Об утверждении требований по информационной безопасности банков

Об утверждении требований по информационной безопасности банков

Правлением Агентства в реализацию норм закона «О банках и банковской деятельности» о введении отдельной статьи, регулирующей обеспечение информационной безопасности в банках, утверждены пять соответствующих постановлений.

Четыре документа основаны на ранее действовавших нормативных правовых актах и носят уточняющий характер. Пятый принят впервые и устанавливает требования к обеспечению непрерывности функционирования информационных систем банков.

Нормы постановлений направлены на обеспечение высокого уровня защиты информации в банках, а также на обеспечение стабильной и надежной работы их информационных систем и сервисов для клиентов. Документы определяют ключевые требования к построению систем информационной безопасности, включая разработку внутренних политик, распределение ответственности и контроль за доступом к информационным системам.

Банки обязаны фиксировать и контролировать процессы доступа к информационным системам, внесения изменений, реагирования на инциденты и восстановления работы после сбоев. Им необходимо постоянно отслеживать потенциальные угрозы. Отдельное внимание уделено безопасности мобильных банковских приложений – от этапа разработки до их использования клиентами.

Для контроля исполнения требований определен порядок передачи информации об уязвимостях, сбоях и инцидентах в работе информационных систем банков в Агентство. Данный процесс в том числе автоматизирован с помощью ИИ посредством информационной системы Агентства Qainar. Это позволяет ускорить реагирование на угрозы и повысить эффективность обработки данных.

Расширен перечень сведений, предоставляемых в Национальный координационный центр информационной (цифровой) безопасности. В него включены данные о состоянии систем защиты, технической инфраструктуре, резервных мощностях и мерах по обеспечению бесперебойной работы, а также безопасности программного обеспечения для получения дистанционных банковских услуг.

Отдельным постановлением установлены требования к обеспечению непрерывности функционирования информационных систем банков. Документ обязывает банки заранее готовиться к возможным сбоям: разрабатывать и регулярно проверять планы восстановления работы. Банки должны иметь резервные центры обработки данных, которые позволят продолжать оказывать услуги клиентам в случае, если основной центр временно недоступен.

Для надежного оказания удаленных услуг через банковское приложение вводится требование об использовании, как минимум, двух независимых каналов связи от разных операторов, чтобы в случае сбоя у одного оператора связи банк мог продолжить работу через другого.

Банки обязаны не реже одного раза в год проверять готовность резервных систем и каналов связи и направлять результаты таких проверок в Агентство. При этом установлены сжатые сроки восстановления, которые не должны отражаться на доступности услуг для клиента. В случае серьезного форс-мажорного сбоя перевод банковских систем на резервный центр должен занимать не более четырех часов.

Особенное внимание уделено использованию биометрических методов проверки личности в банках при использовании дистанционных банковских услуг. Банки должны проверять личность клиента по изображению лица в два этапа. На первом этапе, необходимо подтвердить, что перед камерой находится живой человек, а не маска или сгенерированное изображение.

На втором этапе проводится сверка изображения лица, полученного на первом этапе с государственной эталонной базой изображений физических лиц.

После чего все полученные в ходе проверки данные формируются в виде электронного документа, подписываются электронной цифровой подписью и хранятся в банке в защищенном виде.

В целом, требования по информационной безопасности к банкам соответствуют лучшим международным практикам и основаны на рекомендациях СТ РК ISO/IEC 27002-2023 «Информационная безопасность, кибербезопасность и защита конфиденциальности. Средства управления информационной безопасностью».

 

Управление внешних коммуникаций

press@finreg.kz

 

Справочно:

Указанные в пресс-релизе нормы утверждены Правлением Агентства Республики Казахстан по регулированию и развитию финансового рынка постановлениями:

№ 36 «Об утверждении Требований к непрерывности работы информационно-коммуникационной инфраструктуры банков, филиалов банков-нерезидентов Республики Казахстан и организаций, осуществляющих отдельные виды банковских операций» (утверждено 31 марта 2026 года);

№ 37 «Об утверждении Правил и сроков предоставления банками, филиалами банков-нерезидентов Республики Казахстан и организациями, осуществляющими отдельные виды банковских операций, информации об уязвимостях в информационно-коммуникационной инфраструктуре, полученной в том числе от третьих сторон, а также о событиях и инцидентах информационной безопасности, включая сведения о нарушениях и сбоях в информационных системах» (утверждено 31 марта 2026 года);

№ 53 «Об утверждении Требований к обеспечению информационной безопасности банков, филиалов банков-нерезидентов Республики Казахстан и организаций, осуществляющих отдельные виды банковских операций» (утверждено 3 апреля 2026 года);

№ 54 «Об утверждении Правил проведения биометрической аутентификации банками, организациями, осуществляющими отдельные виды банковских операций, и микрофинансовыми организациями» (утверждено 3 апреля 2026 года);

№ 55 «Об утверждении Правил и сроков представления банками, филиалами банков-нерезидентов Республики Казахстан сведений о наличии системы управления информационной безопасностью, а также о соблюдении требований к обеспечению информационной безопасности в Национальный координационный центр информационной безопасности» (утверждено 3 апреля 2026 года).

Постановления разработаны во исполнение статьи 55 Закона Республики Казахстан от 16 января 2026 года «О банках и банковской деятельности в Республике Казахстан».