• Мое избранное
  • Сохранить в Word
  • Сохранить в Word
    (альбомная ориентация)
  • Сохранить в Word
    (с оглавлением)
  • Сохранить в PDF
  • Отправить по почте
Об утверждении Требований к обеспечению информационной безопасности банков и организаций, осуществляющих отдельные виды банковских операций, Правил и сроков предоставления информации об инцидентах информационной безопасности, включая сведения о нарушениях, сбоях в информационных системах
Документ показан в демонстрационном режиме! Стоимость: 80 тг/год
Внимание! Недействующая редакция документа.

Отправить по почте

Toggle Dropdown
  • Комментировать
  • Поставить закладку
  • Оставить заметку
  • Информация new
  • Скопировать ссылку
  • Редакции абзаца 
Об утверждении Требований к обеспечению информационной безопасности банков и организаций, осуществляющих отдельные виды банковских операций, Правил и сроков предоставления информации об инцидентах информационной безопасности, включая сведения о нарушениях, сбоях в информационных системах
Постановление Правления Национального Банка Республики Казахстан от 27 марта 2018 года № 48
Зарегистрировано в Министерстве юстиции Республики Казахстан 18 апреля 2018 года № 16772

Данная редакция действовала до внесения изменений  от 01.01.2020 г.
В соответствии с подпунктом 86-1) части второй статьи 15 Закона Республики Казахстан от 30 марта 1995 года «О Национальном Банке Республики Казахстан» и пунктом 7 статьи 61-5 Закона Республики Казахстан от 31 августа 1995 года «О банках и банковской деятельности в Республике Казахстан» Правление Национального Банка Республики Казахстан ПОСТАНОВЛЯЕТ:
1. Утвердить:
1) Требования к обеспечению информационной безопасности банков и организаций, осуществляющих отдельные виды банковских операций, согласно приложению 1 к настоящему постановлению;
Подпункт 1 введен в действии с 1 декабря 2018 года, в соответствии с пунктом 6 настоящего постановления
2) Правила и сроки предоставления информации об инцидентах информационной безопасности, включая сведения о нарушениях, сбоях в информационных системах, согласно приложению 2 к настоящему постановлению.
2. Признать утратившим силу постановление Правления Национального Банка Республики Казахстан от 31 марта 2001 года № 80 «Об утверждении Правил по обеспечению безопасности информационных систем банков второго уровня и организаций, осуществляющих отдельные виды банковских операций (зарегистрированное в Реестре государственной регистрации нормативных правовых актов под № 1517).
Пункт 2 введен в действии с 1 декабря 2018 года, в соответствии с пунктом 6 настоящего постановления
3. Управлению информационных угроз и киберзащиты (Перминов Р.В.) в установленном законодательством Республики Казахстан порядке обеспечить:
1) совместно с Юридическим департаментом (Сарсенова Н.В.) государственную регистрацию настоящего постановления в Министерстве юстиции Республики Казахстан;
2) в течение десяти календарных дней со дня государственной регистрации настоящего постановления направление его копии в бумажном и электронном виде на казахском и русском языках в Республиканское государственное предприятие на праве хозяйственного ведения «Республиканский центр правовой информации» для официального опубликования и включения в Эталонный контрольный банк нормативных правовых актов Республики Казахстан;
3) размещение настоящего постановления на официальном интернет-ресурсе Национального Банка Республики Казахстан после его официального опубликования;
4) в течение десяти рабочих дней после государственной регистрации настоящего постановления представление в Юридический департамент сведений об исполнении мероприятий, предусмотренных подпунктами 2), 3) настоящего пункта и пунктом 4 настоящего постановления.
4. Управлению по защите прав потребителей финансовых услуг и внешних коммуникаций (Терентьев А.Л.) обеспечить в течение десяти календарных дней после государственной регистрации настоящего постановления направление его копии на официальное опубликование в периодические печатные издания.
5. Контроль за исполнением настоящего постановления возложить на заместителя Председателя Национального Банка Республики Казахстан Смолякова О.А.
6. Настоящее постановление вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования, за исключением подпункта 1) пункта 1 и пункта 2 настоящего постановления, которые вводятся в действие с 1 декабря 2018 года.
Председатель Национального Банка Д. Акишев
Приложение 1
к постановлению Правления
Национального Банка
Республики Казахстан
от 27 марта 2018 года № 48
Требования к обеспечению информационной безопасности банков и организаций, осуществляющих отдельные виды банковских операций
Требования к обеспечению информационной безопасности банков и организаций, осуществляющих отдельные виды банковских операций введен в действие с 1 декабря 2018 года, в соответствии с пунктом 6 настоящего постановления
Глава 1. Общие положения
1. Настоящие Требования к обеспечению информационной безопасности банков и организаций, осуществляющих отдельные виды банковский операций, (далее - Требования) разработаны в соответствии с подпунктом 86-1) части второй статьи 15 Закона Республики Казахстан от 30 марта 1995 года «О Национальном Банке Республики Казахстан», пунктом 7 статьи 61-5 Закона Республики Казахстан от 31 августа 1995 года «О банках и банковской деятельности в Республике Казахстан» и устанавливают требования к обеспечению информационной безопасности банков и организаций, осуществляющих отдельные виды банковских операций (далее - организация).
2. В Требованиях используются следующие понятия:
1) штатный носитель информации – носитель информации, являющийся составной частью объекта информационно-коммуникационной инфраструктуры;
