Утверждены Требования к службам реагирования на инциденты информационной безопасности, проведению внутренних расследований инцидентов информационной безопасности (аннотация к документу от 21.09.2020)

Утверждены Требования к службам реагирования на инциденты информационной безопасности, проведению внутренних расследований инцидентов информационной безопасности

Аннотация к документу: Постановление Правления Агентства Республики Казахстан по регулированию и развитию финансового рынка от 21 сентября 2020 года № 90 «Об утверждении Требований к службам реагирования на инциденты информационной безопасности, проведению внутренних расследований инцидентов информационной безопасности» (не введено в действие)

В соответствии с подпунктом 4) части первой статьи 13-6 Закона Республики Казахстан от 4 июля 2003 года «О государственном регулировании, контроле и надзоре финансового рынка и финансовых организаций» Правление Агентства Республики Казахстан по регулированию и развитию финансового рынка утверждены Требования к службам реагирования на инциденты информационной безопасности, проведению внутренних расследований инцидентов информационной безопасности.

Банк, организация обеспечивает создание структурного подразделения по реагированию на инциденты информационной безопасности - службу реагирования на инциденты информационной безопасности (далее - служба реагирования).

В целях надлежащего функционирования службы реагирования банк, организация обеспечивает:

1) внедрение, надлежащее функционирование программно-технических средств, автоматизирующих процесс реагирования на инциденты информационной безопасности;

2) определение перечня событий информационной безопасности, подлежащих мониторингу, источников таких событий, периодичности, порядка и методов мониторинга событий информационной безопасности;

3) определение порядка отнесения событий информационной безопасности к инцидентам информационной безопасности, их классификации и приоритизации;

4) разработку, поддержание в актуальном состоянии стандартных процедур реагирования и обучение работников службы реагирования по вопросам применения стандартных процедур реагирования;

5) определение порядка информирования руководящих работников банка, организации, подразделений банка, организации и уполномоченного органа по регулированию, контролю и надзору финансового рынка и финансовых организаций (далее - уполномоченный орган), в том числе для принятия решения о проведении внутреннего расследования инцидента информационной безопасности;

6) определение порядка учета, хранения, обеспечения целостности и сохранности информации об инцидентах информационной безопасности, включая сведения о нарушениях, сбоях в информационных системах, информации о результатах внутренних расследований инцидентов информационной безопасности и материалов этих расследований;

7) определение ответственных работников и (или) подразделений банка, организации, вовлеченных в процесс реагирования на инциденты информационной безопасности;

8) определение порядка принятия неотложных мер по устранению инцидентов информационной безопасности, установления причин возникновения инцидентов информационной безопасности и их последствий;

9) наделение службы реагирования полномочиями по введению дополнительных мер контроля по частичной или полной остановке бизнес-процесса в банке, организации в случае выявления инцидента информационной безопасности;

10) не реже одного раза в год пересмотр перечня событий информационной безопасности, подлежащих мониторингу, источников событий, периодичности, порядка и методов мониторинга событий информационной безопасности;

11) не реже одного раза в год анализ выявленных инцидентов информационной безопасности и нанесенного ими ущерба для рассмотрения коллегиальным органом банка, организации с целью оценки рисков информационной безопасности, корректировки методов и средств обеспечения информационной безопасности, изменения бизнес-процессов банка, организации;

12) не реже одного раза в год оценку эффективности с целью корректировки процесса реагирования на инциденты информационной безопасности с использованием метрик процесса реагирования на инциденты информационной безопасности согласно приложению к Требованиям;

13) не реже одного раза в год пересмотр метрик процесса реагирования на инциденты информационной безопасности с учетом результата оценки эффективности процесса реагирования на инциденты информационной безопасности;

14) наличие документов, сведений и фактов, подтверждающих реализацию порядка реагирования на инциденты информационной безопасности.

Порядок реагирования на инциденты информационной безопасности службой реагирования устанавливается внутренними документами банка, организации и состоит из следующих этапов, включая, но не ограничиваясь ими:

1) мониторинг событий информационной безопасности и выявление инцидентов информационной безопасности (далее - этап мониторинга и выявления);

2) локализация и противодействие инциденту информационной безопасности (далее - этап реагирования);

3) внутреннее расследование инцидента информационной безопасности (далее - этап внутреннего расследования).

В случае передачи отдельных функций службы реагирования сторонней организации-юридическому лицу банк, организация обеспечивает исполнение Требований, в том числе путем включения соответствующих норм Требований в договоры оказания услуг, заключаемых с третьими лицами.

Постановление вводится в действие с 1 января 2021 года и подлежит официальному опубликованию.