Об утверждении Требований к непрерывности работы информационно-коммуникационной инфраструктуры банков, филиалов банков-нерезидентов Республики Казахстан и организаций, осуществляющих отдельные виды банковских операций

Постановление Правления Агентства Республики Казахстан по регулированию и развитию финансового рынка от 31 марта 2026 года № 36. Зарегистрировано в Министерстве юстиции Республики Казахстан 3 апреля 2026 года № 38303

      В соответствии с пунктами 9 и 10 статьи 55 Закона Республики Казахстан "О банках и банковской деятельности в Республике Казахстан" Правление Агентства Республики Казахстан по регулированию и развитию финансового рынка ПОСТАНОВЛЯЕТ:

      1. Утвердить прилагаемые Требования к непрерывности работы информационно-коммуникационной инфраструктуры банков, филиалов банков-нерезидентов Республики Казахстан и организаций, осуществляющих отдельные виды банковских операций.

      2. Департаменту информационной и кибербезопасности в установленном законодательством Республики Казахстан порядке обеспечить:

      1) совместно с Юридическим департаментом государственную регистрацию настоящего постановления в Министерстве юстиции Республики Казахстан;

      2) размещение настоящего постановления на официальном интернет-ресурсе Агентства Республики Казахстан по регулированию и развитию финансового рынка после его официального опубликования;

      3) в течение десяти рабочих дней после государственной регистрации настоящего постановления представление в Юридический департамент сведений об исполнении мероприятия, предусмотренного подпунктом 2) настоящего пункта.

      3. Контроль за исполнением настоящего постановления возложить на курирующего заместителя Председателя Агентства Республики Казахстан по регулированию и развитию финансового рынка.

      4. Настоящее постановление вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования.

      Председатель Агентства
Республики Казахстан по регулированию и
развитию финансового рынка 		М. Абылкасымова

  Утверждены
постановлением Правления
Агентства Республики
Казахстан по регулированию и
развитию финансового рынка
от 31 марта 2026 года
№ 36

Требования к непрерывности работы информационно-коммуникационной инфраструктуры банков, филиалов банков-нерезидентов Республики Казахстан и организаций, осуществляющих отдельные виды банковских операций

      1. Настоящие Требования к непрерывности работы информационно-коммуникационной инфраструктуры банков, филиалов банков-нерезидентов Республики Казахстан и организаций, осуществляющих отдельные виды банковских операций, разработаны в соответствии с пунктами 9 и 10 статьи 55 Закона Республики Казахстан "О банках и банковской деятельности в Республике Казахстан" и определяют требования к непрерывности работы информационно-коммуникационной инфраструктуры банков, филиалов банков-нерезидентов Республики Казахстан и организаций, осуществляющих отдельные виды банковских операций (далее – банк).

      2. В Требованиях используются следующие термины и определения:

      1) информационный актив – совокупность информации и объекта информационно-коммуникационной инфраструктуры, используемого для ее хранения и (или) обработки. Информационный актив подразделяется на критичный и не критичный и определяется банком на основании уровня убытков от нарушения их конфиденциальности, целостности, доступности;

      2) информационно-коммуникационная инфраструктура – совокупность объектов информационно-коммуникационной инфраструктуры, предназначенных для обеспечения функционирования технологической среды в целях формирования электронных информационных ресурсов и предоставления доступа к ним;

      3) основной центр (далее – основной центр) – совокупность программно-технических средств и обслуживающего персонала, обеспечивающих оказание банковских услуг в штатном (повседневном) режиме;

      4) резервный центр (далее – резервный центр) – совокупность программно-технических средств и обслуживающего персонала, обеспечивающих оказание банковских услуг при возникновении нестандартных ситуаций или проведении плановых технических работ в основном центре;

      5) уполномоченный орган – уполномоченный орган по регулированию, контролю и надзору финансового рынка и финансовых организаций;

      6) электронные информационные ресурсы – данные в электронно-цифровой форме, содержащиеся на электронном носителе и в объектах информатизации.

      3. В целях обеспечения непрерывности информационно-коммуникационной инфраструктуры банки определяют во внутренних документах план восстановления, порядок его пересмотра и тестирования.

      4. Разработка плана восстановления осуществляется с учетом следующих факторов:

      1) виды и характер нестандартных ситуаций, их степень воздействия на деятельность банка;

      2) перечень критичных информационных активов с указанием приоритетности их восстановления;

      3) ущерб, возникающий при остановке работы критичных информационных активов, и затраты для восстановления их работы.

      5. При указании критичных информационных активов определяются сроки их восстановления.