2) информация об инцидентах информационной безопасности, включая сведения о нарушениях, сбоях в информационных системах - информация об отдельно или серийно возникающих сбоях в работе информационно-коммуникационной инфраструктуры или отдельных ее объектов, создающих угрозу их надлежащему функционированию и (или) условия для незаконного получения, копирования, распространения, модификации, уничтожения или блокирования электронных информационных ресурсов банка, организации;
3) инцидент информационной безопасности, включая нарушения, сбои в информационных системах (далее - инцидент информационной безопасности) - отдельно или серийно возникающие сбои в работе информационно-коммуникационной инфраструктуры или отдельных ее объектов, создающие угрозу их надлежащему функционированию и (или) условия для незаконного получения, копирования, распространения, модификации, уничтожения или блокирования электронных информационных ресурсов банка, организации;
4) ИТ-менеджер информационной системы – работник или подразделение (работники или подразделения) банка, организации ответственные за поддержание информационной системы в состоянии, соответствующем требованиям бизнес-владельца информационной системы;
5) бизнес-владелец информационной системы или подсистемы – подразделение (работник) банка, организации, являющееся (являющийся) владельцем основного бизнес-процесса, который автоматизирует информационная система;
6) периметр защиты информационно-коммуникационной инфраструктуры - совокупность программно-аппаратных средств, отделяющих информационно-коммуникационную инфраструктуру банка, организации от внешних информационных сетей и обеспечивающих защиту от угроз информационной безопасности;
7) информационная безопасность - состояние защищенности электронных информационных ресурсов, информационных систем и информационно-коммуникационной инфраструктуры от внешних и внутренних угроз;
8) угроза информационной безопасности - совокупность условий и факторов, создающих предпосылки к возникновению инцидента информационной безопасности;
9) риск информационной безопасности — вероятное возникновение ущерба вследствие нарушения конфиденциальности, преднамеренного нарушения целостности или доступности информационных активов банка, организации;
10) обеспечение информационной безопасности - процесс, направленный на поддержание состояния конфиденциальности, целостности и доступности информационных активов банка, организации;
11) предустановленные учетные записи – учетные записи информационных систем, установленные их производителями;
12) привилегированная учетная запись – учетная запись в информационной системе, обладающая привилегиями создания, удаления и изменения прав доступа других учетных записей;
13) консоль администрирования и мониторинга – рабочая станция, позволяющая осуществлять удаленное управление информационной системой;
14) информационный актив банка, организации - совокупность информации и объекта информационно-коммуникационной инфраструктуры, используемого для ее хранения и (или) обработки;
15) информационно-коммуникационная инфраструктура банка, организации (далее – информационная инфраструктура) - совокупность объектов информационно-коммуникационной инфраструктуры, предназначенных для обеспечения функционирования технологической среды в целях формирования электронных информационных ресурсов и предоставления доступа к ним;
16) бизнес-процесс – совокупность взаимосвязанных мероприятий или задач, направленных на создание определенного продукта или услуги для внешнего (клиент) или внутреннего (работник, подразделение банка, организации, другой бизнес-процесс) потребителя;
17) владелец бизнес-процесса – подразделение (работник) банка, организации, отвечающее (отвечающий) за жизненный цикл бизнес-процесса и координацию деятельности подразделений банка, организации, вовлеченных в бизнес-процесс;
18) виртуальная среда – вычислительные ресурсы или их логическое объединение, абстрагированное от аппаратной реализации, и обеспечивающее при этом логическую изоляцию друг от друга вычислительных процессов, выполняемых на одном физическом ресурсе;
19) гипервизор - программное или аппаратно-программное обеспечение, позволяющее создавать и запускать одновременно несколько операционных систем на одном и том же сервере или компьютере;
20) протокол передачи данных - набор правил и действий, позволяющий осуществлять соединение и обмен данными между двумя и более включенными в сеть устройствами;
21) центр обработки данных - специально выделенное помещение, в котором размещены системы и компоненты информационной инфраструктуры банка, организации;
22) межсетевой экран - элемент информационной инфраструктуры, осуществляющий контроль и фильтрацию проходящего через него сетевого трафика в соответствии с заданными правилами;
23) рабочая станция - стационарный персональный компьютер пользователя информационного актива банка, организации;
24) доступ – возможность использования информационных активов;
25) групповые политики безопасности – реализованные средствами информационных систем типовые наборы правил информационной безопасности;
26) приложение – прикладное программное обеспечение пользователя информационной системы;
27) резервная копия – копия данных на носителе информации, предназначенная для восстановления данных в оригинальном или новом месте их расположения в случае их повреждения или разрушения;
28) сигнатуры – набор данных, идентифицирующих программный код;
29) обеспечение технической безопасности - процесс обеспечения безопасности банка, организации с использованием технических средств (системы охранной и пожарной сигнализации, контроля и управления доступом, видеонаблюдения, пожаротушения, контроля температурного режима и влажности в центре обработки данных);