Об утверждении Правил и сроков предоставления банками, филиалами банков-нерезидентов Республики Казахстан и организациями, осуществляющими отдельные виды банковских операций, информации об уязвимостях в информационно-коммуникационной инфраструктуре, полученной в том числе от третьих сторон, а также о событиях и инцидентах информационной безопасности, включая сведения о нарушениях и сбоях в информационных системах

Постановление Правления Агентства Республики Казахстан по регулированию и развитию финансового рынка от 31 марта 2026 года № 37. Зарегистрировано в Министерстве юстиции Республики Казахстан 3 апреля 2026 года № 38302

      В соответствии с пунктами 5 и 10 статьи 55 Закона Республики Казахстан "О банках и банковской деятельности в Республике Казахстан" Правление Агентства Республики Казахстан по регулированию и развитию финансового рынка ПОСТАНОВЛЯЕТ:

      1. Утвердить прилагаемые Правила и сроки предоставления банками, филиалами банков-нерезидентов Республики Казахстан и организациями, осуществляющими отдельные виды банковских операций, информации об уязвимостях в информационно-коммуникационной инфраструктуре, полученной в том числе от третьих сторон, а также о событиях и инцидентах информационной безопасности, включая сведения о нарушениях и сбоях в информационных системах.

      2. Департаменту информационной и кибербезопасности в установленном законодательством Республики Казахстан порядке обеспечить:

      1) совместно с Юридическим департаментом государственную регистрацию настоящего постановления в Министерстве юстиции Республики Казахстан;

      2) размещение настоящего постановления на официальном интернет-ресурсе Агентства Республики Казахстан по регулированию и развитию финансового рынка после его официального опубликования;

      3) в течение десяти рабочих дней после государственной регистрации настоящего постановления представление в Юридический департамент сведений об исполнении мероприятия, предусмотренного подпунктом 2) настоящего пункта.

      3. Контроль за исполнением настоящего постановления возложить на курирующего заместителя Председателя Агентства Республики Казахстан по регулированию и развитию финансового рынка.

      4. Настоящее постановление вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования.

      Председатель Агентства
Республики Казахстан по регулированию
и развитию финансового рынка 		М. Абылкасымова

  Утверждены постановлением
Правления Агентства
Республики Казахстан
по регулированию и развитию
финансового рынка
от 31 марта 2026 года
№ 37

Правила и сроки предоставления банками, филиалами банков-нерезидентов Республики Казахстан и организациями, осуществляющими отдельные виды банковских операций, информации об уязвимостях в информационно-коммуникационной инфраструктуре, полученной в том числе от третьих сторон, а также о событиях и инцидентах информационной безопасности, включая сведения о нарушениях и сбоях в информационных системах

      1. Настоящие Правила и сроки предоставления банками, филиалами банков-нерезидентов Республики Казахстан и организациями, осуществляющими отдельные виды банковских операций, информации об уязвимостях в информационно-коммуникационной инфраструктуре, полученной в том числе от третьих сторон, а также о событиях и инцидентах информационной безопасности, включая сведения о нарушениях и сбоях в информационных системах (далее – Правила) разработаны в соответствии с пунктами 5 и 10 статьи 55 Закона Республики Казахстан "О банках и банковской деятельности в Республике Казахстан" и определяют порядок и сроки предоставления банками, филиалами банков-нерезидентов Республики Казахстан (далее – банк) и организациями, осуществляющими отдельные виды банковских операций (далее – организация), информации об инцидентах информационной безопасности, включая сведения о нарушениях, сбоях в информационных системах.

      2. В Правилах используются понятия, предусмотренные Законом Республики Казахстан "Об информатизации", а также следующие понятия:

      1) информационная безопасность в сфере информатизации (далее – информационная безопасность) – состояние защищенности электронных информационных ресурсов, информационных систем и информационно-коммуникационной инфраструктуры от внешних и внутренних угроз;

      2) информационно-коммуникационная инфраструктура (далее – информационная инфраструктура) – совокупность объектов информационно-коммуникационной инфраструктуры, предназначенных для обеспечения функционирования технологической среды в целях формирования электронных информационных ресурсов и предоставления доступа к ним;

      3) угроза информационной безопасности – совокупность условий и факторов, создающих предпосылки к возникновению инцидента информационной безопасности;

