Документ на казахском языке

Банктердің, Қазақстан Республикасының бейрезидент-банктері филиалдарының және банк операцияларының жекелеген түрлерін жүзеге асыратын ұйымдардың ақпараттық қауіпсіздігін қамтамасыз етуге қойылатын талаптарды, Ақпараттық жүйелердегі бұзушылықтар, іркілістер туралы мәліметтерді қоса алғанда, ақпараттық қауіпсіздіктің оқыс оқиғалары туралы ақпаратты беру қағидалары мен мерзімдерін бекіту туралы Қазақстан Республикасы Ұлттық Банкі Басқармасының 2018 жылғы 27 наурыздағы № 48 қаулысы Қазақстан Республикасының Әділет министрлігінде 2018 жылғы 18 сәуірде № 16772 болып тіркелді

Редакция 01.11.2025 жылы берілген өзгерістер мен толықтырулармен

«Қазақстан Республикасындағы банктер және банк қызметі туралы» Қазақстан Республикасы Заңы 61-5-бабының 4-тармағына сәйкес Қазақстан Республикасы Ұлттық Банкінің Басқармасы ҚАУЛЫ ЕТЕДІ:

1. Мыналар:

1) осы қаулыға 1-қосымшаға сәйкес Банктердің, Қазақстан Республикасының бейрезидент-банктері филиалдарының және банк операцияларының жекелеген түрлерін жүзеге асыратын ұйымдардың ақпараттық қауіпсіздігін қамтамасыз етуге қойылатын талаптар;

2) осы қаулыға 2-қосымшаға сәйкес Ақпараттық жүйелердегі бұзушылықтар, іркілістер туралы мәліметтерді қоса алғанда, ақпараттық қауіпсіздіктің оқыс оқиғалары туралы ақпаратты беру қағидалары мен мерзімдері бекітілсін.

2. «Екінші деңгейдегі банктердің және банк операцияларының жекелеген түрлерін жүзеге асыратын ұйымдардың ақпарат жүйелерінің қауіпсіздігін қамтамасыз ету жөніндегі ережені бекіту туралы» Қазақстан Республикасының Ұлттық Банкі Басқармасының 2001 жылғы 31 наурыздағы № 80 қаулысының (Нормативтік құқықтық актілерді мемлекеттік тіркеу тізілімінде № 1517 болып тіркелген) күші жойылды деп танылсын.

3. Ақпараттық қауіп және киберқорғау басқармасы (Перминов Р.В.) Қазақстан Республикасының заңнамасында белгіленген тәртіппен:

1) Заң департаментімен (Сәрсенова Н.В.) бірлесіп осы қаулыны Қазақстан Республикасының Әділет министрлігінде мемлекеттік тіркеуді;

2) осы қаулы мемлекеттік тіркелген күннен бастап күнтізбелік он күн ішінде оның қазақ және орыс тілдеріндегі қағаз және электрондық түрдегі көшірмесін «Республикалық құқықтық ақпарат орталығы» шаруашылық жүргізу құқығындағы республикалық мемлекеттік кәсіпорнына Қазақстан Республикасы нормативтік құқықтық актілерінің эталондық бақылау банкінде ресми жариялау және енгізу үшін жіберуді;

3) осы қаулыны ресми жарияланғаннан кейін Қазақстан Республикасы Ұлттық Банкінің ресми интернет-ресурсына орналастыруды;

4) осы қаулы мемлекеттік тіркелгеннен кейін он жұмыс күні ішінде Заң департаментіне осы қаулының осы тармағының 2), 3) тармақшаларында және 4-тармағында көзделген іс-шаралардың орындалуы туралы мәліметтерді ұсынуды қамтамасыз етсін.

4. Қаржылық қызметтерді тұтынушылардың құқықтарын қорғау және сыртқы коммуникациялар басқармасы (Терентьев А.Л.) осы қаулы мемлекеттік тіркелгеннен кейін күнтізбелік он күн ішінде оның көшірмесін мерзімді баспасөз басылымдарында ресми жариялауға жіберуді қамтамасыз етсін.

5. Осы қаулының орындалуын бақылау Қазақстан Республикасының Ұлттық Банкі Төрағасының орынбасары О.А. Смоляковқа жүктелсін.

6. Осы қаулы, 2018 жылғы 1 желтоқсаннан бастап қолданысқа енгізілетін осы қаулының 1-тармағының 1) тармақшасын және 2-тармағын қоспағанда, алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі.

