"Қазақстан Республикасындағы банктер және банк қызметі туралы" Қазақстан Республикасының Заңы 55-бабының 5 және 10-тармақтарына сәйкес Қазақстан Республикасы Қаржы нарығын реттеу және дамыту агенттігінің Басқармасы ҚАУЛЫ ЕТЕДІ:
1. Қоса беріліп отырған Банктердің, Қазақстан Республикасының бейрезидент банктері филиалдарының және және банк операцияларының жекелеген түрлерін жүзеге асыратын ұйымдардың ақпараттық-коммуникациялық инфрақұрылымдағы осалдықтар туралы, оның ішінде үшінші тараптардан алынған, сондай-ақ ақпараттық жүйелердегі бұзушылықтар мен іркілістер туралы мәліметтерді қоса алғанда, ақпараттық қауіпсіздіктің оқиғалары мен оқыс оқиғалары туралы ақпаратты беру қағидалары және мерзімдері бекітілсін.
2. Ақпараттық және киберқауіпсіздік департаменті Қазақстан Республикасының заңнамасында белгіленген тәртіппен:
1) Заң департаментімен бірлесіп осы қаулыны Қазақстан Республикасының Әділет министрлігінде мемлекеттік тіркеуді;
2) осы қаулыны ресми жарияланғаннан кейін Қазақстан Республикасы Қаржы нарығын реттеу және дамыту агенттігінің ресми интернет-ресурсына орналастыруды;
3) осы қаулы мемлекеттік тіркелгеннен кейін он жұмыс күні ішінде Заң департаментіне осы тармақтың 2) тармақшасында көзделген іс-шараның орындалуы туралы мәліметтерді ұсынуды қамтамасыз етсін.
3. Осы қаулының орындалуын бақылау Қазақстан Республикасының Қаржы нарығын реттеу және дамыту агенттігі Төрағасының жетекшілік ететін орынбасарына жүктелсін.
4. Осы қаулы алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі.
|
Қазақстан Республикасының Қаржы нарығын реттеу және дамыту Агенттігінің Төрағасы |
М. Абылкасымова |
| Қазақстан Республикасының Қаржы нарығын реттеу және дамыту Агенттігінің Басқармасының 2026 жылғы 31 наурыздағы № 37 қаулысымен бекітілді |
Банктердің, Қазақстан Республикасының бейрезидент банктері филиалдарының және банк операцияларының жекелеген түрлерін жүзеге асыратын ұйымдардың ақпараттық-коммуникациялық инфрақұрылымдағы осалдықтар туралы, оның ішінде үшінші тараптардан алынған, сондай-ақ ақпараттық жүйелердегі бұзушылықтар мен іркілістер туралы мәліметтерді қоса алғанда, ақпараттық қауіпсіздіктің оқиғалары мен оқыс оқиғалары туралы ақпаратты беру қағидалары және мерзімдері
1. Осы Банктердің, Қазақстан Республикасының бейрезидент банктері филиалдарының және және банк операцияларының жекелеген түрлерін жүзеге асыратын ұйымдардың ақпараттық-коммуникациялық инфрақұрылымдағы осалдықтар туралы, оның ішінде үшінші тараптардан алынған, сондай-ақ ақпараттық жүйелердегі бұзушылықтар мен іркілістер туралы мәліметтерді қоса алғанда, ақпараттық қауіпсіздіктің оқиғалары мен оқыс оқиғалары туралы ақпаратты беру қағидалары және мерзімдері (бұдан әрі – Қағидалар) "Қазақстан Республикасындағы банктер және банк қызметі туралы" Қазақстан Республикасының Заңы 55-бабының 5 және 10-тармақтарына сәйкес әзірленді және банктердің, Қазақстан Республикасының бейрезидент банктері филиалдарының (бұдан әрі – банк) және банк операцияларының жекелеген түрлерін жүзеге асыратын ұйымдардың (бұдан әрі – ұйым) ақпараттық жүйелердегі бұзушылықтар мен іркілістер туралы мәліметтерді қоса алғанда, ақпараттық қауіпсіздіктің оқыс оқиғалары туралы ақпаратты беру тәртібін және мерзімдерін айқындайды.
