Банктердің ақпараттық қауіпсіздігі жөніндегі талаптарды бекіту туралы
Агенттік Басқармасы банктерде ақпараттық қауіпсіздікті қамтамасыз етуді реттейтін жеке бапты енгізу туралы «Банктер және банк қызметі туралы» заңның нормаларын іске асыру үшін бес тиісті қаулыны бекітті.
Төрт құжат бұрын қолданыста болған нормативтік құқықтық актілерге негізделген және нақтылау сипатында болады. Бесінші құжат бірінші рет қабылданды және банктердің ақпараттық жүйелерінің үздіксіз жұмыс істеуін қамтамасыз етуге қойылатын талаптарды белгілейді.
Қаулылардың нормалары банктердегі ақпаратты қорғаудың жоғары деңгейін қамтамасыз етуге, сондай-ақ олардың клиенттер үшін ақпараттық жүйелері мен сервистерінің тұрақты және сенімді жұмысын қамтамасыз етуге бағытталған. Құжаттар ішкі саясатты әзірлеуді, жауапкершілікті бөлуді және ақпараттық жүйелерге қол жеткізуді бақылауды қоса алғанда, ақпараттық қауіпсіздік жүйелерін құруға қойылатын негізгі талаптарды айқындайды.
Банктер ақпараттық жүйелерге қол жеткізу, өзгерістер енгізу, оқыс оқиғаларға ден қою және іркілістерден кейін жұмысты қалпына келтіру процестерін тіркеуге және бақылауға міндетті. Олар ықтимал қауіптерді үнемі қадағалап отыруы керек. Мобильді банктік қосымшалардың қауіпсіздігіне ерекше назар аударылады – даму кезеңінен бастап оларды тұтынушыларға пайдалануға дейін.
Талаптардың орындалуын бақылау үшін Агенттікке банктердің ақпараттық жүйелерінің жұмысындағы осалдықтар, іркілістер мен оқыс оқиғалар туралы ақпаратты беру тәртібі айқындалған. Бұл процесс Qainar агенттігінің ақпараттық жүйесі арқылы ЖИ көмегімен автоматтандырылған. Бұл қауіптерге ден қоюды жеделдетуге және деректерді өңдеу тиімділігін арттыруға мүмкіндік береді.
Ақпараттық (цифрлық) қауіпсіздіктің ұлттық үйлестіру орталығына ұсынылатын мәліметтер тізбесі кеңейтілді. Оған қорғаныс жүйелерінің жай-күйі, техникалық инфрақұрылым, резервтік қуаттар және үздіксіз жұмысты қамтамасыз ету жөніндегі шаралар, сондай-ақ қашықтан банктік қызметтерді алуға арналған бағдарламалық қамтылымның қауіпсіздігі туралы деректер енгізілген.
Жекелеген қаулымен банктердің ақпараттық жүйелерінің үздіксіз жұмыс істеуін қамтамасыз етуге қойылатын талаптар белгіленген. Құжат банктерді ықтимал бұзылуларға алдын ала дайындалуға міндеттейді: жұмысты қалпына келтіру жоспарларын әзірлеу және үнемі тексеру. Банктерде негізгі орталық уақытша қолжетімді болмаған жағдайда клиенттерге қызмет көрсетуді жалғастыруға мүмкіндік беретін резервтік деректер орталықтары болуы керек.
Банктік қосымша арқылы қашықтан қызмет көрсету үшін әр түрлі операторлардан кемінде екі тәуелсіз байланыс арнасын пайдалану туралы талап енгізіледі, осылайша бір байланыс операторы жұмысында іркіліс болған жағдайда банк басқа оператор арқылы жұмысын жалғастыра алады.
Банктер жылына кемiнде бiр рет резервтiк жүйелер мен байланыс арналарының дайындығын тексеруге және мұндай тексерулердiң нәтижелерiн Агенттiкке жiберуге мiндеттi. Бұл ретте клиент үшін көрсетілетін қызметтердің қолжетімділігіне әсер етпеуі тиіс қысқа қалпына келтіру мерзімдері белгіленген. Елеулі форс-мажорлық іркіліс болған жағдайда банк жүйелерін резервтік орталыққа ауыстыру төрт сағаттан аспауға тиіс.
