Об утверждении Правил подключения и использования финансовыми организациями объекта информатизации по сбору, обработке и обмену информацией по событиям и инцидентам информационной безопасности, используемого отраслевым центром информационной безопасности финансового рынка и финансовых организаций

Постановление Правления Агентства Республики Казахстан по регулированию и развитию финансового рынка от 12 сентября 2022 года № 67. Зарегистрировано в Министерстве юстиции Республики Казахстан 16 сентября 2022 года № 29639.

      В соответствии с пунктом 4 статьи 7-5 Закона Республики Казахстан "Об информатизации" Правление Агентства Республики Казахстан по регулированию и развитию финансового рынка ПОСТАНОВЛЯЕТ:

      1. Утвердить прилагаемые Правила подключения и использования финансовыми организациями объекта информатизации по сбору, обработке и обмену информацией по событиям и инцидентам информационной безопасности, используемого отраслевым центром информационной безопасности финансового рынка и финансовых организаций.

      2. Управлению кибербезопасности в установленном законодательством Республики Казахстан порядке обеспечить:

      1) совместно с Юридическим департаментом государственную регистрацию настоящего постановления в Министерстве юстиции Республики Казахстан;

      2) размещение настоящего постановления на официальном интернет-ресурсе Агентства Республики Казахстан по регулированию и развитию финансового рынка после его официального опубликования;

      3) в течение десяти рабочих дней после государственной регистрации настоящего постановления представление в Юридический департамент сведений об исполнении мероприятия, предусмотренного подпунктом 2) настоящего пункта.

      3. Контроль за исполнением настоящего постановления возложить на курирующего заместителя Председателя Агентства Республики Казахстан по регулированию и развитию финансового рынка.

      4. Настоящее постановление вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования.

      Председатель Агентства
Республики Казахстан
по регулированию
и развитию финансового рынка 		М. Абылкасымова

  Приложение к постановлению
Правления Агентства
Республики Казахстан
по регулированию
и развитию финансового рынка
от 12 сентября 2022 года № 67

Правила подключения и использования финансовыми организациями объекта информатизации по сбору, обработке и обмену информацией по событиям и инцидентам информационной безопасности, используемого отраслевым центром информационной безопасности финансового рынка и финансовых организаций

Глава 1. Общие положения

      1. Настоящие Правила подключения и использования финансовыми организациями объекта информатизации по сбору, обработке и обмену информацией по событиям и инцидентам информационной безопасности, используемого отраслевым центром информационной безопасности финансового рынка и финансовых организаций (далее – Правила) разработаны в соответствии с пунктом 4 статьи 7-5 Закона Республики Казахстан "Об информатизации" (далее – Закон об информатизации) и определяют порядок подключения и использования финансовыми организациями объекта информатизации по сбору, обработке и обмену информацией по событиям и инцидентам информационной безопасности (далее – ИБ), используемого отраслевым центром информационной безопасности финансового рынка и финансовых организаций.

      2. Объектом информатизации отраслевого центра информационной безопасности финансового рынка и финансовых организаций по сбору, обработке и обмену информацией по событиям и инцидентам информационной безопасности является автоматизированная система обработки информации по событиям и инцидентам информационной безопасности уполномоченного органа по регулированию, контролю и надзору финансового рынка и финансовых организаций (далее - АСОИ).

      3. В Правилах используются понятия, предусмотренные Законом об информатизации, а также следующие понятия:

      1) ответственный работник – работник финансовой организации, в должностных обязанностях которого закреплена обработка информации в АСОИ;

      2) профиль финансовой организации – структурированная информация о финансовой организации в АСОИ;

      3) предупреждение об угрозе – уведомление по критичным событиям ИБ для всех финансовых организаций;

      4) карта инцидента – структурированная информация об инциденте ИБ у финансовой организации, предоставляемая в уполномоченный орган в соответствии с Правилами;

      5) предупреждение об уязвимости – уведомление о выявлении уязвимостей у производителей программного обеспечения и оборудования, используемого в инфраструктуре субъектов финансового рынка;

      6) сигнал – структурированная информация о событии ИБ, получаемая из систем ИБ или систем, осуществляющих в реальном времени сбор и анализ информации о событиях ИБ в информационной инфраструктуре финансовой организации;

      7) запрос – официальное обращение финансовых организаций друг к другу или к уполномоченному органу по регулированию, контролю и надзору финансового рынка и финансовых организаций (далее – уполномоченный орган) по вопросам обеспечения ИБ, реализованное средствами АСОИ, обеспечивающими защиту информации;

      8) модуль интеграции – программное обеспечение, устанавливаемое в инфраструктуре финансовой организации для автоматизации передачи информации по событиям ИБ в инфраструктуре финансовой организации в АСОИ.

