«Қазақстан Республикасындағы банктер және банк қызметі туралы» Қазақстан Республикасының Заңы 55-бабының 2 және 10-тармақтарына сәйкес Қазақстан Республикасы Қаржы нарығын реттеу және дамыту агенттігінің Басқармасы ҚАУЛЫ ЕТЕДІ:
Отправить по почте
Банктердің, Қазақстан Республикасының бейрезидент банктері филиалдарының және банк операцияларының жекелеген түрлерін жүзеге асыратын ұйымдардың ақпараттық қауіпсіздігін қамтамасыз етуге қойылатын талаптарды бекіту туралы Қазақстан Республикасы Қаржы нарығын реттеу және дамыту агенттігі Басқармасының 2026 жылғы 3 сәуірдегі № 53 қаулысы. Қазақстан Республикасының Әділет министрлігінде 2026 жылғы 6 сәуірде № 38336 болып тіркелді
«Қазақстан Республикасындағы банктер және банк қызметі туралы» Қазақстан Республикасының Заңы 55-бабының 2 және 10-тармақтарына сәйкес Қазақстан Республикасы Қаржы нарығын реттеу және дамыту агенттігінің Басқармасы ҚАУЛЫ ЕТЕДІ:
1. Қоса беріліп отырған Банктердің, Қазақстан Республикасының бейрезидент банктері филиалдарының және банк операцияларының жекелеген түрлерін жүзеге асыратын ұйымдардың ақпараттық қауіпсіздігін қамтамасыз етуге қойылатын талаптар бекітілсін.
2. Осы қаулыға қосымшаға сәйкес тізбе бойынша Қазақстан Республикасының Ұлттық Банкі Басқармасы қаулысының және Қазақстан Республикасының Қаржы нарығын реттеу және дамыту агенттігі Басқармасының кейбір қаулыларының, сондай-ақ Қазақстан Республикасының Ұлттық Банкі Басқармасы қаулысының және Қазақстан Республикасы Қаржы нарығын реттеу және дамыту агенттігінің Басқармасы кейбір қаулыларының жекелеген құрылымдық элементтерінің күші жойылды деп танылсын.
3. Ақпараттық және киберқауіпсіздік департаменті Қазақстан Республикасының заңнамасында белгіленген тәртіппен:
1) Заң департаментімен бірлесіп осы қаулыны Қазақстан Республикасының Әділет министрлігінде мемлекеттік тіркеуді;
2) осы қаулыны ресми жарияланғаннан кейін Қазақстан Республикасы Қаржы нарығын реттеу және дамыту агенттігінің ресми интернет-ресурсына орналастыруды;
3) осы қаулы мемлекеттік тіркелгеннен кейін он жұмыс күні ішінде Заң департаментіне осы тармақтың 2) тармақшасында көзделген іс-шараның орындалуы туралы мәліметтерді ұсынуды қамтамасыз етсін.
4. Осы қаулының орындалуын бақылау Қазақстан Республикасының Қаржы нарығын реттеу және дамыту агенттігі Төрағасының жетекшілік ететін орынбасарына жүктелсін.
5. Осы қаулы алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі.
Қазақстан Республикасының Қаржы нарығын реттеу және дамыту Агенттігінің Төрағасы М. Абылкасымова
Қазақстан Республикасының Қаржы нарығын реттеу және дамыту Агенттігінің Басқармасының 2026 жылғы 3 сәуірдегі № 53 қаулысымен бекітілген
Банктердің, Қазақстан Республикасының бейрезидент банктері филиалдарының және банк операцияларының жекелеген түрлерін жүзеге асыратын ұйымдардың ақпараттық қауіпсіздігін қамтамасыз етуге қойылатын талаптар
1-тарау. Жалпы ережелер
1. Осы Банктердің, Қазақстан Республикасының бейрезидент банктері филиалдарының және банк операцияларының жекелеген түрлерін жүзеге асыратын ұйымдардың ақпараттық қауіпсіздігін қамтамасыз етуге қойылатын талаптар (бұдан әрі – Талаптар) «Қазақстан Республикасындағы банктер және банк қызметі туралы» Қазақстан Республикасының Заңы 55-бабының 2 және 10-тармақтарына сәйкес әзірленді және банктердің, Қазақстан Республикасының бейрезидент банктері филиалдарының (бұдан әрі – банк) және банк операцияларының жекелеген түрлерін жүзеге асыратын ұйымдардың (бұдан әрі – ұйым) ақпараттық қауіпсіздігін қамтамасыз етуге қойылатын талаптарды белгілейді.
