• Мое избранное
Об утверждении Требований к обеспечению информационной безопасности банков, филиалов банков-нерезидентов Республики Казахстан и организаций, осуществляющих отдельные виды банковских операций

Отправить по почте

Toggle Dropdown
  • Комментировать
  • Поставить закладку
  • Оставить заметку
  • Информация new
  • Скопировать ссылку
  • Редакции абзаца 
Об утверждении Требований к обеспечению информационной безопасности банков, филиалов банков-нерезидентов Республики Казахстан и организаций, осуществляющих отдельные виды банковских операций
Постановление Правления Агентства Республики Казахстан по регулированию и развитию финансового рынка от 3 апреля 2026 года № 53. Зарегистрировано в Министерстве юстиции Республики Казахстан 6 ап
В соответствии с пунктами 2 и 10 статьи 55 Закона Республики Казахстан «О банках и банковской деятельности в Республике Казахстан» Правление Агентства Республики Казахстан по регулированию и развитию финансового рынка ПОСТАНОВЛЯЕТ:
1. Утвердить прилагаемые Требования к обеспечению информационной безопасности банков, филиалов банков-нерезидентов Республики Казахстан и организаций, осуществляющих отдельные виды банковских операций.
2. Признать утратившими силу постановление Правления Национального Банка Республики Казахстан и некоторые постановления Правления Агентства Республики Казахстан по регулированию и развитию финансового рынка, а также отдельные структурные элементы постановления Правления Национального Банка Республики Казахстан и некоторых постановлений Правления Агентства Республики Казахстан по регулированию и развитию финансового рынка по перечню согласно приложению к настоящему постановлению.
3. Департаменту информационной и кибербезопасности в установленном законодательством Республики Казахстан порядке обеспечить:
1) совместно с Юридическим департаментом государственную регистрацию настоящего постановления в Министерстве юстиции Республики Казахстан;
2) размещение настоящего постановления на официальном интернет-ресурсе Агентства Республики Казахстан по регулированию и развитию финансового рынка после его официального опубликования;
3) в течение десяти рабочих дней после государственной регистрации настоящего постановления представление в Юридический департамент сведений об исполнении мероприятия, предусмотренного подпунктом 2) настоящего пункта.
4. Контроль за исполнением настоящего постановления возложить на курирующего заместителя Председателя Агентства Республики Казахстан по регулированию и развитию финансового рынка.
5. Настоящее постановление вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования.
Председатель Агентства Республики Казахстан по регулированию и развитию финансового рынка М. Абылкасымова
Утверждено постановлением
Правления Агентства
Республики Казахстан
по регулированию и развитию
финансового рынка
от 3 апреля 2026 года
№ 53
Требования к обеспечению информационной безопасности банков, филиалов банков-нерезидентов Республики Казахстан и организаций, осуществляющих отдельные виды банковских операций
Глава 1. Общие положения
1. Настоящие Требования к обеспечению информационной безопасности банков, филиалов банков-нерезидентов Республики Казахстан и организаций, осуществляющих отдельные виды банковский операций (далее – Требования), разработаны в соответствии с пунктами 2 и 10 статьи 55 Закона Республики Казахстан «О банках и банковской деятельности в Республике Казахстан» и устанавливают требования к обеспечению информационной безопасности банков, филиалов банков-нерезидентов Республики Казахстан (далее – банк) и организаций, осуществляющих отдельные виды банковских операций (далее – организация).
