Утверждена методика оценки рисков информационной безопасности, включая порядок ранжирования финансовых организаций по степени подверженности рискам информационной безопасности (аннотация к документу от 23.11.2020)

Утверждена методика оценки рисков информационной безопасности, включая порядок ранжирования финансовых организаций по степени подверженности рискам информационной безопасности

Аннотация к документу: Постановление Правления Агентства Республики Казахстан по регулированию и развитию финансового рынка от 23 ноября 2020 года № 111 «Об утверждении методики оценки рисков информационной безопасности, включая порядок ранжирования финансовых организаций по степени подверженности рискам информационной безопасности» (не введено в действие)

В соответствии с подпунктом 2) части первой статьи 13-6 Закона Республики Казахстан от 4 июля 2003 года «О государственном регулировании, контроле и надзоре финансового рынка и финансовых организаций» Правление Агентства Республики Казахстан по регулированию и развитию финансового рынка утверждена Методика оценки рисков информационной безопасности, включая порядок ранжирования финансовых организаций по степени подверженности рискам информационной безопасности.

Для оценки рисков информационной безопасности финансовой организацией проводятся следующие мероприятия:

1) формирование перечня критичных информационных активов;

2) оценка рисков информационной безопасности для критичных информационных активов.

В целях формирования и последующей актуализации перечня критичных информационных активов финансовые организации обеспечивают реализацию следующих процессов:

1) анализ бизнес-процессов, входящих в область действия системы управления информационной безопасностью финансовой организации;

2) определение потенциальных убытков от нарушения свойств информационной безопасности (конфиденциальности, целостности и доступности) информационных активов;

3) формирование и последующая актуализация перечня критичных информационных активов.

Анализ бизнес-процессов, входящих в область действия системы управления информационной безопасностью финансовой организации, осуществляется подразделениями-владельцами бизнес-процессов финансовой организации под руководством подразделения по управлению рисками финансовой организации с целью идентификации информационных активов, необходимых для функционирования бизнес-процессов. Виды идентифицируемых информационных активов определяются по перечню видов информационных активов согласно приложению 1 к Методике.

Для идентификации информационных активов по решению подразделения-владельца бизнес-процесса финансовой организации привлекается подразделение по информационным технологиям финансовой организации.

По каждому идентифицированному информационному активу финансовая организация определяет следующие виды потенциальных убытков от нарушения информационной безопасности:

1) убытки от нарушения конфиденциальности информационного актива;

2) убытки от нарушения целостности информационного актива;

3) убытки от нарушения доступности информационного актива.

Убытки определяются бизнес-владельцами информационных активов под руководством подразделения по управлению рисками финансовой организации.

Для оценки потенциальных убытков от нарушения информационной безопасности информационных активов финансовая организация обеспечивает участие в оценке убытков сотрудников, обладающих знаниями:

1) внутренних документов финансовой организации, регламентирующих профессиональную деятельность, соответствующую бизнес-процессам, в которых используются информационные активы;

2) бизнес-процессов, в которых используются информационные активы, а также процессов работы с информационными активами;

3) факторов, влияющих на размер потенциальных убытков, указанных в пункте 8 Методики.

Определение потенциальных убытков от нарушения конфиденциальности, целостности и доступности информационного актива финансовой организацией осуществляется с учетом следующих факторов:

1) степень влияния нарушения на жизненный цикл бизнес-процессов в финансовой организации;

2) степень влияния нарушения на деловую репутацию финансовой организации;

3) объем возможных финансовых потерь финансовой организации;

4) последствия от возможного нарушения требований законодательства Республики Казахстан, в том числе нормативных правовых актов уполномоченного органа по регулированию, контролю и надзору финансового рынка и финансовых организаций (далее - уполномоченный орган), и (или) договорных обязательств финансовой организации;

5) объем критичной защищаемой информации, обрабатываемой информационным активом.

В целях осуществления классификации информационных активов подразделение по управлению рисками финансовой организации устанавливает уровень существенности убытков от нарушения информационной безопасности. Уровень существенности убытков от нарушения информационной безопасности определяется в соответствии с риск-аппетитом для операционных рисков в финансовой организации или риск-аппетитом для рисков информационной безопасности при его наличии в финансовой организации.

Перечень критичных информационных активов формируется и актуализируется рабочей группой под руководством подразделения по управлению рисками финансовой организации. В перечень критичных информационных активов включаются информационные активы, убытки от нарушения свойств которых превышают установленный уровень существенности убытков от нарушения информационной безопасности. Для каждого критичного информационного актива указывается его вид и тип в соответствии с Перечнем видов информационных активов согласно приложению 1 к Методике, убытки от нарушения свойств (конфиденциальности, целостности и (или) доступности), а также бизнес-владелец информационного актива.

Постановление вводится в действие с 1 января 2021 года и подлежит официальному опубликованию