      4) инцидент информационной безопасности – отдельно или серийно возникающие сбои в работе информационно-коммуникационной инфраструктуры или отдельных ее объектов, создающие угрозу их надлежащему функционированию и (или) условия для незаконного получения, копирования, распространения, модификации, уничтожения или блокирования электронных информационных ресурсов банка, организации;

      5) периметр защиты информационно-коммуникационной инфраструктуры – совокупность программно-аппаратных средств, отделяющих информационно-коммуникационную инфраструктуру банка, организации от внешних информационных сетей и реализующих защиту от угроз информационной безопасности;

      6) доступ – возможность использования информационных активов;

      7) атака типа "отказ в обслуживании" – атака на информационную систему с целью нарушения штатного режима ее работы или создание условий, при которых легальные пользователи системы не могут получить доступ к предоставляемым ресурсам, либо этот доступ затруднен;

      8) уязвимость – недостаток объекта информатизации, использование которого может привести к нарушению целостности и (или) конфиденциальности, и (или) доступности объекта информатизации;

      9) уполномоченный орган – уполномоченный орган по регулированию, контролю и надзору финансового рынка и финансовых организаций.

      3. Банк, организация предоставляют в уполномоченный орган информацию о следующих выявленных инцидентах информационной безопасности:

      1) эксплуатация уязвимостей в прикладном и системном программном обеспечении;

      2) несанкционированный доступ в информационную систему;

      3) атака "отказ в обслуживании" на информационную систему или сеть передачи данных;

      4) заражение сервера вредоносной программой или кодом;

      5) совершение несанкционированного перевода денежных средств вследствие нарушения контролей информационной безопасности;

      6) нарушение работы банковских систем идентификации и аутентификации клиента;

      7) иных инцидентах информационной безопасности, повлекших простои информационных систем более одного часа.

      Информация об инцидентах информационной безопасности, указанных в настоящем пункте, предоставляется банком или организацией в течение двадцати четырех часов с момента выявления инцидента, посредством автоматизированной системы уполномоченного органа, предназначенной для обработки информации о событиях и инцидентах информационной безопасности (далее – АСОИ) и интегрированной с системами информационной безопасности или системами банка, организации, осуществляющими в реальном времени сбор и анализ информации о событиях в информационной инфраструктуре или в электронном формате с использованием транспортной системы гарантированной доставки информации с криптографическими средствами защиты, обеспечивающей конфиденциальность и некорректируемость представляемых данных.

      В случае недоступности вышеуказанных систем передача информации об инциденте осуществляется с телефонного номера банка, организации, указанного при регистрации банка, организации в АСОИ, на телефонный номер уполномоченного органа, указанный для связи на интернет ресурсе уполномоченного органа в разделе "Информационная безопасность" с дублированием на бумажном носителе официальным письмом банка, организации.

      4. Банк, организация обеспечивают передачу сведений об отдельно или серийно возникающих событиях в работе информационно-коммуникационной инфраструктуры или отдельных ее объектов, включая системы информационной безопасности, свидетельствующих о нарушении принятых мер обеспечения информационной безопасности либо о ситуации, потенциально имеющей отношение к информационной безопасности (далее – сведения о нарушениях, сбоях в информационных системах) посредством АСОИ. Сведения о нарушениях, сбоях в информационных системах предоставляются в автоматизированном режиме путем передачи из систем информационной безопасности или систем банка, организации, осуществляющих в реальном времени сбор и анализ информации о событиях в информационной инфраструктуре банка, организации.

      Для организаций, входящих в структуру Национального Банка Республики Казахстан, и юридических лиц, пятьдесят и более процентов голосующих акций которых принадлежат Национальному Банку Республики Казахстан, допускается передача сведений о нарушениях, сбоях в информационных системах посредством объектов информатизации Национального Банка Республики Казахстан, интегрированных с АСОИ.

      5. Банк, организация обеспечивает передачу сведений посредством АСОИ о полученных в том числе от третьих сторон уязвимостях в информационно-коммуникационной инфраструктуре банка, организации, доступных извне периметра защиты, в течение двадцати четырех часов с момента их выявления. Для организаций, входящих в структуру Национального Банка Республики Казахстан, и юридических лиц, пятьдесят и более процентов голосующих акций которых принадлежат Национальному Банку Республики Казахстан, допускается передача сведений об уязвимостях посредством цифровых систем Национального Банка Республики Казахстан, интегрированных с АСОИ.

