между работниками, доступ разработчиков к промышленной среде не ограничен.

Обязанности по разработке и внедрению изменений в ключевые информационные системы разделены между работниками, доступ разработчиков к промышленной среде закрыт.

34.

Финансовой организацией осуществляется установка и регулярное обновление программного обеспечения, выявляющего вредоносный программный код, а также проверка компьютеров и носителей информации на наличие вредоносного программного кода.

Выявляющее вредоносный программный код программное обеспечение не установлено на всех компьютерах.

Выявляющее вредоносный программный код программное обеспечение установлено на всех компьютерах, не осуществляется регулярное обновление или сканирование на наличие вредоносного программного кода компьютеров и носителей информации.

Выявляющее вредоносный программный код программное обеспечение установлено на всех компьютерах, осуществляется регулярное обновление и сканирование на наличие вредоносного программного кода компьютеров и носителей информации.

35.

Финансовой организацией регламентированы и осуществляются процессы по созданию, проверке и тестированию на регулярной основе резервных копий информации и программного обеспечения ключевых информационных систем.

Резервные копии информации и программного обеспечения ключевых информационных систем не создаются.

Создание резервных копий информации и программного обеспечения ключевых информационных систем регламентировано и осуществляется в соответствии с утвержденным регламентом. Тестирование резервных копий не осуществляется.

Создание и тестирование резервных копий информации и программного обеспечения ключевых информационных систем регламентировано и осуществляется в соответствии с утвержденным регламентом.

36.

Финансовой организацией осуществляется ведение и хранение журналов аудита ключевых информационных систем, регистрирующих действия пользователей, нештатные ситуации и события информационной безопасности, для использования в будущих расследованиях и проведении мониторинга контроля доступа.

Ведение журналов аудита ключевых информационных систем не регламентировано, журналы аудита ведутся с настройками "по умолчанию" или не ведутся.

-

Ведение, настройки и хранение журналов аудита ключевых информационных систем описаны во внутренних утвержденных документах, журналы аудита настроены, ведутся и хранятся в соответствии с утвержденными документами.

37.

Финансовой организацией обеспечивается регистрация и регулярный анализ действий привилегированных пользователей в ключевых информационных системах.

Действия привилегированных пользователей в ключевых информационных системах не регистрируются.

Действия привилегированных пользователей в ключевых информационных системах регистрируются, но не анализируются на периодической основе.

Действия привилегированных пользователей в ключевых информационных системах регистрируются и анализируются на периодической основе.

38.

Финансовой организацией синхронизируется с помощью единого источника точного времени системное время ключевых информационных систем.

Системное время ключевых информационных систем в пределах финансовой организации не синхронизируется.

-

Системное время ключевых информационных систем в пределах финансовой организации синхронизируется с помощью единого источника точного времени.

39.

В финансовой организации доступ пользователей в ключевые информационные системы осуществляется по уникальным персональным идентификаторам.

Для доступа в одну или более ключевые информационные системы не требуется уникального персонального идентификатора.

-

Доступ во все ключевые информационные системы осуществляется по уникальным персональным идентификаторам.

40.

Финансовой организацией используется функционал разграничения уровней доступа пользователей в ключевых информационных системах.

Разграничение уровней доступа пользователей используется не во всех ключевых информационных системах.

-

Разграничение уровней доступа пользователей используется во всех ключевых информационных системах.

41.

Финансовой организацией утвержден и доведен до сведения всех работников финансовой организации документ, содержащий правила управления паролями пользователей в ключевых информационных системах.

Отсутствует документ, содержащий правила управления паролями пользователей в ключевых информационных системах.

-

В наличии утвержденный документ, содержащий правила управления паролями пользователей в ключевых информационных системах, доведенный до всех работников финансовой организации.

42.

Финансовой организацией утвержден и доведен до сведения всех работников финансовой организации документ, содержащий правила периодического пересмотра действующих прав доступа пользователей в ключевые информационные системы.

Отсутствует документ, содержащий правила периодического пересмотра действующих прав доступа пользователей в ключевых информационных системах.

-

В наличии утвержденный документ, содержащий правила периодического пересмотра действующих прав доступа пользователей в ключевых информационных системах.

43.

Финансовой организацией используется двух- или многофакторная аутентификация для подключения пользователей извне физического периметра безопасности.

Для подключения пользователей извне физического периметра безопасности используется один фактор для аутентификации.

-

Для подключения пользователей извне физического периметра безопасности используется двух- или многофакторная аутентификация.

44.

Информационная сеть финансовой организации разграничена на группы (VLAN).

Разграничение информационной сети финансовой организации на группы не предусмотрено.

Информационная сеть финансовой организации разграничена на группы по функциональному признаку средств обработки информации.

Информационная сеть финансовой организации разграничена на группы на основе классификации обрабатываемой информации.

45.

Финансовой организацией используется функционал автоматизированного управления паролями в ключевых информационных системах.

Функционал автоматизированного управления паролями в ключевых информационных системах не используется.

В ключевых информационных системах используется функционал самостоятельной смены паролей пользователями, контроля периодической смены пароля.

В ключевых информационных системах используется функционал самостоятельной смены паролей пользователями, контроля периодической смены пароля, контроля сложности пароля, контроля повторения предыдущих паролей.

46.

Финансовой организацией утвержден и доведен до сведения всех работников финансовой организации документ, содержащий правила работы в дистанционном режиме.

Отсутствует документ, содержащий правила работы в дистанционном режиме.

-

В наличии утвержденный документ, содержащий правила работы в дистанционном режиме, доведенный до сведения всех работников финансовой организации.

47.

Финансовой организацией утвержден и доведен до сведения всех работников финансовой организации документ, содержащий правила использования средств криптографической защиты информации.

Отсутствует документ, содержащий правила использования средств криптографической защиты информации.

-

В наличии утвержденный документ, содержащий правила использования средств криптографической защиты информации, доведенный до сведения всех работников финансовой организации, имеющих доступ к средствам криптографической защиты информации.

48.

Финансовой организацией утвержден и доведен до сведения всех работников финансовой организации документ, содержащий правила управления криптографическими ключами.

Отсутствует документ, содержащий правила управления криптографическими ключами.

-

В наличии утвержденный документ, содержащий правила управления криптографическими ключами.

49.

Финансовой организацией обеспечивается контроль доступа к исходным кодам ключевых информационных систем.

Доступ к исходным кодам ключевых информационных систем не ограничен.

Доступ к исходным кодам ключевых информационных систем предоставлен только разработчикам.

Доступ к исходным кодам ключевых информационных систем предоставлен только разработчикам, информация обо всех изменениях в исходных кодах автоматически записывается в журнал.

50.

Финансовой организацией осуществляется анализ информации о технических уязвимостях ключевых информационных систем, оценка опасности таких уязвимостей и принятие мер по их устранению.

Анализ информации о технических уязвимостях ключевых информационных систем не осуществляется.

-

Осуществляется периодический анализ информации о технических уязвимостях ключевых информационных систем, оценка опасности таких уязвимостей и принимаются меры по их устранению.

51.

Работники финансовой организации оповещены о необходимости незамедлительного уведомления о любых замеченных или предполагаемых нарушениях информационной безопасности.

Отсутствует процесс оповещения работников о необходимости уведомлять о нарушениях информационной безопасности.

Работники периодически оповещаются о необходимости уведомлять о нарушениях информационной безопасности.

Работники периодически оповещаются о необходимости уведомлять о нарушениях информационной безопасности, проводятся периодические проверки действий работников при обнаружении нарушений информационной безопасности.

52.

Финансовой организацией утвержден документ, содержащий процедуры реагирования на инциденты информационной безопасности.

Отсутствует документ, содержащий процедуры реагирования на инциденты информационной безопасности.

-

В наличии утвержденный документ, содержащий процедуры реагирования на инциденты информационной безопасности.

53.

Финансовой организацией ведется регистрация инцидентов информационной безопасности и их последующий анализ.

Регистрация инцидентов информационной безопасности не ведется.

Ведется регистрация инцидентов информационной безопасности, анализ в течение прошедшего года не осуществлялся.

Ведется регистрация инцидентов информационной безопасности, результаты анализа за прошедший год зафиксированы документально.

54.

Финансовой организацией обеспечивается регулярное тестирование на проникновение информационной инфраструктуры.

Тестирование на проникновение информационной инфраструктуры финансовой организации не осуществляется.

Тестирование на проникновение информационной инфраструктуры финансовой организации осуществляется менее одного раза в год.

Тестирование на проникновение информационной инфраструктуры финансовой организации осуществляется не менее одного раза в год.

55.

Финансовой организацией регулярно осуществляется анализ на уязвимости исходных кодов ключевых информационных системы при наличии доступа к таким исходным кодам.

Анализ исходных кодов ключевых информационных систем на уязвимости не осуществляется.

Анализ исходных кодов ключевых информационных систем на уязвимости осуществляется выборочно, не по каждому изменению в промышленной среде.

Анализ исходных кодов ключевых информационных систем на уязвимости осуществляется перед каждым изменением в промышленной среде.


Ақпараттық қауіпсіздік қатерлерінен қорғалу деңгейін бағалау қағидаларын бекіту туралы

Қазақстан Республикасы Қаржы нарығын реттеу және дамыту агенттігі Басқармасының 2020 жылғы 23 қарашадағы № 110 қаулысы. Қазақстан Республикасының Әділет министрлігінде 2020 жылғы 27 қарашада № 21685 болып тіркелді.

      ЗҚАИ-ның ескертпесі!
      Осы қаулы 01.01.2021 бастап қолданысқа енгізіледі

      "Қаржы нарығы мен қаржы ұйымдарын мемлекеттік реттеу, бақылау және қадағалау туралы" 2003 жылғы 4 шілдедегі Қазақстан Республикасының Заңының 13-6-бабы бірінші бөлігінің 1) тармақшасына сәйкес Қазақстан Республикасы Қаржы нарығын реттеу және дамыту агенттігінің Басқармасы ҚАУЛЫ ЕТЕДІ:

      1. Қоса беріліп отырған Ақпараттық қауіпсіздік қатерлерінен қорғалу деңгейін бағалау қағидалары бекітілсін.

      2. Киберқауіпсіздік басқармасы Қазақстан Республикасының заңнамасында белгіленген тәртіппен:

      1) Заң департаментімен бірлесіп осы қаулыны Қазақстан Республикасының Әділет министрлігінде мемлекеттік тіркеуді;

      2) осы қаулыны ресми жарияланғаннан кейін Қазақстан Республикасы Қаржы нарығын реттеу және дамыту агенттігінің ресми интернет-ресурсына орналастыруды;

      3) осы қаулы мемлекеттік тіркелгеннен кейін он жұмыс күні ішінде Заң департаментіне осы тармақтың 2) тармақшасында көзделген іс-шараның орындалуы туралы мәліметтерді ұсынуды қамтамасыз етсін.

      3. Осы қаулының орындалуын бақылау Қазақстан Республикасының Қаржы нарығын реттеу және дамыту агенттігі Төрағасының жетекшілік ететін орынбасарына жүктелсін.

      4. Осы қаулы 2021 жылғы 1 қаңтардан бастап қолданысқа енгізіледі және ресми жариялануға тиіс.

      Қазақстан Республикасының
Қаржы нарығын реттеу және
дамыту Агенттігінің Төрағасы
М. Абылкасымова

  Қазақстан Республикасының
Қаржы нарығын реттеу және
дамыту Агенттігінің
Басқармасының
2020 жылғы 23 қарашасы
№ 110 Қаулымен
бекітілді

Ақпараттық қауіпсіздік қатерлерінен қорғалу деңгейін бағалау қағидалары

1-тарау. Жалпы ережелер

      1. Осы Ақпараттық қауіпсіздік қатерлерінен қорғалу деңгейін бағалау қағидалары (бұдан әрі - Қағидалар) "Қаржы нарығы мен қаржы ұйымдарын мемлекеттік реттеу, бақылау және қадағалау туралы" 2003 жылғы 4 шілдедегі Қазақстан Республикасының Заңына сәйкес әзірленді және қаржы ұйымдарының және Қазақстан Республикасының бейрезидент-банктері филиалдарының, Қазақстан Республикасының бейрезидент-сақтандыру (қайта сақтандыру) ұйымдары филиалдарының, Қазақстан Республикасының бейрезидент-сақтандыру брокерлері филиалдарының (бұдан әрі – қаржы ұйымдары) ақпараттық қауіпсіздік қатерлерінен қорғалу деңгейін бағалау тәртібін айқындайды.

      2. Қағидаларда мынадай ұғымдар пайдаланылады:

      1) қаржы ұйымының негізгі ақпараттық жүйелері – қаржы ұйымы қызметінің негізгі бағыттарын іске асыратын бизнес – процестердің жұмыс істеуі үшін қажетті қаржы ұйымының ақпараттық жүйелері;

      2) уәкілетті орган – қаржы нарығы мен қаржы ұйымдарын мемлекеттік реттеуді, бақылауды және қадағалауды жүзеге асыратын мемлекеттік орган.

