Утверждены минимальные требования к информбезопасности на финансовом рынке
24.04.2026
Источник:
Zakon.kz
Постановлением Агентства по регулированию и развитию финансового рынка от 20 апреля 2026 года утверждены минимальные требования по обеспечению информационной безопасности на финансовом рынке, сообщает Zakon.kz.
Цель Требований – регламентация основных процессов обеспечения информационной безопасности финансовых организаций, использующих в своей работе цифровые системы или цифровую инфраструктуру.
Руководство финансовой организации утверждает политику информационной безопасности, которая устанавливает подходы к обеспечению информационной безопасности в финансовой организации.
Указывается, что первый руководитель финансовой организации несет персональную ответственность за обеспечение информационной безопасности финансовой организации.
Финансовая организация обеспечивает ознакомление нового работника с основными внутренними документами и требованиями к обеспечению информационной безопасности под подпись не позднее пяти рабочих дней с момента приема на работу. Результат ознакомления фиксируется в соответствующем журнале инструктажа или отдельном документе, подтверждающем прохождение инструктажа, который приобщается к личному делу работника.
Финансовая организация обеспечивает информационную безопасность при доступе к своей цифровой инфраструктуре работников, клиентов финансовой организации, а также лиц, не являющихся работниками или клиентами финансовой организации.
В заключаемых с третьими лицами соглашениях, договорах, в соответствии с которыми третьи лица получают доступ к информации или цифровой инфраструктуре финансовой организации, включаются положения о соблюдении третьими лицами требований к обеспечению информационной безопасности финансовой организации.
Финансовая организация предоставляет в уполномоченный орган информацию о следующих выявленных инцидентах информационной безопасности:
Информация об инцидентах информационной безопасности предоставляется финансовой организацией незамедлительно посредством автоматизированной системы уполномоченного органа, предназначенной для обработки информации о событиях и инцидентах информационной безопасности (АСОИ) или в электронном формате с использованием транспортной системы гарантированной доставки информации с криптографическими средствами защиты, обеспечивающей конфиденциальность и некорректируемость представляемых данных.
В случае недоступности вышеуказанных систем передача информации об инциденте осуществляется с телефонного номера финансовой организации, указанного при регистрации финансовой организации в АСОИ, на телефонный номер уполномоченного органа, указанный для связи на интернет-ресурсе уполномоченного органа в разделе "Информационная безопасность" с дублированием на бумажном носителе официальным письмом финансовой организации.
При отсутствии подключения финансовой организации к АСОИ информация об инцидентах информационной безопасности передается на адрес электронной почты Агентства, указанный на интернет-ресурсе уполномоченного органа в разделе "Информационная безопасность".
Для юридических лиц, 50% и более голосующих акций которых принадлежат Национальному банку или находятся в его доверительном управлении, допускается передача сведений об инцидентах информационной безопасности посредством объектов цифровой инфраструктуры Нацбанка, интегрированных с АСОИ.
Также предусмотрено, что финансовая организация реализует меры физической безопасности в помещениях, в том числе организует пропускной и внутриобъектовый режим.
Кроме того, утверждены Технические требования к обеспечению информационной безопасности.
Постановление вводится в действие с 12 июля 2026 года.
Цель Требований – регламентация основных процессов обеспечения информационной безопасности финансовых организаций, использующих в своей работе цифровые системы или цифровую инфраструктуру.
Руководство финансовой организации утверждает политику информационной безопасности, которая устанавливает подходы к обеспечению информационной безопасности в финансовой организации.
Указывается, что первый руководитель финансовой организации несет персональную ответственность за обеспечение информационной безопасности финансовой организации.
Финансовая организация обеспечивает ознакомление нового работника с основными внутренними документами и требованиями к обеспечению информационной безопасности под подпись не позднее пяти рабочих дней с момента приема на работу. Результат ознакомления фиксируется в соответствующем журнале инструктажа или отдельном документе, подтверждающем прохождение инструктажа, который приобщается к личному делу работника.
Финансовая организация обеспечивает информационную безопасность при доступе к своей цифровой инфраструктуре работников, клиентов финансовой организации, а также лиц, не являющихся работниками или клиентами финансовой организации.
В заключаемых с третьими лицами соглашениях, договорах, в соответствии с которыми третьи лица получают доступ к информации или цифровой инфраструктуре финансовой организации, включаются положения о соблюдении третьими лицами требований к обеспечению информационной безопасности финансовой организации.
Финансовая организация предоставляет в уполномоченный орган информацию о следующих выявленных инцидентах информационной безопасности:
- эксплуатация уязвимостей в прикладном и системном программном обеспечении;
- несанкционированный доступ в цифровую систему;
- атака "отказ в обслуживании" на цифровую систему или сеть передачи данных;
- заражение сервера вредоносной программой или кодом;
- совершение несанкционированного перевода денежных средств вследствие нарушения контролей информационной безопасности;
- нарушение работы систем идентификации и аутентификации клиента;
- иных инцидентах информационной безопасности, повлекших простои цифровых систем более одного часа.
Информация об инцидентах информационной безопасности предоставляется финансовой организацией незамедлительно посредством автоматизированной системы уполномоченного органа, предназначенной для обработки информации о событиях и инцидентах информационной безопасности (АСОИ) или в электронном формате с использованием транспортной системы гарантированной доставки информации с криптографическими средствами защиты, обеспечивающей конфиденциальность и некорректируемость представляемых данных.
В случае недоступности вышеуказанных систем передача информации об инциденте осуществляется с телефонного номера финансовой организации, указанного при регистрации финансовой организации в АСОИ, на телефонный номер уполномоченного органа, указанный для связи на интернет-ресурсе уполномоченного органа в разделе "Информационная безопасность" с дублированием на бумажном носителе официальным письмом финансовой организации.
При отсутствии подключения финансовой организации к АСОИ информация об инцидентах информационной безопасности передается на адрес электронной почты Агентства, указанный на интернет-ресурсе уполномоченного органа в разделе "Информационная безопасность".
Для юридических лиц, 50% и более голосующих акций которых принадлежат Национальному банку или находятся в его доверительном управлении, допускается передача сведений об инцидентах информационной безопасности посредством объектов цифровой инфраструктуры Нацбанка, интегрированных с АСОИ.
Также предусмотрено, что финансовая организация реализует меры физической безопасности в помещениях, в том числе организует пропускной и внутриобъектовый режим.
Кроме того, утверждены Технические требования к обеспечению информационной безопасности.
Постановление вводится в действие с 12 июля 2026 года.