Постановление Правления Национального Банка Республики Казахстан № 48 от 27.03.2018

4. Первый руководитель банка, организации обеспечивает создание, функционирование и улучшение системы управления информационной безопасностью, являющейся частью общей системы управления банка, организации, предназначенной для управления процессом обеспечения информационной безопасности.

5. Система управления информационной безопасностью обеспечивает защиту информационных активов банка, организации, предусматривающую минимальный уровень потенциального ущерба для бизнес-процессов банка, организации.

6. Банк, организация обеспечивают надлежащий уровень системы управления информационной безопасностью, ее развитие и улучшение.

7. Участниками системы управления информационной безопасностью банка, организации являются:

     1) орган управления;

     2) исполнительный орган;

     3) коллегиальный орган, уполномоченный принимать решения по задачам обеспечения информационной безопасности (далее - коллегиальный орган);

     4) подразделение по информационной безопасности;

     5) подразделение по информационным технологиям;

     6) подразделение по безопасности;

     7) подразделение по работе с персоналом;

     8) юридическое подразделение;

     9) подразделение по комплаенс-контролю;

     10) подразделение внутреннего аудита;

     11) подразделение по управлению рисками информационной безопасности.

Функции подразделений, указанные в подпунктах 4), 5), 6), 7), 8), 9), 10) и 11) части первой настоящего пункта, в организации осуществляются подразделениями, указанными в части первой настоящего пункта, либо ответственными работниками организации.

8. Банк, организация при создании и функционировании системы управления информационной безопасностью обеспечивают независимость подразделения по информационной безопасности и подразделения по информационным технологиям посредством их подчинения разным членам исполнительного органа банка, организации или напрямую руководителю исполнительного органа банка, организации.

9. Орган управления банка, организации утверждает политику информационной безопасности, которая определяет:

     1) цели, задачи и основные принципы построения системы управления информационной безопасностью;

     2) область действия системы управления информационной безопасностью;

     3) требования к управлению доступом к создаваемой, хранимой и обрабатываемой информации в информационных активах банка, организации;

     4) требования к осуществлению мониторинга деятельности по обеспечению информационной безопасности и мероприятий по выявлению и анализу угроз, противодействию атакам и расследованию инцидентов информационной безопасности;

     5) требования к осуществлению сбора, консолидации и хранения информации об инцидентах информационной безопасности;

     6) требования к проведению анализа информации об инцидентах информационной безопасности;

     7) ответственность работников банка, организации за обеспечение информационной безопасности при исполнении возложенных на них функциональных обязанностей.

10. Орган управления банка, организации при формировании бюджета учитывает потребности в ресурсах для обеспечения информационной безопасности банка, организации.

11. Орган управления банка, организации утверждает перечень защищаемой информации, включающий в том числе информацию о сведениях, составляющих служебную, коммерческую или иную охраняемую законом тайну (далее - защищаемая информация), и порядок работы с защищаемой информацией.

12. Исполнительный орган банка, организации утверждает внутренние документы, регламентирующие процесс управления информационной безопасностью, порядок и периодичность пересмотра которых определяется внутренними документами банка, организации.

13. Банк, организация создают коллегиальный орган, в состав которого входят представители подразделения по информационной безопасности, подразделения по управлению рисками информационной безопасности, подразделения по информационным технологиям, а также по решению руководителя коллегиального органа банка, организации представители иных подразделений банка, организации или возлагают на исполнительный орган функции коллегиального органа при соответствии исполнительного органа требованиям к составу коллегиального органа, указанным в настоящем пункте. 

В случае создания в банке, организации коллегиального органа руководителем коллегиального органа банка, организации назначается руководитель исполнительного органа банка, организации либо член исполнительного органа банка, организации, курирующий деятельность подразделения по информационной безопасности.

14. Подразделение по информационной безопасности в целях обеспечения конфиденциальности, целостности и доступности информации банка, организации осуществляет следующие функции:

     1) организует систему управления информационной безопасностью, осуществляет координацию и контроль деятельности подразделений банка, организации по обеспечению информационной безопасности и мероприятий по выявлению и анализу угроз, противодействию атакам и расследованию инцидентов информационной безопасности;

     2) разрабатывает политику информационной безопасности банка, организации;

     3) обеспечивает методологическую поддержку процесса обеспечения информационной безопасности банка, организации;

     4) осуществляет выбор, внедрение и применение методов, средств и механизмов управления, обеспечения и контроля информационной безопасности банка, организации в рамках своих полномочий;

     5) осуществляет сбор, консолидацию, хранение и обработку информации об инцидентах информационной безопасности;

     6) осуществляет анализ информации об инцидентах информационной безопасности;

     7) подготавливает предложения для принятия коллегиальным органом решений по вопросам информационной безопасности;

     8) обеспечивает внедрение, надлежащее функционирование программно-технических средств, автоматизирующих процесс обеспечения информационной безопасности банка, организации, а также предоставление доступа к ним;

     9) определяет требования информационной безопасности по использованию привилегированных учетных записей;

     10) обеспечивает проведение мероприятий по повышению осведомленности работников банка, организации в области информационной безопасности;

     11) осуществляет мониторинг состояния системы управления информационной безопасностью банка, организации;

     12) осуществляет информирование руководства банка, организации о состоянии системы управления информационной безопасностью банка, организации.

15. Банк, организация определяют возможность возложения на подразделение по информационной безопасности функций по обеспечению технической безопасности. Подразделение по информационной безопасности не осуществляет функции, влекущие конфликт интересов с их основными функциями.