2-тарау. Ақпараттық қауіпсіздік қатерлерінен қорғалу деңгейін бағалау тәртібі

      3. Ақпараттық қауіпсіздік қатерлерінен қорғалу деңгейін бағалауды қаржы ұйымдары уәкілетті органның сұрау салуы бойынша жүзеге асырады.

      4. Ақпараттық қауіпсіздік қатерлерінен қорғалу деңгейін бағалауды Қағидалардың қосымшасына сәйкес ақпараттық қауіпсіздік қатерлерінен қорғалу деңгейін бағалау өлшемдеріне сәйкес қаржы ұйымы жүзеге асырады.

      Қағидаларға қосымшаның 2-бағанында көрсетілген әрбір өлшем бойынша қаржы ұйымы Қағидаларға қосымшаның 3, 4, 5-бағандарында көрсетілген қорғалу деңгейлерінің бірін айқындайды.

      5. Ақпараттық қауіпсіздік қатерлерінен қорғалу деңгейін бағалауды қаржы ұйымы Қағидаларға қосымшаның 2-бағанында санамаланған ақпараттық қауіпсіздік қатерлерінен қорғалу деңгейін бағалау параметрлерін, қорғалу деңгейін және олардың орындалуының қысқаша сипаттамасын көрсете отырып, кесте түрінде ресімдейді.

      6. Ақпараттық қауіпсіздік қатерлерінен қорғалу деңгейін бағалау нәтижесін қаржы ұйымының басшысы бекітеді және қаржы ұйымы осындай бағалауды жүргізуге уәкілетті органның сұрау салуы алынған күннен бастап үш айдан аспайтын мерзімде уәкілетті органға ілеспе хатпен ұсынады.

      7. Қаржы ұйымы ақпараттық қауіпсіздік қатерлерінен қорғалу деңгейін бағалау нәтижелеріне Қағидаларға қосымшаға сәйкес 2 және 3 қорғалу деңгейлерін растайтын құжаттарды қоса береді.

      8. Уәкілетті орган қаржы ұйымы ұсынған ақпараттық қауіпсіздік қатерлерінен қорғалу деңгейін бағалау нәтижелерінің қоса берілген құжаттарға сәйкестігін тексереді және Қағидаларға қосымшаға сәйкес ақпараттық қауіпсіздік қатерлерінен қорғалу деңгейін бағалау өлшемдерінің әрқайсысы бойынша қаржы ұйымы қорғалуының қорытынды деңгейін айқындайды.

      9. Қаржы ұйымының ақпараттық қауіпсіздік қатерлерінен қорғалу деңгейін бағалаудың қорытынды нәтижелерін уәкілетті орган қаржы ұйымының назарына жеткізеді.

  Ақпараттық қауіпсіздік
қатерлерінен қорғалу деңгейін
бағалау қағидаларына
қосымша

Ақпараттық қауіпсіздік қатерлерінен қорғалу деңгейін бағалау өлшемдері

Ақпараттық қауіпсіздік қатерлерінен қорғалу деңгейін бағалау өлшемі

Қорғалу деңгейі 1

Қорғалу деңгейі 2

Қорғалу деңгейі 3

1

2

3

4

5

1.

Қаржы ұйымы ақпараттық қауіпсіздік саясатының
сипаттамасын қамтитын құжатты бекіткен және қаржы ұйымының, сондай-ақ сыртқы ұйымдардың барлық қызметкерлеріне назарына жеткізген.

Ақпараттық қауіпсіздік саясатының сипаттамасы бар құжат жоқ.

Ақпараттық қауіпсіздік саясатының сипаттамасын қамтитын бекітілген құжат бар.

Ақпараттық қауіпсіздік саясатының сипаттамасын қамтитын және барлық қызметкерлердің, сондай-ақ сыртқы ұйымдардың назарына жеткізілген, бекітілген құжат бар.

2.

Қаржы ұйымы ақпараттық қауіпсіздік саясатының сипаттамасын қамтитын құжатты талдауды және қайта қарауды берілген уақыт аралығынан кейін немесе елеулі өзгерістер туындаған кезде жүзеге асырады.

Ақпараттық қауіпсіздік саясатының сипаттамасы бар құжатты қайта қарау кезеңділігі бекітілмеген.

Ақпараттық қауіпсіздік саясатының сипатын қамтитын құжатты қайта қарау кезеңділігі бекітілген, бекітілген мерзімде құжаттамалық қайта қарау куәліктері жоқ.

Ақпараттық қауіпсіздік саясатының сипатын қамтитын құжатты қайта қарау кезеңділігі бекітілген, бекітілген мерзімде құжаттамалық қайта қарау куәліктері бар.

3.

Қаржы ұйымы қызметкерлерінің және қаржы ұйымы басшылығының ақпараттық қауіпсіздікті қамтамасыз ету жөніндегі міндеттерін айқындаған.

Басшылар мен қызметкерлердің ақпараттық қауіпсіздікті қамтамасыз ету жөніндегі міндеттерін айқындайтын құжат жоқ.

Қызметкерлердің ақпараттық қауіпсіздікті қамтамасыз ету жөніндегі міндеттерін айқындайтын бекітілген құжат бар.

Басшылар мен қызметкерлердің ақпараттық қауіпсіздікті қамтамасыз ету жөніндегі міндеттерін айқындайтын бекітілген құжат бар.

4.

Қаржы ұйымы құпия ақпаратқа қол жеткізе алатын қаржы ұйымының барлық қызметкерлері қол қойған ақпаратты жария етпеу туралы келісімді айқындаған.

Ақпаратты жария етпеу туралы келісім жоқ.

Ақпаратты жария етпеу туралы бекітілген келісім бар, бірақ оған конфиденциалды ақпаратқа рұқсаты бар барлық қызметкерлер қол қоймаған.

Конфиденциалды ақпаратқа рұқсаты бар барлық қызметкерлер қол қойған ақпаратты жария етпеу туралы бекітілген келісім бар.

5.

Қаржы ұйымы адамдардың тізбесін және олардың құзыретті органдармен (мысалы, құқық қорғау органдары, өрт қызметтері, уәкілетті орган) өзара іс-қимыл тәртібін айқындайтын рәсімдерді айқындаған.

Қызметкерлердің құзыретті органдармен өзара іс-қимылын айқындайтын рәсімдер жоқ.

-

Қызметкерлердің құзыретті органдармен өзара іс-қимылын айқындайтын құжатталған және бекітілген рәсімдер бар.

6.

Қаржы ұйымының ақпараттық қауіпсіздік жөніндегі қызметкерлерінің кәсіби топтармен, қауымдастықтармен өзара іс-қимылы және ақпараттық қауіпсіздік бойынша конференцияларға (форумдарға) қатысуы қолдау табады.

Қаржы ұйымының ақпараттық қауіпсіздік жөніндегі қызметкерлерінің кәсіби топтармен, қауымдастықтармен өзара іс-қимылы және ақпараттық қауіпсіздік бойынша конференцияларға (форумдарға) қатысуы жоқ.

Қаржы ұйымының ақпараттық қауіпсіздік жөніндегі қызметкерлерінің кәсіби топтармен, қауымдастықтармен өзара іс-қимыл тәртібін және ақпараттық қауіпсіздік жөніндегі конференцияларға (форумдарға) қатысуды айқындайтын бекітілген құжат жоқ, Ақпараттық қауіпсіздік жөніндегі қызметкерлер өзара іс-қимылды өз бастамасы бойынша жүзеге асырады.

Қаржы ұйымының ақпараттық қауіпсіздік жөніндегі қызметкерлерінің кәсіби топтармен, қауымдастықтармен өзара іс-қимыл жасау және ақпараттық қауіпсіздік жөніндегі конференцияларға (форумдарға) қатысу тәртібін айқындайтын бекітілген құжат бар, ақпараттық қауіпсіздік жөніндегі қызметкерлер кәсіби топтарда, қауымдастықтарда тұрады және жыл сайын ақпараттық қауіпсіздік жөніндегі конференцияларға (форумдарға) қатысады.

7.

Қаржы ұйымы белгілі бір уақыт аралығында негізгі ақпараттық жүйелердің ақпараттық қауіпсіздігін қамтамасыз ету процестерін сыртқы аудитке шығарады.

Соңғы үш жылдың ішінде барлық негізгі ақпараттық жүйелердің ақпараттық қауіпсіздігіне сыртқы аудит жүргізілген жоқ.

Соңғы үш жылдың ішінде барлық негізгі ақпараттық жүйелердің жартысынан астамында ақпараттық қауіпсіздікті қамтамасыз етуге сыртқы аудит жүргізілді.

Соңғы үш жылдың ішінде барлық негізгі ақпараттық жүйелерде ақпараттық қауіпсіздікті қамтамасыз етуге сыртқы аудит жүргізілді.

8.

Қаржы ұйымы негізгі ақпараттық жүйелердің ақпараттық қауіпсіздігін қамтамасыз етудің сыртқы аудитінің нәтижелерін ақпараттық қауіпсіздікті қамтамасыз етуді жақсарту үшін пайдаланады.

Негізгі ақпараттық жүйелердің ақпараттық қауіпсіздігінің сыртқы аудиті жүргізілмейді.

-

Негізгі ақпараттық жүйелердің ақпараттық қауіпсіздіктіқамтамасыз етудің соңғы сыртқы аудитінің нәтижелері бойынша ақпараттық қауіпсіздікті қамтамасыз етуді жақсарту жөніндегі іс-шаралар іске асырылды.

9.

Қаржы ұйымы үшінші тұлғалардың өзінің ақпаратты өңдеу құралдарына қол жеткізуін бақылайды.

Қаржы ұйымының ақпаратты өңдеу құралдарына үшінші тараптардың қол жеткізуі бақыланбайды.

Үшінші тұлғаларға ақпаратты өңдеу құралдарына рұқсат беру кезінде ақпараттық қауіпсіздікті қамтамасыз етуді айқындайтын бекітілген құжат бар

Үшінші тараптарға қолжетімділік берілген кезде ақпараттық қауіпсіздік тәуекелдерін талдау жүзеге асырылады және анықталған тәуекелдерді төмендету бойынша іс-шаралар әзірленеді.

10.

Қаржы ұйымы клиенттерге қаржы ұйымының ақпараттық жүйелеріне қол жеткізуді ұсыну кезіндегі ақпараттық қауіпсіздік шараларын айқындаған.

Клиенттерге қаржы ұйымының ақпараттық жүйелеріне қол жеткізуді ұсыну кезіндегі ақпараттық қауіпсіздік шаралары айқындалмаған.

Клиенттерге қаржы ұйымының ақпараттық жүйелеріне қол жеткізуді ұсыну кезіндегі ақпараттық қауіпсіздік шараларын айқындайтын бекітілген құжат бар.

-

11.

Қаржы ұйымының ақпаратқа немесе қаржы ұйымының ақпараттық активтеріне қолжетімділігі бар сыртқы ұйымдармен жасасқан келісімдерінде ақпараттық қауіпсіздік жөніндегі талаптар қамтылады.

Ақпаратқа немесе қаржы ұйымының ақпараттық активтеріне қол жеткізе алатын сыртқы ұйымдармен жасалған келісімдерде ақпараттық қауіпсіздік жөніндегі талаптар қамтылмайды.

Қаржы ұйымының ақпаратына немесе ақпараттық активтеріне қол жеткізе алатын сыртқы ұйымдармен жасалған жекелеген келісімдерде ақпараттық қауіпсіздік жөніндегі талаптар қамтылады.

Қаржы ұйымының ақпаратына немесе ақпараттық активтеріне қол жеткізе алатын сыртқы ұйымдармен жасалған барлық қолданыстағы келісімдерде ішкі құжатпен айқындалған ақпараттық қауіпсіздік стандартталған талаптары қамтылған.

12.

Қаржы ұйымы иелерін көрсете отырып, қаржы ұйымының негізгі ақпараттық жүйелерінің тізбесін қамтитын құжатты бекіткен.

Қаржы ұйымының негізгі ақпараттық жүйелерінің тізбесі көрсетілген құжат жоқ.

-

Иелерін көрсете отырып, қаржы ұйымының негізгі ақпараттық жүйелерінің тізбесін қамтитын соңғы жыл ішінде бекітілген немесе өзектендірілген құжат бар.

13.

Қаржы ұйымы электрондық поштаны пайдалану қағидаларын қамтитын құжатты бекіткен және қаржы ұйымының барлық қызметкерлерінің назарына жеткізген.

Электрондық поштаны пайдалану қағидалары бар құжат жоқ.

-

Қаржы ұйымының барлық қызметкерлерінің назарына жеткізілген, электрондық поштаны пайдалану қағидаларын қамтитын бекітілген құжат бар.

14.

