- Национальный банк 12 апреля принял постановление «О внесении изменений в некоторые нормативные правовые акты Национального банка Кыргызской Республики по вопросам аудита информационной безопасности».
Документ принят в целях снижения операционного риска по информационным системам и информационной безопасности банка.
Руководитель аудита информационной безопасности для проведения внешнего аудита информационной безопасности должен обладать:
- квалификационным сертификатом (одним из CISA, CISM, CISSP и т.д.);
- опытом аудита информационных систем и/или информационной безопасности финансово-кредитных организаций.»;
Банки должны проводить внешний аудит информационной безопасности минимум один раз в два года. Срок проведения внешнего аудита информационной безопасности определяется из расчета двух последовательных лет с даты проведения последнего внешнего аудита информационной безопасности.
При этом системнозначимые банки, определяемые по количественным показателям в соответствии с п оложением «О критериях системности коммерческих банков и небанковских финансово-кредитных организаций», а также банки, которые предоставляют дистанционные финансовые услуги (если объем данных операций свыше 10% от активов банка), должны проводить внешний аудит информационной безопасности ежегодно.
В случае получения банком сертификации в соответствии с международным стандартом ISO 27001 «Система менеджмента информационной безопасности» и последующего соответствия этому стандарту внешний аудит информационной безопасности может проводиться раз в три года.
Банк должен проводить внешний аудит информационной безопасности дочерней компании, предоставляющей услуги по разработке финансовых технологий для реализации банковских услуг. Аудит информационной безопасности банка и его дочерней компании, предоставляющей услуги по разработке финансовых технологий для реализации банковских услуг, должен осуществляться одной аудиторской организацией.»;
Подробнее можно узнать, перейдя по ссылке.