      6. Банк обеспечивает наличие не менее одного резервного центра, находящегося в ином населенном пункте (столице, городе республиканского значения, городе областного значения, городе районного значения), чем основной центр.

      Основной и резервный центры банка размещаются на территории Республики Казахстан.

      7. Банк обеспечивает каждый центр (основной и резервный) двумя выделенными каналами связи от разных поставщиков (провайдеров) услуг связи.

      8. План восстановления содержит следующие условия:

      1) наличие и место нахождения резервного центра;

      2) перечень бизнес–процессов, критичных информационных активов, технических, программных или других средств, обеспечивающих работу критичных информационных активов, восстановление которых требуется в резервном центре;

      3) порядок проведения, периодичность и сценарии тестирования функционирования резервного центра информационной системы;

      4) порядок восстановления нарушенных критичных информационных активов после ликвидации последствий нестандартных ситуаций, критерии, позволяющие принять решение о завершении работы в нестандартном режиме, и порядок принятия такого решения, а также порядок возврата в штатный режим функционирования.

      9. В целях проверки готовности работы резервного центра и резервных каналов связи для восстановления деятельности критичных информационных активов банк не менее одного раза в год проводит тестирование функционирования резервного центра и резервных каналов связи в соответствии с планом восстановления (далее – тестирование Плана).

      10. Тестирование Плана проводится по разработанной и утвержденной банком программе, предусматривающей описание сценария возникновения нестандартной ситуации, восстанавливаемых рабочих процессов и критичных информационных активов, действий команды восстановления, требований по срокам и месту проведения работ.

      11. По итогам тестирования Плана банком подготавливается документ о результатах тестирования (протокол) с указанием:

      1) перечня критичных информационных активов, по которым проведено тестирование, а также места нахождения основного и резервного центров;

      2) времени, затраченного на восстановление работы критичных информационных активов;

      3) выявленных уязвимостей и предложений по их устранению.

      Сведения о результатах тестирования представляются банком в уполномоченный орган в течение пятнадцати рабочих дней после утверждения документа о результатах тестирования уполномоченным органом банка.

      12. При возникновении сбоя (простоя) в работе критичных информационных активов банк обеспечивает восстановление работы основного центра.

      При отсутствии возможности восстановления работы основного центра в период минимально допустимого срока восстановления осуществляется перевод критичных информационных активов на работу резервного центра.

      Стандартный норматив времени по переводу критичных информационных активов на резервный центр составляет не более четырех часов с момента возникновения сбоя (простоя).

      13. В целях организации возобновления доступа клиентов банк предоставляет в уполномоченный орган по защищенным каналам связи перечень актуальных уникальных числовых идентификаторов (IP-адресов) критичных информационных активов, находящихся как в основном, так и в резервном центре. В случае изменения уникальных числовых идентификаторов (IP-адресов) критичных информационных активов, находящихся как в основном, так и в резервном центре, банк информирует уполномоченный орган по защищенным каналам связи.

Банктердің, Қазақстан Республикасының бейрезидент-банктері филиалдарының және банк операцияларының жекелеген түрлерін жүзеге асыратын ұйымдардың ақпараттық-коммуникациялық инфрақұрылымы жұмысының үздіксіздігіне қойылатын талаптарды бекіту туралы

Қазақстан Республикасы Қаржы нарығын реттеу және дамыту агенттігі Басқармасының 2026 жылғы 31 наурыздағы № 36 қаулысы. Қазақстан Республикасының Әділет министрлігінде 2026 жылғы 3 сәуірде № 38303 болып тіркелді

      "Қазақстан Республикасындағы банктер және банк қызметі туралы" Қазақстан Республикасының Заңы 55-бабының 9 және 10-тармақтарына сәйкес Қазақстан Республикасы Қаржы нарығын реттеу және дамыту агенттігінің Басқармасы ҚАУЛЫ ЕТЕДІ:

      1. Қоса беріліп отырған Банктердің, Қазақстан Республикасының бейрезидент-банктері филиалдарының және банк операцияларының жекелеген түрлерін жүзеге асыратын ұйымдардың ақпараттық-коммуникациялық инфрақұрылымы жұмысының үздіксіздігіне қойылатын талаптар бекітілсін.

      2. Ақпараттық және киберқауіпсіздік департаменті Қазақстан Республикасының заңнамасында белгіленген тәртіппен:

      1) Заң департаментімен бірлесіп осы қаулы Қазақстан Республикасының Әділет министрлігінде мемлекеттік тіркеуді;

      2) осы қаулыны ресми жарияланғаннан кейін Қазақстан Республикасы Қаржы нарығын реттеу және дамыту агенттігінің ресми интернет-ресурсына орналастыруды;

      3) осы қаулы мемлекеттік тіркелгеннен кейін он жұмыс күні ішінде Заң департаментіне осы тармақтың 2) тармақшасында көзделген іс-шараның орындалуы туралы мәліметтерді ұсынуды қамтамасыз етсін.