Қаржы ұйымы интернет желісін пайдалану қағидаларын қамтитын құжатты бекіткен және қаржы ұйымының барлық қызметкерлерінің назарына жеткізген.

Интернет желісін пайдалану ережелерін қамтитын құжат жоқ.

-

Интернет желісін пайдалану қағидаларын қамтитын, қаржы ұйымының барлық қызметкерлерінің назарына жеткізілген, бекітілген құжат бар.

15.

Қаржы ұйымы қорғалатын ақпараттың тізбесін қамтитын құжатты бекіткен және қаржы ұйымының барлық қызметкерлерінің назарына жеткізген.

Қорғалатын ақпараттың тізбесін қамтитын құжат жоқ.

-

Қаржы ұйымының барлық қызметкерлерінің назарына жеткізілген, қорғалатын ақпараттың тізбесін қамтитын бекітілген құжат бар.

16.

Қаржы ұйымы дербес деректер тізбесін қамтитын құжатты бекіткен және қаржы ұйымының барлық қызметкерлерінің назарына жеткізген.

Дербес деректер тізбесі бар құжат жоқ.

-

Қаржы ұйымының барлық қызметкерлерінің назарына жеткізілген, дербес деректердің тізбесін қамтитын бекітілген құжат бар.

17.

Қаржы ұйымы ақпарат сыныптарының тізбесін, ақпаратты белгілі бір сыныпқа жатқызу қағидаттарын, ақпаратты сыныптау бойынша қызметкерлердің жауапкершілігін айқындауды көрсете отырып, ақпаратты сыныптау қағидаларын қамтитын құжатты бекіткен және қаржы ұйымының барлық қызметкерлерінің назарына жеткізген.

Ақпаратты жіктеу қағидалары бар құжат жоқ.

-

Қаржы ұйымының барлық қызметкерлерінің назарына жеткізілген, ақпаратты жіктеу қағидаларын қамтитын бекітілген құжат бар.

18.

Қаржы ұйымы ақпарат тасымалдағыштарды таңбалау қағидаларын қамтитын құжатты бекіткен және қаржы ұйымының барлық қызметкерлерінің назарына жеткізген.

Ақпарат тасымалдағыштарды таңбалау қағидаларын қамтитын құжат жоқ.

-

Қаржы ұйымының барлық қызметкерлерінің назарына жеткізілген, ақпарат жеткізгіштерді таңбалау қағидаларын қамтитын бекітілген құжат бар.

19.

Қаржы ұйымы ақпараттық қауіпсіздікті қамтамасыз ету процестеріндегі қаржы ұйымы бөлімшелерінің немесе қызметкерлерінің рөлі мен функцияларын айқындаған.

Ақпараттық қауіпсіздікті қамтамасыз ету процестеріндегі қаржы ұйымы бөлімшелерінің немесе қызметкерлерінің рөлі мен функцияларын айқындайтын құжат жоқ.

Қаржы ұйымының ақпараттық қауіпсіздік бөлімшесінің немесе ақпараттық қауіпсіздік қызметкерінің функцияларын айқындайтын бекітілген құжат бар.

Қаржы ұйымының ақпараттық қауіпсіздік бөлімшесінің және басқа бөлімшелерінің немесе қызметкерлерінің ақпараттық қауіпсіздікті қамтамасыз ету процестерінде рөлдері мен функцияларын айқындайтын бекітілген құжат бар.

20.

Қаржы ұйымы қызметкерлермен еңбек шарттарында қызметкерлердің ақпараттық қауіпсіздік талаптарын сақтамағаны үшін жауапкершілігін, оның ішінде қаржы ұйымынан шығарылғаннан кейінгі жауапкершілікті көздейді.

Қызметкерлермен еңбек шарттарында қызметкерлердің ақпараттық қауіпсіздік талаптарын сақтамағаны үшін жауапкершілігі көзделмеген.

-

Қызметкерлермен еңбек шарттарында ақпараттық қауіпсіздік талаптарын сақтамағаны үшін қызметкерлердің жауапкершілігі
көзделген.

21.

Қаржы ұйымының қызметкерлері қаржы ұйымында ақпараттық қауіпсіздік жөніндегі қағидалар мен рәсімдердің талаптары туралы тұрақты ақпарат алу мақсатында оқудан немесе қайта даярлаудан өтеді.

Ақпараттық қауіпсіздік қағидалары мен рәсімдерінің талаптары туралы қызметкерлермен оқу жүргізілмейді.

Ақпараттық қауіпсіздік қағидалары мен рәсімдерінің талаптары туралы қызметкерлермен оқу тұрақты түрде жүргізілмейді (соңғы 3 жылда жарты жылда кемінде 1 рет).

Ақпараттық қауіпсіздік қағидалары мен рәсімдерінің талаптары туралы қызметкерлермен оқу тұрақты түрде жүргізіледі (соңғы 3 жылда жарты жылда 1 реттен кем емес).

22.

Қаржы ұйымы ақпараттық қауіпсіздік жөніндегі қағидалар мен рәсімдерді бұзғаны үшін тәртіптік жауапкершілікті белгілеген.

Ақпараттық қауіпсіздік қағидалары мен рәсімдерін бұзғаны үшін тәртіптік жауапкершілікті айқындайтын құжат жоқ.

Ақпараттық қауіпсіздік жөніндегі қағидалар мен рәсімдерді бұзғаны үшін тәртіптік жауапкершілік айқындалған бекітілген құжат бар.

-

23.

Қаржы ұйымы қызметкерлерді жұмыстан шығарған кезде олар пайдаланған активтердің қайтарылуын бақылауды қамтамасыз етеді.

Қызметкерлер жұмыстан босатылған кезде қаржы ұйымының активтерін қайтаруды бақылау процесі жоқ.

Қызметкерлер жұмыстан босатылған кезде қаржы ұйымының активтерін қайтаруды бақылау процесі қол режимінде жүзеге асырылады.

Қызметкерлер жұмыстан босатылған кезде қаржы ұйымының активтерін қайтаруды бақылау процесі ішінара немесе толық автоматтандырылған.

24.

Қаржы ұйымы жұмыстан босатылған кезде қызметкерлердің ақпаратты өңдеу құралдарына қол жеткізуінің күшін жоюды қамтамасыз етеді.

Қызметкерлер жұмыстан босатылған кезде ақпаратты өңдеу құралдарына берілген рұқсаттың күшін жою процесі жоқ.

Қызметкерлер жұмыстан босатылған кезде ақпаратты өңдеу құралдарына берілген рұқсаттың күшін жою процесі қол режимінде жүзеге асырылады.

