ИПС "Әділет"

Қазақстан Республикасының кейбір нормативтік құқықтық актілеріне ақпараттық қауіпсіздік мәселелері бойынша өзгерістер мен толықтырулар енгізу туралы

Қазақстан Республикасы Қаржы нарығын реттеу және дамыту агенттігі Басқармасының 2025 жылғы 20 тамыздағы № 38 қаулысы. Қазақстан Республикасының Әділет министрлігінде 2025 жылғы 28 тамызда № 36711 болып тіркелді

ЗҚАИ-ның ескертпесі!
Қолданысқа енгізілу тәртібін 4-тармақтан қараңыз

Қазақстан Республикасы Қаржы нарығын реттеу және дамыту агенттігінің Басқармасы ҚАУЛЫ ЕТЕДІ:

1. Осы қаулыға қосымшаға сәйкес Қазақстан Республикасының ақпараттық қауіпсіздік мәселелері бойынша өзгерістер мен толықтырулар енгізілетін нормативтік құқықтық актілерінің тізбесі бекітілсін (бұдан әрі -Тізбе).

2. Қазақстан Республикасы Қаржы нарығын реттеу және дамыту агенттігінің Ақпараттық және киберқауіпсіздік департаменті Қазақстан Республикасының заңнамасында белгіленген тәртіппен:

1) Заң департаментімен бірлесіп осы қаулыны Қазақстан Республикасының Әділет министрлігінде мемлекеттік тіркеуді;

2) осы қаулыны ресми жарияланғаннан кейін Қазақстан Республикасы Қаржы нарығын реттеу және дамыту агенттігінің ресми интернет-ресурсына орналастыруды;

3) осы қаулы мемлекеттік тіркелгеннен кейін он жұмыс күні ішінде Заң департаментіне осы тармақтың 2) тармақшасында көзделген іс-шараның орындалуы туралы мәліметтерді ұсынуды қамтамасыз етсін.

3. Осы қаулының орындалуын бақылау Қазақстан Республикасының Қаржы нарығын реттеу және дамыту агенттігі Төрағасының жетекшілік ететін орынбасарына жүктелсін.

4. Осы қаулы 2025 жылғы 1 қарашадан бастап қолданысқа енгізілетін Тізбенің 1-тармағын қоспағанда, алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі.

Қазақстан Республикасының
Қаржы нарығын реттеу және
дамыту Агенттігінің Төрағасы

М. Абылкасымова

	Қазақстан Республикасының
	Қаржы нарығын
	реттеу және дамыту
	Агенттігінің Басқармасының
	2025 жылғы 20 тамыздағы
	№ 38 Қаулыға қосымша

Қазақстан Республикасының ақпараттық қауіпсіздік мәселелері бойынша өзгерістер мен толықтырулар енгізілетін нормативтік құқықтық актілерінің тізбесі

1. "Банктердің, Қазақстан Республикасының бейрезидент-банктері филиалдарының және банк операцияларының жекелеген түрлерін жүзеге асыратын ұйымдардың ақпараттық қауіпсіздігін қамтамасыз етуге қойылатын талаптарды, Ақпараттық жүйелердегі бұзушылықтар, іркілістер туралы мәліметтерді қоса алғанда, ақпараттық қауіпсіздіктің оқыс оқиғалары туралы ақпаратты беру қағидалары мен мерзімдерін бекіту туралы" Қазақстан Республикасы Ұлттық Банкі Басқармасының 2018 жылғы 27 наурыздағы № 48 қаулысына (Нормативтік құқықтық актілерді мемлекеттік тіркеу тізілімінде № 16772 болып тіркелген) мынадай өзгерістер мен толықтырулар енгізілсін:

кіріспесі мынадай редакцияда жазылсын:

"Қазақстан Республикасындағы банктер және банк қызметі туралы" Қазақстан Республикасы Заңы 61-5-бабының 4-тармағына сәйкес Қазақстан Республикасы Ұлттық Банкінің Басқармасы ҚАУЛЫ ЕТЕДІ:";

көрсетілген қаулымен бекітілген Банктердің, Қазақстан Республикасының бейрезидент-банктері филиалдарының және банк операцияларының жекелеген түрлерін жүзеге асыратын ұйымдардың ақпараттық қауіпсіздігін қамтамасыз етуге қойылатын талаптарда:

2-тармақтың 21) тармақшасы мынадай редакцияда жазылсын:

"21) банктің, ұйымның деректерді өңдеу орталығы – банктің, ұйымның ақпараттық жүйелерінің жұмысын қамтамасыз ететін серверлер орналастырылған, арнайы бөлінген үй-жай;";

15-тармақ мынадай редакцияда жазылсын:

"15. Банк, ұйым ақпараттық қауіпсіздік бөлімшесіне техникалық қауіпсіздікті қамтамасыз ету бойынша функцияларды жүктеу мүмкіндігін айқындайды. Ақпараттық қауіпсіздік бөлімшесі олардың негізгі функцияларымен мүдделер қайшылықтарына апаратын функцияларды, оның ішінде Нормативтік құқықтық актілерді мемлекеттік тіркеу тізілімінде № 19632 болып тіркелген Қазақстан Республикасының Ұлттық Банкі Басқармасының 2019 жылғы 12 қарашадағы № 188 қаулысымен бекітілген Екінші деңгейдегі банктерге, Қазақстан Республикасының бейрезидент-банктерінің филиалдарына арналған тәуекелдерді басқару және ішкі бақылау жүйесін қалыптастыру қағидаларының 15-тарауында көзделген функцияларды жүзеге асырмайды.";

29-тармақ мынадай редакцияда жазылсын:

"29. АҚБЖ туралы ақпарат еркін нысанда жасалады және ұсынылатын деректердің құпиялылығы мен түзетілмеуін қамтамасыз ететін криптографиялық қорғау құралдарымен ақпаратты кепілді жеткізудің тасымалдау жүйесін пайдалана отырып, немесе ақпараттық қауіпсіздік оқиғалары мен оқыс оқиғалары туралы ақпаратты өңдеуге арналған уәкілетті органның автоматтандырылған жүйесі арқылы уәкілетті органға ұсынылады.";

мынадай мазмұндағы 31-1-тармақпен толықтырылсын:

"31-1. Банк, ұйым банктің, ұйымның ақпараттық қауіпсіздігін басқару жүйесінің жай-күйіне банктің, ұйымның атқарушы органы айқындайтын көлемде "Ақпараттық қауіпсіздік, киберқауіпсіздік және құпиялылықты қорғау. Ақпараттық қауіпсіздік менеджменті жүйелері. Талаптар" СТ ISO/IEC 27001-2023 Қазақстан Республикасының ұлттық стандартына немесе "Information security, cybersecurity and privacy protection – Information security management systems - Requirements" (Информэйшн секьюрити, сайберсекьюрити энд прайвэси протекшн. Информэйшн секьюрити мэнэджмент системс - Реквайрментс) ISO/IEC 27001:2022 халықаралық стандартына (Ақпараттық қауіпсіздік, киберқауіпсіздік және жеке өмірді қорғау - Ақпараттық қауіпсіздік менеджменті жүйелері - Талаптар) сәйкес келуіне 3 (үш) жылда кемінде бір рет сыртқы тексеруді жүргізеді.";

89-тармақ мынадай редакцияда жазылсын:

"89. Осы саладағы тәуелсіз сыртқы сарапшылар банк, ұйым айқындаған кезеңділікпен ақпараттық инфрақұрылымға рұқсатсыз кіруге тестілеу жүргізеді. Осы тестілеудің шегінде, жүйелік және қолданбалы бағдарламалық қамтылымның осал жерлерін іздестіру және пайдалану мүмкіндіктерінен басқа "қызмет көрсетуден бас тарту" шабуылына ұқсатып жүктеме тестілер жүргізіледі.";

108-тармақтың 1) тармақшасы мынадай редакцияда жазылсын:

"1) ақпараттық қауіпсіздікті қамтамасыз ету әдістері;";

мынадай мазмұндағы 156-1-тармақпен толықтырылсын:

"156-1. "Банкте, ұйымда клиенттің атына бұрын тіркелмеген мобильді құрылғыда клиентті мобильді қосымшада бірдейлендіру кезінде банк, ұйым СДАО растаған немесе банктің, ұйымның құрылғылары арқылы алынған биометриялық деректерді пайдалана отырып, клиентті биометриялық сәйкестендіруді жүргізеді.";

160 және 161-тармақтар мынадай редакцияда жазылсын:

"160. Мобильді қосымша:

1) мобильді қосымшаның тек қана банкке, ұйымға тиесілігін сәйкестендіруді (қосымшалардың ресми дүкеніндегі деректер, логотиптер, корпоративтік түстер);

2) операциялық жүйенің тұтастығын бұзу және (немесе) қорғау тетіктерін айналып өту белгілерін анықтаған, қашықтан басқару процестерін анықтаған жағдайда банктің, ұйымның қашықтан қызмет көрсету бойынша функционалын бұғаттауды;

3) клиентті мобильді қосымшаның жаңартуларының бар екендігі туралы хабардар етуді;

4) маңызды осалдықтарды жою қажет болған жағдайда, мобильді қосымшаның жаңартуларын мәжбүрлеп орнату немесе оларды орнатқанға дейін мобильді қосымшаның функционалын бұғаттау мүмкіндігін;

5) конфиденциалды деректерді мобильді қосымшаның қорғалған контейнерінде немесе жүйелік есепктік деректерді сақтау орнында сақтауды;

6) конфиденциалды деректерді кэштеуді алып тастауды;

7) мобильді қосымшаның резервтік көшірмелерінен ашық түрдегі конфиденциалды деректерді алып тастауды;

8) клиентті мобильді қосымшаны пайдалану кезінде басшылыққа алу ұсынылатын кибергигиенаны қамтамасыз етудің әдістері туралы хабардар етуді;

9) клиентті оның есептік жазбасындағы авторландыру оқиғалары, құпиясөзді өзгерту және (немесе) қалпына келтіру, банк, ұйым тіркеген мобильді телефон нөмірінің өзгеруі туралы хабардар етуді;

10) ақшалай қаражатпен операцияларды жүзеге асыру барысында -клиенттің рұқсаты болған жағдайда банктің, ұйымның серверлік ҚБҚ-ға мобильді құрылғының геолокациялық деректерін беру не мұндай рұқсаттың жоқ екендігі туралы ақпарат беруді қамтамасыз етеді;

11) клиенттен рұқсаты болған кезде банк, ұйым айқандайтын тәртіппен мобильді құрылғының микрофонына белсенді қолжетімділік анықталған жағдайда ақшалай қаражатпен операцияларды жүзеге асыру жөніндегі функционалды бұғаттау не банктің серверлік ҚБҚ-на осындай рұқсаттың жоқтығы туралы ақпаратты беру.

161. Банк, ұйым өз тарапынан:

1) жауапта конфиденциалды деректердің жария болуына жол бермей, проблеманы анықтау үшін ең аз қажетті ақпарат ұсына отырып, қателер мен ерекшеліктерді қауіпсіз тәсілмен өңдеуді;

2) мобильдік қосымшаларды және олармен байланысты құрылғыларды сәйкестендіруді және бірдейлендіруді;

3) жалған сұрау салулармен және зиянды код инъекциялары шабуылдарының алдын алу үшін деректердің жарамдылығын тексеруді;

4) банкте, ұйымда тіркелген құрылғыларда клиенттердің мобильді қосымшаларында қашықтан басқару процестерін анықтау оқиғаларының және операциялық жүйенің тұтастығын бұзу және (немесе) қорғау тетіктерін айналып өту белгілерінің, сондай-ақ клиенттердің мобильді қосымшаларының функционалын бұғаттау жөніндегі іс-қимылдардың жазбаларын сақтау;

5) бірдейлендірудің сәтсіз әрекеттері туралы және клиенттерге осы әрекеттер жөнінде хабарлау туралы жазбаларды сақтау.";

көрсетілген қаулымен бекітілген Ақпараттық жүйелердегі бұзушылықтар, іркілістер туралы мәліметтерді қоса алғанда, ақпараттық қауіпсіздіктің оқыс оқиғалары туралы ақпаратты беру қағидалары мен мерзімдерде:

3-тармақ мынадай редакцияда жазылсын:

"3. Банк, ұйым уәкілетті органға ақпараттық қауіпсіздіктің мынадай анықталған оқыс оқиғалары туралы ақпаратты ұсынады:

1) қолданбалы және жүйелік бағдарламалық қамтылымдағы осалдықтарды пайдалану;

2) ақпараттық жүйеге санкцияланбаған кіру;

3) ақпараттық жүйеге немесе деректерді беру желісіне "қызмет көрсетуден бас тарту" шабуылы;

4) сервердің зиянды бағдарламамен немесе кодпен зақымдануы;

5) ақпараттық қауіпсіздікті бақылауын бұзу салдарынан ақша қаражатын санкцияланбай аударуды жүзеге асыру;

6) клиенттің сәйкестендіру және бірдейлендіру банк жүйелерінің жұмысын бұзу;

7) ақпараттық жүйелердің бір сағаттан артық тұрып қалуына әкеп соққан ақпараттық қауіпсіздіктің өзге де оқыс оқиғалары.

