В соответствии с пунктами 9 и 10 статьи 55 Закона Республики Казахстан "О банках и банковской деятельности в Республике Казахстан" Правление Агентства Республики Казахстан по регулированию и развитию финансового рынка ПОСТАНОВЛЯЕТ:
1. Утвердить прилагаемые Требования к непрерывности работы информационно-коммуникационной инфраструктуры банков, филиалов банков-нерезидентов Республики Казахстан и организаций, осуществляющих отдельные виды банковских операций.
2. Департаменту информационной и кибербезопасности в установленном законодательством Республики Казахстан порядке обеспечить:
1) совместно с Юридическим департаментом государственную регистрацию настоящего постановления в Министерстве юстиции Республики Казахстан;
2) размещение настоящего постановления на официальном интернет-ресурсе Агентства Республики Казахстан по регулированию и развитию финансового рынка после его официального опубликования;
3) в течение десяти рабочих дней после государственной регистрации настоящего постановления представление в Юридический департамент сведений об исполнении мероприятия, предусмотренного подпунктом 2) настоящего пункта.
3. Контроль за исполнением настоящего постановления возложить на курирующего заместителя Председателя Агентства Республики Казахстан по регулированию и развитию финансового рынка.
4. Настоящее постановление вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования.
|
Председатель Агентства Республики Казахстан по регулированию и развитию финансового рынка |
М. Абылкасымова |
| Утверждены постановлением Правления Агентства Республики Казахстан по регулированию и развитию финансового рынка от 31 марта 2026 года № 36 |
Требования к непрерывности работы информационно-коммуникационной инфраструктуры банков, филиалов банков-нерезидентов Республики Казахстан и организаций, осуществляющих отдельные виды банковских операций
1. Настоящие Требования к непрерывности работы информационно-коммуникационной инфраструктуры банков, филиалов банков-нерезидентов Республики Казахстан и организаций, осуществляющих отдельные виды банковских операций, разработаны в соответствии с пунктами 9 и 10 статьи 55 Закона Республики Казахстан "О банках и банковской деятельности в Республике Казахстан" и определяют требования к непрерывности работы информационно-коммуникационной инфраструктуры банков, филиалов банков-нерезидентов Республики Казахстан и организаций, осуществляющих отдельные виды банковских операций (далее – банк).
2. В Требованиях используются следующие термины и определения:
1) информационный актив – совокупность информации и объекта информационно-коммуникационной инфраструктуры, используемого для ее хранения и (или) обработки. Информационный актив подразделяется на критичный и не критичный и определяется банком на основании уровня убытков от нарушения их конфиденциальности, целостности, доступности;
2) информационно-коммуникационная инфраструктура – совокупность объектов информационно-коммуникационной инфраструктуры, предназначенных для обеспечения функционирования технологической среды в целях формирования электронных информационных ресурсов и предоставления доступа к ним;
3) основной центр (далее – основной центр) – совокупность программно-технических средств и обслуживающего персонала, обеспечивающих оказание банковских услуг в штатном (повседневном) режиме;
4) резервный центр (далее – резервный центр) – совокупность программно-технических средств и обслуживающего персонала, обеспечивающих оказание банковских услуг при возникновении нестандартных ситуаций или проведении плановых технических работ в основном центре;
5) уполномоченный орган – уполномоченный орган по регулированию, контролю и надзору финансового рынка и финансовых организаций;
6) электронные информационные ресурсы – данные в электронно-цифровой форме, содержащиеся на электронном носителе и в объектах информатизации.
3. В целях обеспечения непрерывности информационно-коммуникационной инфраструктуры банки определяют во внутренних документах план восстановления, порядок его пересмотра и тестирования.
4. Разработка плана восстановления осуществляется с учетом следующих факторов:
1) виды и характер нестандартных ситуаций, их степень воздействия на деятельность банка;
2) перечень критичных информационных активов с указанием приоритетности их восстановления;
3) ущерб, возникающий при остановке работы критичных информационных активов, и затраты для восстановления их работы.
5. При указании критичных информационных активов определяются сроки их восстановления.
6. Банк обеспечивает наличие не менее одного резервного центра, находящегося в ином населенном пункте (столице, городе республиканского значения, городе областного значения, городе районного значения), чем основной центр.
Основной и резервный центры банка размещаются на территории Республики Казахстан.
7. Банк обеспечивает каждый центр (основной и резервный) двумя выделенными каналами связи от разных поставщиков (провайдеров) услуг связи.
8. План восстановления содержит следующие условия:
1) наличие и место нахождения резервного центра;
2) перечень бизнес–процессов, критичных информационных активов, технических, программных или других средств, обеспечивающих работу критичных информационных активов, восстановление которых требуется в резервном центре;
3) порядок проведения, периодичность и сценарии тестирования функционирования резервного центра информационной системы;
4) порядок восстановления нарушенных критичных информационных активов после ликвидации последствий нестандартных ситуаций, критерии, позволяющие принять решение о завершении работы в нестандартном режиме, и порядок принятия такого решения, а также порядок возврата в штатный режим функционирования.
9. В целях проверки готовности работы резервного центра и резервных каналов связи для восстановления деятельности критичных информационных активов банк не менее одного раза в год проводит тестирование функционирования резервного центра и резервных каналов связи в соответствии с планом восстановления (далее – тестирование Плана).
10. Тестирование Плана проводится по разработанной и утвержденной банком программе, предусматривающей описание сценария возникновения нестандартной ситуации, восстанавливаемых рабочих процессов и критичных информационных активов, действий команды восстановления, требований по срокам и месту проведения работ.
11. По итогам тестирования Плана банком подготавливается документ о результатах тестирования (протокол) с указанием:
1) перечня критичных информационных активов, по которым проведено тестирование, а также места нахождения основного и резервного центров;
2) времени, затраченного на восстановление работы критичных информационных активов;
3) выявленных уязвимостей и предложений по их устранению.
Сведения о результатах тестирования представляются банком в уполномоченный орган в течение пятнадцати рабочих дней после утверждения документа о результатах тестирования уполномоченным органом банка.
12. При возникновении сбоя (простоя) в работе критичных информационных активов банк обеспечивает восстановление работы основного центра.
При отсутствии возможности восстановления работы основного центра в период минимально допустимого срока восстановления осуществляется перевод критичных информационных активов на работу резервного центра.
Стандартный норматив времени по переводу критичных информационных активов на резервный центр составляет не более четырех часов с момента возникновения сбоя (простоя).
13. В целях организации возобновления доступа клиентов банк предоставляет в уполномоченный орган по защищенным каналам связи перечень актуальных уникальных числовых идентификаторов (IP-адресов) критичных информационных активов, находящихся как в основном, так и в резервном центре. В случае изменения уникальных числовых идентификаторов (IP-адресов) критичных информационных активов, находящихся как в основном, так и в резервном центре, банк информирует уполномоченный орган по защищенным каналам связи.
