Постановление Правления Национального Банка Республики Казахстан № 48 от 27.03.2018

В соответствии с пунктом 7 статьи 61-5 Закона Республики Казахстан от 31 августа 1995 года «О банках и банковской деятельности в Республике Казахстан» Правление Национального Банка Республики Казахстан ПОСТАНОВЛЯЕТ:
1. Утвердить:
     1) Требования к обеспечению информационной безопасности банков, филиалов банков-нерезидентов Республики Казахстан и организаций, осуществляющих отдельные виды банковских операций, согласно приложению 1 к настоящему постановлению;
     2) Правила и сроки предоставления информации об инцидентах информационной безопасности, включая сведения о нарушениях, сбоях в информационных системах, согласно приложению 2 к настоящему постановлению.
2. Признать утратившим силу постановление Правления Национального Банка Республики Казахстан от 31 марта 2001 года № 80 «Об утверждении Правил по обеспечению безопасности информационных систем банков второго уровня и организаций, осуществляющих отдельные виды банковских операций (зарегистрированное в Реестре государственной регистрации нормативных правовых актов под № 1517).
3. Управлению информационных угроз и киберзащиты (Перминов Р.В.) в установленном законодательством Республики Казахстан порядке обеспечить:
     1) совместно с Юридическим департаментом (Сарсенова Н.В.) государственную регистрацию настоящего постановления в Министерстве юстиции Республики Казахстан;
     2) в течение десяти календарных дней со дня государственной регистрации настоящего постановления направление его копии в бумажном и электронном виде на казахском и русском языках в Республиканское государственное предприятие на праве хозяйственного ведения «Республиканский центр правовой информации» для официального опубликования и включения в Эталонный контрольный банк нормативных правовых актов Республики Казахстан;
     3) размещение настоящего постановления на официальном интернет-ресурсе Национального Банка Республики Казахстан после его официального опубликования;
     4) в течение десяти рабочих дней после государственной регистрации настоящего постановления представление в Юридический департамент сведений об исполнении мероприятий, предусмотренных подпунктами 2), 3) настоящего пункта и пунктом 4 настоящего постановления.
4. Управлению по защите прав потребителей финансовых услуг и внешних коммуникаций (Терентьев А.Л.) обеспечить в течение десяти календарных дней после государственной регистрации настоящего постановления направление его копии на официальное опубликование в периодические печатные издания.
5. Контроль за исполнением настоящего постановления возложить на заместителя Председателя Национального Банка Республики Казахстан Смолякова О.А.
6. Настоящее постановление вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования, за исключением подпункта 1) пункта 1 и пункта 2 настоящего постановления, которые вводятся в действие с 1 декабря 2018 года.

1. Настоящие Требования к обеспечению информационной безопасности банков, филиалов банков-нерезидентов Республики Казахстан и организаций, осуществляющих отдельные виды банковский операций (далее - Требования), разработаны в соответствии с пунктом 7 статьи 61-5 Закона Республики Казахстан «О банках и банковской деятельности в Республике Казахстан» и устанавливают требования к обеспечению информационной безопасности банков, филиалов банков-нерезидентов Республики Казахстан (далее - банк) и организаций, осуществляющих отдельные виды банковских операций (далее - организация).

2. В Требованиях используются понятия, предусмотренные Законом Республики Казахстан «Об информатизации», а также следующие понятия:
     1) информационная безопасность в сфере информатизации (далее - информационная безопасность) - состояние защищенности электронных информационных ресурсов, информационных систем и информационно-коммуникационной инфраструктуры от внешних и внутренних угроз;

     2) штатный носитель информации - носитель информации, являющийся составной частью объекта информационно-коммуникационной инфраструктуры и подключенный к нему на постоянной основе;

     3) информационный актив - совокупность информации и объекта информационно-коммуникационной инфраструктуры, используемого для ее хранения и (или) обработки;

     4) ИТ-менеджер информационной системы/актива - работник или подразделение (работники или подразделения) банка, организации ответственные за поддержание информационной системы/актива в состоянии, соответствующем требованиям бизнес-владельца информационной системы/актива;

     5) бизнес-владелец информационной системы или подсистемы - подразделение (работник) банка, организации, являющееся (являющийся) владельцем основного бизнес-процесса, который автоматизирует информационная система или подсистема;

     6) информационно-коммуникационная инфраструктура (далее - информационная инфраструктура) - совокупность объектов информационно-коммуникационной инфраструктуры, предназначенных для обеспечения функционирования технологической среды в целях формирования электронных информационных ресурсов и предоставления доступа к ним;

     7) периметр защиты информационно-коммуникационной инфраструктуры - совокупность программно-аппаратных средств, отделяющих информационно-коммуникационную инфраструктуру банка, организации от внешних информационных сетей и реализующих защиту от угроз информационной безопасности;

     8) угроза информационной безопасности - совокупность условий и факторов, создающих предпосылки к возникновению инцидента информационной безопасности;

     9) риск информационной безопасности — вероятное возникновение ущерба вследствие нарушения конфиденциальности, преднамеренного нарушения целостности или доступности информационных активов банка, организации;

     10) обеспечение информационной безопасности - процесс, направленный на поддержание состояния конфиденциальности, целостности и доступности информационных активов банка, организации;

     11) информация об инцидентах информационной безопасности - информация об отдельно или серийно возникающих сбоях в работе информационно-коммуникационной инфраструктуры или отдельных ее объектов, создающих угрозу их надлежащему функционированию и (или) условия для незаконного получения, копирования, распространения, модификации, уничтожения или блокирования электронных информационных ресурсов;