2. Талаптарда «Ақпараттандыру туралы» Қазақстан Республикасының Заңында көзделген ұғымдар, сондай-ақ мынадай ұғымдар пайдаланылады:
1) ақпараттандыру саласындағы ақпараттық қауіпсіздік (бұдан әрі – ақпараттық қауіпсіздік) – электрондық ақпараттық ресурстардың, ақпараттық жүйелердің және ақпараттық-коммуникациялық инфрақұрылымның сыртқы және ішкі қатерлерден қорғалуының жай-күйі;
2) ақпараттық актив – ақпараттың және оны сақтауға және (немесе) өңдеуге пайдаланылатын ақпараттық-коммуникациялық инфрақұрылым объектісінің жиынтығы. Ақпараттық актив маңызды және маңызды емес болып бөлінеді және банк олардың құпиялылығын, тұтастығын, қолжетімділігін бұзудан болған зиян деңгейі негізінде айқындайды;
3) ақпараттық жүйенің/активтің АТ-менеджері – банктің, ұйымның ақпараттық жүйені/активті ақпараттық жүйенің/активтің бизнес-иесінің талаптарына сәйкес келетін күйде ұстап тұруға жауапты қызметкері немесе бөлімшесі (қызметкерлері немесе бөлімшелері);
4) ақпараттық жүйенің немесе шағын жүйенің бизнес-иесі – банктің, ұйымның ақпараттық жүйені немесе шағын жүйені автоматтандыратын негізгі бизнес-процестің иесі болып табылатын бөлімшесі (қызметкері);
5) ақпараттық-коммуникациялық инфрақұрылым (бұдан әрі – ақпараттық инфрақұрылым) – электрондық ақпараттық ресурстарды қалыптастыру және оларға қолжетімділік беру мақсатында технологиялық ортаның жұмыс істеуін қамтамасыз етуге арналған ақпараттық-коммуникациялық инфрақұрылым объектілерінің жиынтығы;
6) ақпараттық-коммуникациялық инфрақұрылымды қорғау шегі – банктің, ұйымның ақпараттық-коммуникациялық инфрақұрылымын сыртқы ақпараттық желілерден оқшаулайтын және ақпараттық қауіпсіздік қауіпінен қорғауды іске асыратын бағдарламалық-аппараттық құралдардың жиынтығы;
7) ақпараттық қауіпсіздік қатері – ақпараттық қауіпсіздік оқыс оқиғаларының пайда болуының алғышарттарын туындататын жағдайлардың және факторлардың жиынтығы;
8) ақпараттық қауіпсіздік оқыс оқиғасы – ақпараттық-коммуникациялық инфрақұрылымның немесе оның жекелеген объектілерінің жұмысында жеке немесе сериялық туындайтын, олардың тиісінше жұмыс істеуіне қауіп келтіретін іркілістер және (немесе) электрондық ақпараттық ресурстарды заңсыз алу, көшіру, тарату, жаңғырту, жою немесе бұғаттау үшін жағдайлар;
9) ақпараттық қауіпсіздік оқыс оқиғалары туралы ақпарат – ақпараттық-коммуникациялық инфрақұрылымның немесе оның жекелеген объектілерінің жұмысында жеке немесе сериялық туындайтын, олардың тиісінше жұмыс істеуіне қауіп келтіретін және (немесе) электрондық ақпараттық ресурстарды заңсыз алуға, көшіруге, таратуға, жаңғыртуға, жою немесе бұғаттауға жағдайлар жасайтын іркілістер туралы ақпарат;
10) ақпараттық қауіпсіздік тәуекелі – банктің, ұйымның ақпараттық активтері құпиялылығының бұзылуы, тұтастығының немесе қолжетімділігінің қасақана бұзылуы салдарынан залалдың ықтимал пайда болуы;
11) ақпараттық қауіпсіздікті қамтамасыз ету – банктің, ұйымның ақпараттық активтерінің конфиденциалдылық, тұтастық және қолжетімділік күйін ұстап тұруға бағытталған процесс;
12) ақпаратты штаттық тасымалдаушы – ақпараттық-коммуникациялық инфрақұрылым объектісінің құрамдас бөлігі болып табылатын және оған тұрақты қосылған ақпарат тасымалдаушы;
13) алдын ала орнатылған есептік жазбалар – ақпараттық жүйелерді өндірушілер орнатқан есептік жазбалар;
14) артықшылықты есептік жазба –есептік жазбаларды жасау, жою және оларға кіру құқықтарын өзгерту артықшылықтары бар ақпараттық жүйедегі есептік жазба;