16. Подразделение по информационным технологиям осуществляет следующие функции:

     1) разрабатывает и поддерживает актуальность схемы информационной инфраструктуры банка, организации;

     2) обеспечивает предоставление доступа работникам банка, организации, использующим информационные активы банка, организации (далее - пользователь) к информационным активам банка, организации, за исключением специализированных информационных активов, доступ к которым предоставляется ИТ-менеджерами информационных систем, не относящимися к подразделению по информационным технологиям;
     3) обеспечивает формирование типовых настроек и конфигурирование системного и прикладного программного обеспечения банка, организации с учетом требований информационной безопасности;

     4) обеспечивает исполнение требований по непрерывности функционирования информационной инфраструктуры, конфиденциальности, целостности и доступности данных информационных систем банка, организации (включая резервирование и (или) архивирование и резервное копирование информации) в соответствии с внутренними документами банка, организации;

     5) обеспечивает соблюдение требований информационной безопасности при выборе, внедрении, разработке и тестировании информационных систем.

17. Банк, организация определяют возможность делегирования подразделениям банка, организации отдельных функций, указанных в пунктах 14 и 16 Требований.

18. Подразделение по безопасности осуществляет следующие функции:

     1) реализует меры физической и технической безопасности в банке, организации, в том числе организует пропускной и внутриобъектовый режим;

     2) проводит профилактические мероприятия, направленные на минимизацию рисков возникновения угроз информационной безопасности при приеме на работу и увольнении работников банка, организации.

19. Подразделение по работе с персоналом осуществляет следующие функции:

     1) обеспечивает подписание работниками банка, организации, а также лицами, привлеченными к работе по договору об оказании услуг, стажерами, практикантами обязательств о неразглашении конфиденциальной информации;

     2) участвует в организации процесса повышения осведомленности работников банка, организации в области информационной безопасности.

     3) уведомляет уполномоченный орган о назначении и увольнении работников подразделения по информационной безопасности.

20. Юридическое подразделение осуществляет правовую экспертизу внутренних документов банка, организации по вопросам обеспечения информационной безопасности.

21. Подразделение по комплаенс-контролю совместно с юридическим подразделением банка, организации определяет виды информации, подлежащие включению в перечень защищаемой информации, предусмотренный пунктом 11 Требований.

22. Подразделение внутреннего аудита проводит оценку состояния системы управления информационной безопасностью банка, организации в соответствии с внутренними документами банка, организации, регламентирующими организацию системы внутреннего аудита банка, организации.

23. Подразделение по управлению рисками информационной безопасности банка осуществляет функции, предусмотренные Правилами формирования системы управления рисками и внутреннего контроля для банков второго уровня, филиалов банков-нерезидентов Республики Казахстан, утвержденными постановлением Правления Национального Банка Республики Казахстан от 12 ноября 2019 года № 188, зарегистрированными в Реестре государственной регистрации нормативных правовых актов под № 19632.

Подразделение по управлению рисками информационной безопасности организации осуществляет функции в соответствии с внутренними документами организации.

24. Руководители структурных подразделений банка, организации:
     1) обеспечивают ознакомление работников с внутренними документами банка, организации, содержащими требования к информационной безопасности (далее - требования к информационной безопасности);

     2) несут персональную ответственность за обеспечение информационной безопасности в возглавляемых ими подразделениях;

     3) обеспечивают заключение соглашений о неразглашении конфиденциальной информации и включение условий об обеспечении информационной безопасности в соглашения, договоры на оказание услуг/выполнение работ в случаях, когда подразделение банка, организации выступает инициатором заключения таких соглашений, договоров.

25. Бизнес-владельцы информационных систем или подсистемы:

     1) отвечают за соблюдение требований к информационной безопасности при создании, внедрении, модификации, эксплуатации информационных систем и предоставлении продуктов и услуг клиентам и подразделениям банка, организации, а также при интеграции информационных систем с внешними информационными системами, включая информационные системы государственных органов;

     2) формируют и поддерживают актуальность матриц доступа к информационным системам.

26. Работники структурных подразделений банка, организации:

     1) отвечают за соблюдение требований к информационной безопасности, принятых в банке, организации;

     2) контролируют исполнение требований к информационной безопасности третьими лицами, с которыми они взаимодействуют в рамках своих функциональных обязанностей, в том числе путем включения указанных требований в соглашения, договоры с третьими лицами;

     3) извещают своего непосредственного руководителя и подразделение по информационной безопасности обо всех подозрительных ситуациях и нарушениях при работе с информационными активами банка, организации.

28. Банк, организация ежегодно, не позднее 10 января года, следующего за отчетным годом, представляют в уполномоченный орган информацию о состоянии системы управления информационной безопасностью и ее соответствии Требованиям (далее - информация о СУИБ).

29. Информация о СУИБ составляется в произвольной форме и представляется в уполномоченный орган в электронном формате с использованием транспортной системы гарантированной доставки информации с криптографическими средствами защиты,обеспечивающей конфиденциальность и некорректируемость представляемых данных или на бумажном носителе.

30. Информация о СУИБ включает сведения о (об):

     1) области действия системы управления информационной безопасностью банка, организации и ее участниках с указанием соответствия их функционала Требованиям;

     2) наличии документов, регламентирующих создание и функционирование системы управления информационной безопасностью;
     3) наличии и количественном составе программно-технических средств, используемых для обеспечения информационной безопасности;

     4) имеющихся в договорах о предоставлении услуг, заключенных с операторами связи, условий и обязательств по обеспечению информационной безопасности;

     5) наличии, материально-технической обеспеченности и готовности резервных центров обработки данных;

     6) проведенных мероприятиях по приведению системы управления информационной безопасностью и информационных активов банка, организации в соответствие с Требованиями.