     12) инцидент информационной безопасности - отдельно или серийно возникающие сбои в работе информационно-коммуникационной инфраструктуры или отдельных ее объектов, создающие угрозу их надлежащему функционированию и (или) условия для незаконного получения, копирования, распространения, модификации, уничтожения или блокирования электронных информационных ресурсов;

     13) предустановленные учетные записи - учетные записи информационных систем, установленные их производителями;
     14) привилегированная учетная запись - учетная запись в информационной системе, обладающая привилегиями создания, удаления и изменения прав доступа учетных записей;

     15) консоль администрирования и мониторинга - рабочая станция, позволяющая осуществлять удаленное управление информационной системой;

     16) бизнес-процесс - совокупность взаимосвязанных мероприятий или задач, направленных на создание определенного продукта или услуги для внешнего или внутреннего потребителя;

     17) владелец бизнес-процесса - подразделение (работник) банка, организации, отвечающее (отвечающий) за жизненный цикл бизнес-процесса и координацию деятельности подразделений банка, организации, вовлеченных в бизнес-процесс;

     18) виртуальная среда - вычислительные ресурсы или их логическое объединение, абстрагированное от аппаратной реализации, и обеспечивающее при этом логическую изоляцию друг от друга вычислительных процессов, выполняемых на одном физическом ресурсе;

     19) гипервизор - программное или аппаратно-программное обеспечение, позволяющее создавать и запускать одновременно несколько операционных систем на одном и том же сервере или компьютере;

     20) протокол передачи данных - набор правил и действий, позволяющий осуществлять соединение и обмен данными между двумя и более включенными в сеть устройствами;

     21) центр обработки данных - специально выделенное помещение, в котором размещены серверы, обеспечивающие работу информационных систем банка, организации;

     22) межсетевой экран - элемент информационной инфраструктуры, осуществляющий контроль и фильтрацию проходящего через него сетевого трафика в соответствии с заданными правилами;

     23) рабочая станция - стационарный персональный компьютер пользователя информационного актива банка, организации;

     24) доступ - возможность использования информационных активов банка, организации;

     25) групповые политики безопасности - реализованные средствами информационных систем типовые наборы правил информационной безопасности;

     26) приложение - прикладное программное обеспечение пользователя информационной системы;

     27) резервная копия - копия данных на носителе информации, предназначенная для восстановления данных в оригинальном или новом месте их расположения в случае их повреждения или разрушения;

     28) сигнатуры - набор данных, идентифицирующих программный код;

     29) обеспечение технической безопасности - процесс обеспечения безопасности банка, организации с использованием технических средств (системы охранной и пожарной сигнализации, контроля и управления доступом, видеонаблюдения, пожаротушения, контроля температурного режима и влажности в центре обработки данных);

     30) технологическая учетная запись - учетная запись в информационной системе, предназначенная для аутентификации при взаимодействии информационных систем;
     31) корректирующая мера - набор организационных и технических мероприятий, направленных на исправление существующей проблемы в процессе обеспечения информационной безопасности либо последствий ее нарушения;

     32) уполномоченный орган - уполномоченный орган по регулированию, контролю и надзору финансового рынка и финансовых организаций. 

27. В случае, если отдельные функции обеспечения информационной безопасности банка, организации переданы сторонним организациям, член исполнительного органа, курирующий вопросы информационной безопасности, является ответственным за обеспечение информационной безопасности банка, организации.

31. Уполномоченный орган осуществляет оценку соответствия банка, организации Требованиям не реже одного раза в 3 (три) года.

2. В Правилах используются понятия, предусмотренные Законом Республики Казахстан «Об информатизации», а также следующие понятия:

     1) информационная безопасность в сфере информатизации (далее - информационная безопасность) - состояние защищенности электронных информационных ресурсов, информационных систем и информационно-коммуникационной инфраструктуры от внешних и внутренних угроз;

     2) информационно-коммуникационная инфраструктура (далее - информационная инфраструктура) - совокупность объектов информационно-коммуникационной инфраструктуры, предназначенных для обеспечения функционирования технологической среды в целях формирования электронных информационных ресурсов и предоставления доступа к ним;

     3) угроза информационной безопасности - совокупность условий и факторов, создающих предпосылки к возникновению инцидента информационной безопасности;

     4) информация об инцидентах информационной безопасности - информация об отдельно или серийно возникающих сбоях в работе информационно-коммуникационной инфраструктуры или отдельных ее объектов, создающих угрозу их надлежащему функционированию и (или) условия для незаконного получения, копирования, распространения, модификации, уничтожения или блокирования электронных информационных ресурсов банка, организации;

     5) инцидент информационной безопасности - отдельно или серийно возникающие сбои в работе информационно-коммуникационной инфраструктуры или отдельных ее объектов, создающие угрозу их надлежащему функционированию и (или) условия для незаконного получения, копирования, распространения, модификации, уничтожения или блокирования электронных информационных ресурсов банка, организации;

     6) доступ - возможность использования информационных активов;

     7) атака типа «отказ в обслуживании» (DoS или DDoS-атака, в зависимости от количества атакующих внешних источников атаки) - атака на информационную систему с целью нарушения штатного режима ее работы или создание условий, при которых легальные пользователи системы не могут получить доступ к предоставляемым ресурсам, либо этот доступ затруднен;

     8) уполномоченный орган - уполномоченный орган по регулированию, контролю и надзору финансового рынка и финансовых организаций.