      4. При использовании АСОИ соблюдаются требования Закона об информатизации, законов Республики Казахстан "О персональных данных и их защите", "О банках и банковской деятельности в Республике Казахстан" по обеспечению безопасности защищаемой информации.

Глава 2. Подключение к АСОИ

      5. К АСОИ подключается подразделение информационной безопасности финансовой организации. Для создания профиля финансовой организации в АСОИ ответственный работник представляет в отраслевой центр ИБ следующие учетные данные финансовой организации:

      1) наименование финансовой организации;

      2) бизнес-идентификационный номер юридического лица;

      3) адрес электронной почты.

      6. Для создания учетной записи пользователя финансовой организации в АСОИ ответственный работник представляет в отраслевой центр ИБ следующие учетные данные пользователя:

      1) фамилия, имя, отчество (при наличии);

      2) должность;

      3) наименование организации;

      4) контактные телефоны;

      5) адрес электронной почты.

      7. Для передачи сигналов в АСОИ банки, филиалы банков-нерезидентов Республики Казахстан (далее - банки) и организации, осуществляющие отдельные виды банковских операций (далее - организации) осуществляют установку модуля интеграции, предоставленного отраслевым центром ИБ, в инфраструктуре банка, организации с его подключением к системам ИБ или системам, осуществляющим в реальном времени сбор и анализ информации о событиях ИБ в информационной инфраструктуре банка, организации.

      8. Сигналы передаются банками, организациями в АСОИ в случае выявления следующих событий ИБ:

      1) выявление вредоносной активности IPS/IDS (система обнаружения и предотвращения вторжений);

      2) выявление вредоносной активности WAF (сетевой фильтр веб-приложений);

      3) выявление вредоносной активности системой защиты конечных точек;

      4) получение вредоносного кода;

      5) получение фишингового сообщения;

      6) сетевое сканирование IP-адресов на предмет выявления активных сетевых служб;

      7) перебор пароля к учетной записи (на внешнем периметре);

      8) перебор учетных записей к паролю (на внешнем периметре).

      9. Банк, организация обеспечивает интернет-канал для связи модуля интеграции с АСОИ.

Глава 3. Использование АСОИ

      10. При обнаружении угрозы ИБ для финансового рынка Республики Казахстан ответственный работник финансовой организации по согласованию с руководством подразделения ИБ создает предупреждение об угрозе в АСОИ путем введения следующих данных:

      1) источник;

      2) тип угрозы;

      3) степень угрозы;

      4) степень конфиденциальности;

      5) описание угрозы;

      6) рекомендации.

      11. При необходимости получения дополнительной информации для обеспечения функционирования системы управления ИБ финансовой организации ответственный работник финансовой организации по согласованию с руководством подразделения ИБ создает запрос в АСОИ уполномоченному органу или финансовым организациям.

      12. Ответственный работник банка, организации по согласованию с руководством подразделения ИБ незамедлительно создает в АСОИ карту инцидента в случае выявления следующих инцидентов ИБ:

      1) эксплуатация уязвимостей в прикладном и системном программном обеспечении;

      2) несанкционированный доступ в информационную систему;

      3) атака "отказ в обслуживании" на информационную систему или сеть передачи данных;

      4) заражение сервера вредоносной программой или кодом;

      5) совершение несанкционированного перевода денежных средств вследствие нарушения контролей ИБ;

      6) иных инцидентах ИБ, повлекших простои информационных систем более одного часа.

      13. При получении предупреждения об угрозе или уязвимости ответственный работник финансовой организации по согласованию с руководством подразделения ИБ в течение 1 (одного) рабочего дня принимает или отклоняет применение рекомендаций из предупреждения, и отражает это в АСОИ.

      После завершения применения рекомендаций ответственный работник финансовой организации изменяет статус предупреждения в АСОИ на обработано.

      14. При получении запроса в АСОИ ответственный работник финансовой организации по согласованию с руководством подразделения ИБ в течение 1 (одного) рабочего дня принимает его в работу или отклоняет, и отражает это в комментариях к запросу. Не позднее 10 (десять) рабочих дней после завершения работы по запросу ответственный работник финансовой организации по согласованию с руководством подразделения ИБ формирует ответ в АСОИ.