      3. Осы қаулының орындалуын бақылау Қазақстан Республикасы Қаржы нарығын реттеу және дамыту агенттігі Төрағасының жетекшілік ететін орынбасарына жүктелсін.

      4. Осы қаулы алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі.

      Қазақстан Республикасының Қаржы нарығын реттеу және дамыту Агенттігінің Төрағасы

      М. Абылкасымова

  Қазақстан Республикасы
  Қаржы нарығын реттеу
  және дамыту агенттігі
  Басқармасының 202_ жылғы
  2026 жылғы 31 наурыздағы
  № 36 қаулысымен
  бекітілген

Банктердің, Қазақстан Республикасының бейрезидент-банктері филиалдарының және банк операцияларының жекелеген түрлерін жүзеге асыратын ұйымдардың ақпараттық-коммуникациялық инфрақұрылымы жұмысының үздіксіздігіне қойылатын талаптар

      1. Осы Банктердің, Қазақстан Республикасының бейрезидент-банктері филиалдарының және банк операцияларының жекелеген түрлерін жүзеге асыратын ұйымдардың ақпараттық-коммуникациялық инфрақұрылымы жұмысының үздіксіздігіне қойылатын талаптар "Қазақстан Республикасындағы банктер және банк қызметі туралы" Қазақстан Республикасының Заңы 55-бабының 9 және 10-тармақтарына сәйкес әзірленді және банктердің, Қазақстан Республикасының бейрезидент-банктері филиалдарының және банк операцияларының жекелеген түрлерін жүзеге асыратын ұйымдардың (бұдан әрі – банк) ақпараттық-коммуникациялық инфрақұрылымы жұмысының үздіксіздігіне қойылатын талаптарды айқындайды.

      2. Талаптарда мынадай терминдер мен анықтамалар қолданылады:

      1) ақпараттық актив - сақтау және (немесе) өңдеу үшін пайдаланылатын ақпарат пен ақпараттық-коммуникациялық инфрақұрылым объектісінің жиынтығы. Ақпараттық актив маңызды және маңызды емес болып бөлінеді және банк олардың құпиялылығын, тұтастығын, қолжетімділігін бұзу салдарынан болған шығындар деңгейі негізінде айқындайды;

      2) ақпараттық-коммуникациялық инфрақұрылым – электрондық ақпараттық ресурстарды қалыптастыру және оларға қол жеткізуді ұсыну мақсатында технологиялық ортаның жұмыс істеуін қамтамасыз етуге арналған ақпараттық-коммуникациялық инфрақұрылым объектілерінің жиынтығы;

      3) негізгі орталық (бұдан әрі – негізгі орталық) – штаттық (күнделікті) режимде банктік қызметтер көрсетуді қамтамасыз ететін бағдарламалық-техникалық құралдар мен қызмет көрсетуші қызметкерлердің жиынтығы;

      4) резервтік орталық (бұдан әрі – резервтік орталық) – стандартты емес жағдайлар туындаған немесе негізгі орталықта жоспарлы техникалық жұмыстар жүргізілген кезде банктік қызметтер көрсетуді қамтамасыз ететін бағдарламалық-техникалық құралдар мен қызмет көрсетуші қызметкерлердің жиынтығы;

      5) уәкілетті орган – Қаржы нарығы мен қаржы ұйымдарын реттеу, бақылау және қадағалау жөніндегі уәкілетті орган;

      6) электрондық ақпараттық ресурстар – электрондық тасымалдағышта және ақпараттандыру объектілерінде қамтылатын электрондық-цифрлық нысандағы деректер.

      3. Ақпараттық-коммуникациялық инфрақұрылымның үздіксіздігін қамтамасыз ету мақсатында банктер ішкі құжаттарында қалыпқа келтіру жоспарын, оны қайта қарау және тестілеу тәртібін айқындайды.

      4. Қалыпқа келтіру жоспарын әзірлеу мынадай факторлар ескеріле отырып жүзеге асырылады:

      1) стандартты емес жағдайлардың түрлері мен сипаты, олардың банк қызметіне әсер ету дәрежесі;

      2) ақпараттық активтерді қалпына келтірудің басымдығы көрсетілген маңызды ақпараттық активтердің тізбесі;

      3) маңызды ақпараттық активтердің жұмысы тоқтаған кезде туындайтын залал және олардың жұмысын қалпына келтіруге кететін шығындар.

