| В соответствии с Законом Республики Казахстан от 18 декабря 2000 года «О страховой деятельности» Правление Национального Банка Республики Казахстан утверждены Требования к организации безопасной работы, обеспечивающей сохранность и защиту информации от несанкционированного доступа к данным, хранящимся в страховой (перестраховочной) организации, а также кибербезопасности страховой (перестраховочной) организации. Страховая (перестраховочная) организация организует безопасную работу, обеспечивающую сохранность и защиту информации от несанкционированного доступа к данным, хранящимся в страховой (перестраховочной) организации, а также кибербезопасность страховой (перестраховочной) организации путем создания системы управления информационной безопасностью (далее - система управления информационной безопасностью), являющейся частью общей системы управления страховой (перестраховочной) организацией, предназначенной для управления процессом обеспечения информационной безопасности. Система управления информационной безопасностью обеспечивает защиту информационных активов страховой (перестраховочной) организации. Страховая (перестраховочная) организация обеспечивает функционирование системы управления информационной безопасностью, ее развитие и улучшение. Участниками системы управления информационной безопасностью страховой (перестраховочной) организации являются: 1) орган управления; 2) исполнительный орган; 3) подразделение по информационной безопасности; 4) подразделение по информационным технологиям; 5) подразделение по безопасности; 6) подразделение по работе с персоналом; 7) юридическое подразделение; 8) подразделение по комплаенс-контролю; 9) подразделение внутреннего аудита. Допускается осуществление функций подразделений, указанных в подпунктах 3), 4), 5), 6), 7), 8) и 9) настоящего пункта, ответственными лицами. Страховая (перестраховочная) организация при создании и функционировании системы управления информационной безопасностью обеспечивает независимость подразделений по информационной безопасности и по информационным технологиям посредством их подчинения разным членам исполнительного органа страховой (перестраховочной) организации или напрямую руководителю исполнительного органа страховой (перестраховочной) организации. Орган управления страховой (перестраховочной) организации утверждает политику информационной безопасности, которая определяет: 1) цели, задачи и основные принципы построения системы управления информационной безопасностью; 2) требования к организации доступа к создаваемой, хранимой и обрабатываемой информации в информационных системах страховой (перестраховочной) организации, мониторинга информации и доступа к ней; 3) требования к осуществлению сбора, консолидации и хранения информации об инцидентах информационной безопасности; 4) требования к осуществлению мониторинга деятельности по обеспечению информационной безопасности; 5) требования к проведению анализа информации об инцидентах информационной безопасности; 6) ответственность работников страховой (перестраховочной) организации за обеспечение информационной безопасности при исполнении возложенных на них функциональных обязанностей. Орган управления страховой (перестраховочной) организации утверждает перечень защищаемой информации, включающий в том числе информацию о сведениях, составляющих тайну страхования, служебную, коммерческую или иную охраняемую законом тайну (далее - защищаемая информация), и порядок работы с защищаемой информацией. Орган управления страховой (перестраховочной) организации осуществляет контроль за состоянием системы управления информационной безопасности страховой (перестраховочной) организации. Исполнительный орган страховой (перестраховочной) организации утверждает внутренние документы страховой (перестраховочной) организации, регламентирующие процесс обеспечения информационной безопасности, порядок и периодичность пересмотра которых определяется внутренними документами страховой (перестраховочной) организации. Постановление вводится в действие с 1 января 2019 года и подлежит официальному опубликованию. | 