Осы тармақта көрсетілген ақпараттық қауіпсіздіктің оқыс оқиғалары туралы ақпаратты банк немесе ұйым ақпараттық қауіпсіздік оқиғалары мен оқыс оқиғалары туралы ақпаратты өңдеуге арналған және ақпараттық қауіпсіздік жүйелерімен немесе ақпараттық инфрақұрылымдағы оқиғалар туралы ақпаратты нақты уақытта жинауды және талдауды жүзеге асыратын банктің, ұйымның жүйелерімен ықпалдастырылған уәкілетті органның автоматтандырылған жүйесі (бұдан әрі – ААӨЖ) арқылы немесе ұсынылатын деректердің конфиденциалдығын және түзетілмеуін қамтамасыз ететін криптографиялық қорғау құралдары бар ақпараттың жеткізілуіне кепілдік беретін тасымалдау жүйесін пайдалана отырып, электрондық форматта дереу береді.

Жоғарыда көрсетілген жүйелер қолжетімсіз болған жағдайда, оқиға туралы ақпаратты беру банкті, ұйымды ААӨЖ-да тіркеу кезінде көрсетілген банктің, ұйымның телефон нөмірінен банктің, ұйымның ресми хатымен қағаз жеткізгіште қайталай отырып, уәкілетті органның интернет-ресурсында "Ақпараттық қауіпсіздік" бөлімінде байланыс үшін көрсетілген уәкілетті органның телефон нөміріне жүзеге асырылады.".

2. "Банктердің, банк қызметтерінің жекелеген түрлерін жүзеге асыратын ұйымдардың және микроқаржы ұйымдарының биометриялық идентификаттау өткізу қағидаларын бекіту туралы" Қазақстан Республикасы Қаржы нарығын реттеу және дамыту агенттігі Басқармасының 2024 жылғы 16 тамыздағы № 56 қаулысына (Нормативтік құқықтық актілерді мемлекеттік тіркеу тізілімінде № 34950 болып тіркелген) мынадай өзгерістер енгізілсін:

тақырыбы мынадай редакцияда жазылсын:

"Банктердің, банк операцияларының жекелеген түрлерін жүзеге асыратын ұйымдардың және микроқаржы ұйымдарының биометриялық идентификаттау өткізу қағидаларын бекіту туралы";

1-тармақ мынадай редакцияда жазылсын:

"1. Қоса беріліп отырған Банктердің, банк операцияларының жекелеген түрлерін жүзеге асыратын ұйымдардың және микроқаржы ұйымдарының биометриялық идентификаттау өткізу қағидалары (бұдан әрі – Қағидалар) бекітілсін.";

көрсетілген қаулымен бекітілген Банктердің, банк қызметтерінің жекелеген түрлерін жүзеге асыратын ұйымдардың және микроқаржы ұйымдарының биометриялық идентификаттау өткізу қағидаларында:

тақырыбы мынадай редакцияда жазылсын:

"Банктердің, банк операцияларының жекелеген түрлерін жүзеге асыратын ұйымдардың және микроқаржы ұйымдарының биометриялық идентификаттау өткізу қағидалары";

1-тармақ мынадай редакцияда жазылсын:

"1. Осы Банктердің, банк операцияларының жекелеген түрлерін жүзеге асыратын ұйымдардың және микроқаржы ұйымдарының биометриялық идентификаттау өткізу қағидалары (бұдан әрі – Қағидалар) "Қазақстан Республикасындағы банктер және банк қызметі туралы" Қазақстан Республикасы Заңының 34-бабының 5-5-тармағының және "Микроқаржылық қызмет туралы" Қазақстан Республикасы Заңының 3-бабының 3-5-тармағының талаптарына сәйкес әзірленді.

Осы Қағидалар банктер, банк операцияларының жекелеген түрлерін жүзеге асыратын ұйымдар және микроқаржы ұйымдары өздерінің аппараттық құрылғылары арқылы өткізетін биометриялық идентификаттау процестеріне қолданылмайды.";

12-тармақ мынадай редакцияда жазылсын:

"12. Биометриялық деректерді салыстыру идентификаттау өткізілетін адамның бейненің шынайылығын тексеру нәтижесі бойынша алынған ағымдағы бейнесін идентификаттау өткізілетін адамның эталондық бейнесімен салыстыру арқылы жүзеге асырылады. Бейнелерді салыстыру нәтижесін қалыптастыру тәртібін биометриялық сәйкестендіру провайдері анықтайды.";

13-тармақтың 1) тармақшасы мынадай редакцияда жазылсын:

"1) идентификаттау өткізілетін адамның бейненің шынайылығын тексеру нәтижесі бойынша алынған ағымдағы бейнесі;".

3. "Қаржы ұйымдарының қаржы нарығы мен қаржы ұйымдарының ақпараттық қауіпсіздіктің салалық орталығы пайдаланатын ақпараттық қауіпсіздіктің оқиғалары мен оқыс оқиғалары бойынша ақпарат жинау, өңдеу және алмасу жөніндегі ақпараттандыру объектісін қосу және пайдалану қағидаларын бекіту туралы" Қазақстан Республикасы Қаржы нарығын реттеу және дамыту агенттігі Басқармасының 2022 жылғы 12 қыркүйектегі № 67 қаулысына (Нормативтік құқықтық актілерді мемлекеттік тіркеу тізілімінде № 29639 болып тіркелген) мынадай өзгеріс енгізілсін:

көрсетілген қаулымен бекітілген Қаржы ұйымдарының қаржы нарығы мен қаржы ұйымдарының ақпараттық қауіпсіздіктің салалық орталығы пайдаланатын ақпараттық қауіпсіздіктің оқиғалары мен оқыс оқиғалары бойынша ақпарат жинау, өңдеу және алмасу жөніндегі ақпараттандыру объектісін қосу және пайдалану қағидалары өзгерістер мен толықтырулар енгізілетін Қазақстан Республикасының ақпараттық қауіпсіздік мәселелері бойынша өзгерістер мен толықтырулар енгізілетін нормативтік құқықтық актілерінің тізбесіне қосымшаға сәйкес редакцияда жазылсын.

Қазақстан Республикасының
ақпараттық қауіпсіздік
мәселелері бойынша өзгерістер
мен толықтырулар енгізілетін
нормативтік құқықтық
актілерінің тізбесіне
қосымша
Қазақстан Республикасы
Қаржы нарығын реттеу және
дамыту агенттігі
Басқармасының
2022 жылғы 12 қыркүйектегі
№67 қаулысына
қосымша

Қаржы ұйымдарының қаржы нарығы мен қаржы ұйымдарының ақпараттық қауіпсіздіктің салалық орталығы пайдаланатын ақпараттық қауіпсіздіктің оқиғалары мен оқыс оқиғалары бойынша ақпарат жинау, өңдеу және алмасу жөніндегі ақпараттандыру объектісін қосу және пайдалану қағидалары

1-тарау. Жалпы ережелер

1. Осы Қаржы ұйымдарының қаржы нарығы мен қаржы ұйымдарының ақпараттық қауіпсіздіктің салалық орталығы пайдаланатын ақпараттық қауіпсіздіктің оқиғалары мен оқыс оқиғалары бойынша ақпарат жинау, өңдеу және алмасу жөніндегі ақпараттандыру объектісін қосу және пайдалану қағидалары (бұдан әрі – Қағидалар) "Ақпараттандыру туралы" Қазақстан Республикасының Заңы (бұдан әрі – Ақпараттандыру туралы заң) 7-5-бабының 4-тармағына сәйкес әзірленді және қаржы нарығы мен қаржы ұйымдарының ақпараттық қауіпсіздіктің салалық орталығы пайдаланатын ақпараттық қауіпсіздіктің (бұдан әрі - АҚ) оқиғалары мен оқыс оқиғалары бойынша ақпарат жинау, өңдеу және алмасу жөніндегі ақпараттандыру объектісін қосу және пайдалану тәртібін айқындайды.

2. Қаржы нарығы мен қаржы ұйымдарын реттеу, бақылау және қадағалау жөніндегі уәкілетті органның ақпараттық қауіпсіздіктің оқиғалары мен оқыс оқиғалары бойынша ақпаратты өңдеудің автоматтандырылған жүйесі (бұдан әрі - ААӨЖ) қаржы нарығы мен қаржы ұйымдарының ақпараттық қауіпсіздіктің салалық орталығы пайдаланатын ақпараттық қауіпсіздіктің оқиғалары мен оқыс оқиғалары бойынша ақпарат жинау, өңдеу және алмасу жөніндегі ақпараттандыру объектісі болып табылады.

3. Қағидаларда Ақпараттандыру туралы заңды көзделген, сондай-ақ мынадай ұғымдар пайдаланылады:

1) жауапты қызметкер –лауазымдық міндеттерінде ААӨЖ-де ақпарат өңдеу бекітілген ұйымының қызметкері;

2) қаржы ұйымының бейіні – ААӨЖ-дегі қаржы ұйымы туралы құрылымдалған ақпарат;

3) қауіп-қатер туралы ескерту – барлық қаржы ұйымдары үшін АҚ өзекті оқиғалары бойынша хабарлама;

4) оқыс оқиға картасы – уәкілетті органға Қағидаларға сәйкес ұсынылатын қаржы ұйымындағы АҚ оқыс оқиғасы туралы құрылымдалған ақпарат;

5) осалдық туралы ескерту – бағдарламалық қамтылымды және қаржы нарығы субъектілерінің инфрақұрылымында пайдаланылатын жабдықты өндірушілерде осалдықтың анықталғаны туралы хабарлама;

6) сигнал – қаржы ұйымының ақпараттық инфрақұрылымындағы АҚ жүйелерінен немесе нақты уақытта АҚ оқиғалары туралы ақпарат жинау мен талдауды жүзеге асыратын жүйелерден алынатын АҚ оқиғасы туралы құрылымдалған ақпарат;

7) сұрату – ақпаратты қорғауды қамтамасыз ететін ААӨЖ құралдары арқылы іске асырылған, АҚ қамтамасыз ету мәселелері бойынша қаржы ұйымдарының бір-біріне немесе қаржы нарығы мен қаржы ұйымдарын реттеу, бақылау және қадағалау жөніндегі уәкілетті органға (бұдан әрі – уәкілетті орган) ресми түрде жүгінуі;

8) ықпалдастыру модулі – қаржы ұйымының ААӨЖ-дегі инфрақұрылымында АҚ оқиғалары бойынша ақпарат беруді автоматтандыру үшін қаржы ұйымының инфрақұрылымына орнатылатын бағдарламалық қамтылым.

4. ААӨЖ-ні пайдаланған уақытта Ақпараттандыру туралы заңның, "Дербес деректер және оларды қорғау туралы", "Қазақстан Республикасындағы банктер және банк қызметі туралы" заңдардың қорғалатын ақпараттың қауіпсіздігін қамтамасыз ету жөніндегі талаптары сақталады.

2-тарау. ААӨЖ-ге қосу

5. ААӨЖ-ге қаржы ұйымының ақпараттық қауіпсіздік бөлімшесі, сондай-ақ қаржы ұйымының ақпараттық қауіпсіздігінің жедел орталығы (бұдан әрі-АҚЖО) бар болған жағдайда қосылады. ААӨЖ-де қаржы ұйымының және АҚЖО-ның бейінін құру үшін жауапты қызметкер АҚ салалық орталығына қаржы ұйымының мынадай есепке алу деректерін ұсынады:

1) қаржы ұйымының және АҚЖО-ның атауы;

2) заңды тұлғаның бизнес-сәйкестендіру нөмірі;

3) электрондық поштаның мекенжайы.

6. Қаржы ұйымының және АҚЖО-ның пайдаланушысының есепке алу жазбасын құру үшін ААӨЖ-де жауапты қызметкер АҚ салалық орталығына пайдаланушының мынадай есепке алу деректерін ұсынады:

1) тегі, аты, әкесінің аты (ол бар болса);

2) лауазымы;

3) ұйымның атауы;

4) байланыс телефондары;

5) электрондық поштаның мекенжайы.

7. ААӨЖ-ге сигналдарды беру үшін банктер, Қазақстан Республикасы бейрезидент-банктерінің филиалдары (бұдан әрі – банктер), банк операцияларының жекелеген түрлерін жүзеге асыратын ұйымдар (бұдан әрі – ұйымдар) және (немесе) АҚЖО АҚ-ның салалық орталығы ұсынған ықпалдасу модулін банктің, ұйымның, АҚЖО-ның АҚ жүйелеріне немесе банктің, ұйымның ақпараттық инфрақұрылымында АҚ оқиғалары туралы ақпаратты нақты уақытта жинауды және талдауды жүзеге асыратын жүйелерге қоса отырып, банктің, ұйымның ақпараттық инфрақұрылымына орнатуды жүзеге асырады.

8. Банктер, ұйымдар, АҚЖО мынадай АҚ оқиғалары анықталған жағдайда сигналдарды ААӨЖ-ге береді:

1) IPS/IDS зиянды белсенділігін анықтау (басып кіруді анықтау және алдын алу жүйесі);

2) WAF зиянды белсенділігін анықтау (веб-қосымшалардың желілік сүзгісі);

3) соңғы нүктелерді қорғау жүйесінің зиянды белсенділігін анықтау;

4) зиянды кодты алу;

5) фишингтік хабарлама алу;

6) белсенді желілік қызметтерді анықтау үшін IP-мекенжайларды желілік сканерлеу;

7) есептік жазбаның құпиясөзін мөлшерден артық теру (сыртқы аяда);

8) құпиясөзге есептік жазбаларды мөлшерден артық теру (сыртқы аяда).

9. Банк, ұйым ААӨЖ-мен ықпалдасу модулін байланыстыру үшін интернет-арнаны қамтамасыз етеді.

3-тарау. ААӨЖ-ні пайдалану

10. Қазақстан Республикасының қаржы нарығы үшін АҚ қауіп-қатері анықталған кезде қаржы ұйымының немесе АҚЖО-ның жауапты қызметкері немесе АҚ бөлімшесі басшылығының келісімі бойынша мынадай деректерді енгізу арқылы ААӨЖ-ге қауіп-қатер туралы ескерту жасайды:

1) пайда болу көзі;

2) қауіп-қатердің түрі;

3) қауіп-қатердің дәрежесі;

4) конфиденциалдылық дәрежесі;

5) қауіп-қатердің сипаттамасы;

6) ұсынымдар.

11. Қаржы ұйымының АҚ басқару жүйесінің жұмыс істеуін қамтамасыз ету үшін қосымша ақпарат алу қажет болған кезде қаржы ұйымының немесе АҚЖО-ның жауапты қызметкері АҚ бөлімшесі басшылығының келісімі бойынша уәкілетті органға немесе қаржы ұйымдарына ААӨЖ-ге сұрату жібереді.

12. Банктің, ұйымның немесе АҚЖО-ның жауапты қызметкері АҚ бөлімшесі басшылығының келісімі бойынша АҚ-ның мынадай оқыс оқиғалары анықталған жағдайда ААӨЖ-де дереу оқыс оқиға картасын жасайды:

1) қолданбалы және жүйелік бағдарламалық қамтылымдағы осалдықтарды пайдалану;

2) ақпараттық жүйеге рұқсатсыз кіру;

3) ақпараттық жүйеге немесе деректерді беру желісіне "қызмет көрсетуден бас тарту" шабуылы;

4) серверді зиянды бағдарламамен немесе кодпен зақымдау;

5) АҚ бақылауларын бұзу салдарынан ақша қаражатын санкциясыз аудару;

6) клиенттің сәйкестендіру және бірдейлендіру банк жүйелерінің жұмысын бұзу;

7) ақпараттық жүйелердің бір сағаттан астам тұрып қалуына әкеп соққан өзге де АҚ оқыс оқиғалары.

13. Қауіп-қатер немесе осалдық туралы ескерту алған кезде қаржы ұйымының немесе АҚЖО-ның жауапты қызметкері АҚ бөлімшесі басшылығының келісімі бойынша 1 (бір) жұмыс күні ішінде ескертуден ұсынымдарды қабылдайды немесе қолданудан бас тартады және оны ААӨЖ-де көрсетеді.

Ұсынымдарды қолдану аяқталғаннан кейін қаржы ұйымының немесе АҚЖО-ның жауапты қызметкері ААӨЖ-де ескерту мәртебесін өңделген күйге өзгертеді.

14. ААӨЖ-ге сұрату алған кезде қаржы ұйымының немесе АҚЖО-ның жауапты қызметкері АҚ бөлімшесі басшылығының келісімі бойынша 1 (бір) жұмыс күні ішінде оны жұмысқа қабылдайды немесе қабылдамайды және мұны сұратуға түсініктемелерде көрсетеді. Жұмыс аяқталғаннан кейін 10 (он) жұмыс күнінен кешіктірмей сұрату бойынша қаржы ұйымының немесе АҚЖО-ның жауапты қызметкерінің АҚ бөлімшесі басшылығының келісімі бойынша ААӨЖ-де жауап құрастырады.

15. Қаржы ұйымының немесе АҚЖО-ның жауапты қызметкері АҚ салалық орталығы ААӨЖ-де қауіп-қатер туралы ескертуді, оқыс оқиға картасын немесе ұсынылған деректердің толық болмауына байланысты сұратуға жауапты қайтарған жағдайда 3 (үш) жұмыс күні ішінде кемшіліктерді жояды.

О внесении изменений и дополнений в некоторые нормативные правовые акты Республики Казахстан по вопросам информационной безопасности

Постановление Правления Агентства Республики Казахстан по регулированию и развитию финансового рынка от 20 августа 2025 года № 38. Зарегистрировано в Министерстве юстиции Республики Казахстан 28 августа 2025 года № 36711

Примечание ИЗПИ!
Порядок введения в действие см. п. 4.

Правление Агентства Республики Казахстан по регулированию и развитию финансового рынка ПОСТАНОВЛЯЕТ:

1. Утвердить Перечень нормативных правовых актов Республики Казахстан по вопросам информационной безопасности, в которые вносятся изменения и дополнения, согласно приложению к настоящему постановлению (далее - Перечень).

2. Департаменту информационной и кибербезопасности Агентства Республики Казахстан по регулированию и развитию финансового рынка в установленном законодательством Республики Казахстан порядке обеспечить:

1) совместно с Юридическим департаментом государственную регистрацию настоящего постановления в Министерстве юстиции Республики Казахстан;

2) размещение настоящего постановления на официальном интернет-ресурсе Агентства Республики Казахстан по регулированию и развитию финансового рынка после его официального опубликования;

3) в течение десяти рабочих дней после государственной регистрации настоящего постановления представление в Юридический департамент сведений об исполнении мероприятия, предусмотренного подпунктом 2) настоящего пункта.

3. Контроль за исполнением настоящего постановления возложить на курирующего заместителя Председателя Агентства Республики Казахстан по регулированию и развитию финансового рынка.

4. Настоящее постановление вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования, за исключением пункта 1 Перечня, который вводится в действие с 1 ноября 2025 года.

Председатель Агентства
Республики Казахстан
по регулированию и развитию
финансового рынка

М. Абылкасымова

Приложение к постановлению
Правления Агентства
Республики Казахстан
по регулированию и развитию
финансового рынка
от 20 августа 2025 года № 38

Перечень нормативных правовых актов Республики Казахстан по вопросам информационной безопасности, в которые вносятся изменения и дополнения

1. Внести в постановление Правления Национального Банка Республики Казахстан от 27 марта 2018 года № 48 "Об утверждении Требований к обеспечению информационной безопасности банков, филиалов банков-нерезидентов Республики Казахстан и организаций, осуществляющих отдельные виды банковских операций, Правил и сроков предоставления информации об инцидентах информационной безопасности, включая сведения о нарушениях, сбоях в информационных системах" (зарегистрировано в Реестре государственной регистрации нормативных правовых актов под № 16772) следующие изменения и дополнения:

преамбулу изложить в следующей редакции:

"В соответствии с пунктом 7 статьи 61-5 Закона Республики Казахстан "О банках и банковской деятельности в Республике Казахстан" Правление Национального Банка Республики Казахстан ПОСТАНОВЛЯЕТ:";

в Требованиях к обеспечению информационной безопасности банков, филиалов банков-нерезидентов Республики Казахстан и организаций, осуществляющих отдельные виды банковских операций, утвержденных указанным постановлением:

подпункт 21) пункта 2 изложить в следующей редакции:

"21) центр обработки данных банка, организации – специально выделенное помещение, в котором размещены серверы, обеспечивающие работу информационных систем банка, организации;";

пункт 15 изложить в следующей редакции:

"15. Банк, организация определяют возможность возложения на подразделение по информационной безопасности функций по обеспечению технической безопасности. Подразделение по информационной безопасности не осуществляет функции, влекущие конфликт интересов с их основными функциями, в том числе предусмотренные главой 15 Правил формирования системы управления рисками и внутреннего контроля для банков второго уровня, филиалов банков-нерезидентов Республики Казахстан, утвержденных постановлением Правления Национального Банка Республики Казахстан от 12 ноября 2019 года № 188, зарегистрированным в Реестре государственной регистрации нормативных правовых актов под № 19632.";

пункт 29 изложить в следующей редакции:

"29. Информация о СУИБ составляется в произвольной форме и представляется в уполномоченный орган в электронном формате с использованием транспортной системы гарантированной доставки информации с криптографическими средствами защиты, обеспечивающей конфиденциальность и некорректируемость представляемых данных, или посредством автоматизированной системы уполномоченного органа, предназначенной для обработки информации о событиях и инцидентах информационной безопасности или на бумажном носителе.";

дополнить пунктом 31-1 следующего содержания:

"31-1. Банк, организация проводят внешнюю проверку состояния системы управления информационной безопасностью банка, организации в объеме, определяемом исполнительным органом банка, организации, на соответствие национальному стандарту Республики Казахстан СТ ISO/IEC 27001-2023 "Информационная безопасность, кибербезопасность и защита конфиденциальности. Системы менеджмента информационной безопасности. Требования" или международному стандарту ISO/IEC 27001:2022 "Information security, cybersecurity and privacy protection – Information security management systems - Requirements" (Информэйшн секьюрити, сайберсекьюрити энд прайвэси протекшн. Информэйшн секьюрити мэнэджмент системс - Реквайрментс) (Информационная безопасность, кибербезопасность и защита частной жизни - Системы менеджмента информационной безопасности - Требования) не реже одного раза в 3 (три) года.";

пункт 89 изложить в следующей редакции:

"89. С периодичностью, определяемой банком, организацией, проводится тестирование на проникновение в информационную инфраструктуру независимыми внешними экспертами в данной области. В рамках данного тестирования, кроме поиска и попыток эксплуатации уязвимостей системного и прикладного программного обеспечения, проводятся нагрузочные тесты, включая имитацию атак "отказ в обслуживании".";

подпункт 1) пункта 108 изложить в следующей редакции:

"1) методы обеспечения информационной безопасности;";

дополнить пунктом 156-1 следующего содержания:

"156-1. При аутентификации клиента в мобильном приложении на ранее не зарегистрированном за клиентом в банке, организации мобильном устройстве банк, организация проводят биометрическую идентификацию клиента с использованием биометрических данных, подтвержденных ЦОИД или полученных посредством устройств банка, организации.";

пункты 160 и 161 изложить в следующей редакции:

"160. Мобильное приложение обеспечивает:

1) однозначность идентификации принадлежности мобильного приложения банку, организации (данные в официальном магазине приложений, логотипы, корпоративные цвета);

2) блокировку функционала по оказанию дистанционных услуг банка, организации в случае обнаружения признаков нарушения целостности и (или) обхода защитных механизмов операционной системы, обнаружения процессов удаленного управления;

3) уведомление клиента о наличии обновлений мобильного приложения;

4) возможность принудительной установки обновлений мобильного приложения или блокировки функционала мобильного приложения до их установки в случаях необходимости устранения критичных уязвимостей;

5) хранение конфиденциальных данных в защищенном контейнере мобильного приложения или хранилище системных учетных данных;

6) исключение кэширования конфиденциальных данных;

7) исключение из резервных копий мобильного приложения конфиденциальных данных в открытом виде;

8) информирование клиента о методах обеспечения кибергигиены, которым рекомендуется следовать при использовании мобильного приложения;

9) информирование клиента о событиях авторизации под его учетной записью, изменения и (или) восстановления пароля, изменения, зарегистрированного банком, организацией номера мобильного телефона;

10) в ходе осуществления операций с денежными средствами - передачу в серверное ППО банка, организации геолокационных данных мобильного устройства при наличии разрешения от клиента либо передачу информации об отсутствии такого разрешения;

11) блокировку функционала по осуществлению операций с денежными средствами в случае обнаружения активного доступа к микрофону мобильного устройства в порядке, определяемом банком, организацией, при наличии разрешения от клиента либо передачу в серверное ППО банка, организации информации об отсутствии такого разрешения.