15) әкімшілендіру және мониторинг консолі – ақпараттық жүйені қашықтан басқаруды жүзеге асыруға мүмкіндік беретін жұмыс станциясы;
16) банктің, ұйымның деректерді өңдеу орталығы – банктің, ұйымның ақпараттық жүйелерінің жұмысын қамтамасыз ететін серверлер орналастырылған, арнайы бөлінген үй-жай;
17) бизнес-процесс – сыртқы немесе ішкі тұтынушы үшін белгілі бір өнімді немесе қызметті жасауға бағытталған өзара байланысты іс-шаралар немесе міндеттер жиынтығы;
18) бизнес-процестің иесі – банктің, ұйымның бизнес-процестің жұмыс істеу цикліне және банктің, ұйымның бизнес-процеске тартылған бөлімшелерінің қызметін үйлестіруге жауап беретін бөлімшесі (қызметкері);
19) виртуалды орта – аппараттық іске асырудан абстракцияланған және бір нақты ресурста орындалатын есептеуіш процестердің бір-бірінен қисынды оқшаулануын да қамтамасыз ететін есептеу ресурстары немесе олардың қисынды бірігуі;
20) гипервизор – бірнеше операциялық жүйені сол бір серверде немесе компьютерде құруға және іске қосуға мүмкіндік беретін бағдарламалық немесе аппараттық-бағдарламалық қамтылым;
21) деректер беру хаттамасы – желіге қосылған екі және одан көп құрылғы арасында қосу мен айырбастауды жүзеге асыруға мүмкіндік беретін қағидалар мен іс-қимылдар жиынтығы;
22) желіаралық экран – ақпараттық инфрақұрылымның берілген қағидаларға сәйкес ол арқылы өтетін желілік трафикке бақылау мен сүзгіден өткізуді жүзеге асыратын элементі;
23) жұмыс станциясы – банктің, ұйымның ақпараттық активін пайдаланушының стационарлық дербес компьютері;
24) комплаенсбақылау бөлімшесі – банктің, ұйымның және оның қызметкерлерінің Қазақстан Республикасы заңнамасының, банктің, ұйымның ішкі құжаттарының, сондай-ақ банктің, ұйымның қызметіне ықпал ететін шет мемлекеттер заңнамасының талаптарын сақтамауы салдарынан банкте, ұйымда шығындардың туындауын болғызбау жөніндегі функцияларды жүзеге асыратын бөлімше;
25) кіру – банктің, ұйымның ақпараттық активтерін пайдалану мүмкіндігі;
26) қауіпсіздіктің топтық саясаттары – ақпараттық жүйелердің құралдары арқылы іске асырылған ақпараттық қауіпсіздік қағидаларының үлгі жиынтықтары;
27) қосымша – ақпараттық жүйе пайдаланушысының қолданбалы бағдарламалық қамтылымы;
28) резервтік көшірме – деректер зақымдалған немесе бұзылған жағдайда оларды түпнұсқада немесе жаңадан орналастырылған орнында қалпына келтіруге арналған ақпарат жеткізгіштегі деректер көшірмесі;
29) сигнатуралар – бағдарламалық кодты сәйкестендіретін деректер жиынтығы;
30) техникалық қауіпсіздікті қамтамасыз ету – техникалық құралдарды (күзет және өрт сигнализациясы, кіруді бақылау және басқару, бейнебақылау, өрт сөндіру, деректерді өңдеу орталығында температуралық режим мен ылғалдылықты бақылау жүйелерін) пайдалана отырып банктің, ұйымның қауіпсіздігін қамтамасыз ету процесі;
31) технологиялық есептік жазба – ақпарат жүйесіндегі ақпараттық жүйелердің өзара іс-қимыл жасауы кезінде аутентификациялауға арналған есептік жазба;
32) түзету шарасы – ақпараттық қауіпсіздікті қамтамасыз ету барысында болған проблеманы не оның бұзылу салдарын түзетуге бағытталған ұйымдастыру және техникалық іс-шараларының жиынтығы;
33) уәкілетті орган – қаржы нарығы мен қаржы ұйымдарын реттеу, бақылау және қадағалау жөніндегі уәкілетті орган.
3. Банктердің, ұйымдардың ақпараттық қауіпсіздігін қамтамасыз етуге мынадай талаптар қойылады:
