В соответствии с подпунктом 86-1) части второй статьи 15 Закона Республики Казахстан от 30 марта 1995 года «О Национальном Банке Республики Казахстан» и пунктом 7 статьи 61-5 Закона Республики Казахстан от 31 августа 1995 года «О банках и банковской деятельности в Республике Казахстан» Правление Национального Банка Республики Казахстан утверждены: 1) Требования к обеспечению информационной безопасности банков и организаций, осуществляющих отдельные виды банковских операций, согласно приложению 1 к настоящему постановлению; 2) Правила и сроки предоставления информации об инцидентах информационной безопасности, включая сведения о нарушениях, сбоях в информационных системах, согласно приложению 2 к настоящему постановлению. В частности, к обеспечению информационной безопасности банков, организаций предъявляются следующие требования: 1) требования к организации системы управления информационной безопасностью; 2) требования к категорированию информационных активов; 3) требования к организации доступа к информационным активам; 4) требования к обеспечению безопасности информационной инфраструктуры; 5) требования к осуществлению мониторинга деятельности по обеспечению информационной безопасности и мероприятий по выявлению и анализу угроз, противодействию атакам и расследованию инцидентов информационной безопасности; 6) требования к проведению анализа информации об инцидентах информационной безопасности, включая сведения о нарушениях, сбоях в информационных системах; 7) требования к средствам криптографической защиты информации; 8) требования к обеспечению информационной безопасности при доступе третьих лиц к информационным активам; 9) требования к проведению внутренних проверок состояния информационной безопасности; 10) требования к процессам системы управления информационной безопасностью. Банк, организация обеспечивают создание и функционирование системы управления информационной безопасностью, являющейся частью общей системы управления банка, организации, предназначенной для управления процессом обеспечения информационной безопасности. Система управления информационной безопасностью обеспечивает защиту информационных активов банка, организации, допускающую минимальный уровень потенциального ущерба для бизнес-процессов банка, организации. Банк, организация обеспечивают надлежащий уровень системы управления информационной безопасностью, ее развитие и улучшение. Участниками системы управления информационной безопасностью банка, организации являются: 1) орган управления; 2) исполнительный орган; 3) коллегиальный орган, уполномоченный принимать решения по задачам обеспечения информационной безопасности (далее - коллегиальный орган); 4) подразделение по информационной безопасности; 5) подразделение по информационным технологиям; 6) подразделение по безопасности; 7) подразделение по работе с персоналом; 8) юридическое подразделение; 9) подразделение по комплаенс-контролю; 10) подразделение внутреннего аудита; 11) подразделение по управлению рисками информационной безопасности. В организации допускается осуществление функций подразделений, указанных в подпунктах 4), 5), 6), 7), 8), 9), 10) и 11) настоящего пункта, ответственными работниками. Банк, организация при создании и функционировании системы управления информационной безопасностью обеспечивают независимость подразделений по информационной безопасности и подразделения по информационным технологиям посредством их подчинения разным членам исполнительного органа банка, организации или напрямую руководителю исполнительного органа банка, организации. Орган управления банка, организации утверждает политику информационной безопасности, которая определяет: 1) цели, задачи и основные принципы построения системы управления информационной безопасностью; 2) область действия системы управления информационной безопасностью; 3) требования к доступу к создаваемой, хранимой и обрабатываемой информации в информационных системах банка, организации и мониторинг информации и доступа к ней; 4) требования к осуществлению мониторинга деятельности по обеспечению информационной безопасности и мероприятий по выявлению и анализу угроз, противодействию атакам и расследованию инцидентов информационной безопасности; 5) требования к осуществлению сбора, консолидации и хранения информации об инцидентах информационной безопасности; 6) требования к проведению анализа информации об инцидентах информационной безопасности; 7) ответственность работников банка, организации за обеспечение информационной безопасности при исполнении возложенных на них функциональных обязанностей. Орган управления банка, организации утверждает перечень защищаемой информации, включающий в том числе информацию о сведениях, составляющих служебную, коммерческую или иную охраняемую законом тайну (далее - защищаемая информация), и порядок работы с защищаемой информацией. Исполнительный орган банка, организации утверждает внутренние документы, регламентирующие процесс управления информационной безопасностью, порядок и периодичность пересмотра которых определяется внутренними документами банка, организации. Банк, организация создают коллегиальный орган, в состав которого входят представители подразделения по информационной безопасности, подразделения по управлению рисками информационной безопасности, подразделения по информационным технологиям, а также при необходимости представители других подразделений банка, организации. Руководителем коллегиального органа назначается руководитель исполнительного органа банка, организации либо член исполнительного органа банка, организации, курирующий деятельность подразделения по информационной безопасности. Постановление вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования, за исключением подпункта 1) пункта 1 и пункта 2 настоящего постановления, которые вводятся в действие с 1 декабря 2018 года. |