В целях реализации Концепции кибербезопасности («Киберщит Казахстан»), утвержденной постановлением Правительства Республики Казахстан от 30 июня 2017 года № 407, Правление Национального Банка Республики Казахстан ПОСТАНОВЛЯЕТ:
1. Утвердить прилагаемую Стратегию кибербезопасности финансового сектора Республики Казахстан на 2018-2022 годы.
2. Управлению информационных угроз и киберзащиты (Перминов Р.В.):
1) в установленном законодательством Республики Казахстан порядке обеспечить размещение настоящего постановления на официальном интернет-ресурсе Национального Банка Республики Казахстан;
2) разработать План мероприятий по реализации Стратегии кибербезопасности финансового сектора Республики Казахстан на 2018-2022 годы.
3. Контроль за исполнением настоящего постановления возложить на заместителя Председателя Национального Банка Республики Казахстан Смолякова О.А.
4. Настоящее постановление вступает в силу со дня его подписания.
|
Председатель |
Д. Акишев |
Утверждена
постановлением Правления
Национального Банка
Республики Казахстан
от 29 октября 2018 года № 281
Стратегия кибербезопасности финансового сектора Республики Казахстан на 2018 - 2022 годы
Глава 1. Цель и описание
Стратегия кибербезопасности финансового сектора Республики Казахстан на 2018 - 2022 годы (далее - Стратегия) описывает комплекс целей, задач и мероприятий, достижение, решение и реализация которых позволит обеспечить создание эффективно функционирующей системы обеспечения кибербезопасности финансового сектора Республики Казахстан (далее - система обеспечения кибербезопасности). Стратегией определяются ключевые участники системы обеспечения кибербезопасности, их роль и ответственность в рамках реализации поставленных задач. Стратегия направлена в первую очередь на построение в рамках системы обеспечения кибербезопасности информационного обмена между участниками. Основной целью Стратегии является создание условий для безопасного предоставления финансовых услуг, что необходимо для обеспечения стабильного функционирования и развития финансового сектора Республики Казахстан (далее - финансовый сектор).
Стратегия содержит обзор текущего состояния кибербезопасности в финансовом секторе, а также сопутствующих рисков, возникающих в киберпространстве. Стратегия предлагает способ организации системы обеспечения кибербезопасности и задачи, которые необходимо выполнить для достижения поставленных целей.
Стратегия подготовлена на основе Концепции кибербезопасности («Киберщит Казахстан»), утвержденной постановлением Правительства Республики Казахстан от 30 июня 2017 года № 407 (далее - Концепция), которая является среднесрочным документом и составлена с учетом текущих реалий и положения дел в области кибербезопасности в финансовом секторе.
Настоящая Стратегия определяет основные направления построения системы обеспечения кибербезопасности, включающей эффективную защиту электронных информационных ресурсов, информационных систем, сетей телекоммуникаций субъектов финансового рынка и позволяющей оперативно реагировать на существующие и вновь появляющиеся угрозы в киберпространстве.
Следование данной Стратегии поможет достижению целей, поставленных Концепцией.
Глава 2. Термины и определения
Киберпространство - комплексная виртуальная среда, сформированная в результате взаимодействия людей, программного обеспечения и сервисов в сети Интернет с помощью технологических устройств и сетей.
Кибербезопасность - информационная безопасность в киберпространстве, состояние защищенности информации в электронной форме и среды ее обработки, хранения, передачи (электронных информационных ресурсов, информационных систем и информационно-коммуникационной инфраструктуры) от внешних и внутренних угроз;
Обеспечение кибербезопасности - сохранение конфиденциальности, целостности и доступности информации в киберпространстве.
Киберпреступность - вид преступности, подразумевающий преследуемые по закону деяния, совершаемые с использованием информационных технологий в киберпространстве.
Глава 3. Введение
Быстрое развитие информационно-коммуникационных технологий (далее - ИКТ) приносит пользу современному обществу, но при этом порождает новые технологически более сложные риски и угрозы. Современная финансовая организация представляет собой комплекс различного рода автоматизированных информационных систем, телекоммуникационных сетей, стационарных компьютеров и мобильных устройств. Использование новых ИКТ для достижения экономического превосходства является нормой среди субъектов финансового рынка.
Развитие ИКТ в финансовом секторе, а также активный рост оказания дистанционных финансовых услуг повышают риски, связанные с нарушением конфиденциальности, целостности и доступности информации (банковская тайна, коммерческая информация, персональные данные) и безопасности информационных систем в киберпространстве.
В таких условиях необходимо обеспечение должного уровня кибербезопасности, включая защиту от кибератак. Кибератаки являются одной из самых значительных угроз безопасности для современной финансовой системы любого государства, поэтому кибербезопасность стала важной и неотъемлемой частью национальной безопасности.
Для потребителей финансовых услуг важным является удовлетворенность безопасностью, качеством, стоимостью и перечнем услуг, оказываемых дистанционно. Перед финансовыми организациями, в свою очередь, стоит цель максимального снижения уровня рисков при минимальных затратах на обеспечение кибербезопасности. Общей целью, как для общества и государства, так и для финансовых организаций является формирование финансового сектора, способного максимально эффективно и безопасно осуществлять свою функцию финансового посредника.
При этом проблема киберпреступности приобретает глобальный характер. Новейшие ИКТ позволяют преступникам оставаться анонимными, а растущие объемы финансовых средств, обращающихся в киберпространстве, привлекают все больше людей к этой преступной деятельности.
Область киберпреступности активно развивается. Если на начальных этапах развития киберпреступления могли совершаться только отдельными специалистами, обладающими серьезными техническими знаниями в ИКТ, то в настоящее время существует большой теневой рынок «готовых» решений для осуществления кибератак. Разработка инструментов и средств совершения киберпреступлений стала отдельной сферой, в которой в том числе используются и наработки государственных специальных служб в области кибероружия. Функционал предлагаемых решений не требует от пользователя специальных технических знаний, что существенно увеличивает возможности преступного сообщества в данной сфере. Кражи данных платежных карточек или получение несанкционированного доступа к системе Интернет (мобильного банкинга) с целью завладения средствами клиентов банка, кража персональных данных и коммерческой информации из частных компьютеров или серверов, умышленное повреждение информационных систем или средств коммуникаций с целью нанесения убытков компаниям - далеко не полный перечень угроз, связанных с бурным развитием киберпреступности.
Следует также учитывать усиливающиеся интеграционные процессы на межгосударственном уровне в различных секторах экономики, включая финансовый сектор. Республика Казахстан и ее финансовая система не остаются в стороне от мировых тенденций. Интеграция Республики Казахстан в глобальные процессы, с одной стороны, должна повлечь за собой повышение качества и расширение спектра предоставляемых финансовых услуг, но, с другой стороны, повышается степень уязвимости финансового сектора страны перед внешними и внутренними киберугрозами.
В этих условиях необходимо выработать оптимальные механизмы регулирования и предупреждения деятельности киберпреступников, когда вероятность и последствия реализации рисков кибербезопасности минимизированы, но при этом ограничения не являются избыточными и не препятствуют развитию страны на международном финансовом рынке.
Глава 4. Обзор текущей ситуации
30 июня 2017 года постановлением Правительства Республики Казахстан принята Концепция, которая определяет основные направления реализации государственной политики в сфере защиты электронных информационных ресурсов, информационных систем и сетей телекоммуникаций и обеспечения безопасного использования ИКТ. Согласно Концепции, требования по безопасности банковских информационных систем обеспечиваются нормативными правовыми актами Национального Банка Республики Казахстан (далее - Национальный Банк) с учетом отраслевых и международных требований по обеспечению безопасности информационных систем.
В то же время, основным документом, определяющим требования и меры по защите информационных ресурсов, информационных систем и сетей телекоммуникаций, является Закон Республики Казахстан от 24 ноября 2015 года «Об информатизации», требования которого не распространяются на отношения, возникающие при осуществлении Национальным Банком и организациями, входящими в его структуру, работ по созданию или развитию интернет-ресурсов, информационных систем, не интегрируемых с объектами информационно-коммуникационной инфраструктуры «электронного правительства». В этих условиях Национальному Банку необходимо самостоятельно формировать подходы к обеспечению кибербезопасности финансового сектора страны.
31 марта 2001 года было принято постановление Правления Национального Банка Республики Казахстан № 80 «Об утверждении Правил по обеспечению безопасности информационных систем банков второго уровня и организаций, осуществляющих отдельные виды банковских операций», которое определило требования к обеспечению информационной безопасности информационных систем, а также заложило основы по применению риск-ориентированного подхода при обеспечении безопасности информационных систем банков и организаций, осуществляющих отдельные виды банковских операций.
В 2018 году принято постановление Правления Национального Банка Республики Казахстан от 27 марта 2018 года № 48 «Об утверждении Требований к обеспечению информационной безопасности банков и организаций, осуществляющих отдельные виды банковских операций, Правил и сроков предоставления информации об инцидентах информационной безопасности, включая сведения о нарушениях, сбоях в информационных системах» (далее - постановление № 48). Указанное постановление направлено на повышение уровня информационной безопасности банков и организаций, осуществляющих отдельные виды банковских операций, а также на повышение эффективности реагирования на инциденты информационной безопасности.
Кроме того, ранее в 2016 году постановлением Правления Национального Банка Республики Казахстан от 28 января 2016 года № 34 «Об утверждении Требований к безопасности и беспрерывности работы информационных систем банков и организаций, осуществляющих отдельные виды банковских операций» определены требования по безопасности и беспрерывности работы информационных систем банков, посредством которых обеспечивается оказание электронных банковских услуг. На ежеквартальной основе, начиная с 1 января 2017 года, банки представляют отчеты о произошедших в течение отчетного периода плановых и внеплановых простоях (сбоях) не менее одного часа в работе информационной системы.
В связи с присутствием на рынке Республики Казахстан большого набора национальных и международных платежных систем существует ряд рисков при работе в киберпространстве, которыми необходимо управлять. В целях регулирования деятельности платежных систем Законом Республики Казахстан от 26 июля 2016 года «О платежах и платежных системах» была предусмотрена обязанность для операторов и операционных центров платежных систем в определении мер по обеспечению информационной безопасности, а также необходимость в определении порядка действий при проведении несанкционированных платежей и по возврату денег по таким платежам.
В 2014 году в соответствии с Законом Республики Казахстан от 4 июля 2003 года «О государственном регулировании, контроле и надзоре финансового рынка и финансовых организаций» постановлением Правления Национального Банка Республики Казахстан от 26 февраля 2014 года № 29 «Об утверждении Правил формирования системы управления рисками и внутреннего контроля для банков второго уровня» впервые было введено понятие «риск информационной безопасности» и закреплена необходимость в проведении его оценки в рамках общей системы управления рисками и внутреннего контроля в банках второго уровня. Начиная с 2015 года Национальный Банк на регулярной основе получает информацию в виде отчетов по понесенным банками убыткам, связанным с реализацией рисков информационной безопасности. Так на 2015 год заявленный ущерб банков составил около 61 (шестидесяти одного) миллиона тенге, в 2016 году более 2 (двух) миллиардов тенге и за первое полугодие 2017 года ущерб составил более 11 (одиннадцати) миллионов тенге.
В соответствии с постановлением Правления Национального Банка Республики Казахстан от 31 августа 2016 года № 213 «Об утверждении Правил представления сведений о платежных услугах», банки, организации, осуществляющие отдельные виды банковских операций, и платежные организации предоставляют в Национальный Банк сведения по утвержденным формам, включая сведения по выявленным мошенническим операциям. По предоставленной банками информации доля мошеннических операций от общего объема операций с использованием платежных карточек в 2017 году составила 0,002% (в 2016 году доля составляла 0,003%).
В целом в Республике Казахстан нормативно-правовые и организационно-технические основы системы мер по обеспечению кибербезопасности в области ИКТ формировались и нормативно закреплялись, как составляющие информационной безопасности платежных систем, в соответствии с законами Республики Казахстан от 30 марта 1995 года «О Национальном Банке Республики Казахстан», от 26 июля 2016 года «О платежах и платежных системах», от 31 августа 1995 года «О банках и банковской деятельности в Республике Казахстан» и нормативными правовыми актами Национального Банка.
Законодательством Республики Казахстан определены нормы о необходимости обеспечения сохранности банковской и иной охраняемой законом тайны, сохранности персональных данных, включая данные потребителей финансовых услуг в электронном виде. Разглашение подобной информации допускается только при наличии разрешения ее владельца.
В качестве превентивных мер Уголовный кодекс Республики Казахстан предусматривает ряд статей за нарушение требований законов Республики Казахстан от 31 августа 1995 года «О банках и банковской деятельности в Республике Казахстан», от 21 мая 2013 года «О персональных данных и их защите», от 24 ноября 2015 года «Об информатизации», от 5 июля 2004 года «О связи» и от 23 июля 1999 года «О средствах массовой информации».
Уровень развития рынка платежных услуг зависит от степени доступности населению платежных сервисов, удобства и скорости оказания услуг. С развитием информационных технологий банковское обслуживание клиентов стало возможным посредством дистанционных каналов обслуживания, в частности электронных терминалов (банкоматы, банковские киоски, терминалы моментальной оплаты) и интернет с использованием стационарных компьютеров и мобильных устройств.
C учетом глобальных тенденций по переходу на электронные банковские услуги безналичные платежи с использованием платежных карточек казахстанских эмитентов в 2017 году по сравнению с 2016 годом выросли по количеству на 92,5%, по сумме на 88,2%, составив 232,0 млн. операций на сумму 3 048,5 млрд. тенге. За 2017 год посредством интернет и мобильного банкинга с использованием платежных карточек было совершено 91,8 млн. операций на сумму 1,2 трлн. тенге. В Казахстане на 1 января 2018 года 73% банков второго уровня (24 банка) предоставляют услуги мобильного банкинга для физических лиц.
Выросла популярность приобретения и использования электронных денег. Так, в 2017 году по сравнению с 2016 годом количество операций с электронными деньгами выросло на 88,1%, объем возрос в 2,3 раза. На конец 2017 года выпуск электронных денег осуществляли 13 банков Республики Казахстан, при этом для населения на рынке было представлено 17 систем электронных денег. С учетом общемировых тенденций, ожидается, что потребность в данном инструменте будет и дальше возрастать.
