Введите номер документа
Прайс-лист

Утверждена методика оценки рисков информационной безопасности, включая порядок ранжирования финансовых организаций по степени подверженности рискам информационной безопасности (аннотация к документу от 23.11.2020)

Скачать в Word

Скачать документ в формате .docx

Информация о документе
Датачетверг, 3 декабря 2020
Статус
Действующийвведен в действие с
Дата последнего изменениячетверг, 3 декабря 2020

Утверждена методика оценки рисков информационной безопасности, включая порядок ранжирования финансовых организаций по степени подверженности рискам информационной безопасности

Аннотация к документу: Постановление Правления Агентства Республики Казахстан по регулированию и развитию финансового рынка от 23 ноября 2020 года № 111 «Об утверждении методики оценки рисков информационной безопасности, включая порядок ранжирования финансовых организаций по степени подверженности рискам информационной безопасности» (не введено в действие)

В соответствии с подпунктом 2) части первой статьи 13-6 Закона Республики Казахстан от 4 июля 2003 года «О государственном регулировании, контроле и надзоре финансового рынка и финансовых организаций» Правление Агентства Республики Казахстан по регулированию и развитию финансового рынка утверждена Методика оценки рисков информационной безопасности, включая порядок ранжирования финансовых организаций по степени подверженности рискам информационной безопасности.

Для оценки рисков информационной безопасности финансовой организацией проводятся следующие мероприятия:

1) формирование перечня критичных информационных активов;

2) оценка рисков информационной безопасности для критичных информационных активов.

В целях формирования и последующей актуализации перечня критичных информационных активов финансовые организации обеспечивают реализацию следующих процессов:

1) анализ бизнес-процессов, входящих в область действия системы управления информационной безопасностью финансовой организации;

2) определение потенциальных убытков от нарушения свойств информационной безопасности (конфиденциальности, целостности и доступности) информационных активов;

3) формирование и последующая актуализация перечня критичных информационных активов.

Анализ бизнес-процессов, входящих в область действия системы управления информационной безопасностью финансовой организации, осуществляется подразделениями-владельцами бизнес-процессов финансовой организации под руководством подразделения по управлению рисками финансовой организации с целью идентификации информационных активов, необходимых для функционирования бизнес-процессов. Виды идентифицируемых информационных активов определяются по перечню видов информационных активов согласно приложению 1 к Методике.

Для идентификации информационных активов по решению подразделения-владельца бизнес-процесса финансовой организации привлекается подразделение по информационным технологиям финансовой организации.

По каждому идентифицированному информационному активу финансовая организация определяет следующие виды потенциальных убытков от нарушения информационной безопасности:

1) убытки от нарушения конфиденциальности информационного актива;

2) убытки от нарушения целостности информационного актива;

3) убытки от нарушения доступности информационного актива.

Убытки определяются бизнес-владельцами информационных активов под руководством подразделения по управлению рисками финансовой организации.

Для оценки потенциальных убытков от нарушения информационной безопасности информационных активов финансовая организация обеспечивает участие в оценке убытков сотрудников, обладающих знаниями:

1) внутренних документов финансовой организации, регламентирующих профессиональную деятельность, соответствующую бизнес-процессам, в которых используются информационные активы;

2) бизнес-процессов, в которых используются информационные активы, а также процессов работы с информационными активами;

3) факторов, влияющих на размер потенциальных убытков, указанных в пункте 8 Методики.

Определение потенциальных убытков от нарушения конфиденциальности, целостности и доступности информационного актива финансовой организацией осуществляется с учетом следующих факторов:

1) степень влияния нарушения на жизненный цикл бизнес-процессов в финансовой организации;

2) степень влияния нарушения на деловую репутацию финансовой организации;

3) объем возможных финансовых потерь финансовой организации;

4) последствия от возможного нарушения требований законодательства Республики Казахстан, в том числе нормативных правовых актов уполномоченного органа по регулированию, контролю и надзору финансового рынка и финансовых организаций (далее - уполномоченный орган), и (или) договорных обязательств финансовой организации;

5) объем критичной защищаемой информации, обрабатываемой информационным активом.

В целях осуществления классификации информационных активов подразделение по управлению рисками финансовой организации устанавливает уровень существенности убытков от нарушения информационной безопасности. Уровень существенности убытков от нарушения информационной безопасности определяется в соответствии с риск-аппетитом для операционных рисков в финансовой организации или риск-аппетитом для рисков информационной безопасности при его наличии в финансовой организации.

Перечень критичных информационных активов формируется и актуализируется рабочей группой под руководством подразделения по управлению рисками финансовой организации. В перечень критичных информационных активов включаются информационные активы, убытки от нарушения свойств которых превышают установленный уровень существенности убытков от нарушения информационной безопасности. Для каждого критичного информационного актива указывается его вид и тип в соответствии с Перечнем видов информационных активов согласно приложению 1 к Методике, убытки от нарушения свойств (конфиденциальности, целостности и (или) доступности), а также бизнес-владелец информационного актива.

Постановление вводится в действие с 1 января 2021 года и подлежит официальному опубликованию

 

Укажите название закладки
Создать новую папку
Закладка уже существует
В выбранной папке уже существует закладка на этот фрагмент. Если вы хотите создать новую закладку, выберите другую папку.
Режим открытия документов

Укажите удобный вам способ открытия документов по ссылке

Включить или выключить функцию Вы сможете в меню работы с документом

Доступ ограничен
Чтобы воспользоваться этой функцией, пожалуйста, войдите под своим аккаунтом.
Если у вас нет аккаунта, зарегистрируйтесь
Обратная связь

Уважаемый пользователь! Мы стремимся постоянно улучшать качество наших услуг. Пожалуйста, поделитесь своими предложениями — Ваше участие поможет нам стать ещё удобнее и эффективнее для Вас!