V2000021251 Действует

Об утверждении требований к компетенциям руководителей и работников подразделений информационной безопасности, включая требования по повышению квалификации лиц, ответственных за обеспечение информационной безопасности

Агентство Республики Казахстан по регулированию и развитию финансового рынка (Образован Указом Президента РК от 11.11.2019 г. № 203)

Анализ Ссылки PDF DOCX

Принят 21.09.2020 · Изменён 20.03.2025 · Форма Постановление, Требования · Рег. номер 146600 · Юр. сила Акт Министерства или ведомства

Об утверждении требований к компетенциям руководителей и работников подразделений информационной безопасности, включая требования по повышению квалификации лиц, ответственных за обеспечение информационной безопасности

В соответствии с подпунктом 3) статьи 13-6 Закона Республики Казахстан от 4 июля 2003 года «О государственном регулировании, контроле и надзоре финансового рынка и финансовых организаций» Правление Агентства Республики Казахстан по регулированию и развитию финансового рынка ПОСТАНОВЛЯЕТ:

1. Утвердить прилагаемые Требования к компетенциям руководителей и работников подразделений информационной безопасности, включая требования по повышению квалификации лиц, ответственных за обеспечение информационной безопасности.

2. Управлению кибербезопасности в установленном законодательством Республики Казахстан порядке обеспечить:

1) совместно с Юридическим департаментом государственную регистрацию настоящего постановления в Министерстве юстиции Республики Казахстан;

2) размещение настоящего постановления на официальном интернет-ресурсе Агентства Республики Казахстан по регулированию и развитию финансового рынка после его официального опубликования;

3) в течение десяти рабочих дней после государственной регистрации настоящего постановления представление в Юридический департамент сведений об исполнении мероприятия, предусмотренного подпунктом 2) настоящего пункта.

3. Контроль за исполнением настоящего постановления возложить на курирующего заместителя Председателя Агентства Республики Казахстан по регулированию и развитию финансового рынка.

4. Настоящее постановление вводится в действие с 1 января 2021 года и подлежит официальному опубликованию.

Председатель Агентства Республики Казахстан по регулированию и развитию финансового рынка

М. Абылкасымова

Приложение

к постановлению Правления

Агентства Республики Казахстан

по регулированию и развитию

финансового рынка

от 21 сентября 2020 года

№ 89

Требования к компетенциям руководителей и работников подразделений информационной безопасности, включая требования по повышению квалификации лиц, ответственных за обеспечение информационной безопасности

Глава 1. Общие положения

1. Настоящие Требования к компетенциям руководителей и работников подразделений информационной безопасности, включая требования по повышению квалификации лиц, ответственных за обеспечение информационной безопасности (далее – Требования) разработаны в соответствии с Законом Республики Казахстан от 4 июля 2003 года «О государственном регулировании, контроле и надзоре финансового рынка и финансовых организаций» и устанавливают требования к компетенциям руководителей и работников подразделений информационной безопасности, включая требования по повышению квалификации лиц, ответственных за обеспечение информационной безопасности (далее – работники) финансовых организаций Республики Казахстан и филиалов банков-нерезидентов Республики Казахстан, филиалов страховых (перестраховочных) организаций-нерезидентов Республики Казахстан, филиалов страховых брокеров-нерезидентов Республики Казахстан (далее – организации) независимо от форм собственности.

2. В Требованиях используются следующие понятия:

1) информационная безопасность - состояние защищенности электронных информационных ресурсов, информационных систем и информационно-коммуникационной инфраструктуры от внешних и внутренних угроз;

2) домен - совокупность знаний в отдельной предметной области;

3) компетенция - результат усвоения информации, полученный в процессе обучения и личного опыта; совокупность знаний, теории и практики, относящихся к сфере обучения или работы; компонент квалификации, который подвергается оценке.

В Требованиях применяются термины и определения в соответствии с Межгосударственным стандартом ГОСТ ISO/IEC 17024-2014 «Оценка соответствия. Общие требования к органам, осуществляющим сертификацию персонала» (далее – Стандарт).

3. Требования основываются на принципах:

1) разграничения функциональных обязанностей по типовым должностям;

2) направленности на знания и навыки в области информационных технологий и информационной безопасности, включая кибербезопасность;

3) независимости от требований, предъявляемых производителями программного обеспечения и аппаратного оборудования к работникам;

4) баланса теоретических знаний и практических навыков, профессиональных компетенций, предъявляемых к типовым должностям;

5) использования типовых доменов.

4. Типовые должности в организации:

1) специалист - работник подразделения информационной безопасности, в функциональные обязанности которого входит обеспечение информационной безопасности организации;

2) руководитель - работник подразделения информационной безопасности, в функциональные обязанности которого входит организация деятельности подразделения информационной безопасности;

3) ответственный работник - работник, выполняющий одновременно функциональные обязанности специалиста и руководителя.

