1. Настоящие Требования к службам реагирования на инциденты информационной безопасности, проведению внутренних расследований инцидентов информационной безопасности (далее – Требования) разработаны в соответствии с Законом Республики Казахстан от 4 июля 2003 года "О государственном регулировании, контроле и надзоре финансового рынка и финансовых организаций" и устанавливают требования к службам реагирования на инциденты информационной безопасности, проведению внутренних расследований инцидентов информационной безопасности банков второго уровня и филиалов банков-нерезидентов Республики Казахстан (далее – банк), организаций, осуществляющих отдельные виды банковских операций, (далее – организация).
2. В Требованиях используются понятия, предусмотренные Законом Республики Казахстан "Об информатизации", постановлением Правления Национального Банка Республики Казахстан от 27 марта 2018 года № 48 "Об утверждении Требований к обеспечению информационной безопасности банков, филиалов банков-нерезидентов Республики Казахстан и организаций, осуществляющих отдельные виды банковских операций, Правил и сроков предоставления информации об инцидентах информационной безопасности, включая сведения о нарушениях, сбоях в информационных системах", зарегистрированным в Реестре государственной регистрации нормативных правовых актов под № 16772, а также следующие понятия:
- ретроспективный анализ событий информационной безопасности – анализ совокупности данных, полученных в ходе мониторинга событий информационной безопасности, за промежуток времени не менее трех месяцев на основе обновленных индикаторов компрометации и иных сведений о релевантных угрозах информационной безопасности с целью выявления необнаруженных ранее инцидентов информационной безопасности и (или) связанных с ними угроз информационной безопасности;
- внутреннее расследование инцидента информационной безопасности – процесс, осуществляемый работниками банка, организации и третьими лицами в целях установления причин и предпосылок возникновения инцидента информационной безопасности, порядка реализации инцидента информационной безопасности, оценки масштаба воздействия и ущерба от реализации инцидента информационной безопасности, анализа эффективности принятых мер реагирования на инциденты информационной безопасности;
- стандартная процедура реагирования – порядок применения неотложных мер по локализации инцидента информационной безопасности, вероятность возникновения которого высока без возможности снижения риска возникновения инцидента информационной безопасности в короткие сроки;
- индикатор компрометации – уникальная характеристика объекта, наблюдаемого в энергозависимой памяти, на электронных носителях или в сетевом трафике, которая с большой долей вероятности указывает на компрометацию устройства;
- уязвимость – недостаток информационной системы или ее отдельных элементов, эксплуатация которого способна привести к нарушению целостности и (или) конфиденциальности и (или) доступности информационной системы.
3. Банк, организация обеспечивает создание структурного подразделения по реагированию на инциденты информационной безопасности – службу реагирования на инциденты информационной безопасности (далее – служба реагирования).
4. В целях надлежащего функционирования службы реагирования банк, организация обеспечивает:
- внедрение, надлежащее функционирование программно-технических средств, автоматизирующих процессы мониторинга событий информационной безопасности и реагирования на инциденты информационной безопасности;
- определение перечня событий и (или) совокупностей событий информационной безопасности, требующих обязательного незамедлительного реагирования на них службой реагирования, с фиксацией предпринятых мер (далее – перечень событий информационной безопасности), источников событий информационной безопасности, периодичности, порядка и методов мониторинга событий информационной безопасности;
- определение порядка отнесения событий информационной безопасности к инцидентам информационной безопасности, их классификации и приоритизации;
- разработку, поддержание в актуальном состоянии стандартных процедур реагирования и обучение работников службы реагирования по вопросам применения стандартных процедур реагирования;
- определение порядка информирования руководящих работников банка, организации, подразделений банка, организации и уполномоченного органа по регулированию, контролю и надзору финансового рынка и финансовых организаций (далее – уполномоченный орган), в том числе для принятия решения о проведении внутреннего расследования инцидента информационной безопасности;
- определение порядка учета, хранения, обеспечения целостности и сохранности информации об инцидентах информационной безопасности, включая сведения о нарушениях, сбоях в информационных системах, информации о результатах внутренних расследований инцидентов информационной безопасности и материалов этих расследований;
- определение ответственных работников и (или) подразделений банка, организации, вовлеченных в процесс реагирования на инциденты информационной безопасности;
- определение порядка принятия неотложных мер по устранению инцидентов информационной безопасности, установления причин возникновения инцидентов информационной безопасности и их последствий;
- наделение службы реагирования полномочиями по введению дополнительных мер контроля по частичной или полной остановке бизнес-процесса в банке, организации в случае выявления инцидента информационной безопасности;
- не реже одного раза в год пересмотр перечня событий информационной безопасности, источников событий информационной безопасности, периодичности, порядка и методов мониторинга событий информационной безопасности;
- не реже одного раза в год анализ выявленных инцидентов информационной безопасности и нанесенного ими ущерба для рассмотрения коллегиальным органом банка, организации с целью оценки рисков информационной безопасности, корректировки методов и средств обеспечения информационной безопасности, изменения бизнес-процессов банка, организации;
- наличие документов, сведений и фактов, подтверждающих реализацию порядка реагирования на инциденты информационной безопасности;
- режим работы службы реагирования, обеспечивающий непрерывность реагирования на инциденты информационной безопасности, возникающие в критических информационных системах банка, организации;
- в случаях нанесения материального ущерба банку, организации и (или) клиентам банка, организации вследствие реализации инцидента информационной безопасности, проведение внутреннего расследования инцидента информационной безопасности, с уведомлением уполномоченного органа о начале, сроках и результатах проведения расследования.
5. Порядок реагирования на инциденты информационной безопасности службой реагирования устанавливается внутренними документами банка, организации и состоит из следующих этапов, включая, но не ограничиваясь ими:
- мониторинг событий информационной безопасности и выявление инцидентов информационной безопасности (далее – этап мониторинга и выявления);
- локализация и противодействие инциденту информационной безопасности (далее – этап реагирования);
- внутреннее расследование инцидента информационной безопасности (далее – этап внутреннего расследования).
6. В случае передачи отдельных функций службы реагирования сторонней организации-юридическому лицу банк, организация обеспечивает исполнение Требований, в том числе путем включения соответствующих норм Требований в договоры оказания услуг, заключаемых с третьими лицами.