Қызметкерлер жұмыстан босатылған кезде ақпаратты өңдеу құралдарына берілген рұқсаттың күшін жою процесі ішінара немесе толық автоматтандырылған.

25.

Қаржы ұйымында ақпаратты өңдеу құралдарына жеке қол жетімділік тек уәкілетті қызметкерлерге беріледі.

Ақпаратты өңдеу құралдарына нақты қол жеткізуді шектеу процесі жоқ.

Ақпаратты өңдеу құралдарына нақты қол жеткізуді шектеу процесі қолмен жасау режимінде жүзеге асырылады.

Ақпаратты өңдеу құралдарына нақты қол жеткізуді шектеу процесі ішінара немесе толық автоматтандырылған.

26.

Қаржы ұйымында серверлік жабдық жабдықты өндіруші ұсынған микроклиматты қамтамасыз ете отырып, бөлінген үй-жайларда орналасады.

Серверлік жабдық қызметкерлер жұмыс істейтін кабинеттерде орналастырылады.

Серверлік жабдық микроклимат сақталатын бөлек бөлмелерде орналастырылады. Микроклимат мониторингі жүргізілмейді.

Серверлік жабдық микроклимат сақталатын жеке үй-жайларда орналасады. Жауапты қызметкерлерді хабардар ете отырып, микроклиматты мониторингтеу жүзеге асырылады.

27.

Қаржы ұйымында серверлік жабдық кедергілерден қорғалған үздіксіз қорек көзімен қамтамасыз етіледі.

Кедергілерден қорғаныс және серверлік жабдықтың резервтік қорек көзі жоқ.

Сервер жабдығы үшін кедергіден және резервтік қоректен 1 сағатқа дейін қорғау бар.

Сервер жабдығы үшін кедергіден және резервтік қоректен 1 сағаттан артық қорғау бар.

28.

Қаржы ұйымы қауіпсіздіктің нақты аясы шеңберінен шығатын байланыс арналарын қорғауды жүзеге асырады.

Байланыс арналарын қорғау жүзеге асырылмайды.

Қаржы ұйымының стационарлық офистері мен құрылғылары арасындағы байланыс арналарын шифрлау жүзеге асырылады.

Қаржы ұйымының стационарлық кеңселері мен құрылғылары арасындағы байланыс арналарын, сондай-ақ қаржы ұйымының мобильдік құрылғыларымен байланыс арналарын шифрлау жүзеге асырылады.

29.

Қаржы ұйымы оларды қайталап пайдаланар алдында тасымалдағыштардан алынған ақпаратты жоюды жүзеге асырады.

Тасымалдағыштардан ақпаратты жою регламенттелмеген және жүргізілмейді.

Тасымалдағыштардан ақпаратты жою регламенттелген және операциялық жүйелердің штаттық құралдарымен жүргізіледі.

Тасымалдағыштарда ақпаратты жою регламенттелген және ақпаратты арнайы кепілдендірілген жою құралдарымен жүргізіледі.

30.

Қаржы ұйымы жабдықтың қауіпсіздіктің нақты аясының шекарасы арқылы өтуін бақылауды жүзеге асырады.

Жабдықтың қауіпсіздіктің нақты периметрінің шекарасы арқылы өтуін бақылау регламенттелмеген және жүргізілмейді.

Жабдықтың қауіпсіздіктің нақты периметрінің шекарасы арқылы өтуін бақылау регламенттелген және қолмен жүргізу режимінде жүзеге асырылады.

Жабдықтың қауіпсіздіктің нақты периметрінің шекарасы арқылы өтуін бақылау регламенттелген және ішінара немесе толық автоматтандырылған.

31.

Қаржы ұйымы негізгі ақпараттық жүйелердегі өзгерістерді басқару қағидаларын айқындаған.

Негізгі ақпараттық жүйелердегі өзгерістерді басқару қағидалары анықталмаған.

Негізгі ақпараттық жүйелердегі өзгерістерді басқару қағидалары анықталған, өзгерістерді басқару процесі қолмен жүргізу режимінде жүзеге асырылады.

Негізгі ақпараттық жүйелердегі өзгерістерді басқару қағидалары анықталған, өзгерістерді басқару процесі ішінара немесе толық автоматтандырылған.

32.

Қаржы ұйымы негізгі ақпараттық жүйелерді әзірлеу, тестілеу және өнеркәсіптік пайдалану үшін бөлек орталарды қолданады.

Негізгі ақпараттық жүйелерді әзірлеу, тестілеу және өнеркәсіптік пайдалану орталары бөлінбеген.

Негізгі ақпараттық жүйелерді тестілеу және өнеркәсіптік пайдалану орталары бөлінген.

Негізгі ақпараттық жүйелерді әзірлеу, тестілеу және өнеркәсіптік пайдалану орталары бөлінген.

33.

Қаржы ұйымында негізгі ақпараттық жүйелер үшін өзгерістер әзірлейтін қызметкерлер оларды өнеркәсіптік ортаға енгізуді жүзеге асырмайды.

Қызметкерлер негізгі ақпараттық жүйелерге өзгерістерді әзірлеу және енгізу бойынша міндеттерді қоса атқарады.

Өзгерістерді әзірлеу және негізгі ақпараттық жүйелерге енгізу бойынша міндеттер қызметкерлер арасында бөлінген, өнеркәсіптік ортаға әзірлеушілердің кіруі шектелмеген.

Негізгі ақпараттық жүйелерге өзгерістерді әзірлеу және енгізу бойынша міндеттер қызметкерлер арасында бөлінген, әзірлеушілердің өнеркәсіптік ортаға кіруі шектелген.

34.

Қаржы ұйымы бағдарламалық қамтамасыз етуді орнату және зиянды бағдарламалық кодты анықтаған бағдарламалық қамтамасыз етуді үнемі жаңарту, сондай-ақ компьютерлер мен ақпарат тасымалдағыштарында зиянды бағдарламалық кодтың болуына тексеруді жүзеге асырады.

Зиянды бағдарламалық кодты анықтайтын бағдарламалық қамтамасыз ету барлық компьютерлерде орнатылмаған.

Зиянды бағдарламалық кодты анықтайтын бағдарламалық қамтамасыз ету барлық компьютерлерде орнатылған, компьютерлер мен ақпарат тасымалдағыштардың зиянды бағдарламалық кодын тұрақты жаңарту немесе сканерлеу жүзеге асырылмайды.

