О внесении изменений в некоторые нормативные правовые акты Республики Казахстан по вопросам регулирования информационной безопасности на финансовом рынке

Постановление Правления Агентства Республики Казахстан по регулированию и развитию финансового рынка от 29 апреля 2022 года № 30. Зарегистрировано в Министерстве юстиции Республики Казахстан 6 мая 2022 года № 27949.

      Правление Агентства Республики Казахстан по регулированию и развитию финансового рынка ПОСТАНОВЛЯЕТ:

      1. Утвердить Перечень нормативных правовых актов Республики Казахстан по вопросам регулирования информационной безопасности на финансовом рынке, в которые вносятся изменения, согласно приложению к настоящему постановлению.

      2. Управлению кибербезопасности в установленном законодательством Республики Казахстан порядке обеспечить:

      1) совместно с Юридическим департаментом государственную регистрацию настоящего постановления в Министерстве юстиции Республики Казахстан;

      2) размещение настоящего постановления на официальном интернет-ресурсе Агентства Республики Казахстан по регулированию и развитию финансового рынка после его официального опубликования;

      3) в течение десяти рабочих дней после государственной регистрации настоящего постановления представление в Юридический департамент сведений об исполнении мероприятия, предусмотренного подпунктом 2) настоящего пункта.

      3. Контроль за исполнением настоящего постановления возложить на курирующего заместителя Председателя Агентства Республики Казахстан по регулированию и развитию финансового рынка.

      4. Настоящее постановление вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования.

      Председатель Агентства
Республики Казахстан
по регулированию
и развитию финансового рынка
М. Абылкасымова

      "СОГЛАСОВАНО"
Национальный Банк
Республики Казахстан

  Приложение
к постановлению

Перечень нормативных правовых актов Республики Казахстан по вопросам регулирования информационной безопасности на финансовом рынке, в которые вносятся изменения

      1. Утратил силу постановлением Правления Агентства РК по регулированию и развитию финансового рынка от 03.04.2026 № 53 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      2. Внести в постановление Правления Агентства Республики Казахстан по регулированию и развитию финансового рынка от 21 сентября 2020 года № 90 "Об утверждении Требований к службам реагирования на инциденты информационной безопасности, проведению внутренних расследований инцидентов информационной безопасности" (зарегистрировано в Реестре государственной регистрации нормативных правовых актов под № 21274) следующее изменение:

      в Требованиях к службам реагирования на инциденты информационной безопасности, проведению внутренних расследований инцидентов информационной безопасности, утвержденных указанным постановлением:

      пункт 2 изложить в следующей редакции:

      "2. В Требованиях используются понятия, предусмотренные Законом Республики Казахстан "Об информатизации", постановлением Правления Национального Банка Республики Казахстан от 27 марта 2018 года № 48 "Об утверждении Требований к обеспечению информационной безопасности банков, филиалов банков-нерезидентов Республики Казахстан и организаций, осуществляющих отдельные виды банковских операций, Правил и сроков предоставления информации об инцидентах информационной безопасности, включая сведения о нарушениях, сбоях в информационных системах", зарегистрированным в Реестре государственной регистрации нормативных правовых актов под № 16772, а также следующие понятия:

      1) ретроспективный анализ событий информационной безопасности – анализ совокупности данных, полученных в ходе мониторинга событий информационной безопасности за определенный промежуток времени с целью выявления необнаруженных ранее инцидентов информационной безопасности;

      2) внутреннее расследование инцидента информационной безопасности – процесс, осуществляемый работниками банка, организации и третьими лицами в целях установления причин и предпосылок возникновения инцидента информационной безопасности, порядка реализации инцидента информационной безопасности, оценки масштаба воздействия и ущерба от реализации инцидента информационной безопасности, анализа эффективности принятых мер реагирования на инциденты информационной безопасности;

      3) стандартная процедура реагирования – порядок применения неотложных мер по локализации инцидента информационной безопасности, вероятность возникновения которого высока без возможности снижения риска возникновения инцидента информационной безопасности в короткие сроки;

      4) индикатор компрометации – уникальная характеристика объекта, наблюдаемого в энергозависимой памяти, на электронных носителях или в сетевом трафике, которая с большой долей вероятности указывает на компрометацию устройства;

      5) уязвимость – недостаток информационной системы или ее отдельных элементов, эксплуатация которого способна привести к нарушению целостности и (или) конфиденциальности и (или) доступности информационной системы.".

      3. Внести в постановление Правления Агентства Республики Казахстан по регулированию и развитию финансового рынка от 23 ноября 2020 года № 111 "Об утверждении методики оценки рисков информационной безопасности, включая порядок ранжирования финансовых организаций по степени подверженности рискам информационной безопасности" (зарегистрировано в Реестре государственной регистрации нормативных правовых актов под № 21686) следующее изменение:

      в Методике оценки рисков информационной безопасности, включая порядок ранжирования финансовых организаций по степени подверженности рискам информационной безопасности, утвержденной указанным постановлением:

      пункт 2 изложить в следующей редакции:

      "2. В Методике используются следующие понятия:

      1) бизнес-владелец информационного актива – владелец основного бизнес-процесса, для обеспечения жизненного цикла которого используется информационный актив;

      2) угроза информационной безопасности – совокупность условий и факторов, создающих предпосылки к возникновению инцидента информационной безопасности;

      3) риск информационной безопасности – вероятное возникновение ущерба вследствие нарушения конфиденциальности, преднамеренного нарушения целостности или доступности информационных активов;

      4) уровень риска информационной безопасности - комбинация вероятности события и его последствий;

      5) уровень существенности убытков от нарушения информационной безопасности – уровень убытков от нарушения информационной безопасности в финансовой организации, превышение которого по отдельному информационному активу не приемлемо для финансовой организации;

      6) критичный информационный актив – информационный актив, определяемый в соответствии с постановлением Правления Национального Банка Республики Казахстан от 27 марта 2018 года № 48 "Об утверждении Требований к обеспечению информационной безопасности банков, филиалов банков-нерезидентов Республики Казахстан и организаций, осуществляющих отдельные виды банковских операций, Правил и сроков предоставления информации об инцидентах информационной безопасности, включая сведения о нарушениях, сбоях в информационных системах", зарегистрированным в Реестре государственной регистрации нормативных правовых актов под № 16772.".