Банктердің, Қазақстан Республикасының бейрезидент банктері филиалдарының және банк операцияларының жекелеген түрлерін жүзеге асыратын ұйымдардың ақпараттық-коммуникациялық инфрақұрылымдағы осалдықтар туралы, оның ішінде үшінші тараптардан алынған, сондай-ақ ақпараттық жүйелердегі бұзушылықтар мен іркілістер туралы мәліметтерді қоса алғанда, ақпараттық қауіпсіздіктің оқиғалары мен оқыс оқиғалары туралы ақпаратты беру қағидаларын және мерзімдерін бекіту туралы

Қазақстан Республикасы Қаржы нарығын реттеу және дамыту агенттігі Басқармасының 2026 жылғы 31 наурыздағы № 37 қаулысы. Қазақстан Республикасының Әділет министрлігінде 2026 жылғы 3 сәуірде № 38302 болып тіркелді

      "Қазақстан Республикасындағы банктер және банк қызметі туралы" Қазақстан Республикасының Заңы 55-бабының 5 және 10-тармақтарына сәйкес Қазақстан Республикасы Қаржы нарығын реттеу және дамыту агенттігінің Басқармасы ҚАУЛЫ ЕТЕДІ:

      1. Қоса беріліп отырған Банктердің, Қазақстан Республикасының бейрезидент банктері филиалдарының және және банк операцияларының жекелеген түрлерін жүзеге асыратын ұйымдардың ақпараттық-коммуникациялық инфрақұрылымдағы осалдықтар туралы, оның ішінде үшінші тараптардан алынған, сондай-ақ ақпараттық жүйелердегі бұзушылықтар мен іркілістер туралы мәліметтерді қоса алғанда, ақпараттық қауіпсіздіктің оқиғалары мен оқыс оқиғалары туралы ақпаратты беру қағидалары және мерзімдері бекітілсін.

      2. Ақпараттық және киберқауіпсіздік департаменті Қазақстан Республикасының заңнамасында белгіленген тәртіппен:

      1) Заң департаментімен бірлесіп осы қаулыны Қазақстан Республикасының Әділет министрлігінде мемлекеттік тіркеуді;

      2) осы қаулыны ресми жарияланғаннан кейін Қазақстан Республикасы Қаржы нарығын реттеу және дамыту агенттігінің ресми интернет-ресурсына орналастыруды;

      3) осы қаулы мемлекеттік тіркелгеннен кейін он жұмыс күні ішінде Заң департаментіне осы тармақтың 2) тармақшасында көзделген іс-шараның орындалуы туралы мәліметтерді ұсынуды қамтамасыз етсін.

      3. Осы қаулының орындалуын бақылау Қазақстан Республикасының Қаржы нарығын реттеу және дамыту агенттігі Төрағасының жетекшілік ететін орынбасарына жүктелсін.

      4. Осы қаулы алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі.

      Қазақстан Республикасының
Қаржы нарығын реттеу және дамыту
Агенттігінің Төрағасы 		М. Абылкасымова

  Қазақстан Республикасының
Қаржы нарығын реттеу және
дамыту Агенттігінің
Басқармасының
2026 жылғы 31 наурыздағы
№ 37 қаулысымен бекітілді

Банктердің, Қазақстан Республикасының бейрезидент банктері филиалдарының және банк операцияларының жекелеген түрлерін жүзеге асыратын ұйымдардың ақпараттық-коммуникациялық инфрақұрылымдағы осалдықтар туралы, оның ішінде үшінші тараптардан алынған, сондай-ақ ақпараттық жүйелердегі бұзушылықтар мен іркілістер туралы мәліметтерді қоса алғанда, ақпараттық қауіпсіздіктің оқиғалары мен оқыс оқиғалары туралы ақпаратты беру қағидалары және мерзімдері

