Куда я попал?
Постановление Правления Агентства Республики Казахстан № 111 от 23.11.2020
Методика оценки рисков информационной безопасности, включая порядок ранжирования финансовых организаций по степени подверженности рискам информационной безопасности
Об утверждении методики оценки рисков информационной безопасности, включая порядок ранжирования финансовых организаций по степени подверженности рискам информационной безопасности
Для проведения оценки соответствия по документу войдите в систему.
Для оценки соответствия
- авторизуйтесь
- авторизуйтесь
Планируемый уровень
Текущий уровень
Группы областей
90
%
Входящая логистика
73
%
Создание продукта
40
%
Исходящая логистика
68
%
Маркетинг, продажа
87
%
Обслуживание клиента
91
%
Инфраструктура
75
%
HR-менеджмент
88
%
Технологии
46
%
Закупки / Снабжение
86
%
Опыт клиента
Список требований
-
1. Настоящая Методика оценки рисков информационной безопасности, включая порядок ранжирования финансовых организаций по степени подверженности рискам информационной безопасности (далее - Методика), разработана в соответствии с Законом Республики Казахстан от 4 июля 2003 года "О государственном регулировании, контроле и надзоре финансового рынка и финансовых организаций" и применяется в целях организации процесса оценки рисков информационной безопасности в финансовых организациях и филиалах банков - нерезидентов Республики Казахстан, филиалах страховых (перестраховочных) организаций - нерезидентов Республики Казахстан, филиалах страховых брокеров - нерезидентов Республики Казахстан (далее – финансовые организации), к которым предъявляются требования по проведению оценки рисков информационной безопасности, для определения приоритетов и оптимизации ресурсов, задействованных при обработке рисков информационной безопасности в финансовых организациях.
2. В Методике используются следующие понятия:- бизнес-владелец информационного актива – владелец основного бизнес-процесса, для обеспечения жизненного цикла которого используется информационный актив;
- угроза информационной безопасности – совокупность условий и факторов, создающих предпосылки к возникновению инцидента информационной безопасности;
- риск информационной безопасности – вероятное возникновение ущерба вследствие нарушения конфиденциальности, преднамеренного нарушения целостности или доступности информационных активов;
- уровень риска информационной безопасности - комбинация вероятности события и его последствий;
- уровень существенности убытков от нарушения информационной безопасности – уровень убытков от нарушения информационной безопасности в финансовой организации, превышение которого по отдельному информационному активу не приемлемо для финансовой организации;
- критичный информационный актив – информационный актив, определяемый в соответствии с постановлением Правления Национального Банка Республики Казахстан от 27 марта 2018 года № 48 "Об утверждении Требований к обеспечению информационной безопасности банков, филиалов банков-нерезидентов Республики Казахстан и организаций, осуществляющих отдельные виды банковских операций, Правил и сроков предоставления информации об инцидентах информационной безопасности, включая сведения о нарушениях, сбоях в информационных системах", зарегистрированным в Реестре государственной регистрации нормативных правовых актов под № 16772.
3. Для оценки рисков информационной безопасности финансовой организацией проводятся следующие мероприятия:- формирование перечня критичных информационных активов;
- оценка рисков информационной безопасности для критичных информационных активов.
-
5. Анализ бизнес-процессов, входящих в область действия системы управления информационной безопасностью финансовой организации, осуществляется подразделениями-владельцами бизнес-процессов финансовой организации под руководством подразделения по управлению рисками финансовой организации с целью идентификации информационных активов, необходимых для функционирования бизнес-процессов. Виды идентифицируемых информационных активов определяются по перечню видов информационных активов согласно приложению 1 к Методике.
Для идентификации информационных активов по решению подразделения-владельца бизнес-процесса финансовой организации привлекается подразделение по информационным технологиям финансовой организации. -
7. Для оценки потенциальных убытков от нарушения информационной безопасности информационных активов финансовая организация обеспечивает участие в оценке убытков сотрудников, обладающих знаниями:
- внутренних документов финансовой организации, регламентирующих профессиональную деятельность, соответствующую бизнес-процессам, в которых используются информационные активы;
- бизнес-процессов, в которых используются информационные активы, а также процессов работы с информационными активами;
- факторов, влияющих на размер потенциальных убытков, указанных в пункте 8 Методики.
-
10. Перечень критичных информационных активов формируется и актуализируется рабочей группой под руководством подразделения по управлению рисками финансовой организации. В перечень критичных информационных активов включаются информационные активы, убытки от нарушения свойств которых превышают установленный уровень существенности убытков от нарушения информационной безопасности. Для каждого критичного информационного актива указывается его вид и тип в соответствии с Перечнем видов информационных активов согласно приложению 1 к Методике, убытки от нарушения свойств (конфиденциальности, целостности и (или) доступности), а также бизнес-владелец информационного актива.
-
12. Идентификация угроз информационной безопасности критичным информационным активам осуществляется подразделением по информационной безопасности финансовой организации. Для каждого критичного информационного актива анализируются угрозы информационной безопасности, в том числе указанные в Перечне угроз информационной безопасности информационным активам согласно приложению 2 к Методике.
-
13. Идентификация источников угроз информационной безопасности, релевантных для критичных информационных активов, осуществляется подразделением по информационной безопасности финансовой организации на основании перечня критичных информационных активов, указанного в пункте 10 Методики, и угроз информационной безопасности критичным информационным активам, идентифицированных в соответствии с пунктом 12 Методики. Для каждой идентифицированной угрозы информационной безопасности критичным информационным активам анализируются релевантные источники угроз информационной безопасности с учетом источников угроз информационной безопасности, указанных в Перечне типовых источников угроз информационной безопасности согласно приложению 3 к Методике.
-
15. Идентификация существующих мер управления рисками информационной безопасности для критичных информационных активов осуществляется подразделением по информационной безопасности финансовой организации на основании перечня критичных информационных активов, указанного в пункте 10 Методики, с учетом информации об организационных и технических мероприятиях, направленных на исправление существующих недостатков в процессе обеспечения информационной безопасности критичных информационных активов либо последствий ее нарушения.
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.