Информация
База данных

Дата обновления БД:

07.05.2024

Добавлено/обновлено документов:

85 / 267

Всего документов в БД:

133423

© 2003—2024
СоюзПравоИнформ
Недействующая редакция. Принята: 03.08.2020 / Вступила в силу: 21.08.2020

Недействующая редакция, не действует с 8 марта 2021 года

ПОСТАНОВЛЕНИЕ ПРАВЛЕНИЯ НАЦИОНАЛЬНОГО БАНКА РЕСПУБЛИКИ КАЗАХСТАН

от 27 марта 2018 года №48

Об утверждении Требований к обеспечению информационной безопасности банков и организаций, осуществляющих отдельные виды банковских операций, Правил и сроков предоставления информации об инцидентах информационной безопасности, включая сведения о нарушениях, сбоях в информационных системах

(В редакции Постановления Правления Национального Банка Республики Казахстан от 19.11.2019 г. №203, Постановления Правления Агентства Республики Казахстан по регулированию и развитию финансового рынка от 03.08.2020 г. №72)

В соответствии с пунктом 7 статьи 61-5 Закона Республики Казахстан от 31 августа 1995 года "О банках и банковской деятельности в Республике Казахстан" Правление Национального Банка Республики Казахстан ПОСТАНОВЛЯЕТ:

1. Утвердить:

1) Требования к обеспечению информационной безопасности банков и организаций, осуществляющих отдельные виды банковских операций, согласно приложению 1 к настоящему постановлению;

Подпункт 1) пункта 1 вводится в действие с 1 декабря 2018 года

2) Правила и сроки предоставления информации об инцидентах информационной безопасности, включая сведения о нарушениях, сбоях в информационных системах, согласно приложению 2 к настоящему постановлению.

2. Признать утратившим силу постановление Правления Национального Банка Республики Казахстан от 31 марта 2001 года №80 "Об утверждении Правил по обеспечению безопасности информационных систем банков второго уровня и организаций, осуществляющих отдельные виды банковских операций (зарегистрированное в Реестре государственной регистрации нормативных правовых актов под №1517).

Пункт 2 вводится в действие с 1 декабря 2018 года

3. Управлению информационных угроз и киберзащиты (Перминов Р.В.) в установленном законодательством Республики Казахстан порядке обеспечить:

1) совместно с Юридическим департаментом (Сарсенова Н.В.) государственную регистрацию настоящего постановления в Министерстве юстиции Республики Казахстан;

2) в течение десяти календарных дней со дня государственной регистрации настоящего постановления направление его копии в бумажном и электронном виде на казахском и русском языках в Республиканское государственное предприятие на праве хозяйственного ведения "Республиканский центр правовой информации" для официального опубликования и включения в Эталонный контрольный банк нормативных правовых актов Республики Казахстан;

3) размещение настоящего постановления на официальном интернет-ресурсе Национального Банка Республики Казахстан после его официального опубликования;

4) в течение десяти рабочих дней после государственной регистрации настоящего постановления представление в Юридический департамент сведений об исполнении мероприятий, предусмотренных подпунктами 2), 3) настоящего пункта и пунктом 4 настоящего постановления.

4. Управлению по защите прав потребителей финансовых услуг и внешних коммуникаций (Терентьев А.Л.) обеспечить в течение десяти календарных дней после государственной регистрации настоящего постановления направление его копии на официальное опубликование в периодические печатные издания.

5. Контроль за исполнением настоящего постановления возложить на заместителя Председателя Национального Банка Республики Казахстан Смолякова О.А.

6. Настоящее постановление вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования, за исключением подпункта 1) пункта 1 и пункта 2 настоящего постановления, которые вводятся в действие с 1 декабря 2018 года.

Председатель Национального Банка

Д.Акишев

Приложение 1

к Постановлению Правления Национального Банка Республики Казахстан от 27 марта 2018 года №48

Требования к обеспечению информационной безопасности банков и организаций, осуществляющих отдельные виды банковских операций

Глава 1. Общие положения

1. Настоящие Требования к обеспечению информационной безопасности банков и организаций, осуществляющих отдельные виды банковский операций, (далее - Требования) разработаны в соответствии с пунктом 7 статьи 61-5 Закона Республики Казахстан от 31 августа 1995 года "О банках и банковской деятельности в Республике Казахстан" и устанавливают требования к обеспечению информационной безопасности банков и организаций, осуществляющих отдельные виды банковских операций (далее - организация).

