Предоставление банками информации об уязвимостях в системе: утверждены правила

10:45, 9 апреля 2026

© Фото: pexels

Постановлением АРРФР утверждены Правила и сроки предоставления банками, филиалами банков-нерезидентов РК и организациями, осуществляющими отдельные виды банковсковских операций, информации об уязвимостях в информационно-коммуникационной инфраструктуре, сообщает Zakon.kz.

Правила определяют порядок и сроки предоставления банками, филиалами банков-нерезидентов РК и организациями, осуществляющими отдельные виды банковских операций, информации об инцидентах информационной безопасности, включая сведения о нарушениях, сбоях в информационных системах.

Предусмотрено, что банк, организация предоставляют в уполномоченный орган информацию о следующих выявленных инцидентах информационной безопасности:

эксплуатация уязвимостей в прикладном и системном программном обеспечении;
несанкционированный доступ в информационную систему;
атака "отказ в обслуживании" на информационную систему или сеть передачи данных;
заражение сервера вредоносной программой или кодом;
совершение несанкционированного перевода денежных средств вследствие нарушения контролей информационной безопасности;
нарушение работы банковских систем идентификации и аутентификации клиента;
иных инцидентах информационной безопасности, повлекших простои информационных систем более одного часа.

Информация об инцидентах информационной безопасности предоставляется банком или организацией в течение 24-х часов с момента выявления инцидента, посредством автоматизированной системы уполномоченного органа, предназначенной для обработки информации о событиях и инцидентах информационной безопасности (АСОИ) и интегрированной с системами информационной безопасности или системами банка, организации, осуществляющими в реальном времени сбор и анализ информации о событиях в информационной инфраструктуре или в электронном формате с использованием транспортной системы гарантированной доставки информации с криптографическими средствами защиты, обеспечивающей конфиденциальность и некорректируемость представляемых данных.

В случае недоступности вышеуказанных систем передача информации об инциденте осуществляется с телефонного номера банка, организации, указанного при регистрации банка, организации в АСОИ, на телефонный номер уполномоченного органа, указанный для связи на интернет ресурсе уполномоченного органа в разделе "Информационная безопасность" с дублированием на бумажном носителе официальным письмом банка, организации.

Банк, организация обеспечивает передачу сведений посредством АСОИ о полученных в том числе от третьих сторон уязвимостях в информационно-коммуникационной инфраструктуре банка, организации, доступных извне периметра защиты, в течение 24-х часов с момента их выявления.

Для организаций, входящих в структуру Национального банка, и юридических лиц, 50% и более голосующих акций которых принадлежат Национальному банку, допускается передача сведений об уязвимостях посредством цифровых систем Нацбанка, интегрированных с АСОИ.

Постановление вводится в действие с 18 апреля 2026 года.

Источник: zakon.kz

Подписывайтесь на наш Telegram-канал. Будьте в курсе всех событий!
Мы работаем для Вас!