Зиянды бағдарламалық кодты анықтайтын бағдарламалық қамтамасыз ету барлық компьютерлерде орнатылған, компьютерлер мен ақпарат тасмыалдағыштарында зиянды бағдарламалық кодтың болуын үнемі жаңарту немесе сканерлеу.

35.

Қаржы ұйымы ақпараттың резервтік көшірмелерін және негізгі ақпараттық жүйелердің бағдарламалық қамтамасыз етілуін тұрақты негізде құру, тексеру және тестілеу бойынша процестерді регламенттейді және жүзеге асырады.

Негізгі ақпараттық жүйелердің ақпараттары мен бағдарламалық қамтамасыз етуінің резервтік көшірмелері жасалмайды.

Ақпараттың және негізгі ақпараттық жүйелердің бағдарламалық қамтамасыз етуінің резервтік көшірмелерін жасау регламенттелген және бекітілген регламентке сәйкес жүзеге асырылады.
Резервтік көшірмелерді тестілеу жүргізілмейді.

Негізгі ақпараттық жүйелердің ақпараттары мен бағдарламалық қамтамасыз етуінің резервтік көшірмелерін жасау және тестілеу регламенттелген және бекітілген регламентке сәйкес жүзеге асырылады.

36.

Қаржы ұйымы болашақта жүргізілетін тексерулерге және қол жеткізуді бақылау мониторингін жүргізуге көмектесу мақсатында пайдаланушылардың іс-әрекеттерін, ақпараттық қауіпсіздіктің штаттан тыс жағдайлары мен оқиғаларын тіркейтін аудит журналдарын жүргізуді және сақтауды жүзеге асырады.

Негізгі ақпараттық жүйелердің аудит журналдарын жүргізу реттелмеген, аудит журналдары "әдеттегі" теңшеулермен жүргізіледі немесе жүргізілмейді.

-

Негізгі ақпараттық жүйелердің аудит журналдарын жүргізу, теңшеу және сақтау ішкі бекітілген құжаттарда сипатталған, аудит журналдары бекітілген құжаттарға сәйкес реттеледі, жүргізіледі және сақталады.

37.

Қаржы ұйымы негізгі ақпараттық жүйелерде артықшылықты пайдаланушылардың іс-қимылдарын тіркеуді және тұрақты талдауды қамтамасыз етеді.

Негізгі ақпараттық жүйелерде артықшылықты пайдаланушылардың іс-әрекеттері тіркелмейді.

Негізгі ақпараттық жүйелердегі артықшылықты пайдаланушылардың іс-әрекеттері тіркеледі, бірақ кезең-кезеңмен талданбайды.

Негізгі ақпараттық жүйелердегі артықшылықты пайдаланушылардың іс-әрекеттері кезең-кезеңмен тіркеледі және талданады.

38.

Қаржы ұйымы нақты уақыттың бірыңғай көзі арқылы негізгі ақпараттық жүйелердің жүйелік уақытын синхрондайды.

Қаржы ұйымы шегінде негізгі ақпараттық жүйелердің жүйелік уақыты синхрондалмайды.

-

Қаржы ұйымы шегіндегі негізгі ақпараттық жүйелердің жүйелік уақыты дәл уақыттың бірыңғай көзі арқылы синхрондалады.

39.

Қаржы ұйымында пайдаланушылардың негізгі ақпараттық жүйелерге қолжетімділігі бірегей дербес сәйкестендіргіштер бойынша жүзеге асырылады.

Бір немесе бірнеше негізгі ақпараттық жүйелерге қол жеткізу үшін бірегей дербес сәйкестендіргіш талап етілмейді.

-

Негізгі ақпараттық жүйелерге қолжетімділік бірегей дербес сәйкестендіргіштер бойынша жүзеге асырылады.

40.

Қаржы ұйымында негізгі ақпараттық жүйелерде пайдаланушылардың қолжетімділік деңгейлерін шектеу функционалы пайдаланылады.

Пайдаланушылардың қол жетімділік деңгейлерін ажырату барлық негізгі ақпараттық жүйелерде қолданылмайды.

-

Пайдаланушылардың қол жетімділік деңгейлерін ажырату барлық негізгі ақпараттық жүйелерде қолданылады.

41.

Қаржы ұйымы негізгі ақпараттық жүйелерде пайдаланушылардың парольдерін басқару қағидаларын қамтитын құжатты бекіткен және қаржы ұйымының барлық қызметкерлерінің назарына жеткізген.

Негізгі ақпараттық жүйелерде пайдаланушылардың парольдерін басқару қағидалары бар құжат жоқ.

-

Қаржы ұйымының барлық қызметкерлеріне жеткізілген, негізгі ақпараттық жүйелерде пайдаланушылардың парольдерін басқару қағидаларын қамтитын бекітілген құжат бар.

42.

Қаржы ұйымында пайдаланушылардың негізгі ақпараттық жүйелерге қолжетімділігінің қолданыстағы құқықтарын кезең-кезеңімен қайта қарау қағидаларын қамтитын құжатты бекіткен және қаржы ұйымының барлық қызметкерлерінің назарына жеткізген.

Негізгі ақпараттық жүйелерде пайдаланушылардың қолжетімділігінің қолданыстағы құқықтарын мерзімді қайта қарау қағидаларын қамтитын құжат жоқ.

-

Негізгі ақпараттық жүйелерде пайдаланушылардың қолжетімділігінің қолданыстағы құқықтарын мерзімді қайта қарау қағидаларын қамтитын бекітілген құжат бар.

43.

Қаржы ұйымында пайдаланушыларды нақты қауіпсіздік аясынан тыс қосу үшін екі немесе көп факторлы аутентификая пайдаланылады.

Пайдаланушыларды нақты қауіпсіздік периметрінен тыс қосу үшін аутентификацияныңбір факторы пайдаланылады.

-

Пайдаланушыларды нақты қауіпсіздік периметрінен тыс қосу үшін екі немесе көп факторлы аутентификация пайдаланылады.

44.

Қаржы ұйымының ақпараттық желісі топтарға бөлінген (VLAN).

Қаржы ұйымының ақпараттық желісін топтарға бөлу көзделмеген.

Қаржы ұйымының ақпараттық желісі ақпаратты өңдеу құралдарының функционалдық белгісі бойынша топтарға бөлінген.

Қаржы ұйымының ақпараттық желісі өңделетін ақпаратты жіктеу негізінде топтарға бөлінген.

45.

Қаржы ұйымында негізгі ақпараттық жүйелерде парольдерді автоматтандырылған басқару функционалы пайдаланылады.