2. Қағидаларда "Ақпараттандыру туралы" Қазақстан Республикасының Заңында көзделген ұғымдар, сондай-ақ мынадай ұғымдар пайдаланылады:
1) ақпараттандыру саласындағы ақпараттық қауіпсіздік (бұдан әрі – ақпараттық қауіпсіздік) – электрондық ақпараттық ресурстардың, ақпараттық жүйелердің және ақпараттық-коммуникациялық инфрақұрылымның сыртқы және ішкі қатерлерден қорғалуының жай-күйі;
2) ақпараттық-коммуникациялық инфрақұрылым (бұдан әрі – ақпараттық инфрақұрылым) – электрондық ақпараттық ресурстарды қалыптастыру және оларға қолжетімділік беру мақсатында технологиялық ортаның жұмыс істеуін қамтамасыз етуге арналған ақпараттық-коммуникациялық инфрақұрылым объектілерінің жиынтығы;
3) ақпараттық қауіпсіздік қатері – ақпараттық қауіпсіздіктің оқыс оқиғасының туындауына алғышарттар жасайтын жағдайлар мен факторлардың жиынтығы;
4) ақпараттық қауіпсіздіктің оқыс оқиғасы – ақпараттық-коммуникациялық инфрақұрылымның немесе оның жекелеген объектілерінің жұмысында жеке немесе сериялық туындайтын, олардың тиісінше жұмыс істеуіне қауіп келтіретін және (немесе) банктің, ұйымның электрондық ақпараттық ресурстарын заңсыз алу, көшіру, тарату, модификациялау, жою немесе бұғаттауға арналған талаптар;
5) ақпараттық-коммуникациялық инфрақұрылымды қорғау шегі – банктің, ұйымның ақпараттық-коммуникациялық инфрақұрылымын сыртқы ақпараттық желілерден оқшаулайтын және ақпараттық қауіпсіздік қауіпінен қорғауды іске асыратын бағдарламалық-аппараттық құралдардың жиынтығы;
6) кіру – ақпараттық активтерді пайдалану мүмкіндігі;
7) "қызмет көрсетуден бас тарту" түріндегі шабуыл – ақпараттық жүйе жұмысының штаттық режимін бұзу мақсатында ақпараттық жүйеге шабуыл жасау немесе жүйенің заңды пайдаланушылары ұсынылатын ресурстарға қолжетімділік ала алмайтын, не бұл қолжетімділік қиын болатын жағдайлар жасау;
8) осалдық – пайдаланылуы ақпараттандыру объектісі тұтастығының және (немесе) құпиялылығының және (немесе) қолжетімділігінің бұзылуына алып келуі мүмкін ақпараттандыру объектісінің кемшілігі;
9) уәкілетті орган – қаржы нарығы мен қаржы ұйымдарын реттеу, бақылау және қадағалау жөніндегі уәкілетті орган.
3. Банк, ұйым уәкілетті органға ақпараттық қауіпсіздіктің мынадай анықталған оқыс оқиғалары туралы ақпаратты ұсынады:
1) қолданбалы және жүйелік бағдарламалық қамтылымдағы осалдықтарды пайдалану;
2) ақпараттық жүйеге санкцияланбаған кіру;
3) ақпараттық жүйеге немесе деректерді беру желісіне "қызмет көрсетуден бас тарту" шабуылы;
4) сервердің зиянды бағдарламамен немесе кодпен зақымдануы;
5) ақпараттық қауіпсіздікті бақылауды бұзу салдарынан ақша қаражатын санкцияланбай аударуды жүзеге асыру;
6) клиенттің сәйкестендіру және бірдейлендіру банк жүйелерінің жұмысын бұзу;
7) ақпараттық жүйелердің бір сағаттан артық тұрып қалуына әкеп соққан ақпараттық қауіпсіздіктің өзге де оқыс оқиғалары.