С 2007 года, Национальный Банк ведет постоянную работу по повышению финансовой грамотности населения. При этом мероприятия в рамках повышения грамотности проводятся с обязательным учетом различных целевых аудиторий граждан. Данная работа проводится в связи с недостаточной осведомленностью населения об основах функционирования финансовой системы и управления собственными средствами. Кроме того, рост разнообразия и сложности финансовых продуктов, а также распространение мошеннических псевдоинвестиционных схем и финансовых пирамид диктует необходимость устранения пробелов в области финансовой грамотности населения. Для этих целей Национальным Банком открыт Интернет - ресурс «Fingramota.kz», нацеленный на повышение грамотности населения по вопросам использования финансовых услуг, а также их безопасного использования в киберпространстве.
Функционирует «Учебный Центр Национального Банка Республики Казахстан», основной целью которого является создание системы повышения квалификации профессиональных кадров финансового и банковского секторов, в том числе, в сотрудничестве с ведущими международными образовательными центрами. В 2015 году на базе центра обучено более 50 (пятидесяти) специалистов субъектов финансового рынка по программам подготовки к созданию, внедрению и аудиту систем управления информационной безопасности по международному стандарту ISO/IEC 27001.
В секторе образования информационная безопасность и безопасность информационных систем включены в программы обучения ведущих высших учебных заведений страны. Так, по специальности «Системы информационной безопасности» обучают: Казахский Национальный Исследовательский Технический Университет имени К.И. Сатпаева, Евразийский университет имени Л.Н. Гумилева, Казахский национальный университет имени аль-Фараби и «Алматинский университет энергетики и связи».
В целом, в виду отсутствия на государственном уровне утвержденных стандартов, требований и порядков по обеспечению кибербезопасности, реализация мер и контроля по защите производится исходя из опыта отдельных работников и возможностей, заложенных разработчиками информационных систем, программного и аппаратного обеспечения.
Крупные банки самостоятельно создают и успешно эксплуатируют центры и службы реагирования на инциденты кибербезопасности.
Существенную проблему составляет распространение киберпреступности, в том числе деятельность организованных транснациональных преступных групп. Специфика киберпреступлений заключается в их высокой латентности. Вследствие этого, официально зарегистрированные преступления с использованием современных ИКТ составляют лишь незначительную часть от реально совершенных. Борьба с киберпреступностью требует от правоохранительных органов и специальных служб специализированной подготовки и адекватного оперативного реагирования путем проведения совместных скоординированных действий со специальными службами и правоохранительными органами зарубежных стран на основе переработанной законодательной базы и соответствующих договоров.
В стране существует единственный государственный центр «KZ-CERT» для пользователей национальных информационных систем и сегмента сети Интернет, обеспечивающий сбор и анализ информации по инцидентам кибербезопасности, консультативную и техническую поддержку пользователям в предотвращении угроз компьютерной безопасности. Однако данный центр не ориентирован на особенности финансовых организаций и применяемых ими технологий, что существенно снижает его эффективность для финансового сектора.
В 2018 году постановлением Совета Директоров Национального Банка Республики Казахстан от 19 марта 2018 года № 28 в Национальном Банке утверждена Стратегия развития информационных технологий в Национальном Банке Республики Казахстан на период 2018-2022 годы (далее - ИТ-стратегия Национального Банка), которая разработана с целью формирования единого подхода к развитию информационных технологий в системе Национального Банка. ИТ-стратегия Национального Банка направлена на повышение эффективности деятельности Национального Банка за счет внедрения и использования новых современных информационных технологий, что в свою очередь требует от Национального Банка обеспечения высокого уровня кибербезопасности при одновременном сохранении гибкости и возможности внедрения актуальных решений, а также принятия лидирующей роли в финансовом секторе в области кибербезопасности (разработка стандартов, сертификация и другое).
В соответствии с Указом Президента Республики Казахстан от 26 мая 2017 года № 483 «О внесении изменений и дополнений в Указ Президента Республики Казахстан от 31 декабря 2003 года № 1271 «Об утверждении Положения и структуры Национального Банка Республики Казахстан» в Национальном Банке в июле 2017 года создано Управление информационных угроз и киберзащиты (далее - УИУК). В задачи УИУК входит формирование правовой и методологической базы Национального Банка в области кибербезопасности по изучению и исследованию киберугроз и формирование централизованной системы информационного взаимодействия по защите информационных систем и информационно-коммуникационной инфраструктуры финансового сектора с целью предотвращения кибератак и обеспечения их стабильного функционирования совместно со специальными государственными и правоохранительными органами Республики Казахстан.
С октября 2017 года активно проводится работа по усилению организационно-технических мер обеспечения защиты информации и информационных систем Национального Банка, созданию оперативного центра и службы реагирования на инциденты кибербезопасности.
В конце 2017 года Национальным Банком налажено сотрудничество с Центральным Банком Российской Федерации в части взаимодействия в области мониторинга и реагирования на компьютерные инциденты. Проводятся работы по налаживанию сотрудничества с правоохранительными и специальными органами Республики Казахстан в части взаимодействия и оказания помощи в борьбе с киберпреступностью.
Существенную помощь в части обеспечения сотрудничества между профессионалами в области кибербезопасности оказывает ОЮЛ «Ассоциация финансистов Казахстана», на базе которой создана рабочая группа, в которую входят представители крупных банков страны. На встречах рабочей группы обсуждаются вопросы кибербезопасности, включая вопросы защиты от компьютерных атак на банковские информационные системы и несанкционированного доступа к счетам клиентов и банков.
По инициативе Национального Банка проводится межбанковский форум «Информационная безопасность в кредитных и финансовых организациях Республики Казахстан», целью которого является сотрудничество и обмен опытом в финансовом секторе по вопросам информационной безопасности. Форум является открытой площадкой, на которой квалифицированные специалисты финансовых субъектов делятся своим опытом или проблемами для совместного обсуждения и выработки предложений по их решению.
На казахстанском рынке присутствуют отечественные компании, занимающиеся аудитом систем управления информационной безопасностью, инструментальным аудитом по оценке защищенности (тестирование на проникновение) информационных систем, а также техническим исследованием вредоносного программного обеспечения. Разработаны первые отечественные средства антивирусной защиты.
Отечественному сектору разработчиков финансовых продуктов, услуг и средств обеспечения защиты приходится опираться на зарубежные стандарты и методики по созданию, разработке, тестированию и обеспечению безопасности.
Финансовый рынок по большей части использует зарубежные продукты обеспечения кибербезопасности. Импорт непосредственно технологий, составляющих основу продуктов для обеспечения кибербезопасности и позволяющих создавать собственные продукты, практикуется очень редко. Разработка собственных технологий в данной области также находится на начальном этапе.
Глава 5. Видение
К 2023 году Национальный Банк планирует создать эффективную систему обеспечения кибербезопасности финансового сектора. Для достижения поставленной цели, с учетом текущих недостатков в части кибербезопасности финансового сектора, Национальный Банк определил пять основных направлений:
совершенствование регулирования систем обеспечения кибербезопасности субъектов финансового сектора;
обеспечение кибербезопасности физических и юридических лиц при использовании финансовых услуг;
обеспечение устойчивого и безопасного функционирования критичной информационной инфраструктуры финансового сектора, включая Национальный Банк;
сотрудничество в сфере борьбы с киберпреступностью в национальном и глобальном масштабе;
создание и развитие национальных технологий киберзащиты финансового сектора.
Глава 6. Текущие риски и проблемы
Совершенствование регулирования систем обеспечения кибербезопасности субъектов финансового сектора
В Казахстане существует нормативная правовая база, регулирующая отдельные вопросы обеспечения безопасности в области осуществления платежей и переводов денег.
Однако нормативное правовое обеспечение в вопросах кибербезопасности финансового сектора Республики Казахстан существенно отстает от потребностей текущего дня. Использование риск-ориентированного подхода в качестве основы при функционировании системы обеспечения кибербезопасности осуществляется фрагментарно. В настоящее время требования по использованию риск-ориентированного подхода распространяются только на банки и организации, осуществляющие отдельные виды банковских операций. В недостаточной мере проработаны правовые механизмы, регулирующие информационные правоотношения, возникающие при осуществлении поиска, получения и потребления различных видов финансовой информации, информационных ресурсов, продуктов, услуг.
Есть недостатки в области обязательного контроля и надзора за финансовыми организациями в части обеспечения кибербезопасности предоставляемых ими услуг. Так требования законов Республики Казахстан от 26 июля 2016 года «О платежах и платежных системах» и от 4 июля 2003 года «О государственном регулировании, контроле и надзоре финансового рынка и финансовых организаций» не предусматривают меры по надзору и контролю кибербезопасности в финансовых организациях. Отсутствуют меры и механизмы воздействия на финансовые организации в случае несоблюдения требований по кибербезопасности.
Современное состояние правового обеспечения противодействия киберперступлениям также характеризуется слабой согласованностью используемых правовых механизмов, отсутствием системности в деятельности субъектов законодательной инициативы по их развитию и совершенствованию, недостаточной эффективностью и противоречивостью правовых норм, несовершенством правовой статистики.
Регулирование процессов управления рисками кибербезопасности, а также построение систем обеспечения кибербезопасности осуществляется фрагментарно, без учета всего разнообразия финансовых организаций.
Обеспечение безопасности физических и юридических лиц при использовании финансовых услуг в киберпространстве
Определенную угрозу представляет сравнительно низкий уровень общей правовой и информационной культуры, в том числе отсутствие навыков безопасного использования финансовых инструментов в киберпространстве.
Потребители дистанционных банковских и других финансовых услуг являются слабым звеном в структуре безопасности финансового сектора. Многие пользователи не проявляют необходимой осторожности и не в полной мере осведомлены о рисках использования сети Интернет. Со стороны финансовых организаций не в достаточной мере проводится работа об информировании потребителей в части имеющихся механизмов защиты при получении услуг.
Уровень правонарушений в финансовом секторе за последние 3 (три) года вырос в пять раз. В 2015 году согласно данным Комитета по правовой статистике и специальным учетам Генеральной прокуратуры Республики Казахстан в стране зарегистрировано 375 уголовных правонарушений, в 2016 году эта цифра увеличилась до 1204 и в 2017 году (за первые десять месяцев) составила 1867. Большая часть правонарушений, около 90%, приходится на правонарушения по части второй статьи 190 Уголовного кодекса Республики Казахстан (Мошенничество, совершенное путем обмана или злоупотребления доверием пользователя информационной системы) и по части второй статьи 188 Уголовного кодекса Республики Казахстан (Кража, совершенная путем незаконного доступа в информационную систему либо изменения информации, передаваемой по сетям телекоммуникаций).
По итогам девяти месяцев текущего года зарегистрировано 1500 (полторы тысячи) таких преступлений, однако до суда доходит считанное количество дел. Это связано с отсутствием механизмов и технических средств, позволяющих владельцам информационных систем обеспечить правильные сбор, сохранение (неизменности), обработку, анализ и предоставление правоохранительным органам и суду вещественных доказательств, а также проведение собственного расследования инцидентов кибербезопасности.
Требуется регламентация процессов взаимодействия клиента с банком, банка отправителя с банком получателем средств, для случаев несанкционированного списания средств или несанкционированного осуществления денежных переводов.
Обеспечение устойчивого и безопасного функционирования критичной инфраструктуры финансового сектора, включая Национальный Банк
Кроме недостаточной осведомленности и отсутствия необходимых компетенций в области кибербезопасности, наблюдается недостаток эффективности функционирования системы обеспечения кибербезопасности в финансовых организациях. В частности, не используются все возможности технических средств защиты информации от несанкционированного доступа и копирования, не реализуются в полной мере политика информационной безопасности и организационно-технические меры, противодействующие утечке информации, что создает условия для злоупотреблений полномочиями. Потерям важной информации способствует слабая координация мер по защите информации во всем финансовом секторе, включая Национальный Банк.
Наблюдается отсутствие системного подхода на уровне финансового сектора по определению единой методики и критериев в части ранжирования финансовых организаций по важности с точки зрения влияния на финансовый сектор. Отсутствие такого подхода не позволяет проводить анализ и оценку рисков для финансового сектора страны в целом, выделять ключевые субъекты, оценивать угрозы, уязвимости и присущий им ущерб, анализировать влияние на состояние финансового сектора страны.
Имеющиеся нормативные правовые требования в части обеспечения кибербезопасности не охватывают весь перечень финансовых организаций.
В настоящее время не все банки и крупные финансовые организации обеспечены службами реагирования на компьютерные инциденты.
При обеспечении кибербезопасности информационных систем Национальным Банком присутствует конфликт интересов, связанный с выполнением несвойственных функций по обеспечению кибербезопасности подразделением информационных технологий. Наблюдается недостаток специалистов информационной безопасности, как в центральном аппарате Национального Банка, так и в территориальных филиалах, что способствует повышению рисков информационной безопасности.
Требуется усиление контроля соблюдения требований Политики информационной безопасности Национального Банка, утвержденной постановлением Совета Директоров Национального Банка Республики Казахстан от 28 апреля 2018 года № 75. Тенденции последнего времени показывают, что имеющиеся подходы в Национальном Банке недостаточны для адекватного реагирования на критические инциденты, связанные с обеспечением кибербезопасности ключевых информационных систем и бизнес-процессов.
Сотрудничество в сфере борьбы с киберпреступностью в национальном и глобальном масштабе
В современном обществе практически вся социальная деятельность зависит от информационных систем, и с дальнейшим их развитием эта зависимость, вероятно, будет возрастать. При предоставлении услуг финансовым организациям все чаще требуется доступ к государственным информационным ресурсам (государственные базы данных физических и юридических лиц), базе данных кредитного бюро с государственным участием для чего им необходимо налаживать межсистемное взаимодействие. В свою очередь, это означает, что уязвимость в информационном ресурсе одной организации будет сказываться на работе другой.
Кибербезопасность самих субъектов финансового сектора обеспечивается ими разрозненно, без оперативного взаимодействия, что повышает риски кибербезопасности для всего финансового сектора. Сотрудничество заинтересованных сторон в обеспечении кибербезопасности формально не регулируется, однако отдельные субъекты финансового сектора и центры реагирования на инциденты кибербезопасности сотрудничают в частном порядке.
Современное состояние правового обеспечения противодействия киберпреступлениям также характеризуется недостаточной согласованностью используемых правовых механизмов, фрагментарностью деятельности субъектов законодательной инициативы по их развитию и совершенствованию, недостаточной эффективностью, противоречивостью правовых норм, несовершенством правовой статистики.
В стране отсутствует единый центр, обеспечивающий сбор и анализ информации по инцидентам кибербезопасности, осуществляющий консультативную и техническую поддержку пользователям в мониторинге и предотвращении угроз компьютерной безопасности для финансовых организаций и их пользователей.
На базе ОЮЛ «Ассоциация финансистов Казахстана» необходимо создавать рабочие группы по кибербезопасности не только для банков, но и для всего финансового сектора.
Отсутствие налаженного взаимодействия по сбору, обмену и анализу информации с другими международными центрами реагирования на компьютерные атаки не позволяет оперативно вырабатывать меры по противодействию киберпреступникам.
Создание и развитие национальных технологий киберзащиты финансового сектора
Безопасность отечественных финансовых продуктов (услуг), по большей части находится на удовлетворительном уровне, но при этом, наблюдается недостаток системного контроля над средствами защиты информации в части их создания, тестирования, внедрения и эксплуатации, в том числе с точки зрения кибербезопасности.
Использование программных продуктов зарубежного производства несёт целый ряд рисков кибербезопасности. В частности, представляется крайне сложным проведение исследований по обнаружению наличия возможных незадекларированных программных и аппаратных закладок в готовых продуктах. При оценке рисков кибербезопасности в обязательном порядке должны быть рассмотрены риски и угрозы, связанные с применением иностранных аппаратных и программных продуктов. Кроме того, существует риск наложения санкций на межгосударственном уровне, что может полностью заблокировать возможность казахстанскому рынку использовать зарубежные продукты безопасности и оказания услуг.
Необходимо рассмотреть вопросы стандартизации обеспечения кибербезопасности финансовых продуктов (услуг), при их создании, вводе в эксплуатацию и использовании.
Глава 7. Определение заинтересованных сторон
Основными участниками системы обеспечения кибербезопасности являются потребители (физические и юридические лица), поставщики финансовых услуг (банки, организации, осуществляющие отдельные виды банковских операций, страховые организации, профессиональные участники рынка ценных бумаг, платежные организации и прочие организации) и Национальный Банк.
Национальный Банк будет выступать в роли отраслевого оперативного центра в области кибербезопасности и центра мониторинга и реагирования на инциденты кибербезопасности в финансовом секторе. В его задачи будет входить взаимодействие с Национальным координационным центром кибербезопасности, государственным и частными центрами реагирования на компьютерные инциденты, а также специальными и правоохранительными органами.
Помимо потребителей и поставщиков финансовых услуг, координационных центров, важную роль должны играть ОЮЛ «Ассоциация финансистов Казахстана», операторы связи, провайдеры услуг, медиа-сообщество, образовательные институты, профессиональные сообщества и ассоциации в области кибербезопасности, а также поставщики программного и аппаратного обеспечения, которые будут оказывать поддержку Национальному Банку и органам власти, предоставляя в своих областях экспертное мнение по проводимым мероприятиям, а также оказывая содействие в реализации мер и контролей кибербезопасности.
Необходимо отметить важность взаимодействия с зарубежными центрами, которые обеспечивают кибербезопасность в финансовом секторе своих государств. Подобное сотрудничество позволит эффективнее бороться с источниками киберугроз за пределами Республики Казахстана.
В рамках достижения поставленных Стратегией целей Национальный Банк также будет рассматривать инициативы граждан, направленные на обеспечение киберзащиты финансового сектора.
Глава 8. Структура системы обеспечения кибербезопасности финансового сектора Республики Казахстан
Обеспечение кибербезопасности подразумевает эффективное использование существующих ресурсов и соответствующую многоуровневую организацию с вовлечением всех заинтересованных сторон. Национальный Банк создаст отраслевой оперативный центр кибербезопасности финансового сектора и будет обеспечивать необходимые условия для его стабильной работы.
Оперативный центр Национального Банка будет обеспечивать координацию действий по обеспечению кибербезопасности в финансовом секторе страны, в том числе будет являться единым контакт-центром для международного сотрудничества по кибербезопасности в финансовом секторе. Организационная форма и функции будут определяться Национальным Банком по согласованию с Правительством Республики Казахстан и специальными государственными органами Республики Казахстан.
На оперативном уровне обеспечения кибербезопасности финансового сектора оперативный центр Национального Банка будет способствовать внедрению структурированного подхода к управлению инцидентами кибербезопасности. Обеспечение кибербезопасности финансового сектора будет состоять из четырех ключевых элементов:
мониторинг и обнаружение;
профилактика (предотвращение);
реагирование;
повышение осведомленности.
Для обеспечения кибербезопасности финансовых организаций оперативный центр Национального Банка будет оказывать содействие в предотвращении или сдерживании негативного влияния инцидентов кибербезопасности с целью снижения прямого и косвенного ущерба от инцидентов в финансовом секторе. Для этих целей будет создана Служба реагирования на инциденты кибербезопасности, которая сможет оперативно реагировать на киберугрозы в финансовом секторе, получать в оперативном режиме имеющуюся актуальную информацию о текущих и потенциальных угрозах кибербезопасности и доводить соответствующие рекомендации до финансовых организаций.
Роль научных сообществ, профессиональных ассоциаций (казахстанские и международные ассоциации в области ИКТ и информационной безопасности) будет заключаться в разработке специализированных стандартов и подготовке обучающих программ, семинаров и курсов для высшего и профессионального образования по кибербезопасности.
Глава 9. Ключевые элементы обеспечения кибербезопасности
Мониторинг и обнаружение
Планируется внедрение процессов систематического мониторинга для оперативного обнаружения инцидентов кибербезопасности и периодической оценки эффективности имеющихся средств контроля, в том числе путем мониторинга сети, проведения тестирования, аудита и учений.
Эффективный мониторинг поможет финансовым организациям удерживать риски кибербезопасности на необходимом уровне, своевременно совершенствовать и устранять недостатки существующих механизмов контроля. Проведение проверок финансовых организаций, сравнительный анализ результатов таких проверок, совместные учения с государственными органами и другие механизмы контроля позволят лучше понимать существующие киберугрозы и уязвимости в масштабе всего финансового сектора.
Профилактика (предотвращение)
В профилактике инцидентов кибербезопасности важную роль играет соблюдение соответствующих национальных и международных требований при разработке программного обеспечения, проектировании компонентов информационных систем и инфраструктуры финансового сектора.
Будет выполняться регулярная оценка рисков кибербезопасности, которая послужит основой для выработки и применения мер по минимизации данных рисков, а также оценки эффективности реализованных мер. Будет обеспечено взаимодействие на международном и локальном уровне, что позволит использовать опыт отечественных и зарубежных организаций, отвечающих за обеспечение кибербезопасности. При этом будет поощряться использование программного обеспечения отечественных производителей.
Реагирование
Поскольку в большинстве случаев невозможно свести к нулю количество инцидентов кибербезопасности, необходимо предусмотреть соответствующие механизмы реагирования на них.
Важно учитывать результаты, полученные на этапе профилактики (предотвращения), а также опыт уже обработанных инцидентов. Необходимо своевременно оценивать характер, масштабы и последствия инцидентов кибербезопасности, снижать результаты их воздействия, своевременно уведомлять внутренние и внешние заинтересованные стороны (например, государственные органы, а также сторонних поставщиков услуг и пользователей) и координировать совместные действия по реагированию.
Очень важно обеспечить продолжение операционной деятельности после инцидента при одновременном выполнении процедур восстановления, в том числе:
- устранения последствий инцидента;
- восстановления нормального состояния информационных систем и данных с подтверждением их нормального состояния;
- выявления и устранения уязвимостей, которые были использованы в рамках инцидента, в целях недопущения подобных инцидентов в будущем;
- обеспечения надлежащего информационного обмена внутри страны и за ее пределами.
Повышение осведомленности
Использование технической информации, такой как индикаторы угроз или информация об уязвимостях, позволит организациям поддерживать свои системы защиты в актуальном состоянии и своевременно узнавать о новых методах и способах проведения атак, используемых киберпреступниками. Обмен информацией и знаниями между субъектами финансового и других секторов позволит обеспечить общее понимание того, как злоумышленники могут использовать уязвимости и организовать кибератаки.
Повышение информированности и компетенции, как пользователей, так и обслуживающего персонала (повышение квалификации, обучение) помогут устранить риски и создать культуру безопасного создания и использования ИКТ в финансовом секторе. На этапе повышения осведомленности следует использовать опыт, полученный в ходе профилактики и реагирования, чтобы пользователи были ознакомлены с реальными рисками и эффективными методами их минимизации. Методы и содержание программ повышения осведомленности в максимально возможной степени необходимо адаптировать для различных целевых групп, в том числе для населения и финансовых субъектов.
Глава 10. Цели и задачи реализации стратегии
Цели и задачи реализации Стратегии определены в соответствии с Таблицей 1.
Таблица 1. Цели и задачи Стратегии
|
Совершенствование регулирования систем обеспечения кибербезопасности субъектов финансового рынка |
|
|
Цели |
Задачи |
|
1. Переход на риск - ориентированный подход при регулировании финансовых организаций в области информационной безопасности
|
- обеспечить финансовый сектор актуальной нормативной правовой базой в области информационной безопасности с применением риск-ориентированного подхода при выборе мер и средств защиты информации, информационных систем и инфраструктуры финансовых организаций. |
|
2. Повышение эффективности контроля состояния кибербезопасности финансового сектора со стороны Национального Банка |
- обеспечить финансовый сектор нормативной правовой базой в области осуществления контроля и надзора в части соблюдения требований по обеспечению кибербезопасности информационных систем и инфраструктуры финансовыми организациями; - организовать процесс осуществления компетентных проверок состояния кибербезопасности в финансовых организациях; - создать механизм и систему мер воздействия на финансовые организации в случае нарушения требований в области кибербезопасности. |
|
Обеспечение кибербезопасности физических и юридических лиц при использовании финансовых услуг |
|
|
Цели |
Задачи |
|
3. Выработка единых подходов по обеспечению кибербезопасности платежных систем |
- привести существующие требования к платежным системам в соответствие требованиям кибербезопасности; - разработать требования к обеспечению кибербезопасности платежных систем. |
|
4. Организация процесса повышения осведомленности населения в части безопасного получения финансовых услуг |
- разработать программы повышения осведомленности населения в области кибербезопасности; - внедрить программы повышения осведомленности в области кибербезопасности в общую программу повышения финансовой грамотности населения. |
|
5. Организация процесса повышения квалификации специалистов кибербезопасности финансовых организаций, включая работников Национального Банка |
- создать центр компетенции в области информационной и кибербезопасности на базе Национального Банка; - организовать процесс профессиональной переподготовки и повышения квалификации кадров финансового сектора в области обеспечения кибербезопасности; - организовывать и проводить специализированные форумы и конференции на территории Республики Казахстан. |
|
Обеспечение устойчивого и безопасного функционирования критичной информационной инфраструктуры финансового сектора, включая Национальный Банк |
|
|
Цели |
Задачи |
|
6. Обеспечение защиты от актуальных угроз кибербезопасности финансовой системы Республики Казахстан |
- разработать и внедрить механизм ранжирования финансовых организаций с точки зрения важности для финансовой системы, а также влияния на ее работу реализации рисков кибербезопасности; - организовать процесс планирования внедрения соответствующих мер защиты для управления рисками кибербезопасности при функционировании критичной инфраструктуры ИКТ финансового сектора с учетом ранжирования финансовых организаций. |
|
7. Построение системы взаимодействия между финансовыми организациями, обладающими критически важными объектами информатизации в финансовой сфере, в целях противодействия киберугрозам
|
- обеспечить финансовый сектор нормативной правовой базой в части создания и функционирования служб реагирования на компьютерные инциденты; - создать на базе Национального Банка оперативный центр по обеспечению кибербезопасности в финансовом секторе; - принимать участие в национальных и международных учениях по кибербезопасности; - организовать национальные учения по кибербезопасности для финансового сектора. |
|
8. Создание эффективной системы управления информационной безопасностью в Национальном Банке, отвечающей современным национальным и международным стандартам |
- создать службу реагирования на инциденты кибербезопасности в Национальном Банке; - создать и внедрить в Национальном Банке систему управления информационной безопасностью в соответствии со стандартом ИСО 27001 и ИСО 27002; - внедрить в Национальном Банке стандарт ИСО 27005 в целях оценки рисков информационной безопасности. |
|
Сотрудничество в сфере борьбы с киберпреступностью в национальном и глобальном масштабе |
|
|
Цели |
Задачи |
|
9. Организация процесса обмена информацией об угрозах, атаках на национальном уровне в рамках обеспечения кибербезопасности финансового сектора |
- создать на базе Национального Банка службу реагирования на инциденты кибербезопасности в финансовом секторе; - разработать нормативные правовые акты, регламентирующие порядок проведения совместных мероприятий в киберпространстве, направленных на обеспечение кибербезопасности финансового сектора Республики Казахстан, в том числе с участием государственных органов; - организовать совместные учения в части противодействия киберугрозам финансового сектора при сотрудничестве с другими государственными, правоохранительными и специальными органами. |
|
10. Организация процесса обмена на межгосударственном уровне информацией об угрозах в финансовом секторе
|
- провести гармонизацию нормативных правовых актов и нормативно-методических документов, регламентирующих отношения в сфере обеспечения кибербезопасности в финансовом секторе, на межгосударственном уровне; - разработать нормативные правовые акты, регламентирующие на межгосударственном уровне порядок проведения совместных мероприятий в киберпространстве, направленных на обеспечение кибербезопасности в финансовом секторе; - обеспечить условия для участия казахстанских экспертов в международных рабочих группах и ассоциациях в области информационной и кибербезопасности. |
|
Создание и развитие национальных технологий киберзащиты финансового сектора |
|
|
Цели |
Задачи |
|
11. Создание условий по разработке и развитию программно-технических средств и средств защиты информации в финансовых организациях
|
- разработать стандарты программно-технических средств и средств защиты информации в финансовых организациях; - организовать проведение научно-исследовательских опытно-конструкторских работ, направленных на совершенствование технологий защиты информационных систем и ресурсов от потенциальных и реальных угроз, в том числе на основе зарубежного опыта. |
Глава 11. Риски и возможности реализации стратегии
Основными рисками успешной реализации Стратегии являются:
недостаточность ресурсов - неправильное планирование необходимых для реализации Стратегии ресурсов, а также внешние факторы, влияющие на доступность необходимых ресурсов;
слабое вовлечение первых руководителей организаций - отсутствие необходимой поддержки высшего руководства при реализации поставленных Стратегией задач;
отсутствие консенсуса в вопросах регулирования кибербезопасности - отличие подходов к определению необходимых мер и средств обеспечения кибербезопасности на государственном и отраслевом уровне;
отсутствие нормативной правовой базы в области кибербезопасности на национальном уровне - устаревшая нормативная правовая база, не адаптированная к существующим современным технологиям и преступлениям с их использованием.
Анализ сильных и слабых сторон, возможностей и угроз для реализации Стратегии определен в Таблице 2.
Таблица 2. Анализ сильных и слабых сторон, возможностей и угроз для реализации Стратегии
|
Сильные стороны |
Слабые стороны |
|
- установлен операционный уровень обеспечения информационной и кибербезопасности; - качество кадровых ресурсов на операционном уровне; - имеются хорошие результаты превентивных мер, реализованных до настоящего времени. |
- стратегический уровень обеспечения кибербезопасности в финансовом секторе не установлен; - отсутствие ресурсов (финансовых, кадровых, материальных и технических); - недостаточное сотрудничество между основными заинтересованными сторонами финансового сектора; - недостаточность нормативной правовой базы в области обеспечения кибербезопасности финансового сектора. |
|
Возможности |
Угрозы |
|
- повышенное доверие пользователей (физические лица, финансовые организации, банковские холдинги и участники банковских конгломератов, АО «Банк развития Казахстана», юридические лица, осуществляющие деятельность на рынке ценных бумаг, эмитенты ценных бумаг, кредитные бюро, субъекты страховой деятельности, страховые брокеры, страховые холдинги, страховые группы, оператор почты, оказывающий услуги по переводу денег (АО «Казпочта»), специальные финансовые компании, исламские специальные финансовые компании, инвестиционные фонды и другие лица) к использованию Интернета, что увеличивает его использование (B2C, B2B, B2G, G2C), снижает эксплуатационные расходы и, следовательно, позволяет осуществлять цифровой рост и финансовую стабильность; - интеграция существующих возможностей участников и использование синергизма. |
- недостаточная осведомленность о важности обеспечения кибербезопасности, которая тесно связана с низкой общей культурой кибербезопасности, отсутствием консенсуса в отношении системного регулирования этой области на национальном уровне. |
Реализация Стратегии ограничена ресурсами, имеющимися в бюджете Национального Банка в соответствии с Законом Республики Казахстан от 30 марта 1995 года «О Национальном Банке Республики Казахстан».
Глава 12. Заключение
В результате реализации Стратегии будет сформирован механизм оперативного реагирования на киберугрозы в финансовом секторе, который предполагает взаимодействие, в зависимости от степени угрозы, как с субъектами финансового сектора, так и с государственными органами, в том числе правоохранительными и специальными.
Контроль выполнения мероприятий Стратегии, определенных для достижения целей, будет осуществляться Национальным Банком.
Глава 13. Перечень нормативных правовых актов, посредством которых предполагается реализация Стратегии кибербезопасности финансового сектора Республики Казахстан на 2018 - 2022 годы
В период реализации данной Стратегии достижение поставленных целей и задач предполагается посредством следующих нормативных правовых актов:
1. Уголовный кодекс Республики Казахстан от 3 июля 2014 года;
2. Кодекс Республики Казахстан об административных правонарушениях от 5 июля 2014 года;
3. Гражданский процессуальный кодекс Республики Казахстан от 31 октября 2015 года;
4. Уголовно-процессуальный кодекс Республики Казахстан от 4 июля 2014 года;
5. Предпринимательский кодекс Республики Казахстан от 29 октября 2015 года;
6. Закон Республики Казахстан от 30 марта 1995 года «О Национальном Банке Республики Казахстан»;
7. Закон Республики Казахстан от 31 августа 1995 года «О банках и банковской деятельности в Республике Казахстан»;
8. Закон Республики Казахстан от 26 июля 2016 года «О платежах и платежных системах»;
9. Закон Республики Казахстан от 4 июля 2003 года «О государственном регулировании, контроле и надзоре финансового рынка и финансовых организаций»;
10. Закон Республики Казахстан от 6 июля 2004 года «О кредитных бюро и формировании кредитных историй в Республике Казахстан»;
11. Закон Республики Казахстан от 18 декабря 2000 года «О страховой деятельности»;
12. Закон Республики Казахстан от 2 июля 2003 года «О рынке ценных бумаг»;
13. Закон Республики Казахстан от 5 июля 2004 года «О связи»;
14. Закон Республики Казахстан от 27 июля 2007 года «Об образовании»;
15. Закон Республики Казахстан от 6 января 2012 года «О национальной безопасности Республики Казахстан»;
16. Закон Республики Казахстан от 21 мая 2013 года «О персональных данных и их защите»;
17. Закон Республики Казахстан от 16 мая 2014 года «О разрешениях и уведомлениях»;
18. Закон Республики Казахстан от 24 ноября 2015 года «Об информатизации»;
19. постановление Правительства Республики Казахстан от 23 августа 2012 года № 1080 «Об утверждении государственных общеобязательных стандартов образования соответствующих уровней образования»;
20. постановление Правления Национального Банка Республики Казахстан от 28 января 2016 года № 34 «Об утверждении Требований к безопасности и беспрерывности работы информационных систем банков и организаций, осуществляющих отдельные виды банковских операций»;
21. постановление Правления Национального Банка Республики Казахстан от 27 марта 2018 года № 480 «Об утверждении Требований к обеспечению информационной безопасности банков и организаций, осуществляющих отдельные виды банковских операций, Правил и сроков предоставления информации об инцидентах информационной безопасности, включая сведения о нарушениях, сбоях в информационных системах»;
22. постановление Правления Национального Банка Республики Казахстан от 26 февраля 2014 года № 29 «Об утверждении Правил формирования системы управления рисками и внутреннего контроля для банков второго уровня»;
23. постановление Правления Национального Банка Республики Казахстан от 27 мая 2015 года № 91 «Об утверждении Требований к использованию информационно-коммуникационных технологий и обеспечению информационной безопасности при организации деятельности кредитных бюро, поставщиков информации и получателей кредитных отчетов»;
24. постановление Правления Национального Банка Республики Казахстан от 31 августа 2016 года № 212 «Об утверждении Правил оказания банками и организациями, осуществляющими отдельные виды банковских операций, электронных банковских услуг»;
25. постановление Правления Национального Банка Республики Казахстан от 31 августа 2016 года № 213 «Об утверждении Правил представления сведений о платежных услугах»;
26. постановление Правления Национального Банка Республики Казахстан от 31 августа 2016 года № 200 «Об утверждении Требований к организационным мерам и программно-техническим средствам, обеспечивающим доступ в платежные системы»;
27. постановление Правления Национального Банка Республики Казахстан от 31 августа 2016 года № 201 «Об утверждении Правил функционирования межбанковской системы переводов денег»;