Қашықтан банктік қызметтерді пайдалану кезінде банктерде жеке басты тексерудің биометриялық әдістерін пайдалануға ерекше назар аударылды. Банктер клиенттің жеке басын бет бейнесі бойынша екі кезеңмен тексеруге тиіс. Бірінші кезеңде камераның алдында маска немесе жасалған бейне емес, тірі адам тұрғанын растау қажет.
Екінші кезеңде бірінші кезеңде алынған адам бейнесін жеке тұлғалар бейнелерінің мемлекеттік эталондық базасымен салыстыру жүргізіледі.
Содан кейін тексеру барысында алынған барлық деректер электрондық құжат түрінде қалыптастырылады, электрондық цифрлық қолтаңбамен қол қойылады және банкте қорғалған түрде сақталады.
Тұтастай алғанда, банктерге қойылатын ақпараттық қауіпсіздік талаптары үздік халықаралық тәжірибелерге сәйкес келеді және «Ақпараттық қауіпсіздік, киберқауіпсіздік және конфиденциалдылықты қорғау. Ақпараттық қауіпсіздікті басқару құралдары» ҚР СТ ISO/IEC 27002-2023 ұсынымдарына негізделген.
Сыртқы коммуникациялар басқармасы
Анықтама үшін:
Баспасөз релизінде көрсетілген нормалар Қазақстан Республикасы Қаржы нарығын реттеу мен дамыту агенттігі Басқармасының мынадай:
«Қазақстан Республикасы банктерінің, бейрезидент-банктері филиалдарының және банк операцияларының жекелеген түрлерін жүзеге асыратын ұйымдардың ақпараттық жүйелерінің қауіпсіз және іркіліссіз жұмыс істеуіне қойылатын талаптарды бекіту туралы» № 36 (2026 жылғы 31 наурызда бекітілген);
«Банктердің, Қазақстан Республикасының резидент емес банктерінің филиалдарының және банк операцияларының жекелеген түрлерін жүзеге асыратын ұйымдардың ақпараттық-коммуникациялық инфрақұрылымдағы, оның ішінде үшінші тараптардан алынған осалдықтар туралы, сондай-ақ ақпараттық жүйелердегі бұзушылықтар мен іркілістер туралы мәліметтерді қоса алғанда, ақпараттық қауіпсіздіктің оқиғалары мен инциденттері туралы ақпарат беру қағидалары мен мерзімдерін бекіту туралы» № 37 (2026 жылғы 31 наурызда бекітілген);
«Банктердің, Қазақстан Республикасының бейрезидент-банктері филиалдарының және банк операцияларының жекелеген түрлерін жүзеге асыратын ұйымдардың ақпараттық қауіпсіздігін қамтамасыз етуге қойылатын талаптарды бекіту туралы»
№ 53 (2026 жылғы 3 сәуірде бекітілген);
«Банктердің, банк операцияларының жекелеген түрлерін жүзеге асыратын ұйымдардың және микроқаржы ұйымдарының биометриялық сәйкестендіруді жүргізу қағидаларын бекіту туралы» № 54 (2026 жылғы 3 сәуірде бекітілген);
«Банктердің, Қазақстан Республикасының бейрезидент-банктері филиалдарының ақпараттық қауіпсіздікті басқару жүйелерінің бар-жоғы туралы, сондай-ақ ақпараттық қауіпсіздікті қамтамасыз етуге қойылатын талаптардың сақталуы туралы мәліметтерді Ақпараттық қауіпсіздікті ұлттық үйлестіру орталығына ұсыну қағидалары мен мерзімдерін бекіту туралы» № 55 (2026 жылғы 3 сәуірде бекітілген) қаулыларымен бекітілген.
Қаулылар «Қазақстан Республикасындағы банктер және банк қызметі туралы» Қазақстан Республикасының 2026 жылғы 16 қаңтардағы Заңының 55-бабын орындау үшін әзірленді.