Қазақстан Республикасы банктерінің, бейрезидент-банктері филиалдарының және банк операцияларының жекелеген түрлерін жүзеге асыратын ұйымдардың ақпараттық жүйелерінің қауіпсіз және іркіліссіз жұмыс істеуіне қойылатын талаптарды бекіту туралы

Қазақстан Республикасы Ұлттық Банкі Басқармасының 2016 жылғы 28 қаңтардағы № 34 бұйрығы. Қазақстан Республикасының Әділет министрлігінде 2016 жылы 25 ақпанда № 13256 болып тіркелді.

      Ескерту. Қаулының тақырыбы жаңа редакцияда - ҚР Ұлттық Банкі Басқармасының 22.11.2021 № 99 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      "Қазақстан Республикасының Ұлттық Банкі туралы" Қазақстан Республикасы Заңының 15-бабы екінші бөлігінің 85) тармақшасына сәйкес Қазақстан Республикасы Ұлттық Банкінің Басқармасы ҚАУЛЫ ЕТЕДІ:

      Ескерту. Кіріспе жаңа редакцияда - ҚР Ұлттық Банкі Басқармасының 22.11.2021 № 99 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      1. Қоса беріліп отырған Қазақстан Республикасы банктерінің, бейрезидент-банктері филиалдарының және банк операцияларының жекелеген түрлерін жүзеге асыратын ұйымдардың ақпараттық жүйелерінің қауіпсіз және іркіліссіз жұмыс істеуіне қойылатын талаптар бекітілсін.

      Ескерту. 1-тармақ жаңа редакцияда - ҚР Ұлттық Банкі Басқармасының 22.11.2021 № 99 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      2. Төлем жүйелерiн дамыту және басқару департаменті (Мұсаев Р.Н.) Қазақстан Республикасының заңнамасында белгіленген тәртіппен:

      1) Құқықтық қамтамасыз ету департаментімен (Сарсенова Н.В.) бірлесіп осы қаулыны Қазақстан Республикасының Әділет министрлігінде мемлекеттік тіркеуді;

      2) осы қаулыны "Қазақстан Республикасы Әділет министрлігінің Республикалық құқықтық ақпарат орталығы" шаруашылық жүргізу құқығындағы республикалық мемлекеттік кәсіпорнына:

      Қазақстан Республикасының Әділет министрлігінде мемлекеттік тіркелгенінен кейін күнтізбелік он күн ішінде "Әділет" ақпараттық-құқықтық жүйесінде ресми жариялауға;

      Қазақстан Республикасының Әділет министрлігінде мемлекеттік тіркелгеннен кейін оны Қазақстан Республикасының Ұлттық Банкі алған күннен бастап күнтізбелік он күн ішінде Қазақстан Республикасы нормативтік құқықтық актілерінің мемлекеттік тізіліміне, Қазақстан Республикасы нормативтік құқықтық актілерінің эталондық бақылау банкіне енгізуге жіберуді;

      3) осы қаулы ресми жарияланғаннан кейін оны Қазақстан Республикасы Ұлттық Банкінің интернет-ресурсына орналастыруды қамтамасыз етсін.

      3. Халықаралық қатынастар және жұртшылықпен байланыс департаменті (Қазыбаев А.Қ.) осы қаулыны Қазақстан Республикасының Әділет министрлігінде мемлекеттік тіркелгеннен кейін күнтізбелік он күн ішінде мерзімді баспасөз басылымдарында ресми жариялауға жіберуді қамтамасыз етсін.

      4. Осы қаулының орындалуын бақылау Қазақстан Республикасының Ұлттық Банкі Төрағасының орынбасары Ғ.О. Пірматовқа жүктелсін.

      5. Осы қаулы 2017 жылғы 1 қаңтардан бастап қолданысқа енгізіледі және ресми жариялануға жатады.

      Ұлттық Банк
Төрағасы
Д. Ақышев

  Қазақстан Республикасы
Ұлттық Банкі Басқармасының
2016 жылғы 28 қаңтардағы
№ 34 қаулысымен
бекітілген

Қазақстан Республикасы банктерінің, бейрезидент-банктері филиалдарының және банк операцияларының жекелеген түрлерін жүзеге асыратын ұйымдардың ақпараттық жүйелерінің қауіпсіз және іркіліссіз жұмыс істеуіне қойылатын талаптар

      Ескерту. Талаптардың тақырыбы жаңа редакцияда - ҚР Ұлттық Банкі Басқармасының 22.11.2021 № 99 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

1-тарау. Жалпы ережелер

      Ескерту. 1-тарау жаңа редакцияда - ҚР Ұлттық Банкі Басқармасының 22.11.2021 № 99 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      1. Осы Қазақстан Республикасы банктерінің, бейрезидент-банктері филиалдарының және банк операцияларының жекелеген түрлерін жүзеге асыратын ұйымдардың ақпараттық жүйелерінің қауіпсіз және іркіліссіз жұмыс істеуіне қойылатын талаптар (бұдан әрі – Талаптар) "Қазақстан Республикасының Ұлттық Банкі туралы" Қазақстан Республикасы Заңының 15-бабы екінші бөлігінің 85) тармақшасына сәйкес әзірленді және электрондық банктік қызметтер көрсету қамтамасыз етілетін Қазақстан Республикасы банктерінің, бейрезидент-банктері филиалдарының және банк операцияларының жекелеген түрлерін жүзеге асыратын ұйымдардың (бұдан әрі – банктер) ақпараттық жүйелерінің қауіпсіздігіне және іркіліссіз жұмыс істеуіне қойылатын талаптарды айқындайды.

      2. Талаптарда "Төлемдер және төлем жүйелері туралы" Қазақстан Республикасы Заңының 1-бабында, "Ақпараттандыру туралы" Қазақстан Республикасы Заңының 1-бабында, Нормативтік құқықтық актілерді мемлекеттік тіркеу тізілімінде № 14337 болып тіркелген, Қазақстан Республикасы Ұлттық Банкі Басқармасының 2016 жылғы 31 тамыздағы № 212 қаулысымен бекітілген Банктердің, Қазақстан Республикасы бейрезидент банктері филиалдарының және банк операцияларының жекелеген түрлерін жүзеге асыратын ұйымдардың электрондық банктік қызметтерді көрсету қағидаларында (бұдан әрі – № 212 қағидалар) көзделген ұғымдар, сондай-ақ мынадай ұғымдар пайдаланылады:

      1) ақпараттық жүйенің объектісі – ақпараттық жүйенің электрондық банктік қызмет көрсету кезінде жекелеген функцияларды орындау үшін ақпаратты беруге, өңдеуге және сақтауға арналған жекелеген құрауышы;

      2) банктің ақпараттық жүйесінің негізгі орталығы (бұдан әрі – негізгі орталық) – штаттық (күнделікті) режимде электрондық банктік қызмет көрсетуді қамтамасыз ететін бағдарламалық-техникалық құралдардың және қызмет көрсететін қызметкерлердің жиынтығы;

      3) банктің ақпараттық жүйесінің резервтік орталығы (бұдан әрі – резервтік орталық) – негізгі орталықта төтенше жағдайлар туындаған немесе жоспарлы техникалық жұмыстар жүргізілген кезде электрондық банктік қызмет көрсетуді қамтамасыз ететін бағдарламалық-техникалық құралдардың және қызмет көрсететін қызметкерлердің жиынтығы;

      4) банктің электрондық банктік қызмет көрсетуге арналған ақпараттық жүйесі (бұдан әрі – ақпараттық жүйе) – электрондық банктік қызмет көрсету қамтамасыз етілетін аппараттық-бағдарламалық кешенді қолдана отырып ақпаратты сақтауға, өңдеуге, іздеуге, таратуға, беруге және ұсынуға арналған жүйе;

      5) жауапты қызметкер – банктің ақпараттық жүйесіндегі жұмыс үшін лауазымдық міндеттемелеріне сәйкес жауапты қызметкері;

      6) жұмыс орны – ақпараттық жүйені немесе ақпараттық жүйе объектілерін басқару үшін бағдарламалық-пайдалану интерфейсі орнатылған дербес компьютер (сервер);

      7) қалпына келтіру командасы – банктің ішкі құжаттарында белгіленген бос тұрып қалу уақытын ескере отырып толық қалпына келтіруді не ақпараттық жүйенің жұмысын резервтік орталыққа ауыстыруды қамтамасыз ететін банктің ақпараттық жүйеге немесе ақпараттық жүйе объектілеріне қолжетімділікті және олардың толыққанды жұмысын қамтамасыз ету бойынша қызмет көрсететін ұйымдардың қызметкерлері;

      8) пайдаланушы – банктің электрондық банктік қызметті алу үшін ақпараттық жүйеге өтініш білдіретін клиенті не жауапты қызметкер;

      9) сәйкестендіру – ақпараттық жүйеге қол жеткізу субъектісінің немесе объектісінің түпнұсқалылығын қол жеткізудің ұсынылған деректемелерінің сәйкестігін анықтау арқылы растау.

      Ескерту. 2-тармаққа өзгеріс енгізілді - ҚР Ұлттық Банкі Басқармасының 28.02.2022 № 9 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      3. Банк операцияларының жекелеген түрлерін жүзеге асыратын ұйымдарды қоспағанда, банктердің ақпараттық жүйелерінің қауіпсіз және іркіліссіз жұмыс істеуін қамтамасыз ету мақсатында операциялық тәуекелді, іркіліссіз қызметті, ақпараттық технологиялар тәуекелдерін, ақпарат қауіпсіздігін басқару Нормативтік құқықтық актілерді мемлекеттік тіркеу тізілімінде № 19632 болып тіркелген "Екінші деңгейдегі банктерге, Қазақстан Республикасының бейрезидент-банктерінің филиалдарына арналған тәуекелдерді басқару және ішкі бақылау жүйесін қалыптастыру қағидаларын бекіту туралы" Қазақстан Республикасы Ұлттық Банкі Басқармасының 2019 жылғы 12 қарашадағы № 188 қаулысына сәйкес жүзеге асырылады.

2-тарау. Жұмыс орындарына қойылатын талаптар

      Ескерту. 2-тараудың тақырыбы жаңа редакцияда – ҚР Ұлттық Банкі Басқармасының 22.12.2017 № 248 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      4. Банк жұмыс орындарында мыналарды қамтамасыз етеді:

      1) жауапты қызметкерді сәйкестендіру және бірдейлестіру құралы кіретін, рұқсат етілмеген кіруден қорғаудың бағдарламалық немесе бағдарламалық-аппараттық кешенін орнатуды және жұмысын;

      2) электр желісінде кернеу болмаған кезде ақпараттық жүйедегі жұмысты дұрыс аяқтау үшін қажетті, бірақ он минуттан кем емес уақыт ішінде жұмыс орнының жұмысын жүзеге асыруға мүмкіндік беретін үздіксіз электр қуатын беретін техникалық құралдарды орнатуды және жұмысын. Банктің ғимаратында орнатылған жалпы үздіксіз қуат бері көзін пайдалануға рұқсат етіледі;

      3) зиян келтірілетін бағдарламалық кодты және/немесе бағдарламаларды анықтау құралдарын орнатуды және жұмысын. Келтірілген зиян фактісі анықталған жағдайда осы ақпарат банктің қауіпсіздік бөлімшесіне жіберіледі;

      4) берілетін ақпаратты және баланыс арналарын бағдарламалық не бағдарламалық-аппараттық қорғауды. Берілетін ақпаратты арнайы бөлінген жұмыс орындарына тиісті бағдарламалық-аппараттық құралдар орнату арқылы қорғауға рұқсат етіледі.

      5. Деректерді рұқсат етілмеген кіруден қорғауды қамтамасыз ету үшін банктің ішкі құжаттарымен жұмыс орнына қолжетімділік беретін техникалық құралдарды, парольдерді немесе басқа ақпаратты сақтау және пайдалану тәртібі белгіленеді.

      Ескерту. 5-тармақ жаңа редакцияда - ҚР Ұлттық Банкі Басқармасының 28.02.2022 № 9 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      6. Банктің ішкі құжаттарымен ақпаратты ақпараттық жүйеге беру, ақпараттық жүйеден ақпаратты алу, ақпаратты сақтау, архивтеу не басқа өңдеу үшін жинақтауға арналып бөлінген ресурстарға (дискілік кеңестік, директория, желілік ресурстар, дерекқорлар) кіру тәртібі бекітіледі.

      Ескерту. 6-тармақ жаңа редакцияда - ҚР Ұлттық Банкі Басқармасының 28.02.2022 № 9 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      7. Жауапты қызметкердің жұмыс орнына қолжетімділігі оның лауазымдық міндеттеріне сәйкес жүзеге асырылады.

      8. Пайдаланушының пайдаланушы ақпараттық жүйенің кірісінде сәйкестендірілетін бір жүйелік атына әкімшінің функцияларын орындайтын қызметкерлерді қоспағанда бір жауапты қызметкер сәйкес келеді. Әкімшінің функцияларын орындайтын қызметкер үшін пайдаланушының бірнеше жүйелік атын құруға рұқсат етіледі.

      9. Жұмыс орнына деректерді беру желісі және өзге техникалық арналар арқылы кіру тәртібі рұқсат етілмеген кіру мүмкіндігін азайтады.

      10. Банктің ақпараттық жүйеге кіруге рұқсаты бар жауапты қызметкерлердің жұмыс тәртібі көзделетін ішкі құжаттарында:

      1) жауапты қызметкерлерді тағайындау тәртібі;

      2) жауапты қызметкерлердің жұмыс режімі;

      3) лауазымдық нұсқалықтарын қоса алғанда жауапты қызметкерлердің құқықтары мен міндеттері;

      4) қалпына келтіру командасының тізімі айқындалады.

3-тарау. Банктің ақпараттық жүйенің құрылымы және жұмыс істеуі жөніндегі ішкі құжаттарына қойылатын талаптар

      Ескерту. 3-тарау жаңа редакцияда - ҚР Ұлттық Банкі Басқармасының 28.02.2022 № 9 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      11. Банктің ақпараттық жүйелердің құрылымы және жұмыс істеуі жөніндегі ішкі құжаттарында:

      1) ақпараттық жүйелердің және олардың объектілерінің тізбесі, олардың мақсаты және негізгі сипаттамалары, жүйелердің орталықтандыру иерархиясы деңгейлерінің санына және дәрежесіне қойылатын талаптар, оның ішінде ақпараттық жүйенің әрбір объектісі бойынша функциялардың, міндеттердің тізбесі;

      2) ақпараттық жүйелердің құрамдас бөліктері арасында ақпарат алмасуға арналған байланыстың тәсілдері мен құралдарына қойылатын талаптар;

      3) ақпараттық жүйелердің жұмысын қалпына келтіру жоспарлары (бұдан әрі – қалпына келтіру жоспары);

      4) ақпараттық жүйелердің жұмыс істеу режімдеріне қойылатын талаптар;

      5) ақпараттық жүйелердің жұмыс істеуін мониторингтеуге қойылатын талаптар;

      6) қалпына келтіру командасының жауапты қызметкелерінің жіктеліміне, санына және жұмыс режиміне қойылатын талаптар бекітіледі.

      12. Банктің ақпараттық жүйелердің құрылымы және жұмыс істеуі жөніндегі ішкі құжаттары банк айқындаған мерзімді негізде, бірақ жылына бір реттен сиретпей маңызын арттыру мәніне қайта қаралуға жатады.

      Ескерту. 12-тармақ жаңа редакцияда - ҚР Ұлттық Банкі Басқармасының 28.02.2022 № 9 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

4-тарау. Ақпараттық жүйелер жұмысының қауіпсіздігіне қойылатын талаптар

      Ескерту. 4-тараудың тақырыбы жаңа редакцияда – ҚР Ұлттық Банкі Басқармасының 22.12.2017 № 248 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      13. Пайдаланушы электрондық банктік қызмет алу үшін ақпараттық жүйеге жүгінген кезде банк:

      1) клиенттердің электрондық банктік қызмет алуы бойынша іс-әрекеттерін, оның ішінде байланыс орнату әрекеттеріне бастап сәтті және сол сияқты сәтсіз іс-әрекеттерін электрондық журналдарда операцияларды жүргізу уақытын көрсете отырып, оларға енгізілген деректерді өзгерту мүмкіндігінсіз тіркеуді қамтамасыз етеді. Электрондық журналдардың мәліметтерін сақтау кезеңі кемінде 2 (екі) айды құрайды;

      2) ақпараттық жүйедегі рұқсат етілмеген операциялардың немесе рұқсат етілмеген операцияларды жүргізу үшін жағдайлар жасауға бағытталған іс-әрекеттердің автоматты түрдегі мониторингіне, анықтауға және бұғаттауға арналған бағдарламалық қамтамасыз етудің жұмыс істеуін;

      3) пайдаланушының жұмыс орны істен шыққан немесе теріс пиғылды адам оған рұқсат етілмеген қолжетімділік алған кезде жүйенің серверлік бөлімінің жұмысына әсер етпейтін, ал қосымшалар сервері істен шыққан кезде осы жүйелердің жай-күйіне әсер етпейтін "клиент–сервер" архитектурасын;

      4) деректерді кейіннен қалпына келтіру мүмкіндігімен резервтік көшіруді және мұрағаттауды;

      5) Талаптардың 4-тармағының 4) тармақшасында көзделген іс-әрекеттерді орындауды қамтамасыз етеді.

      14. Электрондық банктік қызметтерді көрсету кезінде банк құпиясына жататын жіберілетін деректердің және (немесе) оларды дербес компьютерлерден, телефондардан, электрондық терминалдардан және өзге құрылғылардан жіберілетін деректерді өңдеу жүйесіне дейін өткізуге арналған ақпараттық-коммуникациялық желінің шифрын белгілеу жүзеге асырылады.

      15. Электрондық банктік қызметтерді көрсету кезінде қауіпсіздік рәсімдеріне қойылатын талаптар № 212 қағидаларда белгіленеді.

      Ескерту. 15-тармақ жаңа редакцияда – ҚР Ұлттық Банкі Басқармасының 22.12.2017 № 248 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

5-тарау. Ақпараттық жүйелердің іркіліссіз жұмыс істеуін қамтамасыз етуге қойылатын талаптар

      Ескерту. 5-тараудың тақырыбы жаңа редакцияда – ҚР Ұлттық Банкі Басқармасының 22.12.2017 № 248 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      16. Электрондық банктік қызметтердің іркіліссіз көрсетілуін қамтамасыз ету мақсатында банктер ішкі құжаттарда қалпына келтіру жоспарын, оны қайта қарау және тестілеу тәртібін айқындайды.

      17. Қалпына келтіру жоспарын әзірлеу мынадай факторлар ескеріле отырып жүзеге асырылады:

      1) төтенше жағдайлардың түрі және сипаты, олардың банк қызметіне әсер ету дәрежесі;

      2) қалпына келтіру басымдығы көрсетіле отырып, электрондық банктік қызметтерді көрсетуді қамтамасыз ететін ақпараттық жүйелердің және олардың объектілерінің тізбесі;

      3) ақпараттық жүйелердің жұмысы тоқтаған кезде туындайтын зиян және олардың жұмысын қалпына келтіруге арналған шығындар.

      18. Ақпараттық жүйелердің тізбесін көрсету кезінде оларды қалпына келтірудің рұқсат етілген мерзімдері айқындалады. Мерзімдерді банктер ақпараттық жүйенің жұмысындағы бос тұрып қалу маңыздылығына қарай белгілейді.

      18-1. Банк негізгі орталыққа қарағанда өзге елді мекенде (астанада, республикалық маңызы бар қалада, облыстық маңызы бар қалада, аудандық маңызы бар қалада) орналасқан, Талаптардың 23-тармағының үшінші бөлігінде белгіленген мерзім ішінде банктің төлем қызметтерін көрсетуін жаңғыртуға кепілдік беретін кемінде бір резервтік орталықтың болуын қамтамасыз етеді.

      Талаптардың 23-тармағының үшінші бөлігінде белгіленген мерзім бірмезгілде Ұлттық Банкті хабардар ете отырып төлем қызметтерін көрсетуді жаңғырту мерзіміне әсер ететін жеткілікті негіздер болған кезде ұлғайтылады.

      Банктің негізгі және резервтік орталықтары Қазақстан Республикасының аумағында орналастырылады.

      Ескерту. Қағида 18-1-тармақпен толықтырылды - ҚР Ұлттық Банкі Басқармасының 28.02.2022 № 9 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      18-2. Банк әрбір орталықты (негізгі және резервтік) байланыс қызметтерін әртүрлі жеткізушілерден (провайдерлерден) бөлінген екі байланыс арнасымен қамтамасыз етеді.

      Ескерту. Қағида 18-2-тармақпен толықтырылды - ҚР Ұлттық Банкі Басқармасының 28.02.2022 № 9 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      19. Қалпына келтіру жоспарында мынадай талаптар қамтылады:

      1) резервтік орталықтың болуы және орналасқан жері;

      2) бизнес–процестердің, ақпараттық жүйе объектілерінің, ақпараттық жүйенің жұмысын қамтамасыз ететін, қалпына келтіру резервтік орталықта талап етілетін техникалық, бағдарламалық немесе басқа құралдардың тізбесі;

      3) ақпараттық жүйенің резервтік орталығының жұмыс істеуіне тестілеу жүргізу тәртібі, кезеңділігі және сценарийлері;

      4) төтенше жағдайлардың салдарлары жойылғаннан кейін бұзылған ақпараттық жүйелерді қалпына келтіру тәртібі, төтенше жағдай режіміндегі жұмыстың аяқталуы туралы шешім қабылдауға мүмкіндік беретін критерийлер және осындай шешім қабылдау тәртібі, сондай-ақ қалыпты жұмыс істеу режіміне қайтып келу тәртібі.

      20. Ақпараттық жүйенің қызметін қалпына келтіруге арналған резервтік орталықтың және байланыс арналарының жұмыс істеуге дайындығын тексеру мақсатында банктер жылына кемінде бір рет қалпына келтіру жоспарына сәйкес резервтік орталықтың және байланыс арналарының жұмыс істеуін тестілеуді (бұдан әрі – Жоспарды тестілеу) жүргізеді.

      21. Жоспарды тестілеу банк әзірленген және бекітілген, төтенше жағдайлардың туындау сценарийінің, қалпына келтірілетін жұмыс процестерінің және ақпараттық жүйе объектілерінің, қалпына келтіру командасы іс-қимылдарының, жұмысты жүргізу мерзімдері мен орны жөніндегі талаптардың сипаты көзделетін бағдарлама бойынша жүргізіледі.

      22. Банк Жоспарды тестілеу қорытындысы бойынша мыналар:

      1) тестілеу жүргізілген ақпараттық жүйелердің және олардың объектілерінің тізбесі, сондай-ақ негізгі және резервтік орталықтардың орналасқан жері;

      2) ақпараттық жүйелердің және олардың объектілерінің жұмысын қалпына келтіруге жұмсалған уақыт;

      3) анықталған осалдықтар және оларды жою жөніндегі ұсыныстар көрсетіле отырып тестілеу нәтижелері туралы құжат (хаттама) дайындалады.

      Банк тестілеу нәтижелері туралы мәліметтерді Қазақстан Республикасының Ұлттық Банкіне (бұдан әрі – Ұлттық Банк) банктің уәкілетті органы тестілеу нәтижелері туралы құжатты бекіткеннен кейін он бес жұмыс күні ішінде ұсынады.

      Ескерту. 22-тармақ жаңа редакцияда - ҚР Ұлттық Банкі Басқармасының 28.02.2022 № 9 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      23. Ақпараттық жүйенің жұмысында іркіліс (бос тұрып қалу) туындаған кезде банк негізгі орталықтың жұмысын қалпына келтіруді қамтамасыз етеді.

      Негізгі орталықтың жұмысын қалыпқа келтірудің рұқсат етілген ең аз мерзімі кезеңінде қалпына келтіру мүмкіндігі болмаған жағдайда ақпараттық жүйені резервтік орталықтың жұмысына ауыстыру жүзеге асырылады.

      Ақпараттық жүйені резервтік орталыққа ауыстыру бойынша стандартты уақыт нормативі іркіліс (бос тұрып қалу) туындаған сәттен бастап төрт сағаттан аспайды.

      Ақпараттық жүйе жұмысында клиенттердің қашықтан қол жеткізу жүйелері арқылы электрондық банктік қызметтерге және (немесе) банктің электрондық терминалдар желісіне қолжетімділігінің үш сағаттан аса уақытқа үзілуіне әкеп соққан іркіліс (бос тұрып қалу) туындаған жағдайда, банк электрондық хабар жіберу арқылы Ұлттық Банкке шұғыл хабарлайды. Іркіліс (бос тұрып қалу) жұмыс істемейтін уақытта туындаған жағдайда, банк Ұлттық Банкке іркіліс (бос тұрып қалу) туындаған күннен кейінгі жұмыс күні Астана қаласының уақытымен сағат 10.00-ден кешіктірмей хабарлайды.

      Ескерту. 23-тармақ жаңа редакцияда – ҚР Ұлттық Банкі Басқармасының 22.12.2017 № 248 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      24. Банк клиенттерге жіберілетін, ақпараттық жүйенің жұмысын қамтамасыз ететін техникалық, бағдарламалық және басқа құралдарға енгізілетін және клиенттің электрондық банктік қызметке қолжетімділігіне әсер ететін өзгерістерді (жаңартуларды) жоспарланып отырған қолданысқа енгізу туралы хабарламаларда қолжетімділігі жоспарланып отырған өзгерістерге әсер ететін электрондық банктік қызмет түрін, сондай-ақ олардың болжанып отырған қолжетімді болмау уақытын көрсетеді. Клиенттерге жоспарланып отырған өзгерістер туралы хабарламаны жеткізу жөніндегі ең төменгі талаптарда банктің интернет-ресурсына хабарландыруды орналастыру қамтылады.

      Ескерту. 24-тармақ жаңа редакцияда - ҚР Ұлттық Банкі Басқармасының 22.11.2021 № 99 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      25. Банк тоқсан сайын, есепті тоқсаннан кейінгі айдың онынан кешіктірмей Ұлттық Банкке есепті кезеңде ақпараттық жүйенің жұмысында орын алған жоспарлы және жоспардан тыс істен шығу (бос тұрып қалу) туралы ақпаратты еркін нысанда жібереді.

      Мәліметтерде клиенттердің қолжетімділігі тоқтатыла тұрған электрондық банктік қызмет түрі, істен шығу (бос тұрып қалу) күні, басталу және аяқталу уақыты, қолданылған іс-әрекеттер және істен шығуды (бос тұрып қалуды) жою бойынша жұмыс нәтижелері туралы ақпарат қамтылады. Ақпараттық жүйенің жұмысында істен шығу (бос тұрып қалу) болмаған жағдайда, банк есепті тоқсан үшін ақпараттық жүйенің жұмысында істен шығудың (бос тұрып қалудың) жоқтығы туралы Ұлттық Банкке хабарлайды.

      Ескерту. 25-тармақ жаңа редакцияда - ҚР Ұлттық Банкі Басқармасының 17.09.2022 № 83 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      26. Банк клиенттердің төлем қызметтеріне қолжетімділігін жаңғыртуды ұйымдастыру мақсатында Ұлттық Банкке қорғалған байланыс арналары бойынша негізгі, сондай-ақ резервтік орталықта орналасқан ақпараттық жүйелердің өзекті бірегей сандық сәйкестендіргіштерінің (IP-мекенжайларының) тізбесін ұсынады. Негізгі, сондай-ақ резервтік орталықта орналасқан ақпараттық жүйелердің бірегей сандық сәйкестендіргіштері (IP-мекенжайлары) өзгерген жағдайда, банк Ұлттық Банкке қорғалған байланыс арналары бойынша дереу хабарлайды.

      Ұлттық Банк банктермен бірлесе отырып клиенттердің төлем қызметтеріне, оның ішінде төтенше жағдай кезеңінде қолжетімділігін жаңғыртуға байланысты қажетті іс-шараларды жүзеге асырады.

      Ескерту. Қағида 26-тармақпен толықтырылды - ҚР Ұлттық Банкі Басқармасының 28.02.2022 № 9 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      27. Төлемдер және төлем жүйелері туралы заңның 11-бабына сәйкес айқындалған төлем қызметтерін маңызды беруші болып табылатын төлем қызметтерін берушінің және(немесе) Ұлттық Банк Басқармасының 2019 жылғы 23 желтоқсандағы № 240 қаулысымен (Нормативтік құқықтық актілерді мемлекеттік тіркеу тізілімінде № 19925 болып тіркелген) бекітілген Қаржы ұйымдарын жүйелік маңызы бар ұйымдар қатарына жатқызу қағидаларына сәйкес айқындалған жүйелік маңызы бар банктің электрондық төлем қызметтерін көрсетуді қамтамасыз ететін ақпараттық жүйелерінің (барлық модульдер мен шағын жүйелерді ескере отырып) жұмысы үздіксіздігінің ең төменгі деңгейі әрбір тоқсан үшін 99 (тоқсан тоғыз) пайызды құрайды.

      Төлем қызметтерін маңызды беруші және(немесе) жүйелік маңызы бар банк электрондық төлем қызметтерін көрсетуді қамтамасыз ететін ақпараттық жүйелері жұмысының бір тоқсандағы үздіксіздігі деңгейін есептеу мынадай формула бойынша жүзеге асырылады:


, мұнда:

      Ka – төлем қызметтерін маңызды берушінің және(немесе) жүйелік маңызы бар банктің ақпараттық жүйелері жұмысының тоқсандағы үздіксіздігі деңгейі;

      (T-Tf) – төлем қызметтерін маңызды берушінің және(немесе) жүйелік маңызы бар банктің ақпараттық жүйесі жұмысының нақты уақыты (минутпен). Жүйенің нақты жұмыс уақыты жүйенің тоқтатылған уақыт кезеңін қамтымайды;

      T – төлем қызметтерін маңызды берушінің және(немесе) жүйелік маңызы бар банктің ақпараттық жүйелерінің тоқсандағы жұмысының жалпы уақыты (минутпен);

      Tf – төлем қызметтерін маңызды берушінің және(немесе) жүйелік маңызы бар банктің ақпараттық жүйесі тоқтатыла тұрған тоқсандағы уақыт кезеңі (минутпен).

      Tf көрсеткіші жоспарланған бос тұрып қалу уақытын қамтымайды. Жоспарлы бос тұрып қалған жағдайда жүйелік маңызы бар банк жоспарланған бос тұрып қалуға дейін он жұмыс күні бұрын Ұлттық Банкті еркін нысанда хабардар етеді.

      Жоспарлы бос тұрып қалуға мыналар:

      1) төлем қызметтерін маңызды берушінің және(немесе) жүйелік маңызы бар банктің ақпараттық жүйелерін резервтік орталыққа ауыстыру үшін жұмыс күндері және демалыс күндері сағат 18:00-ден 09:00-ге дейін жоспарлы жұмыстарды жүргізу уақыты (минутпен);

      2) бағдарламалық және техникалық қамтамасыз етуді жаңарту үшін жұмыс күндері және демалыс күндері сағат 18:00-ден 09:00-ге дейін жоспарлы жұмыстарды жүргізу уақыты (минутпен);

      3) жұмыс күндері және демалыс күндері сағат 18:00-ден 09:00-ге дейін жабдықпен және бағдарламалық қамтылыммен жоспарлы профилактикалық және техникалық жұмыстарды жүргізу уақыты (минутпен) жатады.

      Ескерту. Талаптар 27-тармақ толықтырылды - ҚР Ұлттық Банкі Басқармасының 17.09.2022 № 83 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

Об утверждении Требований к безопасности и беспрерывности работы информационных систем банков, филиалов банков-нерезидентов Республики Казахстан и организаций, осуществляющих отдельные виды банковских операций

Постановление Правления Национального Банка Республики Казахстан от 28 января 2016 года № 34. Зарегистрирован в Министерстве юстиции Республики Казахстан 25 февраля 2016 года № 13256.

      Сноска. Заголовок - в редакции постановления Правления Национального Банка РК от 22.11.2021 № 99 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      В соответствии с подпунктом 85) части второй статьи 15 Закона Республики Казахстан "О Национальном Банке Республики Казахстан" Правление Национального Банка Республики Казахстан ПОСТАНОВЛЯЕТ:

      Сноска. Преамбула - в редакции постановления Правления Национального Банка РК от 22.11.2021 № 99 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      1. Утвердить прилагаемые Требования к безопасности и беспрерывности работы информационных систем банков, филиалов банков-нерезидентов Республики Казахстан и организаций, осуществляющих отдельные виды банковских операций.

      Сноска. Пункт 1 - в редакции постановления Правления Национального Банка РК от 22.11.2021 № 99 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      2. Департаменту развития и управления платежными системами (Мусаев Р.Н.) в установленном законодательством Республики Казахстан порядке обеспечить:

      1) совместно с Департаментом правового обеспечения

      (Сарсенова Н.В.) государственную регистрацию настоящего постановления в Министерстве юстиции Республики Казахстан;

      2) направление настоящего постановления в республиканское государственное предприятие на праве хозяйственного ведения "Республиканский центр правовой информации Министерства юстиции Республики Казахстан":

      на официальное опубликование в информационно-правовой системе "Әділет" в течение десяти календарных дней после его государственной регистрации в Министерстве юстиции Республики Казахстан;

      для включения в Государственный реестр нормативных правовых актов Республики Казахстан, Эталонный контрольный банк нормативных правовых актов Республики Казахстан в течение десяти календарных дней со дня его получения Национальным Банком Республики Казахстан после государственной регистрации в Министерстве юстиции Республики Казахстан;

      3) размещение настоящего постановления на официальном интернет–ресурсе Национального Банка Республики Казахстан после его официального опубликования.

      3. Департаменту международных отношений и связей с общественностью (Казыбаев А.К.) обеспечить направление настоящего постановления на официальное опубликование в периодических печатных изданиях в течение десяти календарных дней после его государственной регистрации в Министерстве юстиции Республики Казахстан.

      4. Контроль за исполнением настоящего постановления возложить на заместителя Председателя Национального Банка Республики Казахстан Пирматова Г.О.

      5. Настоящее постановление вводится в действие с 1 января 2017 года и подлежит официальному опубликованию.

Председатель


Национального Банка

Д. Акишев


  Утверждены
постановлением Правления
Национального Банка
Республики Казахстан
от 28 января 2016 года № 34

Требования к безопасности и беспрерывности работы информационных систем банков, филиалов банков-нерезидентов Республики Казахстан и организаций, осуществляющих отдельные виды банковских операций

      Сноска. Заголовок - в редакции постановления Правления Национального Банка РК от 22.11.2021 № 99 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

Глава 1. Общие положения

      Сноска. Глава 1 - в редакции постановления Правления Национального Банка РК от 22.11.2021 № 99 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      1. Настоящие Требования к безопасности и беспрерывности работы информационных систем банков, филиалов банков-нерезидентов Республики Казахстан и организаций, осуществляющих отдельные виды банковских операций (далее – Требования), разработаны в соответствии с подпунктом 85) части второй статьи 15 Закона Республики Казахстан "О Национальном Банке Республики Казахстан" и определяют требования к безопасности и беспрерывности работы информационных систем банков, филиалов банков-нерезидентов Республики Казахстан и организаций, осуществляющих отдельные виды банковских операций (далее – банки), посредством которых обеспечивается оказание электронных банковских услуг.

      2. В Требованиях используются понятия, предусмотренные статьей 1 Закона Республики Казахстан "О платежах и платежных системах", статьей 1 Закона Республики Казахстан "Об информатизации", Правилами оказания банками, филиалами банков-нерезидентов Республики Казахстан и организациями, осуществляющими отдельные виды банковских операций, электронных банковских услуг, утвержденными постановлением Правления Национального Банка Республики Казахстан от 31 августа 2016 года № 212, зарегистрированным в Реестре государственной регистрации нормативных правовых актов под № 14337 (далее – Правила № 212), а также следующие понятия:

      1) объект информационной системы – отдельный компонент информационной системы, предназначенный для передачи, обработки и хранения информации для выполнения отдельной функции при оказании электронных банковских услуг;

      2) основной центр информационной системы банка (далее – основной центр) – совокупность программно-технических средств и обслуживающего персонала, обеспечивающих оказание электронных банковских услуг в штатном (повседневном) режиме;

      3) резервный центр информационной системы банка (далее – резервный центр) – совокупность программно-технических средств и обслуживающего персонала, обеспечивающих оказание электронных банковских услуг при возникновении нестандартных ситуаций или проведении плановых технических работ в основном центре;

      4) информационная система банка для оказания электронных банковских услуг (далее – информационная система) – система, предназначенная для хранения, обработки, поиска, распространения, передачи и предоставления информации с применением аппаратно-программного комплекса, посредством которой обеспечивается оказание электронных банковских услуг;

      5) ответственный работник – работник банка, ответственный за работу в информационной системе в соответствии с должностными обязанностями;

      6) рабочее место – персональный компьютер (сервер), на котором установлен программно-пользовательский интерфейс для управления информационной системой либо объектами информационной системы;

      7) команда восстановления – работники банка и организаций, оказывающих услуги по обеспечению доступности и полноценного функционирования информационной системы или объектов информационной системы, которые обеспечивают полное восстановление с учетом времени простоя, установленным внутренними документами банка, либо перевод работы информационной системы в резервный центр;

      8) пользователь – клиент банка, обращающийся к информационной системе за получением электронных банковских услуг, либо ответственный работник;

      9) идентификация – подтверждение подлинности субъекта или объекта доступа к информационной системе путем определения соответствия предъявленных реквизитов доступа.

      Сноска. Пункт 2 с изменением, внесенным постановлением Правления Национального Банка РК от 28.02.2022 № 9 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      3. Управление операционным риском, непрерывностью деятельности, рисками информационных технологий, информационной безопасностью в целях обеспечения безопасности и беспрерывности работы информационных систем банков, за исключением организаций, осуществляющих отдельные виды банковских операций, осуществляется в соответствии с постановлением Правления Национального Банка Республики Казахстан от 12 ноября 2019 года № 188 "Об утверждении Правил формирования системы управления рисками и внутреннего контроля для банков второго уровня, филиалов банков-нерезидентов Республики Казахстан", зарегистрированным в Реестре государственной регистрации нормативных правовых актов под № 19632.

Глава 2. Требования к рабочим местам

      Сноска. Заголовок главы 2 в редакции постановления Правления Национального Банка РК от 22.12.2017 № 248 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      4. На рабочих местах банк обеспечивает:

      1) установку и функционирование программного или программно–аппаратного комплекса защиты от несанкционированного доступа, включающего в себя средства идентификации и аутентификации ответственного работника;

      2) установку и функционирование технических средств бесперебойного электропитания, позволяющих осуществлять работу рабочего места при отсутствии напряжения в электросети в течение времени, необходимого для корректного завершения работы в информационной системе, но не менее десяти минут. Допускается использование общего источника бесперебойного питания, установленного в здании банка;

      3) установку и функционирование средств обнаружения вредоносного программного кода и/или программы. В случае выявления факта заражения данная информация доводится до сведения подразделения безопасности банка;

      4) программную либо программно–аппаратную защиту передаваемой информации и каналов связи. Допускается централизованная защита передаваемой информации путем установки соответствующих программно–аппаратных средств на специально выделенных рабочих местах.

      5. Для обеспечения защиты данных от несанкционированного доступа внутренними документами банка устанавливается порядок хранения и использования технических средств, паролей или другой информации, предоставляющих доступ к рабочему месту.

      Сноска. Пункт 5 - в редакции постановления Правления Национального Банка РК от 28.02.2022 № 9 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      6. Внутренними документами банка утверждается порядок доступа к ресурсам (дисковое пространство, директории, сетевые ресурсы, базы данных), выделенным для накопления в них информации для передачи в информационную систему, получения информации из информационной системы, хранения, архивирования либо другой обработки информации.

      Сноска. Пункт 6 - в редакции постановления Правления Национального Банка РК от 28.02.2022 № 9 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      7. Доступ к рабочему месту ответственным работником осуществляется в соответствии с его должностными обязанностями.

      8. Одному системному имени пользователя, по которому идентифицируется пользователь на входе в информационные системы, соответствует один ответственный работник, за исключением работников, выполняющих функции администратора. Для работника, выполняющего функции администратора, допускается создание нескольких системных имен пользователя.

      9. Порядок доступа к рабочему месту посредством сети и иных технических каналов передачи данных минимизирует возможность несанкционированного доступа.

      10. Во внутренних документах банка, предусматривающих порядок работы ответственных работников, имеющих доступ в информационную систему, определяются:

      1) порядок назначения ответственных работников;

      2) режим работы ответственных работников;

      3) права и обязанности ответственных работников, включая должностные инструкции;

      4) список команды восстановления.

Глава 3. Требования к внутренним документам банка по структуре и функционированию информационной системы

      Сноска. Глава 3 - в редакции постановления Правления Национального Банка РК от 28.02.2022 № 9 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      11. Внутренними документами банка по структуре и функционированию информационных систем утверждается:

      1) перечень информационных систем и их объектов, их назначение и основные характеристики, требования к числу уровней иерархии и степени централизации систем, в том числе, перечень функций, задач по каждому объекту информационной системы;

      2) требования к способам и средствам связи для информационного обмена между компонентами информационных систем;

      3) планы восстановления работы информационных систем (далее - план восстановления);

      4) требования к режимам функционирования информационных систем;

      5) требования к мониторингу функционирования информационных систем;

      6) требования к классификации, количеству и режиму работы ответственных работников команды восстановления.

      12. Внутренние документы банка по структуре и функционированию информационных систем подлежат пересмотру на предмет актуализации на периодической основе, определенной банком, но не реже одного раза в год.

Глава 4. Требования к безопасности работы информационных систем

      Сноска. Заголовок главы 4 в редакции постановления Правления Национального Банка РК от 22.12.2017 № 248 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      13. При обращении пользователя к информационной системе для получения электронной банковской услуги банк обеспечивает:

      1) регистрацию действий по получению клиентами электронных банковских услуг в электронных журналах без возможности изменения внесенных в них данных, в том числе, как успешных, так и неудачных, начиная от попытки установления связи, с указанием времени совершения операций. Период хранения сведений электронных журналов составляет не менее 2 (двух) месяцев;

      2) функционирование программного обеспечения, предназначенного для автоматического мониторинга, выявления и блокирования в информационной системе несанкционированных операций или действий, направленных на создание условий для проведения несанкционированных операций;

      3) архитектуру "клиент–сервер", позволяющую при выводе из строя рабочего места пользователя или получении злоумышленником несанкционированного доступа к нему не влиять на работу серверной части системы, а при сбое сервера приложений не влиять на состояние данных системы;

      4) резервное копирование и архивацию данных с возможностью их последующего восстановления;

      5) выполнение действий, предусмотренных подпунктом 4) пункта 4 Требований.

      14. При оказании электронных банковских услуг осуществляется шифрование относящихся к банковской тайне передаваемых данных и (или) информационно–коммуникационной сети для их передачи от персональных компьютеров, телефонов, электронных терминалов и иных устройств до конечной системы обработки передаваемых данных.

      15. Требования к процедурам безопасности при оказании электронных банковских услуг устанавливаются Правилами № 212.

      Сноска. Пункт 15 в редакции постановления Правления Национального Банка РК от 22.12.2017 № 248 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

Глава 5. Требования к обеспечению беспрерывности работы информационных систем

      Сноска. Заголовок главы 5 в редакции постановления Правления Национального Банка РК от 22.12.2017 № 248 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      16. В целях обеспечения беспрерывности предоставления электронных банковских услуг банки определяют во внутренних документах план восстановления, порядок его пересмотра и тестирования.

      17. Разработка плана восстановления осуществляется с учетом следующих факторов:

      1) виды и характер нестандартных ситуаций, их степень воздействия на деятельность банка;

      2) перечень информационных систем и их объектов, обеспечивающих оказание электронных банковских услуг, с указанием приоритетности их восстановления;

      3) ущерб, возникающий при остановке работы информационных систем, и затраты для восстановления их работы.

      18. При указании перечня информационных систем определяются допускаемые сроки их восстановления. Сроки устанавливаются банком в зависимости от критичности простоя в работе информационной системы.

      18-1. Банк обеспечивает наличие не менее одного резервного центра, находящегося в ином населенном пункте (столице, городе республиканского значения, городе областного значения, городе районного значения), чем основной центр, гарантирующего возобновление предоставления банком платежных услуг в течение срока, установленного частью третьей пункта 23 Требований.

      Увеличение сроков, установленных частью третьей пункта 23 Требований, осуществляется при наличии достаточных оснований, влияющих на сроки возобновления предоставления платежных услуг, с одновременным уведомлением Национального Банка.

      Основной и резервный центры банка размещаются на территории Республики Казахстан.

      Сноска. Требования дополнены пунктом 18-1 в соответствии с постановлением Правления Национального Банка РК от 28.02.2022 № 9 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      18-2. Банк обеспечивает каждый центр (основной и резервный) двумя выделенными каналами связи от разных поставщиков (провайдеров) услуг связи.

      Сноска. Требования дополнены пунктом 18-2 в соответствии с постановлением Правления Национального Банка РК от 28.02.2022 № 9 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      19. План восстановления содержит следующие условия:

      1) наличие и место нахождения резервного центра;

      2) перечень бизнес–процессов, объектов информационной системы, технических, программных или других средств, обеспечивающих работу информационной системы, восстановление которых требуется в резервном центре;

      3) порядок проведения, периодичность и сценарии тестирования функционирования резервного центра информационной системы;

      4) порядок восстановления нарушенных информационных систем после ликвидации последствий нестандартных ситуаций, критерии, позволяющие принять решение о завершении работы в нестандартном режиме, и порядок принятия такого решения, а также порядок возврата в штатный режим функционирования.

      20. В целях проверки готовности работы резервного центра и резервных каналов связи для восстановления деятельности информационной системы банк не менее одного раза в год проводит тестирование функционирования резервного центра и резервных каналов связи в соответствии с планом восстановления (далее – тестирование Плана).

      21. Тестирование Плана проводится по разработанной и утвержденной банком программе, предусматривающей описание сценария возникновения нестандартной ситуации, восстанавливаемых рабочих процессов и объектов информационной системы, действий команды восстановления, требований по срокам и месту проведения работ.

      22. По итогам тестирования Плана банком подготавливается документ о результатах тестирования (протокол) с указанием:

      1) перечня информационных систем и их объектов, по которым проведено тестирование, а также места нахождения основного и резервного центров;

      2) времени, затраченного на восстановление работы информационных систем и их объектов;

      3) выявленных уязвимостей и предложений по их устранению.

      Сведения о результатах тестирования представляются банком в Национальный Банк Республики Казахстан (далее – Национальный Банк) в течение пятнадцати рабочих дней после утверждения документа о результатах тестирования уполномоченным органом банка.

      Сноска. Пункт 22 - в редакции постановления Правления Национального Банка РК от 28.02.2022 № 9 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      23. При возникновении сбоя (простоя) в работе информационной системы банк обеспечивает восстановление работы основного центра.

      При отсутствии возможности восстановления работы основного центра в период минимально допустимого срока восстановления осуществляется перевод информационной системы на работу резервного центра.

      Стандартный норматив времени по переводу информационной системы на резервный центр составляет не более четырех часов с момента возникновения сбоя (простоя).

      При возникновении сбоя (простоя) в работе информационной системы банка, повлекшего прерывание доступа клиентов к электронным банковским услугам посредством систем удаленного доступа и (или) к сети электронных терминалов банка, продолжительностью более трех часов банк незамедлительно уведомляет Национальный Банк путем направления электронного сообщения. В случае возникновения сбоя (простоя) в нерабочее время, банк уведомляет Национальный Банк не позднее 10.00 часов времени города Астаны рабочего дня, следующего за днем возникновения сбоя (простоя).

      Сноска. Пункт 23 в редакции постановления Правления Национального Банка РК от 22.12.2017 № 248 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      24. Банк в направляемых клиентам уведомлениях о планируемом введении в действие изменений (обновлений), вносимых в технические, программные и другие средства, обеспечивающие работу информационной системы, и влияющих на доступность клиенту электронных банковских услуг, указывает вид электронных банковских услуг, на доступность которых повлияют планируемые изменения, а также время их предполагаемой недоступности. Минимальные требования по доведению до сведения клиентов уведомления о планируемых изменениях включают размещение оповещений на интернет –ресурсе банка.

      Сноска. Пункт 24 - в редакции постановления Правления Национального Банка РК от 22.11.2021 № 99 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      25. Банк ежеквартально, не позднее десятого числа месяца, следующего за отчетным кварталом, направляет в Национальный Банк информацию в произвольной форме о произошедших в течение отчетного периода плановых и внеплановых простоях (сбоях) в работе информационной системы.

      Сведения включают информацию о виде электронной банковской услуги, доступ к которой был приостановлен клиентам, дате, времени начала и завершения простоя (сбоя), предпринятых действиях и результатах работ по устранению простоя (сбоя). В случае отсутствия простоев (сбоев) в работе информационной системы, банк уведомляет Национальный Банк об отсутствии простоев (сбоев) в работе информационной системы за отчетный квартал.

      Сноска. Пункт 25 - в редакции постановления Правления Национального Банка РК от 17.09.2022 № 83 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      26. В целях организации возобновления доступа клиентов к платежным услугам банк предоставляет в Национальный Банк по защищенным каналам связи перечень актуальных уникальных числовых идентификаторов (IP-адресов) информационных систем, находящихся как в основном, так и в резервном центре. В случае изменения уникальных числовых идентификаторов (IP-адресов) информационных систем, находящихся как в основном, так и в резервном центре, банк незамедлительно информирует Национальный Банк по защищенным каналам связи.

      Национальный Банк совместно с банками осуществляет необходимые мероприятия, связанные с возобновлением доступа клиентов к платежным услугам, в том числе, в период чрезвычайного положения.

      Сноска. Требования дополнены пунктом 26 в соответствии с постановлением Правления Национального Банка РК от 28.02.2022 № 9 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      27. Минимальный уровень беспрерывности работы информационных систем, обеспечивающих оказание электронных платежных услуг, (с учетом всех модулей и подсистем) поставщика платежных услуг, являющегося значимым поставщиком платежных услуг, определенным в соответствии со статьей 11 Закона о платежах и платежных системах, и(или) системно значимого банка, определенного в соответствии с Правилами отнесения финансовых организаций к числу системно значимых, утвержденными постановлением Правления Национального Банка от 23 декабря 2019 года №240 (зарегистрировано в Реестре государственной регистрации нормативных правовых актов под №19925), за каждый квартал составляет 99 (девяносто девять) процентов.

      Расчет уровня беспрерывности работы информационных систем, обеспечивающих оказание электронных платежных услуг, значимого поставщика платежных услуг и(или) системно значимого банка за квартал осуществляется по следующей формуле:


, где:

      Ka – уровень беспрерывности работы информационных систем значимого поставщика платежных услуг и(или) системно значимого банка за квартал;

      (T-Tf) – реальное время (в минутах) работы информационной системы значимого поставщика платежных услуг и(или) системно значимого банка. Реальное время работы системы не включает период времени, когда система была приостановлена;

      T – общее время работы (в минутах) информационных систем значимого поставщика платежных услуг и(или) системно значимого банка за квартал;

      Tf – период времени за квартал (в минутах), когда информационная система значимого поставщика платежных услуг и(или) системно значимого банка была приостановлена;

      Показатель Tf не включает время плановых простоев. В случае планового простоя, системно значимый банк за десять рабочих дней до запланированного простоя уведомляет Национальный Банк в произвольной форме.

      К плановым простоям относятся:

      1) время проведения плановых работ (в минутах) с 18:00 часов до 09:00 часов в рабочие дни и в выходные дни для перевода информационных систем значимого поставщика платежных услуг и(или) системно значимого банка на резервный центр;

      2) время проведения плановых работ (в минутах) с 18:00 часов до 09:00 часов в рабочие дни и в выходные дни для обновления программного и технического обеспечения;

      3) время проведения (в минутах) с 18:00 часов до 09:00 часов в рабочие дни и в выходные дни плановых профилактических и технических работ с оборудованием и программным обеспечением.

      Сноска. Требования дополнены пунктом 27 в соответствии с постановлением Правления Национального Банка РК от 17.09.2022 № 83 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).