      1. Осы Банктердің, Қазақстан Республикасының бейрезидент банктері филиалдарының және және банк операцияларының жекелеген түрлерін жүзеге асыратын ұйымдардың ақпараттық-коммуникациялық инфрақұрылымдағы осалдықтар туралы, оның ішінде үшінші тараптардан алынған, сондай-ақ ақпараттық жүйелердегі бұзушылықтар мен іркілістер туралы мәліметтерді қоса алғанда, ақпараттық қауіпсіздіктің оқиғалары мен оқыс оқиғалары туралы ақпаратты беру қағидалары және мерзімдері (бұдан әрі – Қағидалар) "Қазақстан Республикасындағы банктер және банк қызметі туралы" Қазақстан Республикасының Заңы 55-бабының 5 және 10-тармақтарына сәйкес әзірленді және банктердің, Қазақстан Республикасының бейрезидент банктері филиалдарының (бұдан әрі – банк) және банк операцияларының жекелеген түрлерін жүзеге асыратын ұйымдардың (бұдан әрі – ұйым) ақпараттық жүйелердегі бұзушылықтар мен іркілістер туралы мәліметтерді қоса алғанда, ақпараттық қауіпсіздіктің оқыс оқиғалары туралы ақпаратты беру тәртібін және мерзімдерін айқындайды.

      2. Қағидаларда "Ақпараттандыру туралы" Қазақстан Республикасының Заңында көзделген ұғымдар, сондай-ақ мынадай ұғымдар пайдаланылады:

      1) ақпараттандыру саласындағы ақпараттық қауіпсіздік (бұдан әрі – ақпараттық қауіпсіздік) – электрондық ақпараттық ресурстардың, ақпараттық жүйелердің және ақпараттық-коммуникациялық инфрақұрылымның сыртқы және ішкі қатерлерден қорғалуының жай-күйі;

      2) ақпараттық-коммуникациялық инфрақұрылым (бұдан әрі – ақпараттық инфрақұрылым) – электрондық ақпараттық ресурстарды қалыптастыру және оларға қолжетімділік беру мақсатында технологиялық ортаның жұмыс істеуін қамтамасыз етуге арналған ақпараттық-коммуникациялық инфрақұрылым объектілерінің жиынтығы;

      3) ақпараттық қауіпсіздік қатері – ақпараттық қауіпсіздіктің оқыс оқиғасының туындауына алғышарттар жасайтын жағдайлар мен факторлардың жиынтығы;

      4) ақпараттық қауіпсіздіктің оқыс оқиғасы – ақпараттық-коммуникациялық инфрақұрылымның немесе оның жекелеген объектілерінің жұмысында жеке немесе сериялық туындайтын, олардың тиісінше жұмыс істеуіне қауіп келтіретін және (немесе) банктің, ұйымның электрондық ақпараттық ресурстарын заңсыз алу, көшіру, тарату, модификациялау, жою немесе бұғаттауға арналған талаптар;

      5) ақпараттық-коммуникациялық инфрақұрылымды қорғау шегі – банктің, ұйымның ақпараттық-коммуникациялық инфрақұрылымын сыртқы ақпараттық желілерден оқшаулайтын және ақпараттық қауіпсіздік қауіпінен қорғауды іске асыратын бағдарламалық-аппараттық құралдардың жиынтығы;

      6) кіру – ақпараттық активтерді пайдалану мүмкіндігі;

      7) "қызмет көрсетуден бас тарту" түріндегі шабуыл – ақпараттық жүйе жұмысының штаттық режимін бұзу мақсатында ақпараттық жүйеге шабуыл жасау немесе жүйенің заңды пайдаланушылары ұсынылатын ресурстарға қолжетімділік ала алмайтын, не бұл қолжетімділік қиын болатын жағдайлар жасау;

      8) осалдық – пайдаланылуы ақпараттандыру объектісі тұтастығының және (немесе) құпиялылығының және (немесе) қолжетімділігінің бұзылуына алып келуі мүмкін ақпараттандыру объектісінің кемшілігі;

      9) уәкілетті орган – қаржы нарығы мен қаржы ұйымдарын реттеу, бақылау және қадағалау жөніндегі уәкілетті орган.

      3. Банк, ұйым уәкілетті органға ақпараттық қауіпсіздіктің мынадай анықталған оқыс оқиғалары туралы ақпаратты ұсынады:

      1) қолданбалы және жүйелік бағдарламалық қамтылымдағы осалдықтарды пайдалану;

      2) ақпараттық жүйеге санкцияланбаған кіру;

      3) ақпараттық жүйеге немесе деректерді беру желісіне "қызмет көрсетуден бас тарту" шабуылы;

      4) сервердің зиянды бағдарламамен немесе кодпен зақымдануы;

      5) ақпараттық қауіпсіздікті бақылауды бұзу салдарынан ақша қаражатын санкцияланбай аударуды жүзеге асыру;

      6) клиенттің сәйкестендіру және бірдейлендіру банк жүйелерінің жұмысын бұзу;

      7) ақпараттық жүйелердің бір сағаттан артық тұрып қалуына әкеп соққан ақпараттық қауіпсіздіктің өзге де оқыс оқиғалары.