161. Банк, организация обеспечивают на своей стороне:

1) обработку ошибок и исключений безопасным способом, не допуская в ответе раскрытия конфиденциальных данных, предоставляя минимально достаточную информацию для диагностики проблемы;

2) идентификацию и аутентификацию мобильных приложений и связанных с ними устройств;

3) проверку данных на валидность для предотвращения атак с подделкой запросов и инъекций вредоносного кода;

4) хранение записей событий обнаружения процессов удаленного управления и признаков нарушения целостности и (или) обхода защитных механизмов операционной системы в мобильных приложениях клиентов на устройствах, зарегистрированных в банке, организации, а также действий по блокировке функционала мобильных приложений клиентов;

5) хранение записей о неудачных попытках аутентификации и об информировании клиентов об этих попытках.";

в Правилах и сроках предоставления информации об инцидентах информационной безопасности, включая сведения о нарушениях, сбоях в информационных системах, утвержденных указанным постановлением:

пункт 3 изложить в следующей редакции:

"3. Банк, организация предоставляют в уполномоченный орган информацию о следующих выявленных инцидентах информационной безопасности:

1) эксплуатация уязвимостей в прикладном и системном программном обеспечении;

2) несанкционированный доступ в информационную систему;

3) атака "отказ в обслуживании" на информационную систему или сеть передачи данных;

4) заражение сервера вредоносной программой или кодом;

5) совершение несанкционированного перевода денежных средств вследствие нарушения контролей информационной безопасности;

6) нарушение работы банковских систем идентификации и аутентификации клиента;

7) иных инцидентах информационной безопасности, повлекших простои информационных систем более одного часа.

Информация об инцидентах информационной безопасности, указанных в настоящем пункте, предоставляется банком или организацией незамедлительно посредством автоматизированной системы уполномоченного органа, предназначенной для обработки информации о событиях и инцидентах информационной безопасности (далее – АСОИ) и интегрированной с системами информационной безопасности или системами банка, организации, осуществляющими в реальном времени сбор и анализ информации о событиях в информационной инфраструктуре или в электронном формате с использованием транспортной системы гарантированной доставки информации с криптографическими средствами защиты, обеспечивающей конфиденциальность и некорректируемость представляемых данных.

В случае недоступности вышеуказанных систем передача информации об инциденте осуществляется с телефонного номера банка, организации, указанного при регистрации банка, организации в АСОИ, на телефонный номер уполномоченного органа, указанный для связи на интернет ресурсе уполномоченного органа в разделе "Информационная безопасность" с дублированием на бумажном носителе официальным письмом банка, организации.".

2. Внести в постановление Правления Агентства Республики Казахстан по регулированию и развитию финансового рынка от 16 августа 2024 года № 56 "Об утверждении Правил проведения биометрической идентификации банками, организациями, осуществляющими отдельные виды банковских услуг, и микрофинансовыми организациями" (зарегистрировано в Реестре государственной регистрации нормативных правовых актов под № 34950) следующие изменения:

заголовок изложить в следующей редакции:

"Об утверждении Правил проведения биометрической идентификации банками, организациями, осуществляющими отдельные виды банковских операций, и микрофинансовыми организациями";

пункт 1 изложить в следующей редакции:

"1. Утвердить прилагаемые Правила проведения биометрической идентификации банками, организациями, осуществляющими отдельные виды банковских операций, и микрофинансовыми организациями (далее – Правила).";

в Правилах проведения биометрической идентификации банками, организациями, осуществляющими отдельные виды банковских услуг, и микрофинансовыми организациями, утвержденных указанным постановлением:

заголовок изложить в следующей редакции:

"Правила проведения биометрической идентификации банками, организациями, осуществляющими отдельные виды банковских операций, и микрофинансовыми организациями";

пункт 1 изложить в следующей редакции:

"1. Настоящие Правила проведения биометрической идентификации банками, организациями, осуществляющими отдельные виды банковских операций, и микрофинансовыми организациями (далее – Правила) разработаны в соответствии с требованиями пункта 5-5 статьи 34 Закона Республики Казахстан "О банках и банковской деятельности в Республике Казахстан" и пункта 3-5 статьи 3 Закона Республики Казахстан "О микрофинансовой деятельности".

Настоящие Правила не распространяются на процессы биометрической идентификации, проводимые банками, организациями, осуществляющими отдельные виды банковских операций, и микрофинансовыми организациями посредством собственных аппаратных устройств.";

пункт 12 изложить в следующей редакции:

"12. Сличение биометрических данных осуществляется путем сравнения изображения лица идентифицируемого, полученного по результатам проверки достоверности изображения, с эталонным изображением лица идентифицируемого. Порядок формирования результата сличения изображений определяется провайдером биометрической идентификации.";

подпункт 1) пункта 13 изложить в следующей редакции:

"1) изображение лица идентифицируемого, полученное по результатам проверки достоверности изображения;".

3. Внести в постановление Правления Агентства Республики Казахстан по регулированию и развитию финансового рынка от 12 сентября 2022 года № 67 "Об утверждении Правил подключения и использования финансовыми организациями объекта информатизации по сбору, обработке и обмену информацией по событиям и инцидентам информационной безопасности, используемого отраслевым центром информационной безопасности финансового рынка и финансовых организаций" (зарегистрировано в Реестре государственной регистрации нормативных правовых актов под № 29639) следующее изменение:

Правила подключения и использования финансовыми организациями объекта информатизации по сбору, обработке и обмену информацией по событиям и инцидентам информационной безопасности, используемого отраслевым центром информационной безопасности финансового рынка и финансовых организаций, утвержденные указанным постановлением, изложить в редакции согласно приложению к Перечню нормативных правовых актов Республики Казахстан по вопросам информационной безопасности, в которые вносятся изменения и дополнения.

	Приложение к Перечню нормативных правовых актов Республики Казахстан по вопросам информационной безопасности, в которые вносятся изменения и дополнения
	Приложение к постановлению Правления Агентства Республики Казахстан по регулированию и развитию финансового рынка от 12 сентября 2022 года № 67

Правила подключения и использования финансовыми организациями объекта информатизации по сбору, обработке и обмену информацией по событиям и инцидентам информационной безопасности, используемого отраслевым центром информационной безопасности финансового рынка и финансовых организаций

Глава 1. Общие положения

1. Настоящие Правила подключения и использования финансовыми организациями объекта информатизации по сбору, обработке и обмену информацией по событиям и инцидентам информационной безопасности, используемого отраслевым центром информационной безопасности финансового рынка и финансовых организаций (далее – Правила) разработаны в соответствии с пунктом 4 статьи 7-5 Закона Республики Казахстан "Об информатизации" (далее – Закон об информатизации) и определяют порядок подключения и использования финансовыми организациями объекта информатизации по сбору, обработке и обмену информацией по событиям и инцидентам информационной безопасности (далее – ИБ), используемого отраслевым центром информационной безопасности финансового рынка и финансовых организаций.

