Бұл туралы Қаржы нарығын реттеу және дамыту агенттігі хабарлады.
Қазақстандағы банктер және банк операцияларының жекелеген түрлерін жүзеге асыратын ұйымдар 2021 жылғы 1 қаңтардан бастап ақпараттық қауіпсіздік тәуекелдерін бағалаудың арнайы әдістемесі бойынша міндетті түрдегі тәртіппен жұмыс істейді. Осындай талаптарды Қазақстан Республикасының қаржы нарығын реттеу және дамыту агенттігі белгілейді.
Әдістеме іс жүзінде ақпараттық қауіпсіздік тәуекелдерін бағалау процесін ұйымдастыруды сипаттайды. Осы әдістемені қабылдаудың мақсаты қаржы ұйымдарындағы ақпараттық қауіпсіздік тәуекелдерін өңдеу процесін оңтайландыру болып табылады.
«Қарапайым түрде айтқанда – әдістеме ақпараттық қауіпсіздік тәуекелдерін бағалау әзірше жүйелі емес түрде жүзеге асырылған қаржы ұйымдары үшін негіз болуға, сондай-ақ барлық қаржы ұйымына осы процесті неғұрлым ашық және құрылымдалған етіп жасауға көмектесуге арналған. Біз одан әрі ақпараттық қауіпсіздік тәуекелдерін бағалау жөніндегі талаптарды қаржы ұйымының басқа да түрлері : сақтандыру ұйымдары, бағалы қағаздар нарығы үшін кеңейтуді жоспарлап отырмыз», - деп айтты Қазақстан Республикасының қаржы нарығын реттеу және дамыту агенттігі Киберқауіпсіздік басқармасының бастығы Роман Перминов.
Барлық процесс негізгі екі кезеңге бөлінеді – күрделі ақпараттық активтерді анықтау және осы активтерге арналған ақпараттық қауіпсіздік тәуекелдерін бағалау. Ұйымның ақпараттық активтері – бұл ұйым өзінің жұмысында пайдаланатын ақпарат және ақпараттық жүйелер. Мысалы, ұйымның клиенттер туралы ақпараты сақталатын сервер – бұл ақпараттық актив. Кез келген актив құндылыққа ие, оны жоғалту немесе оның сынып қалуы ұйымның жұмысына теріс әсер етеді. Бірінші кезең шеңберінде ұйымдар өздерінің барлық ақпараттық активтерін анықтауға, олардың құндылығын айқындауға және қандай активтердің күрделі және қорғауға қажет екендігін шешуге тиіс.
Екінші кезеңде ұйымның мамандары күрделі ақпараттық активтерге тән осалдықты, сондай-ақ олардың ақпараттық қауіпсіздігіне қауіп-қатерді айқындайды. Осы деректер негізінде қауіп-қатерді іске асыру ықтималы және бұдан әрі – ақпараттық қауіпсіздік деңгейі бағаланады. Мұның бәрі әдістемеде жазылған.
«Қаржы реттеушісі ұйымдардың аталған әдісті орындауларын бақылайтын болады. Қаржы ұйымдарын жүргізілетін мерзімді тексерулер шеңберінде ақпараттық қауіпсіздік тәуекелдерін бағалау процесі де тексерілетін болады. Агенттік тәуекелдерді бағалау жүргізудің барлық сатыларының құжаттамалық дәлелдемелерін талап етуге құқылы. Бұл ретте, тез уақыт ішіндегі әсерді күтудің қажеті жоқ, өйткені тәуекелдерді бағалаудың өзі үлкен ұйымдар үшін көп еңбекті қажет ететін және ұзақ процесс болып табылатынын ескерген жөн. Аталған әдістемені пайдалану процеске ақпараттық қауіпсіздік және тәуекелдер жөніндегі мамандарды ғана емес, сонымен қатар басшылықты қоса алғанда, ұйымның бүкіл бизнесін тартуды талап етеді", - деп сөзін түйіндеді Роман Перминов.