Ұлттық Банк Төрағасы Д. Ақышев

Қазақстан Республикасының Ұлттық Банкі Басқармасының 2018 жылғы 27 наурыздағы № 48 қаулысына 1-қосымша

Банктердің, Қазақстан Республикасының бейрезидент-банктері филиалдарының және банк операцияларының жекелеген түрлерін жүзеге асыратын ұйымдардың ақпараттық қауіпсіздігін қамтамасыз етуге қойылатын талаптар

1-тарау. Жалпы ережелер

1. Осы Банктердің, Қазақстан Республикасының бейрезидент-банктері филиалдарының және банк операцияларының жекелеген түрлерін жүзеге асыратын ұйымдардың ақпараттық қауіпсіздігін қамтамасыз етуге қойылатын талаптар (бұдан әрі – Талаптар) «Қазақстан Республикасындағы банктер және банк қызметі туралы» Қазақстан Республикасының Заңы 61-5-бабының 7-тармағына сәйкес әзірленді және банктердің, Қазақстан Республикасының бейрезидент-банктері филиалдарының (бұдан әрі – банк) және банк операцияларының жекелеген түрлерін жүзеге асыратын ұйымдардың (бұдан әрі – ұйым) ақпараттық қауіпсіздігін қамтамасыз етуге қойылатын талаптарды белгілейді.

2. Талаптарда «Ақпараттандыру туралы» Қазақстан Республикасының Заңында көзделген ұғымдар, сондай-ақ мынадай ұғымдар пайдаланылады:

1) ақпараттандыру саласындағы ақпараттық қауіпсіздік (бұдан әрі – ақпараттық қауіпсіздік) – электрондық ақпараттық ресурстардың, ақпараттық жүйелердің және ақпараттық-коммуникациялық инфрақұрылымның сыртқы және ішкі қатерлерден қорғалуының жай-күйі;

2) ақпаратты штаттық тасымалдаушы – ақпараттық-коммуникациялық инфрақұрылым объектісінің құрамдас бөлігі болып табылатын және оған тұрақты қосылған ақпарат тасымалдаушы;

3) ақпараттық актив – ақпараттың және оны сақтауға және (немесе) өңдеуге пайдаланылатын ақпараттық-коммуникациялық инфрақұрылым объектісінің жиынтығы;

4) ақпараттық жүйенің/активтің АТ-менеджері – банктің, ұйымның ақпараттық жүйені/активті ақпараттық жүйенің/активтің бизнес-иесінің талаптарына сәйкес келетін күйде ұстап тұруға жауапты қызметкері немесе бөлімшесі (қызметкерлері немесе бөлімшелері);

5) ақпараттық жүйенің немесе шағын жүйесінің бизнес-иесі – банктің, ұйымның ақпараттық жүйе немесе шағын жүйе автоматтандыратын негізгі бизнес-процестің иесі болып табылатын бөлімшесі (қызметкері);

6) ақпараттық-коммуникациялық инфрақұрылым (бұдан әрі – ақпараттық инфрақұрылым) – электрондық ақпараттық ресурстарды қалыптастыру және оларға қолжетімділік беру мақсатында технологиялық ортаның жұмыс істеуін қамтамасыз етуге арналған ақпараттық-коммуникациялық инфрақұрылым объектілерінің жиынтығы;

7) ақпараттық-коммуникациялық инфрақұрылымды қорғау шегі – банктің, ұйымның ақпараттық-коммуникациялық инфрақұрылымын сыртқы ақпараттық желілерден оқшаулайтын және ақпараттық қауіпсіздік қауіпінен қорғауды іске асыратын бағдарламалық-аппараттық құралдардың жиынтығы;

8) ақпараттық қауіпсіздік қатері – ақпараттық қауіпсіздіктің оқыс оқиғаларының пайда болуының алғышарттарын туындататын жағдайлардың және факторлардың жиынтығы;

9) ақпараттық қауіпсіздік тәуекелі – банктің, ұйымның ақпараттық активтері конфиденциалдылығының бұзылуы, тұтастығының немесе қолжетімділігінің қасақана бұзылуы салдарынан залалдың ықтимал пайда болуы;

10) ақпараттық қауіпсіздікті қамтамасыз ету – банктің, ұйымның ақпараттық активтерінің конфиденциалдылық, тұтастық және қолжетімділік күйін ұстап тұруға бағытталған процесс