28. постановление Правления Национального Банка Республики Казахстан от 31 августа 2016 года № 202 «Об утверждении Правил выпуска, использования и погашения электронных денег, а также требований к эмитентам электронных денег и системам электронных денег на территории Республики Казахстан»;
29. постановление Правления Национального Банка Республики Казахстан от 31 августа 2016 года № 205 «Об утверждении Правил выпуска платежных карточек, а также требований к деятельности по обслуживанию операций с их использованием на территории Республики Казахстан»;
30. постановление Правления Национального Банка Республики Казахстан от 31 августа 2016 года № 208 «Об утверждении Правил осуществления безналичных платежей и (или) переводов денег на территории Республики Казахстан»;
31. постановление Правления Национального Банка Республики Казахстан от 31 августа 2016 года № 211 «Об утверждении Правил функционирования системы межбанковского клиринга»;
32. постановление Правления Национального Банка Республики Казахстан от 31 августа 2016 года № 215 «Об утверждении Правил организации деятельности платежных организаций»;
33. постановление Правления Национального Банка Республики Казахстан от 31 августа 2016 года № 217 «Об утверждении Правил функционирования межбанковской системы платежных карточек»;
34. постановление Правления Национального Банка Республики Казахстан от 31 августа 2016 года № 218 «Об утверждении Правил функционирования платежных систем, оператором которых выступает Национальный Банк Республики Казахстан либо его дочерняя организация»;
35. постановление Правления Национального Банка Республики Казахстан от 31 августа 2016 года № 213 «Об утверждении Правил представления сведений о платежных услугах»;
36. постановление Правления Национального Банка Республики Казахстан от 19 декабря 2015 года № 252 «Об утверждении Правил формирования системы управления рисками и внутреннего контроля для фондовой биржи»;
37. постановление Правления Национального Банка Республики Казахстан от 24 февраля 2012 года № 99 «Об утверждении Требований к системе управления рисками и внутреннего контроля страховой группы»;
38. постановление Правления Агентства Республики Казахстан по регулированию и надзору финансового рынка и финансовых организаций от 30 апреля 2007 года № 122 «Об утверждении Правил выдачи разрешения на создание страховой (перестраховочной) организации, а также выдачи лицензии на право осуществления страховой (перестраховочной) деятельности и деятельности страхового брокера»;
39. постановление Правления Агентства Республики Казахстан по регулированию и надзору финансового рынка и финансовых организаций от 15 апреля 2006 года № 102 «Об утверждении Инструкции о требованиях к автоматизации страховой (перестраховочной) организации»;
40. постановление Правления Агентства Республики Казахстан по регулированию и надзору финансового рынка и финансовых организаций от 1 февраля 2010 года № 4 «Об утверждении Инструкции о требованиях по наличию систем управления рисками и внутреннего контроля в страховых (перестраховочных) организациях»;
41. постановление Правления Агентства Республики Казахстан по регулированию и надзору финансового рынка и финансовых организаций от 25 июня 2007 года № 177 «Об утверждении Требований к деятельности организации по формированию и ведению базы данных»;
42. постановление Правления Национального Банка Республики Казахстан от 19 декабря 2015 года № 253 «Об утверждении Требований по наличию системы управления рисками в центральном депозитарии»;
43. постановление Правления Национального Банка Республики Казахстан от 24 февраля 2012 года № 59 «Об утверждении Требований к системе управления рисками клиринговой организации, условиям и порядку мониторинга, контроля и управления рисками в клиринговой организации»;
44. постановление Правления Национального Банка Республики Казахстан от 24 августа 2012 года № 276 «Об утверждении Требований по наличию системы управления рисками для организации, осуществляющей деятельность по ведению системы реестров держателей ценных бумаг, и внесении изменений в некоторые нормативные правовые акты Республики Казахстан»;
45. постановление Правления Национального Банка Республики Казахстан от 28 апреля 2012 года № 165 «Об утверждении Инструкции к программно-техническим средствам и иному оборудованию, необходимым для осуществления деятельности на рынке ценных бумаг»;
46. постановление Правления Национального Банка Республики Казахстан от 22 октября 2014 года № 210 «Об утверждении Правил регистрации сделок с эмиссионными ценными бумагами в системе учета номинального держания ценных бумаг, предоставления номинальным держателем выписки с лицевого счета держателя ценных бумаг в системе учета номинального держания ценных бумаг и раскрытия информации номинальным держателем»;
47. постановление Правления Агентства Республики Казахстан по регулированию и надзору финансового рынка и финансовых организаций от 29 октября 2008 года № 170 «Об утверждении Правил осуществления деятельности организации торговли с ценными бумагами и иными финансовыми инструментами»;
48. постановление Правления Национального Банка Республики Казахстан от 19 декабря 2015 года № 249 «Об утверждении Требований к организационной структуре организатора торгов и составу листинговой комиссии фондовой биржи, а также Правил осуществления деятельности структурного подразделения организатора торгов, осуществляющего деятельность по надзору за совершаемыми сделками в торговой системе фондовой биржи»;
49. постановление Правления Национального Банка Республики Казахстан от 27 августа 2013 года № 214 «Об утверждении Правил формирования системы управления рисками и внутреннего контроля для организаций, осуществляющих брокерскую и дилерскую деятельность на рынке ценных бумаг, деятельность по управлению инвестиционным портфелем»;
50. приказ и.о. Министра по инвестициям и развитию Республики Казахстан от 25 января 2016 года № 60 «Об утверждении Правил взаимодействия государственных органов по вопросам соблюдения требований законодательства Республики Казахстан в сетях телекоммуникаций»;
51. приказ Председателя Комитета национальной безопасности Республики Казахстан от 27 марта 2018 года № 24/нс «Об утверждении Правил присоединения сетей операторов междугородной и международной связи к точке обмена интернет-трафиком»;
52. приказ Министра оборонной и аэрокосмической промышленности Республики Казахстан от 28 марта 2018 года № 51/НҚ «Об утверждении Методики проведения аттестационного обследования информационной системы, информационно-коммуникационной платформы «электронного правительства», интернет-ресурса государственного органа на соответствие требованиям информационной безопасности»;
53. приказ Министра оборонной и аэрокосмической промышленности Республики Казахстан от 13 марта 2018 года № 38/НҚ «Об утверждении Правил регистрации, пользования и распределения доменных имен в пространстве казахстанского сегмента Интернета».
