"Қазақстан Республикасы банктерінің, бейрезидент-банктері филиалдарының және банк операцияларының жекелеген түрлерін жүзеге асыратын ұйымдардың ақпараттық жүйелерінің қауіпсіз және іркіліссіз жұмыс істеуіне қойылатын талаптарды бекіту туралы" Қазақстан Республикасы Ұлттық Банкі Басқармасының 2016 жылғы 28 қаңтардағы № 34 қаулысына өзгерістер мен толықтырулар енгізу туралы

Қазақстан Республикасы Ұлттық Банкі Басқармасының 2022 жылғы 28 ақпандағы № 9 қаулысы. Қазақстан Республикасының Әділет министрлігінде 2022 жылғы 10 наурызда № 27074 болып тіркелді

      Қазақстан Республикасы Ұлттық Банкінің Басқармасы ҚАУЛЫ ЕТЕДІ:

      1. "Қазақстан Республикасы банктерінің, бейрезидент-банктері филиалдарының және банк операцияларының жекелеген түрлерін жүзеге асыратын ұйымдардың ақпараттық жүйелерінің қауіпсіз және іркіліссіз жұмыс істеуіне қойылатын талаптарды бекіту туралы" Қазақстан Республикасы Ұлттық Банкі Басқармасының 2016 жылғы 28 қаңтардағы № 34 қаулысына (Нормативтік құқықтық актілерді мемлекеттік тіркеу тізілімінде № 13256 болып тіркелген) мынадай өзгерістер мен толықтырулар енгізілсін:

      көрсетілген қаулымен бекітілген Қазақстан Республикасы банктерінің, бейрезидент-банктері филиалдарының және банк операцияларының жекелеген түрлерін жүзеге асыратын ұйымдардың ақпараттық жүйелерінің қауіпсіз және іркіліссіз жұмыс істеуіне қойылатын талаптарда:

      2-тармақтың бірінші абзацы мынадай редакцияда жазылсын:

      "2. Талаптарда "Төлемдер және төлем жүйелері туралы" Қазақстан Республикасы Заңының 1-бабында, "Ақпараттандыру туралы" Қазақстан Республикасы Заңының 1-бабында, Нормативтік құқықтық актілерді мемлекеттік тіркеу тізілімінде № 14337 болып тіркелген, Қазақстан Республикасы Ұлттық Банкі Басқармасының 2016 жылғы 31 тамыздағы № 212 қаулысымен бекітілген Банктердің, Қазақстан Республикасы бейрезидент банктері филиалдарының және банк операцияларының жекелеген түрлерін жүзеге асыратын ұйымдардың электрондық банктік қызметтерді көрсету қағидаларында (бұдан әрі – № 212 қағидалар) көзделген ұғымдар, сондай-ақ мынадай ұғымдар пайдаланылады:";

      5 және 6-тармақтар мынадай редакцияда жазылсын:

      "5. Деректерді рұқсат етілмеген кіруден қорғауды қамтамасыз ету үшін банктің ішкі құжаттарымен жұмыс орнына қолжетімділік беретін техникалық құралдарды, парольдерді немесе басқа ақпаратты сақтау және пайдалану тәртібі белгіленеді.

      6. Банктің ішкі құжаттарымен ақпаратты ақпараттық жүйеге беру, ақпараттық жүйеден ақпаратты алу, ақпаратты сақтау, архивтеу не басқа өңдеу үшін жинақтауға арналып бөлінген ресурстарға (дискілік кеңестік, директория, желілік ресурстар, дерекқорлар) кіру тәртібі бекітіледі.";

      3-тарау мынадай редакцияда жазылсын:

      "3-тарау. Банктің ақпараттық жүйенің құрылымы және жұмыс істеуі жөніндегі ішкі құжаттарына қойылатын талаптар";

      11. Банктің ақпараттық жүйелердің құрылымы және жұмыс істеуі жөніндегі ішкі құжаттарында:

      1) ақпараттық жүйелердің және олардың объектілерінің тізбесі, олардың мақсаты және негізгі сипаттамалары, жүйелердің орталықтандыру иерархиясы деңгейлерінің санына және дәрежесіне қойылатын талаптар, оның ішінде ақпараттық жүйенің әрбір объектісі бойынша функциялардың, міндеттердің тізбесі;

      2) ақпараттық жүйелердің құрамдас бөліктері арасында ақпарат алмасуға арналған байланыстың тәсілдері мен құралдарына қойылатын талаптар;

      3) ақпараттық жүйелердің жұмысын қалпына келтіру жоспарлары (бұдан әрі – қалпына келтіру жоспары);

      4) ақпараттық жүйелердің жұмыс істеу режімдеріне қойылатын талаптар;

      5) ақпараттық жүйелердің жұмыс істеуін мониторингтеуге қойылатын талаптар;

      "6) қалпына келтіру командасының жауапты қызметкелерінің жіктеліміне, санына және жұмыс режиміне қойылатын талаптар бекітіледі.";

      12-тармақ мынадай редакцияда жазылсын:

      "12. Банктің ақпараттық жүйелердің құрылымы және жұмыс істеуі жөніндегі ішкі құжаттары банк айқындаған мерзімді негізде, бірақ жылына бір реттен сиретпей маңызын арттыру мәніне қайта қаралуға жатады.";

      мынадай мазмұндағы 18-1 және 18-2-тармақтармен толықтырылсын:

      "18-1. Банк негізгі орталыққа қарағанда өзге елді мекенде (астанада, республикалық маңызы бар қалада, облыстық маңызы бар қалада, аудандық маңызы бар қалада) орналасқан, Талаптардың 23-тармағының үшінші бөлігінде белгіленген мерзім ішінде банктің төлем қызметтерін көрсетуін жаңғыртуға кепілдік беретін кемінде бір резервтік орталықтың болуын қамтамасыз етеді.

      Талаптардың 23-тармағының үшінші бөлігінде белгіленген мерзім бірмезгілде Ұлттық Банкті хабардар ете отырып төлем қызметтерін көрсетуді жаңғырту мерзіміне әсер ететін жеткілікті негіздер болған кезде ұлғайтылады.

      Банктің негізгі және резервтік орталықтары Қазақстан Республикасының аумағында орналастырылады.

      18-2. Банк әрбір орталықты (негізгі және резервтік) байланыс қызметтерін әртүрлі жеткізушілерден (провайдерлерден) бөлінген екі байланыс арнасымен қамтамасыз етеді.";

      22-тармақ мынадай редакцияда жазылсын:

      "22. Банк Жоспарды тестілеу қорытындысы бойынша мыналар:

      1) тестілеу жүргізілген ақпараттық жүйелердің және олардың объектілерінің тізбесі, сондай-ақ негізгі және резервтік орталықтардың орналасқан жері;

      2) ақпараттық жүйелердің және олардың объектілерінің жұмысын қалпына келтіруге жұмсалған уақыт;

      3) анықталған осалдықтар және оларды жою жөніндегі ұсыныстар көрсетіле отырып тестілеу нәтижелері туралы құжат (хаттама) дайындалады.

      Банк тестілеу нәтижелері туралы мәліметтерді Қазақстан Республикасының Ұлттық Банкіне (бұдан әрі – Ұлттық Банк) банктің уәкілетті органы тестілеу нәтижелері туралы құжатты бекіткеннен кейін он бес жұмыс күні ішінде ұсынады.";

      мынадай мазмұндағы 26-тармақпен толықтырылсын:

      "26. Банк клиенттердің төлем қызметтеріне қолжетімділігін жаңғыртуды ұйымдастыру мақсатында Ұлттық Банкке қорғалған байланыс арналары бойынша негізгі, сондай-ақ резервтік орталықта орналасқан ақпараттық жүйелердің өзекті бірегей сандық сәйкестендіргіштерінің (IP-мекенжайларының) тізбесін ұсынады. Негізгі, сондай-ақ резервтік орталықта орналасқан ақпараттық жүйелердің бірегей сандық сәйкестендіргіштері (IP-мекенжайлары) өзгерген жағдайда, банк Ұлттық Банкке қорғалған байланыс арналары бойынша дереу хабарлайды.

      Ұлттық Банк банктермен бірлесе отырып клиенттердің төлем қызметтеріне, оның ішінде төтенше жағдай кезеңінде қолжетімділігін жаңғыртуға байланысты қажетті іс-шараларды жүзеге асырады.".

      2. Банктер, Қазақстан Республикасының бейрезиденті банктердің филиалдары және банк операцияларының жекелеген түрлерін жүзеге асыратын ұйымдар осы қаулы қолданысқа енгізілген күннен бастап үш жыл ішінде ақпараттық жүйелердің негізгі және резервтік орталықтарын Қазақстан Республикасының аумағында орналастыру жөніндегі талаптардың орындалуын қамтамасыз етсін.

      3. Төлем жүйелері департаменті (Е.Т. Ашықбеков) Қазақстан Республикасының заңнамасында белгіленген тәртіппен:

      1) Заң департаментімен (А.С. Касенов) бірлесіп осы қаулыны Қазақстан Республикасының Әділет министрлігінде мемлекеттік тіркеуді;

      2) осы қаулыны ресми жарияланғаннан кейін Қазақстан Республикасы Ұлттық Банкінің ресми интернет-ресурсына орналастыруды;

      3) осы қаулы мемлекеттік тіркелгеннен кейін он жұмыс күні ішінде Заң департаментіне осы тармақтың 2) тармақшасында көзделген іс-шараның орындалуы туралы мәліметтерді ұсынуды қамтамасыз етсін.

      4. Осы қаулының орындалуын бақылау Қазақстан Республикасының Ұлттық Банкі Төрағасының орынбасары Б.Ш. Шолпанқұловқа жүктелсін.

      5. Осы қаулы алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі.

      Қазақстан Республикасы
Ұлттық Банкі Басқармасының
Төрағасы
Г. Пирматов

О внесении изменений и дополнений в постановление Правления Национального Банка Республики Казахстан от 28 января 2016 года № 34 "Об утверждении Требований к безопасности и беспрерывности работы информационных систем банков, филиалов банков-нерезидентов Республики Казахстан и организаций, осуществляющих отдельные виды банковских операций"

Постановление Правления Национального Банка Республики Казахстан от 28 февраля 2022 года № 9. Зарегистрировано в Министерстве юстиции Республики Казахстан 10 марта 2022 года № 27074

      Правление Национального Банка Республики Казахстан ПОСТАНОВЛЯЕТ:

      1. Внести в постановление Правления Национального Банка Республики Казахстан от 28 января 2016 года № 34 "Об утверждении Требований к безопасности и беспрерывности работы информационных систем банков, филиалов банков-нерезидентов Республики Казахстан и организаций, осуществляющих отдельные виды банковских операций" (зарегистрировано в Реестре государственной регистрации нормативных правовых актов под № 13256) следующие изменения и дополнения:

      в Требованиях к безопасности и беспрерывности работы информационных систем банков, филиалов банков-нерезидентов Республики Казахстан и организаций, осуществляющих отдельные виды банковских операций, утвержденных указанным постановлением:

      абзац первый пункта 2 изложить в следующей редакции:

      "2. В Требованиях используются понятия, предусмотренные статьей 1 Закона Республики Казахстан "О платежах и платежных системах", статьей 1 Закона Республики Казахстан "Об информатизации", Правилами оказания банками, филиалами банков-нерезидентов Республики Казахстан и организациями, осуществляющими отдельные виды банковских операций, электронных банковских услуг, утвержденными постановлением Правления Национального Банка Республики Казахстан от 31 августа 2016 года № 212, зарегистрированным в Реестре государственной регистрации нормативных правовых актов под № 14337 (далее – Правила № 212), а также следующие понятия:";

      пункты 5 и 6 изложить в следующей редакции:

      "5. Для обеспечения защиты данных от несанкционированного доступа внутренними документами банка устанавливается порядок хранения и использования технических средств, паролей или другой информации, предоставляющих доступ к рабочему месту.

      6. Внутренними документами банка утверждается порядок доступа к ресурсам (дисковое пространство, директории, сетевые ресурсы, базы данных), выделенным для накопления в них информации для передачи в информационную систему, получения информации из информационной системы, хранения, архивирования либо другой обработки информации.";

      главу 3 изложить в следующей редакции:

      "Глава 3. Требования к внутренним документам банка по структуре и функционированию информационной системы

      11. Внутренними документами банка по структуре и функционированию информационных систем утверждается:

      1) перечень информационных систем и их объектов, их назначение и основные характеристики, требования к числу уровней иерархии и степени централизации систем, в том числе, перечень функций, задач по каждому объекту информационной системы;

      2) требования к способам и средствам связи для информационного обмена между компонентами информационных систем;

      3) планы восстановления работы информационных систем (далее - план восстановления);

      4) требования к режимам функционирования информационных систем;

      5) требования к мониторингу функционирования информационных систем;

      6) требования к классификации, количеству и режиму работы ответственных работников команды восстановления.

      12. Внутренние документы банка по структуре и функционированию информационных систем подлежат пересмотру на предмет актуализации на периодической основе, определенной банком, но не реже одного раза в год.";

      дополнить пунктами 18-1 и 18-2 следующего содержания:

      "18-1. Банк обеспечивает наличие не менее одного резервного центра, находящегося в ином населенном пункте (столице, городе республиканского значения, городе областного значения, городе районного значения), чем основной центр, гарантирующего возобновление предоставления банком платежных услуг в течение срока, установленного частью третьей пункта 23 Требований.

      Увеличение сроков, установленных частью третьей пункта 23 Требований, осуществляется при наличии достаточных оснований, влияющих на сроки возобновления предоставления платежных услуг, с одновременным уведомлением Национального Банка.

      Основной и резервный центры банка размещаются на территории Республики Казахстан.

      18-2. Банк обеспечивает каждый центр (основной и резервный) двумя выделенными каналами связи от разных поставщиков (провайдеров) услуг связи.";

      пункт 22 изложить в следующей редакции:

      "22. По итогам тестирования Плана банком подготавливается документ о результатах тестирования (протокол) с указанием:

      1) перечня информационных систем и их объектов, по которым проведено тестирование, а также места нахождения основного и резервного центров;

      2) времени, затраченного на восстановление работы информационных систем и их объектов;

      3) выявленных уязвимостей и предложений по их устранению.

      Сведения о результатах тестирования представляются банком в Национальный Банк Республики Казахстан (далее – Национальный Банк) в течение пятнадцати рабочих дней после утверждения документа о результатах тестирования уполномоченным органом банка.";

      дополнить пунктом 26 следующего содержания:

      "26. В целях организации возобновления доступа клиентов к платежным услугам банк предоставляет в Национальный Банк по защищенным каналам связи перечень актуальных уникальных числовых идентификаторов (IP-адресов) информационных систем, находящихся как в основном, так и в резервном центре. В случае изменения уникальных числовых идентификаторов (IP-адресов) информационных систем, находящихся как в основном, так и в резервном центре, банк незамедлительно информирует Национальный Банк по защищенным каналам связи.

      Национальный Банк совместно с банками осуществляет необходимые мероприятия, связанные с возобновлением доступа клиентов к платежным услугам, в том числе, в период чрезвычайного положения.".

      2. Банкам, филиалам банков-нерезидентов Республики Казахстан и организациям, осуществляющим отдельные виды банковских операций, обеспечить выполнение требований по размещению основного и резервного центров информационных систем на территории Республики Казахстан в течение трех лет со дня введения в действие настоящего постановления.

      3. Департаменту платежных систем (Ашыкбеков Е.Т.) в установленном законодательством Республики Казахстан порядке обеспечить:

      1) совместно с Юридическим департаментом (Касенов А.С.) государственную регистрацию настоящего постановления в Министерстве юстиции Республики Казахстан;

      2) размещение настоящего постановления на официальном интернет-ресурсе Национального Банка Республики Казахстан после его официального опубликования;

      3) в течение десяти рабочих дней после государственной регистрации настоящего постановления представление в Юридический департамент сведений об исполнении мероприятия, предусмотренного подпунктом 2) настоящего пункта.

      4. Контроль за исполнением настоящего постановления возложить на заместителя Председателя Национального Банка Республики Казахстан Шолпанкулова Б.Ш.

      5. Настоящее постановление вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования.

      Председатель Правления
Национального Банка
Республики Казахстан
Г. Пирматов