      15. Ответственный работник финансовой организации при возврате отраслевым центром ИБ в АСОИ предупреждения об угрозе, карты инцидента или ответа на запрос из-за неполноты предоставленных данных устраняет недостатки в течение 3 (трех) рабочих дней.

Қаржы ұйымдарының қаржы нарығы мен қаржы ұйымдарының ақпараттық қауіпсіздіктің салалық орталығы пайдаланатын ақпараттық қауіпсіздіктің оқиғалары мен оқыс оқиғалары бойынша ақпарат жинау, өңдеу және алмасу жөніндегі ақпараттандыру объектісін қосу және пайдалану қағидаларын бекіту туралы

Қазақстан Республикасы Қаржы нарығын реттеу және дамыту агенттігі Басқармасының 2022 жылғы 12 қыркүйектегі № 67 қаулысы. Қазақстан Республикасының Әділет министрлігінде 2022 жылғы 16 қыркүйекте № 29639 болып тіркелді

      "Ақпараттандыру туралы" Қазақстан Республикасының Заңы 7-5-бабының 4-тармағына сәйкес Қазақстан Республикасы Қаржы нарығын реттеу және дамыту агенттігінің Басқармасы ҚАУЛЫ ЕТЕДІ:

      1. Қоса беріліп отырған Қаржы ұйымдарының қаржы нарығы мен қаржы ұйымдарының ақпараттық қауіпсіздіктің салалық орталығы пайдаланатын ақпараттық қауіпсіздіктің оқиғалары мен оқыс оқиғалары бойынша ақпарат жинау, өңдеу және алмасу жөніндегі ақпараттандыру объектісін қосу және пайдалану қағидалары бекітілсін.

      2. Киберқауіпсіздік басқармасы Қазақстан Республикасының заңнамасында белгіленген тәртіппен:

      1) Заң департаментімен бірлесіп осы қаулыны Қазақстан Республикасының Әділет министрлігінде мемлекеттік тіркеуді;

      2) осы қаулыны ресми жарияланғаннан кейін Қазақстан Республикасы Қаржы нарығын реттеу және дамыту агенттігінің ресми интернет-ресурсына орналастыруды;

      3) осы қаулы мемлекеттік тіркелгеннен кейін он жұмыс күні ішінде Заң департаментіне осы тармақтың 2) тармақшасында көзделген іс-шараның орындалуы туралы мәліметтерді ұсынуды қамтамасыз етсін.

      3. Осы қаулының орындалуын бақылау Қазақстан Республикасының Қаржы нарығын реттеу және дамыту агенттігі Төрағасының жетекшілік ететін орынбасарына жүктелсін.

      4. Осы қаулы алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі.

      Қазақстан Республикасының
Қаржы нарығын реттеу және
дамыту Агенттігінің Төрағасы 		М. Абылкасымова

  Қазақстан Республикасының
Қаржы нарығын
реттеу және дамыту
Агенттігінің Басқармасының
2022 жылғы 12 қыркүйектегі
№ 67 қаулысы
қосымша

Қаржы ұйымдарының қаржы нарығы мен қаржы ұйымдарының ақпараттық қауіпсіздіктің салалық орталығы пайдаланатын ақпараттық қауіпсіздіктің оқиғалары мен оқыс оқиғалары бойынша ақпарат жинау, өңдеу және алмасу жөніндегі ақпараттандыру объектісін қосу және пайдалану қағидалары

1-тарау. Жалпы ережелер

      1. Осы Қаржы ұйымдарының қаржы нарығы мен қаржы ұйымдарының ақпараттық қауіпсіздіктің салалық орталығы пайдаланатын ақпараттық қауіпсіздіктің оқиғалары мен оқыс оқиғалары бойынша ақпарат жинау, өңдеу және алмасу жөніндегі ақпараттандыру объектісін қосу және пайдалану қағидалары (бұдан әрі – Қағидалар) "Ақпараттандыру туралы" Қазақстан Республикасының Заңы (бұдан әрі – Ақпараттандыру туралы заң) 7-5-бабының 4-тармағына сәйкес әзірленді және қаржы нарығы мен қаржы ұйымдарының ақпараттық қауіпсіздіктің салалық орталығы пайдаланатын ақпараттық қауіпсіздіктің (бұдан әрі - АҚ) оқиғалары мен оқыс оқиғалары бойынша ақпарат жинау, өңдеу және алмасу жөніндегі ақпараттандыру объектісін қосу және пайдалану тәртібін айқындайды.

      2. Қаржы нарығы мен қаржы ұйымдарын реттеу, бақылау және қадағалау жөніндегі уәкілетті органның ақпараттық қауіпсіздіктің оқиғалары мен оқыс оқиғалары бойынша ақпаратты өңдеудің автоматтандырылған жүйесі (бұдан әрі - ААӨЖ) қаржы нарығы мен қаржы ұйымдарының ақпараттық қауіпсіздіктің салалық орталығы пайдаланатын ақпараттық қауіпсіздіктің оқиғалары мен оқыс оқиғалары бойынша ақпарат жинау, өңдеу және алмасу жөніндегі ақпараттандыру объектісі болып табылады.

      3. Қағидаларда Ақпараттандыру туралы заңды көзделген, сондай-ақ мынадай ұғымдар пайдаланылады:

      1) жауапты қызметкер – қаржы ұйымының лауазымдық міндеттерінде ААӨЖ-де ақпарат өңдеу бекітілген қызметкері;

      2) қаржы ұйымының бейіні – ААӨЖ-дегі қаржы ұйымы туралы құрылымдалған ақпарат;

      3) қауіп-қатер туралы ескерту – барлық қаржы ұйымдары үшін АҚ өзекті оқиғалары бойынша хабарлама;

      4) оқыс оқиға картасы – уәкілетті органға Қағидаларға сәйкес ұсынылатын қаржы ұйымындағы АҚ оқыс оқиғасы туралы құрылымдалған ақпарат;

      5) осалдық туралы ескерту – бағдарламалық қамтылымды және қаржы нарығы субъектілерінің инфрақұрылымында пайдаланылатын жабдықты өндірушілерде осалдықтың анықталғаны туралы хабарлама;

      6) сигнал – қаржы ұйымының ақпараттық инфрақұрылымындағы АҚ жүйелерінен немесе нақты уақытта АҚ оқиғалары туралы ақпарат жинау мен талдауды жүзеге асыратын жүйелерден алынатын АҚ оқиғасы туралы құрылымдалған ақпарат;

      7) сұрату – ақпаратты қорғауды қамтамасыз ететін ААӨЖ құралдары арқылы іске асырылған, АҚ қамтамасыз ету мәселелері бойынша қаржы ұйымдарының бір-біріне немесе қаржы нарығы мен қаржы ұйымдарын реттеу, бақылау және қадағалау жөніндегі уәкілетті (бұдан әрі – уәкілетті орган) органға ресми түрде жүгінуі;

      8) ықпалдастыру модулі – қаржы ұйымының ААӨЖ-дегі инфрақұрылымында АҚ оқиғалары бойынша ақпарат беруді автоматтандыру үшін қаржы ұйымының инфрақұрылымына орнатылатын бағдарламалық қамтылым.

      4. ААӨЖ-ні пайдаланған уақытта Ақпараттандыру туралы заңның, "Дербес деректер және оларды қорғау туралы", "Қазақстан Республикасындағы банктер және банк қызметі туралы" заңдардың қорғалатын ақпараттың қауіпсіздігін қамтамасыз ету жөніндегі талаптары сақталады.

2-тарау. ААӨЖ-ге қосу

      5. ААӨЖ-ге қаржы ұйымының ақпараттық қауіпсіздік бөлімшесі қосылады. ААӨЖ-де қаржы ұйымының бейінін құру үшін жауапты қызметкер АҚ салалық орталығына қаржы ұйымының мынадай есепке алу деректерін ұсынады:

      1) қаржы ұйымының атауы;

      2) заңды тұлғаның бизнес-сәйкестендіру нөмірі;

      3) электрондық поштаның мекенжайы.

      6. Қаржы ұйымы пайдаланушысының есепке алу жазбасын құру үшін ААӨЖ-де жауапты қызметкер АҚ салалық орталығына пайдаланушының мынадай есепке алу деректерін ұсынады:

      1) тегі, аты, әкесінің аты (ол бар болса);

      2) лауазымы;

      3) ұйымның атауы;

      4) байланыс телефондары;

      5) электрондық поштаның мекенжайы.

      7. ААӨЖ-ге сигналдарды беру үшін банктер, Қазақстан Республикасы бейрезидент-банктерінің филиалдары (бұдан әрі – банктер) және банк операцияларының жекелеген түрлерін жүзеге асыратын ұйымдар (бұдан әрі – ұйымдар) АҚ-ның салалық орталығы ұсынған ықпалдасу модулін банктің, ұйымның АҚ жүйелеріне немесе банктің, ұйымның ақпараттық инфрақұрылымында АҚ оқиғалары туралы ақпаратты нақты уақытта жинауды және талдауды жүзеге асыратын жүйелерге қоса отырып, банктің, ұйымның ақпараттық инфрақұрылымына орнатуды жүзеге асырады.

      8. Банктер, ұйымдар мынадай АҚ оқиғалары анықталған жағдайда сигналдарды ААӨЖ-ге береді:

      1) IPS/IDS зиянды белсенділігін анықтау (басып кіруді анықтау және алдын алу жүйесі);

      2) WAF зиянды белсенділігін анықтау (веб-қосымшалардың желілік сүзгісі);

      3) соңғы нүктелерді қорғау жүйесінің зиянды белсенділігін анықтау;

      4) зиянды кодты алу;

      5) фишингтік хабарлама алу;

      6) белсенді желілік қызметтерді анықтау үшін IP-мекенжайларды желілік сканерлеу;

      7) есептік жазбаның құпиясөзін мөлшерден артық теру (сыртқы аяда);

      8) құпиясөзге есептік жазбаларды мөлшерден артық теру (сыртқы аяда).

      9. Банк, ұйым ААӨЖ-мен ықпалдасу модулін байланыстыру үшін интернет-арнаны қамтамасыз етеді.

3-тарау. ААӨЖ-ні пайдалану

      10. Қазақстан Республикасының қаржы нарығы үшін АҚ қауіп-қатері анықталған кезде қаржы ұйымының жауапты қызметкері АҚ бөлімшесі басшылығының келісімі бойынша мынадай деректерді енгізу арқылы ААӨЖ-ге қауіп-қатер туралы ескерту жасайды:

      1) пайда болу көзі;

      2) қауіп-қатердің түрі;

      3) қауіп-қатердің дәрежесі;

      4) конфиденциалдылық дәрежесі;

      5) қауіп-қатердің сипаттамасы;

      6) ұсынымдар.

      11. Қаржы ұйымының АҚ басқару жүйесінің жұмыс істеуін қамтамасыз ету үшін қосымша ақпарат алу қажет болған кезде қаржы ұйымының жауапты қызметкері АҚ бөлімшесі басшылығының келісімі бойынша уәкілетті органға немесе қаржы ұйымдарына ААӨЖ-ге сұрату жібереді.

      12. Банктің, ұйымның жауапты қызметкері АҚ бөлімшесі басшылығының келісімі бойынша АҚ-ның мынадай оқыс оқиғалары анықталған жағдайда ААӨЖ-де дереу оқыс оқиға картасын жасайды:

      1) қолданбалы және жүйелік бағдарламалық қамтылымдағы осалдықтарды пайдалану;

      2) ақпараттық жүйеге рұқсатсыз кіру;

      3) ақпараттық жүйеге немесе деректерді беру желісіне "қызмет көрсетуден бас тарту" шабуылы;

      4) серверді зиянды бағдарламамен немесе кодпен зақымдау;

      5) АҚ бақылауларын бұзу салдарынан ақша қаражатын санкциясыз аудару;

      6) ақпараттық жүйелердің бір сағаттан астам тұрып қалуына әкеп соққан өзге де АҚ оқыс оқиғалары.

      13. Қауіп-қатер немесе осалдық туралы ескерту алған кезде қаржы ұйымының жауапты қызметкері АҚ бөлімшесі басшылығының келісімі бойынша 1 (бір) жұмыс күні ішінде ескертуден ұсынымдарды қабылдайды немесе қолданудан бас тартады және оны ААӨЖ-де көрсетеді.

      Ұсынымдарды қолдану аяқталғаннан кейін қаржы ұйымының жауапты қызметкері ААӨЖ-де ескерту мәртебесін өңделген күйге өзгертеді.

      14. ААӨЖ-ге сұрату алған кезде қаржы ұйымының жауапты қызметкері АҚ бөлімшесі басшылығының келісімі бойынша 1 (бір) жұмыс күні ішінде оны жұмысқа қабылдайды немесе қабылдамайды және мұны сұратуға түсініктемелерде көрсетеді. Жұмыс аяқталғаннан кейін 10 (он) жұмыс күнінен кешіктірмей сұрату бойынша қаржы ұйымының жауапты қызметкері АҚ бөлімшесі басшылығының келісімі бойынша ААӨЖ-де жауап құрастырады.

      15. Қаржы ұйымының жауапты қызметкері АҚ салалық орталығы ААӨЖ-де қауіп-қатер туралы ескертуді, оқыс оқиға картасын немесе ұсынылған деректердің толық болмауына байланысты сұратуға жауапты қайтарған жағдайда 3 (үш) жұмыс күні ішінде кемшіліктерді жояды.