2. В Требованиях используются понятия, предусмотренные Законом Республики Казахстан «Об информатизации», а также следующие понятия:
1) информационная безопасность в сфере информатизации (далее – информационная безопасность) – состояние защищенности электронных информационных ресурсов, информационных систем и информационно-коммуникационной инфраструктуры от внешних и внутренних угроз;
2) информационный актив – совокупность информации и объекта информационно-коммуникационной инфраструктуры, используемого для ее хранения и (или) обработки. Информационный актив подразделяется на критичный и не критичный и определяется банком на основании уровня убытков от нарушения их конфиденциальности, целостности, доступности;
3) ИТ-менеджер информационной системы/актива – работник или подразделение (работники или подразделения) банка, организации ответственные за поддержание информационной системы/актива в состоянии, соответствующем требованиям бизнес-владельца информационной системы/актива;
4) бизнес-владелец информационной системы или подсистемы – подразделение (работник) банка, организации, являющееся (являющийся) владельцем основного бизнес-процесса, который автоматизирует информационная система или подсистема;
5) информационно-коммуникационная инфраструктура (далее – информационная инфраструктура) – совокупность объектов информационно-коммуникационной инфраструктуры, предназначенных для обеспечения функционирования технологической среды в целях формирования электронных информационных ресурсов и предоставления доступа к ним;
6) периметр защиты информационно-коммуникационной инфраструктуры – совокупность программно-аппаратных средств, отделяющих информационно-коммуникационную инфраструктуру банка, организации от внешних информационных сетей и реализующих защиту от угроз информационной безопасности;
7) угроза информационной безопасности – совокупность условий и факторов, создающих предпосылки к возникновению инцидента информационной безопасности;
8) инцидент информационной безопасности – отдельно или серийно возникающие сбои в работе информационно-коммуникационной инфраструктуры или отдельных ее объектов, создающие угрозу их надлежащему функционированию и (или) условия для незаконного получения, копирования, распространения, модификации, уничтожения или блокирования электронных информационных ресурсов;
9) информация об инцидентах информационной безопасности – информация об отдельно или серийно возникающих сбоях в работе информационно-коммуникационной инфраструктуры или отдельных ее объектов, создающих угрозу их надлежащему функционированию и (или) условия для незаконного получения, копирования, распространения, модификации, уничтожения или блокирования электронных информационных ресурсов;
10) риск информационной безопасности — вероятное возникновение ущерба вследствие нарушения конфиденциальности, преднамеренного нарушения целостности или доступности информационных активов банка, организации;
11) обеспечение информационной безопасности – процесс, направленный на поддержание состояния конфиденциальности, целостности и доступности информационных активов банка, организации;
12) штатный носитель информации – носитель информации, являющийся составной частью объекта информационно-коммуникационной инфраструктуры и подключенный к нему на постоянной основе;
13) предустановленные учетные записи – учетные записи информационных систем, установленные их производителями;
14) привилегированная учетная запись – учетная запись в информационной системе, обладающая привилегиями создания, удаления и изменения прав доступа учетных записей;
15) консоль администрирования и мониторинга – рабочая станция, позволяющая осуществлять удаленное управление информационной системой;
16) центр обработки данных банка, организации – специально выделенное помещение, в котором размещены серверы, обеспечивающие работу информационных систем банка, организации;
17) бизнес-процесс – совокупность взаимосвязанных мероприятий или задач, направленных на создание определенного продукта или услуги для внешнего или внутреннего потребителя;
18) владелец бизнес-процесса – подразделение (работник) банка, организации, отвечающее (отвечающий) за жизненный цикл бизнес-процесса и координацию деятельности подразделений банка, организации, вовлеченных в бизнес-процесс;
19) виртуальная среда – вычислительные ресурсы или их логическое объединение, абстрагированное от аппаратной реализации, и обеспечивающее при этом логическую изоляцию друг от друга вычислительных процессов, выполняемых на одном физическом ресурсе;
20) гипервизор – программное или аппаратно-программное обеспечение, позволяющее создавать и запускать одновременно несколько операционных систем на одном и том же сервере или компьютере;
21) протокол передачи данных – набор правил и действий, позволяющий осуществлять соединение и обмен данными между двумя и более включенными в сеть устройствами;
22) межсетевой экран – элемент информационной инфраструктуры, осуществляющий контроль и фильтрацию проходящего через него сетевого трафика в соответствии с заданными правилами;
23) рабочая станция – стационарный персональный компьютер пользователя информационного актива банка, организации;
24) подразделение по комплаенс-контролю - подразделение, осуществляющее функции по предотвращению возникновения потерь в банке, организации вследствие несоблюдения банком, организацией и его работниками требований законодательства Республики Казахстан, внутренних документов банка, организации, а также законодательства иностранных государств, оказывающего влияние на деятельность банка, организации;
25) доступ – возможность использования информационных активов банка, организации;
26) групповые политики безопасности – реализованные средствами информационных систем типовые наборы правил информационной безопасности;
27) приложение – прикладное программное обеспечение пользователя информационной системы;
28) резервная копия – копия данных на носителе информации, предназначенная для восстановления данных в оригинальном или новом месте их расположения в случае их повреждения или разрушения;
29) сигнатуры – набор данных, идентифицирующих программный код;
30) обеспечение технической безопасности – процесс обеспечения безопасности банка, организации с использованием технических средств (системы охранной и пожарной сигнализации, контроля и управления доступом, видеонаблюдения, пожаротушения, контроля температурного режима и влажности в центре обработки данных);
31) технологическая учетная запись – учетная запись в информационной системе, предназначенная для аутентификации при взаимодействии информационных систем;
32) корректирующая мера – набор организационных и технических мероприятий, направленных на исправление существующей проблемы в процессе обеспечения информационной безопасности либо последствий ее нарушения;
33) уполномоченный орган – уполномоченный орган по регулированию, контролю и надзору финансового рынка и финансовых организаций.
3. К обеспечению информационной безопасности банков, организаций предъявляются следующие требования: