| В соответствии с подпунктом 2) части первой статьи 13-6 Закона Республики Казахстан от 4 июля 2003 года «О государственном регулировании, контроле и надзоре финансового рынка и финансовых организаций» Правление Агентства Республики Казахстан по регулированию и развитию финансового рынка утверждена Методика оценки рисков информационной безопасности, включая порядок ранжирования финансовых организаций по степени подверженности рискам информационной безопасности. Для оценки рисков информационной безопасности финансовой организацией проводятся следующие мероприятия: 1) формирование перечня критичных информационных активов; 2) оценка рисков информационной безопасности для критичных информационных активов. В целях формирования и последующей актуализации перечня критичных информационных активов финансовые организации обеспечивают реализацию следующих процессов: 1) анализ бизнес-процессов, входящих в область действия системы управления информационной безопасностью финансовой организации; 2) определение потенциальных убытков от нарушения свойств информационной безопасности (конфиденциальности, целостности и доступности) информационных активов; 3) формирование и последующая актуализация перечня критичных информационных активов. Анализ бизнес-процессов, входящих в область действия системы управления информационной безопасностью финансовой организации, осуществляется подразделениями-владельцами бизнес-процессов финансовой организации под руководством подразделения по управлению рисками финансовой организации с целью идентификации информационных активов, необходимых для функционирования бизнес-процессов. Виды идентифицируемых информационных активов определяются по перечню видов информационных активов согласно приложению 1 к Методике. Для идентификации информационных активов по решению подразделения-владельца бизнес-процесса финансовой организации привлекается подразделение по информационным технологиям финансовой организации. По каждому идентифицированному информационному активу финансовая организация определяет следующие виды потенциальных убытков от нарушения информационной безопасности: 1) убытки от нарушения конфиденциальности информационного актива; 2) убытки от нарушения целостности информационного актива; 3) убытки от нарушения доступности информационного актива. Убытки определяются бизнес-владельцами информационных активов под руководством подразделения по управлению рисками финансовой организации. Для оценки потенциальных убытков от нарушения информационной безопасности информационных активов финансовая организация обеспечивает участие в оценке убытков сотрудников, обладающих знаниями: 1) внутренних документов финансовой организации, регламентирующих профессиональную деятельность, соответствующую бизнес-процессам, в которых используются информационные активы; 2) бизнес-процессов, в которых используются информационные активы, а также процессов работы с информационными активами; 3) факторов, влияющих на размер потенциальных убытков, указанных в пункте 8 Методики. Определение потенциальных убытков от нарушения конфиденциальности, целостности и доступности информационного актива финансовой организацией осуществляется с учетом следующих факторов: 1) степень влияния нарушения на жизненный цикл бизнес-процессов в финансовой организации; 2) степень влияния нарушения на деловую репутацию финансовой организации; 3) объем возможных финансовых потерь финансовой организации; 4) последствия от возможного нарушения требований законодательства Республики Казахстан, в том числе нормативных правовых актов уполномоченного органа по регулированию, контролю и надзору финансового рынка и финансовых организаций (далее - уполномоченный орган), и (или) договорных обязательств финансовой организации; 5) объем критичной защищаемой информации, обрабатываемой информационным активом. В целях осуществления классификации информационных активов подразделение по управлению рисками финансовой организации устанавливает уровень существенности убытков от нарушения информационной безопасности. Уровень существенности убытков от нарушения информационной безопасности определяется в соответствии с риск-аппетитом для операционных рисков в финансовой организации или риск-аппетитом для рисков информационной безопасности при его наличии в финансовой организации. Перечень критичных информационных активов формируется и актуализируется рабочей группой под руководством подразделения по управлению рисками финансовой организации. В перечень критичных информационных активов включаются информационные активы, убытки от нарушения свойств которых превышают установленный уровень существенности убытков от нарушения информационной безопасности. Для каждого критичного информационного актива указывается его вид и тип в соответствии с Перечнем видов информационных активов согласно приложению 1 к Методике, убытки от нарушения свойств (конфиденциальности, целостности и (или) доступности), а также бизнес-владелец информационного актива. Постановление вводится в действие с 1 января 2021 года и подлежит официальному опубликованию | 