      5. Маңызды ақпараттық активтерді көрсеткен кезде оларды қалпына келтіру мерзімдері айқындалады.

      6. Банк негізгі орталыққа қарағанда өзге елді-мекенде (астанада, республикалық маңызы бар қалада, облыстық маңызы бар қалада, аудандық маңызы бар қалада) орналасқан кемінде бір резервтік орталықтың болуын қамтамасыз етеді.

      Банктің негізгі және резервтік орталықтары Қазақстан Республикасының аумағында орналастырылады.

      7. Банк әр орталықты (негізгі және резервтік) түрлі байланыс қызметтерін жеткізушілерден (провайдерлерден) бөлінген екі байланыс арнасымен қамтамасыз етеді.

      8. Қалыпқа келтіру жоспары мынадай шарттардан тұрады:

      1) резервтік орталықтың болуы және орналасқан жері;

      2) резервтік орталықта қалпына келтіру талап етілетін маңызды ақпараттық активтердің жұмысын қамтамасыз ететін бизнес-процестердің, маңызды ақпараттық активтердің, техникалық, бағдарламалық немесе басқа құралдардың тізбесі;

      3) ақпараттық жүйенің резервтік орталығының жұмыс істеуін тестілеуді өткізу тәртібі, кезеңділігі және сценарийлері;

      4) стандартты емес жағдайлардың салдарын жойғаннан кейін бұзылған маңызды ақпараттық активтерді қалпына келтіру тәртібі, стандартты емес режимде жұмысты аяқтау туралы шешім қабылдауға мүмкіндік беретін өлшемшарттар және осындай шешім қабылдау тәртібі, сондай-ақ штатты жұмыс істеу режиміне қайтару тәртібі.

      9. Маңызды ақпараттық активтердің қызметін қалпына келтіру үшін резервтік орталықтың және резервтік байланыс арналары жұмысының дайындығын тексеру мақсатында банк жылына кемінде бір рет қалпына келтіру жоспарына сәйкес резервтік орталықтың және резервтік байланыс арналарының жұмысын тестілеуді (бұдан әрі – Жоспарды тестілеу) жүргізеді.

      10. Жоспарды тестілеу банк әзірлеген және бекіткен бағдарлама бойынша жүргізіледі, ол стандартты емес жағдайдың туындау сценарийін, қалпына келтірілетін жұмыс процестерін және маңызды ақпараттық активтерді, қалпына келтіру командасының іс-қимылдарының, жұмыстарды жүргізу мерзімі мен орны бойынша талаптарды сипаттауды көздейді.

      11. Жоспарды тестілеу қорытындысы бойынша банк мыналарды:

      1) тестілеу жүргізілген маңызды ақпараттық активтердің тізбесін, сондай-ақ негізгі және резервтік орталықтардың орналасқан жерін;

      2) маңызды ақпараттық активтердің жұмысын қалпына келтіруге жұмсалған уақытты;

      3) анықталған осалдықтар мен оларды жою жөніндегі ұсыныстарды көрсете отырып, тестілеу нәтижелері туралы құжат (хаттама) дайындайды.

      4) Банк тестілеу нәтижелері туралы мәліметтерді банктің уәкілетті органы тестілеу нәтижелері туралы құжатты бекіткеннен кейін он бес жұмыс күні ішінде уәкілетті органға ұсынады.

      12. Маңызды ақпараттық активтердің жұмысында іркіліс (тоқтап қалу) туындаған кезде банк негізгі орталықтың жұмысын қалпына келтіруді қамтамасыз етеді.

      Қалпына келтірудің ең аз рұқсат етілген мерзімі кезеңінде негізгі орталықтың жұмысын қалпына келтіру мүмкіндігі болмаған кезде маңызды ақпараттық активтерді резервтік орталықтың жұмысына ауыстыру жүзеге асырылады.

      Маңызды ақпараттық активтерді резервтік орталыққа ауыстыру бойынша уақыттың стандартты нормативі іркіліс (тоқтап қалу) туындаған сәттен бастап төрт сағаттан аспайды.

      13. Клиенттердің қолжетімділігін қайта жандандыруды ұйымдастыру мақсатында банк қорғалған байланыс арналары бойынша уәкілетті органға негізгі, сол сияқты резервтік орталықтағы маңызды ақпараттық активтердің өзекті бірегей сандық идентификаторларының (IP-мекенжайларының) тізбесін ұсынады. Негізгі, сол сияқты резервтік орталықтағы маңызды ақпараттық активтердің бірегей сандық идентификаторлары (IP-мекенжайлары) өзгерген жағдайда, банк қорғалған байланыс арналары бойынша уәкілетті органды хабардар етеді.