5. Разделение компетенций на домены предназначено для:

1) баланса возможностей и специфики организации по обеспечению информационной безопасности;

2) формирования требования с учетом квалификации, компетенции работников и особенностей бизнес-процессов организации;

3) расширения требований за счет создания новых доменов.

Глава 2. Состав доменов

6. Домены содержат минимально необходимый перечень компетенций, которые по усмотрению организации дополняются, расширяются при необходимости.

7. Состав типовых доменов:

1) базовый;

2) правовой;

3) организационный;

4) программно-аппаратный;

5) телекоммуникационный;

6) методы и средства обеспечения информационной безопасности;

7) управление рисками информационной безопасности;

8) управление инцидентами информационной безопасности.

8. Состав домена «базовый» - терминология и требования системы управления информационной безопасностью в соответствии с национальным стандартом Республики Казахстан СТ ISO/IEC 27001-2022 «Информационная безопасность, кибербезопасность и защита конфиденциальности. Системы менеджмента информационной безопасности. Требования» или международным стандартом ISO/IEC 27001:2022 «Information security, cybersecurity and privacy protection – Information security management systems - Requirements» (Информэйшн секьюрити, сайберсекьюрити энд прайвэси протекшн. Информэйшн секьюрити мэнэджмент системс - Реквайрментс) (Информационная безопасность, кибербезопасность и защита частной жизни - Системы менеджмента информационной безопасности - Требования).

9. Состав домена «правовой»:

1) национальные, международные стандарты в области информационной безопасности;

2) законодательные и нормативные правовые акты в области информационной безопасности;

3) методические документы уполномоченных органов по защите информации.

10. Состав домена «организационный»:

1) основы, цели, принципы управленческой деятельности;

2) основы информационно-аналитической деятельности;

3) основные организационные меры и мероприятия по защите информации.

11. Состав домена «программно-аппаратный»:

1) общие принципы функционирования программно-аппаратных средств;

2) принципы построения, работы программно-аппаратных комплексов защиты информации;

3) порядок устранения неисправностей программно-аппаратных средств защиты информации.

12. Состав домена «телекоммуникационный»:

1) принципы построения информационных систем и сетей телекоммуникаций;

2) источники угроз информационной безопасности в сетях телекоммуникаций и меры по их предотвращению;

3) назначение, цели, возможности эксплуатируемых средств защиты информации на объектах телекоммуникаций;

4) методы и средства защиты информации от несанкционированного доступа в сетях телекоммуникаций.

13. Состав домена «методы и средства информационной безопасности»:

1) организационные аспекты информационной безопасности;

2) управление информационными активами;

3) управление доступом.

14. Состав домена «управление рисками информационной безопасности»:

1) процесс управления рисками информационной безопасности:

2) основные критерии менеджмента рисков;

3) оценка рисков информационной безопасности;

4) обработка, принятие рисков информационной безопасности.

15. Состав домена «управление инцидентами информационной безопасности»:

1) цели и задачи группы реагирования на инциденты;

2) план управления инцидентами.

Глава 3. Требования к знаниям и опыту работы

16. Обязательным для всех должностей является домен «базовый».

17. К специалисту дополнительно к домену «базовому» предъявляются требования о наличии компетенций не менее, чем по одному из доменов.

18. К специалисту предъявляется требование о соответствии одному из критериев:

1) наличие среднего специального или высшего образования по одному из доменов;

2) прохождение обучения по одному или более доменам;

3) опыт работы по одному и более доменам не менее двух лет;

4) наличие сертификата, подтверждающего знания и опыт по одному или более доменам, выданного в соответствии с требованиями Стандарта или Международного стандарта ISO/IEC 17024:2012 «Conformity assessment - general requirements for bodies operating certification of persons» (Комфомити ассесмент – дженерал реквайрментс фор бодиес оператинг сертификэйшн оф персонс) (Оценка соответствия. Общие требования к органам, осуществляющим сертификацию персонала) (далее – Международный стандарт).

19. Требования к руководителю включают в себя минимально необходимый перечень компетенций в соответствии с возложенными на подразделение информационной безопасности задачами.

20. К руководителю предъявляются требования о наличии высшего образования и опыта работы не менее трех лет по одному из доменов.

21. Оценка компетенций руководителя осуществляется в соответствии с внутренними документами организации. Решение о его соответствии оформляется документально.

21-1. Не менее пяти процентов работников подразделения информационной безопасности в организации, указанных в пункте 4 Требований, подтверждают соответствие критериям подпункта 4) пункта 18 Требований.

Глава 4. Требования по повышению квалификации лиц, ответственных за обеспечение информационной безопасности

22. Специалисты и руководители не реже одного раза в 3 (три) года повышают квалификацию путем прохождения обучения или сертификации по темам, указанным в доменах.

23. Подтверждением повышения квалификации специалистов и руководителей, ответственных за обеспечение информационной безопасности, является наличие документов о прохождении обучения и (или) сертификата, выданного в соответствии со Стандартом или Международным стандартом.