      Осы тармақта көрсетілген ақпараттық қауіпсіздіктің оқыс оқиғалары туралы ақпаратты банк немесе ұйым оқыс оқиға анықталған сәттен бастап жиырма төрт сағат ішінде ақпараттық қауіпсіздік оқиғалары мен оқыс оқиғалары туралы ақпаратты өңдеуге арналған және ақпараттық қауіпсіздік жүйелерімен немесе ақпараттық инфрақұрылымдағы оқиғалар туралы ақпаратты нақты уақытта жинауды және талдауды жүзеге асыратын банктің, ұйымның жүйелерімен ықпалдастырылған уәкілетті органның автоматтандырылған жүйесі (бұдан әрі – ААӨЖ) арқылы немесе ұсынылатын деректердің конфиденциалдығын және түзетілмеуін қамтамасыз ететін криптографиялық қорғау құралдары бар ақпараттың жеткізілуіне кепілдік беретін тасымалдау жүйесін пайдалана отырып, электрондық форматта дереу береді.

      Жоғарыда көрсетілген жүйелер қолжетімсіз болған жағдайда, оқыс оқиға туралы ақпаратты беру банкті, ұйымды ААӨЖ-да тіркеу кезінде көрсетілген банктің, ұйымның телефон нөмірінен банктің, ұйымның ресми хатымен қағаз тасымалдағышта қайталай отырып, уәкілетті органның интернет-ресурсында "Ақпараттық қауіпсіздік" бөлімінде байланыс үшін көрсетілген уәкілетті органның телефон нөміріне жүзеге асырылады.

      4. Банк, ұйым ақпараттық қауіпсіздікті қамтамасыз етудің қабылданған шараларының бұзылғаны туралы не ақпараттық қауіпсіздікке ықтимал қатысы бар жағдай туралы куәландыратын ақпараттық қауіпсіздік жүйелерін қоса алғанда, ақпараттық-коммуникациялық инфрақұрылымның немесе оның жекелеген объектілерінің жұмысында жеке немесе сериялы түрде туындайтын оқиғалар туралы мәліметтерді (бұдан әрі – ақпараттық жүйелердегі бұзушылықтар, іркілістер туралы мәліметтер) ААӨЖ арқылы беруді қамтамасыз етеді. Ақпараттық жүйелердегі бұзушылықтар, іркілістер туралы мәліметтер ақпараттық қауіпсіздік жүйелерінен немесе банктің, ұйымның ақпараттық инфрақұрылымындағы оқиғалар туралы ақпаратты нақты уақытта жинауды және талдауды жүзеге асыратын ұйымның жүйелерінен беру арқылы автоматтандырылған режимде ұсынылады.

      Қазақстан Республикасы Ұлттық Банкінің құрылымына кіретін ұйымдар және дауыс беретін акцияларының елу және одан да көп пайызы Қазақстан Республикасының Ұлттық Банкіне тиесілі заңды тұлғалар үшін ақпараттық жүйелердегі бұзушылықтар, іркілістер туралы мәліметтерді Қазақстан Республикасы Ұлттық Банкінің ААӨЖ-мен ықпалдастырылған ақпараттандыру объектілері арқылы беруге рұқсат етіледі.

      5. Банк, ұйым банктің, ұйымның ақпараттық-коммуникациялық инфрақұрылым объектілерінде үшінші тараптардан алынған, қорғау шегінен тыс қолжетімді осалдықтар туралы мәліметтерді олар анықталған сәттен бастап жиырма төрт сағат ішінде ААӨЖ арқылы дереу беруді қамтамасыз етеді. Қазақстан Республикасы Ұлттық Банкінің құрылымына кіретін ұйымдар мен дауыс беретін акцияларының елу және одан да көп пайызы Қазақстан Республикасының Ұлттық Банкіне тиесілі заңды тұлғалар үшін осалдықтар туралы мәліметтерді Қазақстан Республикасы Ұлттық Банкінің ААӨЖ-мен интеграцияланған цифрлық жүйелері арқылы беруге жол беріледі.