Негізгі ақпараттық жүйелерде парольдерді автоматтандырылған басқару функционалы пайдаланылмайды.

Негізгі ақпараттық жүйелерде пайдаланушылардың парольдерді өз бетінше өзгерту, парольдің мерзімді өзгеруін бақылау функционалы пайдаланылады.

Негізгі ақпараттық жүйелерде пайдаланушылардың парольдерді өз бетінше өзгерту, парольдің мерзімді өзгеруін бақылау, парольдің күрделілігін бақылау, алдыңғы парольдердің қайталануын бақылау функционалы пайдаланылады.

46.

Қаржы ұйымы қашықтан жұмыс жасау режимінде жұмыс істеу қағидаларын қамтитын құжатты бекіткен және қаржы ұйымының барлық қызметкерлерінің назарына жеткізген.

Қашықтан жұмыс жасау режимінде жұмыс істеу қағидалары бар құжат жоқ.

-

Қашықтан жұмыс жасау режимінде жұмыс істеу қағидаларын қамтитын, қаржы ұйымының барлық қызметкерлерінің назарына жеткізілген, бекітілген құжат бар.

47.

Қаржы ұйымы ақпаратты криптографиялық қорғау құралдарын пайдалану қағидаларын қамтитын құжатты бекіткен және қаржы ұйымының барлық қызметкерлерінің назарына жеткізген.

Ақпаратты криптографиялық қорғау құралдарын пайдалану қағидалары бар құжат жоқ.

-

Ақпаратты криптографиялық қорғау құралдарына қолжетімділігі бар қаржы ұйымының барлық қызметкерлерінің назарына жеткізілген, ақпаратты криптографиялық қорғау құралдарын пайдалану қағидаларын қамтитын бекітілген құжат бар.

48.

Қаржы ұйымы криптографиялық кілттерді басқару қағидаларын қамтитын құжатты бекіткен және қаржы ұйымының барлық қызметкерлерінің назарына жеткізген.

Криптографиялық кілттерді басқару қағидалары бар құжат жоқ.

-

Криптографиялық кілттерді басқару қағидалары бар бекітілген құжат бар.

49.

Қаржы ұйымында негізгі ақпараттық жүйелердің бастапқы кодтарына кіруді бақылау қамтамасыз етіледі.

Негізгі ақпараттық жүйелердің бастапқы кодтарына кіру шектелмеген.

Негізгі ақпараттық жүйелердің бастапқы кодтарына тек әзірлеушілер ғана кіре алады.

Негізгі ақпараттық жүйелердің бастапқы кодтарына қол жетімділік тек әзірлеушілерге беріледі, бастапқы кодтардағы барлық өзгерістер туралы ақпарат автоматты түрде журналға жазылады.

50.

Қаржы ұйымы негізгі ақпараттық жүйелердің техникалық осалдықтары туралы ақпаратты талдауды, осындай осалдықтардың қауіптілігін бағалауды және оларды жою жөнінде шаралар қабылдауды қамтамасыз етеді.

Негізгі ақпараттық жүйелердің техникалық осалдықтары туралы ақпаратты талдау жүзеге асырылмайды.

-

Негізгі ақпараттық жүйелердің техникалық осалдықтары туралы ақпаратты кезең-кезеңмен талдау, осындай осалдықтардың қауіптілігін бағалау жүзеге асырылады және оларды жою бойынша шаралар қабылданады.

51.

Қаржы ұйымының қызметкелері ақпараттық қауіпсіздіктің кез келген байқалған немесе болжанатын бұзушылықтары туралы дереу хабардар ету қажеттігі туралы біледі.

Қызметкерлерді ақпараттық қауіпсіздікті бұзушылықтар туралы хабардар ету процесі жоқ.

Қызметкерлер ақпараттық қауіпсіздіктің бұзушылықтары туралы хабарлау қажеттігі туралы кезең-кезеңімен хабарланып отырады.

Қызметкерлер ақпараттық қауіпсіздік бұзушылықтары туралы хабарлау қажеттігі туралы кезең-кезеңімен хабарланып отырады, ақпараттық қауіпсіздік бұзушылықтары анықталған кезде қызметкерлердің іс-әрекеттеріне кезең-кезеңімен тексеру жүргізіліп отырады.

52.

Қаржы ұйымы ақпараттық қауіпсіздіктің оқыс оқиғаларына ден қою рәсімдерін қамтитын құжатты бекіткен.

Ақпараттық қауіпсіздіктің оқыс оқиғаларына ден қою рәсімдері қамтылған құжат жоқ.

-

Ақпараттық қауіпсіздіктің оқыс оқиғаларына ден қою рәсімдері қамтылған, бекітілген құжат бар.

53.

Қаржы ұйымы ақпараттық қауіпсіздіктің оқыс оқиғаларын тіркеуді және оларды кейіннен талдауды жүргізеді.

Ақпараттық қауіпсіздіктің оқыс оқиғаларын тіркеу жүргізілмейді.

Ақпараттық қауіпсіздіктің оқыс оқиғаларын тіркеу жүргізіледі,
өткен жыл ішінде талдау жүргізілген жоқ.

Ақпараттық қауіпсіздіктің оқыс оқиғаларын тіркеу жүргізіледі,
өткен жыл ішінде талдау нәтижелері құжатпен бекітілді.

54.

Қаржы ұйымы ақпараттық инфрақұрылымның енуін тұрақты тестілеуді қамтамасыз етеді.

Қаржы ұйымының ақпараттық инфрақұрылымының енуін тестілеу жүзеге асырылмайды.

Қаржы ұйымының ақпараттық инфрақұрылымының енуін тестілеу жылына бір реттен кем жүзеге асырылады.

Қаржы ұйымының ақпараттық инфрақұрылымының енуін тестілеу жылына кемінде бір рет жүзеге асырылады.

55.

Қаржы ұйымы негізгі ақпараттық жүйелердің бастапқы кодтарының осалдықтарына осындай бастапқы кодтарға қолжетімділік болған кезде талдауды тұрақты түрде жүзеге асырады.

Негізгі ақпараттық жүйелердің бастапқы кодтарын осалдыққа талдау жүзеге асырылмайды.

Негізгі ақпараттық жүйелердің бастапқы кодтарын осалдыққа талдау өнеркәсіптік ортадағы әрбір өзгеріс бойынша емес, ішінара жүзеге асырылады.

Негізгі ақпараттық жүйелердің бастапқы кодтарын осалдыққа талдау өнеркәсіптік ортадағы әрбір өзгеріс алдында жүзеге асырылады.