Осы тармақта көрсетілген ақпараттық қауіпсіздіктің оқыс оқиғалары туралы ақпаратты банк немесе ұйым оқыс оқиға анықталған сәттен бастап жиырма төрт сағат ішінде ақпараттық қауіпсіздік оқиғалары мен оқыс оқиғалары туралы ақпаратты өңдеуге арналған және ақпараттық қауіпсіздік жүйелерімен немесе ақпараттық инфрақұрылымдағы оқиғалар туралы ақпаратты нақты уақытта жинауды және талдауды жүзеге асыратын банктің, ұйымның жүйелерімен ықпалдастырылған уәкілетті органның автоматтандырылған жүйесі (бұдан әрі – ААӨЖ) арқылы немесе ұсынылатын деректердің конфиденциалдығын және түзетілмеуін қамтамасыз ететін криптографиялық қорғау құралдары бар ақпараттың жеткізілуіне кепілдік беретін тасымалдау жүйесін пайдалана отырып, электрондық форматта дереу береді.
Жоғарыда көрсетілген жүйелер қолжетімсіз болған жағдайда, оқыс оқиға туралы ақпаратты беру банкті, ұйымды ААӨЖ-да тіркеу кезінде көрсетілген банктің, ұйымның телефон нөмірінен банктің, ұйымның ресми хатымен қағаз тасымалдағышта қайталай отырып, уәкілетті органның интернет-ресурсында "Ақпараттық қауіпсіздік" бөлімінде байланыс үшін көрсетілген уәкілетті органның телефон нөміріне жүзеге асырылады.
4. Банк, ұйым ақпараттық қауіпсіздікті қамтамасыз етудің қабылданған шараларының бұзылғаны туралы не ақпараттық қауіпсіздікке ықтимал қатысы бар жағдай туралы куәландыратын ақпараттық қауіпсіздік жүйелерін қоса алғанда, ақпараттық-коммуникациялық инфрақұрылымның немесе оның жекелеген объектілерінің жұмысында жеке немесе сериялы түрде туындайтын оқиғалар туралы мәліметтерді (бұдан әрі – ақпараттық жүйелердегі бұзушылықтар, іркілістер туралы мәліметтер) ААӨЖ арқылы беруді қамтамасыз етеді. Ақпараттық жүйелердегі бұзушылықтар, іркілістер туралы мәліметтер ақпараттық қауіпсіздік жүйелерінен немесе банктің, ұйымның ақпараттық инфрақұрылымындағы оқиғалар туралы ақпаратты нақты уақытта жинауды және талдауды жүзеге асыратын ұйымның жүйелерінен беру арқылы автоматтандырылған режимде ұсынылады.
Қазақстан Республикасы Ұлттық Банкінің құрылымына кіретін ұйымдар және дауыс беретін акцияларының елу және одан да көп пайызы Қазақстан Республикасының Ұлттық Банкіне тиесілі заңды тұлғалар үшін ақпараттық жүйелердегі бұзушылықтар, іркілістер туралы мәліметтерді Қазақстан Республикасы Ұлттық Банкінің ААӨЖ-мен ықпалдастырылған ақпараттандыру объектілері арқылы беруге рұқсат етіледі.
5. Банк, ұйым банктің, ұйымның ақпараттық-коммуникациялық инфрақұрылым объектілерінде үшінші тараптардан алынған, қорғау шегінен тыс қолжетімді осалдықтар туралы мәліметтерді олар анықталған сәттен бастап жиырма төрт сағат ішінде ААӨЖ арқылы дереу беруді қамтамасыз етеді. Қазақстан Республикасы Ұлттық Банкінің құрылымына кіретін ұйымдар мен дауыс беретін акцияларының елу және одан да көп пайызы Қазақстан Республикасының Ұлттық Банкіне тиесілі заңды тұлғалар үшін осалдықтар туралы мәліметтерді Қазақстан Республикасы Ұлттық Банкінің ААӨЖ-мен интеграцияланған цифрлық жүйелері арқылы беруге жол беріледі.
