Куда я попал?
Постановление Правления Агентства Республики Казахстан № 111 от 23.11.2020
Постановление Правления Агентства Республики Казахстан по регулированию и развитию финансового рынка № 111
Об утверждении методики оценки рисков информационной безопасности, включая порядок ранжирования финансовых организаций по степени подверженности рискам информационной безопасности
Для проведения оценки соответствия по документу войдите в систему.
Для оценки соответствия
- авторизуйтесь
- авторизуйтесь
Планируемый уровень
Текущий уровень
Группы областей
45
%
Входящая логистика
46
%
Создание продукта
45
%
Исходящая логистика
35
%
Маркетинг, продажа
95
%
Обслуживание клиента
66
%
Инфраструктура
39
%
HR-менеджмент
37
%
Технологии
75
%
Закупки / Снабжение
83
%
Опыт клиента
Список требований
-
1. Настоящая Методика оценки рисков информационной безопасности, включая порядок ранжирования финансовых организаций по степени подверженности рискам информационной безопасности (далее - Методика), разработана в соответствии с Законом Республики Казахстан от 4 июля 2003 года "О государственном регулировании, контроле и надзоре финансового рынка и финансовых организаций" и применяется в целях организации процесса оценки рисков информационной безопасности в финансовых организациях и филиалах банков - нерезидентов Республики Казахстан, филиалах страховых (перестраховочных) организаций - нерезидентов Республики Казахстан, филиалах страховых брокеров - нерезидентов Республики Казахстан (далее – финансовые организации), к которым предъявляются требования по проведению оценки рисков информационной безопасности, для определения приоритетов и оптимизации ресурсов, задействованных при обработке рисков информационной безопасности в финансовых организациях.
2. В Методике используются следующие понятия:- бизнес-владелец информационного актива – владелец основного бизнес-процесса, для обеспечения жизненного цикла которого используется информационный актив;
- угроза информационной безопасности – совокупность условий и факторов, создающих предпосылки к возникновению инцидента информационной безопасности;
- риск информационной безопасности – вероятное возникновение ущерба вследствие нарушения конфиденциальности, преднамеренного нарушения целостности или доступности информационных активов;
- уровень риска информационной безопасности - комбинация вероятности события и его последствий;
- уровень существенности убытков от нарушения информационной безопасности – уровень убытков от нарушения информационной безопасности в финансовой организации, превышение которого по отдельному информационному активу не приемлемо для финансовой организации;
- критичный информационный актив – информационный актив, определяемый в соответствии с постановлением Правления Национального Банка Республики Казахстан от 27 марта 2018 года № 48 "Об утверждении Требований к обеспечению информационной безопасности банков, филиалов банков-нерезидентов Республики Казахстан и организаций, осуществляющих отдельные виды банковских операций, Правил и сроков предоставления информации об инцидентах информационной безопасности, включая сведения о нарушениях, сбоях в информационных системах", зарегистрированным в Реестре государственной регистрации нормативных правовых актов под № 16772.
3. Для оценки рисков информационной безопасности финансовой организацией проводятся следующие мероприятия:- формирование перечня критичных информационных активов;
- оценка рисков информационной безопасности для критичных информационных активов.
-
5. Анализ бизнес-процессов, входящих в область действия системы управления информационной безопасностью финансовой организации, осуществляется подразделениями-владельцами бизнес-процессов финансовой организации под руководством подразделения по управлению рисками финансовой организации с целью идентификации информационных активов, необходимых для функционирования бизнес-процессов. Виды идентифицируемых информационных активов определяются по перечню видов информационных активов согласно приложению 1 к Методике.
Для идентификации информационных активов по решению подразделения-владельца бизнес-процесса финансовой организации привлекается подразделение по информационным технологиям финансовой организации. -
7. Для оценки потенциальных убытков от нарушения информационной безопасности информационных активов финансовая организация обеспечивает участие в оценке убытков сотрудников, обладающих знаниями:
- внутренних документов финансовой организации, регламентирующих профессиональную деятельность, соответствующую бизнес-процессам, в которых используются информационные активы;
- бизнес-процессов, в которых используются информационные активы, а также процессов работы с информационными активами;
- факторов, влияющих на размер потенциальных убытков, указанных в пункте 8 Методики.
-
10. Перечень критичных информационных активов формируется и актуализируется рабочей группой под руководством подразделения по управлению рисками финансовой организации. В перечень критичных информационных активов включаются информационные активы, убытки от нарушения свойств которых превышают установленный уровень существенности убытков от нарушения информационной безопасности. Для каждого критичного информационного актива указывается его вид и тип в соответствии с Перечнем видов информационных активов согласно приложению 1 к Методике, убытки от нарушения свойств (конфиденциальности, целостности и (или) доступности), а также бизнес-владелец информационного актива.
-
12. Идентификация угроз информационной безопасности критичным информационным активам осуществляется подразделением по информационной безопасности финансовой организации. Для каждого критичного информационного актива анализируются угрозы информационной безопасности, в том числе указанные в Перечне угроз информационной безопасности информационным активам согласно приложению 2 к Методике.
-
13. Идентификация источников угроз информационной безопасности, релевантных для критичных информационных активов, осуществляется подразделением по информационной безопасности финансовой организации на основании перечня критичных информационных активов, указанного в пункте 10 Методики, и угроз информационной безопасности критичным информационным активам, идентифицированных в соответствии с пунктом 12 Методики. Для каждой идентифицированной угрозы информационной безопасности критичным информационным активам анализируются релевантные источники угроз информационной безопасности с учетом источников угроз информационной безопасности, указанных в Перечне типовых источников угроз информационной безопасности согласно приложению 3 к Методике.
-
15. Идентификация существующих мер управления рисками информационной безопасности для критичных информационных активов осуществляется подразделением по информационной безопасности финансовой организации на основании перечня критичных информационных активов, указанного в пункте 10 Методики, с учетом информации об организационных и технических мероприятиях, направленных на исправление существующих недостатков в процессе обеспечения информационной безопасности критичных информационных активов либо последствий ее нарушения.
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.