2. В Требованиях используются следующие понятия:

1) штатный носитель информации - носитель информации, являющийся составной частью объекта информационно-коммуникационной инфраструктуры;

2) информация об инцидентах информационной безопасности, включая сведения о нарушениях, сбоях в информационных системах - информация об отдельно или серийно возникающих сбоях в работе информационно-коммуникационной инфраструктуры или отдельных ее объектов, создающих угрозу их надлежащему функционированию и (или) условия для незаконного получения, копирования, распространения, модификации, уничтожения или блокирования электронных информационных ресурсов банка, организации;

3) инцидент информационной безопасности, включая нарушения, сбои в информационных системах (далее - инцидент информационной безопасности) - отдельно или серийно возникающие сбои в работе информационно-коммуникационной инфраструктуры или отдельных ее объектов, создающие угрозу их надлежащему функционированию и (или) условия для незаконного получения, копирования, распространения, модификации, уничтожения или блокирования электронных информационных ресурсов банка, организации;

4) ИТ-менеджер информационной системы - работник или подразделение (работники или подразделения) банка, организации ответственные за поддержание информационной системы в состоянии, соответствующем требованиям бизнес-владельца информационной системы;

5) бизнес-владелец информационной системы или подсистемы - подразделение (работник) банка, организации, являющееся (являющийся) владельцем основного бизнес-процесса, который автоматизирует информационная система;

6) периметр защиты информационно-коммуникационной инфраструктуры - совокупность программно-аппаратных средств, отделяющих информационно-коммуникационную инфраструктуру банка, организации от внешних информационных сетей и обеспечивающих защиту от угроз информационной безопасности;

7) информационная безопасность - состояние защищенности электронных информационных ресурсов, информационных систем и информационно-коммуникационной инфраструктуры от внешних и внутренних угроз;

8) угроза информационной безопасности - совокупность условий и факторов, создающих предпосылки к возникновению инцидента информационной безопасности;

9) риск информационной безопасности - вероятное возникновение ущерба вследствие нарушения конфиденциальности, преднамеренного нарушения целостности или доступности информационных активов банка, организации;

10) обеспечение информационной безопасности - процесс, направленный на поддержание состояния конфиденциальности, целостности и доступности информационных активов банка, организации;

11) предустановленные учетные записи - учетные записи информационных систем, установленные их производителями;

платный документ

Текст редакции доступен после регистрации и оплаты доступа.

Вход Регистрация Оплатить доступ
ПОСТАНОВЛЕНИЕ ПРАВЛЕНИЯ НАЦИОНАЛЬНОГО БАНКА РЕСПУБЛИКИ КАЗАХСТАН Требования к обеспечению информационной безопасности банков и организаций, осуществляющих отдельные виды банковских операций Глава 1. Общие положения Глава 2. Требования к организации системы управления информационной безопасностью Глава 3. Требования к категорированию информационных активов Глава 4. Требования к организации доступа к информационным активам Глава 5. Требования к обеспечению безопасности информационной инфраструктуры Глава 6. Требования к осуществлению мониторинга деятельности по обеспечению информационной безопасности и мероприятий по выявлению и анализу угроз, противодействию атакам и расследованию инцидентов информационной безопасности Глава 7. Требования к проведению анализа информации об инцидентах информационной безопасности, включая сведения о нарушениях, сбоях в информационных системах Глава 8. Требования к средствам криптографической защиты информации Глава 9. Требования к обеспечению информационной безопасности при доступе третьих лиц к информационным активам Глава 10. Требования к проведению внутренних проверок состояния информационной безопасности Глава 11. Требования к процессам системы управления информационной безопасностью Параграф 1. Требования к процессу организации доступа к информационным системам Параграф 2. Требования к процессу управления паролями и блокировками учетных записей пользователей в информационных системах Параграф 3. Требования к процессу обеспечения безопасности информации Параграф 4. Требования к процессу обеспечения безопасности периметра защиты информационной инфраструктуры Параграф 5. Требования к процессу обеспечения защиты информационной инфраструктуры Параграф 6. Требования к процессу обеспечения защиты информационных систем Параграф 7. Требования к процессу сбора, консолидации и хранения информации об инцидентах информационной безопасности, включая сведения о нарушениях, сбоях в информационных системах Параграф 8. Требования к процессу работы с персоналом Параграф 9. Требования к процессу ведения аудиторского следа в информационных системах Параграф 10. Требования к процессу обеспечения антивирусной защиты Параграф 11. Требования к процессу управления обновлениями и уязвимостями информационных систем Параграф 12. Требования к процессу использования средств криптографической защиты информации Параграф 13. Требования к процессу обеспечения физической безопасности центров обработки данных Параграф 14. Требования к процессу обеспечения защиты рабочих станций и мобильных устройств работников Правила и сроки предоставления информации об инцидентах информационной безопасности, включая сведения о нарушениях, сбоях в информационных системах Приложение