11) ақпараттық қауіпсіздіктің оқыс оқиғалары туралы ақпарат – ақпараттық-коммуникациялық инфрақұрылымның немесе оның жекелеген объектілерінің жұмысында жеке немесе сериялық туындайтын, олардың тиісінше жұмыс істеуіне қауіп келтіретін іркілістер туралы ақпарат және (немесе) электрондық ақпараттық ресурстарды заңсыз алуға, көшіруге, таратуға, модификациялауға, жою немесе бұғаттауға арналған талаптар;

12) ақпараттық қауіпсіздіктің оқыс оқиғасы – ақпараттық-коммуникациялық инфрақұрылымның немесе оның жекелеген объектілерінің жұмысында жеке немесе сериялық туындайтын, олардың тиісінше жұмыс істеуіне қауіп келтіретін іркілістер және (немесе) электрондық ақпараттық ресурстарды заңсыз алуға, көшіруге, таратуға, модификациялауға, жоюға немесе бұғаттауға арналған талаптар;

13) алдын ала орнатылған есептік жазбалар – ақпараттық жүйелерді өндірушілер орнатқан есептік жазбалар;

14) артықшылықты есептік жазба – ақпараттық жүйедегі жасалу, жойылу және есептік жазбаларға кіру құқықтарын өзгерту артықшылықтары бар есептік жазба;

15) әкімшілендіру және мониторинг консолі – ақпараттық жүйені қашықтан басқаруды жүзеге асыруға мүмкіндік беретін жұмыс станциясы;

16) бизнес-процесс – сыртқы немесе ішкі тұтынушы үшін белгілі өнімді немесе қызметті жасауға бағытталған өзара байланысты іс-шаралар немесе міндеттер жиынтығы;

17) бизнес-процестің иесі – банктің, ұйымның бизнес-процестің жұмыс істеу цикліне және банктің, ұйымның бизнес-процеске тартылған бөлімшелерінің қызметін үйлестіруге жауап беретін бөлімшесі (қызметкері);

18) виртуалды орта – аппараттық іске асырудан абстракцияланған және бұл ретте бір нақты ресурста орындалатын есептеуіш процестердің бір-бірінен қисынды оқшаулануын қамтамасыз ететін есептеу ресурстары немесе олардың қисынды бірігуі;

19) гипервизор – бірнеше операциялық жүйені бір серверде немесе компьютерде құруға және іске қосуға мүмкіндік беретін бағдарламалық немесе аппараттық-бағдарламалық қамтамасыз ету;

20) деректер беру хаттамасы – желіге қосылған екі және одан көп құрылғы арасында қосу мен айырбастауды жүзеге асыруға мүмкіндік беретін қағидалар мен іс-қимыл жиынтығы;

21) банктің, ұйымның деректерді өңдеу орталығы – банктің, ұйымның ақпараттық жүйелерінің жұмысын қамтамасыз ететін серверлер орналастырылған, арнайы бөлінген үй-жай;

22) желіаралық экран – ақпараттық инфрақұрылымның берілген қағидаларға сәйкес ол арқылы өтетін желілік трафикке бақылау мен сүзгіден өткізуді жүзеге асыратын элементі;

23) жұмыс станциясы – банктің, ұйымның ақпараттық активін пайдаланушының стационарлық дербес компьютері;

24) кіру – банктің, ұйымның ақпараттық активтерін пайдалану мүмкіндігі;

25) қауіпсіздіктің топтық саясаттары – ақпараттық жүйелердің құралдары арқылы іске асырылған ақпараттық қауіпсіздік қағидаларының үлгі жиынтықтары;

26) қосымша – ақпараттық жүйе пайдаланушысының қолданбалы бағдарламалық қамтамасыз етуі;

27) резервтік көшірме – деректер зақымдалған немесе бұзылған жағдайда оларды түпнұсқада немесе жаңадан орналастырылған орнында қалпына келтіруге арналған ақпарат тасымалдағыштағы деректер көшірмесі;

28) сигнатуралар – бағдарламалық кодты сәйкестендіретін деректер жиынтығы;

29) техникалық қауіпсіздікті қамтамасыз ету – техникалық құралдарды (күзет және өрт сигнализациясы, кіруді бақылау және басқару, бейнебақылау, өрт сөндіру, деректерді өңдеу орталығында температуралық режим мен ылғалдылықты бақылау жүйелерін) пайдалана отырып банктің, ұйымның қауіпсіздігін қамтамасыз ету процесі;