ПОСТАНОВЛЕНИЕ ПРАВЛЕНИЯ АГЕНТСТВА РЕСПУБЛИКИ КАЗАХСТАН ПО РЕГУЛИРОВАНИЮ И РАЗВИТИЮ ФИНАНСОВОГО РЫНКА

от 3 апреля 2026 года №53

Об утверждении Требований к обеспечению информационной безопасности банков, филиалов банков-нерезидентов Республики Казахстан и организаций, осуществляющих отдельные виды банковских операций

В соответствии с пунктами 2 и 10 статьи 55 Закона Республики Казахстан "О банках и банковской деятельности в Республике Казахстан" Правление Агентства Республики Казахстан по регулированию и развитию финансового рынка ПОСТАНОВЛЯЕТ:

1. Утвердить прилагаемые Требования к обеспечению информационной безопасности банков, филиалов банков-нерезидентов Республики Казахстан и организаций, осуществляющих отдельные виды банковских операций.

2. Признать утратившими силу постановление Правления Национального Банка Республики Казахстан и некоторые постановления Правления Агентства Республики Казахстан по регулированию и развитию финансового рынка, а также отдельные структурные элементы постановления Правления Национального Банка Республики Казахстан и некоторых постановлений Правления Агентства Республики Казахстан по регулированию и развитию финансового рынка по перечню согласно приложению к настоящему постановлению.

3. Департаменту информационной и кибербезопасности в установленном законодательством Республики Казахстан порядке обеспечить:

1) совместно с Юридическим департаментом государственную регистрацию настоящего постановления в Министерстве юстиции Республики Казахстан;

2) размещение настоящего постановления на официальном интернет-ресурсе Агентства Республики Казахстан по регулированию и развитию финансового рынка после его официального опубликования;

3) в течение десяти рабочих дней после государственной регистрации настоящего постановления представление в Юридический департамент сведений об исполнении мероприятия, предусмотренного подпунктом 2) настоящего пункта.

4. Контроль за исполнением настоящего постановления возложить на курирующего заместителя Председателя Агентства Республики Казахстан по регулированию и развитию финансового рынка.

5. Настоящее постановление вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования.

Утверждено Постановлением Правления Агентства Республики Казахстан по регулированию и развитию финансового рынка от 3 апреля 2026 года №53

Требования к обеспечению информационной безопасности банков, филиалов банков-нерезидентов Республики Казахстан и организаций, осуществляющих отдельные виды банковских операций

Глава 1. Общие положения

1. Настоящие Требования к обеспечению информационной безопасности банков, филиалов банков-нерезидентов Республики Казахстан и организаций, осуществляющих отдельные виды банковский операций (далее - Требования), разработаны в соответствии с пунктами 2 и 10 статьи 55 Закона Республики Казахстан "О банках и банковской деятельности в Республике Казахстан" и устанавливают требования к обеспечению информационной безопасности банков, филиалов банков-нерезидентов Республики Казахстан (далее - банк) и организаций, осуществляющих отдельные виды банковских операций (далее - организация).

2. В Требованиях используются понятия, предусмотренные Законом Республики Казахстан "Об информатизации", а также следующие понятия:

1) информационная безопасность в сфере информатизации (далее - информационная безопасность) - состояние защищенности электронных информационных ресурсов, информационных систем и информационно-коммуникационной инфраструктуры от внешних и внутренних угроз;

2) информационный актив - совокупность информации и объекта информационно-коммуникационной инфраструктуры, используемого для ее хранения и (или) обработки. Информационный актив подразделяется на критичный и не критичный и определяется банком на основании уровня убытков от нарушения их конфиденциальности, целостности, доступности;

3) ИТ-менеджер информационной системы/актива - работник или подразделение (работники или подразделения) банка, организации ответственные за поддержание информационной системы/актива в состоянии, соответствующем требованиям бизнес-владельца информационной системы/актива;

4) бизнес-владелец информационной системы или подсистемы - подразделение (работник) банка, организации, являющееся (являющийся) владельцем основного бизнес-процесса, который автоматизирует информационная система или подсистема;

5) информационно-коммуникационная инфраструктура (далее - информационная инфраструктура) - совокупность объектов информационно-коммуникационной инфраструктуры, предназначенных для обеспечения функционирования технологической среды в целях формирования электронных информационных ресурсов и предоставления доступа к ним;

6) периметр защиты информационно-коммуникационной инфраструктуры - совокупность программно-аппаратных средств, отделяющих информационно-коммуникационную инфраструктуру банка, организации от внешних информационных сетей и реализующих защиту от угроз информационной безопасности;

7) угроза информационной безопасности - совокупность условий и факторов, создающих предпосылки к возникновению инцидента информационной безопасности;

8) инцидент информационной безопасности - отдельно или серийно возникающие сбои в работе информационно-коммуникационной инфраструктуры или отдельных ее объектов, создающие угрозу их надлежащему функционированию и (или) условия для незаконного получения, копирования, распространения, модификации, уничтожения или блокирования электронных информационных ресурсов;

9) информация об инцидентах информационной безопасности - информация об отдельно или серийно возникающих сбоях в работе информационно-коммуникационной инфраструктуры или отдельных ее объектов, создающих угрозу их надлежащему функционированию и (или) условия для незаконного получения, копирования, распространения, модификации, уничтожения или блокирования электронных информационных ресурсов;

10) риск информационной безопасности - вероятное возникновение ущерба вследствие нарушения конфиденциальности, преднамеренного нарушения целостности или доступности информационных активов банка, организации;

11) обеспечение информационной безопасности - процесс, направленный на поддержание состояния конфиденциальности, целостности и доступности информационных активов банка, организации;

12) штатный носитель информации - носитель информации, являющийся составной частью объекта информационно-коммуникационной инфраструктуры и подключенный к нему на постоянной основе;

13) предустановленные учетные записи - учетные записи информационных систем, установленные их производителями;

14) привилегированная учетная запись - учетная запись в информационной системе, обладающая привилегиями создания, удаления и изменения прав доступа учетных записей;

15) консоль администрирования и мониторинга - рабочая станция, позволяющая осуществлять удаленное управление информационной системой;

16) центр обработки данных банка, организации - специально выделенное помещение, в котором размещены серверы, обеспечивающие работу информационных систем банка, организации;