О внесении изменений и дополнения в постановление Правления Агентства Республики Казахстан по регулированию и развитию финансового рынка от 21 сентября 2020 года № 89 "Об утверждении требований к компетенциям руководителей и работников подразделений информационной безопасности, включая требования по повышению квалификации лиц, ответственных за обеспечение информационной безопасности"

Постановление Правления Агентства Республики Казахстан по регулированию и развитию финансового рынка от 20 октября 2022 года № 71. Зарегистрировано в Министерстве юстиции Республики Казахстан 27 октября 2022 года № 30333

      Правление Агентства Республики Казахстан по регулированию и развитию финансового рынка ПОСТАНОВЛЯЕТ:

      1. Внести в постановление Правления Агентства Республики Казахстан по регулированию и развитию финансового рынка от 21 сентября 2020 года № 89 "Об утверждении требований к компетенциям руководителей и работников подразделений информационной безопасности, включая требования по повышению квалификации лиц, ответственных за обеспечение информационной безопасности" (зарегистрировано в Реестре государственной регистрации нормативных правовых актов под № 21251) следующие изменения и дополнение:

      в Требованиях к компетенциям руководителей и работников подразделений информационной безопасности, включая требования по повышению квалификации лиц, ответственных за обеспечение информационной безопасности, утвержденных указанным постановлением:

      пункт 2 изложить в следующей редакции:

      "2. В Требованиях используются следующие понятия:

      1) информационная безопасность - состояние защищенности электронных информационных ресурсов, информационных систем и информационно-коммуникационной инфраструктуры от внешних и внутренних угроз;

      2) домен - совокупность знаний в отдельной предметной области;

      3) компетенция - результат усвоения информации, полученный в процессе обучения и личного опыта; совокупность знаний, теории и практики, относящихся к сфере обучения или работы; компонент квалификации, который подвергается оценке.

      В Требованиях применяются термины и определения в соответствии с Межгосударственным стандартом ГОСТ ISO/IEC 17024-2014 "Оценка соответствия. Общие требования к органам, осуществляющим сертификацию персонала" (далее – Стандарт).";

      пункт 18 изложить в следующей редакции:

      "18. К специалисту предъявляется требование о соответствии одному из критериев:

      1) наличие среднего специального или высшего образования по одному из доменов;

      2) прохождение обучения по одному или более доменам;

      3) опыт работы по одному и более доменам не менее двух лет;

      4) наличие сертификата, подтверждающего знания и опыт по одному или более доменам, выданного в соответствии с требованиями Стандарта или Международного стандарта ISO/IEC 17024:2012 "Conformity assessment - general requirements for bodies operating certification of persons" (Комфомити ассесмент – дженерал реквайрментс фор бодиес оператинг сертификэйшн оф персонс) (Оценка соответствия. Общие требования к органам, осуществляющим сертификацию персонала) (далее – Международный стандарт).";

      дополнить пунктом 21-1 в следующей редакции:

      "21-1. Не менее пяти процентов работников подразделения информационной безопасности в организации, указанных в пункте 4 Требований, подтверждают соответствие критериям подпункта 4) пункта 18 Требований.";

      пункт 23 изложить в следующей редакции:

      "23. Подтверждением повышения квалификации специалистов и руководителей, ответственных за обеспечение информационной безопасности, является наличие документов о прохождении обучения и (или) сертификата, выданного в соответствии со Стандартом или Международным стандартом.".

      2. Управлению кибербезопасности в установленном законодательством Республики Казахстан порядке обеспечить:

      1) совместно с Юридическим департаментом государственную регистрацию настоящего постановления в Министерстве юстиции Республики Казахстан;

      2) размещение настоящего постановления на официальном интернет-ресурсе Агентства Республики Казахстан по регулированию и развитию финансового рынка после его официального опубликования;

      3) в течение десяти рабочих дней после государственной регистрации настоящего постановления представление в Юридический департамент сведений об исполнении мероприятия, предусмотренного подпунктом 2) настоящего пункта.

      3. Контроль за исполнением настоящего постановления возложить на курирующего заместителя Председателя Агентства Республики Казахстан по регулированию и развитию финансового рынка.

      4. Настоящее постановление вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования.

Председатель Агентства Республики Казахстан по регулированию и развитию финансового рынка

М. Абылкасымова

"Ақпараттық қауіпсіздікті қамтамасыз етуге жауапты адамдардың біліктілігін арттыру жөніндегі талаптарды қоса алғанда, ақпараттық қауіпсіздік бөлімшелерінің басшылары мен жұмыскерлерінің құзыретіне қойылатын талаптарды бекіту туралы" Қазақстан Республикасының Қаржы нарығын реттеу және дамыту агенттігі Басқармасының 2020 жылғы 21 қыркүйектегі № 89 қаулысына өзгерістер мен толықтыру енгізу туралы

Қазақстан Республикасы Қаржы нарығын реттеу және дамыту агенттігі Басқармасының 2022 жылғы 20 қазандағы № 71 қаулысы. Қазақстан Республикасының Әділет министрлігінде 2022 жылғы 27 қазанда № 30333 болып тіркелді

      Қазақстан Республикасы Қаржы нарығын реттеу және дамыту агенттігінің Басқармасы ҚАУЛЫ ЕТЕДІ:

      1. "Ақпараттық қауіпсіздікті қамтамасыз етуге жауапты адамдардың біліктілігін арттыру жөніндегі талаптарды қоса алғанда, ақпараттық қауіпсіздік бөлімшелерінің басшылары мен жұмыскерлерінің құзыретіне қойылатын талаптарды бекіту туралы" Қазақстан Республикасының Қаржы нарығын реттеу және дамыту агенттігі Басқармасының 2020 жылғы 21 қыркүйектегі № 89 қаулысына (Нормативтік құқықтық актілерді мемлекеттік тіркеу тізілімінде № 21251 болып тіркелген) мынадай өзгерістер мен толықтыру енгізілсін:

      көрсетілген қаулымен бекітілген Ақпараттық қауіпсіздікті қамтамасыз етуге жауапты адамдардың біліктілігін арттыру жөніндегі талаптарды қоса алғанда, ақпараттық қауіпсіздік бөлімшелерінің басшылары мен жұмыскерлерінің құзыретіне қойылатын талаптарда:

      2-тармақ мынадай редакцияда жазылсын:

      "2. Талаптарда мынадай ұғымдар пайдаланылады:

      1) ақпараттық қауіпсіздік – ақпараттық ресурстардың, ақпараттық жүйелердің және ақпараттық-коммуникациялық инфрақұрылымның сыртқы және ішкі қауіптерден қорғалу жағдайы;

      2) домен – белгілі бір пән саласындағы білімдер жиынтығы;

      3) құзырет – оқу және жеке тәжірибе барысында алынған ақпаратты игеру нәтижесі; оқыту немесе жұмыс саласына жататын білімнің, теорияның және практиканың жиынтығы; бағалауға ұшырайтын біліктілік құрауышы.

      Талаптарда "Сәйкестікті бағалау. Қызметкерлерді сертификаттау жөніндегі органдарға қойылатын жалпы талаптар" ISO/IEC 17024-2014 Мемлекетаралық стандартына (бұдан әрі – Стандарт) сәйкес терминдер мен ұғымдар қолданылады.";

      18-тармақ мынадай редакцияда жазылсын:

      "18. Маманға мына өлшемшарттардың біріне сәйкес келу туралы талап қойылады:

      1) домендердің бірі бойынша орташа арнайы немесе жоғары білімнің болуы;

      2) бір немесе одан да көп домен бойынша оқудан өту;

      3) бір немесе одан да көп домен бойынша кемінде екі жыл жұмыс тәжірибесі;

      4) Стандарттың немесе "Conformity assessment - general requirements for bodies operating certification of persons" (Комфомити ассесмент – дженерал реквайрментс фор бодиес оператинг сертификэйшн оф персонс) (Сәйкестікті бағалау. Қызметкерлерді сертификаттау жөніндегі органдарға қойылатын жалпы талаптар) ISO/IEC 17024:2012 Халықаралық стандартының (бұдан әрі – Халықаралық стандарт) сәйкес берілген, бір немесе одан да көп домен бойынша білімі мен тәжірибесін растайтын сертификаттың болуы.";

      мынадай редакциядағы 21-1-тармақпен толықтырылсын:

      "21-1. Талаптардың 4-тармағында көрсетілген, ұйымдағы ақпараттық қауіпсіздік бөлімшесі қызметкерлерінің кемінде бес пайызы Талаптардың 18-тармағы 4) тармақшасының өлшемшарттарына сәйкестігін растайды.";

      23-тармақ мынадай редакцияда жазылсын:

      "23. Оқудан өту туралы құжаттардың және (немесе) Стандарттың немесе Халықаралық стандарттың сәйкес берілген сертификаттың болуы ақпараттық қауіпсіздікті қамтамасыз етуге жауапты мамандар мен басшылардың біліктілігін арттырудың растауы болып табылады.".

      2. Киберқауіпсіздік басқармасы Қазақстан Республикасының заңнамасында белгіленген тәртіппен:

      1) Заң департаментімен бірлесіп осы қаулыны Қазақстан Республикасының Әділет министрлігінде мемлекеттік тіркеуді;

      2) осы қаулыны ресми жарияланғаннан кейін Қазақстан Республикасы Қаржы нарығын реттеу және дамыту агенттігінің ресми интернет-ресурсына орналастыруды;

      3) осы қаулы мемлекеттік тіркелгеннен кейін он жұмыс күні ішінде Заң департаментіне осы тармақтың 2) тармақшасында көзделген іс-шараның орындалуы туралы мәліметтерді ұсынуды қамтамасыз етсін.

      3. Осы қаулының орындалуын бақылау Қазақстан Республикасының Қаржы нарығын реттеу және дамыту агенттігі Төрағасының жетекшілік ететін орынбасарына жүктелсін.

      4. Осы қаулы алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі.

Қазақстан Республикасының Қаржы нарығын реттеу және дамыту Агенттігінің Төрағасы

М. Абылкасымова