2. Объектом информатизации отраслевого центра информационной безопасности финансового рынка и финансовых организаций по сбору, обработке и обмену информацией по событиям и инцидентам информационной безопасности является автоматизированная система обработки информации по событиям и инцидентам информационной безопасности уполномоченного органа по регулированию, контролю и надзору финансового рынка и финансовых организаций (далее - АСОИ).

3. В Правилах используются понятия, предусмотренные Законом об информатизации, а также следующие понятия:

1) ответственный работник – работник организации, в должностных обязанностях которого закреплена обработка информации в АСОИ;

2) профиль финансовой организации – структурированная информация о финансовой организации в АСОИ;

3) предупреждение об угрозе – уведомление по критичным событиям ИБ для всех финансовых организаций;

4) карта инцидента – структурированная информация об инциденте ИБ у финансовой организации, предоставляемая в уполномоченный орган в соответствии с Правилами;

5) предупреждение об уязвимости – уведомление о выявлении уязвимостей у производителей программного обеспечения и оборудования, используемого в инфраструктуре субъектов финансового рынка;

6) сигнал – структурированная информация о событии ИБ, получаемая из систем ИБ или систем, осуществляющих в реальном времени сбор и анализ информации о событиях ИБ в информационной инфраструктуре финансовой организации;

7) запрос – официальное обращение финансовых организаций друг к другу или к уполномоченному органу по регулированию, контролю и надзору финансового рынка и финансовых организаций (далее – уполномоченный орган) по вопросам обеспечения ИБ, реализованное средствами АСОИ, обеспечивающими защиту информации;

8) модуль интеграции – программное обеспечение, устанавливаемое в инфраструктуре финансовой организации для автоматизации передачи информации по событиям ИБ в инфраструктуре финансовой организации в АСОИ.

4. При использовании АСОИ соблюдаются требования Закона об информатизации, законов Республики Казахстан "О персональных данных и их защите", "О банках и банковской деятельности в Республике Казахстан" по обеспечению безопасности защищаемой информации.

Глава 2. Подключение к АСОИ

5. К АСОИ подключается подразделение информационной безопасности финансовой организации, а также оперативный центр информационной безопасности финансовой организации (далее - ОЦИБ) при его наличии. Для создания профиля финансовой организации и ОЦИБ в АСОИ ответственный работник представляет в отраслевой центр ИБ следующие учетные данные финансовой организации:

1) наименование финансовой организации и ОЦИБ;

2) бизнес-идентификационный номер юридического лица;

3) адрес электронной почты.

6. Для создания учетной записи пользователя финансовой организации и ОЦИБ в АСОИ ответственный работник представляет в отраслевой центр ИБ следующие учетные данные пользователя:

1) фамилия, имя, отчество (при наличии);

2) должность;

3) наименование организации;

4) контактные телефоны;

5) адрес электронной почты.

7. Для передачи сигналов в АСОИ банки, филиалы банков-нерезидентов Республики Казахстан (далее - банки), организации, осуществляющие отдельные виды банковских операций (далее - организации) и (или) ОЦИБ осуществляют установку модуля интеграции, предоставленного отраслевым центром ИБ, в инфраструктуре банка, организации, ОЦИБ с его подключением к системам ИБ или системам, осуществляющим в реальном времени сбор и анализ информации о событиях ИБ в информационной инфраструктуре банка, организации.

8. Сигналы передаются банками, организациями, ОЦИБ в АСОИ в случае выявления следующих событий ИБ:

1) выявление вредоносной активности IPS/IDS (система обнаружения и предотвращения вторжений);

2) выявление вредоносной активности WAF (сетевой фильтр веб-приложений);

3) выявление вредоносной активности системой защиты конечных точек;

4) получение вредоносного кода;

5) получение фишингового сообщения;

6) сетевое сканирование IP-адресов на предмет выявления активных сетевых служб;

7) перебор пароля к учетной записи (на внешнем периметре);

8) перебор учетных записей к паролю (на внешнем периметре).

9. Банк, организация обеспечивает интернет-канал для связи модуля интеграции с АСОИ.

Глава 3. Использование АСОИ

10. При обнаружении угрозы ИБ для финансового рынка Республики Казахстан ответственный работник финансовой организации или ОЦИБ по согласованию с руководством подразделения ИБ создает предупреждение об угрозе в АСОИ путем введения следующих данных:

1) источник;

2) тип угрозы;

3) степень угрозы;

4) степень конфиденциальности;

5) описание угрозы;

6) рекомендации.

11. При необходимости получения дополнительной информации для обеспечения функционирования системы управления ИБ финансовой организации ответственный работник финансовой организации или ОЦИБ по согласованию с руководством подразделения ИБ создает запрос в АСОИ уполномоченному органу или финансовым организациям.

12. Ответственный работник банка, организации или ОЦИБ по согласованию с руководством подразделения ИБ незамедлительно создает в АСОИ карту инцидента в случае выявления следующих инцидентов ИБ:

1) эксплуатация уязвимостей в прикладном и системном программном обеспечении;

2) несанкционированный доступ в информационную систему;

3) атака "отказ в обслуживании" на информационную систему или сеть передачи данных;

4) заражение сервера вредоносной программой или кодом;

5) совершение несанкционированного перевода денежных средств вследствие нарушения контролей ИБ;

6) нарушение работы банковских систем идентификации и аутентификации клиента;

7) иных инцидентах ИБ, повлекших простои информационных систем более одного часа.

13. При получении предупреждения об угрозе или уязвимости ответственный работник финансовой организации или ОЦИБ по согласованию с руководством подразделения ИБ в течение 1 (одного) рабочего дня принимает или отклоняет применение рекомендаций из предупреждения, и отражает это в АСОИ.

После завершения применения рекомендаций ответственный работник финансовой организации или ОЦИБ изменяет статус предупреждения в АСОИ на обработано.

14. При получении запроса в АСОИ ответственный работник финансовой организации или ОЦИБ по согласованию с руководством подразделения ИБ в течение 1 (одного) рабочего дня принимает его в работу или отклоняет, и отражает это в комментариях к запросу. Не позднее 10 (десять) рабочих дней после завершения работы по запросу ответственный работник финансовой организации или ОЦИБ по согласованию с руководством подразделения ИБ формирует ответ в АСОИ.

15. Ответственный работник финансовой организации или ОЦИБ при возврате отраслевым центром ИБ в АСОИ предупреждения об угрозе, карты инцидента или ответа на запрос из-за неполноты предоставленных данных устраняет недостатки в течение 3 (трех) рабочих дней.